Amenazas digitales en Medio Oriente y Norte de África

Por Joey Shea para Tahrir Institute for Middle East Policy (TIMEP)

Ciber ataques. [Christiaan Colen/Creative Commons]

Los ataques digitales dirigidos en todo el Medio Oriente han evolucionado considerablemente durante la última década. Las nuevas herramientas y vectores de ataque han aumentado drásticamente en sofisticación, mientras que la dinámica política subyacente de los ataques continúa igual. [1] Estos ataques son llevados a cabo por Estados-nación, grupos armados no estatales, ciberdelincuentes, empresas privadas y actores de amenazas internas. Defensores de los derechos humanos, organizaciones de la sociedad civil, periodistas y activistas son particularmente vulnerables y un objetivo recurrente de ataques por parte de una variedad de actores.

[Se prohíbe expresamente la reproducción total o parcial, por cualquier medio, del contenido de esta web sin autorización expresa y por escrito de El Intérprete Digital]

Las amenazas digitales dirigidas se definen como la intrusión y disrupción, de manera persistente y premeditada, de una cuenta personal, dispositivo o sistema; tiene por objetivo a personas y comunidades específicas y siguen motivaciones políticas. En un importante estudio que trazó un mapa del panorama de amenazas digitales dirigidas contra organizaciones de la sociedad civil, se articularon tres modelos que demuestran las capacidades y técnicas específicas de diferentes actores que llevan a cabo ataques digitales dirigidos:

(1) Actores de amenazas con las capacidades y recursos para realizar sus propias operaciones, generalmente Estados o grupos que reciben apoyo gubernamental;

(2) Software espía comercializado por empresas que proveen exclusivamente a gobiernos con herramientas sofisticadas de vigilancia;

(3) Software criminal reutilizado (denominado también con el neologismo crimeware), que se basa principalmente en virus Troyanos de Acceso Remoto (TAR), utilizados con frecuencia por criminales y piratas informáticos. [2]

Estos modelos resultan útiles para comprender la gama de ataques digitales dirigidos registrados en todo el Medio Oriente durante la última década.

Suplantación de identidad (“Phishing”)

El phishing es un ataque digital dirigido que utiliza una variedad de métodos de ingeniería social para obtener acceso a la cuenta personal de un objetivo. [3] Los atacantes se hacen pasar por una entidad legítima (una persona real, una empresa de confianza, un proveedor de servicios) para engañar al objetivo para que haga clic en un enlace o le otorgue acceso a su cuenta. Los ataques de phishing pueden estar motivados por una variedad de razones, incluidas financieras, sociales y políticas. Las campañas de phishing mejor estudiadas dirigidas contra la sociedad civil en Oriente Medio se produjeron en Egipto, con dos ataques separados entre 2016 y 2019. Si bien ambos casos compartieron características similares, hubo un aumento notable en el nivel de sofisticación técnica de la segunda campaña.

El primer ataque de phishing a gran escala que se documentó en Egipto ocurrió entre noviembre de 2016 y enero de 2017. Un informe de 2017 publicado por la Iniciativa Egipcia para los Derechos Personales (IEDP) y el Laboratorio Ciudadano señaló que siete organizaciones no gubernamentales (ONG) egipcias diferentes fueron atacadas, en particular aquellas afiliadas al Caso 173, una causa judicial de larga data relacionada con actividades de financiación extranjera en Egipto. La investigación conjunta documentó 92 mensajes de phishing que demostraron un profundo conocimiento de la dinámica de las ONG egipcias.

Los correos electrónicos de phishing contenían referencias a varios aspectos del Caso 173 y la represión en curso sobre la sociedad civil egipcia. Algunos incluían una invitación para hablar en un panel sobre el Caso 173. Tras la inspección de los investigadores de seguridad, quedó claro que el panel era falso y había sido inventado para engañar a los objetivos y que estos hicieran ingresaran al enlace adjunto. Los mensajes fueron enviados desde cuentas de Gmail, disimuladas como servicios para compartir documentos de Google Drive o Dropbox.

La campaña fue de bajo costo y poco sofisticada técnicamente. Los investigadores descubrieron que utilizaba un marco de phishing de código abierto diseñado originalmente para usarse de manera defensiva, como parte de los entrenamientos antiphishing dados a organizaciones. Una versión de esta campaña podría implementarse con pocos conocimientos técnicos y podría adaptarse fácilmente a las motivaciones de cualquier atacante. Debido a que el ataque no dependió del despliegue de una herramienta que pudiera estar conectada con una empresa u otro actor de amenazas, la atribución de su responsabilidad es difícil.

El segundo ataque de phishing a gran escala dirigido a ONG egipcias se produjo entre enero y febrero de 2019. Si bien los objetivos de esta campaña fueron los mismos que la primera (ONG egipcias, defensores de los derechos humanos y organizaciones de medios de comunicación) las tácticas y técnicas difieren en aspectos importantes.

Más importante aún, el ataque de 2019 demostró un notable desarrollo en las técnicas de la campaña de phishing misma. La campaña se basó en “OAuth Phishing”, una táctica que explota una función que permite que aplicaciones de terceros accedan directamente a una cuenta. Los correos electrónicos de phishing que formaban parte de esta campaña imitaban una advertencia de seguridad de Google y pedían a los objetivos que aplicaran una actualización de seguridad a su cuenta de Gmail. Si los objetivos hacían clic para activar la función de seguridad, se les redirigía a una página de OAuthorization, la cual iniciaba el proceso de autorización de una aplicación maliciosa de un tercero, denominada “Correo Electrónico Seguro”. Se le pedía al objetivo que iniciara sesión en su cuenta de Google y autorizara a la aplicación a tener acceso completo a su cuenta.

Este cambio de técnica demuestra un aumento en el nivel de sofisticación de la campaña. El informe final de Amnistía Internacional concluyó que el ataque probablemente fue lanzado por organismos respaldados por el gobierno. Esta conclusión se basó en una serie de factores, incluidas las identidades de los objetivos, el momento de los ataques y una notificación auténtica de Google que alertaba a los objetivos sobre la existencia de un ataque “patrocinado por el Estado”.

Software malicioso (“Malware”)

Malware es un término genérico que incluye a cualquier software malicioso que haya sido desarrollado deliberadamente para dañar, obstruir o realizar acciones no deseadas en dispositivos, datos y sistemas. El software malicioso puede ser instalado en un dispositivo e infectarlo a través de una variedad de mecanismos diferentes. La infección puede ocurrir a través de un enlace infectado que llega en un correo electrónico, texto u otro mensaje. También puede ocurrir a través del acceso físico a un dispositivo en sí. Los diferentes tipos de malware pueden realizar una amplia gama de actividades, incluida la corrupción de archivos, daños a redes enteras o la recopilación discreta de información confidencial. Las infecciones de malware también son dirigidas por una variedad de actores, incluidos piratas informáticos oportunistas, organizaciones criminales o gobiernos; están motivados por una mezcla igualmente diversa de objetivos.

Hay muchos tipos diferentes de malware, incluidos los programas espía y los troyanos de acceso remoto (TAR). A menudo, el malware se implanta en los dispositivos a través de vulnerabilidades de software conocidas como “oportunidades” (denominadas con el anglicismo exploits). Las exploits aprovechan las vulnerabilidades en los sistemas, el software o los datos para infectar ese dispositivo en particular. Las “exploits de día cero” son particularmente impactantes porque aprovechan una vulnerabilidad que los desarrolladores de un dispositivo o aplicación informática desconocen.

Software espía (Spyware)

El uso de software espía comercial ha sido documentado de forma rutinaria en todo Oriente Medio, especialmente para su uso contra defensores de derechos humanos y la sociedad civil. Estos productos se comercializan como servicios de “interceptación legal” y, por lo general, su venta está restringida a gobiernos, agencias de seguridad y de inteligencia. Debido a estas restricciones y su costo extremadamente alto, los ataques atribuidos a productos comerciales de software espía son vinculados regularmente con el patrocinio estatal. Durante la última década, ha habido un patrón notable de Estados autoritarios en la región que despliegan estas tecnologías contra los defensores de derechos humanos. La herramienta más notoria de los últimos años es Pegasus, desarrollada por la empresa israelí NSO Group.

La primera documentación del despliegue de Pegasus contra un defensor de derechos humanos en la región fue en 2016. Laboratorio Ciudadano publicó un informe sobre el activista de derechos humanos de los Emiratos Árabes Unidos, Ahmed Mansoor, donde se detallaba un intento fallido de infectar su iPhone con dicho software espía. En agosto de 2016, Ahmed Mansoor recibió dos mensajes de texto SMS en su celular, prometiendo información sobre detenidos torturados en cárceles emiratíes con un enlace adjunto.

Mansoor reenvió los mensajes a investigadores de Laboratorio Ciudadano, quienes descubrieron que el enlace pertenecía a un sitio web malicioso con una exploit de día cero, que se habría infiltrado de forma remota en el teléfono de Mansoor e implantado el software espía Pegasus en su dispositivo. Los iPhones son muy preciados por su infraestructura de seguridad superior. Como resultado, las vulnerabilidades de día cero son raras, sofisticadas y extraordinariamente caras. Esto insinúa además que el agresor de Mansoor probablemente haya sido un actor gubernamental.

Los investigadores pudieron comprender cómo funciona Pegasus basándose en los documentos hallados en la filtración de información de 2015 de la compañía italiana de software espía, Hacking Team. Incluido dentro de los archivos filtrados había un documento titulado “Pegasus-Descripción del producto”. El documento describe cómo los objetivos reciben por primera vez un “mensaje de ingeniería social mejorado”, un mensaje diseñado para engañar al objetivo para que ingrese en un enlace malicioso. Una vez que el objetivo hace clic en este enlace, se le redirige a través de una cadena de nodos anónimos, denominada Red de Transmisión Anónima de Pegasus. Esta red está diseñada para ocultar la identidad del atacante antes de llegar finalmente al servidor Pegasus. Una vez que el objetivo llega al servidor final de Pegasus, el servidor envía el exploit de vuelta al dispositivo del objetivo e intenta instalar discretamente el software espía.

Una vez que se instala Pegasus, el programa puede registrar y recopilar datos sin que el objetivo lo sepa. Pegasus puede acceder a las llamadas realizadas en la línea regular, por WhatsApp y Viber, y puede acceder a mensajes SMS y mensajes en WhatsApp, Facebook, Telegram, Gmail y Skype. El programa también obtiene acceso a otros datos personales, como contraseñas, listas de contactos y entradas del calendario. Pegasus envía todos estos datos al servidor de comando y control del atacante. [4]

Desde el primer informe sobre Pegasus en 2016, el uso de este software espía ha sido documentado repetidamente en toda la región, particularmente en su uso contra activistas de derechos humanos y la sociedad civil. En 2018, Amnistía Internacional documentó un intento de infección contra sus propios investigadores y el activista saudí Yahya Assiri. Además, en 2018, Laboratorio Ciudadano informó que el jefe de la oficina de Beirut del New York Times, Ben Hubbard, y el activista saudí Omar Abdulaziz fueron atacados con este mismo software espía. Su uso también se ha documentado en Marruecos y Bahréin.

Software malicioso – TAR

Los Troyanos de Acceso Remoto (TAR) son otra forma de malware, modelados a partir de programas legítimos de acceso remoto. Los programas de soporte técnico genuinos a menudo permiten el acceso remoto a computadoras autorizadas para brindar asistencia a usuarios que enfrentan problemas técnicos. Los TAR maliciosos emulan esta fórmula, pero sin el consentimiento o conocimiento del usuario. Permiten a un atacante acceder y controlar la computadora de un objetivo. Las capacidades y la sofisticación de los TAR varían ampliamente, pero pueden incluir el registro remoto de las pulsaciones de teclas de una computadora infectada, capturas de pantalla remotas, extracción de datos y acceso remoto a cámaras web o micrófonos.

El uso de TAR fue ampliamente documentado en los primeros años de la guerra siria, a menudo contra activistas y grupos afiliados a la oposición siria. Estos ataques y campañas duraron muchos años y hay evidencia que sugiere que fueron llevados a cabo por actores pro-gubernamentales sirios. A partir de 2011, estos ataques utilizaron una variedad de tácticas y herramientas diferentes, al tiempo que compartían temas similares. A menudo, las campañas emplearon TAR de fácil acceso y se combinaron con elementos de ingeniería social. Las campañas incluyeron la publicación de mensajes de ingeniería social en plataformas de medios de la oposición con enlaces a TAR maliciosos. Los mensajes fueron elaborados por expertos y demostraban un profundo conocimiento de las figuras de la oposición siria.

En junio de 2013, la oposición siria fue atacada con un instalador malicioso de Freegate, una herramienta legítima de evasión de la red privada virtual diseñada para el sistema operativo Windows. Se publicó un enlace de Freegate en un grupo privado de Facebook perteneciente a la oposición siria. El enlace contenía una versión legítima de Freegate, pero también incluía una herramienta de instalación maliciosa. Si un objetivo hacía clic en el enlace, se descargaría la versión auténtica de Freegate, pero también se instalaría un TAR implantado; llamado ShadowTech Rat , el cual se encontraba ampliamente en disponibilidad en ese momento. Al requerir pocos conocimientos técnicos sofisticados para su implementación, ShadowTech Rat tiene la capacidad de registrar pulsaciones de teclas, acceder a la cámara web del objetivo y extraer archivos.

En septiembre de 2013 se produjo otra campaña de TAR dirigida a la oposición siria. Un grupo de Facebook afín a la oposición siria llamado “Coalición de la Juventud Revolucionaria en la Costa Siria” fue infiltrado por atacantes, que publicaron un enlace malicioso en el grupo que ofrecía información sobre un conocido comandante del Ejército Sirio Libre. Si un objetivo hacía clic en el enlace, se descargaría un TAR llamado Bladabindi en su dispositivo. El grupo de Facebook se encontraba infiltrado previamente por los atacantes dado que los comentarios que advirtieron a otros usuarios sobre el enlace malicioso fueron eliminados repetidamente.

Conclusión

A lo largo de la región, se ha documentado una amplia gama de amenazas digitales dirigidas durante los últimos diez años. Aunque estos ataques han diferido dramáticamente en el nivel de sofisticación técnica, rango de amenazas y modo de focalización, han surgido ciertos patrones; más notablemente, los ataques repetidos contra actores de la sociedad civil por parte de agentes con patrocinio o afiliación estatal. Si bien es probable que las tácticas y técnicas de las amenazas dirigidas continúen evolucionando, estas dinámicas políticas subyacentes persistirán. Los actores de la sociedad civil también son particularmente vulnerables porque a menudo carecen de los recursos para invertir en una infraestructura de seguridad sólida y capacitación en seguridad digital. Una mayor inversión en sistemas y formación es la única forma de protegerse contra futuros ataques.

[Se prohíbe expresamente la reproducción total o parcial, por cualquier medio, del contenido de esta web sin autorización expresa y por escrito de El Intérprete Digital]

Joey Shea es Magíster por la Universidad de Toronto, investigadora no residente de TIMEP y consultora en el Banco Mundial. Además, estudió lengua y literatura árabe en el Instituto Francés del Cercano Oriente de Beirut, y fue becaria en el Open Technology Fund y eQualit.e.

N.d.T.: El artículo original fue publicado por TIMEP el 10 de julio de 2020.

Referencias:

[1] Vectores de ataque: la ruta o punto de entrada a través del cual un atacante obtiene acceso no autorizado a un sistema informático o red. Fuente: Citizen Lab, Glosario de Comunidades en Riesgo.

[2] Citizen Lab, Communities @ Risk: Amenazas digitales dirigidas contra la sociedad civil. 11 de noviembre de 2014 https://targetedthreats.net/media/1-ExecutiveSummary.pdf

[3] Ingeniería social: manipular o engañar psicológicamente a un objetivo para obtener acceso no autorizado a sus datos; engañar a un objetivo para que se comprometa por medios no técnicos. Fuente: Citizen Lab, Glosario de Comunidades en Riesgo.

[4] Comando y control: un servidor o computadora centralizada que emite directivas y datos a los dispositivos infectados con malware. Fuente: Citizen Lab, Glosario de Comunidades en Riesgo.