Pegasus (spyware)

Pegasus
Información general
Tipo de programa spyware
Autor NSO Group
Desarrollador Grupo NSO
Lanzamiento inicial 2011
Fecha de descubrimiento 2016
Licencia Software propietario

Pegasus es un spyware instalado en dispositivos que ejecutan ciertas versiones de iOS (el sistema operativo móvil de Apple) y Android, desarrollado por la firma cibernética israelí, NSO. Descubierta en agosto de 2016 después de un intento fallido de instalarlo en un iPhone perteneciente a un activista de derechos humanos, una investigación reveló detalles sobre el software espía, sus capacidades y las vulnerabilidades de seguridad que explotó. Pegasus es capaz de leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono y recopilar información de las aplicaciones. Apple lanzó la versión 9.3.5 de su software iOS para corregir las vulnerabilidades. Las noticias del spyware atrajeron una gran atención de los medios. Fue llamado "el ataque de teléfono inteligente más sofisticado de la historia", y se convirtió en la primera vez en la historia del iPhone cuando se detectó un ataque remoto de jailbreak. La compañía que creó el spyware, NSO, declaró que brindan a "los gobiernos autorizados tecnología que los ayuda a combatir el terrorismo y el crimen".

Detalles del spyware

No es necesario que el usuario haga clic en ningún enlace, Pegasus habilita secretamente un jailbreak explotando vulnerabilidades en el dispositivo y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono,[1]​ así como recopilar información de aplicaciones que incluyen (entre otras) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype.[2]

Parche

Apple lanzó la versión 9.3.5 de iOS para su línea de productos para teléfonos inteligentes iPhone en agosto de 2016. Los detalles de la actualización fueron correcciones para las tres vulnerabilidades de seguridad críticas que explotó Pegasus.[3]

Descubrimiento del spyware

Las vulnerabilidades se encontraron diez días antes de que se lanzara la actualización iOS 9.3.5. El defensor árabe de los derechos humanos Ahmed Mansoor recibió un mensaje de texto que prometía "secretos" sobre la tortura que ocurría en las prisiones de los Emiratos Árabes Unidos", junto con un enlace. Mansoor envió el enlace a Citizen Lab. Se realizó una investigación con la colaboración de la compañía de seguridad Lookout que reveló eso si Mansoor hubiera seguido el enlace, habría hecho jailbreak a su teléfono en el lugar e implantado el spyware en él.[4]​ Citizen Lab vinculó el ataque a una compañía privada de software espía israelí conocida como NSO, que vende Pegasus a los gobiernos por "intercepción legal", pero existen sospechas de que se aplica para otros propósitos.[5]​ A mes de mayo de 2022, NSO era propiedad de una firma europea de capital privado, Novalpina Capital.[6][7]

En cuanto a la extensión del problema, Lookout explicó en una publicación del blog: "Creemos que este software espía ha estado en libertad por una cantidad significativa de tiempo basado en algunos de los indicadores dentro del código" y señaló que el código muestra signos de una "tabla de mapeo de kernel que tiene valores desde iOS 7".[8]​ El New York Times y The Times of Israel informaron que parece que los Emiratos Árabes Unidos estaban utilizando este software espía en 2013.[9][10][11]​ Un par de demandas legales afirman que NSO ayudó a los clientes a operar el software y, por lo tanto, participó en numerosas violaciones de los derechos humanos iniciadas por sus clientes.

Vulnerabilidades

Lookout proporcionó detalles de las tres vulnerabilidades:

  • CVE-2016-4655: Fuga de información en el kernel: una vulnerabilidad de mapeo de la base del kernel que filtra información al atacante y le permite calcular la ubicación del kernel en la memoria.[12]
  • CVE-2016-4656: La corrupción de la memoria del núcleo lleva a Jailbreak: vulnerabilidades a nivel de kernel de iOS de 32 y 64 bits que permiten al atacante liberar en secreto el dispositivo e instalar un software de vigilancia.[13]
  • CVE-2016-4657: Corrupción de la memoria en Webkit: una vulnerabilidad en Safari WebKit que permite al atacante poner en peligro el dispositivo cuando el usuario hace clic en un enlace.[14]

Reacciones

Noticias

La noticia del spyware recibió una importante atención de los medios,[15][16][17][18]​ particularmente por ser llamado "el ataque de teléfono inteligente más sofisticado",[19][20]​ y, por ser la primera vez en la historia del iPhone cuando se detecta un ataque remoto de jailbreak.[21]

Comentario de NSO

Dan Tynant, de The Guardian, escribió un artículo que incluía comentarios de NSO, donde afirmaron que brindan a los "gobiernos autorizados una tecnología que los ayuda a combatir el terrorismo y el crimen", aunque el Grupo le dijo que no tenía conocimiento de ningún incidente.[22]

Escepticismo del programa Bug-Bounty

Tras la noticia, los críticos afirmaron que el programa de recompensas de errores de Apple, que recompensa a las personas por encontrar fallas en su software, podría no haber ofrecido recompensas suficientes para evitar que se vendieran exploits en el mercado negro, en lugar de que se informara a Apple. Russell Brandom, de The Verge, comentó que el programa de recompensas por errores de Apple, que recompensa a las personas que logran encontrar fallas en su software, tiene un máximo de pagos de $ 200 000, "solo una fracción de los millones que se gastan regularmente en ataques iOS en el mercado negro.". Continúa preguntando por qué Apple no "se libra de las vulnerabilidades de seguridad?", Pero también escribe que "tan pronto como se notificaron las vulnerabilidades [de Pegasus], Apple las arregló, pero quedan muchos otros errores. Mientras que las compañías de software espía ven una compra de exploits como un pago único por años de acceso, la recompensa de Apple tiene que pagarse cada vez que aparece una nueva vulnerabilidad ". Brandom también escribió; "Los mismos investigadores que participan en la recompensa de errores de Apple podrían ganar más dinero vendiendo los mismos hallazgos a un agente explotador". Concluyó el artículo por escrito; "Es difícil decir cuánto daño podría haber sido causado si Mansoor hubiera hecho clic en el enlace del software espía... La esperanza es que, cuando el próximo investigador encuentre el próximo error, el pensamiento importe más que el dinero".[23]

Críticas por su uso contra el periodismo

El Salvador

En noviembre de 2021, periodistas de El Salvador denunciaron haber recibido un correo electrónico proveniente de Apple[24]​, en el que se leía

"Apple considera que usted está siendo objeto de agresores financiados por el Estado que están tratando -de manera remota- de acceder al iPhone asociado a su ID de Apple"

Luego de un peritaje realizado por Citizen Lab y Access Now, se concluyó que los celulares de los periodistas estuvieron infectados entre julio de 2020 y noviembre de 2021[25]​. El Gobierno de Nayib Bukele, hasta 2023, jamás se pronunció sobre las acusaciones.

La Comisión Interamericana de Derechos Humanos ordenó la investigación de estos delitos a la Fiscalía General de la República (El Salvador), quienes poco han hecho para averiguar quién estuvo detrás de estos ataques que vulneran la libertad de prensa[26]​.

México

El spyware ha sido utilizado contra periodistas y activistas de derechos humanos en México.[27]​ Según un reportaje publicado por el New York Times, el gobierno mexicano fue el primer cliente del malware, empezando con la administración de Felipe Calderón Hinojosa.[28]​ En 2021 la Red en Defensa de los Derechos Digitales (R3D), junto con la revista Proceso y otras organizaciones, publicaron el reportaje «Ejército Espía», el cual detalla el uso del software para espiar al periodista Ricardo Raphael, el activista de derechos humanos Raymundo Ramos Vázquez, así como a un periodista de Animal Político, cuyo nombre no fue publicado.[29]​ En 2023 R3D dio a conocer que dos personas pertenecientes a la asociación civil Centro Prodh habían sido víctimas de espionaje.[30]

Véase también

Referencias

  1. Perlroth, Nicole (25 de agosto de 2016). «IPhone Users Urged to Update Software After Security Flaws Are Found». The New York Times. Consultado el 21 de diciembre de 2016. 
  2. Fox-Brewster, Thomas (25 de agosto de 2016). «Everything We Know About NSO Group: The Professional Spies Who Hacked iPhones With A Single Text». Forbes. Consultado el 21 de diciembre de 2016. 
  3. Clover, Juli (25 de agosto de 2016). «Apple Releases iOS 9.3.5 With Fix for Three Critical Vulnerabilities Exploited by Hacking Group». MacRumors. Consultado el 21 de diciembre de 2016. 
  4. Lee, Dave (26 de agosto de 2016). «Who are the hackers who cracked the iPhone?». BBC News. Consultado el 21 de diciembre de 2016. 
  5. Ahmed, Azam, and Perlroth, Nicole, Using Texts as Lures, Government Spyware Targets Mexican Journalists and Their Families, The New York Times, June 19, 2017
  6. Aguiar, Alberto R. (9 de mayo de 2022). «Los creadores de la herramienta de ciberespionaje Pegasus están obstaculizando el trabajo de uno de sus auditores: las preguntas son "ignoradas"». Business Insider España. Consultado el 12 de mayo de 2022. 
  7. «Financiers behind NSO Group in struggle for control of private equity firm». the Guardian (en inglés). 30 de marzo de 2021. Consultado el 12 de mayo de 2022. 
  8. «Sophisticated, persistent mobile attack against high-value targets on iOS». Lookout. 25 de agosto de 2016. Archivado desde el original el 17 de diciembre de 2016. Consultado el 21 de diciembre de 2016. 
  9. Kirkpatrick, David (31 de agosto de 2018). «Hacking a Prince, an Emir and a Journalist to Impress a Client». Consultado el 31 de agosto de 2018. 
  10. Perlroth, Nicole (2 de septiembre de 2016). «How Spy Tech Firms Let Governments See Everything on a Smartphone». Consultado el 31 de agosto de 2018. 
  11. «Lawsuits claim Israeli spyware firm helped UAE regime hack opponents’ phones». 31 de agosto de 2018. Consultado el 31 de agosto de 2018. 
  12. «NVD - CVE-2016-4655». nvd.nist.gov. Consultado el 6 de noviembre de 2018. 
  13. «NVD - CVE-2016-4656». nvd.nist.gov. Consultado el 6 de noviembre de 2018. 
  14. «CVE -CVE-2016-4657». cve.mitre.org (en inglés). Consultado el 6 de noviembre de 2018. 
  15. Szoldra, Paul (26 de agosto de 2016). «Inside 'Pegasus,' the impossible-to-detect software that hacks your iPhone». Business Insider. Axel Springer SE. Consultado el 21 de diciembre de 2016. 
  16. Roettgers, Janko (26 de agosto de 2016). «This App Can Tell if an iPhone Was Hacked With Latest Pegasus Spy Malware». Variety. Penske Media Corporation. Consultado el 21 de diciembre de 2016. 
  17. Newman, Lily Hay (25 de agosto de 2016). «A Hacking Group Is Selling iPhone Spyware to Governments». Wired. Condé Nast. Consultado el 21 de diciembre de 2016. 
  18. Swartz, Jon (26 de agosto de 2016). «Apple issues security update to prevent iPhone spyware». USA Today. Gannett Company. Consultado el 21 de diciembre de 2016. 
  19. Tamblyn, Thomas (26 de agosto de 2016). «What Is The "Pegasus" iPhone Spyware And Why Was It So Dangerous?». The Huffington Post. AOL. Consultado el 21 de diciembre de 2016. 
  20. Khan, Sami (27 de agosto de 2016). «Meet Pegasus, the most-sophisticated spyware that hacks iPhones: How serious was it?». International Business Times. IBT Media. Consultado el 21 de diciembre de 2016. 
  21. Brandom, Russell (25 de agosto de 2016). «A serious attack on the iPhone was just seen in use for the first time». The Verge. Vox Media. Consultado el 21 de diciembre de 2016. 
  22. Tynan, Dan (25 de agosto de 2016). «Apple issues global iOS update after attempt to use spyware on activist's iPhone». The Guardian. Consultado el 21 de diciembre de 2016. 
  23. Brandom, Russell (26 de agosto de 2016). «Why can't Apple spend its way out of security vulnerabilities?». The Verge. Vox Media. Consultado el 21 de diciembre de 2016. 
  24. «Periodistas salvadoreños denuncian posible espionaje por parte del Estado». Voz de América. 24 de noviembre de 2021. 
  25. Pineda, Alexander (12 de enero de 2022). «Confirman espionaje contra 35 periodistas y activistas en El Salvador». Diario El Mundo. 
  26. «CIDH exige a El Salvador investigar espionaje contra periodistas y activistas». CIDH exige a El Salvador investigar espionaje contra periodistas y activistas. 
  27. Natalie, Kitroeff; Bergman, Ronen (18 de abril de 2023). «How Mexico Became the Biggest User of the World’s Most Notorious Spy Tool». The New York Times. Consultado el 27 de abril de 2024. 
  28. Tourliere, Mathieu (18 de abril de 2023). «México, primer comprador de Pegasus en el mundo y el que más lo utiliza: NYT». Proceso. Consultado el 27 de abril de 2024. 
  29. «CASOS //». Red en Defensa de los Derechos Digitales. Consultado el 27 de abril de 2024. 
  30. «Ejército mexicano espió con Pegasus a dos personas defensoras de derechos humanos del Centro Prodh». Red en Defensa de los Derechos Digitales. 18 de abril de 2023. Consultado el 27 de abril de 2024.