El equipo que investiga el hackeo de periodistas con spyware gubernamental

Desde hace más de una década, numerosos periodistas y activistas de derechos humanos han sido blanco de ataques y hackeos por parte de gobiernos en todo el mundo. En países como Ecuador, Grecia, Hungría, India, México, Polonia, Arabia Saudita y Emiratos Árabes Unidos, se han utilizado sofisticados programas espía para comprometer los teléfonos de estas víctimas, quienes en ocasiones también han enfrentado violencia real, intimidaciones y, en casos extremos, incluso asesinatos.

En los últimos años, un equipo de una docena de expertos en seguridad digital, mayormente radicados en Costa Rica, Manila y Túnez, ha desempeñado un papel clave en la lucha por proteger a estas comunidades de alto riesgo. Trabajan para la organización sin fines de lucro Access Now, específicamente en su Digital Security Helpline.

Su misión es ser el equipo al que los periodistas, defensores de derechos humanos y disidentes pueden acudir si sospechan que han sido hackeados, ya sea por spyware de empresas como NSO Group, Intellexa o Paragon.

"La idea es proporcionar este servicio 24/7 a la sociedad civil y a los periodistas para que puedan comunicarse cada vez que tengan un incidente de ciberseguridad", explicó Hassen Selmi, quien lidera el equipo de respuesta a incidentes de la helpline.

Según Bill Marczak, investigador senior del Citizen Lab de la Universidad de Toronto, la helpline de Access Now es un "recurso de primera línea" para periodistas y otros que pueden haber sido atacados o hackeados con spyware.

La helpline se ha convertido en un canal crítico para las víctimas. De hecho, cuando Apple envía notificaciones de amenaza a sus usuarios alertándolos de que han sido blanco de spyware, la compañía ha dirigido a las víctimas a los investigadores de Access Now.

Selmi describió un escenario en el que alguien recibe una de estas notificaciones de amenaza y cómo Access Now puede ayudar a las víctimas. "Tener a alguien que pueda explicarle, decirle qué debe hacer, qué no debe hacer, qué significa esto… Esto es un gran alivio para ellos", comentó Selmi.

La helpline investiga alrededor de 1,000 casos de ataques sospechosos de spyware gubernamental al año. Aproximadamente la mitad de esos casos se convierten en investigaciones reales, y solo alrededor del 5%, es decir, unas 25, resultan en un caso confirmado de infección por spyware, según Mohammed Al-Maskati, director de la helpline.

Cuando Selmi comenzó este trabajo en 2014, Access Now solo investigaba alrededor de 20 casos de ataques sospechosos de spyware al mes. En ese momento, había tres o cuatro personas trabajando en cada zona horaria en Costa Rica, Manila y Túnez, lo que les permitía tener a alguien disponible durante todo el día. Actualmente, el equipo no es mucho más grande, con menos de 15 personas trabajando para la helpline.

El aumento en los casos se debe a varias circunstancias. Por un lado, la helpline es ahora más conocida, lo que atrae a más personas. Además, con el spyware gubernamental volviéndose global y más accesible, hay potencialmente más casos de abuso. Finalmente, el equipo de la helpline ha realizado más actividades de divulgación hacia poblaciones potencialmente afectadas, encontrando casos de abuso que de otro modo no habrían encontrado.

Cuando alguien contacta la helpline, los investigadores primero reconocen la recepción, luego realizan una primera verificación para ver si la persona que se comunicó está dentro del mandato de la organización, es decir, si forma parte de la sociedad civil y no, por ejemplo, un ejecutivo de negocios o un legislador. Luego, los investigadores evalúan el caso en un triage. Si un caso se prioriza, los investigadores hacen preguntas, como por qué la persona cree que fue atacada (si no hubo notificación) y qué dispositivo posee, lo que ayuda a establecer qué tipo de información pueden necesitar recolectar del dispositivo de la víctima.

Después de una verificación inicial y limitada del dispositivo realizada de forma remota a través de Internet, los encargados de la helpline y los investigadores pueden pedir a la víctima que envíe más datos, como una copia de seguridad completa de su dispositivo, para realizar un análisis más exhaustivo en busca de signos de intrusiones.

"Para cada tipo de exploit conocido que se ha utilizado en los últimos cinco años, tenemos un proceso sobre cómo verificar ese exploit", dijo Selmi, refiriéndose a las técnicas de hackeo conocidas.

"Sabemos más o menos qué es normal, qué no lo es", agregó Selmi.

Los encargados de Access Now, que gestionan la comunicación y a menudo hablan el idioma de la víctima, también brindan consejos sobre qué hacer, como si deben conseguir otro dispositivo o tomar otras precauciones.

Cada caso que investiga la organización es único. "Es diferente de persona a persona, de cultura a cultura", comentó Selmi. "Creo que deberíamos investigar más, incorporar a más personas a bordo, no solo a técnicos, para saber cómo tratar con estos tipos de víctimas".

Selmi también mencionó que la helpline ha estado apoyando a equipos de investigación similares en algunas regiones del mundo, compartiendo documentación, conocimientos y herramientas, como parte de una coalición llamada CiviCERT, una red global de organizaciones que pueden ayudar a miembros de la sociedad civil que sospechan haber sido blanco de spyware.

"No importa dónde estén, [las víctimas] tienen personas con quienes hablar y a quienes informar", dijo Selmi. "Tener a estas personas que hablan su idioma y conocen su contexto ha ayudado mucho".