Pegasus resurge en la opinión pública: Los teléfonos móviles de líderes independentistas, altos cargos del Gobierno como el Presidente y la Ministra de Defensa fueron infectados con Pegasus en primavera de 2021.
A pesar del enorme impacto en prensa española, la realidad es que este tipo de infecciones se produjeron igualmente en otros países, tal es el caso como ejemplo de altos cargos de la Administración Francesa, Diplomáticos y Miembros del Gobierno Británico, incluyendo el Primer Ministro y el Ministro de Asuntos Exteriores, así como destacados diplomáticos estadounidenses. Todos ellos se suman a la ya larga lista de afectados tales como activistas de Derechos Humanos, periodistas y diplomáticos que revelaron haber sido víctimas de espionaje en algún momento entre 2016 y 2021.
Incluso cinco años después de que Lookout y Citizen Lab lo descubrieran, el avanzado programa espía para móviles Pegasus sigue siendo muy relevante, ya que siguen saliendo a la luz revelaciones sobre su uso generalizado y la evolución de sus capacidades, como la capacidad de realizar ataques sin necesidad de hacer clic por parte del usuario. El grupo con sede en Israel que está detrás de Pegasus, NSO, se ha enfrentado a un creciente escrutinio por parte de agencias gubernamentales y organizaciones privadas por sus relaciones con regímenes dudosos de todo el mundo.
En noviembre de 2021, el Departamento de Comercio de EE.UU. prohibió a las empresas estadounidenses hacer negocios con NSO. Posteriormente, Apple, Inc. alegando que los ciudadanos estadounidenses eran el objetivo del programa espía, se convierte en la última empresa en demandar al fabricante de programas espía, casi un año después de que un grupo de empresas tecnológicas de alto nivel, entre ellas Microsoft, Google, Cisco y VMware, se unieran a la acción legal de Meta contra el grupo.
A principios de 2021, en una investigación conjunta sobre una lista filtrada de más de 50.000 números de teléfono, 17 organizaciones de medios de comunicación descubrieron una alta concentración de individuos de países conocidos por su implicación en casos similares. Los informes confirmaron que Pegasus se ha utilizado con ejecutivos de empresas, activistas de derechos humanos, periodistas, académicos y funcionarios del gobierno, y se sabe que estas regiones han sido clientes del grupo NSO.
Todas estas revelaciones recientes ilustran que las tablets y los teléfonos inteligentes no son inmunes a los ciberataques y que el software espía no sólo se dirige a personas de organizaciones gubernamentales. Los dispositivos Android e iOS son ahora una parte integral de cómo trabajamos y gestionamos la vida diaria. Eso significa que los ciberatacantes pueden robar una gran cantidad de datos sensibles de estos dispositivos, incluyendo información personal sensible y datos corporativos.
¿Qué es Pegasus?
Considerado en su día como el programa espía para móviles más avanzado del mundo, fue inicialmente descubierto y analizado por Citizen Lab y Lookout en 2016. Pegasus puede desplegarse tanto en dispositivos iOS como Android. Desde su descubrimiento, el software espía ha seguido evolucionando. Lo que hace que Pegasus sea altamente sofisticado es el control que da al actor malicioso sobre el dispositivo de la víctima, los datos que puede extraer y su evolución hacia una carga útil de tipo “zero clic” que no requiere interacción del usuario.
Pegasus puede extraer coordenadas GPS muy precisas, fotos, archivos de correo electrónico y mensajes cifrados de aplicaciones como WhatsApp y Signal. También puede encender el micrófono de los dispositivos para espiar conversaciones privadas en la habitación o llamadas telefónicas y activar la cámara para grabar vídeo.
Durante años, el grupo NSO ha negado que Pegasus sea utilizado por actores maliciosos. La firma afirma que solo vende Pegasus a la comunidad de inteligencia de unos 40 países con historial de respeto y cumplimiento de las leyes sobre Derechos Humanos. El asesinato del periodista Jamal Khashoggi en 2018 suscitó importantes dudas al respecto, ya que se cree ampliamente que el gobierno saudí rastreó a Khashoggi comprometiendo su teléfono móvil con Pegasus.
Tanto los ciudadanos, como las empresas y los gobiernos deberían estar preocupados
Esta revelación de la amplitud de uso del software espía Pegasus debería alarmar a todos los ciudadanos, no sólo a las entidades gubernamentales. La comercialización del software espía, que no es sino sólo una pieza más del complejo y cambiante ecosistema de amenazas móviles, que incluyen una amplia variedad de software malicioso e infraestructura volátil – el equipo de analistas de Lookout detecta más de 1000 kits de phishing semanales con un tiempo de vida medio de 48 horas -, vendidos como “Malware como servicio” por equipos profesionalizados de cibercriminales (ATP) o compañías de ciberarmas como NSO, Hacking Team, Cytrox, Finfisher y otras,nos pone a todos en riesgo.
Es posible que su empresa o sus empleados no sean objetivos directos de un software espía tan avanzado como Pegasus, pero podrían quedar atrapados en el fuego cruzado o convertirse en un pivote para que el atacante llegue a su objetivo. En cualquiera de los casos su empresa y sus empleados se han convertido en objetivo de otros actores con un interés específico en sectores de negocio como Finanzas, Retail, Seguros, Manufacturas, Servicios Profesionales, etc.
Los dispositivos móviles pueden acceder a los mismos datos que un PC desde cualquier lugar. Esto aumenta drásticamente la superficie de ataque y el riesgo para las organizaciones, ya que los dispositivos móviles suelen utilizarse fuera del perímetro de seguridad. Una vez que un software como Pegasus entra en un dispositivo móvil, tiene acceso a todo, ya sea a sus cuentas como Microsoft 365 o Google Workspace. En ese momento, no importa si algo está cifrado. El atacante ve lo que el usuario ve. Esto convierte a cualquier ejecutivo o empleado con acceso a datos sensibles, investigación tecnológica o infraestructura, en un objetivo lucrativo para los ciberdelincuentes.
Aunque los desarrolladores de sistemas operativos y aplicaciones móviles mejoran constantemente la seguridad de sus productos, estas plataformas también se vuelven más complejas. Esto significa que siempre habrá espacio para explotar vulnerabilidades y para que prosperen programas espía como Pegasus.
Los ataques de phishing a móviles siguen siendo el vector principal y más eficiente de entrada
Por mucho que las cosas cambien, el phishing móvil sigue siendo el primer paso más eficaz para los ciberatacantes. Al igual que otros programas maliciosos para móviles, Pegasus suele llegar a sus víctimas a través de un enlace de phishing. La entrega más eficaz de los enlaces de phishing es con ingeniería social. Por ejemplo, Pegasus nos llegó a través de un periodista que recibió un enlace desde un número de móvil anónimo en el que se le prometía información sobre un reportaje sobre derechos humanos en el que estaba trabajando.
Aunque Pegasus ha evolucionado hacia un modelo de entrega sin contacto -lo que significa que la víctima no necesita interactuar con el programa espía para que su dispositivo se vea comprometido-, el enlace que aloja el programa espía tiene que llegar al dispositivo. Teniendo en cuenta las innumerables aplicaciones de iOS y Android que tienen funcionalidad de mensajería, esto podría hacerse a través de SMS, correo electrónico, redes sociales, mensajería de terceros, juegos o incluso aplicaciones de citas.
Cómo funcionan estos ataques y cómo Lookout puede ayudar a protegerte
Las tácticas avanzadas utilizadas por Pegasus son similares a las de muchas otras amenazas persistentes avanzadas (APT). A continuación te explicamos cómo Lookout puede ayudar a proteger tu organización en el contexto de estas principales tácticas que las APTs utilizan para llevar a cabo un ataque:
1. Entrega de la carga útil
El primer paso de Pegasus y de cualquier APT suele ser el phishing. Lookout Phishing and Content Protection (PCP) puede proteger a su organización contra cada uno de los siguientes escenarios que utilizan Pegasus y otras APT:
Escenario: Pegasus puede ejecutarse como una infección de cero o un clic. Independientemente de la táctica que se utilice, la carga útil del paquete de software espía se sigue cargando a través de la red.
Cómo te protege Lookout: Lookout descubre, adquiere y analiza continuamente los dominios y sitios web recién registrados para descubrir los que están construidos a propósito para el phishing y los propósitos maliciosos. El antiphishing de Lookout proporciona una protección casi en tiempo real contra los ataques de phishing de hora cero.
Acción de administración de Lookout: 1. Habilita Lookout PCP en toda tu flota de móviles y activa la política por defecto que requiere que los usuarios lo habiliten en su dispositivo para poder acceder a Internet y a los recursos de la empresa.
2. Explotación de vulnerabilidades
El spyware suele explotar las vulnerabilidades tanto a nivel de la aplicación como del dispositivo para obtener acceso al sistema operativo (SO) del dispositivo o exfiltrar datos de partes concretas del sistema.
Escenario: Lookout Mobile Endpoint Security (MES) detecta cuando una vulnerabilidad de la aplicación está presente en un dispositivo móvil y cuando el dispositivo está ejecutando un sistema operativo o una versión de Android Security Patch Level (ASPL) con vulnerabilidades conocidas. En cada caso, Lookout puede alertar tanto al usuario como al administrador de seguridad.
Cómo le protege Lookout: Lookout Mobile Vulnerability Management descubre todas las Vulnerabilidades y Exposiciones Comunes (CVE) conocidas tanto para iOS como para Android a nivel de SO y de aplicación. Automáticamente marcará los dispositivos de su flota que tengan alguna vulnerabilidad presente.
Acción del administrador de Lookout: Configurar políticas que requieran una versión mínima del SO o ASPL y la actualización de las apps vulnerables a la última versión.
3. Compromiso de los dispositivos
Pegasus y otros APTs harán jailbreak o root al dispositivo de la víctima de forma silenciosa. Además, aunque los exploits de día cero por su naturaleza no son conocidos, dejan el sistema en un estado comprometido. Lookout Mobile Endpoint Security puede proteger la flota móvil de su organización de estos exploits de las siguientes maneras:
Escenario: Lookout detecta los indicadores de compromiso del dispositivo y alerta a los propietarios del mismo. La detección se basa en el análisis de los datos de telemetría del dispositivo, incluidos los datos del sistema de archivos, el comportamiento del sistema y los parámetros. Dependiendo de los detalles del paquete de software espía, como su funcionamiento o su ubicación en los sistemas del dispositivo, Lookout detecta los rastros que puede producir.
Cómo te protege Lookout: Lookout adquiere continuamente artefactos de malware y telemetría del ecosistema móvil. Esto alimenta nuestra inteligencia para identificar automáticamente el comportamiento malicioso en cualquier dispositivo o aplicación.
Acción del administrador de Lookout: Asegúrate de que la política predeterminada de Root/Jailbreak está activada, establece la prioridad como alta y configura la acción para alertar al dispositivo y bloquear el acceso a Internet.
4. Comunicación del payload
Al igual que otros malware, Pegasus se comunicará con un servidor de comando y control (C2) desde el que recibirá órdenes del actor malicioso y al que enviará los datos exfiltrados.
Escenario: Al igual que cualquier sitio web, los servidores C2 están alojados en sistemas remotos que Lookout puede identificar como maliciosos.
Cómo te protege Lookout: Lookout detecta cuando el dispositivo intenta conectarse a un servidor C2 y termina la conexión. Esto puede ayudar a prevenir la exfiltración de datos sensibles y descargas adicionales de malware.
Acción del administrador de Lookout: Habilite Lookout PCP en toda su organización y active la política por defecto que requiere que los usuarios lo habiliten en su dispositivo para poder acceder a Internet y a los recursos de la empresa.
Conclusiones: el fin de la inocencia
La información es el activo más importante tanto de los individuos como de las organizaciones. Por tal motivo, como en cualquier otro ámbito de la vida, siempre existirán actores con intereses en disponer de la máxima información posible de cara a utilizarla en su propio beneficio, en muchos de los casos mediante métodos no todo legítimos ni legales. Esto convierte la lucha contra el cibercrimen en un juego constante del gato y el ratón.
El objetivo de todo individuo y organización para luchar contra esta amenaza pasa por reducir el riesgo de que ocurra y minimizar su impacto, evitando la exposición de datos sensibles e implementando medidas de prevención, detección y respuesta.
Los dispositivos móviles no son sino un eslabón más en la cadena y dado el uso que hacemos de ellos se han convertido en un objetivo primordial de los cibercriminales, gracias, entre otras razones y de forma incomprensible con cierta inocencia, a la percepción de inmunidad (falsa) que se les han atribuido históricamente. Episodios tan mediáticos como el de Pegasus, no hacen sino concienciarnos de la importancia de proteger nuestros móviles, al menos igual o incluso de forma más determinada, dada su exposición, de como hacemos con otros dispositivos.