El Proyecto Pegasus es una investigación realizada por The Washington Post y otras 16 organizaciones de medios de comunicación en 10 países, la cual fue coordinada por Forbidden Stories, una organización sin fines de lucro relacionada al periodismo con sede en París, y asesorada por Amnistía Internacional.
Esos dos grupos tuvieron acceso a una lista
de más de 50,000 números telefónicos que incluían objetivos de intrusión y
vigilancia para clientes de la empresa israelí de software espía
(o spyware) NSO Group, la cual compartieron con el equipo de
periodistas.
Durante los últimos meses, el equipo revisó y
analizó la lista en un esfuerzo por conocer las identidades de los dueños de
los números telefónicos y determinar si a sus teléfonos les habían implantado el software espía Pegasus de NSO.
La investigación logró vincular a más de 1,000
funcionarios gubernamentales, periodistas, empresarios y activistas de derechos
humanos con los números telefónicos y obtener datos de 67 teléfonos cuyos
números aparecían en la lista.
Posteriormente, el Laboratorio sobre
Seguridad de Amnistía Internacional analizó esos datos de forma forense. De los
67 teléfonos, 37 de ellos mostraron evidencia de un intento de intrusión o ataque
exitoso de Pegasus.
Un análisis más detallado indicó que muchas
de esas intrusiones o intentos de intrusión se produjeron poco después de que
el número telefónico ingresara en la lista —algunos incluso en cuestión de
segundos— lo que sugiere un vínculo entre la lista y los posteriores esfuerzos
de intrusión y vigilancia.
¿Qué tan vulnerable se es a este tipo de
software espía? ¿Hay medidas que se pueda implementar para mantener el teléfono seguro? A continuación, algunas
respuestas:
¿Qué es el spyware y quién lo utiliza?
Spyware, o software espía, es un término
general para denominar a una categoría de software malicioso, o malware,
que busca recopilar información de la computadora, teléfono u otro dispositivo
de otra persona.
El software espía puede ser relativamente
simple. Puede aprovecharse de debilidades de seguridad bastante conocidas
para hackear dispositivos con poca protección. Sin embargo, algunos
de ellos son muy sofisticados y se enfocan en fallas de software sin parches
que pueden permitirle a alguien fisgonear incluso en los teléfonos más nuevos
con medidas de seguridad avanzadas.
El spyware más sofisticado es por
lo general utilizado por las fuerzas del orden o las agencias de inteligencia,
y existe todo un sólido mercado privado para proporcionarle esas herramientas a
las naciones que pueden pagarlas, como Estados Unidos.
Desde hace tiempo se sospecha que grupos
terroristas y bandas criminales sofisticadas también tienen acceso a software
espía.
Investigadores de ciberseguridad de Microsoft
y el Citizen Lab de la Universidad de Toronto afirmaron este mes que el spyware de otra empresa
israelí, Candiru, había sido utilizado para infectar las computadoras y
teléfonos de activistas, políticos y otras víctimas por medio de sitios web
falsos que se hacían pasar por páginas de Black Lives Matter o grupos de salud.
¿Qué puede recolectar el software espía?
Casi todo en un dispositivo es vulnerable a
un spyware sofisticado.
Muchas personas están familiarizadas con las
intervenciones telefónicas tradicionales, que permiten el monitoreo de llamadas
en tiempo real, pero el software espía puede hacer eso y mucho más.
Puede recopilar correos electrónicos,
publicaciones en redes sociales, registros de llamadas e incluso mensajes en
aplicaciones de chat encriptadas como WhatsApp o Signal. El software espía
puede determinar la ubicación de un usuario, además de si la persona está
detenida o en movimiento —y hacia qué dirección lo hace—. Puede recolectar
contactos, nombres de usuario, contraseñas, notas y documentos. Eso incluye
fotografías, videos y grabaciones de sonido.
El spyware más avanzado puede
incluso activar micrófonos y cámaras, sin encender luces o cualquier otro
indicador que informe que hay una grabación en curso. Básicamente, cualquier
cosa que las y los usuarios puedan hacer en sus dispositivos, quienes operan el
software espía avanzado también podrán hacerlo. Algunos pueden incluso enviar
archivos a dispositivos sin la aprobación o conocimiento de los usuarios.
¿Por qué la encriptación no detiene malware como Pegasus?
Lo que se conoce como “cifrado de extremo a
extremo” protege la transmisión de datos entre dispositivos. Es útil para
detener los “ataques de intermediario”, en el que un hacker intercepta un
mensaje entre su remitente y su destinatario, porque el mensaje está bloqueado
con una clave de cifrado específica. Estas formas de encriptación, ampliamente
adoptadas en los servicios comerciales tras las revelaciones del denunciante de
la Agencia de Seguridad Nacional Edward Snowden en 2013, también dificultan que
las agencias gubernamentales realicen una vigilancia masiva mediante el
monitoreo del tráfico de internet.
Sin embargo, no es útil contra ataques al
“endpoint”, que tiene como objetivo cualquiera de los extremos de la comunicación.
Una vez que el mensaje encriptado llega al dispositivo deseado, el sistema
ejecuta un programa para decodificar el mensaje y hacerlo legible. Cuando eso
sucede, el spyware en el dispositivo también puede leerlo.
¿Qué es NSO?
NSO Group es una empresa privada con sede en
Israel que es el fabricante líder de software espía. Su producto estrella,
Pegasus, está diseñado para introducirse en dispositivos iPhone y Android. La
compañía, fundada en 2010, afirma tener 60 clientes gubernamentales en 40
países.
La empresa, que también tiene sedes en
Bulgaria y Chipre, tiene 750 empleados y registró ingresos de más de 240
millones de dólares el año pasado, según Moody´s. Es propiedad mayoritaria de Novalpina Capital, una
firma de capital privado ubicada en Londres.
¿Quiénes son los clientes de NSO?
La compañía no da esa información, citando
acuerdos de confidencialidad.
Citizen Lab ha documentado posibles
infecciones de Pegasus en 45 lugares: Argelia, Baréin, Bangladés, Brasil, Canadá,
Egipto, Francia, Grecia, India, Irak, Israel, Costa de Marfil, Jordania,
Kazajistán, Kenia, Kuwait, Kirguistán, Letonia, Líbano, Libia, México,
Marruecos, Países Bajos, Omán, Pakistán, los territorios palestinos, Polonia,
Catar, Ruanda, Arabia Saudita, Singapur, Sudáfrica, Suiza, Tayikistán,
Tailandia, Togo, Túnez, Turquía, Emiratos Árabes Unidos, Uganda, Reino Unido,
Estados Unidos, Uzbekistán, Yemen y Zambia.
Sin embargo, la presencia de teléfonos infectados no
significa necesariamente que el gobierno de ese país sea un cliente.
NSO ha afirmado desde hace mucho tiempo que
Pegasus no se puede utilizar para atacar teléfonos en Estados Unidos y que solo
debe ser usado contra “presuntos delincuentes y terroristas”.
Sin embargo, varios grupos de investigación han
descubierto que también se ha utilizado para espiar a figuras políticas,
periodistas y activistas de derechos humanos.
Estos hallazgos han sido confirmados por la investigación del Proyecto Pegasus.
¿Cómo se detectan las infecciones de spyware?
El software espía moderno está diseñado para apoderarse de los sistemas y al mismo tiempo lograr que parezca que nada ha cambiado, por lo que los teléfonos hackeados a menudo deben ser examinados a profundidad antes de que muestren alguna evidencia de que fueron atacados.
El Laboratorio sobre Seguridad de Amnistía
Internacional diseñó una prueba para escanear los datos de los teléfonos en
busca de rastros de una posible infección de Pegasus, y el grupo le preguntó a
las personas si estarían de acuerdo en someter sus dispositivos al análisis
tras saber que sus números estaban en la lista, 67 accedieron. De ellos, los
datos de 23 teléfonos mostraron evidencia de una infección exitosa y 14 tenían
rastros de intentos de hackeo.
En los 30 teléfonos restantes las pruebas no
fueron concluyentes, en varios casos porque los teléfonos habían sido
remplazados o se habían perdido, y las pruebas se realizaron en archivos de
respaldo que podrían haber tenido datos del teléfono anterior. En 15 de las
pruebas se realizaron con datos de teléfonos Android, ninguno de mostró
evidencia de una infección exitosa. Sin embargo, a diferencia de los iPhone,
los dispositivos Android no registran el tipo de información necesaria para el
trabajo detectivesco de Amnistía Internacional. Tres teléfonos Android mostraron
señales de haber sido objetivos de ataques, como mensajes SMS vinculados a
Pegasus.
¿Puedo
detectar si mi dispositivo fue hackeado con Pegasus u otro malware?
Probablemente no.
El malware está diseñado para funcionar de forma sigilosa y cubrir
sus huellas. Es por eso que la mejor defensa quizás sea protegerte contra la
infección desde un principio.
¿Mi
dispositivo es vulnerable?
Casi todos los teléfonos celulares son
vulnerables, aunque es poco probable que la mayoría de los usuarios comunes de
teléfonos sean atacados. Aparte de los presuntos delincuentes y terroristas,
los más propensos a ser objetivos de intrusión y vigilancia son periodistas,
activistas de derechos humanos, políticos, diplomáticos, funcionarios
gubernamentales, líderes empresariales, y familiares y asociados de figuras
prominentes. Los teléfonos especialmente diseñados —y muy costosos— que
utilizan variedades del sistema operativo Android junto a medidas de seguridad
avanzadas podrían resistir ataques de spyware, pero no hay manera de saberlo
con certeza.
¿Existen leyes que protejan?
Existe muy poca protección legal
significativa contra ser objeto de un ataque de software espía en la mayoría
del mundo. (…)
¿Hay
algo que pueda hacer para tener más seguridad?
Hay ciertas medidas básicas de ciberseguridad
que hacen que las personas estén un poco más seguras de hackeos de todo tipo.
Mantener los dispositivos y sus software actualizados, preferiblemente
activando la opción “actualización automática” en las opciones de
configuración. Los dispositivos que tienen más de cinco años —en especial si
tienen sistemas operativos obsoletos— son particularmente vulnerables.
Utiliza una contraseña única y difícil de
adivinar para cada dispositivo, sitio web y aplicación que utilices, y evita
usar claves fácilmente predecibles basadas en tu número telefónico, fecha de
nacimiento o nombre de mascotas. Un administrador de contraseñas como LastPass
o 1Password puede facilitarte el proceso. También se debería activar la
“autenticación de dos factores” en donde se pueda: esos sitios pedirán no solo
su contraseña sino también un segundo código, que será enviado a su teléfono o
estará accesible mediante una aplicación de autenticación separada.
Se debe evitar cliquear en enlaces o archivos
adjuntos de personas que no conozcas.
Siempre que sea posible, activar la opción de
“mensajes que desaparecen” o configuraciones similares para que las
comunicaciones se borren de manera automática después de un período de tiempo
establecido.
¿Quién más puede ayudar a proteger la
privacidad?
Los entes con mayor poder para frenar al
software espía son probablemente los fabricantes de dispositivos y software,
como Apple y Google. Tienen años mejorando la seguridad en los sistemas
operativos de sus teléfonos, pero no lo suficiente como para bloquear por
completo a Pegasus y malware similar.
Las compañías gigantes de “computación en la
nube” también pueden tomar medidas para evitar que sus servidores ayuden a los
ataques: tanto Microsoft como Amazon Web Services afirman haber tomado medidas
para bloquear malware cuando se enteraron de que sus sistemas estaban
siendo utilizados para transmitirlo.
Fuente: https://www.washingtonpost.com/es/
Escrito por Craig Timberg y Drew Harwell