Según la investigación publicada recientemente por Meta, la empresa matriz de Facebook, distintos grupos privados de vigilancia y hackeo de tipo mercenario han utilizado Facebook e Instagram para atacar a 50.000 personas en más de 100 países.

Hace tiempo que se conoce la existencia de empresas privadas que utilizan sofisticadas herramientas digitales para indagar en los secretos laborales y privados de otras personas, a veces como parte de esfuerzos legítimos para aplicar la ley, pero también a menudo de formas dudosas desde el punto de vista legal y ético. Pero, durante mucho tiempo, el debate público sobre la vigilancia por encargo se ha centrado únicamente en un puñado de compañías y sus capacidades, a pesar de que la floreciente industria de la cibervigilancia incluye a centenares de empresas de todo el mundo. La investigación de Meta (que sus autores describieron en detalle en una rueda de prensa que tuvo lugar la semana pasada) habla de vigilancia masiva del sector privado a una escala nunca vista.

El jefe de Política de Seguridad de Facebook, Nathaniel Gleicher, detalló: "Los cibermercenarios suelen insistir en que sus servicios y su software de vigilancia están pensados para el seguimiento de delincuentes y terroristas. Pero nuestra investigación y otras similares realizadas por investigadores independientes, por expertos de la industria y por gobiernos, han demostrado que esta actividad es, de hecho, indiscriminada. Avisaremos a las aproximadamente 50.000 personas que creemos que fueron el objetivo de estas empresas, en nuestras plataformas y en otras. Se trata de periodistas, defensores de los derechos humanos, activistas, disidentes, clérigos, figuras de la oposición política y sus familias".

Gleicher y su equipo nombraron siete empresas de vigilancia de todo el mundo que, según su investigación, estaban llevando a cabo vigilancia ilícita. Dichas compañías cuentan con un vasto y diverso conjunto de clientes, incluido el Gobierno de Estados Unidos.

• Cobwebs Technologies, empresa israelí con oficinas y clientes en EE. UU., acabó con 200 cuentas eliminadas por recopilar información sobre los objetivos y realizar ingeniería social para revelar información privada. La compañía trabaja para las fuerzas del orden, según los investigadores, y también se utiliza para atacar a activistas, políticos de la oposición y funcionarios gubernamentales en México y Hong Kong (China). La portavoz de Cobwebs, Meital Levi Tal, dijo a MIT Technology Review que la compañía no estaba al tanto de los hallazgos de Meta y que "operaba solo de acuerdo con la ley y que cumplía estrictas normas en cuanto a la protección de la privacidad".

• La empresa israelí Cognyte perdió 100 cuentas presuntamente dedicadas a monitoreizar objetivos, incluidos periodistas y políticos de todo el mundo.

• Black Cube es otra compañía israelí asociada con una inmensa lista de escándalos, incluido su historial de espionaje a periodistas. Los investigadores de Facebook aseguran que la empresa recopilaba inteligencia sobre una amplia variedad de objetivos desde activistas palestinos hasta personas del sector médico y energético y académicos, especialmente dentro de Rusia. Según los informes, Black Cube creaba perfiles falsos, como estudiantes, trabajadores de derechos humanos y productores de películas. Los investigadores resaltan que la compañía normalmente se hacía amiga de una persona y luego establecía llamadas telefónicas para obtener la dirección de correo electrónico del objetivo, con el objetivo probable de llevar a cabo distintas tácticas como ataques de phishing. Cuando fue contactada para hacer comentarios, Black Cube negó haber realizado operaciones de hackeo e insistió en que todas las "actividades de los agentes respetaban plenamente las leyes locales".

• Otra empresa israelí, Bluehawk CI, es conocida por hacerse pasar por periodistas y engañar a sus objetivos para que instalen malware. Facebook especificó que había eliminado 100 cuentas vinculadas a Bluehawk CI que la compañía concluyó que se utilizaban ampliamente contra sus objetivos, incluidos oponentes políticos del Gobierno de los Emiratos Árabes Unidos y empresarios de todo el Medio Oriente.

• La empresa india BellTroX lleva activa durante al menos siete años en la industria de la vigilancia. Facebook eliminó 400 cuentas asociadas con BellTroX que, según los investigadores, se habían usado para hacerse pasar por políticos y periodistas y organizar ataques de phishing contra sus víctimas, incluidos médicos, abogados, activistas y miembros del clero en Angola, Argentina, Arabia Saudita e Islandia.

• La empresa Cytrox de Macedonia del Norte se dedica principalmente al hackeo, según los investigadores. Cytrox atacaba a periodistas y políticos de todo el mundo y forma parte de una alianza de compañías de vigilancia e inteligencia conocida como Intellexa. Los directivos de otra empresa de Intellexa, Nexa Technologies, fueron acusados a principios de este año por su presunto papel en el espionaje y la tortura de disidentes en Libia y Egipto.

• Finalmente, una organización no identificada de China fue vinculada a una gran operación de vigilancia que incluyó el uso de ingeniería social contra objetivos y el desarrollo de malware para espiar a grupos minoritarios en Xinjiang (China), así como en Myanmar y Hong Kong.

La empresa matriz de Facebook, Meta, que en 2019 demandó a la compañía de hackeo israelí NSO Group, ha enviado cartas de cese y desistimiento a cada una de estas empresas, además de compartir alertas a las aproximadamente 50.000 víctimas que ha identificado. Las alertas indican que "un actor sofisticado podría estar atacando su cuenta de Facebook" y luego recomiendan pasos para protegerla mejor, incluida la realización de una verificación de privacidad.

El objetivo final del trabajo, según los investigadores, es ampliar el debate sobre la industria de la vigilancia por encargo. Recomiendan fortalecer la transparencia y las leyes de "conocer al cliente", profundizar la colaboración de la industria para contrarrestar a las empresas de vigilancia y aumentar la responsabilidad a través de nuevas leyes y especialmente las de control de exportaciones.

Los investigadores añadieron que no todo el trabajo de estas empresas parece infringir las leyes y los estándares éticos conocidos; se sabe que algunas de estas compañías usan Facebook e Instagram para llevar a cabo trabajos legítimos de inteligencia y aplicación de la ley. Pero ambas plataformas han establecido canales para que la policía solicite datos legalmente de una manera que cumpla con el debido proceso y la transparencia.

Gleicher añadió: "El modo de trabajo de estas empresas que hemos detectado no es así. Son ataques indiscriminados a la sociedad. Estas compañías están diseñadas para ocultar quiénes son sus clientes. Si un gobierno extranjero quiere dificultar el trabajo a los defensores públicos, contrata a una empresa como esta para crear una capa de confusión entre sus acciones y el daño que producen".

Además de las cartas de cese y desistimiento y la eliminación generalizada de cuentas, Gleicher no descartó futuras demandas contra alguna de las empresas infractoras. Aun así, los investigadores han señalado que es probable que descubrir actividades de vigilancia por encargo sea un desafío continuo.

El director de Interrupción de amenazas en Facebook, David Agranovich, concluyó: ""Cuando vemos que las redes se involucran en este tipo de actividad, adoptamos un enfoque de red. Eliminamos toda su actividad en la plataforma al mismo tiempo. Y, sabiendo que son redes adversarias, trabajamos para mantenerlas fuera de nuestra plataforma".