Aunque el “programa Pegasus” suena más a una misión espacial de la NASA o al nombre de una serie de Netflix, lo cierto es que se trata de un problema muy serio y muy real.
En los últimos días se ha sabido que el smartphone del presidente de España Pedro Sánchez, así como el de la ministra de Defensa Margarita Robles, han sido infectados por este virus que ahora está en boca de todos. Durante los ataques, Pegasus logró extraer más de 2GB de información de ambos terminales.
¿Qué tipo de software es Pegasus?
Pegasus es un “spyware” o software espía capaz de obtener acceso remoto al teléfono móvil de la víctima. Se puede instalar de forma remota, sin que el propietario del smartphone tenga que realizar ninguna acción.
Una vez dentro, Pegasus puede acceder a la cámara, activar el micrófono para realizar escuchas, grabar la pantalla, toques del teclado y más. También permite acceder al correo electrónico, fotos, GPS, mensajes, contraseñas y hasta conversaciones de WhatsApp y otras apps de mensajería instantánea.
Podríamos decir que este virus o malware es de los más sofisticados que existen actualmente, ya que no es necesario que la víctima haga clic sobre ningún enlace para que su smartphone sea infectado.
Gran parte de su letalidad es debido a que aprovecha vulnerabilidades de día cero. Es decir, errores y agujeros de seguridad que todavía no han sido identificados por los desarrolladores ni las empresas de ciberseguridad.
¿Cómo consiguió infectar el móvil del presidente de España?
Según explica en su blog el equipo de analistas de seguridad de Google llamado Project Zero, Pegasus lleva funcionando al menos desde 2016. Por aquel entonces se empleaban técnicas de phishing e ingeniería social para infectar el teléfono de sus víctimas, como por ejemplo, enviar un SMS con un enlace que el propietario debía pulsar.
Por supuesto, este enlace estaría camuflado apuntando a una posible información de interés para la víctima, para animarle así a pulsar sobre el enlace. De esta manera, se cargaría una falsa página web desde donde se descargaría e instalaría automáticamente el software espía.
ForcedEntry y la vulnerabilidad de los GIF
Hoy en día este tipo de técnicas se han renovado para que ni siquiera sea necesaria la interacción con el propietario del teléfono. Pegasus funciona tanto en Android como iOS, y tal y como explica Google, en el caso de los iPhone, se habría aprovechado un exploit conocido como ForcedEntry.
Este exploit o vulnerabilidad, aprovecha la forma en que la app de mensajería iMessage gestiona las imágenes GIF para enviar un archivo PDF como si fuera un simple GIF. Después, se aprovecha una vulnerabilidad en la herramienta de compresión para procesar los textos de las imágenes.
En resumidas cuentas, como los GIFs se ejecutan automáticamente, lo que hace esta técnica de infiltración es enviar el código malicioso de Pegasus como si fuera un simple GIF para que se instale en el dispositivo sin necesidad de ningún tipo de interacción.
Una vez está en el sistema, ForcedEntry construye una máquina virtual dentro del iPhone, desde donde se comunica con el centro de mando y control de Pegasus. El hecho de utilizar una máquina virtual también hace que el ataque sea más difícil de detectar.
Otras puertas de entrada
Esto no quiere decir que el móvil del presidente de España haya sido infectado mediante el envío de un GIF, ya que Pegasus está en constante evolución, aunque nos sirve para hacernos una idea de las técnicas que emplean este tipo de ataques informáticos.
Según revela un informe de Amnistía Internacional, Pegasus también habría aprovechado vulnerabilidades de otras apps de iPhone como Apple Photos y Apple Music.
Desde la web de OCCP, una plataforma de periodistas de investigación en contra de la corrupción y el crimen organizado, aclaran que Pegasus “se conecta a la mayoría de los sistemas de mensajería, incluidos Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, las aplicaciones integradas de mensajería y correo electrónico de Apple, y otras. Con una alineación como esta, uno podría espiar a casi toda la población mundial.”
¿De dónde sale Pegasus? ¿Se puede descargar desde alguna página de Internet?
Después de todo lo que hemos comentado, parece bastante evidente que Pegasus no es ningún programa que podamos encontrar en cualquier página web “oscura” de internet. Se trata de una herramienta fuertemente protegida, que probablemente tiene un amplio equipo de ingenieros y expertos en seguridad detrás del proyecto, y que están constantemente trabajando en su desarrollo y efectividad.
Este spyware es propiedad de la empresa israelí NSO Group, y por lo tanto no se puede “descargar” desde ningún sitio, ya que su uso está orientado a la lucha contra el terrorismo y la investigación de posibles delitos. Como tal, solo está disponible para organismos oficiales como la policía, el gobierno o los servicios secretos de inteligencia.
Cómo detectar un teléfono móvil infectado por Pegasus
Detectar un móvil infectado por Pegasus no es sencillo, y requiere el análisis de multitud de eventos y procesos que se ejecutan en el teléfono. El Laboratorio de Seguridad de Amnistía Internacional ha desarrollado una aplicación llamada MVT (Mobile Verification Toolkit), que se encarga de analizar móviles Android, así como backups de iOS, en busca de rastros potenciales de infección.
Esta herramienta modular está disponible a través de GitHub.
No descarguen archivos de paginas web dudosas porque se pueden infectar con un virus.
A continuación les dejamos un enlace a una pagina web dudosa, para que descarguen un archivo para verificar que no se infectaron por un virus de una pagina de dudosa procedencia (?)
re trol el de arriba XD me pregunto si se pueden fusionar apps similares que si se encuentren para hacer una casi igual de potente que Seiya digo pegasus v: