#CatalanGate y los falsos positivos

¿Qué es un falso positivo?

En seguridad informática, un falso positivo aparece cuando una herramienta de detección de amenazas como por ejemplo un antivirus identifica erróneamente un archivo como malicioso o una situación normal como un ciber ataque. Habitualmente la aparición de falsos positivos es motivo suficiente como para invalidar los resultados de una investigación, por ejemplo, en un juzgado. Los investigadores que basan sus resultados en un falso positivo suelen ver mermada su credibilidad, por lo que lo más normal entre distintos círculos técnicos es realizar tantas pruebas como sean necesarias para prevenir este tipo de situaciones. Las pruebas pueden incluir la repetición de experimentos ante condiciones diferentes, su replicación por parte de otros investigadores “externos” así como la divulgación de la metodología seguida para su revisión por parte de la comunidad, entre otras medidas.

En el caso del #Catalangate un falso positivo implica la identificación de una “infección con Pegasus” en un dispositivo el cual no ha sido atacado en ningún momento.

La investigación de Citizenlab y Amnistía internacional

La campaña #Catalangate ha buscado destapar un supuesto caso de espionaje masivo hacia el independentismo basándose en el trabajo de Citizenlab quienes han usado la herramienta “MVT” elaborada por Amnistía internacional para identificar evidencias asociadas a infecciones con Pegasus. La herramienta utilizada permite aportar información sobre el dispositivo móvil sospechoso de haber sido infectado mediante su copia de seguridad para realizar la detección. El software buscará indicadores asociados a Pegasus, tales como nombres de archivo, mensajes, direcciones IP u otros dentro de la memoria para emitir un veredicto.

Generación de falsos positivos

Todo esto suena genial pero el lector atento ya se habrá dado cuenta de que cualquier usuario un poco avispado, con los conocimientos técnicos suficientes podría llegar a modificar la memoria de su teléfono, escribiendo los indicadores determinados para posteriormente “hacer saltar la herramienta” de Amnistía internacional, generando de esta manera una suerte de “infecciones a la carta”.

Pues dicho y hecho, la “prueba de concepto” no se hizo esperar. A poco de saltar el escándalo en los principales medios de comunicación, algunos miembros de la llamada “comunidad hacker” alertaron sobre las posibilidades de generación de “falsos positivos” bajo demanda. El grupo de hackers autodenominado “TheHackPatrol” generó una herramienta para modificar la memoria de cualquier dispositivo iPhone para generar evidencias falsas asociadas a Pegasus, la cual viene con su manual de instrucciones:

https://medium.com/@thehackpatrol/getting-pegasus-false-positives-53f670bbde35

https://github.com/thehackpatrol/pegasus_false_positive

Uno podría pensar que se trata de una herramienta complejísima con un proceso de operación muy costoso, asequible solo a los más expertos. Nada más lejos de la realidad, la simulación de un caso de infección puede realizarse en menos de cinco minutos, como podemos ver en el siguiente vídeo:

La instrumentalización del mundo académico

La posibilidad de la generación de falsos positivos ya es más que suficiente para invalidar el trabajo de Citizenlab, organización recordemos fuertemente vinculada al activismo político. No obstante, uno podría darle un voto de confianza al laboratorio ¿Cómo? En casos como este, la organización o individuo bajo sospecha, aportaría las evidencias usadas para el análisis para que estas pudieran ser analizadas por expertos independientes, para de esta manera determinar la autenticidad del análisis.

En el caso de Citizenlab, las evidencias no han sido aportadas en ningún momento, a pesar de ser ampliamente demandadas por la comunidad.

I hear a lot of people are looking for Pegasus samples. Dear @ANSSI_FR, please buy the product, get all 0days patched, leak the tools and infra. Burn them to the ground and I swear I will never ever complain again about how my tax money is spent.

— Ivan Kwiatkowski (@JusticeRage) September 9, 2021

Entre el colectivo de expertos en tecnología, el grupo, de hecho, es visto como una organización activista o “think tank” antes que, como un grupo de investigación académico, lo cual es perfectamente legal pero deshonesto, al pretender usar la ciencia para evidenciar un trabajo que se acerca más a la opinión.

Yes! Thank you! If Citizen Lab did not claim to be an academic research lab, and did not claim that what Amnesty Tech was doing qualified as "independent peer review", I would have absolutely no issue with their work! None! Zero!

It's purely stuff like this that's problematic: pic.twitter.com/tadbiL65ls

— Nadim Kobeissi (@kaepora) July 21, 2022

Algunos investigadores incluso apuntan directamente a intereses espurios, señalando al grupo Citizenlab como “Activistas de fortuna” o directamente: mercenarios.

Una gran parte de la investigación de Citizen Lab sobre Pegasus, como la del #Catalangste parece tener como objetivo conseguir pruebas para que grandes empresas como Apple lleven a cabo juicios multimillonarios contra NSO (y ganar una compensación económica por eso)👇 https://t.co/9QQu5PIGSF

— Jose Javier Olivas (@josejolivas) May 10, 2022

Y a pesar de todas las evidencias presentadas y especialmente las no presentadas… la organización sigue presentándose como un grupo de investigadores de alto nivel, dando lecciones de ética por doquier.