Cómo protegerse de Pegasus, el software que ha espiado a políticos
Todos los medios se han hecho eco de la noticia sobre el espionaje informático a políticos y activistas independentistas catalanes, posteriormente extendida a miembros del gobierno central, lo que ha popularizado el nombre de Pegasus, el software espía a través del cual habría sido llevada a cabo esta actividad.
Las personas y entidades que pueden ser espiadas a través de Pegasus van más allá de personalidades conocidas públicamente. Además, existen otros softwares de características similares que puede realizar este tipo de operaciones.
En este artículo se enumera una serie de consejos para protegerse de Pegasus y programas parecidos, tanto de manera preventiva como una vez que ya se ha sido víctima del espionaje.
Aunque la creencia general es que es imposible proteger los dispositivos totalmente frente a software de vigilancia profesional como Pegasus, los usuarios pueden adoptar medidas que pongan las cosas difíciles a los atacantes. Para facilitar esta tarea, Kaspersky ha elaborado una serie de recomendaciones sobre cómo los usuarios de móviles, tanto Android como iOS, pueden proteger sus dispositivos de Pegasus y de otros programas maliciosos.
Pegasus, Chrysaor y Phantom, entre otros, son conocidos como "software de vigilancia legal", ya que han sido desarrollados por compañías privadas y se han desplegado de forma generalizada a través de una variedad de exploits, incluyendo varios del tipo día cero y cero clics en iOS. Periodistas, políticos, defensores de los derechos humanos, abogados y activistas públicos son los objetivos principales de este tipo de programas espía.
Desde la creación de la primera versión de Pegasus en 2016 se calcula que pueden haber sido atacados más de 30.000 usuarios de todo el mundo.
Para hacer frente a esta amenaza, Kaspersky ha elaborado una serie de recomendaciones para que los usuarios de dispositivos móviles, tanto de Android como de iOS, puedan protegerse de Pegasus y de otros programas maliciosos dirigidos a móviles:
• Es importante reiniciar el dispositivo móvil todos los días. El reinicio ayuda a limpiarlo, de manera que los atacantes tendrían que reinstalar continuamente Pegasus en el dispositivo, por lo que es mucho más probable que el ataque sea detectado por las soluciones de seguridad.
• Mantener el dispositivo móvil actualizado e instalar las últimas actualizaciones tan pronto como estén disponibles. Aunque muchos de los exploits se dirigen a vulnerabilidades ya parcheadas, siguen siendo peligrosos para aquellos usuarios que tienen teléfonos antiguos y que posponen las actualizaciones.
• Es importante no hacer click nunca en los enlaces de mensajes. Se trata de un consejo sencillo pero efectivo. Estos pueden llegar en forma de mensaje SMS, aunque también a través de otros servicios, como el correo electrónico. Si recibes un mensaje con un enlace ábrelo en un ordenador de sobremesa, preferiblemente usando TOR como navegador o con un sistema operativo seguro no persistente como Tails.
• Por otra parte, se recomienda utilizar un navegador alternativo para las búsquedas web. Ciertos exploits no funcionan igual de bien en navegadores alternativos como Firefox Focus si se comparan con navegadores más convencionales como Safari o Google Chrome.
• Hay que utilizar siempre una VPN, ya que dificulta que los ciberdelincuentes detecten a sus objetivos en función de su tráfico de Internet. A la hora de comprar una suscripción a una VPN, hay que tener en cuenta algunos aspectos: optar por servicios establecidos que lleven tiempo funcionando, que acepten el pago con criptomonedas y que no requieran información de registro.
• Instalar una aplicación de seguridad que compruebe y avise si el dispositivo ha sufrido un jailbreak. Para persistir en un dispositivo, los atacantes que utilizan Pegasus suelen recurrir a hacer jailbreak al dispositivo objetivo. Si un usuario tiene instalada una solución de seguridad, puede ser alertado del ataque.
• Se recomienda que los usuarios de iOS activen a menudo los sysdiags (diagnósticos de sistema) y los guarden en copias de seguridad externas. Los artefactos forenses pueden ayudarte a determinar más adelante si has sido atacado. Los expertos de Kaspersky también recomiendan a los usuarios de iOS que estén en riesgo que desactiven FaceTime y iMessage. Como están activados por defecto, se trata de un mecanismo de entrega preferido para las cadenas de cero clicks.
"En general, los ataques de Pegasus son muy selectivos, es decir, no infectan la población en general, sino que se orientan a profesionales muy concretos. Muchos periodistas, abogados y activistas de derechos humanos han sido identificados como objetivos de estos sofisticados ciberataques, pero generalmente carecen de las herramientas o los conocimientos necesarios para defenderse. Nuestra misión es hacer que el mundo sea más seguro, por lo que haremos todo lo posible para proporcionar las mejores técnicas de protección contra el malware, los hackers y las amenazas sofisticadas como éstas", comenta Costin Raiu, jefe del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.
Kaspersky también propone una serie de consejos para aquellos usuarios que ya han sido víctimas de un ataque de Pegasus:
• Si ha sido objeto de un ataque, póngase en contacto con un periodista y cuéntele su historia. Lo que ha acabado con muchas empresas de vigilancia ha sido la mala publicidad gracias a reporteros y periodistas que han escrito sobre los abusos y han expuesto las mentiras y las infracciones realizadas.
• Cambie de dispositivo: si estaba en iOS, pruebe a pasarse a Android durante un tiempo y viceversa. Esto podría confundir a los atacantes durante algún tiempo; por ejemplo, se sabe que algunos actores de amenazas han comprado sistemas de explotación que sólo funcionan en una determinada marca de teléfono y sistema operativo.
• Consiga un dispositivo secundario, preferiblemente con GrapheneOS, para comunicaciones seguras. Utilice una tarjeta SIM de prepago, o conéctese solo vía Wi-Fi y con TOR en modo avión.
• Evite los programas de mensajería en los que haya que proporcionar el número de teléfono. Una vez que un ciberdelincuente tiene su número de teléfono puede atacarte fácilmente a través de muchos servicios de mensajería diferentes - iMessage, WhatsApp, Signal, Telegram, todos están vinculados a su número de teléfono. Una nueva e interesante opción es Session, que enruta automáticamente los mensajes a través de una red de las denominadas “Onion style” que no depende de los números de teléfono.
• Intente ponerse en contacto con un investigador de seguridad local y hable con él sobre mejores prácticas. Comparta artefactos, mensajes sospechosos o registros siempre que le resulten extraños. La seguridad nunca es una foto instantánea 100% segura; piense en ella como algo que fluye y necesita ajustar la navegación dependiendo de la velocidad, las corrientes y los obstáculos.