Preguntas y respuestas: una gua sobre el malware Pegasus y el spyware

El Proyecto Pegasus es una investigación realizada por The Washington Post y otras 16 organizaciones de medios de comunicación en 10 países, la cual fue coordinada por Forbidden Stories, una organización sin fines de lucro relacionada al periodismo con sede en París, y asesorada por Amnistía Internacional. Esos dos grupos tuvieron acceso a una lista de más de 50,000 números telefónicos que incluían objetivos de intrusión y vigilancia para clientes de la empresa israelí de software espía (o spyware) NSO Group, la cual compartieron con el equipo de periodistas. Durante los últimos meses, el equipo revisó y analizó la lista en un esfuerzo por conocer las identidades de los dueños de los números telefónicos y determinar si a sus teléfonos les habían implantado el software espía Pegasus de NSO.

La investigación logró vincular a más de 1,000 funcionarios gubernamentales, periodistas, empresarios y activistas de derechos humanos con los números telefónicos y obtener datos de 67 teléfonos cuyos números aparecían en la lista. Posteriormente, el Laboratorio sobre Seguridad de Amnistía Internacional analizó esos datos de forma forense. De los 67 teléfonos, 37 de ellos mostraron evidencia de un intento de intrusión o ataque exitoso de Pegasus.

Recibe noticias y columnas de opinión en español en nuestro boletín

Un análisis más detallado indicó que muchas de esas intrusiones o intentos de intrusión se produjeron poco después de que el número telefónico ingresara en la lista —algunos incluso en cuestión de segundos— lo que sugiere un vínculo entre la lista y los posteriores esfuerzos de intrusión y vigilancia.

Advertisement

¿Qué tan vulnerable eres a este tipo de software espía? ¿Hay medidas que puedas implementar para mantener tu teléfono seguro? A continuación, algunas respuestas:

¿Qué es el spyware y quién lo utiliza?

Spyware, o software espía, es un término general para denominar a una categoría de software malicioso, o malware, que busca recopilar información de la computadora, teléfono u otro dispositivo de otra persona. El software espía puede ser relativamente simple. Puede aprovecharse de debilidades de seguridad bastante conocidas para hackear dispositivos con poca protección. Sin embargo, algunos de ellos son muy sofisticados y se enfocan en fallas de software sin parches que pueden permitirle a alguien fisgonear incluso en los teléfonos más nuevos con medidas de seguridad avanzadas.

El spyware más sofisticado es por lo general utilizado por las fuerzas del orden o las agencias de inteligencia, y existe todo un sólido mercado privado para proporcionarle esas herramientas a las naciones que pueden pagarlas, como Estados Unidos. Desde hace tiempo se sospecha que grupos terroristas y bandas criminales sofisticadas también tienen acceso a software espía. Investigadores de ciberseguridad de Microsoft y el Citizen Lab de la Universidad de Toronto afirmaron este mes que el spyware de otra empresa israelí, Candiru, había sido utilizado para infectar las computadoras y teléfonos de activistas, políticos y otras víctimas por medio de sitios web falsos que se hacían pasar por páginas de Black Lives Matter o grupos de salud.

Read in English: Q&A: A guide to ‘spyware’

¿Qué puede recolectar el software espía?

Casi todo en un dispositivo es vulnerable a un spyware sofisticado. Muchas personas están familiarizadas con las intervenciones telefónicas tradicionales, que permiten el monitoreo de llamadas en tiempo real, pero el software espía puede hacer eso y mucho más. Puede recopilar correos electrónicos, publicaciones en redes sociales, registros de llamadas e incluso mensajes en aplicaciones de chat encriptadas como WhatsApp o Signal. El software espía puede determinar la ubicación de un usuario, además de si la persona está detenida o en movimiento —y hacia qué dirección lo hace—. Puede recolectar contactos, nombres de usuario, contraseñas, notas y documentos. Eso incluye fotografías, videos y grabaciones de sonido. El spyware más avanzado puede incluso activar micrófonos y cámaras, sin encender luces o cualquier otro indicador que informe que hay una grabación en curso. Básicamente, cualquier cosa que las y los usuarios puedan hacer en sus dispositivos, quienes operan el software espía avanzado también podrán hacerlo. Algunos pueden incluso enviar archivos a dispositivos sin la aprobación o conocimiento de los usuarios.

¿Por qué la encriptación no detiene malware como Pegasus?

Lo que se conoce como “cifrado de extremo a extremo” protege la transmisión de datos entre dispositivos. Es útil para detener los “ataques de intermediario”, en el que un hacker intercepta un mensaje entre su remitente y su destinatario, porque el mensaje está bloqueado con una clave de cifrado específica. Estas formas de encriptación, ampliamente adoptadas en los servicios comerciales tras las revelaciones del denunciante de la Agencia de Seguridad Nacional Edward Snowden en 2013, también dificultan que las agencias gubernamentales realicen una vigilancia masiva mediante el monitoreo del tráfico de internet. Sin embargo, no es útil contra ataques al “endpoint”, que tiene como objetivo cualquiera de los extremos de la comunicación. Una vez que el mensaje encriptado llega al dispositivo deseado, el sistema ejecuta un programa para decodificar el mensaje y hacerlo legible. Cuando eso sucede, el spyware en el dispositivo también puede leerlo.

¿Qué es NSO?

NSO Group es una empresa privada con sede en Israel que es el fabricante líder de software espía. Su producto estrella, Pegasus, está diseñado para introducirse en dispositivos iPhone y Android. La compañía, fundada en 2010, afirma tener 60 clientes gubernamentales en 40 países. La empresa, que también tiene sedes en Bulgaria y Chipre, tiene 750 empleados y registró ingresos de más de 240 millones de dólares el año pasado, según Moody’s. Es propiedad mayoritaria de Novalpina Capital, una firma de capital privado ubicada en Londres.

¿Quiénes son los clientes de NSO?

La compañía no da esa información, citando acuerdos de confidencialidad. Citizen Lab ha documentado posibles infecciones de Pegasus en 45 lugares: Argelia, Baréin, Bangladés, Brasil, Canadá, Egipto, Francia, Grecia, India, Irak, Israel, Costa de Marfil, Jordania, Kazajistán, Kenia, Kuwait, Kirguistán, Letonia, Líbano, Libia, México, Marruecos, Países Bajos, Omán, Pakistán, los territorios palestinos, Polonia, Catar, Ruanda, Arabia Saudita, Singapur, Sudáfrica, Suiza, Tayikistán, Tailandia, Togo, Túnez, Turquía, Emiratos Árabes Unidos, Uganda, Reino Unido, Estados Unidos, Uzbekistán, Yemen y Zambia. Sin embargo, la presencia de teléfonos infectados no significa necesariamente que el gobierno de ese país sea un cliente.

Advertisement

NSO ha afirmado desde hace mucho tiempo que Pegasus no se puede utilizar para atacar teléfonos en Estados Unidos y que solo debe ser usado contra “presuntos delincuentes y terroristas”. Sin embargo, varios grupos de investigación han descubierto que también se ha utilizado para espiar a figuras políticas, periodistas y activistas de derechos humanos. Estos hallazgos han sido confirmados por la investigación del Proyecto Pegasus.

¿Cómo se detectan las infecciones de spyware?

El software espía moderno está diseñado para apoderarse de los sistemas y al mismo tiempo lograr que parezca que nada ha cambiado, por lo que los teléfonos hackeados a menudo deben ser examinados a profundidad antes de que muestren alguna evidencia de que fueron atacados. El Laboratorio sobre Seguridad de Amnistía Internacional diseñó una prueba para escanear los datos de los teléfonos en busca de rastros de una posible infección de Pegasus, y el grupo le preguntó a las personas si estarían de acuerdo en someter sus dispositivos al análisis tras saber que sus números estaban en la lista, 67 accedieron. De ellos, los datos de 23 teléfonos mostraron evidencia de una infección exitosa y 14 tenían rastros de intentos de hackeo.

Advertisement

En los 30 teléfonos restantes las pruebas no fueron concluyentes, en varios casos porque los teléfonos habían sido remplazados o se habían perdido, y las pruebas se realizaron en archivos de respaldo que podrían haber tenido datos del teléfono anterior. En 15 de las pruebas se realizaron con datos de teléfonos Android, ninguno de mostró evidencia de una infección exitosa. Sin embargo, a diferencia de los iPhone, los dispositivos Android no registran el tipo de información necesaria para el trabajo detectivesco de Amnistía Internacional. Tres teléfonos Android mostraron señales de haber sido objetivos de ataques, como mensajes SMS vinculados a Pegasus.

¿Puedo detectar si mi dispositivo fue hackeado con Pegasus u otro malware?

Probablemente no. El malware está diseñado para funcionar de forma sigilosa y cubrir sus huellas. Es por eso que la mejor defensa quizás sea protegerte contra la infección desde un principio.

¿Mi dispositivo es vulnerable?

Casi todos los teléfonos celulares son vulnerables, aunque es poco probable que la mayoría de los usuarios comunes de teléfonos sean atacados. Aparte de los presuntos delincuentes y terroristas, los más propensos a ser objetivos de intrusión y vigilancia son periodistas, activistas de derechos humanos, políticos, diplomáticos, funcionarios gubernamentales, líderes empresariales, y familiares y asociados de figuras prominentes. Los teléfonos especialmente diseñados —y muy costosos— que utilizan variedades del sistema operativo Android junto a medidas de seguridad avanzadas podrían resistir ataques de spyware, pero no hay manera de saberlo con certeza.

¿Existen leyes que me protejan?

Existe muy poca protección legal significativa contra ser objetivo de un ataque de software espía en la mayoría del mundo. NSO asegura que Pegasus no se puede utilizar en números dentro de Estados Unidos, el aliado más importante de Israel. Estados Unidos tiene algunas restricciones legales sobre el software espía, como la Ley de fraude y abuso informático, que fue promulgada en 1986 y que prohíbe el “acceso no autorizado” a una computadora o teléfono, pero su lenguaje vago ha tenido como consecuencia que a menudo sea aplicada de forma desigual en los tribunales. Algunos estados han aprobado leyes de ciberseguridad y privacidad, como la Ley de Fraude y Acceso Integral a Datos Informáticos de California, que prohíbe la manipulación o interferencia electrónica. WhatsApp ha citado ambas leyes en un caso judicial en curso contra NSO.

¿Hay algo que pueda hacer para tener más seguridad?

Hay ciertas medidas básicas de ciberseguridad que hacen que las personas estén un poco más seguras de hackeos de todo tipo. Mantén tus dispositivos y sus software actualizados, preferiblemente activando la opción “actualización automática” en las opciones de configuración. Los dispositivos que tienen más de cinco años —en especial si tienen sistemas operativos obsoletos— son particularmente vulnerables.

Advertisement

Utiliza una contraseña única y difícil de adivinar para cada dispositivo, sitio web y aplicación que utilices, y evita usar claves fácilmente predecibles basadas en tu número telefónico, fecha de nacimiento o nombre de mascotas. Un administrador de contraseñas como LastPass o 1Password puede facilitarte el proceso. También deberías activar la “autenticación de dos factores” en donde puedas: esos sitios te pedirán no solo tu contraseña sino también un segundo código, que será enviado a tu teléfono o estará accesible mediante una aplicación de autenticación separada.

Evita cliquear en enlaces o archivos adjuntos de personas que no conozcas. Siempre que sea posible, activa la opción de “mensajes que desaparecen” o configuraciones similares para que las comunicaciones se borren de manera automática después de un período de tiempo establecido.

Escucha el pódcast El Washington Post para conocer las últimas noticias en español

¿Quién más puede ayudar a proteger mi privacidad?

Los entes con mayor poder para frenar al software espía son probablemente los fabricantes de dispositivos y software, como Apple y Google. Tienen años mejorando la seguridad en los sistemas operativos de sus teléfonos, pero no lo suficiente como para bloquear por completo a Pegasus y malware similar. Las compañías gigantes de “computación en la nube” también pueden tomar medidas para evitar que sus servidores ayuden a los ataques: tanto Microsoft como Amazon Web Services afirman haber tomado medidas para bloquear malware cuando se enteraron de que sus sistemas estaban siendo utilizados para transmitirlo.

AMLO debe transparentar qué pasó con Pegasus y el espionaje de EPN

Datos y llamadas de celulares, en riesgo de espionaje por antenas falsas en América Latina

Edward Snowden: Trump ha creado un manual mundial para atacar a quienes revelen verdades incómodas

El gobierno cubano pasó de negarle internet a sus ciudadanos a enriquecerse con él

ncG1vNJzZmivp6x7uK3SoaCnn6Sku7G70q1lnKedZLK0e9OemqGmn6G8qMWOa2draV9lhHB9mGikmqSnlr%2Bmec%2Benpqrpah6pr%2FPoqanmZqaeqS7zKhknZ2kmrC1rdFmp6udl6q7ta3SZqqpsaeWv6Z7