Consiguen hackear móviles con sólo visitar una web, y nadie sabe cómo lo han hecho

Las vulnerabilidades en nuestros dispositivos nos exponen a todo tipo de ataques. Ya sea mediante estas vulnerabilidades o con malware, el objetivo final suele ser normalmente la obtención de información sobre la víctima. Ahora, un periodista ha sufrido uno de los ataques más sofisticados, y todavía no saben exactamente cómo ha ocurrido.

Hablamos del periodista marroquí Omar Radi, cuyo iPhone blanco, que usaba para contactar con sus fuentes, estaba siendo utilizado por el gobierno de Marruecos para espiarle sus correos, llamadas, mensajes, webs visitadas, videollamadas, calendario, coordenadas GPS, e incluso apagar y encender la cámara y el micrófono cuando quisieran. Y todo esto a pesar de que Radi es bastante entendido en temas de ciberseguridad, evitando hacer clicks en enlaces sospechosos, así como también constató que no tenía llamadas perdidas de WhatsApp.

Visitar una web: suficiente para infectar un móvil

Así, Amnistía Internacional cree que hay una nueva técnica para hackear móviles de manera silenciosa, y lo único que habría que hacer es visitar una página web. Según los datos analizados del móvil, creen que el atacante intercepta la señal del móvil para hacerle visitar una web falsa que ejecuta el malware y luego redirige al usuario a la web final sin que se dé cuenta.

Esto suena a un ataque man-in-the-middle con algún tipo de herramienta como un Stingray, el cual emula a una antena móvil real y puede acceder a todo el tráfico de datos móviles del usuario. Con ello, es posible hacer spoofing de DNS y cargar webs modificadas cuando se introduce una URL real, como puede ser Google.es. En el siguiente gráfico explican cómo podría haber sucedido.

Pegasus: la herramienta de NSO Group para hackear iPhone

La herramienta utilizada en este caso parece ser Pegasus, el spyware de NSO Group para iPhone. Este spyware desarrollado por la compañía de ciberseguridad se aprovecha de vulnerabilidades de día cero para hackear dispositivos y lograr acceso completo al mismo. Gobiernos de todo el mundo usan sus servicios para espiar a objetivos, y en este caso Radi era un objetivo del gobierno marroquí, ya que es un periodista de investigación que tiene entre sus contactos a políticos, empresas, líderes de movimientos sociales, etc. Ya le han arrestado varias veces por nimiedades, como tweets o informar de un hackeo en la región del Rif.

El primer hackeo de Radi se produjo el pasado mes de septiembre, y sólo tres días después de que NSO Group anunciase que iba a bloquear la herramienta a gobiernos que la usasen contra activistas en favor de los derechos humanos y periodistas. La compañía no ha podido confirmar si el gobierno de Marruecos ha usado la herramienta contra el periodista, ya que no pueden decir quiénes son sus clientes. Además, afirman que cuando se les notifica un uso indebido, bloquean el acceso al servicio a esa compañía.

Según los datos analizados, Radi fue hackeado varias veces más durante 2019, y la última tuvo lugar el 29 de enero de 2020. Radi ahora no para de preguntarse qué ha podido decir en conversaciones telefónicas que hayan podido escuchar desde el gobierno. El medio Chouftv, de Marruecos, publicó información sobre una campaña de varios periodistas para criticar la encarcelación de un compañero de profesión. Y los detalles de ese grupo sólo fueron comentados por llamadas cifradas de Signal y WhatsApp. Y por culpa de ello, ahora ninguna de las fuentes quiere contactar con Radi.