AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Herramienta forense móvil “Massistant” expone riesgos en la extracción de datos por fuerzas del orden en China

admin

Introducción

En las últimas semanas, investigadores de ciberseguridad han revelado detalles sobre “Massistant”, una herramienta forense móvil desarrollada por la firma china SDIC Intelligence Xiamen Information Co., Ltd. (anteriormente conocida como Meiya Pico). Este software, empleado por fuerzas de seguridad en China, permite la extracción y análisis de grandes volúmenes de información de dispositivos móviles incautados. El análisis técnico del funcionamiento y capacidades de Massistant plantea importantes preguntas sobre la privacidad, la seguridad de los datos y la posible reutilización de estas técnicas en otros contextos, incluyendo su uso malicioso.

Contexto del Incidente o Vulnerabilidad

La aparición de Massistant se produce en un entorno donde la recolección y análisis forense de dispositivos móviles es parte central de las investigaciones policiales. Esta herramienta se considera la sucesora de MFSocket, una solución previa de la misma compañía, que ya era ampliamente utilizada por agencias de seguridad pública chinas. SDIC Intelligence, con una larga trayectoria en el desarrollo de soluciones forenses, ha evolucionado sus productos para adaptarse a los nuevos sistemas operativos móviles y a la creciente sofisticación de las medidas de seguridad implementadas por fabricantes como Apple y Google.

Massistant es utilizado principalmente en investigaciones criminales, aunque su empleo masivo y automatizado ha suscitado inquietudes sobre el alcance real de la información recopilada y las garantías de preservación de la privacidad, especialmente a la luz de regulaciones internacionales como el GDPR y la Directiva NIS2 en la Unión Europea, que establecen estándares estrictos sobre el tratamiento de datos personales.

Detalles Técnicos

Según los análisis realizados por expertos en reversing y threat intelligence, Massistant es compatible con una amplia gama de dispositivos Android e iOS, incluyendo versiones recientes como Android 13 y iOS 16.x. El software opera tanto de forma física como lógica, es decir, puede realizar extracciones directas de la memoria flash del dispositivo (por ejemplo, mediante chip-off o JTAG) o aprovechar vulnerabilidades conocidas para acceder a particiones protegidas.

Entre las técnicas identificadas se incluyen:

– Abuso de vulnerabilidades de escalada de privilegios (CVE-2023-20963, CVE-2022-32894) presentes en versiones anteriores de Android e iOS.
– Utilización de exploits públicos y privados, algunos integrados en frameworks como Metasploit, para bypass de bloqueos y acceso a datos cifrados.
– Módulos de análisis automatizado que implementan TTPs alineadas con MITRE ATT&CK, como “Data from Information Repositories” (T1213) y “Credential Access” (T1555).
– Capacidad de extracción de mensajes, historiales de llamadas, ubicaciones GPS, archivos multimedia, cachés de aplicaciones y credenciales almacenadas.
– Generación de indicadores de compromiso (IoC) que pueden ser útiles para posteriores investigaciones sobre la manipulación o acceso no autorizado a dispositivos.

Si bien no se han hecho públicos todos los exploits empleados, el análisis de muestras filtradas revela la integración de scripts personalizados, así como la capacidad de actualización remota del toolkit, lo que facilita la adaptación frente a nuevos parches de seguridad.

Impacto y Riesgos

El despliegue de Massistant supone un desafío significativo para la privacidad y la protección de datos. Se estima que decenas de miles de dispositivos han sido analizados con este software anualmente, dado el tamaño y alcance de los cuerpos policiales chinos. La automatización del proceso reduce el tiempo necesario para la extracción, pero multiplica el riesgo de accesos indiscriminados y potenciales fugas de información.

Entre los principales riesgos destacan:

– Acceso a datos personales sensibles sin el control ni consentimiento de los titulares, en potencial conflicto con normativas internacionales.
– Posible reutilización de técnicas y exploits por actores maliciosos, especialmente si fragmentos del toolkit son filtrados o vendidos en mercados clandestinos.
– Incremento en la sofisticación de las amenazas dirigidas a dispositivos móviles, al evidenciarse la efectividad de métodos forenses avanzados.

Medidas de Mitigación y Recomendaciones

Ante estos riesgos, los profesionales del sector deben considerar las siguientes acciones:

– Mantener los dispositivos móviles actualizados con los últimos parches de seguridad, minimizando la exposición a exploits utilizados por herramientas como Massistant.
– Implementar soluciones de cifrado de extremo a extremo y autenticación robusta en aplicaciones críticas.
– Monitorizar la integridad de los dispositivos y buscar señales de manipulación o acceso físico no autorizado.
– Para empresas multinacionales, auditar el cumplimiento de GDPR, NIS2 y otras normativas aplicables en relación con la gestión de dispositivos móviles y la respuesta ante incidentes forenses.

Opinión de Expertos

Expertos en ciberseguridad, como los analistas de Citizen Lab y Kaspersky GReAT, alertan sobre la delgada línea entre el uso legítimo de herramientas forenses en investigaciones criminales y su potencial abuso. “El riesgo de que estos kits sean filtrados y adaptados por grupos cibercriminales es real. La industria debe anticipar este tipo de amenazas y fortalecer la seguridad de los dispositivos móviles”, señala un analista de amenazas de una conocida empresa europea.

Implicaciones para Empresas y Usuarios

Las empresas que operan en sectores críticos o gestionan datos sensibles deben reforzar sus políticas de seguridad móvil, considerando la posibilidad de extracción forense forzada durante viajes o inspecciones. Los usuarios individuales, especialmente activistas, periodistas o ejecutivos, deben ser conscientes de los riesgos de acceso físico y considerar medidas adicionales, como el uso de dispositivos seguros o el borrado remoto.

Conclusiones

La aparición de Massistant y su análisis detallado confirman que la forensia móvil sigue siendo un área de alto riesgo, tanto para la privacidad de los usuarios como para la integridad de la información corporativa. La evolución de este tipo de herramientas, junto con la presión regulatoria y el avance de las técnicas de explotación, obliga a los profesionales de la ciberseguridad a mantenerse actualizados y proactivos frente a una amenaza en constante cambio.

(Fuente: feeds.feedburner.com)