En julio de 2021, alguien envió a Google un lote de código malicioso que podría usarse para piratear Chrome, Firefox y PC con Windows Defender. Ese código era parte de un marco de explotación llamado Heliconia. Y en ese momento, los exploits utilizados para atacar esas aplicaciones eran de día cero, lo que significa que los fabricantes de software no estaban al tanto de los errores, según Google.
Más de un año después, en noviembre de 2022, el Grupo de Análisis de Amenazas de Google, el equipo de la compañía que investiga las amenazas respaldadas por el gobierno, publicó una publicación de blog analizando esos exploits y el marco de Heliconia. Los investigadores de Google concluyeron que el código pertenecía a Variston, una startup con sede en Barcelona que era desconocida para el público.
“Fue una gran crisis en ese momento, principalmente porque habíamos permanecido fuera del radar durante bastante tiempo”, dijo a TechCrunch un ex empleado de Variston. “Todo el mundo creía que al final quedaríamos expuestos si nos pillaban [in the wild]pero en cambio fue una filtración “.
Otro ex empleado de Variston dijo que el código fue enviado a Google por un empleado descontento de la empresa y que después de que sucedió, el nombre y el secreto de Variston fueron “quemados”.
Google siguió investigando el malware de Variston. En marzo de 2023, los investigadores del gigante tecnológico descubrieron que el software espía fabricado por Variston se utilizaba en Italia, Kazajstán, Malasia y los Emiratos Árabes Unidos. La semana pasada, Google informó que encontró herramientas de piratería Variston utilizadas contra propietarios de iPhone en Indonesia.
El año pasado, más de media docena de empleados de Variston abandonaron la empresa, dijeron a TechCrunch bajo condición de anonimato, ya que no estaban autorizados a hablar con la prensa debido a acuerdos de confidencialidad.
Ahora, según cuatro ex empleados y dos personas con conocimiento del mercado de software espía, Variston está cerrando.
A principios de la década de 2010, el público empezó a enterarse de que había un mercado floreciente en el que empresas occidentales, como Hacking Team, FinFisher y NSO Group, proporcionaban herramientas de vigilancia y piratería a países y regímenes de todo el mundo con historiales cuestionables o deficientes en materia de derechos humanos, como Etiopía, México, Arabia Saudita, los Emiratos Árabes Unidos y muchos otros.
Desde entonces, organizaciones digitales y de derechos humanos como Citizen Lab y Amnistía Internacional han decenas de casos documentados donde los clientes gubernamentales de estos fabricantes de software espía utilizaban esas herramientas para piratear y espiar a periodistas, disidentes y defensores de los derechos humanos.
En los últimos años, la industria de la seguridad ofensiva se ha vuelto más pública y normalizada. Algunos de estos fabricantes de software espía y desarrolladores de exploits anuncian abiertamente sus servicios en línea, sus empleados revelan dónde trabajan en las redes sociales y hay algunas conferencias de seguridad populares que atienden abiertamente a esta industria, como OffensiveCon y HexaCon.
Variston, sin embargo, siempre ha tratado de pasar desapercibido.
La única información pública de la empresa es un sitio web básico donde describe vagamente lo que hace.
“Nuestro conjunto de herramientas se basa en la vasta experiencia acumulada de nuestros consultores. Apoya el descubrimiento de información digital mediante [law enforcement agencies]”, se lee en el sitio web de Variston, en lo que es la única breve mención de su trabajo como creador de software espía y exploits para agencias gubernamentales.
Variston prohibió a los empleados revelar dónde trabajan, no sólo en LinkedIn, sino también en conferencias de ciberseguridad, según los ex empleados que hablaron con TechCrunch.
Según los registros empresariales españoles vistos por TechCrunch, Variston se fundó en Barcelona en 2018 y cuenta con Ralf Wegener y Ramanan Jayaraman como fundadores y directores.
Si bien su sitio web enumera otra dirección en la ciudad, Variston trabajó recientemente en una oficina en el barrio barcelonés de Poble Nou, dentro de un espacio de coworking ubicado a una cuadra de la playa. En octubre, un representante del espacio de coworking le dijo a TechCrunch que Variston estaba ubicado allí y lo había estado durante un par de años.
Cuando TechCrunch visitó la oficina de Variston esta semana, un representante del espacio de coworking afirmó que Variston todavía está trabajando allí. El representante se ofreció a llevar un mensaje para Variston, diciendo que no estaban allí ese día pero que habían estado en el edificio esa semana. Ni Wegener ni Jayaraman respondieron a múltiples correos electrónicos de TechCrunch solicitando comentarios sobre Variston. Un correo electrónico a la dirección de correo electrónico pública de Variston no fue respondido.
Uno de los primeros movimientos de Variston en 2018 fue adquirir Verdadero TI, una pequeña startup de investigación de día cero en Italia, según registros comerciales italianos vistos por TechCrunch. Desde entonces, Variston creció hasta convertirse en una empresa con alrededor de cien empleados. Además de Heliconia, el marco de explotación de la empresa para dispositivos Windows, Variston también desarrolló exploits y herramientas de piratería para iOS y Android. El producto Android de Variston se llamaba Violet Pepper, según los ex empleados.
Incluso los fundadores de Truel IT, que se trasladaron a trabajar a Variston, no mencionan a Variston como empleador en sus perfiles de LinkedIn.
Según los antiguos empleados de Variston, este nivel de secreto también se aplicaba a la identidad de los clientes de la empresa, excepto a su relación especial con Protect, una empresa con sede en la ciudad de Abu Dhabi, en los Emiratos Árabes Unidos.
“Variston era un proveedor de Protect”, dijo una persona con conocimiento de las operaciones de Protect, que pidió permanecer en el anonimato porque no estaba autorizada a hablar con la prensa. “Fue una relación importante para ambos por un tiempo”.
El trabajo de la empresa “iba a los Emiratos Árabes Unidos” y Protect era “de facto el único cliente”, según ex empleados de Variston.
Los ex empleados le dijeron a TechCrunch que Protect estaba financiando todas las operaciones en Variston, incluida la investigación y el desarrollo. Un ex empleado de Variston dijo que una vez que Protect retiró su financiación del desarrollo a principios de 2023, Protect intentó obligar a los empleados de Variston a reubicarse. Luego, cuando la financiación para la investigación se detuvo a finales de año, Variston “cerró el negocio”, dijo la persona.
Contáctenos
¿Sabes más sobre Variston o Protect? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
A principios de 2023, Protect pidió a todos los empleados de Variston que se mudaran a Abu Dhabi. Aquí es donde Variston comenzó a desmoronarse, ya que la mayoría del personal de Variston no aceptó la propuesta. Los ex empleados dijeron que la gerencia les dio dos opciones: “mudarse a Abu Dhabi o ser despedidos”, y que no habría excepciones.
Protect se anuncia a sí misma como “una empresa forense y de ciberseguridad de vanguardia”. Al igual que Variston, Protect dice poco más en su sitio web sobre lo que hace la empresa.
Pero Los investigadores de seguridad de Google creen que Protect, también conocido como Protect Electronic Systems, “combina el software espía que desarrolla con el marco y la infraestructura de Heliconia en un paquete completo que luego se ofrece a la venta ya sea a un corredor local o directamente a un cliente gubernamental”.
Eso explicaría cómo las herramientas de Variston supuestamente terminaron utilizándose en Indonesia, Italia, Kazajstán y Malasia.
Según Inteligencia en LíneaProtect, una publicación comercial que cubre la industria de la vigilancia y la inteligencia, se lanzó después de que DarkMatter, una controvertida empresa de piratería con sede en los Emiratos Árabes Unidos, Se reveló que había contratado a estadounidenses. quien luego ayudó al gobierno de los EAU a espiar a disidentes, rivales políticos y periodistas.
En 2019, Protect estaba dirigida por Awad Al Shamsi y proporcionaba a “los usuarios del gobierno de los EAU acceso discreto a tecnología cibernética extranjera”, informó Intelligence Online. No se sabe si Al Shamsi todavía está en Protect y Al Shamsi no respondió a un correo electrónico solicitando comentarios. Protect no respondió a varios otros correos electrónicos de TechCrunch.
Los fundadores de Variston, Wegener y Jayaraman, también parecen haber trabajado en Protect, al menos a partir de 2016, según registros públicos en línea de claves de cifrado vinculadas a sus direcciones de correo electrónico de Protect vistas por TechCrunch.
Wegener es un veterano de la industria del software espía. Según Intelligence Online, Wegener dirige varias otras empresas, algunas con sede en Chipre y también de copropiedad de Jayaraman. Wegener solía trabajar en AGT, o Advanced German Technology, un proveedor de vigilancia fundado en Berlín en 2001 con una oficina en Dubai. En 2007, junto con el fabricante italiano de software espía RCS Lab, AGT trabajó con el gobierno sirio para desarrollar un sistema centralizado de monitoreo de Internet en tiempo real en todo el país. según informes de noticias basados en documentos filtrados y investigación realizada por la organización sin fines de lucro Privacy International. Al final, AGT no proporcionó el sistema al gobierno sirio.
Cinco años después de su fundación, Variston ya no es una startup secreta.
Tres ex empleados dijeron que el informe de Google de 2022 reveló el secreto de Variston. Uno de los empleados dijo que el informe de Google que exponía a Variston “podría haber sido el principio del fin” para el fabricante de software espía.
Pero otro ex empleado de Variston dijo que la empresa, al igual que otros fabricantes de software espía, habría quedado expuesta con el tiempo. “Tarde o temprano tenía que suceder”, dijo la persona. “Es bastante normal”.
Natasha Lomas contribuyó con el reportaje.