Clicky

Coalición global y gigantes tecnológicos se unen contra el abuso de software espía comercial

software espía comercial

La iniciativa Pall Mall Process luchará contra la "diseminación incontrolada" de ofertas de software espía

Una coalición de docenas de países, incluidos Francia, el Reino Unido y Estados Unidos, junto con empresas tecnológicas como Google, MDSec, Meta y Microsoft, han firmado un acuerdo conjunto para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.

La iniciativa, denominada Pall Mall Process, tiene como objetivo abordar la proliferación y el uso irresponsable de herramientas comerciales de ciberintrusión estableciendo principios rectores y opciones de políticas para los Estados, la industria y la sociedad civil en relación con el desarrollo, la facilitación, la compra y el uso de tales herramientas.

La declaración afirma que la "diseminación incontrolada" de ofertas de software espía contribuye a una "escalada involuntaria en el ciberespacio", y señala que plantea riesgos para la estabilidad cibernética, los derechos humanos, la seguridad nacional y la seguridad digital.

"Cuando estas herramientas se utilizan maliciosamente, los ataques pueden acceder a los dispositivos de las víctimas, escuchar llamadas, obtener fotos y operar de forma remota una cámara y un micrófono mediante software espía de 'clic cero', lo que significa que no se necesita interacción del usuario", dijo el gobierno del Reino Unido en un comunicado de prensa.

Según el Centro Nacional de Seguridad Cibernética (NCSC), se estima que cada año miles de personas han sido blanco de campañas de software espía en todo el mundo.

"Y a medida que crece el mercado comercial de estas herramientas, también lo hará el número y la gravedad de los ciberataques que comprometen nuestros dispositivos y nuestros sistemas digitales, causando daños cada vez más costosos y haciendo que sea más difícil que nunca para nuestras defensas cibernéticas proteger las instituciones y servicios públicos", dijo el Viceprimer Ministro Oliver Dowden en la conferencia sobre Proliferación Cibernética entre el Reino Unido y Francia.

Cabe destacar que en la lista de países que participaron en el evento falta Israel, que alberga una serie de actores ofensivos del sector privado (PSOA) o proveedores de vigilancia comercial (CSV) como Candiru, Intellexa (Cytrox), NSO Group y QuaDream.

Recorded Future News informó que Hungría, México, España y Tailandia (que en el pasado han sido vinculados a abusos de software espía) no firmaron el compromiso.

La acción de múltiples partes interesadas coincide con un anuncio del Departamento de Estado de EE. UU. de negar visas a personas que considere involucradas en el uso indebido de peligrosa tecnología de software espía.

Por un lado, los programas espía como Chrysaor y PegasusPegasus tienen licencia para su uso en la aplicación de la ley y la lucha contra el terrorismo. Por otro lado, regímenes opresivos también han abusado de ellos de forma rutinaria para atacar a periodistas, activistas, abogados, defensores de derechos humanos, disidentes, opositores políticos y otros miembros de la sociedad civil.

Estas intrusiones generalmente aprovechan exploits sin hacer clic (o con un solo clic) para enviar subrepticiamente el software de vigilancia a los dispositivos Google Android y Apple iOS de los objetivos con el objetivo de recopilar información confidencial.

Dicho esto, los esfuerzos en curso para combatir y contener el ecosistema de software espía han sido una especie de golpe al topo, lo que subraya el desafío de defenderse de jugadores recurrentes y menos conocidos que proporcionan o crean armas cibernéticas similares.

Esto también se extiende al hecho de que los CSV continúan esforzándose en desarrollar nuevas cadenas de exploits a medida que empresas como Apple, Google y otras descubren y solucionan las vulnerabilidades de día cero.

"Mientras exista una demanda de capacidades de vigilancia, habrá incentivos para que los CSV continúen desarrollando y vendiendo herramientas, perpetrando una industria que perjudica a los usuarios de alto riesgo y a la sociedad en general", dijo el Grupo de Análisis de Amenazas (TAG) de Google.

Un extenso informe publicado por TAG esta semana reveló que la compañía está rastreando aproximadamente 40 empresas comerciales de software espía que venden sus productos a agencias gubernamentales, 11 de ellas vinculadas a la explotación de 74 días cero en Google Chrome (24), Android (20), iOS (16), Windows (6), Adobe (2) y Mozilla Firefox (1).

Actores desconocidos patrocinados por el estado, por ejemplo, explotaron tres fallas en iOS (CVE-2023-28205, CVE-2023-28206 y CVE-2023-32409) como un día cero el año pasado para infectar a las víctimas con software espía desarrollado por Barcelona-basado en Variston. Apple solucionó los fallos en abril y mayo de 2023.

La campaña, descubierta en marzo de 2023, entregó un enlace a través de SMS y se dirigió a iPhones ubicados en Indonesia con las versiones de iOS 16.3.0 y 16.3.1 con el objetivo de implementar el implante de software espía BridgeHead a través del framework de explotación Heliconia. La utilización de armas por parte de Variston es una deficiencia de seguridad de alta gravedad en los chips Qualcomm (CVE-2023-33063) que salió a la luz por primera vez en octubre de 2023.

La lista completa de vulnerabilidades de día cero en Apple iOS y Google Chrome que se descubrieron en 2023 y se han vinculado a proveedores de software espía específicos es la siguiente:

Zero-day Exploit Associated Spyware Vendor
CVE-2023-28205 y CVE-2023-28206 (Apple iOS) Variston (BridgeHead)
CVE-2023-2033 (Google Chrome) Intellexa/Cytrox (Predator)
CVE-2023-2136 (Google Chrome) Intellexa/Cytrox (Predator)
CVE-2023-32409 (Apple iOS) Variston (BridgeHead)
CVE-2023-3079 (Google Chrome) Intellexa/Cytrox (Predator)
CVE-2023-41061 and CVE-2023-41064 (Apple iOS) NSO Group (Pegasus)
CVE-2023-41991, CVE-2023-41992, and CVE-2023-41993 (Apple iOS) Intellexa/Cytrox (Predator)
CVE-2023-5217 (Google Chrome) Candiru (DevilsTongue)
CVE-2023-4211 (Arm Mali GPU) Cy4Gate (Epeius)
CVE-2023-33063 (Qualcomm Adreno GPU) Variston (BridgeHead)
CVE-2023-33106 and CVE-2023-33107 (Qualcomm Adreno GPU) Cy4Gate (Epeius)
CVE-2023-42916 and CVE-2023-42917 (Apple iOS) PARS Defense
CVE-2023-7024 (Google Chrome) NSO Group (Pegasus)

"Las empresas del sector privado han estado involucradas en el descubrimiento y venta de exploits durante muchos años, pero el aumento de las soluciones de espionaje llave en mano es un fenómeno más reciente", afirmó el gigante tecnológico.

"Los CSV operan con una profunda experiencia técnica para ofrecer herramientas de 'pago por uso' que agrupan una cadena de exploits diseñada para superar las defensas de un dispositivo seleccionado, el software espía y la infraestructura necesaria, todo para recopilar los datos deseados del dispositivo de un individuo".