¿Los actores hostiles pueden geolocalizar a personas de interés?

Geolocalizar a personas de interés en tiempo real atacando sus móviles o dispositivos IoT supone una amenaza de primer nivel para compañías e instituciones

En su icónica novela 1984, George Orwell imaginó una distopía basada en una advertencia: El Gran Hermano te vigila.

¿Y si esta idea ya no fuese tan distópica? Hace unos días, se hizo público ZeroDayRAT, un malware que permite tomar el control de los móviles para que los ciberdelincuentes puedan, entre otras cosas, geolocalizar a personas de interés como grandes empresarios o líderes políticos.

¿Con qué fin? Llevar a cabo fraudes suplantando su identidad de una forma extremadamente realista, espiarlos y obtener información confidencial gracias a sus movimientos o, incluso, llevar a cabo acciones como robos en casas vacías o ataques contra la integridad física de las personas vigiladas.

El ciberespionaje a empresarios y otras personas de interés es una amenaza cada vez más peligrosa para compañías e instituciones públicas. De ahí que sea fundamental que las organizaciones puedan proteger a sus líderes y evitar que sus comunicaciones sean interceptadas o que, incluso, sea posible geolocalizarlos en tiempo real.

A continuación, vamos a explorar de qué forma pueden los actores maliciosos geolocalizar a personas de interés y qué se puede hacer para evitarlo.

Malware para tomar el control de los móviles, esa extensión de nuestro cuerpo

El caso de ZeroDayRAT evidencia que los troyanos de acceso remoto (RAT) se han convertido en una enorme amenaza para la seguridad de nuestros dispositivos.

¿Por qué? Esta clase de malware permite a los actores maliciosos obtener un acceso total a un dispositivo infectado en remoto y pasar desapercibidos para, así, recopilar una ingente cantidad de información.

En el caso de ZeroDayRAT, los atacantes pueden tener un acceso mayúsculo a móviles Android o iOS. De hecho, este spyware se está comercializando vía Telegram y no solo se ofrece el programa malicioso en sí, sino que el grupo delictivo que lo ha desarrollado pone a disposición de sus clientes un panel para tener pleno control remoto de los móviles atacados. Así, es posible:

• Conseguir información sobre el dispositivo: modelo, sistema operativo, estado de la batería, detalles de la tarjeta SIM incluida en él…
• Registrar el uso de las aplicaciones y los SMS intercambiados, lo cual es relevante en lo relativo a la interceptación de códigos de autenticación.
• Visualizar las notificaciones recibidas y las cuentas registradas en el dispositivo, pudiendo ver el correo electrónico o ID del usuario, lo que abriría la puerta a ataques de uso de fuerza bruto o de relleno de credenciales.
• Geolocalizar a personas de interés, gracias a tener acceso al GPS. De hecho, hasta se ofrece la opción de mostrar la localización en tiempo real del móvil en una vista de Google Maps y contar con un historial de todas las ubicaciones del dispositivo desde que ha sido infectado con éxito.
• Obtener información sobre llamadas perdidas, mensajes de WhatsApp y datos de registro en cuentas en redes sociales o Amazon.
• Activar la cámara frontal o trasera y el micrófono para ver en streaming lo que hace la víctima.

Es decir, no solo se puede geolocalizar a personas de interés, sino saber, también, en tiempo real qué actividades están realizando e, incluso, escuchar sus conversaciones con otras personas. En la mejor estela de la Policía del Pensamiento orwelliana.

Los grupos delictivos están diseñando spywares cada vez más sofisticados e impulsando modelos de Malware-as-a-Service para comercializarlos y que sean empleados por actores maliciosos sin los conocimientos y recursos suficientes para desarrollarlos.

Por eso, la proliferación de RAT capaces de pasar inadvertidos y dar acceso total a los actores hostiles es una amenaza que las grandes compañías y los gobiernos deben tener muy presente de cara a evitar que se pueda geolocalizar a personas de interés en tiempo real y acceder a información crítica.

Ataques contra las compañías de telecomunicaciones para escuchar llamadas y geolocalizar a personas de interés

¿De qué otra forma pueden los ciberdelincuentes geolocalizar a personas de interés? Mediante ataques a las telecomunicaciones.

A finales de 2024, se hizo público que el grupo Salt Typhoon, vinculado a China, lanzó una campaña contra proveedores de telecomunicaciones estadounidenses, lo que le permitió acceder a redes de telecomunicaciones y usarlas para geolocalizar a personas de interés e, incluso, grabar llamadas telefónicas.

Entre las víctimas se encontraron los entonces presidente y vicepresidente electos, Donald Trump y J.D. Vance, y altos funcionarios de la Administración Biden.

Esta campaña, que también se desplegó en otros países occidentales como Alemania, Reino Unido o España, evidencia cómo grupos de ciberamenazas avanzados, vinculados a estados, pueden llegar a geolocalizar a personas de interés subvirtiendo los mecanismos de seguridad de las redes de telecomunicaciones.

Al fin y al cabo, nuestros móviles reciben y envían señales a la torre de telefonía móvil más cercana. De tal forma que si se accede a estos datos de las conexiones es posible geolocalizar a personas de interés.

De ahí que no deba sorprendernos que las telecomunicaciones son uno de los sectores críticos que entran dentro del ámbito de acción de la directiva NIS2 y que deberán someterse a exigentes pruebas de ciberseguridad de manera recurrente y realizar una gestión de vulnerabilidades eficaz.

Los ataques contra dispositivos IoT de uso personal como equipamientos médicos también pueden permitir geolocalizar a personas de interés

Otra vía a través de la que los ciberdelincuentes pueden geolocalizar a personas de interés es mediante la explotación de vulnerabilidades presentes en los dispositivos IoT y en las conexiones a internet o Bluetooth que emplean.

En este sentido, resulta especialmente sensible el ataque a dispositivos IoT del ámbito de la salud como marcapasos inteligentes, bombas de insulina, CPAP… Además de tener acceso a datos médicos, los actores hostiles pueden geolocalizar a personas de interés a través de ellos.

Por ejemplo, si un CPAP está en funcionamiento, la persona que lo emplea estará en su casa durmiendo. Pero si no lo está, es plausible que o no está en casa o sí esté, pero aún no se encuentre dormida.

Igualmente, la explotación de vulnerabilidades en coches inteligentes también podría abrir la puerta a que los actores maliciosos fuesen capaces de geolocalizar a personas de interés.
Por eso, es crítico que al diseñar la estrategia de seguridad de una compañía o de una institución se tengan en cuenta a los dispositivos IoT empleados tanto en el ámbito empresarial, como en el terreno personal por parte de las personas que ostentan cargos de responsabilidad.

Así, es fundamental realizar evaluaciones de seguridad Bluetooth para asegurarse de que no existe ninguna vulnerabilidad en esta conexión que pueda permitir a los actores maliciosos reconocer dispositivos y monitorear dónde se encuentran y si están o no en funcionamiento.

La guerra de Irán pone el foco en el hackeo de sistemas de cámaras de tráfico

¿Cómo pudieron Israel y Estados Unidos asesinar a Ali Jamenei, el líder supremo de Irán? Según un reportaje del medio económico Financial Times, Israel fue capaz de hackear el sistema de cámaras de tráfico de Teherán y, así, confeccionar un patrón de vida de Jamenei.

De esta manera, pudieron predecir los movimientos de Jamenei y, junto a la confirmación de una persona, certificar que el líder de Irán se encontraba en el complejo militar atacado.

Este caso de enorme actualidad evidencia que los sistemas de vigilancia de tráfico que hay en las ciudades pueden ser empleados para geolocalizar a personas de interés si son vulnerables y es posible acceder a las imágenes sin ser detectados.

El uso de eSIM en el punto de mira

Directivos de empresas, profesionales de alta cualificación, líderes políticos… Muchas personas viajan de forma habitual a diversos países y para mantener la conectividad de su teléfono usan eSIM.

Las eSIM son SIM virtuales, es decir, que permiten activar un plan de datos en un país sin la necesidad de cambiar la tarjeta SIM física, de ahí que resulten extraordinariamente cómodas.

Pues bien, una investigación ha detectado que muchos proveedores de eSIM envían los datos de los usuarios a través de redes de telecomunicaciones extranjeras. Por ejemplo, se detectó que una eSIM de la compañía irlandesa Holafly provocaba que las conexiones se enrutaran a través de la red China Mobile.

De tal forma que el móvil recibía una IP asignada a China Mobile en Hong Kong. Como consecuencia de ello, el dispositivo no parecía estar situado en su ubicación real, sino en Hong Kong.

Esto puede conllevar, según los investigadores, riesgos de privacidad de la información de los usuarios. Puesto que los distribuidores de eSIMs obtienen un amplio abanico de datos, incluida información sobre la ubicación de los móviles con una precisión de 800 metros. Lo que facilitaría la capacidad de geolocalizar a personas de interés de quien tuviese acceso a estos datos.

Por qué los actores hostiles quieren geolocalizar a personas de interés

¿Para qué quieren los grupos delictivos geolocalizar a personas de interés? Existe un amplio abanico de motivos y consecuencias de esta clase de acción:

1. Realizar fraudes más sofisticados. Pensemos, por ejemplo, en el fraude del CEO. Si un grupo delictivo sabe que un CEO se encuentra en un lugar determinado puede perfeccionar el engaño dirigido a un subalterno para suplantar su identidad. Por ejemplo, usando un número de teléfono del país en el que se encuentre o empleando IA generativa para hacer más creíble que el estafador es el CEO y se encuentra en el lugar donde el profesional sabe que está.
2. Espionaje corporativo o gubernamental. Geolocalizar a personas de interés puede ser clave a la hora de espiar sus actividades y saber con quién se reúnen. Sí, además, se logra escuchar lo que dicen, la tarea de espionaje es perfecta. Pensemos, por ejemplo, en el CEO de una compañía que se reúne con accionistas de una empresa de la competencia. Con esta información en la mano es posible extorsionar a la víctima, comerciar con la información o emplearla para alterar la cotización en bolsa de las empresas y enriquecerse con ello.
3. Robos y acciones contra la integridad de las víctimas. En el plano más inquietante, geolocalizar a personas de interés puede servir para entrar a robar a sus domicilios o despachos aprovechando que no están o se encuentran dormidas o, incluso, realizar ataques contra ellas.

Los MDM son claves en la protección de los móviles, pero no son infalibles

El software Mobile Device Management (MDM) permiten a empresas e instituciones gestionar de forma centralizada sus políticas de seguridad y establecer configuraciones y restricciones en los dispositivos móviles de sus empleados y cargos ejecutivos.

Esta clase de programa es esencial a la hora de impedir que los usuarios puedan llegar a descargar malware sin ser conscientes de ello; garantizar la seguridad de las aplicaciones instaladas; o detectar comportamientos anómalos en los dispositivos, como aplicaciones que consumen más batería de la debida o disponen de permisos de seguridad excesivos, o deficiencias en las conexiones a internet o Bluetooth.

Sin embargo, los MDM no son infalibles a la hora de proteger los móviles. Sin ir más lejos, la Comisión Europea sufrió una brecha de datos que afectó a información de su personal. El ejecutivo de la UE detectó un ciberataque contra la infraestructura que maneja los móviles corporativos.

Aunque aún no se ha esclarecido lo ocurrido, se apunta a que los actores maliciosos pudieron explotar vulnerabilidades presentes en el software Ivanti Endpoint Manager Mobile, empleado por numerosas instituciones y empresas para fortalecer la seguridad de los móviles.

Cómo hacer frente a los ataques que buscan trackear en tiempo real la localización de personas de interés

¿Qué podemos concluir de lo que venimos de exponer? Geolocalizar a personas de interés puede desencadenar consecuencias graves para empresarios, líderes políticos y sus organizaciones.

Por eso, es fundamental prevenir la ejecución de spywares en los móviles de las personas de interés; auditar los teléfonos, pero también los dispositivos IoT que permitan saber la localización de una persona; y llevar a cabo pruebas que sirvan para detectar debilidades explotables por los actores hostiles para espiar a sus víctimas y geolocalizarlas en tiempo real.

Para ello, es fundamental contar con servicios de ciberseguridad avanzados como:

• Auditorías de seguridad:
  • Bluetooth, para garantizar que no existen vulnerabilidades relacionadas con este estándar de conexión inalámbrica.
  • De los móviles y la configuración del software MDM empleado en la protección de los móviles de las personas de interés de empresas e instituciones, para verificar que las configuraciones de seguridad adoptadas son óptimas y que no hay malware en los móviles que permita geolocalizar a personas de interés y espiarlas sin que se den cuenta.
  • De dispositivos IoT, para identificar problemas de seguridad en los dispositivos inteligentes que pudiesen abrir la puerta a geolocalizar a personas de interés.
• Gestión de vulnerabilidades. La explotación de vulnerabilidades en móviles o dispositivos IoT puede ser crucial a la hora de geolocalizar a personas de interés.
• Test de ingeniería social. En muchos ciberataques, el vector de entrada de los actores maliciosos son las propias víctimas que realizan acciones indebidas como consecuencia del uso exitoso de técnicas de ingeniería social. Por eso, es fundamental formar a los cargos ejecutivos de las organizaciones y prevenir que puedan infectar sus móviles con peligrosos malware sin ser conscientes de ello.
• Respuesta a incidentes proactiva. Ante la detección de cualquier indicio de que se actores hostiles buscan geolocalizar a personas de interés es crítico actuar con la máxima celeridad para comprender el ataque y orquestar una respuesta que permita poner fin al incidente de seguridad y limitar sus daños.

En definitiva, el ciberespionaje a empresarios y políticos es una tendencia en el ámbito de la ciberseguridad muy peligrosa y que puede desencadenar consecuencias especialmente graves para empresas e instituciones.

Además de tener acceso a conversaciones confidenciales o información y documentación de gran valor, los actores maliciosos pueden intentar geolocalizar a sus víctimas para establecer una vigilancia exhaustiva sobre ellas y sacar rédito (geo)político o económico de ello.

El Gran Hermano no nos vigila aún, pero los actores hostiles sí que pueden intentar hacerlo.