Aunque una buena mayoría de los hackers y atacantes cibernéticos en España suelen ser usuarios de a pie con grandes conocimientos, muchos de estos ciberdelincuentes están ligados a gobiernos de todo el mundo. Buscan, sobre todo, realizar tácticas de espionaje a otros países y entidades en busca de información. El año pasado, unos hackers gubernamentales habrían usado software espía de una startup española para espiar a víctimas.
Así lo detalla el Threat's Analysis Group o Grupo de Análisis de Amenazas de Google que se dedica precisamente a realizar investigaciones sobre actos de hackeo perpetrados por atacantes y gobiernos. Aseguran que en el 2023 estos atacantes habrían explotado hasta tres vulnerabilidades desconocidas hasta la fecha presentes en iOS para usar este software espía, proveniente de una compañía ubicada en Barcelona, expone TechCrunch.
En concreto hablamos de Variston IT, una startup española que se habría dedicado a vender herramientas de software para explotar todo tipo de vulnerabilidades. De hecho, esta empresa ya ha estado antes en la mirilla del grupo, ya que a finales de 2022 el mismo Grupo de Amenazas de Google habría vendido herramientas para aprovechar vulnerabilidades en navegadores.
Variston vuelve a ser acusada
Todo comienza con un informe del Grupo de Análisis de Amenazas de Google en el que se analizan una serie de campañas de ataques gubernamentales, realizadas con distintos tipos de herramientas de hackeo. Herramientas que habrían sido desarrollada por compañías presentes en Europa y que tienen como finalidad el espionaje y el uso de vulnerabilidades.
En concreto, los atacantes habrían descubierto gracias al software de Variston hasta tres vulnerabilidades zero-day o vulnerabilidades 'día 0'. Esta denominación especifica que estas brechas acaban de ser descubiertas, por lo que al fabricante o proveedor de software (en este caso, Apple) no le ha dado tiempo a solucionarlas antes de que estas hayan sido explotadas.
Google acusa directamente a Variston, detallando cómo esta compañía habrían sido desarrolladas por esta compañía oriunda de Barcelona. Una firma que, por otro lado, ya ha sido investigada hasta en dos ocasiones adicionales por parte de Google; una en 2022 y otra en 2023. Un cliente desconocido habría recurrido a Variston para espiar iPhones en Indonesia.
El modus operandi era el siguiente: los hackers enviaban un SMS a las víctimas, el cual contenía un enlace a una página web completamente fraudulento. Acceder a este enlace hacía que el teléfono de la víctima quedase infectado con el software espía. La víctima no se daba cuenta ya que tras la infección, el enlace redirigía a la víctima a un portal de noticias local del país.
[Hackers norcoreanos atacan a una empresa aeroespacial española: así la engañaron por LinkedIn]
Si bien no se sabe la identidad de este cliente, Google cree que Variston estaría colaborando de forma estrecha con "otras organizaciones para desarrollar y distribuir software espía". Una de estas, dice la gran G, se llama Protected AE, con sede en los Emiratos Árabes Unidos. Fundada en 2016, está presente en Abu Dhabi, y se vende como una compañía de ciberseguridad.
Protected AE, en palabras de la propia Google, "combina el software espía o spyware que desarrolla con el framework y la infraestructura de Heliconia, en un paquete completo que luego se ofrece a la venta, ya sea a un broker local o a un cliente gubernamental". Estas palabras hacen referencia a Heliconia, software enteramente desarrollado por Variston y que fue usado en 2022.
Google recuerda en su informe que los investigadores afiliados a su grupo tienen en su punto de mira alrededor de 40 fabricantes distintos de spyware, que venden exploits y software de vigilancia a todo tipo de clientes gubernamentales a nivel internacional. Variston es solo una de ellas; otros ejemplos incluyen empresas como Cy4Gate, RCS Lab o Negg, que están presentes en Italia.
Debido a que la mayoría de estos ataques se realizan a ciertos colectivos potencialmente sensibles a acciones gubernamentales como políticos o periodistas, Google está completamente en contra de estos. Prometen acabar con todas estas campañas, y advierten además que las empresas de venta de estas herramientas en Europa están ganando mucha fuerza en los últimos años.
Así lo expone Google. "Los proveedores de vigilancia comercial o CSV están permitiendo la proliferación de herramientas de hacking peligrosas. [...] Los proveedores de spyware señalan el uso legítimo de sus herramientas en la aplicación de la ley en la lucha contra el terrorismo. Sin embargo, el spyware usado contra periodistas, disidentes, defensores de derechos humanos y políticos opositores ha sido bien documentado".
La compañía lamenta que estos ataques sigan perpetrándose, ya que "amenazan la libertad de prensa, la libertad de expresión y la integridad de las elecciones en todo el mundo". Todo ello pese a que el número de usuarios potenciales que estos spyware buscan sea mucho menor en comparación con otros ataques. En estos casos, Google cree que "los efectos posteriores son mucho más amplios".