El portal informativo que trabaja en temas de transparencia The Intercept reveló el 21 de agosto de 2015, que activistas, periodistas y ciudadanos ecuatorianos podrían haber sido infectados con un software espía similar al que pudo infectar los equipos del fiscal argentino Alberto Nisman -quien antes de su muerte responsabilizó a la presidenta de su país de un plan para encubrir a los supuestos responsables del ataque al centro judío de la Amia en 1994- y del periodista de televisión argentino Jorge Lanata.

En la nota, escrita por Morgan Marquis-Boire, uno de los más reconocidos expertos en seguridad informática relacionada con asuntos públicos, se menciona que tanto Nisman como Lanata recibieron un documento adjunto titulado: “Estrictamente secreto y confidencial.pdf”, el cual se disimulaba en un formato pdf pero, en realidad se trataba de un programa espía que enviaba información a un servidor. Dicho servidor, ligado a un grupo de direcciones dinámicas para evitar ser detectado, está relacionado con los dominios daynews.sytes.net y deyrep24.ddns.net los mismos que fueron hallados en algunos de los análisis realizados a programas maliciosos distribuidos en Ecuador.

Al respecto, la organización Accessnow confirmó que el primer dominio que se detalla en la publicación fue hallado en algunos de los análisis realizados a programas maliciosos que circulaban en Ecuador. En ese sentido alertó que tras hacerse público el caso, dichos dominios y servidores de control han sido eliminados y apagados, con lo que se podría intensificar la campaña de phishing y los esfuerzos para infectar equipos que se encontraban previamente comprometidos. Accessnow recomendó ser especialmente cauteloso con las comunicaciones no esperadas; no abrir archivos adjuntos o enlaces web enviados por correos o chats que no se están esperando; mantener sistemas operativos, aplicaciones y antivirus actualizadas y no instalar aplicaciones de fuentes desconocidas.

Marquis-Boire detalla que en su investigación encontró al menos dos programas maliciosos ligados a ese servidor que fueron distribuidos en Ecuador. El primero se trataba de un archivo titulado “ProyectoGripen.docx.jar”, el cual simulaba ser un documento en Word que contenía una carta que supuestamente envió Mario Guerrero, embajador ecuatoriano en Suecia, al presidente Rafael Correa. Sin embargo, más allá de si la carta era o no legítima, el archivo en cuestión contenía un software espía creado en noviembre de 2014 y construido a través de la herramienta AlienSpy, que puede conseguirse fácilmente en línea por una suma de entre USD19 a USD219 dólares, según el experto.

El segundo archivo encontrado en la investigación que habría sido distribuido en Ecuador es uno denominado “Confidencial.pdf.jar”, construido en enero de este año y cuyo contenido es una hoja en blanco, pero con un software espía controlado por el dominio  “deyrep24.ddns.net”.

Cabe anotar que la investigación de Marquis-Boire no recoge detalles respecto al software espía que se habría distribuido en Ecuador, pero son claros los vínculos con este servidor, cuyo propietario o propietarios son aún desconocidos. Desde febrero del 2015 ya Fundamedios alertó que algunos periodistas, personajes públicos y ciudadanos administradores de páginas en Facebook no alineados al oficialismo fueron víctimas de hackeos e intentos de hackeo por parte de piratas informáticos, según testimonios recogidos. A través de correos electrónicos engañosos que remiten a archivos con extensión java o enlaces maliciosos, los hackers han intentado tomar el control de sus computadoras, o aún peor, apropiarse de las cuentas de correos, nubes y toda la información que allí se aloja.

Uno de los casos es el de la periodista Jeanette Hinostroza, quien aseguró que ha recibido al menos 100 correos de este tipo, algunos, con remitentes conocidos de periodistas y amigos, lo que hace más fácil caer en ellos a la hora de dar click o bajarse un archivo adjunto. Según Hinostroza, ha recibido mensajes como “mira la información que la Secretaría Nacional de Inteligencia SENAIN tiene de ti”; supuestos pedidos de entrevista de parte de periodistas del Miami Herald con preguntas adjuntas e invitaciones para visitar supuestos portales dónde se encontrarían denuncias sobre supuesta corrupción de funcionarios  del Gobierno, invitaciones para abrir documentos por personajes públicos como Carlos Vera o por portales informativos como ecuadorenvivo.com son los anzuelos que están utilizando los piratas informáticos. Hinostroza comentó que tras ser víctima de estos engaños ha perdido el control de su correo electrónico en al menos siete ocasiones y recientemente también perdió el control de su icloud personal con toda la información que guardaba en dicha nube.

Un caso similar ocurrió con el administrador de la página satírica Crudo Ecuador, quien comentó que recibió el supuesto pedido de entrevista de un periodista que afirmaba laborar en el Miami Herald. Sin embargo, a la hora de averiguar de quién se trataba, se enteró que había fallecido hace un par de años. Además de este correo engañoso, este administrador recibió al menos siete correos con enlaces que pretendían hacer phishing (suplantación de identidad) y que pudo identificarlos y evitar caer en ellos.

Al igual que el caso de Crudo Ecuador- el cual decidió hace varios meses dejar de publicar memes tras recibir amenazas que atentan contra su integridad física y la de su familia- los administradores de las páginas satíricas de Facebook Ecuatoriano Hasta las Huevas y Rokoto Feo han sido víctimas de estos engaños. Un ejemplo de ellos es con un enlace que dice “el meme que volvió loco a Correa”, así como otro correo que denuncia una supuesta campaña de desprestigio, u otro que dice: “Compartimos con ustedes este documento filtrado sobre la jugada sucia del mandatario Rafael Correa hacia la oposición. Movimientoanticorreista.com”. El director ejecutivo de Fundamedios, César Ricaurte también recibió estos correos maliciosos.

Todos estos intentos por tomar el control de los computadores e información personal se da en medio de una intensa crítica a la Senain, que ha estado en la mira en las últimas semanas después de que Wikileaks filtrara correos de la empresa italiana Hacking Tean que revelaron una relación entre dicha Secretaría con la empresa, a través de una tercera compañía colombiana para espiar la vida de los opositores como Cynthia Viteri, Lourdes Tibán, Luis Fernando Torres, entre otros.