Una importante investigación periodística ha encontrado evidencia de software malicioso utilizado por gobiernos de todo el mundo, incluidas denuncias de espionaje a personas destacadas.

De una lista de más de 50.000 números de teléfono, los periodistas identificaron a más de 1.000 personas en 50 países supuestamente bajo vigilancia utilizando el software espía Pegasus. El software fue desarrollado por la empresa israelí NSO Group y vendido a clientes gubernamentales.

Entre los objetivos informados del software espía se encuentran periodistas, políticos, funcionarios gubernamentales, directores ejecutivos y activistas de derechos humanos.

Los informes hasta el momento aluden a un esfuerzo de vigilancia que recuerda a una pesadilla orwelliana, en el que el software espía puede capturar pulsaciones de teclas, interceptar comunicaciones, rastrear el dispositivo y usar la cámara y el micrófono para espiar al usuario.

¿Cómo lo hicieron?

No hay nada particularmente complicado acerca de cómo el spyware Pegasus infecta los teléfonos de las víctimas. El hackeo inicial implica un SMS o iMessage elaborado que proporciona un enlace a un sitio web. Si se hace clic, este enlace entrega software malicioso que compromete el dispositivo.

El objetivo es hacerse con el control total del sistema operativo del dispositivo móvil, ya sea rooteando (en dispositivos Android) o haciendo jailbreak (en dispositivos Apple iOS).

Por lo general, el rooteo en un dispositivo Android lo realiza el usuario para instalar aplicaciones y juegos de tiendas de aplicaciones no compatibles, o volver a habilitar una funcionalidad que fue deshabilitada por el fabricante.

Del mismo modo, se puede implementar un jailbreak en los dispositivos Apple para permitir la instalación de aplicaciones que no están disponibles en la App Store de Apple, o para desbloquear el teléfono para usarlo en redes celulares alternativas. Muchos enfoques de jailbreak requieren que el teléfono esté conectado a una computadora cada vez que se enciende (lo que se conoce como "jailbreak atado").

El enraizamiento y el jailbreak eliminan los controles de seguridad integrados en los sistemas operativos Android o iOS. Por lo general, son una combinación de cambios de configuración y un "hackeo" de elementos centrales del sistema operativo para ejecutar código modificado.

En el caso del software espía, una vez que se desbloquea un dispositivo, el perpetrador puede implementar más software para asegurar el acceso remoto a los datos y funciones del dispositivo. Es probable que este usuario permanezca completamente inconsciente.

La mayoría de los informes de los medios sobre Pegasus se relacionan con el compromiso de los dispositivos Apple. El software espía también infecta los dispositivos Android, pero no es tan efectivo ya que se basa en una técnica de enraizamiento que no es 100% confiable. Cuando el intento de infección inicial falla, el software espía supuestamente solicita al usuario que otorgue los permisos pertinentes para que pueda implementarse de manera efectiva.

Cómo funciona Pegasus Spyware- pic.twitter.com/GbE4RBUTvJ

— Rohan (@rohanreplies) 19 de julio de 2021

¿Pero no son los dispositivos Apple más seguros?

Los dispositivos de Apple generalmente se consideran más seguros que sus equivalentes de Android, pero ningún tipo de dispositivo es 100 % seguro.

Apple aplica un alto nivel de control al código de su sistema operativo, así como a las aplicaciones que ofrece a través de su tienda de aplicaciones. Esto crea un sistema cerrado a menudo denominado "seguridad por oscuridad". Apple también ejerce un control completo sobre cuándo se implementan las actualizaciones, que luego los usuarios adoptan rápidamente.

Los dispositivos Apple se actualizan con frecuencia a la última versión de iOS mediante la instalación automática de parches. Esto ayuda a mejorar la seguridad y también aumenta el valor de encontrar un compromiso viable para la última versión de iOS, ya que la nueva se utilizará en una gran proporción de dispositivos en todo el mundo.

Por otro lado, los dispositivos Android se basan en conceptos de código abierto, por lo que los fabricantes de hardware pueden adaptar el sistema operativo para agregar funciones adicionales u optimizar el rendimiento. Por lo general, vemos una gran cantidad de dispositivos Android que ejecutan una variedad de versiones, lo que inevitablemente da como resultado algunos dispositivos sin parches e inseguros (lo que es ventajoso para los ciberdelincuentes).

En última instancia, ambas plataformas son vulnerables al compromiso. Los factores clave son la conveniencia y la motivación. Si bien el desarrollo de una herramienta de malware para iOS requiere una mayor inversión en tiempo, esfuerzo y dinero, tener muchos dispositivos que ejecutan un entorno idéntico significa que hay una mayor probabilidad de éxito a una escala significativa.

Si bien es probable que muchos dispositivos Android sean vulnerables al compromiso, la diversidad de hardware y software hace que sea más difícil implementar una sola herramienta maliciosa en una amplia base de usuarios.

¿Cómo puedo saber si estoy siendo monitoreado?

Si bien la filtración de más de 50,000 números de teléfono supuestamente monitoreados parece mucho, es poco probable que el software espía Pegasus se haya utilizado para monitorear a alguien que no es públicamente prominente o políticamente activo.

Está en la naturaleza misma del spyware permanecer encubierto y sin ser detectado en un dispositivo. Dicho esto, existen mecanismos para mostrar si su dispositivo se ha visto comprometido.

La manera (relativamente) fácil de determinar esto es utilizar el kit de herramientas de verificación móvil (MVT) de Amnistía Internacional. Esta herramienta puede ejecutarse en Linux o MacOS y puede examinar los archivos y la configuración de su dispositivo móvil mediante el análisis de una copia de seguridad realizada desde el teléfono.

Si bien el análisis no confirmará ni refutará si un dispositivo está comprometido, detecta "indicadores de compromiso" que pueden proporcionar evidencia de infección.

Es un gran proyecto creado por los mismos investigadores de Amnistía que confirmaron las infecciones de Pegasus en los teléfonos de las víctimas. MVT permite que cualquier persona haga una copia de seguridad de su teléfono y busque indicadores de compromiso asociados con Pegasus. https://t.co/IQ1YDDBCcQ pic.twitter.com/dhoImNvw4P

— Zack Whittaker (@zackwhittaker) 19 de julio de 2021

En particular, la herramienta puede detectar la presencia de software (procesos) específicos que se ejecutan en el dispositivo, así como una variedad de dominios utilizados como parte de la infraestructura global que respalda una red de spyware.

¿Qué puedo hacer para estar mejor protegido?

Aunque es poco probable que la mayoría de las personas sean el objetivo de este tipo de ataque, existen pasos simples que puede seguir para minimizar su posible exposición, no solo a Pegasus sino también a otros ataques maliciosos.

1. Solo abra enlaces de contactos y fuentes conocidas y confiables cuando use su dispositivo. Pegasus se implementa en dispositivos Apple a través de un enlace de iMessage. Y esta es la misma técnica utilizada por muchos ciberdelincuentes tanto para la distribución de malware como para estafas menos técnicas. El mismo consejo se aplica a los enlaces enviados por correo electrónico u otras aplicaciones de mensajería.
2. Asegúrese de que su dispositivo esté actualizado con los parches y actualizaciones relevantes. Si bien tener una versión estandarizada de un sistema operativo crea una base estable para que los atacantes se dirijan a ellos, sigue siendo su mejor defensa.
3. Si usa Android, no confíe en las notificaciones de nuevas versiones del sistema operativo. Busque la última versión usted mismo, ya que es posible que el fabricante de su dispositivo no proporcione actualizaciones.
4. Aunque pueda parecer obvio, debe limitar el acceso físico a su teléfono. Hágalo habilitando el bloqueo de pin, dedo o cara en el dispositivo. El sitio web del Comisionado de seguridad electrónica tiene una variedad de videos que explican cómo configurar su dispositivo de forma segura.
5. Evite los servicios WiFi públicos y gratuitos (incluidos los hoteles), especialmente cuando acceda a información confidencial. El uso de una VPN es una buena solución cuando necesita utilizar este tipo de redes.
6. Cifre los datos de su dispositivo y habilite las funciones de borrado remoto cuando estén disponibles. Si pierde o le roban su dispositivo, tendrá cierta seguridad de que sus datos permanecerán seguros.