El Caso de Retina X Studios (RXS)

Autor: Susana B. García para CIBERPRISMA

En mayo 2018, la empresa Retina-X Studios cierra sus operaciones comerciales,
tras sufrir innumerables ciberataques.

El debate social de este siglo sin duda girará en torno al derecho a la privacidad de los ciudadanos y la necesidad de monitoreo de la actividad online que tienen algunas organizaciones. Este debate se ha filtrado en todos los ámbitos del entramado social y su resolución aún está muy lejos de avizorarse. Por un lado los Estados, las empresas, los padres de familia se autoarrogan el derecho a conocer los alcances y modalidades de la actividad online que realizan sus ciudadanos, empleados e hijos con el argumento de la seguridad propia y de terceros; mientras que del otro lado se aglutinan los ciudadanos, empleados e hijos que rechazan estas prácticas con argumentos de derechos humanos y privacidad. Presentado así el problema podría sugerirse que una normativa legal o incluso una negociación entre las partes podría llegar a zanjar la situación.

Sin embargo, es necesario tener en cuenta que en este pseudo-campo de batalla no están solos; los acompañan los denominados «hacktivistas» que operan en el anonimato y no siempre dentro del marco de las actividades lícitas. Una de las definiciones más aceptadas sobre esta modalidad de acción en las redes es considerar el «hacktivismo» como una expresión de activismo político caracterizado por el empleo de algún grado de destrezas computacionales contra actores económicos o políticos, entre otros blancos. No siempre resulta fácil identificar quién está detrás de estas acciones y en más de una ocasión, una misma persona puede tener más de una identidad digital. Pero el punto a tener en cuenta es que muchas veces, bajo una campaña de agresiones, categorizada como proveniente de un grupo de hacktivistas que proclaman una Internet libre y segura, se esconden actores con intenciones ni tan claras ni tan santas. Escudados en el hacktivismo u ocultos intentan perpetrar ataques contra infraestructuras TICs, robo de secretos comerciales, exposición de documentos oficiales con clasificación de seguridad e incluso pueden llegar a desplegar un código malicioso en el sistema de la víctima, es decir afectando un número importante de computadoras y dispositivos móviles comerciales, oficiales e incluso privadas. Otras veces, los ciberdelincuentes siguen el rastro de las acciones hacktivistas para apoderarse de códigos fuente de los productos de las víctimas para posteriormente reconvertirlos en productos de menor valor que liberan al mercado negro online.

Y en medio de ellos, las empresas desarrolladoras de software de monitoreo, que suelen estar más comprometidas con la calidad del su producto yel resultado positivo de sus operaciones comerciales que con la necesidad de garantizar de algún modo el empleo correcto del mismo, o brindar seguridad y respaldo a todos los datos que ceden sus clientes de forma voluntaria o involuntaria, limitándose sólo a proteger la información de pago en el mejor de los casos.

No todas las organizaciones están preparadas o tienen capacidad para restablecer sus sistemas y servicios luego de un ataque masivo de hacktivismo. Ello dependerá en gran medida del nivel de agresividad de la campaña, así como del volumen y la calidad de la información de sus usuarios y/o clientes que resultaron afectados y de la duración de la misma. No obstante ello, todas las organizaciones, ya sean públicas o privadas, verán afectada su reputación; particularmente si la actividad principal de la organización está inmersa en el amplio campo de la ciberseguridad. Esta es la principal razón por la cual no informan a sus usuarios o lo hacen de manera parcial o engañosa cada vez que atraviesan un evento de exfiltración de datos.

Vamos a presentarles ahora, a modo de ejemplo, el caso de la empresa norteamericana Retina-X Studios fabricante de software para monitoreo y vigilancia, quien sufrió en 2017 y 2018 dos campañas de ciberincidentes que afectaron sus prolíficas operaciones comerciales. La historia comienza quizás un año antes, en 2016, cuando comenzamos a observar una seguidilla de ciberataques a empresas fabricantes de spyware (software espía) que tuvo como principales protagonistas a mSpy y Cellebrite. Los hackers robaron y filtraron en línea datos personales de 400.000 usuarios de mSpy y 900Gb de datos de Cellebrite. En 2017, fue el turno de Retina-X Studios (RXS).

Los perpetradores de estos actos ilícitos han estado motivados por su oposición infundada a las actividades de monitoreo que realizan los progenitores y empleadores en los dispositivos de su propiedad y con el consentimiento de los usuarios.
Extracto del comunicado publicado en el sitio Web de la empresa el 05 de marzo de 2018.-

¿Por qué atacaron a RXS?

Según información de su propio sitio web, Retina-X-Studios (RXS) había iniciado su actividad comercial a fines de los 90 como consultora especializada en diseño web. Tras varios años de desarrollar software para terceros, en 2003 cambió su perfil a desarrollador de software de monitoreo bajo su propia marca.

RXS no sólo fue la primera empresa en ofrecer un producto de software para control parental compatible con Windows, Blackberry, iOS y Android sino que fue una de las más exitosas en el período 2004-2006 con un 1600% de aumento en ventas en ese período. Diez años más tarde continuaba siendo una de la principales vendedoras de este tipo de apps. Su éxito comercial, que registró un aumento del 1600% en esos dos años, contó con una amplia cobertura «no patrocinada»(SIC) de los medios especializados en la comercialización de tecnologías de la información, como Computer Shopper, BBC, PC Pro, Computer Buyer y Digit entre otros. Su performance comercial como su cartera de productos también tuvieron cobertura en otros medios norteamericanos como USA Today, The New York Times y Reader’s Digest de muy vasta circulación en EEUU.

Entre los productos mejor colocados en el mercado se destacan estos tres, ofrecidos como herramientas de monitoreo para padres y empleadores:

  1. MOBILESPY. Software de Control Parental que permite el monitoreo de mensajes de texto, correos electrónicos, fotos, llamadas, contactos, notas, localizaciones GPS, alerta y bloqueo de aplicaciones en teléfonos y tabletas Android.
  2. PHONESHERIFF. Software de Control que permite el monitoreo de mensajes de texto, correos electrónicos, fotos, llamadas, contactos, notas, localizaciones GPS, alerta y bloqueo de aplicaciones en teléfonos y tabletas Android. Adiciona filtros de navegación y bloqueo de llamada para ser customizados por padres y empleadores en dispositivos de su propiedad.
  3. SNIPERSPY. Software más sofisticado que adiciona a los productos anteriores la capacidad de tomar capturas de pantalla y grabación de la actividad online y en redes sociales en computadoras y dispositivos. Compatible con Windows y Mac.

Una investigación de Kapersky nos ayuda a ver un poco más claro. De acuerdo a este informe, en 2017 se registró un aumento del 35% en relación al año anterior, en la cantidad de personas que descubrieron que alguien había instalado de manera oculta este tipo de programas en sus teléfonos. Los hallazgos de Kaspersky indican que los cinco países donde más prolifera este tipo de software son, por orden de cantidad de usuarios afectados, Rusia, India, Brasil, Estados Unidos y Alemania.

¿Cómo fue la primera campaña de hacking?

En febrero de 2017 Motherboard hizo público el hackeo a dos empresas especializadas en la comercialización de stalkerware, también conocido como spouseware. Ambos términos se refieren a software de vigilancia que se comercializa en Internet de manera abierta. Cuando estos programas acceden al dispositivo de la víctima, permiten al usuario leer todos los mensajes, registrar la actividad de la pantalla, rastrear ubicaciones de GPS y utilizar sus cámaras para espiar lo que hace un individuo.

Las empresas hackeadas en esta oportunidad fueron RXS y FlexiSpy que ofrecían en la red productos similares. La primera, como ya mencionamos, software para control parental y de empleadores y la segunda, software para control de parejas, según sus propias campañas de publicidad.

Este es el comienzo de una campaña de terror para toda la industria de este tipo de software. Voy a sacar todo a la luz y no les dejaré ningún lugar donde esconderse. ¿El propósito? Bien, hemos pedido que sean buenas personas, pero fracasamos. Si no pueden ser un buen ejemplo, serán entonces la evidencia de una advertencia terrible.
Extracto de la entrevista que Motherboard hizo a los hackers en mayo 2017

Motherboard entrevistó a los hackers, quienes se identificaron como «Leopard Boy», miembro de los Decepticons, en el caso de Flexispy y «Hacker Anónimo», el atacante de RXS. Las campañas se ejecutaron en forma paralela y los atacantes advirtieron que sus dos víctimas solamente eran las primeras, puesto que pensaban continuar con las demás empresas que se dedicaban a comercializar ese tipo de productos.

Leopard Boy publicó con detalle todo el incidente con los servidores de Flexispy. El hacker anónimo manifestó que ingresó por primera vez a los servidores de RXS a fines de 2016 y comenzó a exfiltrar datos. Semanas después compartió algunas evidencias del material obtenido con los periodistas, no publicó el materia online pero borró parte del contenido de los servidores.

Las cuentas de usuarios afectados de RXS, así como los datos de sus observados, no se limitaban a Estados Unidos sino que el hacker accedió a coordenadas GPS de los teléfonos infectados en Francia, España, Israel, Brasil, Colombia, Mozambique, Nigeria, India, Vietnam, Indonesia y Australia entre otros.

Moteherboard inició una investigación a partir de la información que obtuvieron en la entrevista. como resultado de la misma, se conoció que alrededor de 10.000 personas utilizaban aplicaciones de stalkerware, entre ellas docentes, trabajadores de la construcción, abogados, padres de familia y parejas celosas. Algunos empleaban estas aplicaciones con sus propias parejas sin su consentimiento, algo que no sólo es ilegal en Estados Unidos sino que a menudo está asociado a casos de abuso y violencia doméstica. Una investigación datada en 2014 ya había demostrado que en en el 75% de los casos de abuso y violencia doméstica se habían utilizado este tipo de aplicaciones.

¿Cuál fue la reacción de RXS?

Como ocurre en la mayoría de los casos, la empresa no informó a sus clientes sino hasta después que los hackers lo dieron a conocer en la entrevista que les realizó Motherboard. A pesar que se estimaba un total de 130.000 usuarios afectados por este incidente, RXS se limitó a informar que continuaban creyendo que el incidente se debió a una falla en sus servidores, aunque también confirmaban que «varios productos de RXS habían sido víctimas de una operación de exfiltración de datos a fines de febrero 2017».

En concreto, el atacante – «un hacker conocido por el empleo de SQL exploits», había accedido a la base de datos de NetOrbit, PhoneSheriff y TeenShield, mediante una vulnerabilidad existente en un producto discontinuado. Las tablas contenidas en la base de datos incluían credenciales de usuario (login y contraseña), metadata de los dispositivos, mensajes de textos, ubicaciones GPS, información de contactos, aplicaciones instaladas, etc. «Solamente se habrían visto afectadas las cuentas de usuarios activadas antes del 21 de febrero de 2017». Agregaron que el ataque no había comprometido la información de pago de sus clientes y que el atacante no había publicado la información exfiltrada.

Pero quizás lo que pudo enfurecer más a los atacantes fue un hallazgo de los periodistas de Motherboard. Un supuesto empleado de RXS les hizo llegar un email donde se indicaba al personal de la empresa que no informaran a los clientes sobre el hackeo, incluso si ellos preguntaban al respecto. Sólo debían responder que los problemas reportados por los clientes habían sido ocasionados por una falla de hardware.

La reacción inicial de Flexispy fue un tanto distinta de la RXS. Tras acusar problemas de orden técnico, sin confirmar ni negar la exfiltración de datos, dos meses más tarde anunciaba un programa de reclutamiento de hackers para detectar vulnerabilidades en sus sistemas, por lo que estaría dispuesto a pagar desde 100 a 5000 dólares.

Segunda Campaña de Hacking

A casi un año de la primera campaña, RXS es atacada de nuevo. Motherboard vuelve a informar sobre este evento que tuvo como resultado el borrado de un terabyte de datos de los servidores en la nube de RXS, incluidas imágenes tomadas por los teléfonos inteligentes de sus clientes y sus víctimas, entre los que se encontraban menores de edad.

Dado que la empresa había negado haber sido atacada en 2017, esta vez el hacker anónimo publicó evidencia del incidente de 2017.

Prueba de archivos borrados en 2017 ofrecida por Hacker Anónimo.

También entregó a Motherboard otra evidencia que probaba la autoría de los dos incidentes. Un miembro del equipo de investigación de Motherboard, después de 2017, había ingresado a RXS y publicado una foto de sus zapatos. El hacker les envío también una captura de pantalla de ese acceso:

Hacker Anónimo utilizó la cuenta «Precise Buffalo» en Mastodon para publicar capturas de pantallas que permitieron reconstruir el ataque a RXS e información cruda exfiltrada. No publicó datos privados ni de las víctimas ni de sus objetivos.

https://social.tchncs.de/@precisebuffalo/99465546218658774

El 05 de marzo Retina X Studios anuncia que suspende su actividad comercial en razón de haber sido víctima de una «campaña agresiva» de exfiltración de datos de sus servidores.

Así reza la página de Inicio de RXS

Fuentes