Home » News » La amenaza del stalkerware

La amenaza del stalkerware

El 15 de agosto, un personaje desagradable logró obtener acceso completo y total a todo en mi celular personal. En pocos minutos, pudo descargar todas mis fotos y vídeos. Logró leer mis mensajes de texto y correos electrónicos, e incluso enviar lo que quisiera mientras fingía ser yo. Rastreó mi ubicación y activó en secreto mi micrófono y mi cámara. Sabía dónde estaba en cada momento y dónde estaría según mi calendario. Obtuvo acceso a mi vida entera.

Por suerte, yo era ese personaje desagradable. Y por suerte, estaba llevando a cabo un experimento para demostrar lo fácil que puede ser usar nuestros propios teléfonos como armas contra nosotros, lo difícil que puede ser detectarlo, incluso para usuarios avanzados, y lo desastroso que puede ser si ocurre. Resulta que es bastante fácil.

En mayo de 2018, los investigadores de seguridad Andrew Blaich y Michael Flossman de la empresa de seguridad Lookout descubrieron una nueva variante de malware que apodaron Stealth Mango (para Android) y Tangelo (para IOS.) Estas herramientas se utilizaron satisfactoriamente contra objetivos militares y gubernamentales en Pakistán, Afganistán, India, Irak, Irán y los Emiratos Árabes Unidos, y se difundieron en gran medida a través de phishing y sitios web comprometidos. La campaña fue capaz de extraer más de 15 GB de datos, como mensajes de texto, contactos, grabaciones secretas y comunicaciones confidenciales entre el ejército y el gobierno. Los datos robados incluso contenían escaneos de pasaportes, tarjetas de identificación, fotos de pizarras y de reuniones y ceremonias en las que aparecían miembros del servicio de los Estados Unidos. En otras palabras, era un tesoro de información.

Durante la investigación de la campaña, los investigadores hacen un descubrimiento notable: el mismo equipo que desarrolló Stealth Mango y Tangelo también hizo una variante comercial y el código era casi exactamente el mismo. Las variantes comerciales de los programas espía móviles suelen denominarse “stalkerware” o “spouseware”, nombre que se debe a su uso habitual.

En el pasado, los ataques móviles sofisticados y las operaciones de inteligencia eran competencia de los actores estatales. Es por eso que el gobierno y el ejército no permiten el uso de teléfonos celulares en ciertas áreas. Pero ahora la amenaza ha crecido exponencialmente y la gran cantidad de posibles vectores de ataque justifican una cuidadosa reconsideración de nuestras políticas, formación y postura defensiva. Hoy en día, la amenaza incluye a cualquier persona con 60 dólares más o menos y que pueda seguir con facilidad las instrucciones básicas. Existen innumerables variantes de este tipo de software disponibles en el mercado, sin mencionar las múltiples versiones caseras. Podemos empezar a hacernos una idea de la magnitud del problema al analizar los datos de un empleado autoidentificado de una de estas empresas, Flexispy.

Flexispy fabrica y vende este tipo de software. También venden una versión de “etiqueta blanca” para que otras empresas la revendan con su propia marca. Según la información que se les brindó a los investigadores de seguridad de placas base Lorenzo Franceschi-Bicchierai y Joseph Cox, al menos 130 000 personas tenían cuentas en el servicio. Entre ellos, un profesor de quinto grado, el presidente de una empresa de distribución, el vicepresidente de un banco y muchos más. Y esa es solo una empresa, hay muchas otras con su propia base de clientes.

Recientemente, fui al sitio web de una de esas empresas. En su sitio web se enumeran dos usos principales de su marca de stalkerware: “mantener a sus hijos seguros” y “controlar el uso del teléfono de la empresa de su empleado”. Insertar comillas aéreas adicionales libremente. Es importante señalar que ambos fines son técnicamente legales, aunque habría ciertas advertencias y disposiciones que el comprador tendría la responsabilidad de obedecer.

Como parte de un experimento, me comuniqué con esta empresa con una historia ficticia. Le dije al representante de ventas que pensaba que mi “novia” me estaba engañando, y quería saber si su producto podría ayudarme a espiarla. Expresé mi preocupación de que ella lo descubriera, y mencioné que es su teléfono bajo su propia cuenta. En otras palabras, estaba preguntando si podía usar su software para cometer un delito grave. El representante me aseguró que funcionaría perfectamente para este fin. Ofrecieron consejos para instalarlo sin que la víctima lo descubriera, e incluso ofrecieron un código de descuento del 10 % para mi primer mes.

Después de comprar una licencia de un mes (decidí no aprovechar los descuentos ofrecidos por períodos más largos), tardé unos dos minutos en infectar mi teléfono. Después de eso, simplemente tuve que iniciar sesión en mi panel de control en línea en el sitio web de la empresa para acceder a todo el contenido de mi teléfono que ahora estaba infectado. Si hubiera querido hacer daño, habría tenido amplios medios para hacerlo.

La historia ficticia es realista, e incluye no solo a una pareja abusiva sino también a ladrones, hackers o cualquier otra persona que se beneficiaría de este nivel de acceso sin precedentes al tratar de lograr sus objetivos, los nuestros. Es un método económico y de bajo riesgo para recopilar información de inteligencia que puede iniciarse desde cualquier lugar del mundo, según las capacidades técnicas del atacante.

Como se comentó anteriormente, ya restringimos los teléfonos celulares en áreas específicas. Esto es algo bueno, que no debería cambiar. Pero, ¿qué podría hacer su adversario si lograra infectar uno o más de los teléfonos celulares personales o prestados de su empleado?

Todos sabemos que se supone que no debemos hablar de temas relacionados con el trabajo mientras estamos fuera de la oficina en el almuerzo, pero nos sentimos un poco más seguros cuando estamos a solas con nuestros compañeros de trabajo de confianza que están trabajando en el mismo proyecto. No le diríamos a nuestro adversario sobre los problemas y las vulnerabilidades de la red, pero podríamos hacer una búsqueda rápida en Internet en nuestro teléfono mientras intentamos arreglar un problema de configuración del enrutador. Y nos esforzamos para proteger la información sobre las llegadas de los clientes, a pesar de que un teléfono en peligro puede decir mucho más de lo que puede decir un itinerario. Eso sin mencionar el posible chantaje para los empleados bien posicionados según su uso de la aplicación (por ejemplo, un empleado casado que utiliza una aplicación de citas/encuentros), el historial de ubicación, los recibos de correo electrónico y más. La próxima vez que piense en la información que desea proteger, piense en todos los elementos que podrían estar en peligro junto con los teléfonos de sus empleados.

Como siempre, el riesgo del mundo real debe fundamentar la directiva. Pero cuando hablamos de dispositivos personales y de horas no laborales, la directiva no puede abordar adecuadamente muchas cosas. Necesitamos proporcionar a nuestros usuarios los recursos y la información que necesitan para protegerse en esas condiciones. Por ejemplo, estos son algunos conceptos importantes que pueden transmitirse a sus empleados para ayudar a protegerlos a ellos y a su información importante:

– Las aplicaciones antivirus gratuitas son capaces de detectar muchas variantes del stalkerware, pero muchas veces no se instalan de forma predeterminada. La instalación de una aplicación de antivirus de terceros por parte de una empresa de renombre ayudará a evitar la infección en primer lugar

– Analice periódicamente la lista de aplicaciones instaladas para buscar cualquier cosa que no haya instalado o que no reconozca. Muchas aplicaciones de stalkerware no muestran un icono, así que esto solo puede no ser suficiente

– Si utiliza un dispositivo Android, revise la configuración de los “administradores de dispositivos”. Cualquiera de las aplicaciones enumeradas aquí tiene un control más o menos completo de su dispositivo. Por ejemplo, el programa que probé requería estos privilegios para funcionar. Además, desactive la opción “instalar desde fuentes desconocidas” para ayudar a evitar la instalación subrepticia de aplicaciones

– El método menos difícil de instalar el stalkerware es el acceso físico al dispositivo. Esto permite al atacante asegurarse de que está funcionando correctamente y de que sus huellas están completamente eliminadas. Asegúrese de que su dispositivo esté bloqueado y utilice una contraseña, un PIN o alguna otra característica de seguridad. Otros métodos de instalación vistos en estado salvaje incluyen ataques de phishing o de atraer a los usuarios a un sitio web comprometido, lo que se conoce como un ataque de “abrevadero”. Asegúrese de que estos métodos se aborden en su programa de capacitación y concienciación

– Algunos usuarios eligen realizar el rooteo o el jailbreak en su teléfono para aumentar la funcionalidad o desbloquear ciertas características. Sin embargo, esto también aumenta las opciones disponibles para el atacante. Por ejemplo, algunos ataques contra dispositivos iOS simplemente no funcionarán a menos que el dispositivo haya pasado por el proceso de jailbreak. Si sus usuarios han realizado el proceso de jailbreak en sus dispositivos o los han rooteado, asegúrese de que conocen los riesgos

Esto fue tan solo una visión general muy amplia en la que se analizó el alcance del problema y las medidas básicas de reparación. No tenemos más remedio que enfrentarnos a esta amenaza emergente antes de que sea demasiado tarde. Al igual que nuestros adversarios, tenemos que adaptarnos a un nuevo entorno cada vez más conectado donde las líneas de batalla son borrosas en el mejor de los casos y los usuarios comunes están en la primera línea de un nuevo tipo de guerra.

Leave a Reply

Your email address will not be published.