Como resultado de una de las investigaciones de ciberseguridad más reveladoras en tiempos recientes, el cofundador de Mitto AS, una reconocida compañía que colabora con algunas de las firmas más importantes del mundo para enviar códigos de seguridad vía mensajes SMS ha sido acusado de vender acceso a los dispositivos móviles de algunos usuarios, lo que ayudaría a diversos gobiernos autoritarios.
Mitto es una firma con sede en Suiza y especializada en proveer servicios de mensajería SMS automatizada para campañas de marketing, envío de códigos de seguridad, recordatorios y otras aplicaciones prácticas. Actualmente Mitto trabaja con cientos de organizaciones en más de 100 ubicaciones. Entre los principales clientes de Mitto se encuentran gigantes tecnológicos como Google, WhatsApp, Twitter, LinkedIn y Telegram, incluso trabajando con firmas asiáticas como TikTok, Tencent y Alibaba, sin mencionar a sus socios en la industria de los operadores telefónicos.
Una investigación de Bureau of Investigative Journalism e informes compartidos por antiguos empleados afirma que Ilja Gorelik, cofundador de Mitto, ha estado vendiendo secretamente acceso a las redes de la compañía para la identificación y seguimiento de usuarios objetivo a través de sus dispositivos móviles y perfiles en línea. Según el reporte, esta práctica era completamente ignorada por usuarios y clientes empresariales, pues solo era del conocimiento de un reducido grupo al interior de Mitto.
Gorelik y sus cómplices contactaban a algunas compañías de vigilancia con el fin de vender este servicio a diversas agencias gubernamentales.
Después de la publicación del reporte, Mitto emitió un comunicado para negar cualquier relación con una operación de vigilancia, además de que se ordenó una investigación interna para identificar cualquier posible uso malicioso de la tecnología de la compañía: “Tomaremos medidas correctivas en caso de que sea necesario”, concluye Mitto. La compañía tampoco agregó más detalles sobre Gorelik y se desconoce si sigue trabajando en la compañía.
Los reportes obtenidos por los investigadores contradicen claramente la postura oficial de Mitto; dos informantes aseguraron que Gorelik ordenó que se agregara software personalizado a las redes de la compañía para rastrear a ciertos usuarios, tarea realizada sin supervisión alguna, por lo que no descartan su uso indebido.
Los informantes pusieron como ejemplo un caso en el que se comprometió el teléfono de un funcionario del Departamento de Estado de E.U. con fines de vigilancia en 2019. Los ex empleados de Mitto no pudieron confirmar qué actor estatal estuvo detrás de esta campaña de seguimiento.
Además de trabajar con las compañías tecnológicas antes mencionadas, Mitto colabora con operadores telefónicos como Vodafone, Telefónica, MTN y Deutsche Tekekom. Al ser cuestionadas, la mayoría de las compañías se reservaron cualquier declaración al respecto, mientras que solo un representante de Vodafone respondió mencionando que han colaborado con Mitto exclusivamente en servicios de mensajería SMS.
Esta investigación fue posible gracias a la colaboración de decenas de personas, incluyendo especialistas en ciberseguridad y ex empleados de la compañía, además del análisis de emails y documentación interna. Si bien las personas entrevistadas afirman haber atestiguado esta práctica, pocas personas conocen los detalles técnicos detrás de los sistemas de vigilancia usados por Mitto. Los informantes también mencionaron que, hasta donde ellos saben, no hay evidencia de que esta campaña de vigilancia haya comprometido información adicional de las compañías que usan el servicio SMS de Mitto, aunque la compañía tendría que permitir una investigación detallada para saber esto con certeza.
Estas prácticas poco conocidas, además del trabajo de firmas como NSO Group y su infame spyware Pegasus, se han convertido en un tema de seguridad nacional para gobiernos de todo el mundo, principalmente en E.U. Ron Wyden, miembro del comité de inteligencia del Senado de E.U. menciona que, en repetidas ocasiones, el Congreso de E.U. ha alertado sobre estos riesgos de seguridad sin que las autoridades puedan hacer algo al respecto.
Por el momento, Mitto sigue abordando los problemas de relaciones públicas, aunque todo parece indicar que no existe la intención de revelar más detalles sobre este sistema de vigilancia, lo que preocupa a usuarios, compañías y defensores de la privacidad por igual.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad