Pegasus lleva un par de semanas en los titulares de los principales medios de comunicación, resurgiendo temas tan candentes como la libertad de expresión y la preocupación por la privacidad. El revuelo en torno a Pegasus es bastante razonable: se trata de uno de los programas informáticos más potentes y de funcionamiento encubierto de su nicho. Con cada vez más testigos que confiesan sus experiencias con Pegasus, la gente quiere saber ahora cómo comprobar si se trata de un programa espía Pegasus y qué medidas de seguridad tomar para mantener intactos sus datos privados.

En este artículo, vamos a cubrir:

¿Qué es Pegasus?

Pegasus es una solución de vigilancia de inteligencia diseñada para ayudar a los gobiernos a combatir el terrorismo y la delincuencia, según NSO Group, una agencia tecnológica con sede en Israel que ha creado este software.

Sin embargo, cuando cae en las manos equivocadas, Pegasus no es más que un programa espía que extrae información personal muy delicada de los dispositivos móviles de las personas objetivo.

La razón por la que el software recibe su nombre de una criatura de la mitología griega reside en su capacidad para instalarse de forma remota, literalmente, por el aire. Esta última es la característica distintiva de Pegasus, ya que la mayoría del malware requiere algún tipo de interacción por parte del usuario, como hacer clic en un enlace o en un botón.

¿Cómo funciona Pegasus?

Según la documentación oficial del producto Pegasus, el software puede instalarse a distancia o inyectarse directamente en el teléfono del objetivo.

Instalación remota

Este método de inyección de Pegasus requiere el número de teléfono o el correo electrónico de la persona objetivo; sin embargo, no se necesita ninguna actividad del usuario, o una actividad mínima, para iniciar la instalación. Esto último puede realizarse a través de:

  • Por aire (OTA). El nombre de esta técnica es bastante metafórico, ya que alude a la similitud del modo de transmisión del spyware con el vuelo sin esfuerzo del caballo alado de la Antigua Grecia. La realización técnica exacta es un secreto comercial, pero esta característica es lo que distingue a Pegasus de una serie de soluciones similares. Lo más probable es que el método OTA se base en vulnerabilidades de día cero y de clic cero. Lo que ocurre es que el agente de la amenaza utiliza el número de teléfono o el correo electrónico de la víctima para enviar un mensaje push que activa el dispositivo para instalar Pegasus. Todo el proceso se realiza de forma encubierta sin que el usuario afectado intervenga. La instalación se completa sin ninguna notificación que moleste al objetivo, dejándole inconsciente de la intrusión.
  • Mensaje de ingeniería social.Esta técnica es bien conocida por los expertos en ciberseguridad y por el público en general. Se envía al objetivo un SMS o un correo electrónico cuidadosamente diseñado. Su contenido atrae a la persona para que lo abra y haga clic en un enlace malicioso. Tras un clic exitoso, ya sea accidental o intencionado, Pegasus iniciará la instalación, de nuevo, en completo silencio.

Instalación física

Pegasus también puede instalarse manualmente, y el procedimiento completo dura unos cinco minutos. Obviamente, este método es imposible sin acceso físico al teléfono del objetivo. Una vez finalizada la instalación, el dispositivo puede vigilarse a distancia, como en los casos anteriores.

Gestión de datos

Todos los datos que recoge Pegasus van a parar a un búfer cifrado y bien oculto. Para enmascarar el proceso de almacenamiento temporal de datos, el búfer no consume más del 5% del almacenamiento del teléfono, un porcentaje bastante pequeño, que difícilmente levantará sospechas en el usuario. Además, una vez que los datos se transmiten con éxito al servidor, el búfer se borra.

¿Qué datos puede recoger Pegasus?

Pegasus es, sin duda, un software espía muy potente y altamente invasivo. Con ataques de clic cero, ya sea un iMessage sin abrir o una llamada FaceTime o WhatsApp sin responder, puede penetrar en los dispositivos objetivo de la forma más subrepticia.

Una vez dentro, Pegasus puede extraer instantáneamente y monitorizar en tiempo real todos los datos disponibles, tales como:

  • SMS
  • Correos electrónicos
  • Chats de mensajería instantánea (incluidos los cifrados como Signal o Telegram)
  • Registros del calendario
  • Historial de navegación y favoritos guardados
  • Seguimiento de la ubicación (GPS y Cell-ID)
  • Información del dispositivo (modelo, red, conexión, nivel de batería, etc.)

Pegasus también puede pedir al dispositivo que realice una serie de peticiones como:

  • Enciende el GPS para el muestreo de datos y apágalo justo después
  • Enciende el micrófono y empieza a grabar (en modo inactivo)
  • Grabar llamadas
  • Recuperar archivos y carpetas
  • Tomar fotos desde las cámaras frontal y trasera (en modo inactivo, sin linterna, la calidad de imagen se puede personalizar para una transmisión más rápida)
  • Hacer capturas de pantalla
¿Necesita ayuda con las pruebas de seguridad?

Consíguelo

Víctimas del spyware Pegasus

Pegasus no es un fenómeno nuevo. Lleva mucho tiempo entre nosotros, y la primera vez que el mundo lo descubrió se remonta a 2016, cuando un intento fallido de jailbreak en el iPhone de un activista de derechos humanos encendió una investigación más profunda y un pico en la cobertura mediática.

Desde entonces, Pegasus ha sido noticia varias veces más. En 2017, por ejemplo, más de 70 intentos de inyección de Pegasus fueron reportados por periodistas mexicanos. En 2019, WhatsApp demandó a NSO por explotar su vulnerabilidad de mensajería instantánea para hackear los dispositivos de los usuarios de WhatsApp.

En 2021, Pegasus vuelve a estar en el punto de mira, suscitando preocupaciones sobre la libertad de prensa y el abuso de la vigilancia por parte de organizaciones de inteligencia de todo el mundo.

PEGASUS SPYWARE EN CIFRAS
PAÍSES CLIENTES AFFECTED INDIVIDUALS ESTADÍSTICAS GENERALES
Azerbaiyán Periodistas Se filtran 50.000 números de teléfono
Bahréin Activistas de derechos humanos Más de 600 funcionarios en el punto de mira
Hungría Ministros 189 periodistas en el punto de mira
India Diplomáticos 85 activistas de derechos humanos en el punto de mira
Kazajstán Militares 65 ejecutivos en el punto de mira
México Agentes de seguridad 37 agresiones confirmadas
Marruecos Propietarios de empresas Más de 40 países son clientes de NSO
Ruanda Ejecutivos de nivel C Más de 60 organizaciones utilizan los servicios de NSO
Arabia Saudí Jefes de Estado 17 medios de comunicación que investigan el asunto
EAU Primeros ministros 2018 – detectado el primer ataque zero-click
EAU Miembros de la familia real 1400 usuarios de WhatsApp afectados
Fuentes: BBC, The Washington Post, Amnesty International
PEGASUS SPYWARE EN CIFRASS
PAÍSES CLIENTES
Azerbaiyán
AFFECTED INDIVIDUALS
Periodistas
ESTADÍSTICAS GENERALES
Se filtran 50.000 números de teléfono
PAÍSES CLIENTES
Bahréin
AFFECTED INDIVIDUALS
Activistas de derechos humanos
ESTADÍSTICAS GENERALES
Más de 600 funcionarios en el punto de mira
PAÍSES CLIENTES
Hungría
AFFECTED INDIVIDUALS
Ministros
ESTADÍSTICAS GENERALES
189 periodistas en el punto de mira
PAÍSES CLIENTES
India
AFFECTED INDIVIDUALS
Diplomáticos
ESTADÍSTICAS GENERALES
85 activistas de derechos humanos en el punto de mira
PAÍSES CLIENTES
Kazakhstan
AFFECTED INDIVIDUALS
Militares
ESTADÍSTICAS GENERALES
65 ejecutivos en el punto de mira
PAÍSES CLIENTES
México
AFFECTED INDIVIDUALS
Agentes de seguridad
ESTADÍSTICAS GENERALES
37 agresiones confirmadas
PAÍSES CLIENTES
Marruecos
AFFECTED INDIVIDUALS
Propietarios de empresas
ESTADÍSTICAS GENERALES
Más de 40 países son clientes de NSO
PAÍSES CLIENTES
Ruanda
AFFECTED INDIVIDUALS
Ejecutivos de nivel C
ESTADÍSTICAS GENERALES
Más de 60 organizaciones utilizan los servicios de NSO
PAÍSES CLIENTES
Arabia Saudí
AFFECTED INDIVIDUALS
Jefes de Estado
ESTADÍSTICAS GENERALES
17 medios de comunicación que investigan el asunto
PAÍSES CLIENTES
EAU
AFFECTED INDIVIDUALS
Primeros ministros
ESTADÍSTICAS GENERALES
2018 – detectado el primer ataque zero-click
PAÍSES CLIENTES
EAU
AFFECTED INDIVIDUALS
Miembros de la familia real
ESTADÍSTICAS GENERALES
1400 usuarios de WhatsApp afectados

¿Cómo detectar el spyware Pegasus en iOS y Android?

Aunque Pegasus no es una amenaza para un usuario medio de móvil -por un lado, este tipo de campañas cuestan millones de dólares-, siempre es buena idea mantenerse informado de las últimas soluciones de seguridad.

Cuando se trata de stalkerware, suele hacer que tu teléfono se comporte de forma extraña. Si estás lo suficientemente atento, podrás detectar algunas señales de alarma, como:

  • Notificaciones o llamadas inesperadas
  • Agotamiento de la batería
  • Mayor consumo de almacenamiento
  • Sobrecalentamiento excesivo
  • Apagados y reinicios aleatorios
  • Tiempo de apagado prolongado o dificultad para reiniciar el dispositivo
  • Rendimiento lento
  • Archivos con extensiones inusuales
  • Ruidos extraños durante las llamadas
  • La pantalla se enciende en modo de espera
  • Aplicaciones sospechosas que no recuerdas haber instalado ni utilizado nunca

El problema, sin embargo, radica en que los desarrolladores de programas espía son muy conscientes de estas señales y elaboran continuamente sus estrategias de ataque para ocultar cualquier rastro de malware en tu dispositivo. Por ejemplo, Pegasus causa un gasto mínimo de batería y deja de transmitir datos cuando el nivel de carga cae por debajo del 5%.

Así que aquí surge la pregunta de cómo detectar el spyware Pegasus. Es fácil confundirse y acabar ahogándose en la plétora de aplicaciones de seguridad actuales. Vamos a desglosarlo para usted y centrarnos sólo en las aplicaciones que están diseñadas específicamente para identificar rastros de software espía Pegasus en los teléfonos móviles.

Kit de herramientas de verificación móvil

Esta aplicación fue lanzada por Amnistía Internacional, un grupo de derechos humanos con más de diez millones de miembros en todo el mundo. La organización lleva varios años recopilando información sobre el programa espía Pegasus y utilizó los resultados de su investigación para crear una aplicación de seguridad que realiza análisis forenses de dispositivos iOS y Android.
El código fuente de MVT está a disposición del público en general, por lo que puede considerarse de código abierto, aunque su licencia impone algunas restricciones de uso, principalmente para evitar casos de análisis forense adverso. Lo que todo esto implica es que la herramienta sólo puede utilizarse si la persona cuyo teléfono va a ser escaneado ha dado su consentimiento.

Actualmente, MVT no tiene interfaz gráfica de usuario, lo que significa que requiere ciertos conocimientos de herramientas de línea de comandos. Además, está diseñada principalmente para expertos en análisis forense e investigadores, por lo que los usuarios sin conocimientos técnicos aún tendrían que recurrir a profesionales en busca de ayuda.

No obstante, si eres un usuario experto en tecnología y tienes curiosidad por explorar la herramienta, aquí puedes encontrar la documentación de MVT sobre cómo instalarla y ejecutarla.

Características de MVT

MVT sólo puede ejecutarse en Linux y Mac, por lo que los usuarios de Windows también tendrían que instalar el subsistema de Windows para Linux para poder utilizarlo.

Aunque MVT puede utilizarse para escanear tanto teléfonos iOS como Android, muestra mejores resultados en los dispositivos Apple, y su funcionalidad para Android es bastante limitada.

Estas son las principales cosas que puedes hacer con MVT para facilitar tu análisis forense:

  • Descifrar datos cifrados de iOS
  • Procesar y analizar datos de varias aplicaciones de iOS y de la base de datos del sistema
  • Recuperar información sobre aplicaciones Android instaladas
  • Utilizar el protocolo adb para recuperar información de diagnóstico del dispositivo Android
  • Analizar los registros extraídos para detectar la presencia de indicadores maliciosos en formato STIX2.
  • Crear una línea de tiempo cronológica de todos los registros recuperados
  • Crear una línea de tiempo cronológica de artefactos sospechosos y rastros potencialmente peligrosos

Desafíos de MVT

Una vez más, MVT no es una herramienta con la que se deba jugar, ya que un uso inadecuado puede causar la pérdida de datos personales o el deterioro del rendimiento del dispositivo. Por ejemplo, si al crear una copia de seguridad en iTunes o Finder no se obtienen los resultados deseados, el siguiente paso sería hacer jailbreak al teléfono. Esto último, sin embargo, no es recomendable si pretendes volver a utilizar ese iPhone.

En definitiva, estos son los factores a tener en cuenta antes de utilizar MVT:

  • Los falsos positivos son frecuentes (en este caso se necesita el asesoramiento de expertos para filtrar las alertas)
  • El acceso al sistema de archivos completo requiere un jailbreak
  • No todas las versiones de iPhone o iOS son aptas para jailbreak
  • El jailbreaking puede contaminar algunos archivos o provocar un mal funcionamiento del dispositivo
  • Las comprobaciones de Android se limitan a analizar APKs y SMSs
  • La herramienta es difícil de usar para los no técnicos

iVerify 20.0

Según Ryan Stortz, Jefe de Producto de Trail of Bits, la última versión de iVerify ahora te alertará de cualquier rastro de spyware Pegasus en tu teléfono.

Tweet incrustado

A diferencia de MVT, iVerify es un software propietario orientado al consumidor, lo que significa que tiene una interfaz gráfica de usuario y un panel de administración fáciles de usar. El producto ofrece dos planes, uno para empresas y otro para seguridad individual, fácilmente disponibles en la App Store.

Para las empresas, iVerify se basa en una suscripción, con un coste mensual de 3 dólares por usuario, mientras que los consumidores particulares pueden obtener la aplicación con una compra única por 2,99 dólares.

Características de iVerify

Como cualquier otra aplicación del sector de la ciberseguridad, iVerify no puede garantizar una protección del 100%. La aplicación ejecuta comprobaciones de seguridad cada diez minutos para escanear el sistema del teléfono en busca de signos de jailbreaks e infecciones. Por ejemplo, prestará atención a archivos maliciosos conocidos o a carpetas y gestores de URL sospechosos que no deberían haber existido allí en primer lugar.

Veamos algunas de las funciones principales de la aplicación:

  • Análisis de dispositivos para garantizar que todos los parámetros cruciales están configurados correctamente
  • Guías de protección para instruir a los usuarios sobre cómo implementar múltiples capas de seguridad
  • Detección de amenazas para responder a las alertas de seguridad en tiempo real
  • Cuentas seguras para verificar la seguridad de las plataformas de redes sociales y las cuentas de servicios
  • Navegación segura para proteger su privacidad durante las búsquedas

Así que si alguna vez te has preguntado “¿Cómo encontrar spyware en mi teléfono?”, sabrás inmediatamente qué aplicación rentable y fiable puedes utilizar.

Los usuarios empresariales también disponen de varias funciones exclusivas, como un panel de análisis de riesgos para obtener información inmediata sobre toda la organización, importación de usuarios desde Okta, GSuite o Azure AD, y un panel de administración para gestionar los dispositivos.

Retos de iVerify

Como ya hemos mencionado, iVerify está diseñado para usuarios finales, por lo que no requiere grandes conocimientos técnicos para que los consumidores puedan instalarlo y disfrutar de sus ventajas inmediatas. Al mismo tiempo, el producto aún está en fase de desarrollo y presenta algunas deficiencias, como:

  • Las integraciones para la gestión de miembros son limitadas (Okta para SSO, GSuite, Azure AD)
  • La compatibilidad con Android aún no está disponible
  • iVerify no puede saber si están instaladas aplicaciones específicas
  • iVerify no escanea datos de red

Otros programas espía como Pegasus

Pegasus no es el único programa espía que se encuentra en el ojo del huracán. Si recurrimos a Google y profundizamos en las alternativas a Pegasus, podremos descubrir varias opciones más en poco tiempo. Y no estamos hablando de programas espía del “mercado de masas” como Spyera, XNSPY o FlexiSPY. Estas últimas soluciones están diseñadas principalmente para el control parental, la supervisión de empleados o cónyuges paranoicos. Además, no se pueden instalar de forma remota, ya que requieren una instalación manual y algunas funciones pueden requerir un jailbreak o acceso root.

Hablando de herramientas de vigilancia de impacto nacional o global, podemos nombrar algunas.

FinFisher

FinFisher, también conocido como FinSpy, es un software de ciberinvestigación desarrollado en 2008 por una empresa informática con sede en Alemania. Según el sitio web oficial, la empresa presta sus servicios exclusivamente a organismos policiales y de inteligencia, y su misión es luchar contra el crimen organizado.

FinSpy es una solución multiplataforma que infecta sistemas Windows, macOS, Linux, iOS y Android. Para implantar FinSpy en un dispositivo iOS, el agente de la amenaza necesitaría primero hacer jailbreak al sistema operativo manualmente, y sólo entonces podría instalar el spyware. La infección remota se realiza a través de SMS, correo electrónico o WAP push. En cuanto a Android, FinSpy también permite utilizar privilegios de root en un dispositivo no rooteado aprovechando vulnerabilidades conocidas.

FinSpy se parece a Pegasus en que también puede recopilar información de mensajeros instantáneos, incluidos los considerados más seguros: Telegram, Signal y Threema. Además, FinSpy puede grabar llamadas VoIP, ya sean de WhatsApp, Skype, WeChat, LINE, Signal o Viber.

Candiru

Candiru es un programa espía desarrollado por una empresa con sede en Israel registrada actualmente con el nombre de Saito Tech Ltd. La clientela del programa espía está formada principalmente por organizaciones gubernamentales y líderes autoritarios. Candiru puede infectar a usuarios de ordenadores de sobremesa, móviles y la nube.

A diferencia de FinFisher, Candiru no se comercializa abiertamente y su infraestructura permanece bien oculta. Teniendo en cuenta la propuesta filtrada por TheMarker que describe a Candiru, el spyware puede extraer y monitorizar activamente gran cantidad de datos privados, desde contactos, SMS e historial del navegador hasta contenidos de Dropbox, Google Drive y mensajería instantánea. Candiru también puede interceptar llamadas, grabar el entorno, hacer capturas de pantalla y mostrar la red Wi-Fi y sus cambios.

Intellexa

Imagine no disponer de una única solución de software espía, sino de todo un conjunto de herramientas de vigilancia, una ventanilla única para la ciberseguridad ofensiva. Eso es exactamente lo que Intellexa dice ofrecer.

Intellexa se presenta como una alianza de organizaciones de ciberinteligencia que satisface las necesidades de los servicios de inteligencia y las fuerzas de seguridad. Ha combinado la experiencia de tres empresas tecnológicas -Nexa, WiSpear y Cytrox- especializadas en interceptación de sensores y análisis de big data, soluciones de vigilancia Wi-Fi y recopilación de datos de dispositivos de punto final y servicios en la nube, respectivamente.

Cómo protegerse contra el spyware

Aunque Pegasus sigue siendo un misterio en muchos aspectos, sobre todo en lo que se refiere a su realización técnica, seguir medidas y recomendaciones de seguridad de eficacia probada puede contribuir en gran medida a proteger su privacidad y la integridad de sus datos.

A continuación se indican algunos pasos sencillos que se pueden seguir para reducir el daño infligido por el propio Pegasus y el spyware similar a Pegasus:

  • Reinicia tu teléfono. De esta manera, puede detener el funcionamiento de Pegasus durante algún tiempo. Este truco sólo se aplica a los dispositivos iOS.
  • Volver a la configuración predeterminada. Antes de realizar este paso, es importante recordar que el restablecimiento de fábrica borrará todos los datos personales junto con los posibles rastros de malware. El restablecimiento de fábrica no garantiza la eliminación de Pegasus, sobre todo teniendo en cuenta que la recuperación de datos sigue siendo posible.
  • Actualiza tu software. Mantenga actualizados rápidamente su sistema operativo y todas las aplicaciones instaladas para reducir el riesgo de que se aprovechen las vulnerabilidades de día cero.
  • Elimine los dispositivos sospechosos. Comprueba si tus programas de mensajería instantánea y cuentas en línea están conectadas a dispositivos desconocidos.
  • Cambie las contraseñas. Anote todas las contraseñas almacenadas en su smartphone y reinícielas todas.

Resumen

Los recientes descubrimientos sobre el carácter intrusivo y sutil de Pegasus han hecho que muchos de nosotros reconsideremos nuestra actitud ante la seguridad personal y empresarial. Aunque Pegasus es motivo de preocupación internacional, todos somos responsables de informarnos y aplicar los controles de seguridad necesarios para proteger nuestra identidad y la integridad de nuestros datos. Pegasus es único en muchos aspectos, pero no es el único programa espía del mercado; es posible que se haya abusado de montones de otras aplicaciones. Si temes que alguien te espíe o la seguridad de tu empresa se está quedando atrás, ponte en contacto con un experto en seguridad profesional antes de que el intruso espíe todos tus movimientos.

¿Te has enfrentado alguna vez a rastros de spyware en tus dispositivos? Comparte tus historias en los comentarios.