Es el primer caso conocido de una agencia regional de EE.UU. que adquirió un malware, un funcionario del Departamento de Aplicación de la Ley de Florida compró un software malicioso de control y seguimiento conocido como FlexiSpy.

Un agente estatal encargado de hacer cumplir la ley, aparentemente sin el conocimiento de su propia agencia, compró un malware que puede interceptar mensajes de medios sociales, correos electrónicos y muchas más actividades ilisitas, según los datos obtenidos por Motherboard.

Aunque no está claro por qué el investigador compró el software malicioso, que requiere acceso físico a un smartphone para instalarlo, este es el primer caso conocido de un agente de policía estatal estadounidense que compra una herramienta de este tipo. De manera similar a cómo la tecnología de vigilancia como Stingrays ha llegado a las agencias locales, la noticia destaca que el software de espionaje no se limita a las agencias federales como el FBI o la DEA, sino que se ha extendido, de alguna manera, a más fuerzas regionales.

La compra fue “probablemente un programa que usé en un caso o lo intenté para entender cómo funcionaba. Nada nefasto. “Necesito una orden judicial para usarla con alguien sin consentimiento.” Jim Born, el ex funcionario de la DEA y agente especial del Departamento de Aplicación de la Ley de Florida (FDLE) que compró el malware, le dijo a Motherboard en un mensaje de Facebook. Born está ahora jubilado.

El malware en cuestión es FlexiSpy, un software disponible en el mercado abierto al consumidor cotidiano. Anteriormente, FlexiSpy comercializaba explícitamente el producto a los amantes celosos para espiar a sus parejas.

“Muchas parejas engañan. Todos usan teléfonos celulares. Su teléfono celular le dirá lo que no le dirán “, dice una pieza de material de mercadeo (después de que Motherboard obtuvo una gran reserva de datos de FlexiSpy y reportó extensamente sobre la compañía el año pasado, FlexiSpy ajustó su mercadeo para enfocarse en el monitoreo de niños y empleados.

A lo largo de los años, FlexiSpy ha agregado continuamente características a su malware, incluyendo la capacidad de desviar mensajes WhatsApp, activar remotamente la cámara y el micrófono del teléfono, copiar archivos almacenados en el dispositivo y esconderse del objetivo.

El correo electrónico FDLE de Born se incluyó en los registros de clientes de FlexiSpy obtenidos por la Motherboard. Sin embargo, parece ser que Born no compró el malware a través de los canales oficiales de compra.

He comprobado con nuestra oficina de compras y no tenemos ningún registro de que el FDLE haya comprado esto “, dijo un portavoz de la agencia a Motherboard en un correo electrónico.

Riana Pfefferkorn, becaria de criptografía del Centro Stanford para Internet y la Sociedad, le dijo a Motherboard en un correo electrónico: “Los funcionarios no deberían comprar malware por su cuenta para usarlo en el trabajo y utilizar su dirección de correo electrónico oficial en el proceso”. Las compras de software forense (que ya son comunes en los departamentos de policía de los Estados Unidos) deberían pasar por procesos normales de adquisición, deberían tener documentación (sujeta a las leyes de registros públicos) y estar sujetas a supervisión “.

Si el malware fue’ usado en un caso’, ¿cómo lo usó exactamente y por qué aparentemente no lo documentó? ¿Consiguió la orden judicial apropiada? Dada la funcionalidad de FlexiSpy, parecería requerir una orden de intervención telefónica, no sólo una orden de registro y confiscación “, agregó.

Algunos pueden pasar por alto la importancia de FlexiSpy debido a su requisito de acceso físico, ya que limita la forma en que un funcionario policial puede desplegar este malware: por ejemplo, el software no puede entregarse a distancia a través de un navegador web o un exploit de mensajería. Pero eso pasaría por alto algunos de los otros casos en los que los investigadores regionales podrían utilizar este tipo de malware.

La policía puede tener muchos dispositivos móviles en custodia, sacados de las escenas del crimen, sospechosos, víctimas, etc. O un oficial puede quitar un dispositivo sólo temporalmente antes de devolverlo al dueño “, dijo Pfefferkorn. “Hay amplias oportunidades de acceso físico para instalar este malware.” En las propias pruebas de Motherboard con otras piezas de spyware de consumo, es probable que la instalación del malware se realice en menos de un minuto.

De hecho, a pesar de que la DEA gastó cientos de miles de dólares en la RCS del equipo de piratería informática, un malware específicamente comercializado para las fuerzas del orden y que permite la infección remota, en la gran mayoría de los casos la agencia lo utilizó en teléfonos a los que tenían acceso físico, según una carta que la DEA envió al senador estadounidense Chuck Grassley en 2015.

También puedes leer: Hacker malicioso encarcelado por ataques de DDoS contra Skype y Google

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *