Una investigación publicada la semana pasada por el periódico The Washington Post reveló que los gobiernos de 10 naciones con historiales de espiar a sus ciudadanos utilizaron un programa de spyware de la empresa israelí NSO Group, Pegasus, para llevar a cabo actividades de espionaje contra personas, mandatarios y políticos de otros países, activistas y periodistas y organizaciones de noticias nacionales e internacionales.

Tras la publicación de la historia del Post, un consorcio global de 16 organizaciones de noticias y comunicaciones se dio a la tarea de identificar a las posibles víctimas del operativo de espionaje y, al día de hoy, la lista incluye al presidente de Francia, Emmanuel Macron, junto con otros 15 funcionarios (activos y pasados) del gobierno francés; y Hatice Cengiz, la prometida del periodista saudí y del Washington Post Jamal Khashoggi que fue asesinado en el 2018 en el consulado saudí en Estambul, Turquía, bajo órdenes del príncipe de Arabia Saudí, Mohammed bin Salman.

De momento, el consorcio, conocido como Pegasus Project, ha identificado los teléfonos de 600 políticos y funcionarios de gobierno, 189 periodistas, grupos defensores de los derechos humanos y disidentes políticos. La mayoría de los teléfonos son de México y del Medio Oriente.

Según una historia de seguimiento del Post, Israel clasifica a Pegasus como un arma y, por ende, el gobierno israelí debe aprobar la venta y exportación del spyware fuera de su territorio a otros gobiernos, pero no regula la venta a entidades privadas. Sin embargo, NSO Group es notorio por vender su programa a cualquier entidad de gobierno.

Lo peligroso de Pegasus, aparte de su capacidad de convertir un teléfono móvil en una plataforma capaz de espiar las 24 horas del día, es la facilidad con la que se puede infectar el o los dispositivos de una persona.

¿Qué es Pegasus?

Pegasus, en el mundo de la ciberseguridad, es lo que se conoce como un programa tipo spyware, un malware (programa maligno o malicioso) que captura información sensitiva de un usuario y la envía a el o los atacantes.

Según una historia del periódico The Guardian, el primer ejemplo de Pegasus identificado públicamente por investigadores fue encontrado en el 2016, y en ese momento, las infecciones se llevaban a cabo mediante campañas de phishing (un método para engañar a los usuarios a compartir información personal) . En dichas campañas se enviaban mensajes de texto o por aplicaciones de mensajería como iMessage o WhatsApp exhortando a la víctima a presionar un enlace.

Al presionar el enlace, Pegasus era instalado en el dispositivo de la víctima sin su conocimiento o consentimiento. Hoy día, NSO Group, además de utilizar campañas de phishing, también se aprovecha de vulnerabilidades desconocidas (o zero day) en iOS, Android, y en programas de mensajería para instalar el spyware sin siquiera la necesidad de que la víctima visite o presione un enlace malicioso.

Una vulnerabilidad zero day es un error en programación u otro vector, desconocido para el desarrollador de un programa, que da acceso a un atacante a áreas de un dispositivo a las que no debería tener acceso generalmente. Dado que el desarrollador no tiene conocimiento de la vulnerabilidad, no puede corregir el problema para evitar ataques hasta que se entere de la situación.

En el caso de Pegasus, el spyware puede infectar las versiones más recientes de iOS y Android, y cuando entra en un dispositivo adquiere lo que se conoce como acceso de base, de administrador, o root access.

Este nivel de acceso es el máximo que una persona puede tener en una computadora o dispositivo, y como se puede deducir del término, permite ejecutar cualquier comando y llevar a cabo cualquier acción, pues al tener acceso de administrador, las protecciones del sistema operativo no ven las acciones como un peligro para el dispositivo o la información que almacena.

Otra ventaja de obtener acceso de base, o root access, es que se dificulta el proceso de identificación y remoción del spyware, pues prácticamente se entrelaza estrechamente con las acciones más básicas y comunes en un dispositivo.

¿Qué información captura Pegasus?

La otra ventaja de obtener acceso de base o de administrador es que Pegasus puede recopilar cualquier dato almacenado en el dispositivo e, inclusive, información cifrada.

Con esta herramienta, un atacante puede recibir copias de mensajes de texto, correos electrónicos, mensajes de WhatsApp, fotos y vídeos, grabar llamadas, recopilar datos de geolocalización o GPS, datos de calendarios y los nombres y la información de contacto en su libreta de contactos.

Como si fuera poco, el o los atacantes pueden activar los micrófonos de su celular en cualquier momento, al igual que las cámaras frontales y traseras. Además, actúa como un keylogger que captura todo lo que escribe en su teléfono o dispositivo.

Se cree que las versiones más recientes de Pegasus solo residen en la memoria volátil (RAM) de un dispositivo y no en su almacenaje permanente (el llamado disco duro). La memoria RAM de un dispositivo retiene información mientras tenga electricidad, pero una vez el dispositivo se apaga y deja de recibir electricidad, la información contenida en la memoria se borra. Por consiguiente, resulta extremadamente difícil detectar rastros del spyware para removerlo hasta que se activa y ocupa un espacio en la memoria RAM.

Debido a este mecanismo de defensa, es difícil detectar una infección, pero sí existe una herramienta que detecta huellas dejadas por Pegasus. La Herramienta de Verificación Móvil, o MVT, puede ser adquirida en este enlace, pero requiere un poco de conocimiento técnico para utilizarla, pues primero hay que realizar un resguardo completo del contenido del dispositivo, o tomar un backup de iOS hecho en una Mac, y en estos archivos es que se corre la herramienta MVT.

Antes de correr la herramienta, debe visitar este repositorio de Amnistía Internacional y descargar las definiciones que MVT utilizará para buscar huellas de Pegasus en el resguardo de datos de su dispositivo.

La otra manera de detectar una infección es mediante un análisis forense del dispositivo.

¿Quién es el NSO Group?

La compañía fue fundada en el 2010 por Niv Carmi, Omri Lavie y Shalev Hulio en Herzliya, Israel. NSO son las siglas de los nombres de sus fundadores. Se cree que el trío fueron miembros de la Unidad 8200, una división del Cuerpo de Inteligencia de Israel.

La empresa no suele comercializar el spyware Pegasus en materiales, pero ciertamente es uno de sus productos principales. Pegasus jugó un rol importante en la investigación que llevó al arresto del narcotraficante mexicano Joaquín “El Chapo” Guzmán.

Pero, pese a tener supuestos mecanismos en pie que impiden la venta de sus programas a gobiernos autoritarios o con historiales de violaciones de derechos humanos, el spyware sigue llegando a las manos de países como Azerbaiyán, Marruecos, Baréin y Hungría que lo utilizan para perpetrar campañas de espionaje.

NSO Group fue adquirido en el 2014 por Francisco Partners por $130 millones, y al año siguiente colocó la compañía en venta por más de $1,000 millones. En el 2016, Francisco Partners vendió un 60 por ciento de las acciones de NSO Group a Hulio y Lavie, quienes tuvieron el apoyo de Novalpina Capital.

En el 2019, Facebook demandó a NSO Group al resaltar que la empresa desarrolló un método para realizar ataques en WhatsApp mediante llamadas y aunque la persona no contestara la llamada. Facebook y WhatsApp indicaron en la demanda que unos 1,400 usuarios en 20 países fueron blancos de ataques, incluyendo al menos 100 activistas de derechos humanos y periodistas.

En todo momento, NSO Group ha negado responsabilidad por los ataques que se atribuyen a Pegasus y remite la responsabilidad al uso que sus clientes le dan al spyware. Sin embargo, la compañía nunca ha divulgado una lista de sus clientes.