Incidentes Asociados
Los gobiernos de Australia, Canadá, Chipre, Dinamarca, Israel y Singapur son probables clientes del fabricante israelí de software espía Paragon Solutions, según un nuevo informe técnico elaborado por un reconocido laboratorio de seguridad digital.
El miércoles, The Citizen Lab, un grupo de académicos e investigadores de seguridad de la Universidad de Toronto que ha investigado la industria del software espía durante más de una década, publicó un informe sobre la startup de vigilancia israelí, que identifica a los seis gobiernos como "sospechosos de implementar Paragon". A finales de enero, WhatsApp notificó a unos 90 usuarios que la empresa creía que habían sido atacados con el software espía Paragon, lo que provocó un escándalo en Italia, donde algunos Objetivos en vivo. Paragon ha intentado durante mucho tiempo diferenciarse de sus competidores, como NSO Group, cuyo software espía ha sido abusado en varios países, afirmando ser un país más Proveedor responsable de software espía. En 2021, un alto ejecutivo de Paragon, cuyo nombre no se reveló, declaró a Forbes que los regímenes autoritarios o no democráticos jamás serían sus clientes. En respuesta al escándalo provocado por las notificaciones de WhatsApp en enero, y en lo que quizás fuera un intento de reforzar sus afirmaciones de ser un proveedor responsable de software espía, el presidente ejecutivo de Paragon, John Fleming, declaró a TechCrunch que la compañía "licencia su tecnología a un grupo selecto de democracias globales, principalmente a Estados Unidos y sus aliados".
A finales de 2024, medios israelíes informaron que la firma estadounidense de capital riesgo AE Industrial Partners había adquirido Paragon por al menos 500 millones de dólares por adelantado.
En el informe publicado el miércoles, Citizen Lab afirmó haber mapeado la infraestructura de servidores utilizada por Paragon para su herramienta de spyware, cuyo nombre en clave fue Graphite, gracias a la información de un colaborador.
A partir de esa información, y tras desarrollar varias huellas digitales capaces de identificar los servidores Paragon y los certificados digitales asociados, los investigadores de Citizen Lab encontraron varias direcciones IP alojadas en compañías de telecomunicaciones locales. Citizen Lab afirmó creer que se trata de servidores pertenecientes a clientes de Paragon, en parte basándose en las iniciales de los certificados, que parecen coincidir con los nombres de los países donde se ubican.
Según Citizen Lab, una de las huellas digitales desarrolladas por sus investigadores condujo a un certificado digital registrado a nombre de Graphite, en lo que parece ser un error operativo significativo del fabricante de spyware.
“Existen sólidas pruebas circunstanciales que respaldan un vínculo entre Paragon y la infraestructura que mapeamos”, escribió Citizen Lab en el informe.
“La infraestructura que encontramos está vinculada a páginas web tituladas ‘Paragon’, devueltas por direcciones IP en Israel (donde Paragon tiene su sede), así como a un certificado TLS que contiene el nombre de la organización ‘Graphite’”, según el informe.
Citizen Lab señaló que sus investigadores identificaron varios otros nombres en clave, lo que indica otros posibles clientes gubernamentales de Paragon. Entre los países sospechosos, Citizen Lab destacó a la Policía Provincial de Ontario (OPP) de Canadá, que parece ser cliente de Paragon, dado que una de las direcciones IP del supuesto cliente canadiense está vinculada directamente a la OPP.
TechCrunch contactó a portavoces de los siguientes gobiernos: Australia, Canadá, Chipre, Dinamarca, Israel y Singapur. Ninguno de los representantes respondió a nuestras solicitudes de comentarios.
Jeffrey Del Guidice, portavoz de la OPP, no negó los hallazgos de Citizen Lab. En cambio, afirmó que “divulgar información sobre técnicas y tecnologías de investigación específicas podría poner en peligro las investigaciones en curso y amenazar la seguridad pública y de los agentes”.
Al ser contactado por TechCrunch, Fleming, de Paragon, afirmó que Citizen Lab contactó a la empresa y proporcionó "una cantidad muy limitada de información, parte de la cual parece ser inexacta".
Fleming añadió: "Dada la naturaleza limitada de la información proporcionada, no podemos ofrecer comentarios en este momento". Fleming no respondió a la pregunta de TechCrunch sobre la inexactitud del informe de Citizen Lab, ni a las preguntas sobre si los países identificados por Citizen Lab son clientes de Paragon, ni sobre el estado de su relación con sus clientes italianos.
Citizen Lab señaló que todas las personas notificadas por WhatsApp y que posteriormente contactaron con la organización para que analizaran sus teléfonos usaban un teléfono Android. Esto permitió a los investigadores identificar un "artefacto forense" dejado por el software espía de Paragon, al que denominaron "BIGPRETZEL".
El portavoz de Meta, Zade Alsawah, declaró a TechCrunch que la empresa "puede confirmar que creemos que el indicador al que Citizen Lab se refiere como BIGPRETZEL está asociado con Paragon". “Hemos visto de primera mano cómo el spyware comercial puede utilizarse como arma para atacar a periodistas y a la sociedad civil, y estas empresas deben rendir cuentas”, se lee en el comunicado de Meta. “Nuestro equipo de seguridad trabaja constantemente para anticiparse a las amenazas y seguiremos trabajando para proteger la capacidad de las personas para comunicarse de forma privada”.
Dado que los teléfonos Android no siempre conservan ciertos registros del dispositivo, Citizen Lab señaló que es probable que más personas hayan sido atacadas por el spyware Graphite, incluso si no hubiera evidencia del spyware de Paragon en sus teléfonos. Y en el caso de las personas identificadas como víctimas, no está claro si ya habían sido atacadas en ocasiones anteriores.
Citizen Lab también señaló que el spyware Graphite de Paragon ataca y compromete aplicaciones específicas del teléfono, sin necesidad de interacción del objetivo, en lugar de comprometer el sistema operativo en general y los datos del dispositivo. En el caso de Beppe Caccia, una de las víctimas en Italia, quien trabaja para una ONG que ayuda a migrantes, Citizen Lab encontró evidencia de que el spyware infectó otras dos aplicaciones en su dispositivo Android, sin identificarlas.
Citizen Lab señaló que atacar aplicaciones específicas en lugar del sistema operativo del dispositivo puede dificultar que los investigadores forenses encuentren evidencia de un ataque, pero puede brindar a los desarrolladores de aplicaciones mayor visibilidad sobre las operaciones de spyware.
“El spyware de Paragon es más difícil de detectar que el de competidores como Pegasus [de NSO Group], pero, en definitiva, no existe un ataque de spyware perfecto”, declaró Bill Marczak, investigador sénior de Citizen Lab, a TechCrunch. Quizás las pistas estén en lugares distintos a los que estamos acostumbrados, pero con la colaboración y el intercambio de información, incluso los casos más complejos se desentrañan.
Citizen Lab también afirmó haber analizado el iPhone de David Yambio, quien colabora estrechamente con Caccia y otros miembros de su ONG. Yambio recibió una notificación de Apple informando de que su teléfono estaba siendo atacado por software espía mercenario, pero los investigadores no encontraron pruebas de que hubiera sido atacado por el software espía de Paragon.
Apple no respondió a una solicitud de comentarios.