Un grupo de piratas informáticos ha estado atacando desde hace siete años de forma sistemática a opositores y medios de comunicación independientes en los países de la Alianza Bolivariana para América (Alba), según un informe dado a conocer el miércoles por investigadores canadienses.
El grupo, al que los investigadores del Citizen Lab de la Escuela Munk de Asuntos Globales de Toronto han llamado Packrat, utiliza malware (programas malignos), phishing (fraude en internet) y campañas de desinformación en países como Ecuador, Argentina, Venezuela y Brasil para atacar a grupos opositores y medios de comunicación.
Packrat también habría intentado sabotear los aparatos electrónicos de Alberto Nisman, el fiscal argentino que investigaba el atentado en 1994 contra un centro judío en Buenos Aires y que apareció muerto en su domicilio en enero de este año, y del periodista argentino Jorge Lanata.
Según reportó el miércoles el grupo Citizen Lab, la amplitud y descaro de las actividades de los hackers llevan el sello distintivo del patrocinio estatal, según los investigadores.
Los ciberespías han estado atacando a figuras de la oposición y periodistas independientes en Ecuador con programas de espionaje. También han gestionado páginas falsas como fachada. La más elaborada, diseñada para Venezuela, era un cibersitio de noticias constantemente actualizado con “exclusivas” de procedencia dudosa sobre supuesta corrupción entre los socialistas que gobiernan el país. En Ecuador, un sitio de internet similar parecía elaborado para atraer a policías descontentos.
Los investigadores iniciaron su pesquisa de tres meses luego de determinar que el software espía hallado en el smartphone del fiscal argentino Alberto Nisman fue escrito para enviar datos robados a la misma estructura de mando y control que el malware, que se dirigió a los objetivos en Ecuador.
Los ciberespías, dijo Citizen Lab, tenían un “interés incansable y sistemático en la oposición política y la prensa independiente” en los tres países. Esto sugiere que puede haberse operado en beneficio de uno o más de esos gobiernos, agregó el reporte.
En septiembre, los hackers amenazaron a un investigador de Citizen Lab que husmeó en una computadora establecida en Estados Unidos y que el grupo habría infectado. “Vamos a analizar su cerebro con una bala, y en la de tu familia”, podía leerse en el mensaje que apareció en la pantalla de su computadora. “Te gusta jugar a la espía y meterte donde no debes, pues debes saber que tiene un costo, ¡tu vida!”.
Este es un comportamiento extraño entre piratas informáticos profesionales, que indicaría tal vez algo de miedo a una investigación criminal, dijo Morgan Marquis-Boire, uno de los investigadores.
En noviembre, el grupo intentó infectar la computadora de un reportero de Associated Press con un ataque de “phishing” que buscaba robar su contraseña de Google.
Los investigadores identificaron al grupo a través de dominios de internet entrelazados y firmas digitales incluidas en correos electrónicos enviados a las máquinas atacadas. Al parecer, los ciberespías llevan funcionando los últimos siete años, explicó Citizen Lab tras descubrir que usaban servicios de almacenamiento en Brasil desde al menos 2008.
Determinar quién está detrás de estas acciones, sin embargo, solo sería posible con órdenes judiciales debido a las políticas de privacidad de las empresas de servidores de internet.
En dos ejemplos, las víctimas recibieron un correo electrónico de una organización falsa que simulaba estar en contra del presidente de Ecuador, Rafael Correa. Otros recibieron un mensaje falso firmado por un líder de la oposición que decía revelar a quiénes investigaba la Secretaría de Inteligencia de Ecuador.
Quienes accedieron al enlace incluido en el mensaje infectaron sus computadoras con software espía que, de forma clandestina, sustrajo información de sus máquinas y la envió a los servidores gestionados por el grupo, al que los investigadores llamaron “Packrat”.
“Creemos que ésta es una operación altamente específica”, dijo John Scott-Railton, investigador principal del equipo de The Citizen Lab en la Escuela Munk para Asuntos Globales de la Universidad de Toronto. “Packrat parece elegir cuidadosamente y después persigue a sus objetivos de forma implacable”.
El grupo ha empleado los mismos dominios de internet durante años a pesar de tener cierta exposición, una comodidad técnica que muchos ciberdelincuentes habrían rechazado por el temor a ser identificados autoridades.
Los investigadores encontraron al menos 35 tipos distintos de archivos con malware. El grupo operaba desde dominios alquilados de empresas de hosting en Argentina, Brasil, Francia, España, Suecia, Uruguay y EE.UU.
Durante buena parte de los últimos dos años, unas dos docenas de sitios “infectados” residieron, en un momento u otro, en servidores de propiedad de la firma estadounidense GoDaddy.com, una empresa de hosting. Entre los nombres de los dominios alojados en GoDaddy estaban soporte-yahoo.com, update-outlook.com, mgoogle.us y login-office365.com. Los investigadores notificaron a la mayoría de los proveedores el viernes, pidiendo el cierre de la infraestructura de Packrat.
El portavoz de GoDaddy, Nick Fuller, dijo que la empresa toma medidas inmediatas cuando identifica un problema con una web, pero no ofreció más detalles.
Citizen Lab llamó “Packrat” a la operación porque los ciberespías usan paquetes comerciales de troyanos de acceso remoto (RATs, en inglés) que infectan computadoras y smartphones que permiten monitorear los teclados, correos electrónicos y mensajes de texto, incluso grabar con micrófonos y cámaras web.