Desvelan un nuevo abuso del spyware Pegasus en móviles de periodistas y activistas.

Una nueva filtración de más de 50 000 números de teléfono desvelada por el periódico The Guardian y otros medios colaboradores ha desvelado que, de nuevo, el spyware diseñado para móviles Pegasus estaría siendo utilizado para espiar a un gran número de objetivos que incluye a periodistas, activistas de ONGs, empresarios, políticos o figuras religiosas, entre otros.

Uso indebido de Pegasus

La finalidad de la herramienta de espionaje Pegasus es, según la empresa desarrolladora NSO, la de ser usada únicamente contra criminales y terroristas. Sin embargo, a lo largo de los últimos años hemos visto numerosos ejemplos de como esta y otras herramientas similares han sido utilizadas para espiar contra personas que no tienen ninguna relación con actividades criminales.

Esta filtración de números de teléfono es solo la última prueba que corrobora que varios gobiernos o incluso organizaciones privadas están utilizando este software para infectar dispositivos Android e iOS en su propio beneficio. El hecho de que haya tanta gente y de tantos ámbitos diferentes en la lista de posibles víctimas de Pegasus es un importante indicativo de la importancia que tienen la información a la que se puede acceder desde nuestro smartphone.

De momento, los medios pertenecientes al conocido como “Pegasus Project” han empezado a publicar información relacionada con el espionaje de varios periodistas en diferentes países, aunque se espera que el listado completo de objetivos se publique en los próximos días. Es importante aclarar que aunque un número de teléfono aparezca en ese listado, esto no tiene por qué indicar que haya sido infectado por este spyware, pero sí que estaba clasificado como “persona de interés”.

Afecta incluso a las últimas versiones de iOS

Desde Amnistía Internacional se ha publicado un análisis técnico en el que se indica cómo han conseguido descubrir el spyware Pegasus en varios móviles, indicando también algunos de los vectores de ataque y vulnerabilidades utilizados para instalar este software malicioso en el dispositivo.

Tal y como se observó en situaciones anteriores, los atacantes suelen explotar vulnerabilidades o utilizar mensajes enviados a través de SMS, WhatsApp o iMessage que contienen algún enlace a un sitio web malicioso para instalar el spyware. Una vez instalado, se tiene prácticamente el control total del dispositivo, pudiendo acceder a sus emails y SMS, conversaciones de chats, citas en el calendario o fotos y vídeos almacenados.

Además, se puede activar remotamente tanto el micrófono como la cámara para grabar llamadas y conversaciones donde el teléfono de la víctima se encuentre presente. Los atacantes pueden también conocer la ubicación GPS de la víctima y obtener información de sus contactos.

Resulta especialmente preocupante comprobar que incluso un dispositivo como el iPhone con las últimas versiones del sistema iOS instalado es vulnerable a varios exploits 0-day. También se han detectado ataques para instalar esta app maliciosa usando un exploit en iMessage que no requiere la intervención del usuario.

Así las cosas, el uso de este tipo de exploits volvería a demostrar las capacidades del grupo NSO para investigar y explotar vulnerabilidades en dispositivos iOS y Android. Esto es algo que requiere de una gran cantidad de recursos, tanto a nivel de conocimiento (investigadores contratados para buscar estos agujeros de seguridad y la manera de explotarlos) como monetarios (para comprar exploits funcionales antes de que se solucionen las vulnerabilidades que aprovechan).

Otros casos similares

Este es solo el último de los casos descubiertos en los que se ve involucrada una firma israelí como NSO Group. Ya en 2016 publicábamos información en este blog acerca de este spyware y cómo se había usado para comprometer los dispositivos de defensores de los derechos humanos. Un par de años más tarde, investigadores de Citizen Lab informaban de operaciones llevadas a cabo en 45 países contra todo tipo de objetivos usando Pegasus.

Incluso empresas como Facebook, Google y Microsoft  llegaron a alertar del peligro que supone un software como Pegasus. Facebook llegó incluso a interponer una demanda contra NSO tras vincularse Pegasus a ciberataques a varios usuarios por medio de WhatsApp.

Pero NSO no es la única empresa que desarrolla software espía de este tipo. La semana pasada vimos como Microsoft alertaba de que el spyware de la empresa israelí Candiru, dirigido a sistemas Windows, también había sido utilizado contra más de 100 víctimas en todo el mundo, incluyendo periodistas, activistas o disidentes políticos, entre otros.

Incluso herramientas sobradamente conocidas por su utilización a la hora de realizar labores forenses en investigaciones policiales como Cellebrite están también en el punto de mira por su uso indebido en algunas operaciones como la sufrida por una periodista en Botswana.

Todos estos casos no hacen más que aumentar la preocupación acerca de la seguridad y privacidad de nuestros móviles. Si bien es cierto que este tipo de spyware solo se suele utilizar contra objetivos específicos de cierto valor para los atacantes, el grueso de la población puede preguntarse si ellos también podrían verse afectados por algo similar. De hecho, y aunque no llega a los niveles de sofisticación de las amenazas que hemos comentado, según investigadores de ESET el stalkerware o software espía es una amenaza creciente en varias partes del mundo.

Conclusión

El abuso de aplicaciones como Pegasus para espiar a objetivos que no tienen relación con actividades criminales es algo preocupante y que debería hacernos reflexionar acerca del uso de este tipo de software por según qué organizaciones. Esperemos que este tipo de investigaciones ayuden a exponer, una vez más, este tipo de abusos y se tomen medidas acerca de en qué situaciones y contra quién se pueden emplear para no vulnerar derechos fundamentales de individuos que no deberían ser objetivo de este espionaje sin una causa plenamente justificada.

Josep Albors

“Notificación de entrega de GLS” y “Justificante de pago”, dos nuevas campañas de Agent Tesla dirigidas a usuarios españoles