¿Mi iPhone está infectado con el software espía Pegasus?

Los gobiernos y otros actores poderosos de todo el mundo utilizan el software espía Pegasus del notorio NSO Group para espiar a periodistas, abogados, empresarios, científicos, políticos, activistas e incluso a sus amigos y familiares.

Forbidden Stories y Amnistía Internacional analizaron una base de datos filtrada de 50.000 números de teléfono pertenecientes a presuntas víctimas. Algunos dispositivos examinados por los investigadores muestran evidencia de ataques de Pegasus. El grupo NSO disputa los hallazgos y afirma que su software solo está destinado a ser utilizado contra delincuentes.

Entonces, ¿qué hace el software espía Pegasus? ¿Y cómo puedes comprobar si está en tu iPhone?

¿Cómo infecta el software espía Pegasus a los dispositivos?

El software espía puede atacar dispositivos iPhone y Android de forma remota utilizando métodos de "clic cero" sin que los usuarios hagan nada.

Pegasus se puede instalar a través de WhatsApp, iMessage, un SMS silencioso, llamadas perdidas y otros métodos actualmente desconocidos.

¿Qué puede hacer el software espía Pegasus?

El software espía permite a los atacantes un acceso completo a sus datos y les permite hacer cosas que incluso usted, el propietario, no puede hacer. Todos sus mensajes, correos electrónicos, chats, datos de GPS, fotos y videos, y más, pueden enviarse silenciosamente desde su dispositivo a quienes estén interesados ​​en usted.

Los atacantes pueden usar su micrófono para grabar sus conversaciones privadas y usar la cámara para filmarlo en secreto.

¿Cómo puedo eliminar el software espía Pegasus?

Por el momento, no hay una forma segura de eliminar a Pegasus. No está claro si incluso un restablecimiento de fábrica funcionaría, ya que el software espía puede persistir en los niveles más bajos del código de un sistema.

Si su teléfono está infectado, la mejor solución puede ser cambiar su dispositivo y número. Por supuesto, un nuevo Android o iPhone podría verse comprometido fácilmente como el anterior, aunque Apple ha lanzado la actualización de iOS 14.7.1, que se cree que soluciona algunos de los exploits involucrados.

¿Existen alternativas serias para los teléfonos iOS y Android?

En el momento de redactar este artículo, el ecosistema del sistema operativo móvil sufre una grave falta de diversidad e incluso las bifurcaciones de Android endurecidas como Graphene OS o Calyx pueden no ofrecer protección. La seguridad a través de la oscuridad podría ser aplicable en este caso y un dispositivo que ejecute Sailfish OS de Jolla o quizás un Librem 5 que ejecute Pure OS son las principales alternativas.

Relacionado: Teléfonos más seguros para la privacidad

¿Cómo puedo comprobar si mi iPhone ha sido infectado con el software espía Pegasus?

Afortunadamente, Amnistía Internacionallanzó una herramienta llamada MVT que permite a los usuarios verificar si su dispositivo ha sido atacado por malware NSO. Aunque la herramienta de línea de comandos está diseñada para investigadores forenses, parte de la detección está automatizada y debería proporcionar suficiente información para decidir si vale la pena seguir investigando, incluso si no eres un profesional de la seguridad.

Por el momento, los iPhones parecen ser el objetivo más común y los investigadores también han descubierto que los dispositivos de Apple proporcionan la evidencia más detallada de intrusiones. Siga leyendo para conocer nuestra guía para instalar y usar el software de detección con su iPhone.

¿Qué necesito para comprobar si mi iPhone tiene software espía de Pegasus?

Para simplificar el proceso y permitirle ejecutar la herramienta en macOS, Linux o Windows, usaremos un contenedor Docker especialmente preparado para MVT. Entonces, primero, necesitará instalar Docker en su máquina. Tenemos instrucciones para instalar Docker en Ubuntu y cómo puede iniciar Ubuntu en su computadora Windows o Apple .

¿Cómo configuro mi computadora para verificar si mi iPhone tiene Pegasus?

Damos cada comando paso a paso a continuación y los comandos de varias líneas deben escribirse en su totalidad antes de presionar la tecla Intro.

Primero, abra una terminal y cree una carpeta para contener los archivos que usaremos escribiendo este comando y presionando enter:

 mkdir Pegasus

Luego, muévase a la carpeta Pegasus escribiendo:

 cd Pegasus

Ahora necesitas crear carpetas para MVT. Escribe:

 mkdir ioc backup decrypted checked

A continuación, debe obtener un archivo que contenga indicadores de comportamiento sospechoso. Ingresar:

 wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2

Su siguiente paso es recuperar el archivo MVT Docker. Escribe:

 wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile

Ahora, para configurar la imagen de Docker, escriba:

 docker build -t mvt

¿Cómo preparo mi iPhone para el análisis MVT?

Primero, probablemente querrá evitar que la pantalla de su iPhone se apague durante el proceso. Toque el ícono de Configuración , luego toque Pantalla y brillo> Bloqueo automático> Nunca para asegurarse de que la pantalla de su iPhone permanezca encendida.

A continuación, conecte su dispositivo iOS al puerto USB de su computadora. Ahora debe detener el demonio USB que maneja las conexiones entre su computadora y su dispositivo iOS. Escribe:

 systemctl stop usbmuxd

Es posible que tenga que esperar un poco para que este proceso finalice y regrese al símbolo del sistema $ . Ahora ejecute el contenedor Docker escribiendo este comando completo:

 docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host 
 -v $PWD/ioc:/home/cases/ioc 
 -v $PWD/decrypted:/home/cases/decrypted 
 -v $PWD/checked:/home/cases/checked 
 -v $PWD/backup:/home/cases/backup 
 mvt

Presione enter después de mvt . Ahora está trabajando dentro del contenedor de Docker y su símbolo del sistema debería cambiar a algo como: root @ yourmachine: / home / cases # Inicie el demonio USB nuevamente ingresando:

 usbmuxd

Su iPhone debería mostrar un mensaje preguntándole si desea confiar en la computadora, así que presione Confiar e ingrese la contraseña de su iPhone si se le solicita.

Galería de imágenes (2 imágenes)

Expandir

Expandir

Verifique que su iPhone esté conectado a su computadora escribiendo:

 ideviceinfo

Una conexión exitosa debería escupir una gran cantidad de datos técnicos en el terminal. Si obtiene un error de "dispositivo no detectado", intente reiniciar su iPhone y repita el comando.

Ahora está listo para realizar una copia de seguridad en su computadora. Una copia de seguridad encriptada permite que el proceso recopile más información del dispositivo, por lo que si no tiene una contraseña que proteja su dispositivo, debe activar la encriptación escribiendo:

 idevicebackup2 backup encryption on -i

Si ya tiene el cifrado habilitado, el terminal le dirá esto. De lo contrario, elija una contraseña e introdúzcala cuando se le solicite. Ahora para ejecutar la copia de seguridad, escriba:

 idevicebackup2 backup --full backup/

Dependiendo de la cantidad de información que haya en su dispositivo, este procedimiento podría llevar bastante tiempo. Para confirmar que la copia de seguridad se ha realizado correctamente, introduzca:

 Run ls -l backup

Esto debería darle el nombre de la copia de seguridad que necesitará para el siguiente paso. Ahora que la copia de seguridad está en su computadora, puede descifrarla escribiendo:

 mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>

El comando que ingrese debería verse así:

 mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743

Con la copia de seguridad descifrada, puede pasar a la etapa de análisis. Para analizar la copia de seguridad, la herramienta MVT la comparará con un archivo stix2 que contiene ejemplos de actividad maliciosa. Para ejecutar el uso de comparación:

 mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted

Luego, MVT creará una serie de archivos JSON que contienen los resultados de la comparación. Puede verificar estos resultados con este comando:

 ls l checked

Ahora abra la carpeta llamada "comprobado" dentro de la carpeta principal de Pegasus. Busque cualquier archivo JSON con _detected al final de sus nombres de archivo. Si no hay ninguno, entonces la herramienta no pudo encontrar evidencia de una infección por Pegasus. Si existen archivos _detected, es posible que desee copiar las carpetas denominadas copia de seguridad, descifrado y verificado en una ubicación cifrada segura para referencia futura.

Para salir del contenedor de Docker, escriba:

 exit

¿Qué pasa si MVT encuentra evidencia de un ataque de Pegaso?

Si hay algunos archivos marcados como _detected, entonces probablemente sea el momento de contactar a un profesional de ciberseguridad y cambiar su teléfono y número.

Debe mantener su teléfono infectado como prueba, pero apáguelo y manténgalo aislado y lejos de cualquier conversación importante, preferiblemente en una jaula de Faraday.

Debe desautorizar su teléfono de todos los servicios en línea y usar otra máquina para cambiar la contraseña en todas las cuentas a las que se accede a través del dispositivo sospechoso.

¿Cómo puedo proteger mi iPhone de Pegasus?

Este software espía utiliza muchos métodos de ataque conocidos y desconocidos, pero hay algunos pasos que puede seguir para reducir sus posibilidades de verse comprometido:

• No hace falta decir que necesita proteger su teléfono con un PIN o preferiblemente una contraseña segura.
• Actualice el sistema operativo con regularidad.
• Desinstale las aplicaciones que no usa para minimizar la superficie de ataque. Se sabe que Facetime, Apple Music, Mail e iMessage son vulnerables a la infección de Pegasus, pero probablemente uses al menos un par de ellos.
• Reinicie su teléfono al menos una vez al día, ya que esto puede eliminar el software espía de la RAM y hacer que la vida sea más difícil para que funcione correctamente.
• No haga clic en enlaces en ningún mensaje de números desconocidos, incluso si está esperando la entrega de un paquete.

Pegaso: ¿Deberías preocuparte?

Pegasus es uno de los peores ejemplos de software espía que hemos visto hasta ahora. Si bien el número de personas supuestamente afectadas hasta ahora no es enorme a nivel mundial, el hecho de que los atacantes puedan atacar un dispositivo con estos métodos de cero clic significa que todos los dispositivos con los mismos sistemas operativos son vulnerables.

Puede que sea solo cuestión de tiempo antes de que otros grupos repliquen las técnicas de Pegasus y esto debería ser una llamada de atención para que todos se tomen la seguridad móvil mucho más en serio.