EL CAIRO (apro).- Hasta hace apenas unos meses aparecían exhibidas en la plataforma de aplicaciones digitales Google Play como cualquier otro contenido corriente. Una de ellas, iLoud 200%, prometía a quienes la descargaran que el volumen de sus llamadas sería 100% más alto. Otra, bautizada IndexY, aseguraba ofrecer a sus usuarios identificar llamadas entrantes de una forma similar a la aplicación TrueCaller.
Pero en realidad ninguna prestaba las funciones presentadas. La primera estaba diseñada para rastrear en todo momento la localización del dispositivo móvil que la había descargado. La segunda almacenaba los contactos guardados en el teléfono, así como el historial de llamadas y detalles tan precisos como la fecha en la que se habían producido, su duración y la dirección (entrante, saliente o perdida).
Cuando la compañía de ciberseguridad Check Point hurgó para identificar quién se encontraba detrás de esos programas espía –y otros similares– acabó de saltar la sorpresa. Las evidencias apuntaban al Ministerio de Comunicaciones e Información Tecnológica (MCIT) y al Servicio de Inteligencia General (GIS) de Egipto.
“Una de las aplicaciones almacenaba las coordenadas de los dispositivos móviles en un mapa, con el fin de que los atacantes pudieran visualizarlo y acceder a las coordenadas”, detalla a
Apro Aseel Kayal, analista de Check Point. “Al determinar el origen del mapa, éste hace zoom a una localización por defecto”, continúa, “y las coordenadas de esa localización coinciden con las de la sede del GIS”. En los demás casos las páginas usadas para los ataques estaban conectadas a un servidor registrado con las siglas MCIT.
El caso documentado por Check Point en su investigación publicada el pasado octubre es sólo el último ciberataque de significativa sofisticación registrado en Egipto y atribuido al régimen de Abdel Fatah Al Sisi, que con el paso de los años está incrementando sus capacidades en este sector.
“Que un actor pueda realizar un ataque en más de una plataforma –correo electrónico, páginas web y aplicaciones para teléfonos celulares– y que los productos maliciosos que desarrolla sean diseñados de tal forma que aparezcan poco sospechosos a ojos de las víctimas (demuestra) que se trata de un actor con capacidades,” considera Kayal.
Poco después de publicarse la investigación, surgieron sospechas acerca de que, en realidad, cabía también la posibilidad de que el régimen egipcio no se encontrara detrás de la operación. Que ésta hubiera sido un ataque de falsa bandera perpetrado por un tercer actor –presumiblemente otro gobierno– para enmascarar otro ataque.
Los propios investigadores de Check Point reconocen que no pueden descartar con certeza esta opción, dado que el rastro que hubiera dejado a propósito un ataque de falsa bandera habría sido muy similar al que hallaron, y no disponen de las capacidades para ir hasta el origen del ataque. Pero a pesar de ello, arguyen que existen múltiples signos que apuntan a que las autoridades egipcias se encuentran detrás.
“Las evidencias técnicas que hemos presentado, ya sea en forma de coordenadas o de detalles que hemos detectado, son evidencias que pueden ser fácilmente falsificadas”, admite Kayal. “(Pero) atendiendo a los motivos políticos que se esconden tras el ataque y sus blancos, asumimos que se encuentra dentro de los objetivos del régimen”.
Antecedentes
Motivos para pensar que fue así no faltan. Al menos desde 2015 se han documentado en Egipto varios ciberataques de distinta índole y sofisticación aparentemente ejecutados por el régimen o alguien a su servicio. El primero de ellos involucró un programa de espionaje desarrollado por la empresa angloalemana Gamma Group y operado por una enigmática agencia de inteligencia egipcia, según una investigación realizada por el Citizen Lab de la Universidad de Toronto, que también destapó el uso del mismo programa en México.
Más adelante, en 2017, el mismo Citizen Lab documentó una campaña de
phishing a gran escala contra miembros de múltiples organizaciones de la sociedad civil egipcia, un tipo de ciberataque que consiste en obtener información confidencial de forma fraudulenta, por lo general a través de correos electrónicos que requieren determinada información suplantando el atacante la identidad de una institución de confianza.
En este caso, casi todas las organizaciones afectadas estaban siendo investigadas en paralelo en el marco de un polémico caso contra ONG locales e implicó al menos el envío de 92 correos, muchos altamente personalizados y familiarizados con los intereses de cada blanco.
“Cuando se estaba llevando a cabo la campaña NilePhish nosotros ya habíamos oído hablar de ella porque existían rumores acerca de correos electrónicos que estaban siendo blanco de ataques”, recuerda a este medio Sarah Mohsen, investigadora de la Asociación Egipcia para la Libertad de Pensamiento y Expresión (AFTE), una de las organizaciones atacadas entonces.
“Tienes que fijarte en errores en la dirección del correo o en faltas ortográficas, es la única forma que tienes de saberlo,” señala.
El pasado marzo Amnistía Internacional investigó una nueva campaña de
phishing, aunque en esta ocasión más sofisticada, contra varios activistas y periodistas en la que las autoridades egipcias volverían a estar implicadas. El ataque, que habría afectado a cientos, volvió a concentrarse en fechas sensibles en Egipto, como visitas oficiales de mandatarios o durante el proceso de enmiendas constitucionales llevado a cabo durante la primera mitad de este año para fortalecer y cimentar a Al Sisi en el poder.
Paralelamente, el régimen egipcio también ha invertido notables esfuerzos en censurar contenidos en internet. Los primeros casos de esta práctica empezaron a documentarse en 2016, pero fue a partir de mediados del año siguiente cuando se convirtió en un ejercicio masivo y sistemático que hoy mantiene bloqueadas 546 páginas web, la mayoría de noticias. La forma indiscriminada con la que se efectúan estos ataques ha provocado que, de forma colateral, unos 34 mil dominios se hayan visto a la par bloqueados. También en este campo el régimen está mejorando su nivel de sofisticación con el paso del tiempo.
“No sabemos exactamente qué utilizan para bloquear (páginas web), pero percibimos el progreso que ha habido”, apunta Mohsen, de AFTE, que ha documentado en reiteradas ocasiones este tipo de prácticas.
“El número de páginas web bloqueadas va en aumento”, señala, “y en septiembre (de 2019), durante las protestas (contra Al Sisi), empezamos a observar cómo no bloqueaban una web, como Twitter, sino que hacían que fuese muy difícil acceder a ella, por ejemplo ralentizando mucho el tráfico. Esto es nuevo”.
Para cubrirse las espaldas, el régimen aprobó en 2018 dos leyes que han legalizado su represión en forma de censura online. Con ellas se concedió a los aparatos de seguridad y otros cuerpos del Estado el poder de bloquear páginas web con base en una serie de criterios que organizaciones de derechos humanos consideran amplias e imprecisas.
Ese mismo año Citizen Lab documentó otro ciberataque para bloquear cierto contenido político online desviando a usuarios de internet hacia anuncios para recaudar fondos por motivos que se desconocen.
Para grupos de derechos humanos, esta recurrencia de ciberataques se enmarca en un contexto de brutal represión impuesto por Al Sisi en el país. “Los ataques son parte de una estrategia más amplia y ocurren en medio de una represión sin precedente, que ha convertido Egipto en una prisión al aire libre para los críticos”, alerta a
Apro Ramy Raoof, técnico de Amnistía Internacional. “En mi opinión refleja la actual mentalidad y dirección política de las autoridades: el uso de métodos digitales para vigilar de forma masiva y específica va de la mano con otras formas de persecución de las autoridades”.
En esta línea, los expertos consultados por
Apro consideran que, si bien otros regímenes de la región son también proclives a emplear este tipo de métodos, la mayor sofisticación, creatividad, versatilidad y capacidad exhibida por el egipcio –en ocasiones coordinado con otros de esos regímenes, como el saudita o el emiratí– resulta alarmante.
“Las autoridades han ido mejorando sus capacidades y recursos en lo que concierne a interferencias en la red, control de webs y otras formas de control y censura”, considera Raoof. “Lo que resulta particularmente alarmante”, continúa, “es el alcance de estos ciberataques, que ocurren de forma simultánea a (momentos) de agitación política”.
Para Bill Marczak, investigador de Citizen Lab, uno de los aspectos más preocupantes es el desarrollo de esta industria a nivel local. “Una de las principales cosas que están ocurriendo es que el gobierno está mejor capacitado para ejecutar ataques recurriendo a experiencia local en lugar de depender de compañías o proveedores extranjeros”.
“(El último ciberataque documentado a principios de octubre) implica un gran alcance y es una actividad que ha continuado durante años, además de que han podido colocar (sus programas) en una plataforma como Google Play”, nota Kayal, de Check Point. “El hecho de que se hayan documentado otros ataques y (el régimen) no los haya frenado también muestra que siguen aquí, y que van mejorando”.
“Todo el mundo quiere averiguar siempre si un ataque es sofisticado o no, pero el éxito de un ataque se mide por si ha sido lo suficientemente sofisticado como para perseguir a tus objetivos. Y una de las cosas que sabemos a través de nuestras investigaciones es que sus ataques son bastante exitosos”, apunta Marczak. “Son ataques inteligentes porque demuestran que no están interesados en lo más sofisticado, caro y de alta calidad, sino en ataques que no son caros ni difíciles de ejecutar y que funcionan”.