Pegasus, ese desconocido tan famoso

Qué es Pegasus: cómo se infecta, qué puede hacer y cómo detectarlo

Pegasus, un tipo de aplicación espía que muy sofisticada, y que ha sido utilizada para espiar a personalidades políticas y sociales de alto nivel. Se trata de una aplicación extremadamente efectiva, y que suele ser vendida para ser utilizada por gobiernos, o por lo menos eso es lo que aseguran sus creadores.


En la página de la empresa creadora se dice que se vendía a gobiernos como herramienta para prevenir atentados y desarticular bandas pedófilas, sexuales o de tráfico de drogas. Actualmente no hay referencias a que siga siendo utilizada, pero hay casos como el de la infección al móvil del presidente del gobierno español o a políticos del mundo independentista que parecen apuntar a que sigue estando funcional.


Qué es Pegasus y qué puede hacer


Pegasus es una aplicación de espionaje, un tipo de aplicación que suele conocerse como Spyware. Es una aplicación que se instala en tu móvil a través de algún enlace y aprovechándose de las vulnerabilidades de su sistema operativo, y que se queda trabajando en segundo plano para permitir espiar remotamente lo que haces a través de tu propio dispositivo.


Se trata de un programa desarrollado por la empresa israelí NSO Group, y que es uno de los más penetrantes y sofisticados del mundo del ciberespionaje. Dentro, funciona como un control remoto, de forma que el atacante o quien lo controle pueda darle órdenes de forma remota para que haga una u otra función.


Para hacerte una idea, el atacante puede pedirle a este tipo de malware que lea tus mensajes de texto o tus llamadas, que obtenga tus contraseñas, o que te localice a través de GPS. También puede acceder a tus fotografías y robarlas, o acceder a tu información de aplicaciones y redes sociales, pudiendo leer tus conversaciones en iMessage, WhatsApp y Telegram o las cosas que publicas.


Cómo se infecta en un móvil


Este programa infecta un móvil aprovechándose de las vulnerabilidades de su sistema operativo. Todos los sistemas operativos tienen vulnerabilidades, algunas desde que son lanzados, llamadas de día 0, y son las que aprovechan estas aplicaciones de malware para actuar.


Estas vulnerabilidades no se conocen, ni los desarrolladores ni los usuarios suelen conocerlas, por lo que cuando alguien las encuentra, puede reportarlas para que sean solucionadas. Y si no las encuentran, puede que algún cibercriminal las haya encontrado primero y las esté utilizando con algún tipo de virus.


Pegasus es un software espía o spyware que generalmente suele necesitar la interacción de la víctima para ejecutarse y acceder al móvil. Sobre cómo se infecta de forma concreta, no está claro porque es un software bastante secreto, y su funcionamiento preciso no se conoce. Lo lógico es pensar que puede infectarse a través de enlaces que se envían por mensajería instantánea, pero se ha comentado que podría hacerlo también a través de llamadas de WhatsApp o utilizando iMessage.


¿Sigue siendo funcional?


Este tipo de spyware es tan sofisticado, que nadie sabe realmente si sigue siendo funcional y se está utilizando ahora mismo o no. NSO Group ahora mismo no hace ninguna referencia a este spyware o a su utilización, aunque todo parece indicar que quizá sí siga utilizándose, sobre todo con casos como el de la infección al móvil del presidente del gobierno español o a políticos del mundo independentista.


Google y Apple han estado solucionando algunas de las vulnerabilidades utilizadas por este ataque en el pasado, ya que hay reportes sobre su uso desde 2016, y se ha utilizado desde para atacar a distintas personalidades del panorama político español y mundial, como en otros casos célebres como el robo de fotos íntimas de Jeff Bezos, a miles de periodistas de todo el mundo, y se piensa que quizá también para obtener una lista con más de 50.000 números de teléfono de todo el mundo que se desveló en 2021.


No se sabe. Apple subsanó con una actualización en julio del año pasado la vulnerabilidad Forcedentry, que era el sofisticado método que utilizaba el software espía para instalarse en el móvil. La compañía de la manzana no tiene constancia de que haya vuelto a funcionar en algún iPhone actualizado. La empresa que comercializa Pegasus, la israelí NSO Group, puede haber encontrado algún método nuevo para infectar los móviles que no haya sido descubierto todavía por Apple o Google.


¿Puede estar espiándote a ti?


Pegasus es un spyware que suele ser utilizado a nivel gubernamental, y no suele saberse quién lo contrata y a quién quieren espiar. Sin embargo, lo normal es pensar que sólo se va a invertir en él para espiar a personas de gran perfil político o social. Pero si quieres salir de dudas, existe una aplicación con la que hacer la comprobación que ha sido desarrollada por Amnistía Internacional.


La aplicación se llama Mobile Verification Toolkit, y la puedes encontrar gratis y con su código abierto en Github. Lo que tienes que hacer con ella es instalarla en tu ordenador y conectar el móvil para que pueda analizarlo y buscar amenazas en él. Fue creada a raíz del impacto del software Pegasus, y ayuda a encontrar si tienes varios tipos de aplicaciones espía.

 

Que vulnerabilidades usa?

• Vulnerabilidades de WhatsApp. La aplicación estrella de Facebook sufrió una gravísima vulnerabilidad por la que el atacante podía acceder a mensajes e información con sólo realizar una llamada. Pegasus inyectaba el spyware a distancia incluso sin que el atacado tuviera que descolgar la llamada de WhatsApp.
• Mensajes de Phising. Pegasus utilizaba mensajes SMS con enlaces a malware haciéndose pasar por información que tenían pendiente los atacados. Tarjetas de embarque, por ejemplo.
• Ataques a través de iMessage. En el terreno de iOS, Pegasus podía atacar a la app de mensajería del iPhone para infectar el teléfono lanzando una instancia de WebKit. También abusaron de una vulnerabilidad denominada como Kismet, igualmente a través de iMessage.


Por qué el malware Pegasus es tan difícil de detectar y no sirve con un antivirus normal


La infección es "silenciosa"

Uno de los documentos más completos que tenemos sobre cómo funciona Pegasus es este informe de Amnistía Internacional en el que se detalla que el modo preferido por el cual Pegasus entra en el móvil de sus víctimas es mediante un SMS con un enlace malicioso, generalmente camuflado para dar apariencia de ser un enlace inofensivo.


Por ejemplo, la víctima recibe un SMS con un enlace a Yahoo.com que, al pulsarlo, redirige a una dirección web con el código malicioso. Es un ataque más sofisticado que un simple mensaje con phising de toda la vida, pues pueden complementarse con torres de telefonía falsas o equipos externos en el operador móvil que interceptan y llevan a cabo la redirección de un enlace válido a una web distinta.


Este primer enlace comienza la cadena de eventos que, de ser satisfactoria, activará las herramientas de espía remota en el móvil. Lo más relevante de todo el asunto es que todo esto funciona en segundo plano y sin que haya ninguna pista visual para el usuario del móvil de que este ha sido infectado, que seguirá usando el dispositivo como si nada.


Se aprovecha de fallos de seguridad

El primer paso para que el software Pegasus empiece a espiar el móvil es la escalada de privilegios para obtener permisos de administrador y poder llevar a cabo sus labores de espionaje. Esto es algo que no es posible de forma "natural" en los móviles, por lo que el malware aprovecha fallos de seguridad en el dispositivo que todavía no han sido parcheados.


Tanto Google como Apple parchean periódicamente los errores críticos en sus sistemas operativos, pero estos fallos de seguridad que sirven como puerta de entrada para Pegasus no son siempre conocidos o el parche tarda en llegar al móvil de la víctima potencial. Con más de un lustro de vida, Pegasus se va adaptando a los errores críticos que siguen sin parchear y, por tanto, hacen más difícil su detección que si se basara en un único exploit. Por ejemplo, Amnestía Internacional detalla cómo Pegasus usó en años sucesivos exploits en Apple Photos, Apple Music y iMessage de Apple.

Pegasus no deja (casi) rastros

Uno de los mayores problemas de detección de Pegasus es que apenas deja rastros de que estuvo en un móvil y espiando su contenido. La única forma de saber si Pegasus estuvo en un móvil es mediante pequeños rastros que se quedan en el móvil, como es el caso de una base de datos en la cual iOS guarda los procesos del móvil que se han conectado a la red. Y, aún revisando esa lista, el proceso inicial de Pegasus aparece bajo el nombre bh, que pasa desapercibido.


Los restos de Pegasus los obtenemos de segunda mano, en registros del sistema, pero no hay un archivo único o heurística que se pueda usar para identificar a Pegasus de un plumazo. En Android, además, se añade el problema de una fragmentación mayor de versiones y capas que complican enormemente encontrar estas pistas de que Pegasus pasó por el móvil, pues en muchos casos ni siquiera hay registros que consultar.


Por si esto fuera poco, las últimas versiones de Pegasus no mantienen sus binarios de forma persistente en el almacenamiento del móvil, por lo que para acceder a ellos es necesario hacer jailbreak sin reiniciar, para poder acceder a ellos mientras siguen en la memoria volátil.

Pegasus se camufla


Además de dejar pocos rastros en el móvil, el software de Pegasus intenta eliminar los pocos rastros que deja en el teléfono. Por ejemplo, intenta eliminar el nombre de sus procesos maliciosos de las bases de datos que inmortalizan el uso de datos en iOS. No obstante, esta eliminación de las pruebas no es a día de hoy perfecta y produce ciertas incongruencias entre varias tablas que sirven como indicios de que el móvil puede haber sido infectado.


Para dificultar todavía más la detección, Pegasus camufla sus procesos bajo nombres muy similares a los de procesos legítimos de móvil, haciendo difícil distinguirlos a no ser que se preste especial atención.


No es un malware masivo, sino personalizado


Por último, no podemos olvidarnos de que Pegasus no es un virus, sino una herramienta de espionaje tremendamente avanzada. Detrás no hay un grupo de personas en capucha tecleando código, sino una empresa de tecnología israelí con más de 500 empleados. Los clientes de NSO Group han estado hasta ahora siempre asociados a un gobierno, con el objetivo de espiar a una persona o colectivo concreto.


Por un lado, esto significa que salvo que algún gobierno tenga cierto interés en tu persona, probablemente no tengas mucho que preocuparte por Pegasus. Por otro lado, esto también significa que hay menos muestras de Pegasus para analizar y aquellas que existen están en los móviles de personas importantes, de difícil acceso para los investigadores de seguridad.


Hay una herramienta para "detectarlo", pero...


Teniendo en cuenta todo lo anterior, es normal que no exista una herramienta o aplicación que detecte si tu móvil tiene Pegasus con pulsar un botón. Al fin y al cabo, en la mayoría de los casos el único rastro que queda de este software espía son pequeños indicios forenses que además no son nada fáciles de obtener: requerirían que la herramienta tuviera también acceso privilegiado al teléfono.


La única herramienta que tenemos al respecto es el Mobile Verification Toolkit de Amnistía Internacional, de código abierto y disponible en GitHub, pero que nos avisa de que "es una herramienta forense destinada a investigadores y tecnólogos". La herramienta es compleja, complicada de usar y no te dirá sí o no con pulsar un botón, sino que te ayuda a extraer indicios forenses de que Pegasus está o estuvo en el móvil.


Para ello, en un iPhone puede analizar una copia de seguridad de iTunes o un volcado completo del sistema (con Jailbreak), mientras que en Android las comprobaciones son mucho más superficiales y se llevan a cabo por ADB y buscando rastros en los mensajes SMS del móvil. Después de extraer la información del sistema, se compara con la lista de indicadores de compromiso actualizada para encontrar posibles infecciones.