Agencia AJN.- Dos empresas israelíes emplearon la misma sofisticada técnica de hackeo -conocida como «zero-click»-, lo que demuestra que los teléfonos son más vulnerables a las potentes herramientas de espionaje digital de lo que la industria admite.

Un fallo en el software de Apple explotado por la empresa de vigilancia israelí NSO Group para entrar en los iPhones fue aprovechado en 2021 simultáneamente por una empresa de la competencia, según cinco personas familiarizadas con el asunto. QuaDream, dijeron las fuentes, es una empresa israelí más pequeña y de menor perfil que también desarrolla herramientas de hackeo de teléfonos inteligentes destinadas a clientes gubernamentales.

Las dos empresas rivales obtuvieron el año pasado la misma capacidad para entrar en los iPhones de forma remota, según las cinco fuentes, lo que significa que ambas empresas podían comprometer los teléfonos de Apple sin que el propietario tuviera que abrir un enlace malicioso. El hecho de que las dos empresas emplearan la misma sofisticada técnica de pirateo -conocida como «zero-click»- demuestra que los teléfonos son más vulnerables a las potentes herramientas de espionaje digital de lo que la industria admite, según un experto.

«La gente quiere creer que está segura, y las compañías telefónicas quieren que se crea que están seguras. Lo que hemos aprendido es que no lo son», dijo Dave Aitel, socio de Cordyceps Systems, una empresa de ciberseguridad.
Los expertos que analizan las intrusiones diseñadas por NSO Group y QuaDream desde el año pasado creen que ambas empresas utilizaron exploits de software muy similares, conocidos como ForcedEntry, para secuestrar iPhones.

Un exploit es un código informático diseñado para aprovechar un conjunto de vulnerabilidades específicas del software, dando a un hacker acceso no autorizado a los datos.

Los analistas creían que los exploits de NSO y QuaDream eran similares porque aprovechaban muchas de las mismas vulnerabilidades ocultas en el interior de la plataforma de mensajería instantánea de Apple y utilizaban un enfoque comparable para plantar software malicioso en los dispositivos objetivo, según tres de las fuentes.

Bill Marczak, un investigador de seguridad del organismo de vigilancia digital Citizen Lab que ha estudiado las herramientas de pirateo de ambas empresas, dijo a Reuters que la capacidad de QuaDream de no hacer clic parecía «a la par» de la de NSO.

Un portavoz de Apple declinó hacer comentarios sobre QuaDream o decir qué medidas, si es que hay alguna, planean tomar con respecto a la empresa.

Apple demandó a NSO Group en noviembre, alegando que la empresa había violado las condiciones de uso y el acuerdo de servicios de Apple. El caso está todavía en sus primeras fases.

En su demanda, Apple dijo que «continuamente y con éxito se defiende de una variedad de intentos de hacking». NSO ha negado haber cometido ningún delito.

Las empresas de software espía llevan mucho tiempo argumentando que venden tecnología de gran potencia para ayudar a los gobiernos a frustrar las amenazas a la seguridad nacional. Pero los grupos de derechos humanos y los periodistas han documentado repetidamente el uso de programas espía para atacar a la sociedad civil, socavar la oposición política e interferir en las elecciones.

Apple notificó a miles de objetivos de ForcedEntry en noviembre, lo que hizo que funcionarios electos, periodistas y trabajadores de derechos humanos de todo el mundo se dieran cuenta de que habían sido puestos bajo vigilancia.

Además de la demanda de Apple, WhatsApp, de Meta, también está litigando por el supuesto abuso de su plataforma. En noviembre, el Departamento de Comercio de EE.UU. incluyó a NSO en una lista negra comercial por motivos de derechos humanos.

A diferencia de NSO, QuaDream ha mantenido un perfil más bajo a pesar de servir a algunos de los mismos clientes gubernamentales. La empresa no tiene un sitio web que promocione su negocio y se ha dicho a los empleados que mantengan cualquier referencia a su empleador fuera de las redes sociales, según una persona familiarizada con la empresa.

QuaDream fue fundada en 2016 por Ilan Dabelstein, un ex funcionario militar israelí, y por dos ex empleados de NSO, Guy Geva y Nimrod Reznik, según los registros corporativos israelíes y dos personas familiarizadas con el negocio.

Al igual que el software espía Pegasus de NSO, el producto estrella de QuaDream -llamado REIGN- podría tomar el control de un teléfono inteligente, recogiendo mensajes instantáneos de servicios como WhatsApp, Telegram y Signal, así como correos electrónicos, fotos, textos y contactos, según dos folletos del producto de 2019 y 2020 que fueron revisados por Reuters.

Las capacidades de la «Colección Premium» de REIGN incluían las «grabaciones de llamadas en tiempo real», la «activación de la cámara – frontal y trasera» y la «activación del micrófono», decía un folleto.

Los precios parecían variar. Un sistema QuaDream, que habría dado a los clientes la capacidad de lanzar 50 robos de smartphones al año, se ofrecía por 2,2 millones de dólares, sin incluir los costes de mantenimiento, según el folleto de 2019. Dos personas familiarizadas con las ventas del software dijeron que el precio de REIGN era normalmente más alto.

A lo largo de los años, QuaDream y NSO Group emplearon algunos de los mismos talentos de ingeniería, según tres personas familiarizadas con el asunto. Dos de esas fuentes dijeron que las empresas no colaboraron en sus hackeos del iPhone, ideando sus propias formas de aprovechar las vulnerabilidades.

Cuatro de las fuentes señalaron que varios de los compradores de QuaDream coinciden con los de NSO, entre ellos Arabia Saudita y México, que han sido acusados de utilizar software de espionaje para atacar a opositores políticos.

Uno de los primeros clientes de QuaDream fue el gobierno de Singapur, dijeron dos de las fuentes, y la documentación revisada muestra que la tecnología de vigilancia de la compañía también fue presentada al gobierno de Indonesia.