El CNI investiga el hackeo a los móviles de varios altos cargos del Gobierno. El ministro de Justicia, Juan Carlos Campo, y la ministra de Exteriores Arancha González Laya se han visto afectados durante el mes de agosto, según informa El Confidencial y han confirmado fuentes militares a EFE.
Tanto el Departamento de Seguridad Nacional de la Presidencia del Gobierno como el Centro Nacional de Inteligencia están investigando el asunto para determinar el origen del ataque. Por el momento los ministros afectados no se han pronunciado para confirmar el ataque, pero el móvil del ministro de Justicia quedó bloqueado e inutilizado, según describen las mismas fuentes.
Esto es lo que sabemos del hackeo a los ministros, cuál es el papel del Centro Criptológico Nacional (CCN-CERT) y qué opinan algunos expertos ante el nuevo ataque que apunta a los miembros más importantes del Gobierno.
Un ataque de phishing a través de Telegram
La investigación intenta aclarar si se trata de un ataque dirigido específicamente contra los altos miembros del Gobierno o si se trata de un ataque generalizado. Tanto el CNI como el DSN han alertado de la situación al tratarse de móviles de cargos con información sensible y confidencial.
Según estas mismas fuentes, durante el pasado agosto distintos altos cargos recibieron mensajes sospechosos, entre ellos el ministro de Justicia y la ministra de Exteriores, pero no todos ellos habrían sido expuestos.
Entre los ciberataques más habituales está la técnica del phishing, que sería la estrategia utilizada en este caso. Según describe El Confidencial, un ministro recibió "un mensaje que procedía supuestamente de una gran embajada en España y le pedía que pinchara en el contacto". En aquel caso no lo hizo, pero sí habría sido el caso del ministro de Justicia. Estos mensajes habrían sido recibidos a través de Telegram, según describe El Español.
Los teléfonos móviles utilizados por los ministros y altos cargos disponen de herramientas específicas de seguridad, pero no ha trascendido si el móvil expuesto era el personal o si estaba debidamente protegido.
A través de este sistema, los ciberataques pueden obtener el control sobre el teléfono, desde acceso a la cámara, al micrófono o a información sensible almacenada en el teléfono como los contactos o mensajes.
Los afectados recibieron mensajes que les pedían que hicieran clic, pero entienden que este ataque habría sido una campaña de difusión genérica y no un movimiento de espionaje concreto contra los ministros.
Pese a ello, tal como describen estas fuentes, desde el CNI se está estudiando con urgencia el alcance del ataque pues la información de un móvil como el del ministro de Justicia se considera de extrema seguridad.
Desde el Departamento de Seguridad Nacional nos ofrecen la siguiente respuesta:
"Este tipo de ataques es habitual y se produce mediante sofisticadas técnicas de ingeniería social, basadas en un profundo conocimiento del funcionamiento de los protocolos de comunicaciones de diversas aplicaciones de mensajería y de acceso a redes sociales".
"La investigación y los análisis forenses de los teléfonos de las autoridades indican que la integridad del software y hardware de los teléfonos no se ha visto afectada".
"Las medidas de mitigación adoptadas son las habituales en este tipo de incidentes, tales como aviso a usuarios y otras posibles víctimas, cambio de contraseñas, eliminación de cuentas suplantadas, ajuste de permisos y configuraciones de privacidad y seguridad, etc".
Políticos: un nuevo nicho para el repunte de ataques de phishing
Arancha González Laya, ministra de Exteriores. Imagen: Moncloa
Los ataques de phishing se producen principalmente por una falta de cultura de seguridad. El Centro Criptológico Nacional (CNN-CERT) alertó el pasado mes de marzo de un repunte de la campañas de phishing relacionadas con la pandemia y el auge del teletrabajo.
Ante ello publicó un informe donde expresaba que "la concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar este tipo de incidentes". Desde esta entidad, perteneciente al CNI, se ha ido ofreciendo ayuda técnica a los altos miembros del Gobierno en materia de seguridad y ofreciendo distintos cursos a la población para ayudar a identificar y detectar el phishing.
Con la ayuda de empresas como Cisco, Citrix, CSA, Entelgy Innotec Security, Open Cloud, ESET, Fortinet, ICA Sistemas, McAfee, Microsoft, Mnemo, Panda-Cytomic, S2 Grupo o Sophos, el CNN asegura haber reforzado todas sus capacidades para defender el ciberespacio español.
Pablo López: "El enfoque de defensa no puede ser reactivo, tenemos que anticiparnos a los #incidentes, de forma que sepamos por donde viene el problema".#IIEncuentroENS
— CCN-CERT (@CCNCERT) June 24, 2020
Román Ramírez, experto en seguridad y co-organizador de RootedCon, describe la situación con el ataque a los móviles de los ministros como "kafkiana". "Me gustaría dar por supuesto que los móviles de los políticos han pasado por algún tipo de control y que, como poco, alguien les ha instalado algún antivirus o antimalware".
Sobre el phishing, Ramírez cree que "probablemente haya habido algún tipo de interacción, el típico segundo factor. Es un método que se utiliza en Instagram con las cuentas de millones de followers. Veo muchos problemas ahí. Pese a no ser infalible, si te entra un enlace desde cualquier red deberían tener una herramienta para evitar el ataque".
"Esto huele más a organización criminal mafiosa especializada en phishing más que a agencia de inteligencia".
El pasado mes de julio se dio a conocer que hasta 1.400 personalidades fueron espiadas por el software Pegasus de NSO Group, entre ellos varios políticos catalanes como el presidente del Parlament de Cataluña, Roger Torrent. Sin embargo, Ramírez no cree que sea el caso con los ministros de Justicia y Exteriores. "Habría que verlo, pero Pegasus funciona de una manera diferente. Pegasus es más invisible, no se habrían dado cuenta de un mensaje de Telegram extraño. Esto huele más a organización criminal mafiosa especializada en phishing más que a agencia de inteligencia".
"Creo que es cibercrimen y han elegido un nuevo nicho: los políticos. Igual que hace una semanas fueron las aseguradoras como Mapfre o anteriormente infraestructuras como Acciona. Puede ser un nuevo nicho por explotar. Podría ser un grupo hacktivista, pero parece más extraño pues no hay esa repercusión en redes", nos explica Ramírez.
Sobre la investigación del CNI, el experto describe que "estarán intentando modelar al adversario, siguiendo su 'modus operandi' y las tecnologías que utilizan. Cuando son múltiples ataques, los atacantes suelen llevar un control y registran los dispositivos. Siguiendo eso, el CNI puede obtener información".
Hace falta algo más que un informe de buenas prácticas
Según Ramírez, "da la impresión que no tenían el terminal muy bien segurizado". Para el experto, el CNN-CERT debería asegurar una políticas más estrictas de aislamiento entre lo personal y lo profesional. Siguiendo la información de que los ministros fueron atacados a través de Telegram, el experto se pregunta por qué la tienen instalada, cuando no es una aplicación que haya sido controlada ni cifrada por la organismos de seguridad. "Es muy difícil controlar a vips y supervips. Cada problema puede repercutir en su carrera", asegura.
"Ellos tienen una responsabilidad. Cualquier secreto de estado que pueda exponerse afecta a nuestro país. Como poco debería tener consecuencias", opina Ramírez, quien asegura tener una batalla personal en este aspecto. "Me gustaría que hacer mal las cosas en ciberseguridad tuviera consecuencias penales en esos niveles".
Sobre los móviles utilizados, el experto entiende que se lo habrá proporcionado el departamento correspondiente de informática y se tratará de un teléfono cifrado. De no ser así, debería ser penalizado según Ramídez. "Ahora es un buen momento para penalizarles y que estuvieran más controlados", afirma en referencia a un mal uso de la seguridad del teléfono. Pero también aplicable al hecho que el propio departamento de seguridad no hubiera protegido suficiente el dispositivo. "Cualquiera que estuviera ahí debería estar muy preocupado por su futuro político. Porque todo lo que se obtiene en estos ataques, luego se compra y se vende".
Imagen | PSOE
Ver 27 comentarios