Recientes informes indican que el ya titulado programa espía: Pegasus de NSO tomó como objetivo indirecto a los iPhone de personas estadounidenses. Esto provocó que la empresa prohibiera a sus clientes infectar teléfonos con SIMs americanas. Fracasando un poco en esta misión, se vieron infectados otros dispositivos, en esta ocasión de políticos catalanes, así como otros. A estas alturas de la situación, se sospecha que también el gobierno español fue el responsable de este atentado.
Además, durante toda esta situación pudo verificarse otro dispositivos infectado. Conectado a la red del 10 de Downing Street, en la oficina del primer ministro británico Boris Johnson también fue victima de Pegasus.
Índice
Contexto
El grupo NSO, quienes fabrican un software espía ya nombrado, Pegasus y que se vende a organismos gubernamentales, así como policiales. La empresa quien compra a piratas informáticos lo que se ha llamado como vulnerabilidades del día cero (siendo esto desconocido para Apple). Se ha dicho en múltiples veces que su software es capaz de montar exploits de clic cero en los que ya no es necesaria la interacción de un usuario con el objetivo.
Fundamentalmente se ha informado de todo esto y que con una simple recepción de un determinado iMessage puede permitir que un iPhone se vea infectado ya. Cabe resaltar que no importa si el usuario abrió o interactuó con dicho mensaje, los datos personales estarán expuestos aún así.
Este grupo se puede dar el lujo de poner las reglas a quienes quieran comprar Pegasus. Una de estas condiciones es que este programa no debe utilizarse para el hackeo de móviles con números estadounidenses. Probablemente para evitar así infección en dispositivos. Tan así, que se ha declarado como todo un riesgo para la seguridad nacional, siendo el prohibido el uso del programa Pegasus dentro de Estados Unidos.
Pegasus atacó de forma indirecta iPhone de Estados Unidos
Ya existen varias iniciativas en contra de esto. La Universidad canadiense de Toronto emprendió con Citizen Lab. Esta peculiar respuesta afirmó tener las pruebas de que este programa espía habría atacado indirectamente móviles de Estados Unidos. La forma en que halló esto fue con algo conocido como “off-center targeting”:
Dirigirse a amigos, familiares y socios cercanos es una práctica común en algunas operaciones de hacking. Sin embargo, esta técnica permite a un atacante reunir información sobre un objetivo principal sin mantener necesariamente el acceso al dispositivo de esa persona. En algunos casos, el objetico principal también puede estar infectado. Aunque, en otros esto puede ser más factible por múltiples razones.
Pudimos observar varios casos de ataque relacionales o “descentralizados”, cónyuges, hermanos, padres, personal o socios cercanos de los objetivos primarios fueron atacados e infectados con Pegasus. En algunos casos es posible que esas personas también hayan sido objeto de ataques. Sin embargo, no se disponía de información forense, además que en otros no encontramos pruebas de que un objetivo solo estuviese infectado con Pegasus, pero sí de que sus allegados fueran un objetivo potencial.
Por ejemplo, una persona atacada con Candiru tenía una tarjeta Sim estadounidense en su dispositivo y residía Estados Unidos. No encontramos pruebas de que esta persona estuviera infectada con Pegasus. Esto es coherente con los informes que indican que la mayoría de os clientes de Pegasus no pueden dirigirse a números estadounidenses. Sin embargo, los dos padres del objetivo utilizan teléfonos con números españoles, y fueron atacados el día en que el objetivo principal voló de vuelta a España desde Estados Unidos. Tampoco alguno de los padres es políticamente activo ni es probable que haya sido atacado por lo que es o hace.
En otras palabras, los textos y otros mensajes enviados por un móvil de Estados Unidos son un objetivo fácil para interceptar mediante este hackeo. Sobre todo por una posible infección a los móviles de familiares, amigos y otro tipo de contactos o conocidos del objetivo en el extranjero.
Ataque de Pegasus en contra de los catalanes
Citizen Lab también pudo descubrir que al menos 63 personas en Cataluña han sufrido de un ataque por Pegasus en sus dispositivos. Mientras que el gobierno español sigue siendo el principal sospechoso por el momento.
El hackeo cubre un espectro de la sociedad civil en Cataluña, desde académicos y activistas hasta organizaciones no gubernamentales (ONG). El gobierno de Cataluña y los funcionarios electos también fueron ampliamente atacados, desde los más altos niveles del gobierno catalán hasta los miembros del Parlamente Europeo, los legisladores y su personal y familiares. No podemos atribuir de forma concluyente el ataque a un gobierno en concreto. Sin embargo, las numerosas pruebas circunstanciales apuntan al gobierno español […]
Con el consentimiento de los objetivos obtuvimos artefactos forenses de sus dispositivos que examinamos en busca de pruebas de infecciones de Pegasus. Nuestro análisis forense nos permite concluir un gran confianza que, de las 63 personas a las que se dirigió Pegasus al menos 51 estaban ya infectadas.
Apple ya está tomando acciones, de acuerdo a un informe durante la semana pasada. La compañía advirtió a altos funcionarios de la UE de que sus iPhone habían sido hackeados por Pegasus. Apple también busca proactivamente señales de infección por Pegasus en sus iPhone. De este modo puede enviar una señal de alerta a las victimas.
Hay que tener en cuenta que no es necesario leer más informes de iPhone que si tuvieran Android. iOS hace más fácil el poder detectar cuando un dispositivo se infecta, por lo que los iPhone representan la mayoría de los casos confirmados. Sin embargo esto no evita que haya un gran número de móviles con Android que estén infectados y que pueda ser incluso mayor.
Ataque directo a la oficina del primer ministro británico
Un articulo que está en la próxima edición de The New Yorker revela que Pegasus también atacó con éxito el 10 de Downing Street, es decir a la oficina del primer ministro británico:
Se detectó un dispositivo infectado con Pegasus a la red del 10 de Downing Street, la oficina de Boris Johnson, el primer ministro del Reino Unido. Un funcionario del gobierno me confirmó que la red estaba comprometida sin especificar el software espía utilizado.
‘Cuando descubrimos el caso del número 10, se me cayó la mandibula’, recordó john Scott-Railton, investigador principal del Citizen Lab. ‘Sospechamos que esto incluía la exfiltración de datos’, añadió Bill Marczak, otro investigador senior de allí.
El funcionario me dijo que el Centro Nacional de Ciberseguridad, una rama de la inteligencia británica, probó varios teléfonos en Downing Street incluido el de Johnson. Fue difícil llevar a cabo una búsqueda exhaustiva de los teléfonos – ‘Es un trabajo jodidamente duro’, dijo el funcionario- y la agencia no pudo localizar el dispositivo infectado. Nunca se determinó la naturaleza de los datos que pudieran haberse tomado.