Tomamos acciones en contra de la industria de servicios de vigilancia por contratación

2 años ago

Por David Agranovich, director de disrupciones de amenazas, y Mike Dvilyanski, líder de investigaciones de Ciberespionaje

La industria global de servicios de vigilancia por contratación se dirige a personas para recolectar, manipular y comprometer sus dispositivos y cuentas en Internet.
Si bien estos “ciber-mercenarios” a menudo argumentan que sus servicios solo se dirigen a criminales y terroristas, nuestra investigación de varios meses concluye que esta acción es indiscriminada e incluye a periodistas, disidentes políticos, críticos de regímenes autoritarios, familias de la oposición y activistas de derechos humanos.
Deshabilitamos siete entidades que se dirigían a personas en Internet en más de 100 países; compartimos nuestros hallazgos con investigadores de seguridad, otras plataformas y legisladores; mandamos alertas de Cese y Desistimiento; y también notificamos a las personas que creemos fueron blancos de estos ataques para ayudarlas a fortalecer la seguridad de sus cuentas.

En meses recientes, ha habido un mayor enfoque en NSO, la compañía detrás del spyware Pegasus (software usado para facilitar el espionaje) contra el que actuamos y demandamos en 2019. Sin embargo, es importante entender que NSO es solo una pieza de un ecosistema global más amplio de ciber-mercenarios. Como un esfuerzo aparte, hoy, estamos compartiendo nuestros hallazgos sobre siete entidades relacionadas con actividad de vigilancia y seguiremos tomando acciones sobre otras conforme las detectemos.

¿Qué es la contratación de servicios de vigilancia y cómo funciona?

La industria de contratación de servicios de vigilancia se dirige a personas en internet para recolectar información, manipularlos para revelar información y comprometer sus dispositivos y cuentas. Estas compañías son parte de una industria en expansión que ofrece herramientas de software intrusivas y servicios de vigilancia de forma indiscriminada a cualquier cliente – sin importar a quién se dirija o si habilita violaciones a derechos humanos. Esta industria “democratiza” estas amenazas, haciéndolas accesibles a gobiernos y grupos no gubernamentales que de otra forma no tendrían estas capacidades.

Observamos tres fases de actividad en estos actores comerciales, mismas que integran su “cadena de vigilancia”: Reconocimiento, Involucramiento y Explotación. Cada fase informa a la siguiente. Si bien, algunas de estas entidades se especializan en una fase en particular, otras apoyan la cadena de principio a fin.

Reconocimiento: Esta primera etapa de la cadena de vigilancia es comúnmente la menos evidente para las personas a las que se dirige, quienes son silenciosamente perfiladas por cibermercenarios a nombre de sus clientes, a menudo usando un software para automatizar la recolección de datos a lo largo de Internet. Estos proveedores recolectan la información de sitios web públicos como blogs, redes sociales, plataformas de gestión de conocimiento como Wikipedia y Wikidata, medios de noticias, foros y sitios de la “dark web”.
Involucramiento: Por lo general, esta fase es la más visible para las víctimas y la más importante de ser detectada para evitar que la cuenta o dispositivo sean comprometidos. Está diseñada para establecer contacto con los individuos que son blancos de los ataques o personas cercanas a ellos, en un intento de ganarse su confianza, solicitar información y engañarlos para que den clic a enlaces o descarguen archivos maliciosos.
Explotación: La etapa final de la cadena de vigilancia manifiesta lo que comúnmente se conoce como “hacking for hire”. Los proveedores pueden crear dominios de phishing diseñados para engañar a las personas para que entreguen su información personal sobre servicios como su correo electrónico, redes sociales, servicios financieros y redes corporativas o hacer clic en enlaces maliciosos para comprometer los dispositivos de las personas.

A pesar de que hasta el momento el debate público se ha enfocado en la fase de explotación, es fundamental desactivar todo el ciclo de vida del ataque, porque las primeras etapas habilitan las posteriores. Si colectivamente podemos combatir esta amenaza en una etapa temprana de la cadena de vigilancia, ayudaríamos a frenar el daño antes de que llegue a su etapa final, cuando se comprometen los dispositivos y cuentas de las personas. Conozca más detalles de estas fases de los ataques de vigilancia en el Informe de Amenazas.

Las acciones que tomamos

Como resultado de nuestra investigación de varios meses, tomamos acciones contra siete diferentes entidades de vigilancia por contratación. Estas ofrecían servicios en las tres fases de la cadena de vigilancia que eran usados para apuntar a personas de forma indiscriminada en más de 100 países a nombre de sus clientes. Estos proveedores están basados en China, Israel, India y el norte de Macedonia. Conozca la lista completa de las entidades que eliminamos en el Informe de Amenazas.

Las entidades de vigilancia por contratación que eliminamos y describimos en este reporte infringieron múltiples Normas Comunitarias y Términos del Servicio. Dada la severidad de las infracciones, los hemos vetado de nuestros servicios. Para desactivar estas actividades, bloqueamos infraestructura que estuviera relacionada, prohibimos estas entidades de nuestra plataforma y mandamos alertas de Cese y Desistimiento, para hacerles saber a cada una de ellas que su actividad no tiene lugar en nuestra plataforma. También, compartimos nuestros hallazgos con investigadores de seguridad, otras plataformas y legisladores para que ellos a su vez puedan tomar las acciones apropiadas.

Alertamos a cerca de 50,000 personas que creemos pudieron haber sido blancos de ataques maliciosos alrededor del mundo, usando el sistema de alertas que lanzamos en 2015. Recientemente, lo actualizamos para dar a las personas detalles más granulares acerca de la naturaleza de los ataques que detectamos, en línea con el marco de las fases de la cadena de vigilancia que describimos anteriormente.

Una respuesta más extensa a los abusos de los grupos de vigilancia por contratación

La existencia y proliferación de estos servicios alrededor del mundo levantan un número importante de preguntas. Si bien estos ciber-mercenarios a menudo argumentan que sus servicios y software de vigilancia están destinados a enfocarse solo a criminales y terroristas, nuestra propia investigación, investigadores independientes, nuestros pares en la industria y gobiernos han demostrado que los ataques son, en efecto, indiscriminados e incluyen a periodistas, disidentes, críticos de gobiernos autoritarios, familias de la oposición y defensores de derechos humanos. De hecho, en plataformas como las nuestras, no hay una forma escalable de discernir el propósito o la legitimidad de esta acción. Por esto, nos enfocamos en actuar en contra de este comportamiento, sin importar quién está detrás o quién pueda ser la víctima.

Para apoyar el trabajo de las autoridades, ya contamos con canales autorizados en los cuales las agencias de gobierno pueden presentar requerimientos legales de información, en lugar de recurrir a la industria de vigilancia por contratación. Estos canales están diseñados para salvaguardar el debido proceso y reportamos la cantidad y origen de estas solicitudes de forma pública para que las personas alrededor del mundo puedan tener toda la información necesaria.

Proteger a las personas contra estas amenazas requiere un esfuerzo colectivo entre plataformas, legisladores y sociedad civil para contrarrestar el mercado subyacente y su estructura de incentivos. Creemos que una discusión pública acerca del uso de la tecnología de vigilancia por contratación es urgente para desalentar el abuso de estas capacidades tanto entre quienes las venden como entre quienes las compran, con base en los siguientes principios:

Más transparencia y supervisión: Existe la necesidad de una supervisión internacional robusta que establezca los estándares de transparencia de «conozca a su cliente» para este mercado y regule a las entidades de vigilancia por contratación bajo estas normas.
Colaboración de la industria: Los esfuerzos de vigilancia se manifiestan de manera diferente en varias plataformas tecnológicas, lo que hace que la colaboración de la industria sea fundamental si queremos comprenderlos y mitigarlos por completo.
Gobernanza y ética: Agradecemos los esfuerzos nacionales e internacionales para aumentar la responsabilidad de los actores a través de una legislación, controles de exportación y acciones regulatorias. También, fomentamos conversaciones más amplias dirigidas por la sociedad civil y los reguladores sobre el uso ético de estas tecnologías por parte de las fuerzas del orden y empresas privadas, así como la creación de marcos efectivos para la protección de víctimas.

Nos alienta ver a nuestros pares y gobiernos unirse al esfuerzo que comenzamos en 2019 y generar consciencia sobre esta amenaza. Para que nuestra respuesta colectiva contra el abuso sea efectiva, es necesario que las plataformas tecnológicas, la sociedad civil y los gobiernos democráticos aumenten los costos en esta industria global y desincentiven el uso de estos servicios abusivos de vigilancia por contrato. Nuestra esperanza con este informe de amenazas es contribuir a este esfuerzo global y ayudar a visibilizar la forma en la que opera esta industria.

Consulte el Informe de Amenazas completo para más información acerca de nuestros hallazgos y recomendaciones.