Pegasus: ¿Qué es el software espía israelí y cómo puedes saber si está en tu teléfono?
Pegasus es un software espía sofisticado que se puede instalar subrepticiamente en un teléfono inteligente de varias formas
El software espía de grado militar “Pegasus”, utilizado para infiltrar los teléfonos inteligentes de al menos 40 periodistas en la India, existe desde al menos 2016 y es una de las herramientas de intrusión más sofisticadas capaces de extraer información de dispositivos móviles.
Construido por la empresa israelí NSO Group, también conocida como Q Cyber Technologies, el software espía se puede utilizar para grabar llamadas, copiar y enviar mensajes o incluso filmar personas a través de las cámaras de los teléfonos. El software espía se puede y se ha utilizado para apuntar a dispositivos Apple iOS y Android.
Las primeras versiones del uso de “Pegasus”, requerían que las víctimas hicieran clic en enlaces maliciosos enviados para atraerlas, lo cual causaba que el software se instalara de manera desapercibida en sus teléfonos inteligentes, permitiendo así el monitoreo de sus datos privados, incluidas contraseñas, llamadas, mensajes de texto y correos electrónicos.
El software espía tiene el potencial de convertir los teléfonos inteligentes en dispositivos de vigilancia las 24 horas. Esto se debe en parte a la capacidad del software espía para evadir la mayoría de los análisis forenses, evitar la detección por parte de software antivirus, y ser desactivado o eliminado por sus operadores de manera discreta.
Una vez instalado, dicen los expertos, “Pegasus” vincula los dispositivos a lo que se conoce como servidores de comando y control (C2), que son computadoras o dominios que se utilizan para enviar y recibir comandos y datos a esos dispositivos.
Pegasus está diseñado para utilizar un consumo mínimo de ancho de banda, para evadir sospechas, enviando actualizaciones regulares y programadas a los C2.
Por lo tanto, los dominios C2s se pueden usar para confirmar la intrusión de “Pegasus”, al correlacionar la línea de tiempo probable de cuándo un dispositivo puede haber sido infectado con los sellos de tiempo de diferentes datos en servidores C2 vinculados.
Leer más: Mujer que encontró su clip en Pornhub crea una app para víctimas
Por ejemplo, uno de dichos métodos forenses utilizado por Amnistía Internacional se basa en la "correlación temporal" entre la primera aparición de datos en los registros y la comunicación de los teléfonos con los servidores de instalación conocidos de “Pegasus”.
Los expertos, incluidos los de The Citizen Lab, un laboratorio interdisciplinario con sede en la Universidad de Toronto, señalan preocupaciones sobre las versiones actuales de Pegasus que son más avanzadas.
El software espía ahora utiliza lo que se conoce como ataques de "cero clic", que no requieren que las víctimas potenciales hagan clic en ningún enlace secreto y explotador para activarlo.
Estos ataques de "cero clic" se utilizan para explotar vulnerabilidades o errores de "día cero" en los sistemas operativos de dispositivos que aún no se han solucionado.
En diciembre del año pasado, los investigadores, incluido Bill Marczak del laboratorio, señalaron en un informe que los agentes del gobierno utilizaron esta versión avanzada del software espía para piratear 36 teléfonos personales de periodistas, productores, presentadores y ejecutivos de la red de noticias Al Jazeera.
Señalaron una de esas vulnerabilidades de "cero clic" en la aplicación iMessage que se usó contra iOS 13.5.1 para infiltrar el entonces último iPhone 11 de Apple.
Marczac señaló en un tweet el domingo que los últimos iPhones, también pueden ser vulnerables a tales ataques de cero clics y agregó que podría haber un "GRAVÍSIMO problema de cinco alarmas de fuego rojo parpadeante en la seguridad de iMessage".
Para identificar los dispositivos Apple explotados por Pegasus, Amnistía Internacional analizó los registros de ejecuciones de procesos y su respectivo uso de red en “DataUsage.sqlite” y “netusage.sqlite”, dos archivos de base de datos almacenados en dispositivos iOS.
Si bien el primero se puede encontrar en la carpeta de respaldo de la aplicación iTunes, el segundo no, según la organización.
El análisis forense de Amnistía Internacional descubrió que los dispositivos que se comunicaban con los dominios Pegasus C2 contenían registros de un proceso sospechoso vinculado a la explotación del navegador que “se prepara para su infección con la suite Pegasus completa”.
Amnistía ha nombrado 45 procesos sospechosos de este tipo en su borrador de informe y 28 de ellos son comunes con otro borrador de informe publicado de forma independiente por “The Citizen Lab”.
Los piratas informáticos pueden incluso hacer todo lo posible para realizar ingeniería social sobre sus víctimas y posteriormente, instalar vulnerabilidades en sus dispositivos.
En uno de tales incidentes, la esposa de un periodista mexicano asesinado recibió mensajes de texto alarmantes sobre el asesinato de su esposo para engañarla para que hiciera clic en un enlace e infectar su teléfono con Pegasus.
Otra versión del software espía se dirigió a 1.400 teléfonos a través de una vulnerabilidad de software que se aprovechó a través de una llamada de voz perdida en WhatsApp.
La empresa de redes sociales propiedad de Facebook dijo que identificó y solucionó el error poco después.
Los expertos advierten que no todos los vectores y métodos utilizados para infectar dispositivos con el software espía son de conocimiento público, lo que alimenta las preocupaciones de una creciente carrera armamentista cibernética.
“Creemos que remediar este problema no será fácil ni sencillo. Se requerirá una coalición de partes interesadas, incluidos los gobiernos, el sector privado y la sociedad civil, para frenar lo que ahora es un 'salvaje oeste' de abuso absoluto”, señaló el informe de The Citizen Lab.
Los expertos han advertido que el Grupo NSO, que vende Pegasus solo a los gobiernos, así como otras empresas, están equipando a gobiernos autoritarios con herramientas poderosas que responsabilizan a los políticos y administradores.
“No actuar con urgencia en esta grave emergencia pública amenaza la democracia liberal y los derechos humanos en todo el mundo”, señalaron.