Los métodos de espionaje de la NSA revelados por Snowden parecen lejanos a las tierras españolas, pero el gobierno de España también cuenta con las herramientas para espiar a sus ciudadanos.

Las nuevas tecnologías han cambiado por completo la forma en la que nos comunicamos, algo que no ha pasado desapercibido para los gobiernos y las fuerzas de seguridad del estado. Antes podían pinchar un teléfono para enterarse de todas sus comunicaciones, ahora la mensajería instantánea y la presencia de Internet ha hecho la misión de conocer nuestras comunicaciones mucho más difícil, para bien o para mal. Y por si esto no era suficiente, aplicaciones como WhatsApp o Telegram ya cifran nuestros mensajes por defecto, para que nadie entre medias pueda leerlos.

Esto hace que el punto más desprotegido ante un ataque sean sus propios dispositivos: al hacerse con el control de un ordenador o un móvil y “pincharlo” da igual lo segura que sea la comunicación, está comprometida desde un principio. Y el gobierno español tiene las herramientas para hacerlo, algo que ya sabemos gracias a las filtraciones de Hacking Team y que recordamos al encontrarnos con FinFisher.

¿Qué es FinFisher?

finfisher-6

FinFisher es un software de vigilancia informática, un spyware, hecho para entrar en el dispositivo del usuario sin levantar las sospechas del usuario. Una vez dentro el software es capaz de seguir todos los movimientos del usuario con el dispositivo, desde las conversaciones que mantiene hasta su navegación por la red. Cuenta tanto con versiones para ordenadores, como versiones hechas para introducirse en dispositivos móviles, y conocemos su existencia gracias a filtraciones de Wikileaks y el Citizen Lab de la Universidad de Toronto.

FinFisher es creación de una empresa llamada Gamma Group, que opera en Reino Unido y Alemania a través de dos empresas filiales. Además de filiales en esos dos países, la compañía estaría controlada por William Louthean Nelson a través de una empresa fantasma de las Islas Vírgenes Británicas. Gamma Group se presenta como una compañía especializada en vigilancia, y ha sido señalada por Reporteros sin Fronteras como una de las cinco compañías más peligrosas de Internet.

¿Cómo funciona?

finfisher-1

El método de infección de FinFisher es variado: desde actualizaciones falsas hasta emails con archivos adjuntos infectados, aprovechando también fallos de seguridad en programas populares o creando páginas web maliciosas. Sabemos a ciencia cierta que han entrado en sistemas gracias a fallos de seguridad en iTunes y con archivos de Word infectados. Una vez llega al dispositivo se instala, sin levantar las sospechas del usuario afectado, llegando a modificar el registro de arranque principal del disco duro.

Una vez está dentro del ordenador, y según los vídeos publicitarios que sus creadores muestran a los interesados, adquiere el control completo del dispositivo: desde ver qué tiene el objetivo en pantalla hasta rastrear sus pulsaciones en el teclado. El código ha revelado que el malware recopila contraseñas, audio de llamadas de Skype, listas de contactos, capturas de pantalla, pulsaciones de teclado y más. Además, estudios exhaustivos del programa filtrado han revelado que cuenta con código específico para saltarse la detección de antivirus.

¿Cómo sabemos que ha estado funcionando en España?

finfisher-2

El Citizen Lab de la Universidad de Toronto descubrió que el malware no se comunica directamente con el usuario que hace la vigilancia, sino que pasa por diferentes proxies para enmascarar la señal. Sin embargo, y debido al funcionamiento del programa, podemos ver cómo, al averiguar nuestra IP pública, obtenemos la IP del servidor maestro de FinFisher.

Estas IP asignadas a servidores maestros se sitúan en los lugares donde los compradores de FinFisher realizan sus actividades, y sabiendo que la venta de este software está restringida -en teoría- al mercado gubernamental, podemos averiguar que un país está usando software basado en FinFisher al detectar un servidor funcionando en su territorio nacional. Y, desde diciembre de 2014 hasta febrero de 2015, se ha encontrado un servidor maestro en España, en un bloque de IPs perteneciente a Telefónica.

¿Qué otros países han usado FinFisher?

finfisher-3

Además de un servidor español, Citizen Lab le ha seguido la pista a los servidores maestros de FinFisher, y han detectado una buena cantidad de servidores alrededor del mundo. En algunas ocasiones incluso ha sido capaz de situar a la agencia usuaria de FinFisher, a pesar de que oculte su tráfico a través de proxies de todo el mundo:

• Angola | Desconocido
• Arabia Saudí | Desconocido
• Bangladesh | DGFI
• Bélgica | Policía Federal
• Bosnia y Herzegovina | Desconocido
• Egipto | TRD
• Eslovenia | Desconocido
• España | Desconocido
• Etiopía | Desconocido
• Gabón | Desconocido
• Indonesia | ‘Cuerpo nacional de cifrado’ y entidades desconocidas
• Italia | Múltiples entidades desconocidas
• Jordania | Desconocido
• Kazakhstan | Desconocido
• Kenia | Servicio Nacional de Inteligencia
• Líbano | Múltiples entidades
• Macedonia | Desconocido
• Malasia | Desconocido
• México | Desconocido
• Nigeria | Múltiples entidades desconocidas
• Omán | Desconocido
• Paraguay | Desconocido
• República Checa | Desconocido
• Rumanía | Desconocido
• Serbia | BIA
• Sudáfrica | Desconocido
• Taiwán | Desconocido
• Turkmenistán | Desconocido
• Venezuela | Desconocido

¿Se conocen casos donde FinFisher ha actuado?

lock-hacked-security

En principio conocemos varios casos en los que se ha utilizado FinFisher de una manera u otra:

• Después de que los manifestantes egipcios asaltaran en 2011 la sede del ‘Servicio Estatal de Investigación’, descubrieron cartas de Gamma International confirmando que habían estado usando una versión de prueba durante 5 meses.

• El Citizen Lab, mencionado anteriormente, descubrió FinFisher en correos recibidos por activistas de Bahréin. En 2014 ‘Bahrain Watch’ afirmó que el gobierno de ese país ha estado espiando a abogados, políticos, activistas y periodistas.

• Documentos del Ministerio del Interior alemán destinados al comité de finanzas del Parlamento revelaron que la Agencia de Vigilancia Federal licenció FinFisher en 2012, a pesar de que su legalidad en Alemania está cuestionada.

• En 2014 un ciudadano etíope residente en EEUU denunció al gobierno de Etiopía por usar FinFisher para grabar la actividad de los usuarios de su ordenador. Los rastros en el ordenador mostraron cómo FinFisher había grabado decenas de llamadas de Skype, para después enviarlas a un servidor en Etiopía bajo control gubernamental.

• Mozilla, la responsable de Firefox, ha enviado en 2013 un ‘cese y desista’ a Gamma Group para dejar de utilizar la marca de Firefox; uno de los métodos de entrada de FinFisher es hacerse pasar por una versión legítima del navegador.

La NSA no es la única que quiere datos

teclado-ordenador-informatica

Aquí no nos estamos metiendo con los usos legítimos que pueda tener una herramienta como esta: para un servicio de inteligencia estas herramientas pueden suponer la diferencia entre detener una tragedia y no enterarse siquiera de que ocurrirá. El problema viene cuando estas herramientas son secretas e incluso sus usuarios están cubiertos por un tupido velo. ¿Quién se asegura de que un gobierno no abuse de estos medios para espiar a sus ciudadanos de forma arbitraria o para seguir en el poder, quién está vigilando a los vigilantes?

Todo esto cuando hablamos de países europeos donde suponemos que existen garantías democráticas; países como Etiopía y Bahréin ya han sido acusadas de usar FinFisher para cumplir sus intereses y permanecer en el poder, y en la lista de servidores maestros nos encontramos países dictatoriales como Arabia Saudí o Malasia. ¿Cómo están usando estas herramientas estos países donde se ejerce una censura estricta, donde un opositor del gobierno puede perder la vida por ello?

Casos como el registro masivos de metadatos de la NSA que Edward Snowden desveló al mundo parecen lejanos a nosotros, pero como él mismo afirmó en una entrevista concedida a El Objetivo, gobiernos como el español no están exentos de practicar estas vigilancias.