El Proyecto Pegasus, es una investigación de The Washington Post y otros 16 medios de comunicaciones de otros 10 países, coordinado por Forbidden Stories.
Forbidden Stories es una organización de periodismo sin fines de lucro con sede en París y asesorada por Amnistía Internacional.
Ambos (Forbidden + Amnistía) han tenido acceso a una lista de más de 50.000 números de teléfonos entre los que se incluían objetivos a vigilar para clientes de la empresa israelí de software espía NSO Group.
Durante los últimos meses, los periodistas revisaron y analizaron la lista completa en un esfuerzo por conocer las identidades de los propietarios de los números de teléfonos y determinar si esos teléfonos habían sufrido la implantación del software espía Pegasus de NSO.
Con la investigación, se logró vincular a más de 1.000 funcionarios gubernamentales, periodistas, empresarios y activistas de derechos humanos.
Posteriormente, el Laboratorio de Seguridad de Amnistía Internacional analizó esos datos de forma forense y treinta y siete de ellos mostraron evidencias de haber sufrido un intento de intrusión de Pegasus o un ataque exitoso.
En un análisis más detallado se conoció que muchas de esas intrusiones o intentos de intrusión se produjeron poco después de que se ingresara el número de teléfono en la lista, algunos en segundos, lo que sugiere un vínculo entre la lista y los posteriores esfuerzos de vigilancia.
¿Qué tan vulnerable eres a este tipo de software espía? ¿Hay pasos que pueda seguir para mantener su teléfono seguro? Aquí vas a encontrar respuestas a algunas de esas preguntas.
¿Qué es el software espía y quién lo usa?
El software espía es un término general para una categoría de malware o software malicioso que busca recopilar información de una computadora, teléfono u otro dispositivo de otra persona.
El software espía puede ser relativamente simple, aprovechando las debilidades de seguridad conocidas para piratear dispositivos mal defendidos.
Pero algunos de ellos son muy sofisticados, y se basan en fallas de software sin parches que pueden permitir a alguien fisgonear incluso en los últimos teléfonos inteligentes con medidas de seguridad avanzadas.
El software espía más sofisticado generalmente lo implementan las fuerzas del orden o las agencias de inteligencia, y existe un mercado privado sólido para proporcionar esas herramientas a las naciones que pueden pagarlas, incluido Estados Unidos.
Desde hace mucho tiempo se sospecha que los grupos terroristas y las bandas criminales sofisticadas también tienen acceso al software espía.
El software espía de otra compañía israelí, Candiru, se utilizó para infectar los ordenadores y teléfonos de activistas, políticos y otras víctimas a través de sitios web falsos que se hacen pasar como páginas de Negro Vidas Materia o grupos de salud, los investigadores de seguridad cibernética en Microsoft y la Universidad de Citizen Lab de Toronto dijo este mes.
¿Qué puede recopilar el software espía?
Casi todo lo que hay en un dispositivo es vulnerable a software espía sofisticado. Mucha gente está familiarizada con las escuchas telefónicas tradicionales, que permiten el monitoreo de llamadas en tiempo real, pero el software espía puede hacer eso y mucho más.
Puede recopilar correos electrónicos, publicaciones en redes sociales, registros de llamadas e incluso mensajes en aplicaciones de chat encriptadas como WhatsApp o Signal.
El software espía puede determinar la ubicación de un usuario, junto con si la persona está parada o en movimiento, y en qué dirección. Puede recopilar contactos, nombres de usuario, contraseñas, notas y documentos.
Eso incluye fotografías, videos y grabaciones de sonido. Y el software espía más avanzado puede activar micrófonos y cámaras, sin encender las luces ni ningún otro indicador de que la grabación ha comenzado.
Básicamente, si los usuarios pueden hacer algo en sus dispositivos, también pueden hacerlo los operadores de software espía avanzado. Algunos incluso puede enviar archivos a dispositivos sin que los usuarios lo aprueben o lo sepan.
¿Por qué el cifrado no detiene esto?
Lo que se conoce como “cifrado de extremo a extremo” protege la transmisión de datos entre dispositivos. Es útil para detener los ataques “man-in-the-middle”, donde un pirata informático intercepta un mensaje entre su remitente y su destinatario, porque el mensaje está bloqueado con una clave de cifrado específica.
Estas formas de cifrado, ampliamente adoptadas en los servicios comerciales después de las revelaciones del informante de la Agencia de Seguridad Nacional Edward Snowden en 2013, también dificultan que las agencias gubernamentales realicen una vigilancia masiva mediante el monitoreo del tráfico de Internet.
Pero no es útil contra ataques de “puntos finales” que tienen como objetivo cualquiera de los extremos de la comunicación.
Una vez que el mensaje cifrado llega al dispositivo deseado, el sistema ejecuta un programa para decodificar el mensaje y hacerlo legible. Cuando eso sucede, el software espía del dispositivo también puede leerlo.
¿Qué es NSO?
NSO Group es una empresa privada con sede en Israel que es un fabricante líder de software espía.
Su producto estrella, Pegasus, está diseñado para penetrar en dispositivos iPhone y Android. Fundada en 2010, la compañía dice que tiene 60 clientes gubernamentales en 40 países.
La empresa, que también tiene oficinas en Bulgaria y Chipre, tiene 750 empleados y registró ingresos de más de 240 millones de dólares el año pasado, según Moody’s . Es propiedad mayoritaria de Novalpina Capital, una firma de capital privado con sede en Londres.
¿Quiénes son los clientes de NSO?
La compañía no lo dirá, citando acuerdos de confidencialidad. Citizen Lab ha documentado sospechas de infecciones por Pegasus en 45 ubicaciones:
- Argelia, Bahréin, Bangladesh, Brasil, Canadá, Egipto, Francia, Grecia, India, Irak, Israel, Costa de Marfil, Jordania, Kazajstán, Kenia, Kuwait, Kirguistán, Letonia, Líbano, Libia, México, Marruecos, Países Bajos, Omán, Pakistán, los territorios palestinos, Polonia, Qatar, Ruanda, Arabia Saudita, Singapur, Sudáfrica, Suiza, Tayikistán, Tailandia, Togo, Túnez, Turquía, Emiratos Árabes Unidos, Uganda, Reino Unido, Estados Unidos, Uzbekistán, Yemen y Zambia.
Sin embargo, la presencia de teléfonos infectados no significa necesariamente que el gobierno de un país sea un cliente.
NSO ha dicho durante mucho tiempo que Pegasus no se puede usar para atacar con éxito teléfonos en los Estados Unidos y que debe usarse solo contra “presuntos criminales y terroristas”.
Pero los grupos de investigación han descubierto que también se ha utilizado para espiar a figuras políticas, periodistas y trabajadores de derechos humanos, hallazgos confirmados por la investigación del Proyecto Pegasus.
¿Cómo se detectan las infecciones por software espía?
El software espía moderno está diseñado para superar a los sistemas y al mismo tiempo, hacer que parezca que nada ha cambiado, por lo que los teléfonos pirateados a menudo deben examinarse de cerca antes de que puedan mostrar evidencia de que fueron atacados.
El laboratorio de seguridad de Amnistía diseñó una prueba para escanear los datos de los teléfonos en busca de rastros de una posible infección por Pegasus y el consorcio preguntó a las personas si estarían de acuerdo con el análisis después de saber que sus números estaban en la lista.
Sesenta y siete estuvieron de acuerdo. De ellos, los datos de 23 teléfonos mostraron evidencia de una infección exitosa y 14 tenían rastros de un intento de pirateo.
Para los 30 teléfonos restantes, las pruebas no fueron concluyentes, en varios casos porque los teléfonos se habían perdido o reemplazado y las pruebas se intentaron en archivos de respaldo que podrían haber tenido datos del teléfono anterior.
Quince de las pruebas se realizaron con datos de teléfonos Android, ninguno de los cuales mostró evidencia de una infección exitosa.
Sin embargo, a diferencia de los iPhones, los Android no registran el tipo de información necesaria para el trabajo de detective de Amnistía. Tres teléfonos Android mostraron signos de focalización, como los mensajes SMS vinculados a Pegasus.
¿Puedo saber si mi dispositivo fue pirateado?
Probablemente no. El malware está diseñado para funcionar de forma sigilosa y cubrir sus rastros. Es por eso que su mejor defensa probablemente sea protegerse contra las infecciones en primer lugar.
¿Mi dispositivo es vulnerable?
Casi todos los teléfonos inteligentes son vulnerables, aunque es poco probable que la mayoría de los usuarios comunes de teléfonos inteligentes sean atacados de esta manera.
Aparte de los presuntos delincuentes y los terroristas, los que tienen más probabilidades de ser objetivos de vigilancia incluyen periodistas, trabajadores de derechos humanos, políticos, diplomáticos, funcionarios gubernamentales, líderes empresariales y familiares y asociados de personas prominentes.
Los teléfonos especialmente diseñados, y muy costosos, que usan variedades del sistema operativo Android junto con medidas de seguridad avanzadas pueden resistir el ataque de software espía, pero no hay forma de saberlo con certeza.
¿Existen reglas para protegerme?
Existe poca protección legal significativa contra ser atacado por software espía en la mayor parte del mundo. NSO dice que Pegasus no se puede usar en números dentro de los Estados Unidos, el aliado más importante de Israel.
Estados Unidos tiene algunas restricciones legales sobre el software espía, incluida la Ley federal de abuso y fraude informático, que se promulgó en 1986 y prohíbe el “acceso no autorizado” a una computadora o teléfono, pero su lenguaje vago ha significado que a menudo se aplica de manera desigual en los tribunales.
Algunos estados han aprobado leyes de ciberseguridad y privacidad, como la Ley de Fraude y Acceso Integral a Datos de Computadoras de California, que prohíbe la manipulación o interferencia electrónica. WhatsApp ha citado ambas leyes en un caso judicial en curso contra NSO.
¿Hay cosas que pueda hacer para estar más seguro?
Hay conceptos básicos de ciberseguridad que hacen que las personas estén un poco más seguras frente a ataques de todo tipo. Mantenga sus dispositivos y su software actualizados, preferiblemente activando “actualizaciones automáticas” en su configuración.
Los dispositivos de más de cinco años, especialmente si tienen sistemas operativos obsoletos, son particularmente vulnerables.
Use una contraseña única y difícil de adivinar para cada dispositivo, sitio y aplicación que use, y evite las fácilmente predecibles según su número de teléfono, fecha de nacimiento o los nombres de sus mascotas. Un administrador de contraseñas como LastPass o 1Password puede facilitarlo.
También debe activar la “autenticación de dos factores” en todos los lugares que pueda: esos sitios le pedirán no solo su contraseña, sino un segundo código, ya sea enviado a su teléfono o accesible a través de una aplicación de autenticación separada.
Evite hacer clic en enlaces o archivos adjuntos de personas que no reconoce. Siempre que sea posible, active los “mensajes que desaparecen” o configuraciones similares para que las comunicaciones desaparezcan automáticamente después de un período de tiempo establecido.
¿Quién más puede ayudar a proteger mi privacidad?
Las entidades con más poder para frustrar el software espía son probablemente los fabricantes de dispositivos y software, como Apple y Google.
Han estado mejorando la seguridad en los sistemas operativos de sus teléfonos inteligentes durante años, pero no lo suficiente como para frustrar por completo a Pegasus y malware similar.
Las empresas gigantes de “computación en la nube” también pueden tomar medidas para evitar que sus servidores ayuden a los ataques: tanto Microsoft como Amazon Web Services dicen que han tomado medidas para bloquear el malware cuando se enteraron de que sus sistemas se estaban utilizando para transmitirlo.
⏩ Malware: Ransomware (Capítulo 9)
⏪ Malware: Gusanos, Virus y Caballos de Troya (Capítulo 7)
? Herramientas Hacking ? Recursos Hacking
?♀️ Cursos Seguridad en Red ? Cursos Redes ⛅ Cursos Servicios en Nube ?♂️ Libros Seguridad y Criptografía ? Libros Redes