Google realizó una fuerte advertencia sobre el peligro que representa un conjunto de empresas que desarrollan software espía. El Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de la compañía publicó un informe en el que exige a Estados Unidos y sus aliados la implementación de regulaciones más estrictas para estas firmas. Entre ellas, Variston, una startup de tecnología de vigilancia con sede en Barcelona, España.
Muchos gobiernos en el mundo utilizan spyware. La justificación habitual es que se emplea para garantizar la seguridad nacional y luchar contra el terrorismo. Pero los antecedentes demuestran que los políticos de turno suelen aprovecharlos para perseguir a periodistas, defensores de los derechos humanos y líderes opositores, entre otros usuarios en alto riesgo.
Uno de los programas más conocidos es Pegasus, comercializado por NSO Group, una empresa israelí que está en la lista negra de Estados Unidos. Aunque ha sido ampliamente denunciando por reconocidas organizaciones de todo el mundo, como Amnistía Internacional, Pegasus todavía se estaba usando el año pasado en países como México.
Pero Google advierte que otras docenas de compañías más pequeñas está desempeñando actualmente un rol clave en la proliferación de software espía. Estas herramientas ofrecen «capacidades peligrosas utilizadas por los gobiernos contra individuos, lo que amenaza la seguridad del ecosistema de Internet», dice la tecnológica en su reporte.
Los de Mountain View están siguiendo de cerca a casi 40 proveedores de vigilancia comercial (CSV, por sus siglas en inglés). Según su investigación, el sector privado es ahora responsable de gran parte de las herramientas más sofisticadas que existen. «Si los gobiernos alguna vez afirmaron tener el monopolio de las capacidades cibernéticas más avanzadas, esa era ha terminado», asegura el grupo.
Google advierte sobre un ataque contra Apple usando software espía
Los expertos explican que las empresas que desarrollan software espía representan una amenaza importante para los usuarios. El grupo de investigación ha publicado que estas compañías están detrás de la mitad de los exploits de día cero dirigidos a productos de Google y dispositivos Android. Un exploit de día cero —también conocido como «vulnerabilidad de día cero» o «ataque de día cero»— es un método que los hackers utilizan para atacar sistemas informáticos, con una vulnerabilidad que no ha sido revelada públicamente al fabricante del software o sistema operativo.
El TAG detectó 25 exploits de día cero en 2023. Del total, 20 fueron explotados por este tipo de empresas de spyware. No solo apuntaron a usuarios de Google o Android. El reporte reseña un caso en el que hackers gubernamentales aprovecharon tres vulnerabilidades desconocidas en iOS, el sistema operativo del iPhone.
Las herramientas de espionaje usadas fueron desarrolladas por la catalana Variston, una compañía que ya ha sido denunciada por Google en 2022 y 2023. El informe no detalla al gobierno responsable del ataque, pero sí explica que los piratas informáticos apuntaron contra iPhones localizados en Indonesia.
Los hackers enviaron en marzo de 2023 un mensaje de texto SMS que contenía un enlace malicioso. Cuando la víctima hizo clic, el teléfono se infectó con el software espía. Luego, el enlace redirigía a un artículo de noticias del periódico indonesio Pikiran Rakyat.
Variston se fundó en 2018 en Barcelona, por Ralf Wegener y Ramanan Jayaraman. La startup compró luego la empresa italiana de investigación Truel IT, según registros comerciales españoles e italianos revisados por TechCrunch. El año pasado, Google advirtió que Variston estaba proveyendo su tecnología espía en Emiratos Árabes Unidos.
El daño a gran escala para los derechos humanos
El número de usuarios sufren ataques con software espía es pequeño en comparación con otros tipos de amenazas cibernéticas. Sin embargo, Google advierte que los efectos posteriores son mucho más amplios. «Este tipo de ataques selectivos amenaza la libertad de expresión, la prensa libre y la integridad de las elecciones en todo el mundo», dice el grupo de investigación en el informe.
Google recogió el testimonio de algunas víctimas en su reporte. «Nos atestiguaron el miedo que se siente cuando se usan estas herramientas contra ellos, el efecto escalofriante en sus relaciones profesionales y su determinación de continuar con su importante trabajo», detalla el documento.
Amnistía Internacional advierte que la industria del software espía ha crecido de manera peligrosa en los últimos años. La organización sostiene que existe una necesidad urgente de regular el desarrollo, uso, transferencia y venta de tecnologías de spyware. Aboga por un marco legal global que prevenga estos abusos por parte de gobiernos y proteja los derechos humanos en la era digital
Google destaca en su informe las medidas adoptadas el año pasado por el gobierno de los Estados Unidos para limitar el uso gubernamental de software espía. También cita como ejemplo una declaración conjunta de once gobiernos que se comprometieron a realizar esfuerzos similares. Entre ellos, Reino Unido y Francia.
«Esperamos que estos pasos iniciales sean seguidos por acciones más concretas de una comunidad más amplia de naciones para reformar la industria y arrojar más luz sobre los abusos», insiste Google. Y agrega: «Restringir significativamente este mercado requerirá una acción colectiva y un esfuerzo internacional concertado».