Aunque reciben una fracción de la atención que se da a los grupos de espionaje patrocinados por Estados o los atracos particulares, los servicios de "ciber mercenarios" son ampliamente utilizados, dicen especialistas.
Una empresa india de TI poco conocida habría ofrecido sus servicios de hackeo para ayudar a sus clientes a espiar más de 10 mil cuentas de correo electrónico durante un período de siete años.
BellTroX InfoTech Services, con sede en Nueva Delhi, dirigió sus esfuerzos de espionaje hacia funcionarios del gobierno en Europa, magnates en las Bahamas e inversores conocidos en los Estados Unidos, incluido el gigante de capital privado KKR y la firma Muddy Waters, según tres de sus ex empleados, investigadores externos y un rastro de evidencia que habrían dejado en línea.
Los aspectos de la ola de piratería de BellTroX dirigida a objetivos estadounidenses están siendo investigados por la policía de Estados Unidos, dijeron cinco personas familiarizadas con el asunto. El Departamento de Justicia de los Estados Unidos declinó hacer comentarios.
Aún no se conoce la identidad de los clientes de BellTroX. En una entrevista telefónica, el propietario de la compañía, Sumit Gupta, se negó a revelar quién lo había contratado y negó haber actuado mal.
El fundador de Muddy Waters, Carson Block, dijo que estaba "decepcionado, pero no sorprendido, al saber que probablemente fuimos atacados por un cliente de BellTroX". KKR declinó hacer comentarios.
Investigadores del grupo de vigilancia de Internet, Citizen Lab, que pasó más de dos años mapeando la infraestructura utilizada por los piratas informáticos, publicaron un informe este martes diciendo que tenían "alta confianza" en que los empleados de BellTroX estaban detrás de la campaña de espionaje.
"Esta es una de las operaciones de espionaje a sueldo más grandes jamás expuestas", dijo el investigador del Citizen Lab, John Scott-Railton.
Aunque reciben una fracción de la atención dedicada a los grupos de espionaje patrocinados por el estado o los atracos particulares, los servicios de "ciber mercenarios" son ampliamente utilizados, dijo. "Nuestra investigación encontró que ningún sector es inmune".
Un conjunto de datos revisados por Reuters proporciona información sobre la operación, que detalla decenas de miles de mensajes maliciosos diseñados para engañar a las víctimas para que renuncien a sus contraseñas que fueron enviadas por BellTroX entre 2013 y 2020. El servicio en línea proporcionó los datos bajo condición de anonimato. proveedores utilizados por los piratas informáticos después de que Reuters alertó a las empresas sobre patrones inusuales de actividad en sus plataformas.
Los datos son efectivamente una lista de resultados digital que muestra quién fue el objetivo y cuándo. Reuters validó los datos verificándolos con los correos electrónicos recibidos por los objetivos.
Reuters no pudo establecer cuántos intentos de piratería tuvieron éxito.
Gupta de BellTroX fue acusado en un caso de piratería en 2015 en el que dos investigadores privados estadounidenses admitieron haberle pagado para hackear las cuentas de ejecutivos de marketing.
Gupta fue declarado fugitivo en 2017, aunque el Departamento de Justicia de los Estados Unidos se negó a comentar sobre el estado actual del caso o si se había emitido una solicitud de extradición.
Hablando por teléfono desde su casa en Nueva Delhi, Gupta negó haber hackeado y dijo que nunca había sido contactado por la policía. Dijo que solo había ayudado a investigadores privados a descargar mensajes de buzones de correo electrónico después de que le proporcionaron detalles de inicio de sesión.
"No los ayudé a acceder a nada, simplemente los ayudé a descargar los correos y me proporcionaron todos los detalles", se defendió. "No sé cómo obtuvieron estos detalles, pero solo los estaba ayudando con el soporte técnico".
Los portavoces de la policía de Delhi y el Ministerio de Relaciones Exteriores de la India no respondieron a las solicitudes de comentarios.
Operando desde una pequeña habitación sobre un puesto de té cerrado en un complejo comercial al oeste de Delhi, BellTroX bombardeó sus objetivos con decenas de miles de correos electrónicos maliciosos, según los datos revisados . Algunos mensajes imitarían a colegas o parientes; otros se hicieron pasar por solicitudes de inicio de sesión de Facebook o notificaciones gráficas para darse de baja de los sitios web de pornografía.
La firma de Fahmi Quadir, con sede en Nueva York, Safkhet Capital, se encontraba entre las 17 compañías de inversión a las que BellTroX apuntó entre 2017 y 2019. Dijo que notó un aumento de correos electrónicos sospechosos a principios de 2018, poco después de lanzar su fondo.
Inicialmente "no parecía necesariamente malicioso", dijo Quadir. “Solo eran horóscopos; luego se convirtió en pornografía ".
Finalmente, los piratas informáticos mejoraron su juego, enviándole mensajes con un sonido creíble que parecían provenir de sus compañeros de trabajo, otras firmas del mismo rubro o miembros de su familia. "Incluso estaban tratando de emular a mi hermana", dijo Quadir, y agregó que cree que los ataques no tuvieron éxito.
Los grupos ciudadnos de defensa de derchos ciudadanos de EE. UU. también fueron atacados repetidamente. Entre ellos se encontraban las organizaciones de derechos digitales Free Press y Fight for the Future, quienes han presionado por la neutralidad de la red.
Los grupos dijeron que una pequeña cantidad de cuentas de empleados estaban comprometidas, pero las redes de las organizaciones más amplias no se vieron afectadas. El espionaje de esos grupos se detalló en un informe aquí de la Electronic Frontier Foundation en 2017, pero hasta ahora no se ha vinculado públicamente a BellTroX.
Timothy Karr, director de Free Press, dijo que su organización "ve un aumento en los intentos de incumplimiento cada vez que estamos involucrados en acalorados debates de políticas públicas de alto perfil".
Evan Greer, subdirector de Fight for the Future, dijo: "Cuando las corporaciones y los políticos pueden contratar mercenarios digitales para atacar a los defensores de la sociedad civil, socava nuestro proceso democrático".
Si bien no se pudo establecer quién contrató a BellTroX para llevar a cabo el pirateo, dos ex empleados dijeron que la compañía y otros similares generalmente eran contratados por investigadores privados en nombre de rivales comerciales u opositores políticos.
Bart Santos, de Bulldog Investigations, con sede en San Diego, fue uno de una docena de detectives privados en los Estados Unidos y Europa que habían recibido anuncios no solicitados para piratear servicios fuera de la India, incluido uno de una persona que se describió a sí mismo como un ex empleado de BellTroX. Dicha oferta incluía realizar "penetración de datos" y "penetración de correos electrónicos".
Santos dijo que ignoró esas propuestas, pero que podía entender por qué algunas personas no lo hicieron. "Los indios tienen una reputación de servicio al cliente", dijo.