{"id":26812,"date":"2022-02-04T12:46:06","date_gmt":"2022-02-04T10:46:06","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26812"},"modified":"2022-02-07T16:10:41","modified_gmt":"2022-02-07T14:10:41","slug":"how-to-protect-from-pegasus-spyware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-from-pegasus-spyware\/26812\/","title":{"rendered":"Pegasus, Chrysaor y otras APT: c\u00f3mo protegerte de los malware para m\u00f3vil"},"content":{"rendered":"

En una investigaci\u00f3n publicada en julio por el diario The Guardian<\/em> y otros 16 medios y que fue probablemente la historia con m\u00e1s repercusi\u00f3n del 2021, se suger\u00eda que m\u00e1s de 30000 activistas de los derechos humanos, periodistas y abogados de todo el mundo podr\u00edan haber recibido un ataque de Pegasus, un \u201csoftware<\/em> de vigilancia legal\u201d desarrollado por la empresa israel\u00ed NSO. En el informe, llamado el Proyecto Pegasus<\/a>, se afirmaba que el malware<\/em> se hab\u00eda desplegado mediante varios exploits<\/em>, incluidos varios de d\u00eda cero y cero clics en iOS.<\/p>\n

Teniendo en cuenta el an\u00e1lisis forense de varios dispositivos m\u00f3viles, el laboratorio de seguridad de Amnist\u00eda Internacional descubri\u00f3 que el software<\/em> se hab\u00eda utilizado repetidamente de manera abusiva con fines de vigilancia. La lista de individuos en el punto de mira incluye a 14 l\u00edderes mundiales y muchos otros activistas, defensores de los derechos humanos, disidentes y figuras de la oposici\u00f3n.<\/p>\n

Poco despu\u00e9s, unos representantes del gobierno israel\u00ed visitaron las oficinas de NSO<\/a> como parte de una investigaci\u00f3n de las afirmaciones. En octubre, la Corte Suprema de la India encarg\u00f3 a un comit\u00e9 t\u00e9cnico que investigara el uso de Pegasus<\/a> para el espionaje de sus ciudadanos. En noviembre, Apple anunci\u00f3 que tomar\u00eda acciones legales contra el Grupo NSO<\/a> por desarrollar software<\/em> que convierte a sus usuarios en objetivos de malware<\/em> y spyware<\/em> malicioso. Por \u00faltimo, en diciembre, Reuters public\u00f3 que los tel\u00e9fonos del Departamento de Estado de los Estados Unidos hab\u00edan sido intervenidos<\/a> con el malware<\/em> Pegasus de NSO, como ya hab\u00eda alertado Apple.<\/p>\n

Durante los \u00faltimos meses, he recibido muchas consultas de usuarios de todo el mundo preocupados sobre c\u00f3mo proteger sus dispositivos m\u00f3viles contra Pegasus y otras herramientas y malware<\/em> similares. En este art\u00edculo trataremos de abordar este tema; sin embargo, cabe destacar que no existe ninguna lista de t\u00e9cnicas defensivas definitiva. Adem\u00e1s, es necesario adaptar las t\u00e9cnicas de protecci\u00f3n a medida que los atacantes van cambiando su modus operandi<\/em>.<\/p>\n\n

C\u00f3mo mantenerse a salvo de Pegasus y otros spyware<\/em> m\u00f3viles avanzados<\/h2>\n

Lo primero que tenemos que destacar es que Pegasus es un kit de herramientas que se vende a los estados naci\u00f3n a precios relativamente elevados<\/strong>. El coste de una implementaci\u00f3n completa podr\u00eda ascender a millones de d\u00f3lares. De igual forma, otro malware<\/em> m\u00f3vil de tipo APT podr\u00eda desplegarse mediante exploits<\/em> de d\u00eda cero y cero clics. Estos son bastante caros; por ejemplo, Zerodium, una firma de brokers<\/em> de exploits<\/em> paga hasta 2,5 millones de d\u00f3lares por una cadena de infecci\u00f3n de cero clics en Android que sea persistente:<\/p>\n

\"En<\/p>\n

Desde el principio, podemos sacar una conclusi\u00f3n importante: el ciberespionaje patrocinado por los estados naci\u00f3n aporta muchos recursos. Cuando el actor de una amenaza puede permitirse gastar millones, posiblemente decenas de millones o incluso cientos de millones de d\u00f3lares en sus programas de ofensiva, es muy poco probable que un objetivo pueda evitar la infecci\u00f3n. Es decir, si est\u00e1s en el punto de mira de un actor de este tipo, la cuesti\u00f3n no es si puedes infectarte, sino m\u00e1s bien de cu\u00e1nto tiempo y recursos dispones antes de la infecci\u00f3n.<\/strong><\/p>\n

Pero tenemos buenas noticias: el desarrollo de exploits<\/u><\/em> y la guerra cibern\u00e9tica ofensiva son m\u00e1s un arte que una ciencia exacta. Los exploits<\/em> tienen que adaptarse a las versiones espec\u00edficas de los sistemas operativos y el hardware<\/em>, y pueden acabar frustrados f\u00e1cilmente por nuevas versiones de sistemas operativos, t\u00e9cnicas de mitigaci\u00f3n o, incluso, peque\u00f1os eventos aleatorios.<\/p>\n

Dicho esto, la infecci\u00f3n y la determinaci\u00f3n de los objetivos tambi\u00e9n depende de la dificultad y de los costes que suponen para los atacantes. Si bien, no siempre podremos evitar el \u00e9xito de una explotaci\u00f3n y la infecci\u00f3n del dispositivo m\u00f3vil, s\u00ed podemos intentar dificultar esta tarea lo m\u00e1ximo posible a los atacantes.<\/p>\n

Pero \u00bfc\u00f3mo funciona en la pr\u00e1ctica? A continuaci\u00f3n, te dejamos una lista de verificaci\u00f3n b\u00e1sica.<\/p>\n

C\u00f3mo protegerse del spyware<\/em> avanzado en iOS<\/h3>\n

Reinicio diario.<\/strong> De acuerdo con la investigaci\u00f3n de Amnist\u00eda Internacional y Citizen Lab, la cadena de infecci\u00f3n de Pegasus con frecuencia depende de d\u00edas cero y cero clics sin persistencia, as\u00ed que un reinicio peri\u00f3dico ayuda a limpiar el dispositivo. Si reinicias tu dispositivo todos los d\u00edas, los atacantes tendr\u00e1n que infectarlo una y otra vez. Con el tiempo, esto aumenta la posibilidad de detecci\u00f3n; ya que podr\u00eda ocurrir un fallo general o se podr\u00edan registrar artefactos que delaten la naturaleza sigilosa de la infecci\u00f3n. De hecho, no solo es una teor\u00eda, tambi\u00e9n sucede en la pr\u00e1ctica, como analizamos en un caso donde un dispositivo m\u00f3vil fue objeto de ataque mediante un exploit<\/em> de cero clics (probablemente, FORCEDENTRY). El propietario del dispositivo reiniciaba su dispositivo de manera regular, de hecho, lo hizo en las 24 horas posteriores al ataque. Los atacantes intentaron ponerlo en el punto de mira unas cuantas veces m\u00e1s, pero terminaron d\u00e1ndose por vencidos despu\u00e9s de ser expulsados un par de veces mediante los reinicios.<\/p>\n

NoReboot: un reinicio falso para afianzarse en el sistema<\/a><\/p><\/blockquote>\n