Pegasus: funcionamiento, formas de protección y como saber si me teléfono está en riesgo

Una importante investigación periodística del Washington Post ha encontrado pruebas de que gobiernos de todo el mundo utilizan software espía malicioso, incluidas denuncias de vigilancia a personas destacadas.

De una lista de más de 50.000 números de teléfono, los periodistas identificaron a más de 1.000 personas en 50 países que, según los informes, estaban bajo vigilancia utilizando el software espía Pegasus. El software fue desarrollado por la empresa israelí NSO Group y vendido a clientes gubernamentales.

Entre los objetivos denunciados del software espía se encuentran periodistas, políticos, funcionarios gubernamentales, directores ejecutivos y activistas de derechos humanos.

Los informes hasta ahora aluden a un esfuerzo de vigilancia que recuerda a una pesadilla orwelliana, en la que el software espía puede capturar las pulsaciones del teclado, interceptar comunicaciones, rastrear el dispositivo, utilizar la cámara y el micrófono para espiar al usuario.

¿Cómo funciona?

El software espía Pegasus puede infectar los teléfonos de las víctimas a través de una amplia variedad de mecanismos. Algunos enfoques pueden involucrar un SMS o iMessage que proporcione un enlace a un sitio web. Si se hace clic, este vínculo entrega software malintencionado que compromete el dispositivo.

Otros utilizan el ataque de “clic cero”, más preocupante, donde las vulnerabilidades en el servicio iMessage en iPhone permiten la infección simplemente recibiendo un mensaje y no se requiere la interacción del usuario.

El objetivo es tomar el control total del sistema operativo del dispositivo móvil, ya sea mediante el “rooteo” (en dispositivos Android) o mediante “jailbreak” (en dispositivos Apple iOS).

Por lo general, el usuario realiza “root” en un dispositivo Android para instalar aplicaciones y juegos de tiendas de aplicaciones no admitidas, o para volver a habilitar funcionalidades deshabilitadas por los fabricantes de estos dispositivos.

De manera similar, se puede implementar un “jailbreak” en dispositivos Apple para permitir la instalación de aplicaciones que no están disponibles en la App Store de Apple, o para desbloquear el teléfono para su uso en redes celulares alternativas. Muchos enfoques de “jailbreak” requieren que el teléfono esté conectado a una computadora cada vez que se enciende (lo que se conoce como “tethered jailbreak”).

Tanto en “root” como en “jailbreak” se eliminan los controles de seguridad integrados en los sistemas operativos Android y iOS. Por lo general, son una combinación de cambios de configuración y un “hack” de elementos centrales del sistema operativo para ejecutar código modificado.

En el caso del software espía, una vez que se desbloquea un dispositivo, el atacante puede implementar más software para asegurar el acceso remoto a los datos y funciones del dispositivo. Es probable que este usuario no lo sepa por completo.

La mayoría de los informes de los medios sobre Pegasus se relacionan con el compromiso de los dispositivos Apple. El software espía también infecta los dispositivos Android, pero no es tan eficaz ya que se basa en una técnica de “root”que no es 100% confiable. Cuando el intento de infección inicial falla, el software espía supuestamente solicita al usuario que otorgue los permisos pertinentes para que pueda implementarse de manera efectiva.

¿No son los dispositivos de Apple más seguros?

Los dispositivos de Apple generalmente se consideran más seguros que sus equivalentes de Android, pero ningún tipo de dispositivo es 100% seguro.

Apple aplica un alto nivel de control al código de su sistema operativo, así como a las aplicaciones que ofrece a través de su tienda de aplicaciones. Esto crea un sistema cerrado a menudo denominado “seguridad por oscuridad”. Apple también ejerce un control completo sobre cuándo se implementan las actualizaciones, que luego son instaladas rápidamente por los usuarios.

Los dispositivos Apple se actualizan con frecuencia a la última versión de iOS mediante la instalación automática de parches. Esto ayuda a mejorar la seguridad y que la nueva se utilizará en una gran proporción de dispositivos a nivel mundial.

Por otro lado, los dispositivos Android se basan en conceptos de código abierto, por lo que los fabricantes de hardware pueden adaptar el sistema operativo para agregar funciones adicionales u optimizar el rendimiento.

Por lo general, vemos una gran cantidad de dispositivos Android que ejecutan una variedad de versiones, lo que inevitablemente resulta en algunos dispositivos inseguros y sin parches (lo cual es ventajoso para los ciberdelincuentes).

En última instancia, ambas plataformas son vulnerables al ataque. Los factores clave son la conveniencia y la motivación. Si bien el desarrollo de una herramienta de malware para iOS requiere una mayor inversión en tiempo, esfuerzo y dinero, tener muchos dispositivos ejecutando un entorno idéntico significa que hay una mayor probabilidad de éxito a una escala significativa. A pesar que muchos dispositivos Android sean vulnerables, la diversidad de hardware y software hace que sea más difícil implementar una sola herramienta maliciosa para una amplia base de usuarios.

¿Cómo puedo saber si me están monitoreando?

Si bien la filtración de más de 50,000 números de teléfono presuntamente monitoreados parece mucho, es poco probable que el software espía Pegasus se haya utilizado para monitorear a alguien que no es público prominente o políticamente activo.

Está en la propia naturaleza del software espía permanecer oculto y sin ser detectado en un dispositivo. Pero existen mecanismos para mostrar si su equipo está comprometido.

La forma (relativamente) fácil de determinar esto es utilizar el Kit de herramientas de verificación móvil (MVT) de Amnistía Internacional. Esta herramienta puede ejecutarse en Linux o MacOS, puede examinar los archivos y la configuración de su dispositivo móvil analizando una copia de seguridad tomada del teléfono.

Si bien el análisis no confirmará ni refutará si un dispositivo está comprometido, detecta “indicadores de compromiso” que pueden proporcionar evidencia de infección.

En particular, la herramienta puede detectar la presencia de software (procesos) específicos que se ejecutan en el dispositivo, así como una variedad de dominios utilizados como parte de la infraestructura global que respalda una red de software espía.

¿Qué puedo hacer para estar mejor protegido?

Desafortunadamente, no existe una solución actual para el ataque de “clic cero”. Sin embargo, existen pasos sencillos que puede seguir para minimizar su posible exposición, no solo a Pegasus sino también a otros ataques maliciosos.

1) Solo abra enlaces de contactos y fuentes conocidos y confiables cuando use su dispositivo. Pegasus se implementa en dispositivos Apple a través de un enlace de iMessage. Y esta es la misma técnica utilizada por muchos ciberdelincuentes tanto para la distribución de malware como para las estafas menos técnicas. El mismo consejo se aplica a los enlaces enviados por correo electrónico u otras aplicaciones de mensajería.

2) Asegúrese de que su dispositivo esté actualizado con los parches y actualizaciones relevantes. Si bien tener una versión estándar de un sistema operativo crea una base estable para que los atacantes apunten, sigue siendo su mejor defensa.

Si usa Android, no confíe en las notificaciones de nuevas versiones del sistema operativo. Busque la última versión usted mismo, ya que es posible que el fabricante de su dispositivo no esté proporcionando actualizaciones.

3) Aunque pueda parecer obvio, debe limitar el acceso físico a su teléfono. Para ello, habilite el bloqueo con pin, huella dactilar o bloqueo por reconocimiento facial. Consulte en la página del fabricante del dispositivo las instrucciones para habilitar estas funciones.

4) Evite los servicios WiFi públicos y gratuitos (incluidos los hoteles), especialmente al acceder a información sensible. El uso de una VPN es una buena solución cuando necesita utilizar dichas redes.

5) Cifre los datos de su dispositivo y habilite las funciones de borrado remoto cuando estén disponibles. Si pierde o le roban su dispositivo, tendrá la seguridad de que sus datos pueden permanecer seguros.

6) Utilice dispositivos móviles seguros, de propósito específico, que posean administración centralizada y funcionalidades de cifrado en comunicación, así como detección de amenazas.

Nektgroup posee una alianza importante con Communitake una solución de telefonía móvil segura la cual administra todos los equipos de manera centralizada, cifrando comunicaciones y detectando ciber amenazas.

 

Fuentes: Paul Haskell-Dowland – Roberto Musotto (Edith Cowan University – The Conversation)

 

Open chat
¿Necesitas ayuda?