Las nuevas revelaciones del peritaje digital a Nisman

El experto en seguridad informática Morgan Marquis-Boire, que descubrió que el teléfono del fiscal Alberto Nisman tenía un potente virus espía, publicó ayer un extenso y meduloso artículo en The Intercept con los detalles técnicos de sus hallazgos.Morgan-Marquis-Boire

The Intercept es un sitio de First Look Media, la compañía fundada, entre otros, por Pierre Omidyar, que creó eBay.com en 1995, y Glenn Greenwald, el primero en publicar las revelaciones de Edward Snowden en el diario inglés The Guardian, en 2013.
Marquis-Boire, que fue entrevistado por LA NACION hace 10 días, había presentado pruebas de la campaña de espionaje contra el fiscal en la convención de hackers Black Hat, el 5 del actual. La noticia tuvo un enorme impacto en la Argentina y el domingo 16, en su programa de TV “Periodismo Para Todos”, Jorge Lanata dijo que habían descubierto que en su computadora estaba el mismo virus que en el teléfono de Nisman. El archivo fue puesto a disposición del público vía Twitter y Marquis-Boire confirmó ayer, en su artículo, que el virus que estaba en el teléfono de Nisman es el mismo que el de la computadora de Lanata.
La extensa nota en The Intercept muestra, entre otras cosas, que el ataque informático contra Nisman no fue un caso aislado y que “la persona o personas detrás del intento de monitoreo parecen haber ejecutado otras operaciones de vigilancia en las que estaban involucradas varias ubicaciones de América latina”. El experto también observa que en el proceso se crearon al menos cuatro versiones de los programas espía, que se comunicaban con el mismo servidor, y que dejaron rastros de que sus operaciones estaban activas por lo menos hasta marzo, lo que sugiere la posibilidad de que este espionaje online continúe todavía en la actualidad.
Esta clase de programa espía envía la información tomada de los dispositivos de las víctimas a centros de comando y control, desde donde reciben también las órdenes sobre lo que deben hacer. “En el caso de Nisman y Lanata, él programa espía era el mismo y se comunicaba con el mismo dominio remoto, “deyrep24.ddns.net”, por lo que puede presumirse que eran controlados por las mismas personas”, escribe Marquis-Boire. El virus (técnicamente, un troyano) encontrado en el teléfono de Nisman estaba preparado para ejecutarse en Windows, no en el teléfono, donde seguramente llegó cuando el fiscal leyó sus mails con el dispositivo móvil.
Unos párrafos más adelante, Marquis-Boire responde también a los dichos de Aníbal Fernández, que había minimizado la importancia del virus hallado en el teléfono de Nisman, calificándolo de algo común e intrascendente. “Su opinión amateur es incorrecta en ambos aspectos -afirma Marquis-Boire-. Este tipo de código malicioso no es similar al ransomware y las estafas bancarias que los usuarios comunes reciben habitualmente.
Es algo usado para ver de forma remota las actividades de un individuo marcado como blanco y es altamente invasivo”.La investigación de The Intercept descubrió otros 3 programas espía que se comunicaban con el mismo centro de comando y control. El más antiguo (un archivo con el nombre “3 MAR PROYECTO GRIPEN.docx.jar”) fue creado el 20 de noviembre del año último y subido a la base de datos Virus Total (una empresa de Google) dos días después desde una dirección IP en Ecuador.
Una segunda muestra (“Documentos.pdf.jar”) fue creada el 23 de diciembre de 2014 y subida desde la Argentina a Virus Total el 4 de junio del actual; en este caso, continúa el artículo, se usó otro programa espía, llamado “Adzok – Invisible Remote Administrator”, que se vende online por 990 dólares, aunque los atacantes emplearon la versión gratis.
La tercera muestra (“Reporte Confidencial.pdf.jar”) fue creada el 9 de enero de 2015 y subida a Virus Total al día siguiente, también desde una dirección IP en Ecuador.
“Además -escribe Marquis-Boire-, descubrimos que los espías crearon un nuevo dominio de comando y control, “daynews.sytes.net”, que pudimos vincular al servidor de comando y control usado en el ataque a Nisman y Lanata y relacionado con las otras muestras de programas espía. Los dos servidores estaban hospedados en la misma dirección IP simultáneamente e incluso fueron movidas a una nueva dirección y un nuevo servicio de hosting a la vez”.
En diálogo con LA NACION, Marquis-Boire dijo que “mudar la infraestructura (por ejemplo, los dominios de comando y control) es una táctica común para frustrar el rastreo de la fuente de una campaña de espionaje digital”.

El experto ha investigado muchas campañas de espionaje estatal. Entre otras:

  • https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
  • http://www.nytimes.com/2012/08/31/technology/finspy-software-is-tracking-political-dissidents.html?_r=0
  • http://www.bloomberg.com/news/articles/2012-10-10/spyware-leaves-trail-to-beaten-activist-through-microsoft-flaw
  • http://www.wired.com/2013/12/syria-report/

Consultado sobre qué tan sofisticada es la campaña conducida contra Nisman en comparación con las otras que le ha tocado estudiar, el experto respondió: “Es mejor que la que investigué en Siria y peor que la del GCHQ inglés. Eso deja mucho espacio en medio”.
Según dijo a LA NACION, Marquis-Boire decidió publicar el artículo en The Intercept porque “después de presentar esto en Black Hat quería mostrar los detalles completos de la investigación, debido a que es un caso de mucha notoriedad, y quería no sólo que la gente pudiera revisarlos, sino también que los expertos pudieran reproducir la investigación. De allí el apéndice con los detalles técnicos al final”.