Un informe de la ONU vincula el ataque al iPhone X de Jeff Bezos directamente con el príncipe heredero de Arabia Saudita, Mohammed bin Salman.

El 8 de noviembre de 2018, el CEO de Amazon, Jeff Bezos, recibió un mensaje de texto inesperado en WhatsApp del líder saudí Mohammed bin Salman. Los dos habían intercambiado números varios meses antes, en abril, en una pequeña cena en Los Ángeles, pero no estaban en contacto regular; Bezos había recibido anteriormente solo un archivo de vídeo del príncipe heredero en mayo. El texto de noviembre también tenía un archivo adjunto: una imagen de una mujer que se parecía a Lauren Sánchez, con quien Bezos había tenido una aventura no reportada.

Ese archivo de video probablemente estaba cargado de malware, dicen ahora los investigadores. La cuenta del príncipe heredero había sido utilizada para hackear el teléfono de Bezos.

Tal ataque descarado a un ciudadano privado, que además es el hombre más rico del mundo, es alarmante. Nos hace ver los peligros de un mercado privado no controlado para la vigilancia digital, y plantea serias preguntas sobre otras figuras prominentes de Estados Unidos que han tenido alguna relación con el príncipe heredero, como el asesor de la Casa Blanca, Jared Kushner, y el propio presidente Donald Trump.

"Esta vigilancia al Sr. Bezos, supuestamente a través de un software desarrollado y comercializado por una empresa privada y transferido a un gobierno sin control judicial de su uso, es, de ser verdad, un ejemplo concreto de los daños que resultan de la comercialización y venta sin restricciones de herramientas de spyware ”, dijeron en un comunicado los relatores especiales de las Naciones Unidas, David Kaye y Agnes Callamard. Los detalles proporcionados por la ONU sugieren que el malware se originó en un proveedor privado, como el Grupo NSO de Israel o el Equipo de Hacking italiano . El vínculo con el príncipe fue informado por primera vez el martes por The Guardian .

Bezos se convirtió en un objetivo saudita no por Amazon sino por ser dueño de  The Washington Post , que había publicado una serie de historias críticas sobre el reino. El texto de noviembre de Mohammed bin Salman llegó un mes después de que funcionarios saudíes asesinaran al columnista de correos y disidente saudí Jamal Khashoggi dentro del consulado del país en Estambul. La investigación de la ONU sobre el ataque a Bezos se basa, al menos en parte, en un análisis forense encargado por el propio Bezos y completado por FTI Consulting, una firma consultora de ciberseguridad. Los hallazgos no son definitivos. Del mismo modo, la ONU dejó en claro que si bien su investigación indicó estos resultados, la atribución no es segura.

“Todo el trabajo del cliente de FTI Consulting es confidencial. No comentamos, confirmamos ni negamos compromisos de clientes o posibles compromisos ”, dijo la firma a WIRED en un comunicado.

La embajada de Arabia Saudita negó las acusaciones en Twitter el martes por la noche: “Los informes recientes de los medios que sugieren que el Reino está detrás de un hackeo del teléfono del Sr. Jeff Bezos son absurdos. Hacemos un llamado a una investigación sobre estos reclamos para que podamos tener todos los hechos ".

Según los hallazgos de la ONU, el régimen saudí comenzó a extraer grandes cantidades de datos de Bezos a las pocas horas de enviar el archivo de video MP4 contaminado. FTI Consulting descubrió que seis meses antes de la descarga del vídeo, un promedio de aproximadamente 430 kilobytes de datos provenía del teléfono de Bezos por día, una pequeña cantidad. A las pocas horas de recibir el vídeo, ese número aumentó y el teléfono comenzó a promediar 101 megabytes durante meses después. La ONU informa que este número a veces incluso saltó al rango de gigabytes, varios órdenes de magnitud sobre la línea de base previa al pirateo, lo que indica la filtración de datos a través de malware.

El informe de la ONU apunta al malware Pegasus , desarrollado por el distribuidor de ciberarmas NSO Group, que lo ha adaptado para su uso en numerosas versiones de iOS y Android en los últimos cuatro años. Arabia Saudita compró Pegasus por primera vez a NSO Group en noviembre de 2017, según la ONU. Los investigadores sugieren Galileo, un producto del Equipo de Hacking, como otra posibilidad. El análisis de esas herramientas por parte de investigadores académicos y de terceros ha demostrado que ambos son capaces de comprometer un dispositivo y acceder a casi cualquier información que contenga, desde mensajes de texto, llamadas, contactos y correos electrónicos hasta aplicaciones, historial de navegación e incluso datos de ubicación.

NSO Group negó en un comunicado que sus herramientas fueron utilizadas en el ataque. "Como declaramos en abril de 2019 ante otra acusación igualmente falsa, nuestra tecnología no se usó en este caso", dijo la firma. "Nuestra tecnología no se puede usar en números de teléfono de EE. UU. Nuestros productos solo se utilizan para investigar el terrorismo y los delitos graves. Cualquier sugerencia de que NSO está involucrada es difamatoria ”.

La ONU alega que durante el mismo período en que el régimen saudí tuvo acceso al teléfono de Bezos, también se enfocó en los asociados de Khashoggi y otros disidentes pro-derechos humanos que usaban malware móvil desarrollado por NSO Group. Las acciones se ajustan al patrón más amplio de Arabia Saudita de atacar a activistas. En noviembre, el Departamento de Justicia acusó a dos empleados de Twitter de abusar de los sistemas internos para robar información en nombre de Arabia Saudita.

Arabia Saudita parece haber lanzado simultáneamente una campaña de desinformación en línea para desacreditar a Bezos. En noviembre de 2018, el hashtag de mayor tendencia en Twitter en Arabia Saudita fue "Boicot a Amazon", señala la ONU. La campaña se detuvo abruptamente en abril de 2019, luego de que un investigador que trabajaba para Bezos acusó a los sauditas de hackear el teléfono del ejecutivo. Luego se recuperó nuevamente en octubre, después de que Bezos asistió a un evento conmemorativo para Khashoggi.

Mientras que los corredores privados de exploits como NSO Group a menudo se describen a sí mismos como empresas de análisis forense, las herramientas como Pegasus tienen un historial de ser utilizadas para piratería. De hecho, los analistas utilizaron tales herramientas para analizar el teléfono de Bezos a raíz de la violación. Hacerlo resultó bastante complejo, dada la sofisticación del ataque. Cuando un "analizador físico" de la compañía israelí Cellebrite examinó el dispositivo, no había rastros de malware. Una auditoría de casi 300,000 directorios, subdirectorios y nombres de archivos tampoco arrojó evidencia de herramientas de jailbreak de iOS .

También fue difícil analizar el vídeo enviado desde la cuenta del príncipe heredero en busca de signos de malware, porque tanto el archivo en sí como el descargador estaban encriptados. Y la ONU señala que el cifrado de extremo a extremo de WhatsApp también creó desafíos. Sin embargo, las plataformas de software de Cellebrite para analizar el tráfico de dispositivos y los registros de la red identificaron cuando el teléfono de Bezos comenzó a sangrar datos.

"Es como si cualquier rastro de las herramientas para el hackeo se autodestruyeron", dice Dave Aitel, director de tecnología de seguridad de la firma de infraestructura segura Cyxtera y ex analista de la NSA.

Que un ataque tan simple y elegante haya podido hackear a Jeff Bezos subraya cuán en riesgo está Trump.

No está claro qué información puede haberse obtenido acerca de Bezos o incluso  de Amazon. A fines de octubre, WhatsApp y su propietario, Facebook, demandaron a NSO Group por supuestos ataques a más de 1,000 de sus usuarios, un primer esfuerzo para frenar el crecimiento desenfrenado de la industria privada de exploits. Se señaló que al menos parte de la infraestructura del Grupo NSO está alojada en Amazon Web Services, el servicio de cómputo en la nube del mismísimo Amazon. Además, Facebook parchó una vulnerabilidad en noviembre que "podía activarse enviando un archivo MP4 a un usuario por WhatsApp". No está claro si esta debilidad fue explotada para atacar a Bezos, pero es un recordatorio de que tales errores pueden existir incluso en funciones tan "inocentes" como enviar un vídeo en una aplicación como WhatsApp.

Mientras tanto, el presidente Trump es conocido por usar teléfonos inteligentes personales más que un usuario promedio, resistiéndose a los consejos del personal de TI y ciberseguridad de la Casa Blanca para usar solo un dispositivo reforzado. Que un ataque tan simple y elegante haya podido engañar a Jeff Bezos subraya cuán en riesgo ha estado Trump. No cabe duda de que muchas personas de todo el mundo desearían un acceso sin restricciones al teléfono del presidente de los Estados Unidos; todo lo que se necesitaría para conseguirlo es hacer que haga clic en un vídeo o enlace.

Aunque el incidente creará conciencia sobre las crecientes amenazas de la industria de ciberarmas privadas y el posible abuso de sus productos, parece poco probable que venga con represalias inmediatas.


Este artículo fue publicado en inglés por wired.com