Pegasus, Chrysaor y otras APT: cómo protegerte de los malware para móvil

Cómo proteger tu smartphone con Android o iPhone de APT móviles como Pegasus.

En una investigación publicada en julio por el diario The Guardian y otros 16 medios y que fue probablemente la historia con más repercusión del 2021, se sugería que más de 30000 activistas de los derechos humanos, periodistas y abogados de todo el mundo podrían haber recibido un ataque de Pegasus, un “software de vigilancia legal” desarrollado por la empresa israelí NSO. En el informe, llamado el Proyecto Pegasus, se afirmaba que el malware se había desplegado mediante varios exploits, incluidos varios de día cero y cero clics en iOS.

Teniendo en cuenta el análisis forense de varios dispositivos móviles, el laboratorio de seguridad de Amnistía Internacional descubrió que el software se había utilizado repetidamente de manera abusiva con fines de vigilancia. La lista de individuos en el punto de mira incluye a 14 líderes mundiales y muchos otros activistas, defensores de los derechos humanos, disidentes y figuras de la oposición.

Poco después, unos representantes del gobierno israelí visitaron las oficinas de NSO como parte de una investigación de las afirmaciones. En octubre, la Corte Suprema de la India encargó a un comité técnico que investigara el uso de Pegasus para el espionaje de sus ciudadanos. En noviembre, Apple anunció que tomaría acciones legales contra el Grupo NSO por desarrollar software que convierte a sus usuarios en objetivos de malware y spyware malicioso. Por último, en diciembre, Reuters publicó que los teléfonos del Departamento de Estado de los Estados Unidos habían sido intervenidos con el malware Pegasus de NSO, como ya había alertado Apple.

Durante los últimos meses, he recibido muchas consultas de usuarios de todo el mundo preocupados sobre cómo proteger sus dispositivos móviles contra Pegasus y otras herramientas y malware similares. En este artículo trataremos de abordar este tema; sin embargo, cabe destacar que no existe ninguna lista de técnicas defensivas definitiva. Además, es necesario adaptar las técnicas de protección a medida que los atacantes van cambiando su modus operandi.

Cómo mantenerse a salvo de Pegasus y otros spyware móviles avanzados

Lo primero que tenemos que destacar es que Pegasus es un kit de herramientas que se vende a los estados nación a precios relativamente elevados. El coste de una implementación completa podría ascender a millones de dólares. De igual forma, otro malware móvil de tipo APT podría desplegarse mediante exploits de día cero y cero clics. Estos son bastante caros; por ejemplo, Zerodium, una firma de brokers de exploits paga hasta 2,5 millones de dólares por una cadena de infección de cero clics en Android que sea persistente:

En la lista de precios de Zerodium, las vulnerabilidades persistentes alcanzan los 2,5 millones de dólares

Desde el principio, podemos sacar una conclusión importante: el ciberespionaje patrocinado por los estados nación aporta muchos recursos. Cuando el actor de una amenaza puede permitirse gastar millones, posiblemente decenas de millones o incluso cientos de millones de dólares en sus programas de ofensiva, es muy poco probable que un objetivo pueda evitar la infección. Es decir, si estás en el punto de mira de un actor de este tipo, la cuestión no es si puedes infectarte, sino más bien de cuánto tiempo y recursos dispones antes de la infección.

Pero tenemos buenas noticias: el desarrollo de exploits y la guerra cibernética ofensiva son más un arte que una ciencia exacta. Los exploits tienen que adaptarse a las versiones específicas de los sistemas operativos y el hardware, y pueden acabar frustrados fácilmente por nuevas versiones de sistemas operativos, técnicas de mitigación o, incluso, pequeños eventos aleatorios.

Dicho esto, la infección y la determinación de los objetivos también depende de la dificultad y de los costes que suponen para los atacantes. Si bien, no siempre podremos evitar el éxito de una explotación y la infección del dispositivo móvil, sí podemos intentar dificultar esta tarea lo máximo posible a los atacantes.

Pero ¿cómo funciona en la práctica? A continuación, te dejamos una lista de verificación básica.

Cómo protegerse del spyware avanzado en iOS

Reinicio diario. De acuerdo con la investigación de Amnistía Internacional y Citizen Lab, la cadena de infección de Pegasus con frecuencia depende de días cero y cero clics sin persistencia, así que un reinicio periódico ayuda a limpiar el dispositivo. Si reinicias tu dispositivo todos los días, los atacantes tendrán que infectarlo una y otra vez. Con el tiempo, esto aumenta la posibilidad de detección; ya que podría ocurrir un fallo general o se podrían registrar artefactos que delaten la naturaleza sigilosa de la infección. De hecho, no solo es una teoría, también sucede en la práctica, como analizamos en un caso donde un dispositivo móvil fue objeto de ataque mediante un exploit de cero clics (probablemente, FORCEDENTRY). El propietario del dispositivo reiniciaba su dispositivo de manera regular, de hecho, lo hizo en las 24 horas posteriores al ataque. Los atacantes intentaron ponerlo en el punto de mira unas cuantas veces más, pero terminaron dándose por vencidos después de ser expulsados un par de veces mediante los reinicios.

NoReboot: un reinicio falso para afianzarse en el sistema

Desactiva iMessage. iMessage está integrado en iOS y se activa de forma predeterminada, por lo que resulta un vector atractivo para su explotación. Debido a su activación por defecto, es un mecanismo principal de entrega de cadenas de cero clics y, durante muchos años, los exploits de iMessage han estado muy solicitados, siendo los mejores pagados en las empresas de brokers de exploits. El fundador de Zerodium, Chaouki Bekrar, escribió en el 2019 a WIRED y afirmó que durante los últimos meses se había observado un aumento en la cantidad de exploits de iOS, principalmente cadenas de Safari y iMessage, que investigadores de todo el mundo desarrollaban y vendían; de acuerdo con sus palabras, el mercado de día cero estaba inundado de exploits de iOS y recientemente habían tenido que rechazar algunos de ellos. Sabemos que la vida sin iMessage podría ser muy difícil para algunos (lo que abordaremos más adelante), pero si Pegasus y otro malware móvil tipo APT de alto nivel está en tu modelo de amenazas, se trata de un intercambio que vale la pena plantearse.

Desactiva Facetime. El mismo consejo que antes.

Mantén tu dispositivo móvil actualizado: instala los parches más recientes de iOS en cuanto estén disponibles. No todos se pueden permitir ataques zero-click 0-day, de hecho, muchos de los kits de exploits de iOS que vemos tienen como objetivo vulnerabilidades que ya se habían parcheado. Sin embargo, muchas personas utilizan teléfonos viejos y posponen las actualizaciones por varios motivos. Si quieres ir un paso por delante (al menos) del estado nación, actualiza lo antes posible, no tienes por qué esperar a que actualicen los emoticonos para instalar los parches.

Nunca hagas clic en los enlaces que recibas por mensaje. Este es un consejo sencillo, pero eficaz. No todos los clientes de Pegasus pueden costearse las cadenas de día cero y cero clics valoradas en millones, por lo que dependen de los exploits de 1 clic. Estos llegan en forma de mensaje, a veces por SMS, pero también pueden llegar por otros servicios de mensajería o incluso por correo electrónico. Si recibes un SMS interesante (o cualquier otro mensaje), con un enlace, ábrelo en un ordenador de sobremesa, a poder ser con el navegador TOR o, mejor aún, con un sistema operativo seguro no persistente como Tails.

SMS con un enlace malicioso utilizado para atacar a un activista político

SMS con un enlace malicioso utilizado para atacar a un activista político. Fuente

Navega en Internet con un navegador alternativo como Firefox Focus en lugar de Safari o Chrome. A pesar de que todos los navegadores en iOS prácticamente utilizan el mismo motor, Webkit, algunos exploits no funcionan bien (consulta el caso de los ATP LightRighter / TwoSailJunk) en algunos navegadores alternativos:

Verificación del kit del exploit LightRiver para "Safari" en la cadena del agente de usuario

Verificación del kit del exploit LightRiver para “Safari” en la cadena del agente de usuario

Las cadenas del agente de usuario en iOS de los navegadores Safari, Chrome y Firefox Focus son las siguientes:

  • Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
  • Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
  • Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0

Utiliza siempre una VPN que oculte tu tráfico. Algunos exploits se entregan mediante ataques MitM del operador GSM, al navegar en sitios HTTP o al secuestrar el DNS. Utilizar una VPN para enmascarar el tráfico dificulta que tu operador de GSM te identifique como objetivo directamente desde Internet. También complica el proceso de determinación de un objetivo si los atacantes tienen control de tu flujo de datos, por ejemplo, durante el roaming. Ten en cuenta de que no todas las VPN son las mismas y no todas son seguras. Sin favorecer a ningún proveedor de VPN específico, estas son algunas cosas que puedes considerar cuando estés en busca de una suscripción de VPN si el anonimato es una prioridad principal para ti:

  • Comprar significa que no hay VPN “gratuitas”.
  • Busca servicios con los que puedas aceptar pagos con criptomonedas.
  • Busca servicios para los que no necesites proporcionar información de registro.
  • Intenta evitar aplicaciones de VPN; en su lugar, utiliza herramientas de código abierto como OpenVPN, WireGuard y perfiles de VPN.
  • Evita servicios de VPN nuevos y busca servicios establecidos que ya lleven un tiempo en el mercado.

Instala una aplicación de seguridad que compruebe y te advierta si se ha hecho jailbreak a un dispositivo. La frustración de ser expulsado una y otra vez hará que con el tiempo los atacantes implementen un mecanismo de persistencia y hagan jailbreak a tu dispositivo durante este proceso. Aquí aumenta diez veces la probabilidad de atraparlos y podemos aprovechar el hecho de que el dispositivo tenga jailbreak.

Haz copias de seguridad en iTunes una vez al mes. Esto permitirá diagnosticar y encontrar infecciones más adelante, mediante el uso del maravilloso paquete de MVT de Amnistía Internacional (lo abordaremos más adelante).

Detona sysdiags con frecuencia y guárdalos en copias de seguridad externas. Los artefactos forenses pueden ayudarte a determinar después si has sido objetivo de ataque. Detonar un sysdiag depende del modelo del teléfono; por ejemplo, en algunos iPhone, se hace al presionar los botones Subir volumen + Bajar volumen + Encendido al mismo tiempo. Es posible que tengas que intentarlo un par de veces hasta que sientas el zumbido del teléfono. Una vez que se crear el sysdiag, aparecerá en el diagnóstico:

Diagnósticos con sysdiag en Análisis y mejoras de iOS

Cómo protegerte del spyware avanzado en Android

La lista para los usuarios de Android es parecida (para conocer los detalles y fundamentos, revisa la lista anterior para iOS):

  • Reinicio diario. La persistencia en las últimas versiones de Android está complicada, ¡muchos APT y vendedores de exploits evitan la persistencia!
  • Mantén tu teléfono actualizado; instala los parches más recientes.
  • Nunca hagas clic en los enlaces que recibas en los mensajes de texto.
  • Navega por Internet con un navegador alternativo como Firefox Focus en lugar de Chrome.
  • Utiliza siempre una VPN que oculte tu tráfico. Algunos exploits se entregan mediante los ataques MitM del operador GSM, al navegar en sitios HTTP o secuestrar el DNS.
  • Instala un paquete de seguridad que busque malware y revise y te advierta si el dispositivo tiene root.

Para un nivel más sofisticado, tanto en iOS como en Android, revisa siempre tu tráfico de red con indicadores de compromiso en activo. Una buena configuración podría incluir una VPN siempre activa de WireGuard en un servidor que controles, que utilice Pi-hole para filtrar lo malo y que registre todo el tráfico para una inspección más profunda.

Cómo sobrevivir sin iMessage

Hablando con mi amigo Ryan Naraine hace poco, me dijo que iMessage y FaceTime eran las razones principales por las que la gente usa iPhone y, ciertamente, tiene razón. Yo llevo siendo usuario de iPhone desde el 2008 y pienso que iMessage y FaceTime son dos de las mejores cosas que Apple ha añadido a este ecosistema. Cuando me enteré de que estas también son de las funciones más explotadas que permiten que el estado nación espíe tu teléfono, intenté escapar del Hotel California de iMessage. ¿Qué fue lo más difícil? Lograr que mi familia también dejara de utilizarlo. Aunque te sorprenda, esto fue una de las cosas más difíciles en toda esta saga de seguridad.

La vida sin iMessage es verde y sin emoticonos

Al principio, intenté que todos se cambiaran a Telegram. Pero no me fue muy bien. Después, Signal mejoró mucho, implementaron videollamadas y llamadas en grupo. Con el tiempo, más y más amigos se cambiaron a Signal. Y esto funcionó también en mi familia. No digo que debas hacer lo mismo. Tal vez puedas conservar iMessage y vivir feliz y sin malware; la verdad es que Apple mejoró considerablemente el espacio aislado de seguridad en torno a iMessage con BlastDoor en iOS 14. Sin embargo, el exploit FORCEDENTRY que utilizó NSO para entregar Pegasus logró evitar BlastDoor y, por supuesto, ninguna función de seguridad está 100 % a prueba de ataques.

Entonces, te preguntarás ¿qué es lo mejor de ambos mundos? Algunos, yo incluido, tenemos varios teléfonos: uno con iMessage desactivado y un iPhone “honeypot”, o señuelo, con iMessage activado. Ambos están asociados a la misma ID de Apple y número telefónico. Si alguien decide atacarme, la probabilidad de que terminen en el teléfono señuelo es alta.

Cómo detectar Pegasus y otros malware móviles avanzados

Detectar rastros de infección de Pegasus y otro malware móvil avanzado es muy complejo y se complica con las funciones de seguridad de los sistemas operativos modernos como iOS y Android. Teniendo en cuenta nuestras observaciones, el desarrollo de un malware no persistente que casi no deja rastro después del reinicio todavía lo complica aún más. Debido a que muchos marcos forenses requieren el jailbreak del dispositivo, para lo que a su vez es necesario reiniciarlo, esto da como resultado que el malware se elimine de la memoria durante el reinicio.

Actualmente, se pueden utilizar varios métodos para detectar Pegasus y otro malware móvil. MVT (kit de herramientas de verificación móvil) de Amnistía Internacional es gratuito, de código abierto y permite que los tecnólogos e investigadores inspeccionen los teléfonos móviles en busca de infección. Además, MVT está impulsado por una lista de indicadores de compromiso recopilados de casos de alto perfil y facilitados por Amnistía Internacional.

Qué debes hacer si ya te has infectado con Pegasus

Supongamos que has seguido todas nuestras recomendaciones, pero aun así te has infectado. Desafortunadamente, esta es la realidad en la que vivimos. Lo siento mucho, en serio. Podrías no ser una mala persona, al contrario, estoy seguro de que eres uno de los buenos. Tal vez dijiste algo en contra de una persona poderosa, participaste en alguna protesta contra una decisión cuestionable de ciertas figuras políticas o simplemente utilizaste software de cifrado o estabas en el lugar equivocado en el momento equivocado. Mira el lado positivo: sabes que te han infectado, debido a que los artefactos y el conocimiento te han permitido determinarlo. Piensa lo siguiente:

  • ¿Quién te ha atacado y por qué? Intenta averiguar qué fue lo que llamó la atención de los peces gordos. ¿Es algo que podrías evitar en el futuro con un comportamiento más sigiloso?
  • ¿Puedes hablar al respecto? Lo que derribó a muchas empresas de vigilancia fue la mala publicidad y los reporteros y periodistas que escribieron sobre los abusos y expusieron las mentiras, los delitos y todo el mal. Si fuiste atacado, intenta contar tu historia a un periodista.
  • Cambia tu dispositivo. Si estabas en iOS, intenta cambiarte a Android por un tiempo. Si estabas en Android, cámbiate a iOS. Esto podría confundir a los atacantes durante un tiempo; por ejemplo, algunos actores de amenazas son conocidos por comprar sistemas de explotación que solo funcionan en cierta marca de teléfono y sistema operativo.
  • Consigue un dispositivo secundario, de preferencia que ejecute GrapheneOS, para comunicaciones seguras. Utiliza una tarjeta de prepago para este o, conéctalo solo con wifi y TOR en modo avión.
  • Evita los servicios de mensajería en los que necesites proporcionar tus contactos con tu número de teléfono. Si un atacante consigue tu número telefónico, puede atacarte fácilmente por muchos medios como iMessage, WhatsApp, Signal o Telegram, ya que todos están vinculados a tu número telefónico. Session es una nueva opción interesante; ya que automáticamente enruta tus mensajes mediante una red tipo Onion y no depende de números telefónicos.
  • Intenta ponerte en contacto con un investigador de seguridad de tu área e infórmate sobre las mejores prácticas. Comparte los artefactos, los mensajes sospechosos o los registros siempre que algo te parezca extraño. La seguridad nunca es una solución única con un 100 % de efectividad; piensa que es como un arroyo que fluye y que necesitas ajustar tu navegación dependiendo de la velocidad, las corrientes y los obstáculos.

Como conclusión, me gustaría dejarte algo en lo que pensar. Si te ataca un estado nación, significa que eres importante. Recuerda: sienta bien ser importante, pero es más importante hacer las cosas bien. Solos somos débiles, juntos somos más fuertes. Es posible que el mundo esté retorcido, pero creo que vivimos en un momento donde todavía podemos cambiar las cosas. De acuerdo con un informe del grupo sin ánimo de lucro Committee to Protect Journalists, 293 periodistas fueron encarcelados en el 2021, el número más alto reportado por CPJ desde que comenzaron con el seguimiento en 1992. En nuestro trabajo moldear el mundo que dejaremos dentro 10 años para nuestros hijos y los hijos de nuestros hijos.

Vosotros, el pueblo, tenéis el poder de crear máquinas. ¡El poder de crear felicidad! Vosotros, el pueblo, tenéis el poder de hacer esta vida libre y hermosa, de convertirla en una maravillosa aventura.

En nombre de la democracia, utilicemos ese poder actuando todos unidos. Luchemos por un mundo nuevo, digno y noble que garantice a los hombres trabajo y dé a la juventud un futuro y a la vejez, seguridad. Con la promesa de esas cosas, las fieras alcanzaron el poder. ¡Pero mintieron! No han cumplido sus promesas, ¡ni nunca las cumplirán!

¡Los dictadores son libres solo ellos, pero esclavizan al pueblo! ¡Luchemos ahora para hacer nosotros realidad lo prometido! Todos a luchar para liberar al mundo, para derribar barreras nacionales, para eliminar la ambición, el odio y la intolerancia. Luchemos por el mundo de la razón, un mundo donde la ciencia, donde el progreso nos conduzca a todos a la felicidad. ¡Soldados! En nombre de la democracia, ¡debemos unirnos todos!

Discurso final de El Gran Dictador

Este artículo se publicó originalmente como una serie de artículos de opinión en Dark Reading (parte 1, parte 2).

Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países