Cómo armar una trinchera en su móvil contra Pegasus: 17 tips

El Ministerio de Defensa israelí autoriza la exportación de Pegasus a gobiernos extranjeros, pero no a entidades privadas. La degeneración de Pegasus ocurrió velozmente: de usarse para vigilar el teléfono de Joaquín Guzmán, 'El Chapo' paso a herramienta para atacar al activista de derechos humanos Ahmed Mansoor, en Emiratos Árabes Unidos.

Citizen Lab y Access Now han realizado una investigación conjunta en septiembre 2021, ante una denuncia de periodistas independientes de El Salvador, en colaboración con Frontline Defenders, SocialTIC y Fundación Acceso.

Los reporteros de El Faro, GatoEncerrado, La Prensa Gráfica, Revista Digital Disruptiva, Diario El Mundo, El Diario de Hoy y 2 free-lance contactaron con la línea de ayuda de seguridad digital de Access Now, después de probar sus dispositivos con la herramienta Mobile Verification Toolkit (MVT), de Amnistía Internacional Security Lab, para detectar si un teléfono fue infectado con Pegasus.

El resultado fue la confirmación de que 35 periodistas y miembros de las sociedades civiles salvadoreñas Fundación DTJ y Cristosal tenían teléfonos infectados con Pegasus, entre julio de 2020 y noviembre de 2021.

El hackeo ocurrió cuando periodistas, medios y ONGs investigaron temas delicados que involucran a la administración del presidente Nayib Bukele. Por ejemplo, la negociación de un acuerdo con la mafia MS-13 para la reducción de la violencia y apoyo electoral.

Fue identificado un cliente de Pegasus / NSO Group que opera casi exclusivamente en El Salvador desde al menos noviembre de 2019, identificado como TOROGOZ.

Ante la evidencia, la administración Nayib Bukele ha rechazado la afirmación. La secretaria de Comunicaciones de Bukele, Sofía Medina, afirmó:

“El gobierno de El Salvador no tiene los recursos ni las licencias para utilizar este tipo de software”.

Medina agregó que en noviembre recibió una alerta de Apple, al igual que otros funcionarios de Bukele, sobre un posible hackeo a su teléfono celular.

NSO Group afirmó en un comunicado que sus sistemas no se encuentran activos en El Salvador, pero prometió una investigación cuando reciba los números de teléfono de los teléfonos supuestamente pirateados.

El costo de una implementación completa de Pegasus cuesta varios millones de dólares. Un malware móvil de amenazas persistentes avanzadas (APT) a través de exploits de día 0 sin clic -por ejemplo, Zerodium- se cotiza en US$ 2,5 millones por una cadena de infección de Android sin clic con persistencia.

NSO Group dijo que sólo proporciona software y que no lo opera ni tiene acceso a los datos que se recopilan. Y que monitorear a disidentes, activistas y periodistas es un mal uso de su tecnología.

El Salvador es 1 de los 25 países cuyos gobiernos han adquirido sistemas de vigilancia de Circles, empresa afiliada a NSO Group, según Citizen Lab, diciembre de 2020.

Según Citizen Lab, el sistema comenzó a operar en 2017 durante la administración de Salvador Sánchez Cerén, presidente por el Frente Farabundo Martí para la Liberación Nacional.

Según John Scott-Railton, investigador sénior de Citizen Lab, los hallazgos hechos en los teléfonos de El Faro fueron del sistema Pegasus y no otros softwares de espionaje. Pegasus, según Citizen Lab, supera en posibilidades de espionaje al programa de Circles.

“Pegasus instala un programa en el teléfono, Circles no lo hace. Con Circles, hay solo monitoreo e intercepción; con Pegasus, los teléfonos se ven hackeados. Cuando el gobierno escucha sus llamadas, no están hackeando el teléfono, solo están escuchando las llamadas (en el caso de Circles)”, aseguró Scott-Railton.

pegasus1.jpg

Polonia

El viceprimer ministro polaco, Jaroslaw Kaczynski, dirigente del gobernante Partido Ley y Justicia (PiS), reconoció a la revista semanal polaca de derecha Sieci, que el spyware Pegasus es utilizado también en Polonia "para combatir el crimen y la corrupción".

Jaroslaw Kaczynski:

Sería desafortunado que los servicios secretos de Polonia no estuvieran equipados con tal herramienta de vigilancia. Sería desafortunado que los servicios secretos de Polonia no estuvieran equipados con tal herramienta de vigilancia.

El gobierno polaco había negado previamente utilizar Pegasus.

Pero Kaczynski rechazó las acusaciones de que el gobierno polaco usó Pegasus para vigilar a la oposición política.

“Solo puedo enfatizar esto: las historias de la oposición de que Pegasus fue utilizado con fines políticos no tienen sentido”, dijo el viceprimer ministro.

Sin embargo Citizen Lab, organismo de auditoría de Internet que funciona en ámbitos de la Universidad de Toronto, descubrió que Pegasus fue utilizado para espiar a 3 críticos del gobierno de Mateusz Jakub Morawiecki.

Por ejemplo, el senador Krzysztof Brejza, cuyo teléfono fue pirateado varias veces antes de las elecciones parlamentarias de 2019.

En ese momento, Brejza dirigía la campaña proselitista de la oposición polaca.

Brejza acusó al gobierno de hacer trampa en las elecciones, ya que piratear su teléfono significa que el gobernante PiS pudo conocer con anticipación las estrategias de campaña de la oposición.

El organismo de control de los derechos humanos, Amnistía Internacional, verificó las acusaciones de que el teléfono de Brezja fue pirateado.

Un informe de 2021 informó que Arabia Saudita, Marruecos, Azerbaiyán y otros países han utilizado el spyware Pegasus para espiar a periodistas, activistas y políticos.

pegasus4.jpg

Un relato

En el caso de los periodistas de El Faro, los periodos de intervenciones fueron desde 1 día hasta 1 año bajo ataque constante: 17 meses de espionaje continuo y con total acceso a los equipos telefónicos de más de la mitad del personal que se desempeña en el periódico, en fechas específicas que coincidieron con diferentes procesos de investigación y con acontecimientos relevantes en la vida política nacional o ataques gubernamentales contra el periódico.

NSO Group ha insistido en que solo vende el software de espionaje Pegasus a Gobiernos bajo la autorización del Ministerio de Defensa de Israel.

El 23 de noviembre de 2021, la empresa estadounidense Apple envió correos a algunos periodistas, políticos y activistas salvadoreños advirtiendo de un posible espionaje “bajo el patrocinio del Estado”.

Ese mismo día, Apple demandó a NSO Group en una corte federal de California, Estados Unidos, por infectar dispositivos de personas específicas a través de Pegasus.

Cuando los periodistas de El Faro recibieron el correo de Apple, el proceso independiente de análisis de los teléfonos con las organizaciones Access Now y Citizen Lab ya llevaba 2 meses.

Esas pericias determinaron que desde el 29/06/2020 ocurrieron al menos 226 intervenciones a 22 personas de El Faro que fueron víctimas de espionaje.

Una pregunta elemental: ¿cómo proteger sus dispositivos móviles de Pegasus y otras herramientas y malware similares?

17 tips para la defensa

1. En dispositivos Apple iOS, es clave reiniciar diariamente el sistema operativo.

Según una investigación de Amnistía Internacional y CitizenLab, la cadena de infección de Pegasus a menudo se basa en 0 días sin clics sin persistencia, por lo que el reinicio regular ayuda a limpiar el dispositivo.

Si el dispositivo se reinicia diariamente, los atacantes tendrán que volver a infectarlo una y otra vez.

Con el tiempo, esto aumenta las posibilidades de detección; se podría registrar un bloqueo o artefactos que revelan la naturaleza de la infección sigilosa.

El propietario de un dispositivo reiniciaba su dispositivo regularmente y lo hacía en las 24 horas posteriores al ataque. Los atacantes intentaron atacarlo unas cuantas veces más, pero se dieron por vencidos después de recibir desconexiones totales durante los reinicios.

2. Otra táctica: deshabilitar iMessage, integrado en iOS y habilitado de forma predeterminada, lo que lo convierte en un atractivo vector de explotación.

Porque está habilitado de forma predeterminada, es un mecanismo de entrega superior para las cadenas de clic 0.

"Durante los últimos meses, hemos observado un aumento en la cantidad de exploits de iOS, en su mayoría cadenas de Safari e iMessage, desarrollados y vendidos por investigadores de todo el mundo. El mercado de día 0 está tan inundado de exploits de iOS que recientemente comencé a rechazar algunos (de) ellos", escribió el fundador de Zerodium, Chaouki Bekrar, en 2019 a Wired.

3. Otra herramienta anti Pegasus: deshabilitar Facetime.

Es clave mantener el dispositivo móvil actualizado. Instalar los últimos parches de iOS tan pronto como se difunden. No todos los atacantes pueden permitirse los días 0 de 0 clics; muchos de los kits de explotación de iOS tienen como objetivo vulnerabilidades ya parchadas. Sin embargo, muchas personas usan teléfonos antiguos y posponen las actualizaciones por varias razones.

4. Nunca haga clic en enlaces recibidos a través de mensajes SMS. Esto es muy importante. Es un consejo simple y efectivo.

Para ahorrar el costo de las cadenas de clics 0, muchos piratas informáticos confían en las vulnerabilidades de un clic. Estos llegan en forma de mensaje, a veces por SMS, pero también a través de otros mensajeros o incluso por correo electrónico.

Si recibe un SMS interesante (o cualquier otro mensaje) con un enlace, ábralo en una computadora de escritorio, preferiblemente usando el navegador TOR o un sistema operativo seguro no persistente como Tails.

5. Navegar por Internet con un navegador alternativo como Firefox Focus. A pesar de que todos los navegadores en iOS utilizan casi el mismo motor de renderizado WebKit, algunos exploits no funcionan bien (ver LightRighter / TwoSailJunk ) en algunos navegadores alternativos.

6. Mostrar la cadena de agente de usuario. Por ejemplo:

Fuente: Costin Raiu, Kaspersky GReAT

Cadenas de agente de usuario en iOS desde Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1

7. Utilizar siempre una VPN que enmascare su tráfico. Algunos exploits se entregan a través de ataques MitM del operador GSM, al navegar por sitios HTTP o por secuestro de DNS. El uso de una VPN para enmascarar el tráfico dificulta que su operador GSM lo apunte directamente a través de Internet. No todas las VPN son iguales, y no todas las VPN son buenas para usar.

Ayudamemoria:

• No hay VPN gratuitas.
• Buscar servicios que acepten pagos con criptomonedas.
• Buscar servicios que no requieran que proporcione ninguna información de registro.
• Tratar de evitar las aplicaciones VPN; son mejores herramientas de código abierto como WireGuard y OpenVPN y perfiles VPN.
• Evitar los nuevos servicios de VPN y buscar servicios establecidos que hayan existido durante algún tiempo.
• Instalar una aplicación de seguridad que compruebe y avise si el dispositivo tiene jailbreak.
• Realizar copias de seguridad de iTunes una vez al mes.
• Activar Sysdiags con frecuencia y guardarlo en copias de seguridad externas. Activar un sysdiag depende del modelo de teléfono; por ejemplo, en algunos iPhones, se hace presionando VOL Arriba + Abajo + Encendido al mismo tiempo.

8. En dispositivos Android, reinicie diariamente. La persistencia en las últimas versiones de Android es difícil.

9. Mantener su teléfono actualizado. Instalar todos los parches más recientes.

10. Nunca hacer. clic en enlaces recibidos en mensajes SMS.

11. Navegar por Internet con un navegador alternativo. Nuevamente, intentar usar Firefox Focus en lugar de Chrome.

12. Usar una VPN que enmascare su tráfico. Algunos exploits se entregan a través de ataques MitM del operador GSM, al navegar por sitios HTTP o por secuestro de DNS.

13. Instalar una suite de seguridad que busque malware y verifique y avise si el dispositivo tiene jailbreak.

14. Siempre verificar el tráfico de su red usando IOC en vivo. Una buena configuración podría incluir una VPN Wireguard siempre activa en un servidor bajo su control que usa pi-hole para filtrar cosas malas y registra todo el tráfico para una inspección más detallada.

15. Telegram es mejor que WhatsApp. Signal ha mejorado mucho, implementando videollamadas y llamadas grupales.

16. Apple mejoró la zona de pruebas de seguridad alrededor de iMessage con BlastDoor en iOS 14.

17. Algunas personas tienen varios iPhones, uno en el que iMessage está deshabilitado y un iPhone en el que iMessage está habilitado. Ambos están asociados con el mismo ID de Apple y número de teléfono. Si alguien decide atacarlo de esa manera, es muy probable que termine en el teléfono trampa.