Pegasus y Sourgum (Candiru). Los dos spyware mas conocidos

 Luisondome

Fotografía destapada por el periodista de investigación Amitai Ziv sobre una de las sedes de Saito Tech en Israel. Uno de los símbolos de esta compañía también es el que aparece a la izquierda de la fotografía con cinco perfiles anónimos vestidos con una gorra. La fotografía la publicó en facebook un establecimiento de comida rápido que les llevó hummus y algunos entrantes a los trabajadores y, posteriormente, lo publicitó desde su perfil, Da Vinci

Que es y como funciona Candiru

Candiru Ltd. se fundó en el año 2014, si bien desde entonces, la empresa ha sufrido varios cambios de nombre. Hoy la empresa es Saito Tech Ltd,  si bien es mas conocida por el nombre de "Candiru", que es el que recibió su spyware . Sourgum fue destapado por Microsoft al descubrir que había infectado dispositivos en España, y es un spyware capaz de exfiltrar datos privados de una serie de aplicaciones y cuentas, como Gmail, Skype, Telegram y Facebook. El software espía también puede capturar el historial de navegación y las contraseñas, encender la cámara web y el micrófono del objetivo y hacer fotos de la pantalla.

La captura de datos de aplicaciones adicionales, como Signal Private Messenger, se vende como complemento. Por una tarifa adicional de 1,5 millones de euros, los clientes pueden adquirir una capacidad de intérprete de comandos remoto, que les permite acceder completamente para ejecutar cualquier pedido o programa en el ordenador del objetivo. Este tipo de capacidad es especialmente preocupante, dado que también se podría utilizar para descargar ficheros, o plantar materiales incriminatorios en un dispositivo infectado.

Infectar el software de un aparato electrónico puede tener la misión de espiar, como el Pegasus, pero también ir más allá e incriminar a otras personas de hechos no atribuibles a ellos. ¿Cómo? A partir de la infección de sus aparatos con contenidos totalmente falsos. Este es el objetivo que persigue el software Sourgum con que también se vieron afectados los independentistas catalanes.

Este es el matiz que ha querido subrayar Elies Campo, colaborador del Citizen Lab: "Candiru puede infectar ordenadores, como un Windows o un Mac, y sacar datos, pero también introducir nuevas en los dispositivos. Y si eso se puede hacer, como evidencia, no sé si legalmente se puede autorizar uno de estos supuestos en las funcionalidades conocidas”.

Que es y como funciona Pegasus

Sede de NSO Group, cuyas instalaciones se encuentran cerca de Tel Aviv, Israel. Foto Afp

Pegasus es un software de espionaje que comenzó su andadura en 2016, desde que el Grupo NSO, una empresa de Israel enfocada en la ciberguerra, lo crease para su posterior venta a gobiernos de todo el mundo. Hoy se sabe que detrás de NSO Group ya no están sus fundadores iniciales. De hecho, desde 2019, la empresa está en manos de nuevos propietarios: el fondo de inversión Novalpina Capital. Esta institución británica compró la empresa israelí ese mismo año por 1.000 millones de dólares. Poco después comenzaron a destaparse los primeros casos de espionaje internacional gracias a las investigaciones del Citizen Lab, de la Universidad de Toronto. A raíz de este escándalo y de los litigios que ha enfrentado la empresa en los últimos años, en julio de 2021 se anunció la disolución de Novalpina Capital. Así lo explicaron fuentes internas de la institución londinense, que tomó la decisión de poner fin a una “guerra interna” entre mandatarios. Esta herramienta puede infectar el móvil de la víctima con tan solo una llamada a través de aplicaciones de mensajería, sin necesidad de que el usuario descuelgue el terminal y de forma realmente discreta, ya que dicha llamada se puede eliminar antes de que la víctima sea consciente.

La primera vez que se identificó fue gracias a Citizen Lab, un grupo de investigación académica de la Universidad de Toronto (Canadá). En 2019, WhatsApp se vio afectada por un gigantesco fallo de seguridad con 1.400 dispositivos implicados. Gracias a ello, los hackers podían infectar el terminal que quisieran con tan solo realizar una llamada a través de la aplicación, algo que la compañía ya arregló. Pero este no era un software para aficionados y hackers, Pegasus se creó para gobiernos de todo el mundo, cuyos objetivos pueden ser desde defensores de los derechos humanos hasta diversos miembros de la política, como ha ocurrido con Pedro Sánchez y Margarita Robles en España, Con Enmanuel Macron en Francia, o con Boris Johnson en el Reino Unido.

Así ocurrió con el primer caso, el de Ahmed Mansoor, activista de Emiratos Árabes Unidos, víctima de Pegasus y condenado en el país a 10 años de prisión por criticar públicamente al Gobierno, y así ocurrió en los demás casos en que se uso este software de espionaje. Aunque no es nada nuevo la existencia de herramientas de espionaje contra periodistas, políticos y activistas, la realidad es que tanto Pegasus como Candiru han sido subestimados ya que su forma de infectar los dispositivos es muy discreta y difícil de percibir. 

La forma de actuar del programa es bastante sencilla: si el móvil está infectado, los atacantes tendrán acceso directo y remoto a todo el terminal, desde mensajes de texto hasta cámara y micrófono.

Desgraciadamente, para una persona que no sea experta en ciberseguridad, es casi imposible saber si el dispositivo ha sido infectado por Pegasus, a no ser que vigiles constantemente el tráfico de red que llega al móvil, y que además sepas qué tipo de tráfico es.Así, ni iOS ni Android se salvan. Este tipo de programas como Pegasus hacen uso de ciertas vulnerabilidad de los sistemas operativos de los terminales, las que se conocen como de día cero en castellano. Además de WhatsApp, también se tiene constancia de que otras aplicaciones de mensajería como iMessage y Telegram se vieron afectadas, aunque en la actualidad no hay evidencia de que Pegasus esté activo.

Como averiguar si el móvil está infectado por Pegasus

Amnistía Internacional desarrolló una herramienta bautizada como Mobile Verification Toolkit que se puede descargar en el ordenador y se conecta al móvil, para poder así identificar si el terminal está infectado. En caso de ser usuario de Apple, también se puede utilizar el programa iMazing de MacOS, que ofrece un período de prueba inicial gratuito. De momento, esto es lo único que se puede hacer contra Pegasus.

Pautas de comportamiento para evitar ser infectados 

Para evitar que nuestros dispositivos puedan ser infectados, hay que introducir determinadas pautas de comportamiento a la hora de manejar estos y de navegar por la red. Estas son:

 1º Bloqueo del dispositivo y aplicaciones con contraseñas complejas y/o reconocimiento biométrico: Se recomienda establecer contraseña de al menos 8 dígitos, que mezclen caracteres alfanuméricos, mayúsculas, minúsculas y signos de puntuación.

2º Bloquear los accesos a aplicaciones esenciales del dispositivo: Muchos dispositivos actuales permiten incluir una capa adicional de seguridad en las aplicaciones que se desee, que implica introducir una contraseña (o la huella dactilar o reconocimiento facial) para poder así  iniciar la aplicación.

3º Mantener el sistema operativo actualizado: La mayoría de las actualizaciones de aplicaciones y sistemas incluyen correcciones de seguridad a vulnerabilidades detectadas, por eso es importante mantener siempre actualizados los dispositivos y las aplicaciones instaladas en los mismos

4º No conectarse a redes WIFI públicas: Muchos problemas de seguridad surgen a raíz de una interceptación de nombres de usuario y claves, que se produce cuando un usuario conectado a una red pública accede a aplicaciones sensibles (correo electrónico, aplicaciones bancarias, etc.) mientras dicha red está siendo monitorizada por hackers, que son capaces de localizar y copiar dichas claves de acceso, para usarlas posteriormente en perjuicio del individuo o la empresa.

5º Hacer copias de seguridad y habilitar el borrado en remoto: Casi todos los dispositivos actuales incluyen sistemas que permiten el copia de seguridad continuo de la información contenida en el teléfono a un almacenamiento cloud privado (puede ser del propio fabricante del teléfono, o usando los sistemas de Google o Apple habilitados al efecto, según el sistema operativo que se esté usando) y, al mismo tiempo, se establecen sistemas que permiten bloquear o formatear a distancia los dispositivos electrónicos mediante el control de las cuentas de usuario asociadas a los mismos. Esto nos protegerá en caso de robo o pérdida del dispositivo, permitiéndonos recuperar toda la información e impidiendo que la misma sea utilizada o filtrada por un tercero.

6º Descargar software sólo de páginas de confianza: Muchos usuarios descargar aplicaciones, archivos de video y sonido, etc., de páginas web no confiables, los cuales, en muchas ocasiones, incluyen malware que se instala en el dispositivo al tiempo que la información deseada, y monitoriza del dispositivo o roba la información que contiene, entre otras muchas cosas. Para ello, lo mejor es siempre utilizar las tiendas oficiales de los dispositivos y procurar descargar solo los archivos esenciales.

7º Tener instalado un antivirus en el dispositivo: Tener instalado un antivirus en el dispositivo previene la infección por malware, el phising y evita posibles fraudes. Es recomendable hacer barridos frecuentes y periódicos del contenido del dispositivo, y mantener activado permanentemente el antivirus para que este pueda identificar al instante el peligro y así poder bloquear la fuente de la entrada de inmediato.