A partir de documentos internos filtrados de la empresa Intellexa, material de
ventas y marketing, así como vídeos de formación, la investigación
«Intelexa Leaks»
ofrece una visión inédita de las operaciones internas de una empresa de
software espía mercenario centrada en explotar vulnerabilidades en
dispositivos móviles, lo que permite ataques de vigilancia dirigidos a
defensores de derechos humanos, periodistas y miembros de la sociedad civil.
«Intelexa Leaks», es una nueva investigación publicada conjuntamente por
Inside Story,
Haaretz
y
WAV Research Collective. Presenta inquietantes revelaciones sobre la empresa de vigilancia Intellexa
y su producto estrella, Predator, un tipo de software espía altamente invasivo
que se ha vinculado a abusos contra los derechos humanos en varios países.
El Grupo Intellexa, parte de la alianza Intellexa, produce el software espía
Predator
y se anuncia como una empresa regulada y con sede en la UE. Fue fundado en
2018 por Tal Dilian, exoficial del ejército israelí, y varios de sus socios, y
está controlado por el holding Thalestris, con sede en Irlanda. La alianza Intellexa reúne al grupo Intellexa con el grupo de empresas Nexa, que operaba
principalmente desde Francia.
Intellexa es una de las empresas más notorias de las llamadas «empresas
mercenarias de software espía»,
una descripción utilizada por investigadores de la sociedad civil e industria
para referirse a las entidades privadas que desarrollan software espía y lo
venden a los gobiernos.
Si bien numerosos informes sobre Intellexa, incluidos los de
Amnistía Internacional, han documentado violaciones de derechos humanos relacionadas con el uso de
sus productos, sus operaciones internas han permanecido en gran medida
desconocidas para los investigadores. Amnistía Internacional ha enviado
previamente preguntas detalladas a Intellexa sobre sus productos, operaciones
y estructura corporativa. Intellexa siempre se ha negado a responder a estas
preguntas. En 2023, la Autoridad Griega de Protección de Datos
multó a Intellexa
por incumplir sus investigaciones sobre la empresa.
Ahora, basándose en documentos internos filtrados de la empresa, material de
ventas y marketing, así como videos de capacitación, la investigación
«Intellexa Leaks» ofrece una visión inédita de las operaciones internas de una
empresa mercenaria de software espía centrada en explotar vulnerabilidades en
dispositivos móviles, lo que permite ataques de vigilancia selectivos contra
defensores de derechos humanos, periodistas y miembros de la sociedad civil.
Entre los hallazgos más sorprendentes se encuentra la evidencia de que, en el
momento de la filtración de los videos de capacitación, Intellexa conservaba
la capacidad de acceder remotamente a los sistemas de los clientes de
Predator, incluso a aquellos ubicados físicamente en las instalaciones de sus
clientes gubernamentales.
Por lo tanto, Intellexa tendría acceso a los datos de las personas objeto de
ataques de vigilancia selectivos por parte de los gobiernos. Los archivos
filtrados, que abarcan gran parte de la historia reciente de la compañía,
incluyen evidencia técnica adicional que confirma forensemente que el software
espía insignia de Intellexa, Predator, se utilizó en casos específicos de
abusos de vigilancia detectados previamente en Grecia y Egipto.
Amnistía Internacional fue el socio técnico en las filtraciones de Intellexa,
apoyando a los medios de comunicación asociados en la verificación y el
análisis de los datos filtrados. El artículo del Laboratorio de Seguridad de
Amnistía Internacional
«To Catch a Predator: Leak exposes the internal operations of Intellexa’s
mercenary spyware – Amnesty International Security Lab»
describe la evidencia analizada y las operaciones de Intellexa.
El software espía Predator representa una amenaza constante para la sociedad
civil en 2025.
La investigación indica que el software espía Predator de Intellexa sigue
utilizándose para vigilar ilegalmente a activistas, periodistas y defensores
de los derechos humanos en todo el mundo, a pesar de la reiterada exposición
pública, las investigaciones criminales y las sanciones económicas impuestas a
la empresa y a sus altos ejecutivos.
Cabe destacar que el material filtrado también valida investigaciones
independientes publicadas por otros investigadores de la sociedad civil y del
sector, como
Citizen Lab,
Recorded Future
and
Google’s Threat Analysis Group, quienes han rastreado la actividad del software espía Predator en los
últimos años.
Además de verificar la autenticidad del material, Amnistía analizó los
materiales filtrados para comprender mejor las capacidades técnicas del
software espía de Intellexa y qué información podría revelars sobre la
naturaleza evolutiva de las amenazas del software espía móvil en general.
Hallazgo clave 1: Vectores de infección de Predator
La filtración proporciona nuevos conocimientos sobre las amplias capacidades,
la arquitectura del sistema y los vectores de infección utilizados en el
producto espía de Intellexa.
Intellexa ha renombrado su producto espía para móviles estrella en múltiples
ocasiones: conocido externamente como Predator, este sistema también se ha
comercializado como Helios, Nova, Green Arrow y Red Arrow. Si bien el producto
parece haber evolucionado con el tiempo, su arquitectura general y su enfoque
en la infección remota de dispositivos móviles se han mantenido inalterados.
A diferencia del spyware de la competencia, Predator de Intellexa se basa casi
exclusivamente en los llamados ataques de «un clic» para infectar un
dispositivo. Estos ataques requieren que se abra un enlace malicioso en el
teléfono objetivo. El enlace malicioso carga un exploit para Chrome (en
Android) o Safari (en iOS) para obtener acceso inicial al dispositivo y
descargar la carga útil completa del spyware.
El material de marketing de la compañía muestra la gran cantidad de datos
disponibles una vez instalado el spyware, incluyendo la capacidad de acceder a
aplicaciones de mensajería instantánea cifradas como Signal y WhatsApp,
grabaciones de audio, correos electrónicos, ubicaciones del dispositivo,
capturas de pantalla y fotos de la cámara, contraseñas almacenadas, contactos
y registros de llamadas, y también para activar el micrófono del dispositivo.
Tras instalarse correctamente en el dispositivo objetivo, el spyware se
comunica con un servidor backend de Predator, ubicado físicamente en el país
del cliente, y carga allí los datos de vigilancia. Para ocultar la identidad
del operador del spyware, todos los datos se transmiten primero a través de
una cadena de servidores de anonimización, denominada «Red de Anonimización
CNC».
La dependencia de exploits del navegador implica que el operador del
spyware debe engañar a la víctima o, de lo contrario, obligarla a abrir el
enlace malicioso. Si no se abre el enlace, la infección no se llevará a
cabo.
Cada vez que se envía un enlace de ataque de un solo clic a un objetivo,
también se crea un riesgo de exposición para el operador. Un objetivo
sospechoso podría compartir el enlace de ataque con expertos forenses
digitales, lo que podría revelar el intento de ataque y al operador.
Vectores de infección «tácticos» y «estratégicos»
Para superar esta limitación, Intellexa ha diseñado varios «vectores de
entrega», que son diferentes enfoques para activar la apertura de un enlace de
infección en el teléfono del objetivo, sin necesidad de que este haga clic
manualmente en el enlace. Esto permite a Intellexa ofrecer una funcionalidad
similar a la de un ataque sin clic, sin necesidad de exploits adicionales.
Tritón, Thor y Oberón son los llamados vectores «tácticos». El término
«táctico» se utiliza en la industria de la ciberinteligencia para describir
ataques que requieren proximidad física al objetivo, ya sea acceso físico o
estar dentro del alcance de una red wifi o de radio.
El Laboratorio identificó previamente Triton como un exploit de banda base de
Samsung. Este exploit ataca el software y hardware de bajo nivel del teléfono,
responsable de la comunicación por radio con la red móvil. La filtración
confirma que el exploit se dirigió a dispositivos Samsung Exynos, aunque no
está claro si el vector de ataque ha estado activo en los últimos años. Por el
momento, aún no se ha identificado Thor ni Oberon, pero es probable que sean
similares a otros ataques locales, ya sea dirigidos a comunicaciones por radio
telefónicas o que quizás dependan del acceso físico a un dispositivo.
Los vectores «Estratégicos» se distribuyen de forma remota a través de
internet o la red móvil, e incluyen «Mars», «Jupiter» y «Aladdin». Los
vectores «Mars» y «Jupiter» son sistemas de inyección de red que requieren la
cooperación entre el cliente de Predator y el operador móvil o el proveedor de
servicios de internet (ISP) del objetivo. «Jupiter» parece ser una extensión
de «Mars», que permite la inyección de red exitosa en sitios web HTTPS
nacionales, para los cuales el cliente cuenta con certificados TLS válidos.
Básicamente, estos sistemas permiten al atacante inyectar silenciosamente
un enlace de infección Predator en el navegador del objetivo mientras navega
por internet.
Descrito como una «solución de vigilancia», los atacantes pueden activar la
infección y simplemente esperar a que el objetivo abra un sitio web HTTP sin
cifrar o navegue a un sitio web HTTPS doméstico, interceptado con Jupiter.
Sin embargo, este tipo de ataques de inyección de red se ha vuelto cada vez
más difícil de ejecutar con la transición a la navegación web exclusivamente
HTTPS.
«Aladdin»: Infección silenciosa de Predator mediante la explotación del
ecosistema de publicidad móvil
Intellexa ha desarrollado un nuevo vector de infección estratégico, «Aladdin»,
que podría permitir la infección silenciosa sin necesidad de hacer clic en
dispositivos objetivo en cualquier parte del mundo. El vector, expuesto
inicialmente por
Haaretz e Inside Story, explota el ecosistema de publicidad móvil comercial para llevar a cabo
infecciones.
Si bien su implementación es técnicamente compleja, el ataque en sí es
conceptualmente simple. El sistema Aladdin infecta el teléfono del objetivo
forzando la visualización de un anuncio malicioso creado por el atacante. Este
anuncio malicioso podría publicarse en cualquier sitio web que muestre
anuncios, como un sitio web de noticias confiable o una aplicación móvil, y se
vería como cualquier otro anuncio que el objetivo probablemente vea.
Materiales internos de la compañía explican que simplemente ver el anuncio es
suficiente para activar la infección en el dispositivo del objetivo, sin
necesidad de hacer clic en él.
Un desafío operativo para el cliente u operador del spyware es la necesidad de
identificar de forma única qué dispositivo objetivo debe mostrar el anuncio
malicioso. Los posibles identificadores o selectores de objetivo podrían
incluir un ID de anuncio conocido, una dirección de correo electrónico, una
ubicación geográfica o una dirección IP. El identificador único se utiliza
como criterio de segmentación al crear el anuncio malicioso. Los
identificadores que los atacantes pueden usar probablemente estén limitados
técnica y operativamente a los identificadores compatibles con la red
publicitaria o la Plataforma del Demand Side Platform (DSP) utilizada
en el sistema Aladdin.
En la práctica, la documentación filtrada indica que el sistema Aladdin fue
diseñado para utilizar la dirección IP pública del objetivo como identificador
único. Cuando un objetivo se encuentra en el país del cliente, el operador de
Predator puede solicitar su dirección IP pública a los operadores móviles
nacionales, lo que permite dirigir el anuncio malicioso con precisión al
usuario móvil específico.
Un informe de
VSquare, una
red de periodismo de investigación, sugiere que el vector Aladdin de Intellexa
estuvo en desarrollo desde al menos 2022. Basándose en el análisis de la infraestructura de la red Predator, Amnistía
Internacional cree que el vector Aladdin fue compatible con las
implementaciones activas de Predator en 2024, junto con los vectores de
inyección de red de Marte y Júpiter.
Investigaciones técnicas adicionales de Amnistía Internacional y
nuevos informes de Recorded Future
indican que Intellexa continúa desarrollando activamente su vector de
infección basado en publicidad hasta 2025, utilizando una red de empresas del
ecosistema publicitario.
Amnistía Internacional
ha documentado previamente
los vectores de inyección de red de Marte y Júpiter. Este nuevo material
interno corrobora aún más dicha investigación y destaca la naturaleza
evolutiva de dichos vectores, en particular la transición hacia la
inteligencia publicitaria (ADINT) y las infecciones basadas en publicidad.
Las investigaciones y los estudios técnicos en curso de Amnistía Internacional
sugieren que diversas empresas de software espía mercenario, así como
gobiernos específicos que han desarrollado sistemas de infección ADINT
similares, están desarrollando y utilizando activamente metodologías de
infección basadas en publicidad.
Amnistía Internacional cree que el uso de estos vectores «silenciosos» para
distribuir exploits de navegador seguirá aumentando a medida que los objetivos
desconfíen cada vez más de los enlaces desconocidos y que los verdaderos
ataques sin clic se vuelvan más costosos y técnicamente difíciles de
implementar. Estos hallazgos deberían redoblar los esfuerzos de los
proveedores de tecnología y las empresas dedicadas a la publicidad digital
para investigar e interrumpir estos ataques.
Hallazgo clave 2: Intellexa mantuvo acceso directo a los sistemas de spyware
de sus clientes.
La capacidad de Intellexa para acceder y monitorear remotamente los sistemas
Predator activos de sus clientes se detalla en un video de capacitación
altamente revelador, realizado a través de Microsoft Teams. El video sugiere
que el personal de Intellexa también pudo haber tenido acceso a las partes más
sensibles del sistema Predator del cliente, incluyendo el panel de control y
otros servicios internos utilizados para ver y almacenar datos de vigilancia
sin procesar recopilados de las víctimas del spyware.
El consorcio de investigación obtuvo una grabación de la sesión de
capacitación interna, dirigida al personal de soporte de Intellexa. Intellexa
parece haber utilizado Microsoft Teams ampliamente para sus comunicaciones
internas hasta 2024, poco antes de que
la empresa fuera sancionada por la OFAC.
Grabado a mediados de 2023, el video comienza con un instructor que se conecta
directamente a un sistema Predator mediante TeamViewer. Intellexa parece tener
la capacidad de acceder remotamente a al menos 10 sistemas de clientes
diferentes.
Un panel de control de TeamViewer, visible brevemente en la grabación, muestra
al menos 10 clientes potenciales. Cada uno está identificado con un nombre en
clave, una práctica habitual en el sector de la cibervigilancia para proteger
la identidad de los clientes y los países donde operan. No está claro si todos
los sistemas de los clientes visibles en la interfaz de TeamViewer seguían
activos y en línea en el momento de la grabación.
Cuando un miembro del personal pregunta si se estaban conectando a un
entorno de prueba, el instructor indica en el video que están accediendo y
viendo un «entorno de cliente» en vivo.
Amnistía Internacional cree que los nombres en clave representan
implementaciones reales de clientes y, de hecho, algunos de ellos se mencionan
en comunicaciones por correo electrónico, también visibles en algunos momentos
del mismo video de capacitación.
Los registros comerciales internos de Intellexa, revisados durante la
investigación, muestran que Intellexa adquirió siete licencias del software de
escritorio remoto TeamViewer en junio de 2021. Esto sugiere que la empresa ya
utilizaba TeamViewer para la gestión y el soporte remoto de los sistemas
Predator de sus clientes en 2021, mucho antes de la grabación del vídeo en
2023. Un mapeo de la infraestructura realizado por Amnistía Internacional
alrededor de septiembre de 2021 detectó siete probables clientes activos de
Predator, lo que concuerda con el número de licencias de TeamViewer
adquiridas.
El uso de un software comercial no especializado como TeamViewer, en lugar de
algún tipo de VPN segura, también resulta inesperado en un sistema de
vigilancia tan sensible, ya que implica una gran confianza en un producto de
software de código cerrado y en la empresa que lo desarrolla. Esto plantea la
cuestión de cómo los clientes de Intellexa, incluidos los gobiernos, pueden
revisar y aprobar las conexiones remotas del personal de Intellexa a los
sistemas de vigilancia de alta sensibilidad alojados físicamente en sus
propios países.
El video continúa por 30 minutos, con un miembro del personal de Intellexa
explorando un panel de análisis de Elasticsearch, que muestra registros y
análisis de varios sistemas y componentes del sistema de spyware Predator
asignado a un cliente específico. El instructor señala que el panel incluye
registros tanto de los sistemas backend locales como de los sistemas en línea
ubicados en la internet pública. El panel parece incluir registros tanto en
tiempo real como históricos. Algunas entradas de registro se crearon el mismo
día que se grabó el video, mientras que otros resultados de búsqueda datan de
semanas anteriores.
Varios componentes del sistema Predator son visibles en el panel de registros,
incluyendo servidores de infección que envían enlaces de exploits y servidores
de comando y control (CNC) responsables de reenviar los datos de vigilancia al
cliente.
Intellexa utiliza múltiples capas de servidores para intentar ocultar el
rastro que conecta a su cliente con los sistemas backend de Predator, lo que
dificulta el escrutinio de las víctimas y los investigadores. Cada servidor
CNC está configurado en una cadena de tres niveles con un nombre único que
representa la cadena y la capa del servidor. El primer servidor (público) de
la cadena CNC 1 se denomina «cncch1l1». El servidor de la segunda capa
de la cadena 1 se denomina «cncch1l2», y así sucesivamente.
Los registros proporcionan visibilidad directa de las operaciones de
vigilancia en vivo
Además de los registros técnicos de los diversos componentes del sistema, el
video también muestra lo que parecen ser intentos de infección de Predator en
vivo («en la naturaleza») contra objetivos reales del cliente de Intellexa. Se
muestra información detallada de al menos un intento de infección contra un
objetivo en Kazajistán. Los registros visibles incluyen la URL de la
infección, la dirección IP del objetivo y las versiones de software de su
teléfono. El proceso de infección aparentemente falló.
El número de teléfono del objetivo real no es visible en los registros del
servidor de infección que se muestran en el video, y esta información
específica sobre el objetivo no necesariamente estaría almacenada en los
servidores de infección.
Sin embargo, los datos visibles en el panel de registros indican que también
se puede acceder a los registros de otros componentes internos del sistema
backend de Predator, incluidos aquellos que almacenan información de
objetivos.
Durante el video de capacitación, se hace evidente que el personal de
Intellexa no se limita a acceder remotamente a un conjunto limitado de
archivos de registro, sino que tiene acceso privilegiado a la red principal
del sistema del cliente, incluida la red que contiene la información de
objetivos y los datos de vigilancia recopilados.
Indicaciones de que el personal de Intellexa también podría acceder al panel
del cliente de Predator y a otros servicios internos del backend.
El instructor accedió al panel de registros de ElasticSearch desde un
navegador web en un escritorio Ubuntu conectado a la red backend del cliente.
El personal de Intellexa se conectó directamente a este equipo Ubuntu que
ejecutaba TeamViewer. Durante la capacitación, el instructor cambia de ventana
en el escritorio Ubuntu, lo que revela las demás aplicaciones abiertas en el
equipo remoto.
Basándose en investigaciones previas y en el nuevo material incluido en la
filtración, Amnistía Internacional concluye que el mensaje de inicio de sesión
que se muestra en el video de capacitación corresponde al panel de control de
Predator de un cliente, el panel de control principal que utilizan los
clientes para realizar operaciones de vigilancia, como añadir objetivos, crear
nuevos enlaces de infección y consultar los datos de vigilancia recopilados de
las víctimas del software espía.
El panel de control de objetivos del cliente se menciona en la documentación
interna de Intellexa con varios nombres, como Predator Delivery Studio
(«PDS»), Helios Delivery Studio («HDS») y Cyber Operations Platform
(«CyOP»). Cabe destacar que ambos términos, PDS y CyOP, se incluyen en la URL
y en el campo de nombre de usuario del video de capacitación.
El hecho de que el sistema de escritorio remoto utilizado por el personal de
soporte de Intellexa pueda incluso conectarse al panel de control de Predator
plantea interrogantes alarmantes sobre el grado de compartimentación de los
datos de vigilancia en vivo y los objetivos de la empresa y su personal.
Los sistemas de spyware mercenario presentan complejidades técnicas y
operativas inherentes. Es comprensible, y no inesperado, que Intellexa
necesite alguna capacidad para conectarse remotamente a los sistemas de los
clientes para depurar y reparar problemas técnicos en cuanto ocurren.
Sin embargo, en general, el video sugiere que el personal de Intellexa mantuvo
un acceso completo a los sistemas de los clientes en vivo, con capacidades que
van mucho más allá de las necesarias para ver registros técnicos limitados o
diagnosticar problemas en el sistema. Este acceso remoto, a través de
TeamViewer, parece haber sido posible sin la supervisión aparente de sus
clientes.
Lo más sorprendente es que el video muestra que el personal de Intellexa pudo
abrir el panel de control de Predator del cliente, revelando acceso
privilegiado a la red a las partes más sensibles del sistema Predator,
incluyendo el panel de control, pero también el sistema de almacenamiento que
contiene fotos, mensajes y todos los demás datos de vigilancia recopilados de
las víctimas del spyware Predator. Estos hallazgos solo aumentan la
preocupación de las posibles víctimas de vigilancia. No solo sus datos más
sensibles están expuestos a un gobierno u otro cliente de software espía, sino
que también corren el riesgo de ser expuestos a una empresa de vigilancia
extranjera, que tiene problemas evidentes para mantener la seguridad de sus
datos confidenciales.
Hallazgo clave 3: los registros filtrados confirman la atribución de los
supuestos dominios e infraestructura de infección a Predator
En varios momentos del video de capacitación, se muestran los dominios de
infección de Predator kz-news[.]cc y kz-ordas[.]com. Estos
dominios imitan sitios web legítimos de noticias kazajas y están diseñados
para engañar a los usuarios para que hagan clic inadvertidamente en un enlace
de infección de Predator.
Amnistía Internacional había identificado previamente estos dominios de
infección de Predator mediante el seguimiento técnico independiente de
servidores activos de infección de Predator. Sekoia, una empresa francesa de
ciberseguridad, también los identificó y documentó públicamente.
Esta nueva evidencia de esta filtración confirma de forma concluyente la
atribución de estos dominios al software espía Predator de Intellexa. También
valida la metodología empleada por Amnistía Internacional y otros socios de la
sociedad civil y la industria para identificar la infraestructura de ataques
Predator a lo largo de muchos años, desde su primera exposición pública en
2021 hasta la actualidad.
Amnistía Internacional ya había mencionado a Kazajistán como cliente
gubernamental de Intellexa en los
Archivos Predator, lo cual ha sido confirmado por una
investigación independiente de Recorded Future.
Hallazgo clave 4: Archivos refuerzan la evidencia forense que vincula el
spyware Predator con abusos de vigilancia en Grecia y Egipto.
La filtración también contiene información técnica importante que confirma la
atribución forense de numerosos casos sospechosos de vigilancia de Predator a
Intellexa y sus clientes de software espía.
Un documento interno denominado «OPSEC» (seguridad operativa) detalla las
medidas que Intellexa ha tomado para frustrar las investigaciones forenses,
incluyendo el intento de la compañía de ocultar los vínculos técnicos entre el
spyware Predator y la propia empresa.
La documentación técnica interna, creada en 2020, enumera indicadores clave de
vulnerabilidad, incluyendo nombres de archivo en el dispositivo, opciones de
configuración y mecanismos de defensa integrados en el código del agente de
spyware Predator. La versión del agente Predator utilizada en ese momento
estaba escrita en Python. Gran parte del código del agente y las opciones de
configuración eran compartidas por las versiones de Android e iOS.
Desafortunadamente para Intellexa, el mismo documento en manos de los
investigadores de responsabilidad de spyware proporciona evidencia crucial,
una piedra Rosetta forense, para rastrear de forma concluyente los presuntos
ataques de Predator, así como las muestras y exploits de spyware de Predator
descubiertos in situ, hasta la empresa.
Cabe destacar que todos los nombres de archivo y las opciones de configuración
que aparecen en la página interna de OPSEC también estaban presentes en las
muestras de Predator para Android e iOS
identificadas por los investigadores de Citizen Lab. Estas muestras se encontraron mientras Citizen Lab investigaba una campaña
de Predator dirigida a múltiples personas con vínculos con Egipto, incluido el
destacado activista político egipcio Ayman Nour.
La naturaleza idéntica de las opciones de configuración que aparecen tanto en
la documentación interna de Intellexa sobre Predator de 2020 como en las
muestras de spyware encontradas en Egipto demuestra categóricamente que
Predator de Intellexa se utilizó en los ataques egipcios. También confirma la
atribución de los indicadores de compromiso (IOC; dominios e infraestructura
de red asociados) utilizados en dicha campaña a un cliente del producto de
spyware de Intellexa. Fuentes:
«Pegasus vs. Predator»
«Mercenary mayhem: A technical analysis of Intellexa’s PREDATOR spyware», Cisco Thalos 2023.
El
informe de Citizen Lab de 2021
también documentó artefactos forenses encontrados en un iPhone egipcio
infectado con Predator. El iPhone se infectó tras conectarse a
distedc[.]com, el mismo servidor del que Citizen Lab obtuvo las
muestras de Predator para Android e iOS.
El informe de Citizen Lab enumera rastros forenses específicos encontrados en
el teléfono egipcio, que Amnistía Internacional también atribuye de forma
independiente como indicadores de infección con Predator. Los IOC incluyen
rastros de dos procesos de spyware Predator ejecutándose desde una ruta
específica en el dispositivo infectado.
Qué significan estos hallazgos para los esfuerzos de rendición de cuentas por
el software espía
A pesar de años de exposición pública, casos legales y sanciones económicas
contra Intellexa y personas vinculadas a la empresa,
los ataques de software espía Predator recientemente descubiertos
demuestran que las violaciones de derechos humanos impulsadas por la empresa
continúan.
Durante este período, Intellexa ha logrado mantener el acceso a los exploits
de día cero más recientes, a la vez que ha ampliado el conjunto de vectores de
infección. Lo más preocupante es la evidencia de que Intellexa ha desarrollado
e implementado «Aladdin», un sistema para infectar silenciosamente teléfonos
objetivo con solo ver un anuncio digital malicioso.
La evidencia de que Intellexa está subvirtiendo el ecosistema de la publicidad
digital para hackear teléfonos exige atención y acción urgentes por parte de
la industria publicitaria (AdTech) para contrarrestar estos ataques y los
daños derivados del abuso de la publicidad dirigida en general.
La investigación actual también proporciona una de las perspectivas más claras
y contundentes hasta la fecha sobre las operaciones internas y la tecnología
de esta empresa mercenaria de software espía. Los materiales filtrados
permiten establecer con seguridad la atribución de presuntos ataques previos
de software espía Predator a Intellexa y a sus clientes. Esto incluye el
ataque al periodista de investigación griego Thanasis Koukakis.
Aún más alarmante, los materiales revelan que Intellexa, al menos en
ciertos casos, tenía la capacidad técnica para acceder remotamente a los
sistemas de software espía de sus clientes tras la instalación y el
despliegue en vivo.
Las empresas mercenarias de software espía suelen afirmar que no tienen acceso
a los sistemas de vigilancia una vez instalados para sus clientes
gubernamentales. Por ejemplo, en una
carta al Supervisor Europeo de Protección de Datos en 2023, NSO Group declaró:
«Es importante destacar que NSO no opera Pegasus ni tiene acceso a los
datos recopilados».
Es probable que los clientes gubernamentales esperen que la empresa no pueda
acceder a sus sistemas ni a sus datos para mantener la estricta
confidencialidad de sus operaciones. Sin embargo, esta separación entre el
fabricante de software espía y sus operaciones directas puede ser importante
desde una perspectiva legal. Si se descubre que una empresa de software espía
mercenario está directamente involucrada en el funcionamiento de su producto,
podría quedar expuesta a demandas de responsabilidad en caso de uso indebido.
Para mantener las operaciones de vigilancia a distancia, los sistemas de
vigilancia del cliente suelen instalarse físicamente en el país del cliente,
donde son operados por un cliente gubernamental. El operador gubernamental
tiene entonces control total del sistema, la evidencia recopilada y las
operaciones de selección y vigilancia, sin acceso a la empresa.
Esta investigación expone cómo Intellexa, al menos en algunos casos, contaba
con capacidades de acceso remoto, lo que permitía al personal de la empresa
ver y compartir registros y detalles técnicos de las operaciones de vigilancia
de clientes en vivo.
Las capacidades de acceso remoto, incluso las destinadas al soporte técnico y
mantenimiento remotos, plantean dudas sobre el grado de separación operativa.
La evidencia adicional de que el personal de soporte de Intellexa también
podía acceder a otros sistemas internos de clientes de Predator, sin
limitaciones técnicas evidentes, aumenta la preocupación sobre los límites de
seguridad establecidos para aislar a la empresa de software espía de los datos
y las operaciones de sus clientes.
En una carta enviada a Intellexa el 26 de noviembre que describía estos
hallazgos, Haaretz preguntó si Intellexa tuvo acceso a los sistemas de
vigilancia de los clientes después de la implementación; si dicho acceso fue
aprobado por los clientes; y si existían limitaciones técnicas para su acceso.
El 3 de diciembre, un representante legal de Tal Dilian, fundador de
Intellexa, envió una respuesta por escrito a Haaretz en la que declara que
este no ha cometido ningún delito ni operado ningún sistema cibernético en
Grecia ni en ningún otro lugar.
Las preguntas sobre las responsabilidades legales específicas de Intellexa
por el uso de su software espía por parte de sus clientes son el núcleo de
un caso penal en curso en Grecia, donde cuatro personas están siendo
juzgadas (incluidas tres personas vinculadas a Intellexa) por
«violar el secreto de las comunicaciones telefónicas».
El juicio se centra en el uso del software espía Predator para hackear los
teléfonos inteligentes de diversas personas en Grecia, entre ellas Thanasis
Koukakis, periodista de investigación griego.
El hallazgo de que Intellexa tenía potencial de visibilidad en las operaciones
de vigilancia activa de sus clientes, incluyendo el acceso a información
técnica sobre los objetivos, plantea nuevas cuestiones legales sobre el papel
de Intellexa en relación con el software espía y la posible responsabilidad
legal o penal de la empresa por las operaciones de vigilancia ilegal
realizadas con sus productos.
Entre los 25 países a los que el
Consorcio de Medios de Comunicación EIC
descubrió que se habían vendido productos de la alianza Intellexa se
encuentran Suiza, Austria y Alemania. Otros clientes incluyen Omán, Catar,
Congo, Kenia, Emiratos Árabes Unidos, Singapur, Pakistán, Jordania y Vietnam.
El análisis de Amnistía Internacional de la infraestructura técnica reciente
vinculada al sistema de software espía Predator indica su presencia, de una
forma u otra, en Sudán, Mongolia, Madagascar, Kazajistán, Egipto, Indonesia,
Vietnam y Angola, entre otros.
Amnistía Internacional contactó a las entidades involucradas para obtener
comentarios, pero no recibió respuesta. Sin embargo, EIC sí recibió respuesta
de los principales accionistas y exejecutivos del grupo Nexa, quienes afirman
que la alianza Intellexa ha dejado de existir.
En cuanto a las exportaciones de tecnologías de vigilancia a los estados
mencionados, afirman que o bien
«se estableció una relación comercial en pleno cumplimiento de la normativa
aplicable, o bien nunca se ha formalizado un contrato ni se ha realizado una
entrega».
Finalmente, afirman que
«las entidades de la alianza Intellexa respetaron escrupulosamente las
normas de exportación», aunque reconocen
«haber establecido relaciones comerciales con países que “distaban mucho de
ser perfectos en términos del Estado de derecho», y añaden que
«esto a menudo se debía a decisiones políticas del gobierno francés».
Fuente:
Amnistía Internacional