Así funciona Pegasus, el ‘software’ de espionaje más célebre del mundo

Los móviles de varios políticos catalanes fueron atacados mediante una vulnerabilidad de WhatsApp que esta herramienta usa para colarse en los dispositivos

El presidente del Parlamento de Cataluña, Roger Torrent, consulta su móvil.
El presidente del Parlamento de Cataluña, Roger Torrent, consulta su móvil.quique garcía / EFE
Un día de 2019, el presidente del Parlamento catalán, Roger Torrent, recibió una videollamada de WhatsApp. No tuvo ni que contestarla. En ese momento, la empresa israelí NSO, aprovechando una vulnerabilidad de la aplicación que ya había usado otras veces, le colocó en su teléfono Pegasus, su software de espionaje estrella. Si eso fue lo ocurrió, y todo apunta a que fue así, el móvil del político catalán ya no le obedecía solo a él. A través de Pegasus, recibía también instrucciones desde algún lugar remoto: captura esos mensajes, conecta el micro, haz una foto, dime la localización. Torrent llevaba desde entonces en el bolsillo un instrumento que espiaba su vida.
Los teléfonos tanto de Torrent como del exconseller Ernest Maragall fueron infectados con este software, según informó esta semana EL PAÍS. En el pasado, personajes tan poderosos como Jeff Bezos, fundador de Amazon, también fue víctima de Pegasus, el último gran programa dedicado a uno de los negocios más sostenibles desde que existen móviles: espiar. Antes de NSO y Pegasus existieron por ejemplo FinFisher o Hacking Team, programas o empresas oscuras hasta que dejan de serlo. Bien porque se convierten en noticia inesperada, o porque son víctimas de un hackeo.
EL PAÍS ha consultado a media docena de especialistas en seguridad informática acerca de su funcionamiento. El software de NSO no es algo que esté disponible sin más. Pero ha habido suficientes investigaciones y denuncias como para que emerja un retrato claro de lo que es capaz de hacer y cómo lo hace.
El cofundador del Grupo NSO Shalev Hulio, durante una entrevista con Reuters en Tel Aviv (Israel).
El cofundador del Grupo NSO Shalev Hulio, durante una entrevista con Reuters en Tel Aviv (Israel).AMMAR AWAD / Reuters
Hace justo cinco años, en julio de 2015, la empresa Hacking Team, especializada en herramientas de vigilancia, fue hackeada y miles de los correos que intercambiaban sus empleados aparecieron en Wikileaks. “Mil gracias, pero solo para ser más preciso: ¿puedo decirle al CNI [Centro Nacional de Inteligencia de España] cuáles son todos los exploits disponibles aunque no tengan derecho?”, decía uno de ellos. Y otro le respondía: “Cuéntaselos, igual los compran”. En el mismo mensaje, los trabajadores admitían que Marruecos sí pagaba lo suficiente para tenerlos.
El exploit es la pieza de software que aprovecha la vulnerabilidad de una aplicación, navegador o sistema operativo para acceder al dispositivo. Es la llave que abre la puerta. NSO ofrece esa llave y también el software que luego controla el dispositivo. La llave esta vez abría la puerta de WhatsApp. Pero hay más: es un sector de negocio por sí mismo. Un exploit como el usado en el móvil de Torrent o en el de Jeff Bezos, que se cuela por una aplicación muy popular y que no requiere de la participación del usuario ―lo que se llama “cero clic”―, es tremendamente caro. Quien lo desarrolle y quiera venderlo puede llevarse entre uno y dos millones de euros.
NSO usa estas llaves según las necesidades de sus clientes y las tarifas serán a la fuerza elásticas: no es lo mismo utilizarlo por primera vez con un objetivo, que más tarde y con más víctimas. Una fuente conocedora de las tarifas de NSO que pide anonimato dice que un precio razonable para clientes de la empresa es 500.000 dólares (437.000 euros) para un exploit más otros 500.000 para infectar 10 dispositivos. Aunque las variables pueden modificar esas cifras.
“Te dan una lista y te dicen que estos son los productos para los que tienen exploits: para estas versiones de Windows, para WhatsApp en tales sistemas operativos, Safari, Chrome en Windows, lo que sea. Luego el software que metes dentro lo compras aparte”, dice Joxean Koret, especialista en seguridad informática.
Una empresa con la capacidad de comprar o desarrollar esas llaves no es sencilla de montar. Pero ahí está precisamente el negocio. Esos exploits, que son caros, pueden venderse aún más caros. Siempre depende de las necesidades del cliente. Luego está la capacidad de empresas como NSO de ofrecérselos a varios interesados. “Cuando se ponen en una cadena de producción de una empresa, se convierte en un negocio rentable”, dice Lukasz Olejnik, consultor e investigador independiente en ciberseguridad.

Un negocio al alza

Encontrar el exploit que sirva para acceder al móvil de la víctima que interesa no es siempre sencillo: depende de modelos, versiones y de lo que cada cual esté dispuesto a pagar. Además es algo que no dura para siempre. “Incluso para los estándares de la informática, las vulnerabilidades son bastante efímeras. Este de WhatsApp, por ejemplo, en cuanto lo usaron contra un objetivo que se dio cuenta, o Facebook lo detectó, está muerto”, dice Koret.
Hay otros exploits que acceden directamente al sistema operativo del móvil, sin pasar por una app, que requiere algo más de desarrollo para obtener control de todo el dispositivo. Un exploit que logre acceder a todo el móvil sin ningún clic de la víctima cuesta para Android 2,5 millones de dólares (2,1 millones de euros), según las últimas tarifas de Zerodium, la empresa que comercializa con estos productos y publica en abierto sus precios de compra para expertos en seguridad interesados. Si el cliente quiere ese nivel de finura tendrá que pagarlo, aunque las agencias de inteligencia de los países occidentales tienen sus propios desarrolladores.
Un hombre lee en un stand de NSO, en el Congreso de la Policía Europea, en Berlín en febrero de 2020. El lema en la pared dice: "Derrama luz en tus objetivos más oscuros".
Un hombre lee en un stand de NSO, en el Congreso de la Policía Europea, en Berlín en febrero de 2020. El lema en la pared dice: "Derrama luz en tus objetivos más oscuros".Hannibal Hanschke / Reuters
Una vez el cliente ha elegido su exploit, su llave para entrar, aparece Pegasus, el producto estrella de NSO. Pegasus es lo que se conoce como RAT (herramienta de acceso remoto, en sus siglas en inglés). El cliente de NSO tiene entonces un panel desde el que controla el dispositivo infectado.“La ventaja de NSO es que te facilita el exploit y luego te ponen toda la infraestructura, tienen un panel de control bastante bien montado. Te dan estabilidad. Son buenos en el producto”, dice David Barroso, CEO de CounterCraft.
Ese panel activa micrófonos, sigue a la víctima o recibe archivos. Es el sueño de todo espía: mirar indetectado todo lo que hace tu sospechoso. Una vez dentro, sin embargo, se puede recoger algo o se puede uno quedar a vivir. “Hay clientes a los que les gusta explotar solo lo que está en la memoria [del dispositivo], porque no deja luego trazas una vez reinicias. A otros les interesa la persistencia. Pegasus tiene ambas opciones, seguro”, dice Koret.
NSO defiende que solo trabaja para Gobiernos. Pero su modelo de negocio es interesante para muchos otros clientes y la tentación es grande: “El ciclo de vida de estas empresas siempre es el mismo”, dice Román Ramírez, organizador de RootedCON. “Empiezan contando el rollo de que lo hacen por el bien de la humanidad y luego vas descubriendo que se lo venden a dictadores y narcos. Al final se te acaban los clientes”, añade.
En el fondo, explica Ramírez, “te vas a Israel, pagas y te dan el servicio, no te dan un software. No tienes que hacer nada”. Su popularidad ayuda. “Su fama se basa en buen marketing, búsqueda de clientes y ese panel relativamente simple e intuitivo de este poderoso software de acceso”, añade Olejnik, que no olvida la notoriedad obtenida por los medios, que “pueden haber jugado un papel contraintuitivamente positivo” para NSO.
Si hay algún consenso entre los especialistas es que este negocio tiene futuro. Y que si eres un objetivo de alguien con recursos, lo mejor es dejar el móvil. “Si tu amenaza es a nivel de Estado, mejor cambia de enemigo”, dice Koret, como si fuera una broma pero sin serlo. “Si no puedes hacerlo porque no te queda otra, no puedes confiar en la tecnología. La tecnología de por sí será un problema. Si tienes un teléfono que solo usas en una determinada área geográfica y que no estás contaminando con nada de tu persona real, puede que durante un tiempo te valga. Para mucho tiempo no te va a valer”, añade. El reciente ejemplo de Encrochat ―el sistema de mensajería del mundo del crimen desarticulado por la policía―, es un buen aviso.
En este submundo oscuro hay siempre más posibilidades de lo que parece. NSO se ha hecho famosa y es algo que en parte les beneficia. Si lo usan agencias de inteligencia de docenas de países y no para de salir en periódicos, por qué no probarlo, puede pensar gente interesada. “El mérito por el cual Pegasus se ha hecho tan famoso es el haber sido descubierto”, dice Carlos Seisdedos, responsable de Ciberinteligencia en IsecAuditors. Puede haber más sin descubrir.

Fuente: ElPais

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos
Leer más

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS

Imagen
  Microsoft confirmó ayer que una interrupción de nueve horas el martes, que derribó e interrumpió varios servicios de Microsoft 365 y Azure en todo el mundo, fue provocada por un ataque de denegación de servicio distribuido (DDoS). Redmond dice que la interrupción afectó a Microsoft Entra, algunos servicios de Microsoft 365 y Microsoft Purview (incluidos Intune, Power BI y Power Platform), así como a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy y Azure Portal. La compañía confirmó en una   declaración de mitigación   publicada hoy que la causa principal detrás de la interrupción de ayer fue un ataque DDoS, aunque aún no lo ha vinculado a un actor de amenaza específico. "Si bien el evento desencadenante inicial fue un ataque de denegación de servicio distribuido (DDoS), que activó nuestros mecanismos de protección DDoS, las investigaciones iniciales sugieren que un error en la implementación de nuestras defensas amplificó el im
Leer más