A mediados de julio de 2021 muchos medios se hicieron eco de un caso de espionaje masivo de móviles usando Pegasus, un conocido spyware que ya ha protagonizado en el pasado escándalos similares. Gracias a la investigación llevada a cabo por varios medios y coordinada por Amnistía Internacional y Forbidden Stories, se ha podido desvelar el gran alcance y amenaza para los derechos fundamentales de muchas personas que supone el spyware Pegasus y el abuso de este tipo de malware.
En este artículo hablamos de:
¿Qué es el spyware Pegasus?
Pegasus es un tipo de spyware diseñado para espiar móviles, tanto Android como iOS, puesto que es capaz de colarse en estos dispositivos y burlar su seguridad con una gran facilidad (testimonio claro del trabajo y la sofisticación que hay detrás de este malware).
Pegasus es un malware que aprovecha cualquier tipo de brecha de seguridad, especialmente las vulnerabilidades zero-day de los sistemas operativos de los móviles, para poder tomar el control de los mismos, cómo veremos más adelante.
¿Qué finalidad tiene el spyware Pegasus?
El spyware Pegasus tiene como finalidad espiar el móvil de manera remota de una persona marcada como objetivo de interés para quien haya contratado los servicios de este spyware en cuestión.
En principio, dichos objetivos debían ser criminales y terroristas o personas sospechosas de serlo, ya que gracias a las características de Pegasus, una vez que se instala el malware en Android o iOS, este tiene el control completo del móvil, pudiendo leer los mensajes enviados y recibidos (incluso los de WhatsApp), ver qué páginas se visitan, activar el GPS y determinar la geolocalización de la persona, grabar conversaciones, activar el micrófono y las cámaras, etc.
¿Cómo funciona el spyware Pegasus?
El laboratorio de informática forense de Amnistía Internacional ha elaborado un completo informe técnico sobre cómo funciona Pegasus, pero de forma resumida y, como ya dijimos, este spyware se aprovecha de vulnerabilidades zero-day para tomar el control del móvil.
Recordamos que este tipo de vulnerabilidades son defectos o problemas de seguridad presentes en los software desde el día de su lanzamiento, conocidos o no, que todavía no se han solucionado y que representan un punto realmente débil para cualquier tipo de seguridad online y un vector de entrada para el malware, ante el que los usuarios poco pueden hacer para defenderse.
Para infectar los terminales, Pegasus recurre a ataques de ingeniería social bastante sofisticados, enviando mensajes a través de SMS, WhatsApp o iMessage, que incluyen un enlace a una web maliciosa, desde la que se descarga el spyware.
Como decíamos, una vez se ha instalado el spyware en el dispositivo, este tiene un control completo sobre el mismo y, aparte de pasar desapercibido para sus víctimas, puede acceder a sus emails, mensajes SMS, aplicaciones de mensajería, calendario, galerías de imágenes, activar cámaras y el micrófono, activar el GPS o conseguir información de los contactos, etc.
Aunque supuestamente el spyware Pegasus no deja rastro, el informe de Amnistía Internacional dice lo contrario y podría ser posible que un perito informático forense detectara si el spyware está o ha llegado a estar en el móvil.
¿Quién está detrás del spyware Pegasus?
Cuando hemos hablado otras veces sobre ciberseguridad, siempre hemos señalado a los cibercriminales como los culpables de las amenazas de seguridad en Internet que podemos encontrarnos. Sin embargo, detrás del spyware Pegasus está NSO Group, una compañía de cibernética israelí.
Diferentes países del mundo, entre ellos España, habrían contratado a NSO para poder usar Pegasus contra objetivos de interés, supuestamente criminales y terroristas, pero que, como veremos a continuación, no siempre ha sido el caso, tal y como ha demostrado la investigación llevada a cabo por el grupo «Proyecto Pegasus», formado por más de 80 periodistas y 17 medios de comunicación de 10 países.
Esto no quiere decir que Pegasus no haya sido usado con el fin para el que teóricamente fue creado, pero es alarmante ver los abusos que se pueden hacer de una herramienta con el poder y capacidades que tiene este spyware.
Afectados por el spyware Pegasus
La investigación llevada a cabo sobre el alcance del uso del spyware Pegasus en Android e iOS ha dejado en evidencia que esta spyware se usa para espiar no solo a criminales o terroristas, sino a cualquier persona que pueda resultarle incómoda a un gobierno, democrático o no, o una organización privada (aunque teóricamente, NSO solo vende Pegasus a gobiernos y fuerzas de seguridad estatales).
Habrían sido objetivos de Pegasus periodistas de CNN, Associated Press, New York Times, Bloomberg, Le Monde, Al Jazeera, Reuters, el Financial Times o El País.
La primera filtración que hizo la investigación fue dejar al descubierto más de 50.000 números de teléfono marcados como posibles objetivos para desplegar en ellos Pegasus. Muchos de estos números conducían a periodistas, activistas de derechos humanos, empresarios, políticos, militares y figuras religiosas y sus familias.
Este enorme número de posibles objetivos de espionaje deja claro la importancia que tienen los smartphones actuales como fuentes de información privada. Además, no es la primera vez que el spyware Pegasus protagoniza una noticia como esta.
Ya en 2016 se hablaba de él, pero empezó a hacerse más notorio cuando en 2019 Facebook responsabilizó del ataque sufrido por WhatsApp al spyware Pegasus. Este ataque usaba un fallo de seguridad en la función de videollamada de la app, que permitía, sin necesidad siquiera de descolgarla, instalar un código malicioso en el móvil. Entonces se vieron afectados abogados de derechos humanos, periodistas, funcionarios de gobierno y disidentes políticos. Facebook incluso llegó a denunciar a NSO Group por este incidente.
También se vincula el uso del spyware Pegasus con el asesinato del periodista Jamal Khashoggi o el del también periodista Cecilio Pineda en México.
Más cerca de casa, Pegasus habría sido usado para atacar y espiar el móvil del presidente del Parlamento de Cataluña, Roger Torrent, entre abril y mayo de 2019
Por lo tanto, parece evidente que más allá de objetivos relacionados con el crimen y el terrorismo, los periodistas y los activistas de derechos humanos son los más afectados por este spyware.
Cómo protegernos del spyware para móviles
Es poco probable que como ciudadanos anónimos, lleguemos alguna vez a ser objetivos de spyware como Pegasus, aunque no imposible, puesto que existen gran cantidad de programas maliciosos espías creados para instalarse en nuestros móviles y espiarnos sin que nos demos cuenta.
Protegernos de ellos pasa por ser siempre precavidos, puesto que para que un spyware (menos sofisticado que Pegasus) se descargue e instale en nuestro móvil, debemos haberle «dado permiso» nosotros, bien descargando un archivo malicioso o bien pulsando en un enlace fraudulento que nos ha llevado a una web desde la que se puede descargar el spyware.
Así que el consejo es no abrir correos de origen sospechoso, no pulsar en los enlaces que puedan contener o descargar sus archivos adjuntos, descargar solo aplicaciones de tiendas oficiales, comprobar las direcciones URL para no acabar redirigidos a una web falsa, contar con un antivirus o configurar mejor el que ya tenemos por defecto y tener actualizados software y sistema operativo a su última versión.
Contra las vulnerabilidades zero-day que aprovecha el spyware Pegasus poco podremos hacer, pero al menos se lo pondremos más difícil al resto de spyware que emplean especialmente la ingeniería social o las apps fraudulentas para instalarse en nuestros smartphones.