REGRESAR

#OPINIÓN: El regreso de Pegasus

Por: QuintoPoder
Nov. 07

Compartir:

#HuellaDigital | *Leo García (@leogarciamx)

El 11 de febrero de 2017, Citizen Lab dio a conocer el reporte “Bitter Sweet”, el primero de una serie donde se ha detallado la operación del software de espionaje Pegasus, que en México se ha utilizado contra activistas, abogados, periodistas y hasta un niño.

Además, por cierto, poco se ha hablado que uno de los primeros objetivos confirmados en México fue un grupo anarquista.

No es una historia que haya empezado ahí, y todavía está lejos de terminar. Por ahora en este espacio se comentará acerca de la primera versión reportada de Pegasus. Es muy probable que en cuestión de semanas, o días, se conozca de una nueva campaña de ataques, más extensa y de una considerable gravedad por los objetivos a los que se espió, utilizando una nueva versión de Pegasus.

¿Qué es Pegasus?

Pegasus es el nombre de un software muy potente y sofisticado desarrollado por la empresa NSO Group, de origen israelí, especializada en herramientas enfocadas al espionaje de dispositivos móviles.

En los primeros ataques que se documentaron sólo se conoció de la versión para dispositivos con sistema operativo iOS, es decir, los teléfonos iPhone; aunque NSO comercialmente ofrece su software desde 2010 con versiones para Android y la ahora desaparecida Blackberry.

Este programa le da al operador la capacidad de espiar por completo el dispositivo donde se instala. Es prácticamente imposible de detectar, se actualiza automáticamente, bloquea las herramientas de seguridad, bloquea las actualizaciones de seguridad, se tiene control en el ciclo de descarga de la información recolectada para no consumir datos ni batería, y el operador puede eliminarlo sin dejar rastro. Todo de manera remota. Además de ser altamente configurable según los requerimientos del cliente.

En su código incluía procesos y apps que recolectaban los datos extrayendo mensajes, llamadas, correos electrónicos y registros de uso, especialmente de Gmail, Facetime, Facebook, Line, Mail.Ru, Calendar, WeChat, Surespot, Tango, WhatsApp, Viber, Skype, Telegram y KakaoTalk.

¿Cómo se realizaba la infección?

Para operar, Pegasus necesita instalarse en el dispositivo a espiar. En la primera versión, los operadores buscaban engañar al objetivo (la victima a espiar) mandándole mensajes que incluían un enlace que al ser visitado ejecutaba el código que infectaba el dispositivo.

Este paso era imprescindible, es importante reiterarlo, era necesario engañar a la víctima de forma que visitara un sitio web especialmente preparado para infectar el dispositivo. En el servidor de ese sitio estaban los códigos que generaban una falla en el navegador Safari, lo que permitía vulnerar el sistema operativo realizando un jailbreak para instalar el programa.

En las distintas campañas que se conocen de la primera versión de Pegasus, la manera de operar el software fue enviando a las víctimas mensajes SMS, enlaces en publicaciones de redes sociales (Twitter e Instagram), correos electrónicos, o cualquier otro tipo de mensaje que permitiera incluir los enlaces al sitio de infección.

Después de recibir el mensaje, la víctima sólo tenía que hacer click en el enlace que ejecutaba las rutinas que terminaban con la instalación del software espía en el dispositivo. Todo de manera silenciosa, discreta, sin ninguna alerta.

¿Solo para iPhone?

La versión de Pegasus que se documentó detalladamente se construyó de forma que se aprovecharon 3 fallas de seguridad que existían exclusivamente en el navegador Safari y el sistema operativo iOS hasta la versión 9.3.4:

  • La falla CVE-2016-4657, que generaba un error de corrupción de memoria en el sistema WebKit sobre el que funciona el navegador Safari. Para generar este error bastaba con ejecutar un código al momento de visitar el sitio infectado.
  • La falla CVE-2016-4655, que exhibía la dirección de memoria en la que estaba alojado el núcleo, kernel, del sistema operativo del dispositivo a infectar.
  • Y la falla CVE-2016-4656, que permitía corromper la memoria del núcleo del sistema y vulnerarlo definitivamente, lo que se aprovechaba para realizar un jailbreak al dispositivo dando total acceso al atacante.

A este conjunto se le conocía como la “Falla Tridente” y se cree que fueron comercializadas por la empresa Zerodium por las que se pagó más de un millón de dólares. El seguimiento de objetivos y espionaje es una gran industria.

Después de conocerse de estas fallas y que el laboratorio de seguridad informática Lookout presentó un reporte detallado de Pegasus ante Apple se liberó la versión de iOS 9.3.5, en agosto de 2016, con las correcciones necesarias.

Es importante tener presente esta fecha, ya que ataques de Pegasus posteriores a agosto de 2016 se realizaron con una versión diferente a la estudiada en ese reporte.

¿Y Android?

En abril de 2017, el mismo laboratorio Lookout presentó un análisis detallado del software Chrysaor, un desarrollo de NSO Group cumpliendo las mismas características de Pegasus, pero diseñado específicamente para Android. Se reportó que al dar a conocer la información a Google las fallas fueron corregidas y no se reportó mayor afectación.

¿Sólo para gobiernos?

NSO Group siempre ha dicho que sus herramientas sólo las pone a disposición de gobiernos para que cumplan con el trabajo de inteligencia y seguridad. La realidad es que este software ha sido usado contra políticos, activistas, abogados, periodistas y defensores de derechos humanos.

Citizen Lab es el principal laboratorio que ha investigado el uso de este software, apoyado por otras organizaciones como Amnistía Internacional, Privacy International, Electronic Frontier Foundation y, en México, R3D.

El primer reporte presentado por Citizen Lab exhibiendo una campaña donde se usó Pegasus fue contra el activista por los derechos humanos Ahmed Mansoor, en 2015.

Uno de los reportes más recientes expone vínculos entre el uso de Pegasus y la campaña que terminó con el asesinato de Jamal Khashoggi.

En México quedó constancia que el gobierno federal negoció la compra de esta herramienta cuando aparecieron en Wikileaks los correos electrónicos donde además se confirmó que Pegasus sería la opción para sustituir otra herramienta de espionaje, el software Galileo desarrollado por competidor de NSO Group, la empresa italiana HackingTeam.

Sirva esto como un muy breve recordatorio de qué es Pegasus. Citizen Lab está por presentar su más reciente investigación donde se habla de más de mil objetivos espiados por todo el mundo, incluyendo México, y entre los que se cuentan funcionarios del gobierno de Estados Unidos, activistas en India, y una vez más, periodistas y defensores de derechos humanos.

Pero ahora, para lograr infectar el dispositivo del usuario ni siquiera se necesitaba que éste abriera un enlace, bastaba con recibir una llamada de voz vía Whatsapp, fuera o no contestada, para instalar el software.

Hagamos red, sigamos conectados.

*Leo García (@leogarciamx) es desarrollador web y analista de tendencias de Twitter.

Las opiniones expresadas en este artículo corresponden al autor y no representan necesariamente la postura de Quinto Poder.

ARTÍCULOS RELACIONADOS

Encuestas

¿Estás a favor de la construcción del aeropuerto en Santa Lucía?

  • (66%)

  • No (31%)

  • Me da lo mismo (3%)

Loading ... Loading ...

Suscríbete a nuestro Newsletter

Por el momento estamos en construcción pero déjanos tus datos y muy pronto empezarás a recibir información de nosotros.