Enrique Pérez
Editor especializado en tecnología de consumo y sociedad de la información. Estudié física, pero desde hace más de diez años me dedico a escribir sobre tecnología, imagen y sonido, economía digital, legislación y protección de datos. Interesado en aquellos proyectos que buscan mejorar la sociedad y democratizar el acceso a la tecnología.LinkedIn
Gavin de Becker, experimentado consultor personal de seguridad de Bezos y encargado de las investigaciones,decía hace un añoque no creía que el móvil de Jeff Bezos hubiera sido hackeado. Pero el hombre más rico del mundo y CEO de Amazon sí fueextorsionadocon publicar fotos privadas y mensajes intercambiados con su amante. ¿Cómo logró entonces el medio National Enquirer acceder a esta información? Y más importante, ¿quién está detrás del supuesto hackeo a Jeff Bezos?
Esto es lo que conocemos sobre el asunto. Un complejo entramado en el que intervienen el príncipe heredero saudí Mohammad Bin Salman, Jeff Bezos y sus infidelidades, el periodismo del Washington Post sobre el asesinato de Jamal Khashoggi y una investigación técnica de FTI Consulting que apunta aun inocente vídeo de WhatsApp como origen del teórico hackeo al móvil del magnate.
Qué ha descubierto el análisis forense del iPhone de Bezos
La firma de seguridad FTI Consulting haanalizado a fondo el iPhone X de Jeff Bezos. En elinforme, revelado porMotherboard, se apunta a que no hay indicios de malware en el teléfono, aunque sí han encontrado una actividad sospechosa a partir de un vídeo que desde la cuenta de WhatsApp del príncipe saudí se envió a Jeff Bezos.
Todo se remonta, según FTI Consulting, al 4 de abril de 2018. Ese día, Jeff Bezos coincidió con el príncipe saudí MBS en una cena en Los Ángeles. Allí se intercambiaron los teléfonos y en los días subsiguientes se enviaron varios mensajes por WhatsApp saludándose. Unas semanas más tarde, desde la cuenta de MBS se envió un inocente vídeo con la bandera de Suecia y Arabia Saudí. Unvídeo encriptado con un peso de 4.22 MB que fue enviado sin previo aviso ni explicación.
Al estar encriptado, la firma de seguridad indica que es virtualmente imposible conocer si ese vídeo contenía algún código malicioso. Como apuntaAlex Stamos, profesor en la Universidad de Stanford, este es un “comportamiento esperado de WhatsApp” y si la firma FTI no tiene la capacidad de análisis suficiente, quizás “deberían preguntar a Facebook o Apple para descifrar el archivo y ayudar a la investigación”.
No se especifica si Jeff Bezos llegó a abrir el supuesto vídeo. Tampoco se conoce quién fue el autor de ese mensaje, pues pese a que la cuenta fuera del príncipe saudí podría haber sido enviado por otra persona.
El análisis concluye que el archivo encriptado de WhatsApp ocupaba ligeramente más que el vídeo en sí mismo y más importante, según la firma,el envío de datos transmitidos por el móvil de Bezos se incrementó a partir de entonces en aproximadamente un 29.000%.
430 KB de datos era la cantidad enviada diariamente desde el móvil de Bezos. Pero después de recibir el archivo aumentó hasta los 126MB y mantuvo una media de 101MB al día durante los meses posteriores, con picos de hasta 4,6GB. Una cantidad inusualmente superior a la media habitual en los usuarios de iPhone.
Por qué se relaciona el hackeo con Arabia Saudí y el software espía de la NSO
El análisis forense del móvil personal de Bezos se inició el pasado 24 de febrero de 2019 y ha sido dirigido por Anthony J. Ferrante, quien previamente sirvió en la División de Ciberdelincuencia del FBI. Su conclusión es que “el móvil de Bezos fue comprometido, previsiblemente a través de herramientas proporcionadas por Saud al Qahtani, presidente de la Federación Saudí de Ciberseguridad y amigo íntimo del príncipe heredero saudí Mohamed bin Salman (MBS)”.
Según apunta FTI Consulting, Al Qahtani adquirió el 20% de la compañía Hacking Team, desarrolladora de programas para espiar a otras naciones. Y entre sus trabajos,en 2015 se filtró en Wikileaksquepreguntaron cómo infectar dispositivos a través del envío de vídeos de WhatsApp. Esta relación y filtración es lo que ha llevado a la firma de seguridad a pensar que probablemente ese vídeo sea el origen del hackeo.
Para la firma de seguridad, la probabilidad de que la cuenta del príncipe saudí haya sido utilizada para realizar el ciberataque es “de media a alta”. Y es que más allá del incremento de los datos transmitidos, la investigación descubrió que al menos en dos ocasiones se enviaron textos a Bezos desde la cuenta de MBS que podían revelar unconocimiento de información privada que no se conocía públicamente en ese momento.
Un mes después del asesinato del periodista Jamal Khashoggi, Bezos recibió otro mensaje desde la cuenta de MBS. En esta ocasión era la de una mujer, con un mensaje de “Discutir con una mujer es como leer un acuerdo de licencia de software. Al final tienes que ignorarlo todo y clicar ‘de acuerdo”. Se trata de un mensaje bastante sospechoso, pues enesa época Jeff Bezos se encontraba inmerso en su proceso de divorcioy la imagen recuerda a Lauren Sanchez, amante con la que mantenía una relación pero que no se había hecho público por entonces.
Estas evidencias han llevado aexpertos de las Naciones Unidadesa considerar que la Monarquía Saudí está implicada en la vigilancia a Jeff Bezos. Según Agnes Callamard, relator especial de la ONU en ejecuciones sumarias y extrajudiciales y David Kaye, relator de la ONU en libertad de expresión:
“Esta vigilancia informada del Sr. Bezos, supuestamente a través de un software desarrollado y comercializado por una empresa privada y transferido a un gobierno sin control judicial de su uso, es, de ser cierto, un ejemplo concreto de los daños que resultan de la comercialización y venta sin restricciones. y el uso de software espía”.
La investigación ha llevado a la ONU avarias conclusiones. En primer lugar que no se ha detectado malware ni se han encontrado evidencias de dominios relacionados con tráfico malicioso.Tampoco se han encontrado evidencias de jail-breaking ni otros exploits de iOS conocidos. Sí se hace hincapié en el envío de datos de manera anómala. Finalmente, el informe de la ONU basado en las investigaciones de la firma de seguridad FTI, indica que la “explicación más lógica es el uso de spyware como Pegasus de la NSO o, menos posible, Galileo de Hacking Team, que puede mirar legítimamente aplicaciones y ofuscar su actividad”.
Afinales de octubre de 2019, WhatsApp denunció a NSO Group por usar su aplicación para espionaje. Según la empresa de Zuckerberg, hasta 1.400 personas podrían haberse visto afectadas por su spyware en más de 20 países. “WhatsApp continuará haciendo todo lo posible dentro de nuestro código, y dentro de los tribunales de justicia, para ayudar a proteger la privacidad y la seguridad de nuestros usuarios en todas partes”, dijo el jefe de WhatsApp, Will Cathcart en ese momento.
Y es que la firma israelíNSO Group es uno de los vendedores actuales más conocidos de software espíay acostumbra a estar relacionada con los problemas de seguridad más sonados. El teléfono de Bezos habría sido, según apunta la investigación, hackeado usando el spyware Pegasus, un poderoso malware privado ofrecido sin supervisión judicial.
En declaraciones aVice, la firma israelí NSO ha explicado que está “conmocionado y horrorizado por esta historia” y estará “feliz de colaborar con la ONU, el Sr. Bezos o cualquier otro organismo para comprender totalmente estos temas”, pero también ha negado cualquier participación en este supuesto hackeo y amenazó con acciones legales contra “cualquier sugerencia” de que estaba involucrado. AunqueNSO es conocida por sus polémicas declaraciones.
Qué sabemos de Pegasus y qué otros spyware se han barajado
“La intrusión se llevó a cabo probablemente a través de un conocido producto de spyware identificado en otros casos saudíes de vigilancia, como spywarePegasus-3 de NSO Group, un producto que ha sido comprado y utilizado por las autoridades saudíes”, apunta elcomunicado de las Naciones Unidas. “Esto sería coherente con otras informaciones. Por ejemplo, el uso de WhatsApp como plataforma para permitir la instalación de Pegasus en los dispositivos está bien documentado y es objeto de una demanda de Facebook/WhatsApp contra NSO Group”.
El origen de Pegasus se remonta a agosto de 2016. O al menos esa esla fecha en la que escuchamos hablar de este spyware por primera veza través de un activista de los Emiratos Árabes Unidos, Ahmed Mansoor. Los investigadores de Lookout y Citizen Lab descubrieron una “amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple”.
Tres vulnerabilidades (CVE-2016-4655, CVE-2016-4656 y CVE-2016-4657) quefueron parcheadas en iOS 9.3.5. Es decir, en el caso del iPhone X de Bezos no habría sido posible aplicar el spyware Pegasus tal y como lo conocemos hasta ahora. Salvo que la firma israelí haya descubierto otras vulnerabilidades zero-day que no hayan sido reveladas.
Algo que como apunta Román Ramírez, fundador de RootedCON, evento de referencia en España sobre seguridad, es de lo más habitual pues"su tipo de negocio depende de que tengan 0days propios, investigados por ellos mismos y que nadie más conoce". Una vulnerabilidades por las quese llegan a pagar millones de dólares.
Pegasus es un software espía muy potente. Permiteleer en tiempo real qué está escribiendo su usuario, conectar el micrófono y oír las conversaciones, rastrear la ubicación o leer los archivos. Básicamente accede a todos los permisos del teléfono y permite obtener la misma información que tendría su dueño.Según la propia NSO, la firma sería capaz además de acceder a la nube de las grandes empresas tecnológicas: Apple, Amazon, Microsoft y Google.
El software de NSO Group ha sido utilizado por diversos países. EnMéxico, el ex-presidente Enrique Peña Nieto espió a periodistas y activistas con pegasus, mientras queen Uganda y Mozambiquetambién se utilizó Pegasus para espiar a la oposición.
Además de Pegasus, la segunda opción nombrada por la investigación apunta (con menos probabilidad) hacia Hacking Team. El equipo italiano que ya vendió spyware a varios países y donde Saud Al-Qahtani, asesor de ciberseguridad del príncipe saudí, mantiene una importante participación.
Las Naciones Unidas quieren aclarar lo ocurrido
El análisis forense del iPhone de Bezos se ha realizado para intentar conocer todos los detalles de esta trama. Y es quelas Naciones Unidas creen que Arabia Saudí está implicada en la extorsión a Jeff Bezospor la implicación de su periódico en el asesinato de Khashoggi.
Según los relatores de la ONU, el supuesto hackeo a Bezos ocurrió en un periodo similar a cuando los móviles deYahya Assiri y Omar Abdulaziz, dos personas cercanas a Khashoggi, también fueron hackeados supuestamente mediante Pegasus.
La embajada de Arabia Saudí en los EE.UU ha mostrado su indignación en las redes sociales por los informes que les relacionan con el hackeo a Jeff Bezos y considera esta información “absurda”.
Recent media reports that suggest the Kingdom is behind a hacking of Mr. Jeff Bezos’ phone are absurd. We call for an investigation on these claims so that we can have all the facts out.
La respuesta por parte de Jeff Bezos tampoco se ha hecho esperar. El CEO de Amazon estuvo presente en el recuerdo a Khashoggi y simplemente ha publicado un tuit con una foto suya y el hashtag de #Jamal. Desde los EE.UU, el senador Ron Wyden ha solicitado a través deThe Guardian a Bezosqueofrezca todos los detalles posibles para prevenir ataques similares.
#Jamalpic.twitter.com/8ej1rUBXVb
Resolver el supuesto hackeo a Jeff Bezos es importante, pues no solo descubriríamos la implicación de Arabia Saudí en el asesinato de Khashoggi y sus intentos de silenciar la investigación, sino que arrojaríamos algo más de luz sobre el papel de NSO Group y el uso de las vulnerabilidades. Una batalla por la ciberseguridad que ataca a personalidades como Jeff Bezos, pero afecta a la seguridad de nuestros sistemas.
Imagen |Thierry Ehrmann
