Hace casi 1 año hablamos por aquí de Pegasus: https://ciberseguridadtotal.com/pegasus-el-ultimo-peliculon-de-espias/, en un artículo que sigue más vigente que nunca, y os recomiendo echar un vistazo. Sin embargo, es ahora cuando el nombre de Pegasus está de rabiosa actualidad y ha logrado colarse en prácticamente todos los medios informativos del país.
El motivo no es otro, que el uso de este software para el espionaje de los smartphones del presidente de gobierno de España, Pedro Sánchez, y la ministra de defensa Margarita Robles, además de diversos dirigentes de la Generalitat Catalana
En realidad, esta historia de espionaje comparada con la del artículo precedente chirría bastante, si en su momento hablamos de pegasus en el contexto de espionaje a un personaje como Jeff Bezos, con ingredientes más que de sobra para obtener un best seller, en la versión española tenemos un sarao que da para un tebeo de Mortadelo y Filemón.
En todo caso, y resumiendo brevemente la segunda historia, todo comienza cuando el laboratorio independiente “The Citizen Lab” relacionado a la Universidad de Toronto, filtra el espionaje a varios políticos catalanes asociados al indepentismo, mediante el famoso software Pegasus, que en principio sólo se vende a gobiernos e instituciones de seguridad públicas.
Posteriormente, el gobierno español reconoce ese espionaje, lo cuál es más que curioso, puesto que lo habitual es responder con el típico “no sé de qué me hablas”, pero es que además, y probablemente con objeto de desviar miradas hacia otro lado, Moncloa señala poco después que el presidente del gobierno y la ministra de defensa también se vieron comprometidos hace 1 año por pegasus, aunque esta vez el origen del hackeo (indeterminado) supuestamente es externo.
En todo caso, nos vamos a alejar de la polémica en cuestión, porque además seguramente estamos saturados de todo lo que nos llega a través de los medios de comunicación, los cuales además generan aún más hastío debido a la parcialidad con que tratan el caso según su color político, y vamos a hablar de un concepto más técnico como es el denominado: zeo click attack, asociado además a ese famoso software pegasus.
Sobre pegasus, ya os hablamos en el artículo referenciado, simplemente recordar que es un software desarrollado por la empresa israelí NSO Group, que ha demostrado ser un arma poderosísima de espionaje, al ser capaz de comprometer dispositivos de distinto tipo y fabricantes con una facilidad pasmosa. Como es lógico, este software cuesta una pasta, y además planificar y ejecutar un ataque dirigido a una persona en particular otro tanto, por tanto podéis despreocuparos de esas noticias del tipo “comprueba si tu dispositivo ha sido infectado por pegasus”, salvo que seáis presidentes de gobierno, CEOs de alto nivel, disidentes políticos o famosos con importante influencia, estáis más que a salvo.
En teoría además, NSO sólo vende pegasus a gobiernos lícitos, aunque eso está más que entredicho, ya lo dijo hace tiempo Quevedo: poderoso caballero es don dinero.
Pero vamos a lo que vamos, ¿por qué es tan peligroso pegasus?, pues entre otras cosas porque es un ejemplo del denominado malware de clic cero, ¿y qué son los ataques clic cero o zero click attacks?
Para dar una buena respuesta, primero debemos recordar cómo son los ataques típicos, dónde la ingeniería social es pilar fundamental de su desarrollo, y el motivo no es otro que la necesidad de que la víctima participe en el ataque para llevarlo a buen término.
Es decir, hablando en plata, hay que engañar a la víctima para que pulse tal enlace, ejecute tal programa o se autentique en tal sitio, como paso indispensable para comprometer sus dispositivos. Y si la víctima no cae en la trampa, o no se deja engañar (podemos pensar por ejemplo en el típico correo de phishing que solicita unas credenciales o remite a un sitio fraudulento), el ataque es imposible que termine satisfactoriamente. Esto como comentamos, es el ataque típico.
Ahora bien, qué hace increíbles los ataques cero clic, pues que no hace falta engañar a la víctima, no hace falta nada de nada, casi por arte de magia, se compromete su dispositivo de modo transparente.
Y esto es posible, haciendo uso de vulnerabilidades día cero en los dispositivos, éstas son vulnerabilidades o agujeros de seguridad, que desconocen los fabricantes y por tanto no han sido corregidas, ni hay parches de seguridad que las mitiguen. Empresas como NSO o hackers avanzados, localizan estas vulnerabilidades y hacen negocio con las mismas.
Un caso típico, es el uso de software de mensajería, en general estos sistemas están diseñados para recibir todo tipo de datos y desde fuentes diversas (también poco confiables), de modo que los atacantes pueden enviar un mensaje con texto oculto o una simple imagen con código malicioso, que comprometa el dispositivo entero, sin que la víctima tenga que interactuar o hacer nada más, simplemente por el hecho de recibir el mensaje (a través de los típicos MMS, Whatsapp, Telegram…), tu smartphone cae en sus manos.
Como ejemplo, con Pegasus y la técnica de clic cero, se comprometió el teléfono de un conocido activista de derechos humanos de Bahrein, para ello se aprovecharon de una vulnerabilidad desconocida del software de mensajería iMessage de su smartphone apple: https://techcrunch.com/2021/08/24/nso-pegasus-bahrain-iphone-security/?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cua2FzcGVyc2t5LmVzL3Jlc291cmNlLWNlbnRlci9kZWZpbml0aW9ucy93aGF0LWlzLXplcm8tY2xpY2stbWFsd2FyZQ&guce_referrer_sig=AQAAAFVJ77o1lRm5X3PqzW5OMY6n4046loq6zvKtAYI4KFtYywgDSU1N9WE5htLzFvUtgvn_W-E5J9gFD2zaz9ER-KTKeSvbqk8V8SArJ-fci_t3KAQ0_1Qz8Qat_juI8oX43YTbQDf8PIED_N5W59YRXXwagsj4EstZqUayanYFdfaf
Para más inri, pegasus permanece oculto en el sistema, y es muy complicada su detección, espiando en completo silencio sin que te enteres de nada.
Así contado, todo parece muy sencillo, en un momento pum, cualquier dispositivo comprometido y sin que uno note o se percate de nada, bueno, en realidad las cosas con más complejas, y en el caso de referencia: pegasus, hay mucha ingeniería y conocimiento detrás para hacer realidad este tipo de ataques. Pero en realidad sí, la realidad es ésta, no hay sistemas 100% infalibles, ni se puede garantizar nunca un 100% de seguridad.
Lo único que podemos y debemos hacer es llevar a cabo las mejores prácticas posibles, y tratar de poner las medidas de seguridad adecuadas, y a partir de ahí cruzar los dedos, quizá no logremos evitar un ataque tan sofisticado como el de pegasus, pero si poner las cosas complicadas al atacante, minimizarlo e incluso detectarlo precozmente. Por ponernos en contexto, en el ejemplo del ataque al presidente y ministra de defensa, se habla de que el CNI avisó del peligro de pegasus y remitió antes del ataque unas recomendaciones de protección que fueron ignoradas.
Como despedida del artículo, casi podemos decir que esto es un hasta luego, pegasus sigue ahí y seguirá utilizándose contra personalidades mundiales, no se harán públicos todos los casos, pero seguro volvemos a tener noticias de este software.
