Cuando el espionaje se vuelve un servicio: así funciona Pegasus

En un caso 'sui generis' en la corta historia de la ciberseguridad, la empresa NSO ha mercantilizado el espionaje y lo ha convertido en un servicio a disposición de los gobiernos que puedan costearlo

Pedro Sánchez y Margarita Robles

El presidente del Gobierno, Pedro Sánchez, junto a la ministra de Defensa, Margarita Robles, durante la firma de la Directiva de Defensa Nacional, el 11 de junio de 20202 en la Moncloa | EFE/Moncloa/BPB

Recibe nuestra newsletter diaria

O síguenos en nuestro  canal de Whatsapp

Pegasus, una palabra que hace unas semanas nos hubiera remitido a un caballo alado, después de las revelaciones de espionaje a líderes independentistas e incluso a Pedro Sánchez, tiene un significado muy diferente y lejano de la mitología griega. Pero ¿qué es exactamente Pegasus?

Pegasus es un sistema, una «solución» en palabras de la empresa que lo ofrece, la israelí NSO, que promete a sus usuarios el acceso ilimitado y oculto a un móvil con el objetivo de convertirlo en una herramienta de recolección de inteligencia.

El servicio que ofrece la empresa de ciberseguridad israelí consiste en el acceso a la información privada del móvil de una persona antes de que esta sea cifrada y por ende inaccesible. La tecnología necesaria para realizar esta compleja labor tiene su origen en la Unidad 8200, un grupo de élite de ciber inteligencia de las Fuerzas de Defensa de Israel que participaron en conjunto con los norteamericanos en el desarrollo del famoso gusano ‘Stuxnet’.

Debido a la naturaleza secreta de Pegasus, ha sido necesario un trabajo de investigación conjunto entre Amnistía Internacional y los investigadores de Citizen Labs para revelar y ordenar las diferentes piezas de este rompecabezas.

Gracias a estas investigaciones sabemos que, una vez contratado este sistema, el usuario (que según NSO son solamente Estados democráticos) recibe la visita de técnicos de la empresa, que después de ser autorizados por el propio gobierno israelí trasladan desde Herzliya la ‘estación de trabajo’ del sistema Pegasus. El hardware, además de cumplir con la función de contactarse con los servidores externos de Pegasus, cuenta con sensores que avisan a Israel si es que la tecnología es movilizada a algún otro lugar.

Un periodista turco lee un informe con los ciberataques del Wannacry.

Para el consumidor el uso de Pegasus es muy sencillo, basta con introducir el número móvil al que se desea acceder en la terminal de la estación de trabajo. Para evitar el uso sin autorización del sistema, el usuario es notificado cada vez que alguien introduce un número. Sin embargo, no todos los números de teléfono funcionan, el contrato del sistema Pegasus varía de precio dependiendo de cuantos prefijos telefónicos se desea desbloquear. Por ejemplo, según fuentes consultadas por los reporteros de la norteamericana Vice, el Gobierno español tendría desbloqueado los numero de Francia, Malta y México.

Todo esto nos da la impresión de que Pegasus es un sistema absolutamente seguro, sin embargo, esto dista de la realidad. Según un ex empleado de NSO, en por lo menos una oportunidad un trabajador de la empresa israelí habría utilizado el sistema para espiar a una mujer con la que mantenía una vinculación romántica; en otro caso aún más preocupante, el código fuente de Pegasus habría sido robado con la intención de ser vendido en el mercado negro por 50 millones de dólares.

La inyección del Spyware

Quizás la parte más estudiada y comentada de Pegasus es la relacionada al proceso de instalación, sin autorización, del software de Pegasus en los móviles de los blancos que van a ser ‘pinchado’. Para lograr esto NSO hace uso de lo que se conoce como vulnerabilidades zero day, nombre utilizado para referirse a todas las que aún no han sido descubiertas y por ende no han sido parchadas. La importancia de que una vulnerabilidad sea zero day radica en que una vez conocidas, estas pueden ser solucionadas en cuestión de horas lo que vuelve inservible cualquier software que requiera de ellas. Debido a esto, las vulnerabilidades zero day pueden llegar a tener un valor de hasta 2,5 millones de dólares norteamericanos en el mercado legal.

Una vez conocida la vulnerabilidad, el siguiente paso es explotarla, para esto se utiliza un vector de ataque que puede ser desde un correo electrónico con un link malicioso, hasta una llamada por WhatsApp que no requiere ser contestada. El uso de esta última alternativa fue la que dio lugar a la investigación de CatalanGate.

En el 2019, la empresa WhatsApp demandó en una corte de California a la empresa NSO por hackear sus servidores para utilizarlos como vector de ataque de Pegasus. Durante varios meses, Pegasus utilizó la aplicación WhatsApp para introducirse en el móvil de la víctima con lo que logró afectar a más de 1400 personas.

Para esto fue necesario, que la empresa NSO, realizará ingeniería inversa a la aplicación de WhatsApp, lo que les permitió simular tráfico de datos legítimo con el objetivo de introducir malware en los servidores de la empresa norteamericana, este código malicioso tendría como función modificar la configuración de las llamadas vía dicha aplicación para que puedan transportar códigos que usualmente están prohibidos. En mediados del 2019 este vector de ataque fue detectado por la empresa WhatsApp la cual procedió a cerrar las brechas y a informar a las personas atacadas por esta vía que habían sido víctimas de esta vulneración, entre estos se encontraban algunos miembros del proceso independentista catalán.

Luego de ser detectados, la empresa israelí se vio obligada a cambiar el vector de ataque, esta vez recurriendo a los iMessages de los iPhone. Esta vulnerabilidad denominada KISMET nunca fue detectada mientras se encontraba vigente, pero sabemos que deja de funcionar en septiembre del 2020 y en marzo de dicho año todavía no estaba siendo explotada ya que el móvil del político catalán , David Bonvehí, recibe un SMS infectado con Pegasus en esas fechas. De esto se puede inferir que el sistema no contaba con capacidades de zero click en esos momentos.

En inicios del 2021 Pegasus nuevamente regresó a ser zero click con el descubrimiento de la vulnerabilidad Megalodon/FORCEDENTRY, que utilizaba el mismo vector de ataque que KISMET, los iMessages. Para penetrar la nueva seguridad de Apple, se escondía el código malicioso en un archivo .pdf que a su vez tenía forma de .gif lo que garantizaba que era ejecutado inmediatamente una vez dentro del móvil.

Este es la última vulnerabilidad que ha sido detectada por el grupo de investigadores y estuvo en actividad hasta junio del 2021. Por las fechas es probable que fuera utilizada para ingresar al móvil de Pedro Sánchez y Margarita Robles. Los únicos que hoy en día conocen si es que Pegasus mantiene una capacidad de zero click son NSO y sus usuarios, como el Gobierno español.

El presidente del Gobierno, Pedro Sánchez. EFE/ Biel Aliño

El hackeo como servicio

Al igual que con el estudio de un virus en la biología, es fácil conocer cómo entra al cuerpo y cuáles son los síntomas, pero para entender su comportamiento dentro del cuerpo se requiere de un espécimen vivo.  Esto es un problema en el estudio de Pegasus ya que parte de sus características es su ‘invisibilidad’. Por más que se detecten las vulnerabilidades que Pegasus utiliza, esto no implica que se va a conocer el contenido del código malicioso inyectado mediante dichas vulnerabilidades. Sin embargo, existe algunas pistas. Lo primero que se sabe es que el código inyectado debe de realizar lo que se conoce como un jailbreak.

El sistema operativo de Apple es conocido por ser sumamente restrictivo, los usuarios comunes tienen severas limitaciones a los archivos y datos que pueden acceder en su móvil. Son estas limitaciones las que, entre otras cosas, hacen imposible instalar aplicaciones si no es mediante el AppStore, o que se pueda utilizar la grabadora de voz mientras se realiza una llamada.

Para los desarrolladores independientes que buscan vulnerabilidades en el IOS de Apple, estas restricciones serian una prisión de la cual hay que liberar al móvil, de ahí viene el nombre jailbreak. Vale mencionar, que, a diferencia del proceso de utilizar vulnerabilidades para penetrar un teléfono sin consentimiento del propietario, las utilizadas para realizar un jailbreak no son ilegales. Son tan legales que el propio Facebook ofreció comprar parte del código de Pegasus para utilizarlo contra sus usuarios, según declaraciones del propio Director de NSO. Una vez realizado el jailbreak y obtenida la información, Pegasus procede a extraer los datos vía iTunes o Photos.

Telegram se convierte en un nuevo nido de ciberdelincuentes./ EFE
Una vez dentro de tu móvil, NSO tiene acceso a todas tus aplicaciones gracias al jailbreak.

¿Pero a dónde van estos datos? ¿Desde dónde viene los códigos maliciosos? ¿Quién es el dueño de los dominós web de los links malicioso? La respuesta a estas preguntas es lo que convierte a Pegasus más que en un simple Spyware, en un servicio. NSO ofrece como parte de Pegasus una infraestructura de network compuesta por más de 500 dominios web y servidores DNS, los cuales producen subdominios y URLs aleatorios para evitar ser descubiertos. Es esta red a la cual se conectan los usuarios mediante la terminal de trabajo.

En estos servidores de propiedad de NSO se almacenan los códigos maliciosos, se transmiten las órdenes y se recibe los datos obtenidos por medio de los ‘pinchazos’, los cuales son procesados y analizados antes de ser reenviados al usuario de la terminal. Este hardware es en la práctica una central de Comando y Control, denominada por NSO como Pegasus Anonymizing Transmission Network.

Este modelo de operación empresarial, que se contrapone a simplemente vender el código fuente al usuario, le permite a la compañía israelí mantener constantemente actualizado a Pegasus. Si no fuera por esta infraestructura, Pegasus dejaría de ser útil cada vez que una de las vulnerabilidades deja de ser zero day.

Este hardware fue, sin embargo, el talón de Aquiles que permitió a los investigadores vincular los códigos maliciosos con la empresa NSO. Amnistía Internacional y Citizen Lab detectaron en el 2013, que varios de estos dominios de internet, es decir los links maliciosos, estaban vinculados a servidores de propiedad o cercanía a la empresa israelí. Desde entonces NSO ha modificado sus prácticas y renovado su infraestructura cuatro veces con la finalidad de mantenerse oculta.

NSO ha invertido considerables recursos en mantener su software difícil de detectar, Pegasus en la actualidad es muy difícil de identificar, incluso los antivirus más populares suelen generar falsos positivos de dicho spyware, según investigadores independientes. Expertos en seguridad afirman que las versiones más modernas de Pegasus se estarían instalando en la memoria temporal del móvil, en lugar del disco duro, lo que significa que cualquier rastro del software desaparecería cuando el teléfono es apagado.

La ironía de todo esto, es que la única forma de protegerse contra Pegasus es teniendo acceso directo al código de la versión más moderna de este sistema, algo que clientes como el gobierno de Pedro Sánchez tienen a su disposición.

Suscríbase a nuestro canal de Telegram para estar informado con las últimas noticias sobre política en Cataluña

Recibe nuestra newsletter diaria

O síguenos en nuestro  canal de Whatsapp