Tykelab, una empresa italiana en el punto de mira por sus programas espía

Este tipo de empresas realizan ataques encubiertos a las redes telefónicas en nombre de sus clientes y emplean sofisticados programas maliciosos.

Crofton Black, Gabriel Geiger y Riccardo Coluccini (Lighthouse Reports)

La Unión Europea (UE) está empezando a despertar ante la amenaza que supone una industria de la vigilancia fuera de control, con el conocido grupo israelí NSO y su software Pegasus en el punto de mira. Mientras el Parlamento Europeo reanuda esta semana sus audiencias sobre ese programa espía, una investigación de Mediapart, Der Spiegel, Domani, IrpiMedia EU Observer, realizada bajo los auspicios de Lighthouse Reports, revela la magnitud de las operaciones de un grupo de vigilancia europeo poco conocido cuyas herramientas se utilizan en todo el mundo, incluso en países cuyas autoridades están acusadas de corrupción y abusos de los derechos humanos.  

Tykelab, una empresa con sede en Italia, y su empresa matriz, RCS Lab Group, venden potentes tecnologías de vigilancia dentro y fuera de la UE que pueden, según sus palabras, "rastrear los movimientos de casi cualquier persona con un teléfono móvil, ya sea a unas pocas manzanas de distancia o en otro continente". 

Mediante el análisis de datos confidenciales de telecomunicaciones y el uso de información proporcionada por expertos del sector, hemos podido determinar que estas empresas utilizan una serie de herramientas de vigilancia y piratería informática. Llevan a cabo ataques encubiertos a las redes telefónicas en nombre de sus clientes y emplean sofisticados programas maliciosos, que proporcionan acceso remoto completo a un dispositivo móvil. 

Estas herramientas se han utilizado contra objetivos en el Sudeste Asiático, África, América Latina y Europa. 

Eurodiputados, profesionales del sector de las telecomunicaciones y expertos en privacidad entrevistados sobre estas revelaciones insisten en que empresas como Tykelab amenazan los derechos y la seguridad de los ciudadanos.  

“Se trata de un importante proveedor de programas espía, esta vez con sede en Europa, que no respeta el Estado de Derecho", declaró la eurodiputada Sophie In't Veld. “Ya es hora de que se regule todo el sector, que opera en una especie de zona gris en la UE. Hay que poner límites, de lo contrario nuestra democracia se rompe.” 

Según Edin Omanovic, director defensor de la ONG Privacy International, "debe quedar ahora clara para Bruselas y las capitales europeas la amenaza que supone la industria del software espía mercenario : deben tomar medidas decisivas para proteger las redes, detener el comercio y castigar a las empresas cómplices de los abusos, como ya ha hecho Estados Unidos". 

Esta investigación sigue una larga línea de revelaciones sobre las actividades de la industria del espionaje en todo el mundo. El año pasado, un consorcio de periodistas documentó cómo se había utilizado el software Pegasus contra periodistas, activistas de derechos humanos y políticos. Más recientemente, se descubrió que se había utilizado un software similar para vigilar a un periodista y a un político en Grecia. Este verano, una comisión parlamentaria europea escuchó a expertos de la sociedad civil y a un alto representante del grupo israelí NSO.  

Aprovechamiento de las vulnerabilidades de la red

Los datos confidenciales que hemos obtenido muestran cómo la empresa italiana, que se presenta como un inofensivo proveedor de servicios de telecomunicaciones, ha estado explotando discretamente las vulnerabilidades de las redes telefónicas de todo el mundo en nombre de sus clientes. 

Cuando se le preguntó por nuestras revelaciones, el grupo RCS Lab confirmó que controla Tykelab y que sus "productos y servicios se suministran a las fuerzas del orden para apoyar la prevención e investigación de delitos graves como el terrorismo, el tráfico de drogas, la delincuencia organizada, el abuso de menores, la corrupción, etc.". La empresa dijo que cumple la normativa italiana y europea en materia de exportación y asegura que su personal no está autorizado a realizar actividades operativas en apoyo de los clientes. Sin embargo, se negó a revelar ningún detalle sobre ellos. 

Varios expertos en seguridad de redes de telecomunicaciones explicaron, bajo condición de anonimato, que habían visto a Tykelab realizando actividades de vigilancia telefónica a gran escala. La empresa alquiló docenas de puntos de acceso a la red (conocidos como "Global Titles" en el sector de las telecomunicaciones) de operadores legítimos de todo el mundo y los utilizó para sondear los puntos débiles de las redes de los países y obtener en secreto datos personales, incluida la ubicación de las personas que utilizaban esas redes. 

La empresa ha sido vista realizando actividades de vigilancia en países como Libia, Nicaragua, Malasia y Pakistán, así como en Italia y otros lugares de la UE. 

“Cada vez son más activos", afirma un experto que lleva meses siguiendo las actividades de Tykelab en varias redes telefónicas. “Desde principios de este año, han aumentado el número de ataques, y ahora es constante"

Tykelab forma parte de un conglomerado italiano de vigilancia en expansión, RCS Lab, que tiene sucursales en Francia, Alemania y España, así como otra sucursal en Italia, Azienda Informatica Italiana. El grupo fue adquirido recientemente por otra empresa de seguridad italiana, Cy4Gate. 

Tykelab tiene su sede en Roma, en la segunda planta de un edificio normal de oficinas. Pero expertos en seguridad de redes de telecomunicaciones se dieron cuenta el año pasado de que la empresa estaba dirigiendo grandes cantidades de tráfico sospechoso a través de un grupo de redes telefónicas con sede en el Pacífico Sur. Era una de las muchas señales de alarma. 

Los datos confidenciales verificados por Lighthouse Reports muestran cómo, en un solo día de 2022, Tykelab utilizó uno de los operadores telefónicos del grupo con sede en un lejano archipiélago para enviar miles de búsquedas sospechosas a Malasia.  

Esas búsquedas, en una red débilmente protegida, dan lugar a la revelación de la ubicación de los usuarios de teléfonos. No existe ningún rastro de actividad en el propio teléfono, y un usuario individual poco puede hacer para evitar el ataque

Otros datos muestran cómo, durante un periodo de diez días en junio, la empresa utilizó 11 puntos de acceso a la red desde islas del Pacífico para enfocarse en personas de Costa Rica, Nicaragua, Libia y Pakistán, así como a Irak, Mali, Macedonia, Grecia, Portugal e Italia.  

"Los vemos sondear las redes y buscar de forma persistente y sistemática formas de eludir los sistemas de protección. También vemos que hacen un seguimiento descarado y selectivo de las personas", afirma el analista que ha recopilado el conjunto de datos.  

"Aunque la mayoría de estos ataques tienen como objetivo la revelación de ubicaciones, en Libia hemos visto actividad consistente en intentos de interceptar llamadas o SMS", añadió. 

Este analista explica que, además de los casos claros de vigilancia de personas, la empresa parece estar explorando los puntos débiles de las redes telefónicas de forma más general. Un mapa de la actividad de la empresa que pudimos examinar muestra cómo, en sólo dos días, sondeó redes en casi todos los países del mundo. 

"Esto parece una operación de gran barrido diseñado para identificar las redes globales menos defendidas", comentó el analista. 

Jean Gottschalk, de la consultora de seguridad móvil estadounidense Telecom Defense, revisó los datos a petición de Lighthouse Reports y confirma que indican una actividad sospechosa. "Los mensajes específicos que se han observado suelen ser enviados por plataformas de geolocalización cuyo objetivo es rastrear los movimientos de objetivos de alto valor", afirma. 

Desde principios de la década de 2010, es de dominio público que el sistema SS7 (que enlaza las redes de telefonía móvil de todo el mundo para que las compañías telefónicas puedan rastrear el paradero de sus clientes cuando viajan) puede ser explotado con fines de vigilancia. Empresas especializadas ofrecen este tipo de servicios a clientes gubernamentales, y algunos operadores telefónicos han puesto en marcha sofisticados cortafuegos para contrarrestar los riesgos de vigilancia. Pero, en general, el sector considera que es un problema complejo y costoso de resolver. 

Entre bastidores, profesionales de las telecomunicaciones han dado la voz de alarma sobre las actividades de Tykelab. Un informe confidencial para un foro de la industria privada le atribuye más de 27.000 ataques a la red en partes de África, el sudeste asiático y Europa en el primer semestre de 2022. En Canadá, el Centro de Ciberseguridad del gobierno (CCCS) identificó recientemente tres puntos de acceso de Tykelab como principales conductos para el tráfico sospechoso. 

La alerta del CCCS hizo que se pidiera el corte de una pequeña parte del acceso de Tykelab a las redes telefónicas mundiales. Sin embargo, Pat Walshe, ex director de privacidad de la asociación comercial de telefonía móvil GSMA, afirma que estas medidas son insuficientes. "Estas revelaciones exigen una investigación inmediata por parte de los reguladores y la adopción de medidas por parte del sector", afirma. 

Uno de los analistas que investiga las actividades de Tykelab afirma que las prácticas de la empresa no se ajustan a lo que normalmente se acepta en el sector de las telecomunicaciones. “Nada justifica que una entidad italiana utilice puntos de acceso en el Pacífico Sur para enviar solicitudes de localización a individuos en Libia y Nicaragua", afirma. 

Empresas en crecimiento

El acceso a la red de Tykelab ha permitido a su empresa matriz, RCS Lab, ofrecer un sofisticado servicio de inteligencia a sus clientes, llamado Ubiqo. Un folleto de ventas explica que Ubiqo puede "rastrear los movimientos de casi cualquier persona con un teléfono móvil, tanto si está a unas manzanas de distancia como si está en otro continente", y "generar información procesando los patrones de movimiento, las ubicaciones y las horas de encuentro". 

La empresa ha dicho que espera ampliar su presencia en los mercados de ultramar, a lo que podrían contribuir los problemas públicos de su rival NSO Group. 

En junio, la empresa de ciberseguridad Lookout y el grupo de análisis de amenazas de Google identificaron a Tykelab y RCS Lab como los desarrolladores de una herramienta de vigilancia desconocida hasta entonces llamada Hermit, activa en Italia y Kazajistán. Lookout reveló en agosto que también había identificado otro caso de piratería informática de Hermit en la UE, esta vez en Rumanía. 

A los usuarios se les pide que descarguen Hermit tras recibir los enlaces de su operador telefónico u otros proveedores de servicios. Una vez instalado, Hermit puede grabar al usuario y su entorno, y acceder a los contactos, fotos, mensajes, eventos del calendario y archivos almacenados. 

Justin Albrecht, investigador de Lookout, dice que aunque el método de instalación de Hermit es menos sofisticado que el de Pegasus, sus capacidades son similares. “Tanto Pegasus como Hermit son potentes herramientas de vigilancia", afirma Albrecht. “Prácticamente todas las comunicaciones y datos personales de un dispositivo infectado con cualquiera de estos programas maliciosos quedarían expuestos a la entidad que realiza la vigilancia." 

La empresa gemela de Tykelab, Azienda Informatica Italiana, se describe en la documentación de la compañía como "centrada en servicios de investigación y desarrollo en apoyo de la unidad de Spyware". En las redes sociales, sus empleados dicen que construyen software de interceptación para dispositivos iPhone y Android. Uno de los responsables dice que en los últimos años se había centrado en facilitar la venta del producto de la empresa en el extranjero, y como resultado el sistema se vendió en Italia "y en varios países extranjeros".  

La expansión en el extranjero es una parte importante de la estrategia del nuevo conglomerado Cy4Gate-RCS Lab. Ambas empresas tienen "relaciones comerciales con gobiernos del Golfo, Asia Central y América Latina", según las declaraciones de los accionistas. Pero un crecimiento tal en el extranjero puede llegar a ser controvertido y someter a RCS Lab y a sus nuevos propietarios a una mayor vigilancia. 

“La cibervigilancia comercial vendida en secreto a cualquiera que esté dispuesto a pagar es un riesgo de seguridad global para todos nosotros, dentro y fuera de la Unión Europea", afirma Marketa Gregorova, ponente del Parlamento Europeo sobre el control de las exportaciones de tecnología de vigilancia. “Este tipo de servicio permite la tortura y el asesinato de activistas de derechos humanos y periodistas".

 

Ciberseguridad: Cuando el factor humano es el enemigo

 

Si tiene alguna información que compartir, póngase en contacto con nosotros en enquete@mediapart.fr. Si desea enviar documentos a través de una plataforma altamente segura, puede utilizar SecureDrop de Mediapart, el procedimiento se explica en esta página.

Traducción de Miguel López

Más sobre este tema
stats