El software espía comercial La industria ha sido criticada cada vez más por vender poderosas herramientas de vigilancia a cualquiera que pueda pagar, desde gobiernos hasta delincuentes de todo el mundo. En toda la Unión Europea, los detalles de cómo se ha utilizado el spyware para atacar a activistas, líderes de la oposición, abogados y periodistas en varios países recientemente han provocado escándalos y llamados a la reforma. Hoy, el Grupo de Análisis de Amenazas de Google anunció una acción para bloquear una de esas herramientas de piratería que se dirigía a las computadoras de escritorio y aparentemente fue desarrollada por una empresa española.
El marco de explotación, denominado Heliconia, llamó la atención de Google después de una serie de envíos anónimos al programa de informes de errores de Chrome. Las revelaciones señalaron vulnerabilidades explotables en Chrome, Windows Defender y Firefox que podrían utilizarse para implementar spyware en dispositivos de destino, incluidas computadoras con Windows y Linux. La presentación incluía el código fuente del marco de piratería de Heliconia y llamó a las vulnerabilidades Heliconia Noise, Heliconia Soft y Files. Google dice que la evidencia apunta a la firma de tecnología con sede en Barcelona Variston IT como el desarrollador del marco de piratería.
“Los hallazgos indican que tenemos muchos jugadores pequeños dentro de la industria del spyware, pero con fuertes capacidades relacionadas con los días cero”, dijeron los investigadores de TAG a WIRED, refiriéndose a vulnerabilidades desconocidas y sin parchear.
Variston IT no respondió a una solicitud de comentarios de WIRED. El director de la compañía, Ralf Wegner, le dijo a TechCrunch que a Variston no se le dio la oportunidad de revisar la investigación de Google y no pudo validarla. Agregó que “se sorprendería si tal artículo se encontrara en la naturaleza”. Google confirmó que los investigadores no contactaron a Variston IT antes de la publicación, como es la práctica estándar de la compañía en este tipo de investigaciones.
Google, Microsoft y Mozilla parchearon las vulnerabilidades de Heliconia en 2021 y 2022, y Google dice que no ha detectado ninguna explotación actual de los errores. Pero la evidencia en los envíos de errores indica que el marco probablemente se usó para explotar las fallas a partir de 2018 y 2019, mucho antes de que se parchearan. Heliconia Noise explotó una vulnerabilidad del renderizador de Chrome y un escape de sandbox, mientras que Heliconia Soft usó un PDF malicioso combinado con un exploit de Windows Defender, y Files implementó un grupo de exploits de Firefox para Windows y Linux. TAG colaboró en la investigación con miembros del grupo de búsqueda de errores Project Zero de Google y el equipo de seguridad de Chrome V8.
El hecho de que Google no vea evidencia actual de explotación puede significar que el marco de Heliconia ahora está inactivo, pero también podría indicar que la herramienta de piratería ha evolucionado. “Podría ser que haya otros exploits, un nuevo marco, sus exploits no cruzaron nuestros sistemas, o ahora hay otras capas para proteger sus exploits”, dijeron los investigadores de TAG a WIRED.
En última instancia, el grupo dice que su objetivo con este tipo de investigación es arrojar luz sobre los métodos, las capacidades técnicas y los abusos de la industria del spyware comercial. TAG creó detecciones para el servicio de navegación segura de Google para advertir sobre sitios y archivos relacionados con Heliconia, y los investigadores enfatizan que siempre es importante mantener el software actualizado.
“El crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro”, escribió TAG en una publicación de blog sobre los hallazgos. “Y si bien la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo se usa de manera dañina para realizar espionaje digital contra una variedad de grupos”.