Hace 7 días, en la versión estadounidense de una de las convenciones de hackers más importantes del mundo, llamada Black Hat, el experto en seguridad Morgan Marquis-Boire ofreció pruebas de que el teléfono celular del fiscal Alberto Nisman, que fue encontrado muerto en su departamento de un tiro en la cabeza el 18 de enero, había sido infectado con un poderoso programa espía.
El canadiense-neozelandés Marquis-Boire es una prestigiosa figura de la seguridad informática, cuyas investigaciones han llegado hasta la primera plana del New York Times y el Washington Post. Graduado en la universidad de Auckland, Marquis-Boire es actualmente director de seguridad de First Look Media, donde colabora, además, con The Intercept. Es, a la vez, investigador senior delCitizen Lab de la Universidad de Toronto y, antes de esto, trabajó durante 6 años en el equipo de seguridad informática de Google.
Consejero especial de la Electronic Frontier Foundation en San Francisco, Estados Unidos; del Instituto de Investigación de Justicia y Crimen Inter Regional de las Naciones Unidas; de la Fundación para la Libertad de Prensa, y de Amnesty International, Marquis-Boire suele dar conferencias sobre seguridad, vigilancia y espionaje por parte de las Naciones-Estado en casas de estudio notables, como el Massachusetts Institute of Technology y las universidades de Harvard, Stanford, Toronto y Milán.
Cuando LA NACION se puso en contacto con Marquis-Boire, el viernes último, el investigador se encontraba viajando a otra convención de hackers, Def Con, establecida en 1993 por Jeff Moss, el mismo fundador de Black Hat. No obstante, encontró tiempo para responder exhaustivamente las preguntas del diario. Este es el diálogo que Marquis-Boire mantuvo con LA NACION mediante numerosos correos electrónicos. Los links fueron insertados por la Redacción con fines de ampliar la información.
-¿Por qué decidió investigar sobre el smartphone de Alberto Nisman?
-Porque su caso ha tenido mucha notoriedad en todas partes del mundo. Leí artículos sobre el tema en el New York Times, The New Yorker y otros medios. Hay mucha controversia respecto de la forma en que murió.
-¿Qué es lo que encontró y dónde expuso sus hallazgos?
-Los expuse en la conferencia Black Hat USA 2015. Di una charla con Marion Marschalek [ingeniera en Cyphort Inc.] llamada Caza Mayor: las peculiaridades de la investigación sobre el malware de las Naciones-Estado. Durante la charla, analicé el hecho de que Alberto Nisman había sido blanco de un RAT, siglas de Remote Access Toolkit. Se trata de una clase de software que permite a un hacker o a un espía acceder de forma remota a la computadora o el dispositivo móvil de alguien. Esta clase de programa le permitiría a terceros grabar los correos electrónicos, mensajes de texto, obtener capturas de pantalla, incluso oír a esa persona por medio del micrófono o tomar fotos usando la webcam de la notebook o la cámara del teléfono.
-¿Cómo descubrió que Nisman había sido blanco de un RAT? Usted no tuvo acceso al teléfono del fiscal.
-La pista provino de una noticia publicada en el diario Tiempo Argentino. La nota dice que la policía encontró archivos sospechosos durante su investigación de los dispositivos digitales de Nisman. También dice que subieron esos archivos a un sitio web que ofrece un antivirus online. El artículo menciona un nombre de archivo, "estrictamente secreto y confidencial.pdf.jar". [grosso modo, un archivo JAR es un tipo de archivo que permite ejecutar aplicaciones escritas en el lenguaje Java] Al buscar este nombre de archivo en el sitio Virus Total se encuentra una sola coincidencia, un archivo que fue subido desde Buenos Aires, Argentina, el 29 de mayo último.
"El programa espía en cuestión es una herramienta conocida como Alien Spy, que se vende online. Este software es el resultado de varias iteraciones. Originalmente, se trató de una prueba de concepto, un spyware conocido como Frutas. Luego se lo desarrolló para ponerlo a la venta, bajo el nombre de Adwind, y fue más tarde rebautizado como Unrecom. Recientemente, ha sido empleado en ataques dirigidos bajo el nombre de Alien Spy.
Alberto Nisman fue hallado muerto en su departamento en enero pasado. Foto: Archivo "Las marcas temporales muestran que el malware parece haber sido empacado el 1° de diciembre de 2014, más o menos 6 semanas antes de la muerte de Nisman. Las investigaciones de la infraestructura muestran que la gente detrás de esto parece haberse dirigido a otros objetivos, empleando contenidos políticos como carnada.
"Los indicadores de esta campaña basados en la Red (incluidos los dominios relacionados y las muestras de malware) apuntan a la Argentina y Uruguay. Sin embargo, también observamos estos servicios de hospedaje en Estados Unidos, Alemania y Suecia. Es difícil atribuir de una manera concluyente esta clase de ataques.
-¿Qué significa empacar un archivo, en este caso?
-Empacar [packing, en inglés] es un término que significa ocultar un programa ejecutable de modo que parezca otra cosa, aunque sigue siendo capaz de correr y los resultados cuando se lo ejecute serán los mismos. Los maleantes suelen usar empacadores personalizados con sus malware, de tal modo que resulte más difícil que los antivirus los detecten.
"[En el caso de Nisman] es probable que la técnica usada haya sido la que de enviarle un mail tentándolo a descargar y abrir el adjunto. Aunque el artículo de prensa dice que el archivo malicioso fue encontrado en su teléfono, es probable que los atacantes hayan tenido como blanco su notebook. Esta técnica se conoce como spear-phishing, un tipo de ataque que va dirigido una organización específica, buscando acceder a datos confidenciales.
-¿Su conclusión es que Nisman estaba siendo activamente espiado por un gobierno o esta clase de software malicioso es más o menos común?
-No parece ser un caso de crimen cibernético no dirigido. Es diferente en su naturaleza de los troyanos bancarios y los ransomware que mucha gente común recibe. Este malware parece haber sido dirigido específicamente a Nisman, y el tipo de software utilizado permite niveles de acceso a la vida en línea de la víctima altamente invasivos. Es difícil decir de forma concluyente si Nisman estaba siendo espiado o era blanco de un gobierno. Incluso si tuviera acceso a todos sus dispositivos y se me permitiera poner en práctica todos los análisis forenses, siempre es difícil atribuir de manera concluyente este tipo de campañas.
-¿Usted fue contactado por las autoridades argentinas?
-Sí.
-¿Cuándo?
-Inmediatamente después de que di mi charla.
-¿Quién se puso en contacto con usted, la Justicia, la policía, o el gobierno?
-Prefiero no aclarar eso. No sé con qué se sienten cómodos en esta etapa..