Gavin de Becker, experimentado consultor personal de seguridad de Bezos y encargado de las investigaciones, decía hace un año que no creía que el móvil de Jeff Bezos hubiera sido hackeado. Pero el hombre más rico del mundo y CEO de Amazon sí fue extorsionado con publicar fotos privadas y mensajes intercambiados con su amante. ¿Cómo logró entonces el medio National Enquirer acceder a esta información? Y más importante, ¿quién está detrás del supuesto hackeo a Jeff Bezos?
Esto es lo que conocemos sobre el asunto. Un complejo entramado en el que intervienen el príncipe heredero saudí Mohammad Bin Salman, Jeff Bezos y sus infidelidades, el periodismo del Washington Post sobre el asesinato de Jamal Khashoggi y una investigación técnica de FTI Consulting que apunta a un inocente vídeo de WhatsApp como origen del teórico hackeo al móvil del magnate.
Qué ha descubierto el análisis forense del iPhone de Bezos
La firma de seguridad FTI Consulting ha analizado a fondo el iPhone X de Jeff Bezos. En el informe, revelado por Motherboard, se apunta a que no hay indicios de malware en el teléfono, aunque sí han encontrado una actividad sospechosa a partir de un vídeo que desde la cuenta de WhatsApp del príncipe saudí se envió a Jeff Bezos.
Todo se remonta, según FTI Consulting, al 4 de abril de 2018. Ese día, Jeff Bezos coincidió con el príncipe saudí MBS en una cena en Los Ángeles. Allí se intercambiaron los teléfonos y en los días subsiguientes se enviaron varios mensajes por WhatsApp saludándose. Unas semanas más tarde, desde la cuenta de MBS se envió un inocente vídeo con la bandera de Suecia y Arabia Saudí. Un vídeo encriptado con un peso de 4.22 MB que fue enviado sin previo aviso ni explicación.
Al estar encriptado, la firma de seguridad indica que es virtualmente imposible conocer si ese vídeo contenía algún código malicioso. Como apunta Alex Stamos, profesor en la Universidad de Stanford, este es un "comportamiento esperado de WhatsApp" y si la firma FTI no tiene la capacidad de análisis suficiente, quizás "deberían preguntar a Facebook o Apple para descifrar el archivo y ayudar a la investigación".
No se especifica si Jeff Bezos llegó a abrir el supuesto vídeo. Tampoco se conoce quién fue el autor de ese mensaje, pues pese a que la cuenta fuera del príncipe saudí podría haber sido enviado por otra persona.
El análisis concluye que el archivo encriptado de WhatsApp ocupaba ligeramente más que el vídeo en sí mismo y más importante, según la firma, el envío de datos transmitidos por el móvil de Bezos se incrementó a partir de entonces en aproximadamente un 29.000%.
430 KB de datos era la cantidad enviada diariamente desde el móvil de Bezos. Pero después de recibir el archivo aumentó hasta los 126MB y mantuvo una media de 101MB al día durante los meses posteriores, con picos de hasta 4,6GB. Una cantidad inusualmente superior a la media habitual en los usuarios de iPhone.
Por qué se relaciona el hackeo con Arabia Saudí y el software espía de la NSO
El análisis forense del móvil personal de Bezos se inició el pasado 24 de febrero de 2019 y ha sido dirigido por Anthony J. Ferrante, quien previamente sirvió en la División de Ciberdelincuencia del FBI. Su conclusión es que "el móvil de Bezos fue comprometido, previsiblemente a través de herramientas proporcionadas por Saud al Qahtani, presidente de la Federación Saudí de Ciberseguridad y amigo íntimo del príncipe heredero saudí Mohamed bin Salman (MBS)".
Según apunta FTI Consulting, Al Qahtani adquirió el 20% de la compañía Hacking Team, desarrolladora de programas para espiar a otras naciones. Y entre sus trabajos, en 2015 se filtró en Wikileaks que preguntaron cómo infectar dispositivos a través del envío de vídeos de WhatsApp. Esta relación y filtración es lo que ha llevado a la firma de seguridad a pensar que probablemente ese vídeo sea el origen del hackeo.
Para la firma de seguridad, la probabilidad de que la cuenta del príncipe saudí haya sido utilizada para realizar el ciberataque es "de media a alta". Y es que más allá del incremento de los datos transmitidos, la investigación descubrió que al menos en dos ocasiones se enviaron textos a Bezos desde la cuenta de MBS que podían revelar un conocimiento de información privada que no se conocía públicamente en ese momento.
Un mes después del asesinato del periodista Jamal Khashoggi, Bezos recibió otro mensaje desde la cuenta de MBS. En esta ocasión era la de una mujer, con un mensaje de "Discutir con una mujer es como leer un acuerdo de licencia de software. Al final tienes que ignorarlo todo y clicar 'de acuerdo". Se trata de un mensaje bastante sospechoso, pues en esa época Jeff Bezos se encontraba inmerso en su proceso de divorcio y la imagen recuerda a Lauren Sanchez, amante con la que mantenía una relación pero que no se había hecho público por entonces.
Estas evidencias han llevado a expertos de las Naciones Unidades a considerar que la Monarquía Saudí está implicada en la vigilancia a Jeff Bezos. Según Agnes Callamard, relator especial de la ONU en ejecuciones sumarias y extrajudiciales y David Kaye, relator de la ONU en libertad de expresión:
"Esta vigilancia informada del Sr. Bezos, supuestamente a través de un software desarrollado y comercializado por una empresa privada y transferido a un gobierno sin control judicial de su uso, es, de ser cierto, un ejemplo concreto de los daños que resultan de la comercialización y venta sin restricciones. y el uso de software espía".
La investigación ha llevado a la ONU a varias conclusiones. En primer lugar que no se ha detectado malware ni se han encontrado evidencias de dominios relacionados con tráfico malicioso. Tampoco se han encontrado evidencias de jail-breaking ni otros exploits de iOS conocidos. Sí se hace hincapié en el envío de datos de manera anómala. Finalmente, el informe de la ONU basado en las investigaciones de la firma de seguridad FTI, indica que la "explicación más lógica es el uso de spyware como Pegasus de la NSO o, menos posible, Galileo de Hacking Team, que puede mirar legítimamente aplicaciones y ofuscar su actividad".
A finales de octubre de 2019, WhatsApp denunció a NSO Group por usar su aplicación para espionaje. Según la empresa de Zuckerberg, hasta 1.400 personas podrían haberse visto afectadas por su spyware en más de 20 países. "WhatsApp continuará haciendo todo lo posible dentro de nuestro código, y dentro de los tribunales de justicia, para ayudar a proteger la privacidad y la seguridad de nuestros usuarios en todas partes", dijo el jefe de WhatsApp, Will Cathcart en ese momento.
Y es que la firma israelí NSO Group es uno de los vendedores actuales más conocidos de software espía y acostumbra a estar relacionada con los problemas de seguridad más sonados. El teléfono de Bezos habría sido, según apunta la investigación, hackeado usando el spyware Pegasus, un poderoso malware privado ofrecido sin supervisión judicial.
En declaraciones a Vice, la firma israelí NSO ha explicado que está "conmocionado y horrorizado por esta historia" y estará "feliz de colaborar con la ONU, el Sr. Bezos o cualquier otro organismo para comprender totalmente estos temas", pero también ha negado cualquier participación en este supuesto hackeo y amenazó con acciones legales contra "cualquier sugerencia" de que estaba involucrado. Aunque NSO es conocida por sus polémicas declaraciones.
Qué sabemos de Pegasus y qué otros spyware se han barajado
"La intrusión se llevó a cabo probablemente a través de un conocido producto de spyware identificado en otros casos saudíes de vigilancia, como spyware Pegasus-3 de NSO Group, un producto que ha sido comprado y utilizado por las autoridades saudíes", apunta el comunicado de las Naciones Unidas. "Esto sería coherente con otras informaciones. Por ejemplo, el uso de WhatsApp como plataforma para permitir la instalación de Pegasus en los dispositivos está bien documentado y es objeto de una demanda de Facebook/WhatsApp contra NSO Group".
El origen de Pegasus se remonta a agosto de 2016. O al menos esa es la fecha en la que escuchamos hablar de este spyware por primera vez a través de un activista de los Emiratos Árabes Unidos, Ahmed Mansoor. Los investigadores de Lookout y Citizen Lab descubrieron una "amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple".
Tres vulnerabilidades (CVE-2016-4655, CVE-2016-4656 y CVE-2016-4657) que fueron parcheadas en iOS 9.3.5. Es decir, en el caso del iPhone X de Bezos no habría sido posible aplicar el spyware Pegasus tal y como lo conocemos hasta ahora. Salvo que la firma israelí haya descubierto otras vulnerabilidades zero-day que no hayan sido reveladas.
Algo que como apunta Román Ramírez, fundador de RootedCON, evento de referencia en España sobre seguridad, es de lo más habitual pues "su tipo de negocio depende de que tengan 0days propios, investigados por ellos mismos y que nadie más conoce". Una vulnerabilidades por las que se llegan a pagar millones de dólares.
Pegasus es un software espía muy potente. Permite leer en tiempo real qué está escribiendo su usuario, conectar el micrófono y oír las conversaciones, rastrear la ubicación o leer los archivos. Básicamente accede a todos los permisos del teléfono y permite obtener la misma información que tendría su dueño. Según la propia NSO, la firma sería capaz además de acceder a la nube de las grandes empresas tecnológicas: Apple, Amazon, Microsoft y Google.
El software de NSO Group ha sido utilizado por diversos países. En México, el ex-presidente Enrique Peña Nieto espió a periodistas y activistas con pegasus, mientras que en Uganda y Mozambique también se utilizó Pegasus para espiar a la oposición.
Además de Pegasus, la segunda opción nombrada por la investigación apunta (con menos probabilidad) hacia Hacking Team. El equipo italiano que ya vendió spyware a varios países y donde Saud Al-Qahtani, asesor de ciberseguridad del príncipe saudí, mantiene una importante participación.
Las Naciones Unidas quieren aclarar lo ocurrido
El análisis forense del iPhone de Bezos se ha realizado para intentar conocer todos los detalles de esta trama. Y es que las Naciones Unidas creen que Arabia Saudí está implicada en la extorsión a Jeff Bezos por la implicación de su periódico en el asesinato de Khashoggi.
Según los relatores de la ONU, el supuesto hackeo a Bezos ocurrió en un periodo similar a cuando los móviles de Yahya Assiri y Omar Abdulaziz, dos personas cercanas a Khashoggi, también fueron hackeados supuestamente mediante Pegasus.
La embajada de Arabia Saudí en los EE.UU ha mostrado su indignación en las redes sociales por los informes que les relacionan con el hackeo a Jeff Bezos y considera esta información "absurda".
Recent media reports that suggest the Kingdom is behind a hacking of Mr. Jeff Bezos' phone are absurd. We call for an investigation on these claims so that we can have all the facts out.
— Saudi Embassy (@SaudiEmbassyUSA) January 22, 2020
La respuesta por parte de Jeff Bezos tampoco se ha hecho esperar. El CEO de Amazon estuvo presente en el recuerdo a Khashoggi y simplemente ha publicado un tuit con una foto suya y el hashtag de #Jamal. Desde los EE.UU, el senador Ron Wyden ha solicitado a través de The Guardian a Bezos que ofrezca todos los detalles posibles para prevenir ataques similares.
#Jamal pic.twitter.com/8ej1rUBXVb
— Jeff Bezos (@JeffBezos) January 22, 2020
Resolver el supuesto hackeo a Jeff Bezos es importante, pues no solo descubriríamos la implicación de Arabia Saudí en el asesinato de Khashoggi y sus intentos de silenciar la investigación, sino que arrojaríamos algo más de luz sobre el papel de NSO Group y el uso de las vulnerabilidades. Una batalla por la ciberseguridad que ataca a personalidades como Jeff Bezos, pero afecta a la seguridad de nuestros sistemas.
Imagen | Thierry Ehrmann
Ver 22 comentarios