Los gobiernos de Australia, Canadá, Chipre, Dinamarca, Israel y Singapur son probablemente clientes del fabricante de spyware israelí Paragon Solutions, según un nuevo informe técnico de un renombrado laboratorio de seguridad digital.
El miércoles, el Citizen Lab, un grupo de académicos e investigadores de seguridad alojados en la Universidad de Toronto que ha investigado la industria del spyware durante más de una década, publicó un informe sobre la startup de vigilancia fundada israelí, identificando a los seis gobiernos como “despliegues de paragón sospechosos”.
A finales de enero, WhatsApp notificó a alrededor de 90 usuarios que la compañía creía que estaban atacados con Paragon Spyware, lo que provocó un escándalo en Italia, donde viven algunos de los objetivos.
Paragon ha tratado de distinguirse durante mucho tiempo de los competidores, como NSO Group, cuyo spyware ha sido abusado en varios países, al afirmar ser un proveedor de spyware más responsable. En 2021, un ejecutivo de Paragon senior sin nombre dijo a Forbes que los regímenes autoritarios o no democráticos nunca serían sus clientes.
En respuesta al escándalo provocado por las notificaciones de WhatsApp en enero, y en lo que quizás fue un intento de reforzar sus afirmaciones sobre ser un proveedor de spyware responsable, el presidente ejecutivo de Paragon, John Fleming, dijo a TechCrunch que la compañía “licencia su tecnología a un grupo selecto de democracias globales, principalmente, Estados Unidos y sus todas las tendencias”.
Los medios de comunicación israelíes informaron a fines de 2024 que los socios industriales del capital de riesgo de EE. UU. Habían adquirido Paragon por al menos $ 500 millones por adelantado.
En el informe el miércoles, Citizen Lab dijo que fue capaz de mapear la infraestructura del servidor utilizada por Paragon para su herramienta Spyware, que el grafito con nombre en código del proveedor, basado en “una punta de un colaborador”.
A partir de ese consejo, y después de desarrollar varias huellas digitales capaces de identificar servidores Paragon asociados y certificados digitales, los investigadores de Citizen Lab encontraron varias direcciones IP alojadas en las compañías locales de telecomunicaciones. Citizen Lab dijo que cree que estos son servidores que pertenecen a los clientes de Paragon, en parte basados en las iniciales de los certificados, que parecen coincidir con los nombres de los países en los que se encuentran los servidores.
Según Citizen Lab, una de las huellas digitales desarrolladas por sus investigadores condujo a un certificado digital registrado en grafito, en lo que parece ser un error operativo significativo por parte del fabricante de espíese.
“La evidencia circunstancial fuerte respalda un vínculo entre Paragon y la infraestructura que mapeamos”, escribió Citizen Lab en el informe.
“La infraestructura que encontramos está vinculada a las páginas web tituladas ‘Paragon’ devuelta por direcciones IP en Israel (donde se basa Paragon), así como un certificado TLS que contiene el nombre de la organización ‘Grafito'”, dijo el informe.
Citizen Lab señaló que sus investigadores identificaron varios otros nombres en código, lo que indica otros clientes gubernamentales potenciales de Paragon. Entre los presuntos países de los clientes, Citizen Lab seleccionó a la Policía Provincial de Ontario (OPP) de Canadá, que específicamente parece ser un cliente de Paragon dado que una de las direcciones IP para el presunto cliente canadiense está directamente vinculado a la OPP.
Contáctenos
¿Tiene más información sobre Paragon y esta campaña de spyware? Desde un dispositivo no laboral, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en la señal al +1 917 257 1382, o por telegrama y keybase @lorenzofb, o correo electrónico. También puede comunicarse con TechCrunch a través de SecureDROP.
TechCrunch se comunicó con los portavoces para los siguientes gobiernos: Australia, Canadá, Chipre, Dinamarca, Israel y Singapur. TechCrunch también contactó a la Policía Provincial de Ontario. Ninguno de los representantes respondió a nuestras solicitudes de comentarios.
Cuando TechCrunch, Fleming, de Paragon, dijo que Citizen Lab se acercó a la compañía y proporcionó “una cantidad muy limitada de información, algunos de los cuales parecen ser inexactos”.
Fleming agregó: “Dada la naturaleza limitada de la información proporcionada, no podemos ofrecer un comentario en este momento”. Fleming no respondió cuando TechCrunch preguntó qué era inexacto sobre el informe de Citizen Lab, ni respondió a las preguntas sobre si los países identificados por Citizen Lab son clientes de Paragon o el estado de su relación con sus clientes italianos.
Citizen Lab señaló que todas las personas que fueron notificadas por WhatsApp, que luego contactaron a la organización para analizar sus teléfonos, usaban un teléfono Android. Esto permitió a los investigadores identificar un “artefacto forense” dejado por el spyware de Paragon, que los investigadores llamaron “Bigpretzel”.
El portavoz de Meta, Zade Alsawah, dijo a TechCrunch en un comunicado que la compañía “puede confirmar que creemos que el Laboratorio de Ciudadanos del Indicador se refiere como Bigpretzel está asociado con Paragon”.
“Hemos visto de primera mano cómo el spyware comercial puede ser armado para atacar a los periodistas y la sociedad civil, y estas compañías deben ser responsables”, decía la declaración de Meta. “Nuestro equipo de seguridad está trabajando constantemente para mantenerse a la vanguardia de las amenazas, y continuaremos trabajando para proteger la capacidad de las personas para comunicarse en privado”.
Dado que los teléfonos Android no siempre preservan ciertos registros de dispositivos, Citizen Lab señaló que es probable que más personas fueran atacadas por el spyware de grafito, incluso si no había evidencia del spyware de Paragon en sus teléfonos. Y para las personas que fueron identificadas como víctimas, no está claro si fueron atacadas en ocasiones anteriores.
Citizen Lab también señaló que el spyware de grafito de Paragon se dirige y compromete aplicaciones específicas en el teléfono, sin necesidad de ninguna interacción del objetivo, en lugar de comprometer el sistema operativo más amplio y los datos del dispositivo. En el caso de Beppe Caccia, una de las víctimas en Italia, que trabaja para una ONG que ayuda a los migrantes, Citizen Lab encontró evidencia de que el spyware infectó otras dos aplicaciones en su dispositivo Android, sin nombrar las aplicaciones.
Se dirige a aplicaciones específicas en lugar del sistema operativo del dispositivo, señaló Citizen Lab, puede dificultar que los investigadores forenses encuentren evidencia de un truco, pero pueden dar a los fabricantes de aplicaciones más visibilidad de las operaciones de spyware.
“El spyware de Paragon es más complicado de detectar que los competidores como [NSO Group’s] Pegaso, pero, al final del día, no hay un ataque de spyware ‘perfecto’ “, dijo Bill Marczak, investigador principal de Citizen Lab, a TechCrunch”.
Tal vez las pistas se encuentran en diferentes lugares de los que estamos acostumbrados, pero con colaboración e intercambio de información, incluso los casos más difíciles se desmoronan “.
Citizen Lab también dijo que analizó el iPhone de David Yambio, quien trabaja en estrecha colaboración con Caccia y otros en su ONG. Yambio recibió una notificación de Apple acerca de que su teléfono fue atacado por Mercenary Spyware, pero los investigadores no pudieron encontrar evidencia de que estaba atacado con el spyware de Paragon.
Apple no respondió a una solicitud de comentarios.
