¿Que es y como funciona Pegasus el programa espía?

Pegasus el mayor y más avanzado software de espionaje

No hace mucho que The Indian Express informó de que la popular plataforma de mensajería WhatsApp se utilizó para espiar a periodistas y activistas de los derechos humanos en la India a principios de este año. La vigilancia se llevó a cabo utilizando una herramienta de espionaje llamada Pegasus, que ha sido desarrollada por una empresa israelí, el Grupo NSO.

WhatsApp demandó al NSO Group en un tribunal federal de San Francisco el martes, acusándolo de utilizar los servidores de WhatsApp en los Estados Unidos y en otros lugares “para enviar malware a aproximadamente 1.400 teléfonos móviles y dispositivos (‘Dispositivos de destino’)… con el fin de llevar a cabo la vigilancia de usuarios específicos de WhatsApp (‘Usuarios de destino’)”.

La vigilancia se llevó a cabo “entre abril de 2019 y mayo de 2019” en usuarios de 20 países de cuatro continentes, según afirma WhatsApp en su queja.

En un artículo de opinión en The Washington Post, el jefe de WhatsApp, Will Cathcart, escribió que la vigilancia “se dirigió al menos a 100 defensores de los derechos humanos, periodistas y otros miembros de la sociedad civil en todo el mundo”. Subrayó que “se está abusando de las herramientas que permiten la vigilancia de nuestras vidas privadas, y la proliferación de esta tecnología en manos de empresas y gobiernos irresponsables nos pone a todos en peligro”.

WhatsApp, propiedad de Facebook, es la aplicación de mensajería más popular del mundo, con más de 1.500 millones de usuarios en todo el mundo. Alrededor de una cuarta parte de esos usuarios -más de 400 millones, o 40 millones de millones de rupias- se encuentran en la India, el mayor mercado de WhatsApp.

El NSO Group es una empresa de ciberseguridad con sede en Tel Aviv que se especializa en “tecnología de vigilancia” y afirma que ayuda a los gobiernos y a los organismos encargados de hacer cumplir la ley de todo el mundo a combatir la delincuencia y el terrorismo.

Entonces, ¿qué es exactamente Pegasus?

Pegasus es un malware desarrollado por NSO Group que, cuando se instala en un teléfono, acapara todas las comunicaciones (iMessage, WhatsApp, Gmail, Viber, Facebook, Skype) y las ubicaciones. Puede instalarse en el teléfono de un objetivo a través de diferentes medios: aprovechando vulnerabilidades como la de WhatsApp, enviando enlaces infectados a los objetivos (spear phishing), ingeniería social. Este no es un malware nuevo, y ha estado presente desde al menos 2016.

Todos los programas espía hacen lo que el nombre sugiere: espían a la gente a través de sus teléfonos. Pegasus funciona enviando un enlace de explotación, y si el usuario objetivo hace clic en el enlace, el malware o el código que permite la vigilancia se instala en el teléfono del usuario. (Una versión presumiblemente más reciente del malware ni siquiera requiere que el usuario objetivo haga clic en un enlace. Más sobre esto a continuación). Una vez que Pegasus se instala, el atacante tiene acceso completo al teléfono del usuario objetivo.

Los primeros informes sobre las operaciones de espionaje de Pegasus surgieron en 2016, cuando Ahmed Mansoor, un activista de los derechos humanos en los Emiratos Árabes Unidos, fue atacado con un enlace de SMS en su iPhone 6. La herramienta de Pegasus en ese momento explotó una grieta de software en el iOS de Apple para hacerse cargo del dispositivo. Apple respondió enviando una actualización para “parchear” o arreglar el problema.

En septiembre de 2018, The Citizen Lab, un laboratorio interdisciplinario con sede en la Munk School of Global Affairs & Public Policy, de la Universidad de Toronto, demostró que Pegasus proporciona “una cadena de exploits de día cero para penetrar en las funciones de seguridad del teléfono e instala Pegasus sin el conocimiento o el permiso del usuario”. Las operaciones de software espía de Pegasus estaban en vivo en 45 países en ese momento, según mostró la investigación de The Citizen Lab.

(Un “exploit de día cero” es una vulnerabilidad completamente desconocida, de la que ni siquiera el fabricante del software es consciente, y por lo tanto no hay ningún parche o arreglo disponible para ella. Por lo tanto, en los casos concretos de Apple y WhatsApp, ninguna de las dos empresas era consciente de la vulnerabilidad de seguridad, que se utilizó para explotar el software y hacerse con el dispositivo).

En diciembre de 2018, el activista saudí Omar Abdulaziz, con sede en Montreal, presentó una demanda contra el Grupo NSO en un tribunal de Tel Aviv, alegando que su teléfono había sido infiltrado utilizando Pegasus, y que las conversaciones que mantenía con su amigo íntimo, el periodista disidente saudí asesinado Jamal Khashoggi, se habían filtrado. Khashoggi fue asesinado por agentes saudíes en el consulado del reino en Estambul el 2 de octubre de 2018; Abdulaziz dijo que creía que su teléfono había sido pirateado en agosto de ese año.

En mayo de 2019, el Financial Times informó que Pegasus estaba siendo utilizado para explotar WhatsApp y espiar objetivos potenciales. WhatsApp emitió una actualización de software urgente para corregir el error de seguridad que permitía al spyware explotar la aplicación.

El método Pegasus

Para supervisar un objetivo, un operador de Pegasus debe convencerlo de que haga clic en un “exploit link” especialmente diseñado que permite al operador penetrar en las funciones de seguridad del teléfono e instalar Pegasus sin el conocimiento o el permiso del usuario. Una vez que el teléfono es explotado e instalado Pegasus, comienza a contactar con los servidores de comando y control del operador para recibir y ejecutar los comandos del operador, y devolver los datos privados del objetivo, incluyendo contraseñas, listas de contactos, eventos del calendario, mensajes de texto y llamadas de voz en vivo desde las aplicaciones de mensajería móvil más populares. El operador puede incluso encender la cámara y el micrófono del teléfono para captar la actividad en las proximidades del mismo. En la última vulnerabilidad, el objeto de la demanda, también puede no ser necesario hacer clic en el “vínculo de explotación” y una videollamada perdida en WhatsApp habrá permitido abrir el teléfono, sin que el objetivo responda en absoluto.

Una vez instalado, ¿qué puede hacer Pegasus?

El post del Citizen Lab dijo que Pegasus puede “devolver los datos privados del objetivo, incluyendo contraseñas, listas de contactos, eventos de calendario, mensajes de texto y llamadas de voz en vivo desde las aplicaciones de mensajería móvil más populares”. La cámara del teléfono y el micrófono del objetivo pueden encenderse para captar toda la actividad en las proximidades del teléfono, ampliando así el alcance de la vigilancia. Según las afirmaciones de un folleto de Pegasus que WhatsApp ha presentado a los tribunales como prueba técnica, el malware también puede acceder al correo electrónico, al SMS, al seguimiento de la ubicación, a los detalles de la red, a los ajustes del dispositivo y a los datos del historial de navegación. Todo esto tiene lugar sin el conocimiento del usuario objetivo.

Otras características fundamentales de Pegasus, según el folleto, son: la posibilidad de acceder a dispositivos protegidos por contraseña, ser totalmente transparente para el objetivo, no dejar rastros en el dispositivo, consumir una mínima cantidad de batería, memoria y datos para no despertar sospechas en los usuarios más alerta, un mecanismo de autodestrucción en caso de riesgo de exposición y la posibilidad de recuperar cualquier archivo para un análisis más profundo.

El folleto, llamado Pegaso: Descripción del producto, dice que Pegasus puede funcionar en BlackBerry, Android, iOS (iPhone) y dispositivos basados en Symbian. La mención del ahora descontinuado OS móvil Symbian y el ya no popular BlackBerry sugiere que el documento es antiguo – y Pegasus ciertamente ha sido actualizado a lo largo de los años.

¿Y cómo se introdujo y explotó Pegasus en WhatsApp?

Esa es la gran pregunta para muchos, dado que WhatsApp siempre ha tomado su encriptación de extremo a extremo. El informe del Financial Times de mayo de este año decía que una llamada perdida en la aplicación era todo lo que se necesitaba para instalar el software en el dispositivo – no era necesario hacer clic en un enlace engañoso. WhatsApp explicó más tarde que Pegasus había explotado la función de video/llamada de voz de la aplicación, que tenía un fallo de seguridad de día cero. No importaba que el objetivo no atendiera la llamada: el fallo permitía que el malware se instalara de todas formas.

El exploit afectó a WhatsApp para Android antes de la versión 2.19.134, WhatsApp Business para Android antes de la versión 2.19.44, WhatsApp para iOS antes de la versión 2.19.51, WhatsApp Business para iOS antes de la versión 2.19.51, WhatsApp para Windows Phone antes de la versión 2.18.348, y WhatsApp para Tizen (utilizado por los dispositivos Samsung) antes de la versión 2.18.15.

¿Puede usarse Pegasus para atacar a cualquiera?

Técnicamente, sí. Pero mientras que herramientas como Pegasus pueden ser utilizadas para la vigilancia masiva; parece probable que sólo algunos individuos seleccionados sean el objetivo. En el presente caso, WhatsApp ha afirmado que envió un mensaje especial a aproximadamente 1.400 usuarios que creía que habían sido afectados por el ataque, para informarles directamente sobre lo que había sucedido.

WhatsApp no ha dicho con cuántas personas se puso en contacto en la India. El Indian Express informó  que al menos dos docenas de académicos, abogados, activistas dalit y periodistas fueron alertados por la compañía en India.

No se sabe quién llevó a cabo la vigilancia de los objetivos indios. El Grupo NSO, aunque discute las alegaciones de WhatsApp “en los términos más enérgicos posibles”, ha dicho que proporciona la herramienta exclusivamente a “organismos gubernamentales de inteligencia y aplicación de la ley con licencia”, y no sólo a cualquiera que lo desee.

¿Está comprometida la encriptación de extremo a extremo de WhatsApp? ¿Debería cambiar a otra aplicación, tal vez a Signal, Wire o Telegram?

La gran popularidad de una aplicación de mensajería la convierte en un objetivo para los hackers, ciberdelincuentes u otras entidades. Incluso los organismos encargados de hacer cumplir la ley de todo el mundo quieren que los mensajes se descifren, una exigencia contra la que lucha WhatsApp, incluso en la India.

WhatsApp utiliza el protocolo de la aplicación Signal para su encriptación de extremo a extremo, que hasta ahora parece seguro. WhatsApp tiene una ventaja sobre Telegram: en Telegram, sólo los “chats secretos” están cifrados de extremo a extremo, mientras que en WhatsApp todo está cifrado de extremo a extremo de forma predeterminada.

Aquellos que se asusten por el episodio de WhatsApp quizás quieran cambiar a Signal o Wire. Sin embargo, es importante tener en cuenta que podrían existir explotacions de “día cero” desconocidas para prácticamente todos los programas y aplicaciones del mundo, y que podrían ser explotadas en algún momento del futuro por individuos o agencias decididos a hacerlo.

Desde que se supo que WhatsApp está demandando a una empresa israelí de software espía por explotar una vulnerabilidad de WhatsApp para plantar software espía en los teléfonos de los usuarios con sólo hacer sonar el dispositivo del objetivo, la gente se pregunta quién y qué es la NSO.

¿Quien está de todo este Software espía? ¿Qué es el Grupo NSO?

Según su sitio web, el Grupo NSO, que también se llama Q Cyber Technologies, desarrolla tecnología para “ayudar a las agencias gubernamentales a detectar y prevenir el terrorismo y el crimen”. Según el sitio web, los productos son usados exclusivamente por agencias gubernamentales de inteligencia y de aplicación de la ley para combatir el crimen y el terror. Las noticias de que al menos 20 indios fueron blanco del software Pegasus (más información a continuación) son especialmente condenatorias porque sugieren que el gobierno de la India compró el producto para vigilar a sus propios ciudadanos que no estaban de acuerdo con el gobierno.

En un correo electrónico de 2016 a Forbes, el grupo NSO había dicho que no operaba ninguno de sus sistemas y que era estrictamente una empresa de tecnología. “Los acuerdos firmados con los clientes de la compañía requieren que los productos de la empresa sólo se utilicen de manera legal. Específicamente, los productos sólo pueden ser utilizados para la prevención e investigación de delitos”, decía el correo electrónico.

Según la demanda de WhatsApp, el NSO Group se constituyó en Israel en 2010 y tenía un departamento de marketing y ventas en Estados Unidos, WestBridge Technologies, Inc. Entre 2014 y 2019, una empresa de capital privado con sede en San Francisco, Francisco Partners Management LLC, adquirió una participación de control en el NSO Group por 120 millones de Euros . Sin embargo, ahora ha sido readquirida por sus fundadores y directivos, una empresa europea de capital privado llamada Novalpina Capital, y Q Cyber figura como el único director activo del Grupo y su accionista mayoritario.

¿Quién forma parte del grupo de la NSO?

Fue fundada por dos israelíes – Shalev Hulio y Omri Lavie. Ambos están en la junta directiva de la compañía. Lavie también co-fundó Kaymera, una compañía que crea teléfonos súper seguros para funcionarios del gobierno. Así que el Grupo NSO y Kaymera ofrecen productos complementarios. Según Forbes, las oficinas de Kaymera y de la NSO están situadas una al lado de la otra.

Sus otros directores incluyen ciudadanos de los EE.UU., Reino Unido, Alemania e Israel. Entre sus asesores principales se encuentran Tom Ridge, el primer Secretario de Seguridad Nacional de los Estados Unidos, Gerard Araud, diplomático francés, Juliette Kayyem, directora del Programa de Seguridad Nacional de Harvard, y Daniel Reisner, ex jefe del Departamento de Derecho Internacional de las Fuerzas de Defensa de Israel.

¿A quién ha apuntado Pegasus?

Los análisis de Citizen Lab y de la empresa de seguridad cibernética Lookout, con sede en la Universidad de Toronto, revelaron que la NSO había suministrado productos de software espía a los Emiratos Árabes Unidos, Arabia Saudita y México. Pero no hay que descartar que prácticamente cualquier país se pudiera hacer con estos servicios. Se han identificado más de 100 casos de ataques abusivos contra defensores de los derechos humanos y periodistas en al menos 20 países de todo el mundo.

En la India, entre las más de dos docenas de usuarios a los que se ha dirigido la campaña se encuentran el abogado de derechos humanos de Nagpur Nihalsingh Rathod, los activistas adivasi Bela Bhatia y Degree Prasad Chauhan, Shalini Gera del Grupo de Asistencia Jurídica de Jagdalpur, Anand Teltumbde y el ex periodista de la BBC Shubhranshu Choudhary, entre otros. (Lea la lista más detallada aquí.)

¿Y que sucedió hace poco con Facebook?

La empresa israelí fabricante de equipos de vigilancia NSO Group supuestamente se hizo pasar por Facebook en un intento de instalar su software de piratería telefónica en dispositivos de los Estados Unidos.

Una investigación llevada a cabo por la placa madre ha revelado que un dominio web fue creado por el Grupo NSO que parecía pertenecer al equipo de seguridad de Facebook. Usando el dominio malicioso, la firma trató de atraer a los usuarios de Internet para instalar la poderosa tecnología de hacking de teléfonos celulares de la compañía, Pegasus. La placa madre también afirmó que tienen pruebas de que los servidores dentro de los Estados Unidos se utilizaron para propagar Pegasus a un gran número de dispositivos.

Pegasus es una conocida pieza de software espía creada por el Grupo NSO y cuenta con una serie de capacidades de vigilancia que incluyen la captura de capturas de pantalla, registro de teclas, captura de audio en vivo, exfiltración del historial del navegador, exfiltración del correo electrónico del cliente de correo electrónico nativo de Android y exfiltración de contactos y mensajes de texto de los dispositivos.

Según los investigadores de seguridad, Pegasus también es capaz de exfiltrar datos de mensajería de aplicaciones de uso común como WhatsApp, Skype, Facebook, Twitter, Viber y Kakao y puede autodestruirse si existe un archivo de antídoto en un dispositivo infectado o si no ha sido capaz de registrarse en los servidores después de 60 días de infiltración.

La empresa de vigilancia israelí está luchando actualmente contra una demanda presentada por Facebook, en la que se alega que la empresa “utilizó los servidores de WhatsApp, ubicados en los Estados Unidos y en otros lugares, para enviar malware a aproximadamente 1.400 teléfonos y dispositivos móviles” y que la empresa desarrolló su malware “para acceder a los mensajes y otras comunicaciones después de haber sido descifrados en los dispositivos de destino”.

Sin embargo, la NSO ha negado las acusaciones presentadas contra ella y las ha calificado de “conjetura reciclada”. De hecho, la empresa ha pedido al tribunal de California que desestime el caso, ya que nunca utiliza sus programas de espionaje y sólo los vende a los organismos de aplicación de la ley y de inteligencia de todo el mundo.

La demanda se presentó después de que Facebook descubriera que una vulnerabilidad crítica en el servicio de mensajería de WhatsApp estaba siendo explotada por NS Group para inyectar malware de vigilancia en los dispositivos de los usuarios. La empresa no tardó en lanzar una actualización de seguridad, afirmando que “un avanzado ciberacontecimiento” ya había explotado la vulnerabilidad para llevar a cabo la vigilancia de las entidades objetivo.

Según Facebook, entre abril y mayo del año pasado, NSO Group formateó los mensajes de inicio de llamada que contenían código malicioso para que parecieran una llamada legítima y ocultó el código dentro de la configuración de la llamada para evitar las restricciones técnicas incorporadas en los servidores de señalización de WhatsApp.

Utilizando este método, el Grupo NSO transmitió código malicioso a aproximadamente 1.400 dispositivos de destino entre el 29 de abril y el 10 de mayo y estos dispositivos eran propiedad de abogados, periodistas, activistas de derechos humanos, disidentes políticos, diplomáticos y otros altos funcionarios de gobiernos extranjeros.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Más información
Privacidad