Pegasus Spyware piratea iPhones de personas destacadas

Vías de entrada del Spyware de Pegasus

Publicado el 22 de julio de 2021 por Kirk McElhearn y Joshua Long.

Traducido Por L. Domenech

Esta semana ha salido a la luz información sobre el software espía Pegasus y cómo se ha dirigido a muchas personas destacadas, desde periodistas y activistas hasta jefes de estado, como el presidente francés Emmanuel Macron, decenas de miles de personas de alto perfil fueron atacadas por este software espía que es capaz de monitorear y extraer datos de dispositivos infectados.

El software espía Pegasus es desarrollado por la empresa NSO Group, con sede en Israel, y se vende a agencias gubernamentales de inteligencia, militares y policiales para proporcionar a los "gobiernos autorizados tecnología que les ayude a combatir el terrorismo y el crimen".

Pegasus puede infectar teléfonos iPhone y Android, generalmente aprovecha las vulnerabilidades de día cero y, en algunos casos, incluso se entrega a través de un exploit de cero clic. Estos ataques podrían tener éxito si un usuario malintencionado se encuentra dentro del alcance de un teléfono que desea piratear o, a veces, simplemente llamando a un teléfono o enviándole un correo electrónico podría aprovechar las vulnerabilidades y permitir que el software espía obtenga el control del dispositivo. Otros posibles vectores incluyen mensajes enviados por SMS (como discutimos en 2016), iMessage o WhatsApp (como discutimos en 2019) y, en algunos casos, es posible que los usuarios ni siquiera necesiten hacer clic en enlaces o realizar ninguna acción para habilitar la activación del software espía. .

Cuando se instala Pegasus en un teléfono, puede recopilar datos de un dispositivo y enviarlos de vuelta a un atacante. Puede copiar datos de mensajes de texto, correos electrónicos, chats de WhatsApp, calendarios y contactos. También puede desviar fotos, activar el micrófono y la cámara, grabar llamadas y más. Todo lo que se haga en un teléfono infectado por Pegasus se puede controlar de forma remota.

NSO Group solo vende este software espía a gobiernos, organizaciones policiales y militares, lo que sugiere que cualquier abuso del software es un ataque autorizado por el estado. Los datos descubiertos por el "Proyecto Pegasus", una investigación periodística colaborativa sobre el Grupo NSO y sus clientes, incluyen unos 50.000 números de teléfono de dispositivos infectados. La mayoría de estos números se ubicaron en México, Medio Oriente y África del Norte, pero también hubo muchos números en países europeos, Afganistán y otros. Los miembros del círculo íntimo del Dalai Lama fueron atacados y se sospecha que el gobierno indio llevó a cabo estos ataques. También se sospecha que el hackeo del teléfono de Jeff Bezos, que ocurrió en 2018, se llevó a cabo utilizando Pegasus bajo órdenes del gobierno saudí.

No es fácil averiguar si un dispositivo ha sido infectado por Pegasus; Amnistía Internacional describe los análisis forenses utilizados para determinar si los teléfonos están comprometidos, mediante la búsqueda de rastros dejados atrás, y ha lanzado un kit de herramientas de verificación móvil (MVT) que los usuarios avanzados pueden instalar para encontrar si su teléfono se ha visto afectado. Esta no es solo una aplicación que se ejecuta con un toque o un clic, sino que requiere cierta instalación a través de la Terminal, que luego verifica los datos en una copia de seguridad de iPhone en una computadora.

Si bien este tipo de ataque dirigido se usa principalmente contra personas de alto perfil, no es imposible que otros puedan haber sido blanco de ataques.

Apple dijo en un comunicado a The Guardian (énfasis nuestro):

Apple condena inequívocamente los ciberataques contra periodistas, activistas de derechos humanos y otras personas que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado. Los ataques como los descritos son altamente sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos.

Apple está admitiendo que no pueden evitar que el software espía como Pegasus infecte los iPhones, pero ignora la amenaza y dice que solo "se usa para atacar a individuos específicos". Sin embargo, la declaración continúa diciendo que "seguimos trabajando incansablemente para defender a todos nuestros clientes", lo que parece entrar en conflicto con la primera parte de la declaración, porque claramente están diciendo que no pueden proteger a todos.

Si bien las vulnerabilidades utilizadas para este tipo de exploits "a menudo tienen una vida útil corta", se descubren nuevas vías constantemente. Mientras que algunos "piratas informáticos de sombrero blanco" que descubren vulnerabilidades las denuncian a Apple, en parte para beneficiarse del programa de recompensas por errores de la empresa, que paga a los investigadores de seguridad que detectan problemas graves, los "piratas informáticos de sombrero negro" venden exploits por hasta millones. de dólares a empresas como NSO Group o a corredores de vulnerabilidad del mercado gris.

El hecho de que Apple no permita que el software antivirus se ejecute en dispositivos iOS significa que los usuarios no tienen una forma fácil de saber si están infectados por malware como Pegasus. La única forma conocida de identificar la existencia de Pegasus en un iPhone es a través de MVT, que no es fácil de usar. (VirusBarrier X9, el único antivirus para Mac que puede escanear el contenido de los iPhones, puede identificar otros programas maliciosos en los iPhones).

Apple lanza actualizaciones de seguridad con regularidad para corregir las vulnerabilidades que ha descubierto o que se han revelado a la empresa, pero este es un juego perpetuo del gato y el ratón, ya que cada nueva actualización del sistema operativo presenta nuevas posibilidades para que los usuarios malintencionados encuentren formas de irrumpir en dispositivos.

Hasta la fecha, se sabe que decenas de miles de teléfonos han sido infectados por el software espía Pegasus para tomar el control del teléfono y sus datos.

El artículo original se puede leer en ingles en la web de INTEGO