Una turbia empresa de vigilancia privada vendió el acceso a casi media docena de fallos de seguridad poderosos en Chrome y Android el año pasado a hackers afiliados al gobierno, reveló Google el lunes.
Cytrox, una empresa secreta con sede en Macedonia del Norte, supuestamente vendió el acceso a cuatro fallos de seguridad de día cero en el navegador Chrome, así como uno en el sistema operativo Android. Sus clientes eran “actores de amenazas” vinculados al gobierno en varios países extranjeros que utilizaron los exploits para realizar campañas de piratería con el spyware invasivo “Predator” de Cytrox. Cytrox vende acceso a fallos de seguridad que requieren su software espía para explotarlos. Puede encontrar una lista completa de las vulnerabilidades en el blog de Google.
“Evaluamos con gran confianza que estos exploits fueron empaquetados por una sola compañía de vigilancia comercial, Cytrox, y vendidos a diferentes actores respaldados por el gobierno que los usaron en al menos las tres campañas que se analizan a continuación”, explicaron investigadores del Threat Analysis Group (TAG) de Google en una publicación de blog.
También se dice que Cytrox ha dado a sus clientes acceso a una serie de “días n”, vulnerabilidades que ya tenían parches emitidos para ellos. En estos casos, presumiblemente, los usuarios objetivo no habían actualizado sus dispositivos o aplicaciones.
Los hackers que compraron los servicios y el software espía de Cytrox se encontraban en todo el mundo: Grecia, Serbia, Egipto, Armenia, España, Indonesia, Madagascar y Costa de Marfil, escriben los investigadores. El equipo TAG de Google también escribe sobre una nueva tendencia inquietante: la mayoría de las vulnerabilidades de día cero que descubrieron el año pasado fueron “desarrolladas” intencionalmente por empresas de vigilancia privada como Cytrox.
“Siete de los nueve TAG descubiertos en 2021 entran en esta categoría: desarrollados por proveedores comerciales y vendidos y utilizados por actores respaldados por el gobierno”, escriben los investigadores. “TAG está rastreando activamente a más de 30 proveedores con diferentes niveles de sofisticación y exposición pública que venden exploits o capacidades de vigilancia a actores respaldados por el gobierno”.
Los escándalos de piratería relacionados con la industria de la vigilancia privada han generado una gran controversia en los últimos años. En particular, la conocida empresa de spyware NSO Group ha sido acusada de vender sus sofisticadas herramientas de intrusión digital a gobiernos de todo el mundo, incluido Estados Unidos.