Stephanie Kirchgaessner es la corresponsal de investigaciones de The Guardian en en Washington DC.

Investigadores de Citizen Lab de la Universidad de Toronto expusieron un nuevo malware llamado Reign. El malware es comercializado por la empresa israelí QuaDream y los ataques cibernéticos se han dado entre 2019 y 2021. Éste ya ha infectado diferentes teléfonos al enviar una invitación mediante el calendario de iCloud. Las víctimas no fueron notificadas de dicha invitación porque fueron enviadas desde eventos previamente utilizados. Este tipo de ataques son conocidos como zero click porque los usuarios del teléfono no tienen que clickear ninguna liga infectada.

Como con Pegasus, un teléfono infectado con Reign puede grabar conversaciones que pasan en la proximidad del teléfono, leer mensajes en aplicaciones encriptadas, escuchar conversaciones y rastrear la ubicación de los usuarios del teléfono. Los investigadores también se dieron cuenta de que Reign puede ser utilizado para generar códigos de autentificación en el iPhone o infiltrarse en las cuentas de iCloud lo que permitiría extraer información.

Según el artículo, las nuevas revelaciones son otro golpe para Apple, corporación que dice ser la mejor en seguridad cibernética. Con Reign aparece otra nueva y potente amenaza a la integridad de los teléfonos de Apple.

Los ataques con este tipo de malware están patrocinados por Estados, cuestan millones de dólares y están dirigidos hacia personas específicas debido a quienes son o qué hacen.

Citizen Lab no dio el nombre de las personas que fueron el blanco de los ataques de los clientes de Reign; pero señaló que más de 5 víctimas (periodistas, opositores políticos, empleados de organizaciones no gubernamentales) fueron ubicadas en América del Norte, Asia Central, Este de Asia, Europa y Medio Oriente. Citizen Lab también indicó que fue posible detectar las ubicaciones de los operadores del malware, se encontraban en lugares como Bulgaria, República Checa, Hungría, Gana, Israel, México, Rumania, Singapur, Emiratos Árabes Unidos y Uzbekistán.

A diferencia de Pegasus, el malware de QuaDream tiene un perfil bajo. Sin embargo, el nombre de la compañía apareció en un reporte de seguridad de Facebook donde se describe a QuaDream como una empresa fundada por ex empleados de NSO. En ese contexto, Facebook removió 250 cuentas de su red social ligadas a QuaDream, ya que esas cuentas se estaban usando para probar las capacidades de Reign respecto a la extracción de datos como mensajes, imágenes, video o audios.

Por otra parte, Citizen Lab identificó individuos clave asociados con QuaDream a través de la revisión documentos corporativos y bases de datos, los cuales indican que entre los empleados de la empresa israelí se encuentran ex militares israelíes y ex empleados de NSO.