Los investigadores de seguridad han descubierto los dedos del software espía Pegasus de NSO Group en medio de un conflicto militar, marcando la primera vez que se sabe que el software espía se ha utilizado de esa manera.
El software espía insidioso conocido como Pegasus existe desde al menos 2014, pero en los últimos años, se han ido acumulando lentamente más informes sobre su mal uso y abuso.
La poderosa y sofisticada herramienta, desarrollada por la firma de tecnología israelí NSO Group, se basa en encontrar vulnerabilidades de seguridad en el iPhone y iOS que le permiten obtener acceso casi completo a la información personal de un usuario, a menudo sin nada. más que un mensaje de texto, un correo electrónico o un enlace a una página web creados con fines malintencionados. La mayoría de las veces, los investigadores de NSO Group pueden encontrar”exploits de cero clics”que les permiten comprometer un iPhone sin ninguna interacción por parte del propietario del dispositivo.
Según NSO Group, Pegasus está diseñado para ser utilizado para el bien, como la lucha contra el terrorismo y el crimen organizado. Lamentablemente, cualquier herramienta de este tipo es un arma de doble filo: puede espiar a los inocentes con la misma facilidad que a los culpables, y es inevitable que algo tan poderoso como Pegasus se utilice con fines nefastos.
NSO Group solo otorga licencias de Pegasus a los gobiernos, pero tampoco parece particularmente exigente con los gobiernos que cuenta como clientes. Si bien ha revocado las licencias de aquellos a los que se les descubrió haciendo un mal uso de Pegasus, eso solo se hace después del hecho, y frente a pruebas sólidas de abuso.
Desafortunadamente, si bien es fácil encontrar las huellas dactilares de Pegasus en el iPhone de una víctima, es más difícil rastrear eso hasta su origen. Hace dos años, un análisis forense realizado por Amnistía Internacional y el Citizen Lab de la Universidad de Toronto revelaron que el software espía se había utilizado para atacar y espiar a docenas de “ defensores de los derechos humanos (DDH) y periodistas de todo el mundo” y que era la fuente de “vigilancia ilegal y abusos de los derechos humanos generalizados, persistentes y continuos”. Sin embargo, los investigadores solo podían especular sobre el origen de estos ataques.
Sin embargo, este informe fue lo suficientemente serio como para que Apple decidiera que era hora de intentar demandar a NSO Group, describiendo a la firma israelí como un grupo de”mercenarios amorales del siglo XXI”. Casi al mismo tiempo, Apple también prometió comenzar a notificar a los usuarios de iPhone que podrían haberse convertido en objetivos de spyware patrocinado por el estado.
Los pasos que estamos tomando hoy enviarán un mensaje claro: en un sociedad, es inaceptable utilizar un poderoso spyware patrocinado por el estado como arma contra aquellos que buscan hacer del mundo un lugar mejor.
Ivan Kristin, jefe de Ingeniería y Arquitectura de Seguridad de Apple
Si bien Pegasus es quizás el más conocida de estas herramientas de spyware de grado militar, no es la única. Unos meses más tarde, surgieron noticias de Predator, otra herramienta de spyware peligrosa desarrollada por uno de los competidores de NSO Group, con informes de que se había encontrado junto con Pegasus en iPhones pertenecientes a personas que habían perdido el favor político de sus gobiernos.
Mientras tanto, una vez que Apple inició su programa de notificaciones, varios empleados del Departamento de Estado de EE. UU. descubrieron que habían sido atacados por Pegasus, junto con docenas de activistas tailandeses a favor de la democracia, un fiscal polaco, y varios altos funcionarios de la UE, incluidos el presidente del Gobierno de España. Si bien la evidencia circunstancial señaló al gobierno de Uganda como la fuente del ataque contra los empleados del Departamento de Estado de EE. UU., tal vínculo nunca se probó.
Pegasus entra en conflicto militar
Ahora, The Guardian informa que al menos un país ha llevado a Pegasus, y posiblemente a Predator, a un nivel completamente nuevo al desplegarlos contra oponentes en un conflicto militar.
Una coalición de investigadores de Access Now, CyberHUB-AM, el Laboratorio de Ciudadanos de la Universidad de Toronto, el Laboratorio de Seguridad de Amnistía Internacional y el investigador independiente Ruben Muradyan identificaron una”campaña de piratería”dirigida a funcionarios involucrados en un largo-conflicto militar en marcha entre Armenia y Azerbaiyán.
Los dos países han estado disputando la propiedad de Nagorno-Karabaj región desde 1994 y fueron a la guerra en 2020 por el control de la región. Si bien hay señales recientes de que este conflicto podría llegar pronto a un final pacífico, parece que Pegasus y Predator se usaron como armas de guerra durante la campaña.
Los investigadores descubrieron que los dispositivos pertenecientes a personas con base en Armenia habían sido comprometido en noviembre de 2021 como resultado de las notificaciones que Apple comenzó a enviar en ese momento. The Guardian informa que una funcionaria del gobierno, Anna Naghdalyan, había sido “hackeada al menos 27 veces entre octubre de 2020 y julio de 2021” mientras se desempeñaba como portavoz del Ministerio de Relaciones Exteriores de Armenia.
En su cargo, Naghdalyan estuvo muy involucrada en discusiones y negociaciones delicadas relacionadas con el conflicto,”incluidos los intentos de mediación de alto el fuego por parte de Francia, Rusia y EE. UU. y las visitas oficiales a Moscú y Karabaj”. Le dijo al equipo de Access Now que tenía”toda la información sobre los desarrollos durante la guerra en [su] teléfono”en el momento de su piratería, y que ahora siente que no hay forma de que se sienta completamente segura”.
Esto plantea preguntas importantes sobre la seguridad de las organizaciones internacionales, los periodistas, los trabajadores humanitarios y otras personas que trabajan en situaciones de conflicto. También debería enviar un escalofrío a todos los gobiernos extranjeros cuyo servicio diplomático se ha involucrado en el conflicto.
John Scott-Railton, investigador principal de Citizen Lab
Naghdalyan estaba lejos de ser el único víctima que descubrió que su iPhone había sido comprometido por Pegasus. Otros incluyeron a un periodista de radio que cubría la crisis política y al menos un invitado que apareció en su programa, junto con varios otros periodistas, profesores y defensores de los derechos humanos “cuyo trabajo se centró en el conflicto militar”.
Según Según Access Now, un total de 12 personas han sido identificadas por haber comprometido iPhones durante el tiempo del conflicto, aunque cinco han optado por permanecer en el anonimato. Esto incluye a un representante de la ONU que no puede presentarse debido a las regulaciones de la ONU.
Al igual que en otros casos recientes, las huellas dactilares de Pegasus se encontraron en los iPhone en cuestión, pero los investigadores no pudieron vincular los datos de manera”concluyente”con un cliente específico de NSO Group. El gobierno de Azerbaiyán es el culpable más probable, y los investigadores han encontrado evidencia de que es un cliente de NSO Group, incluidas las infecciones de un clic de Pegasus vinculadas a dominios y sitios web políticos de Azerbaiyán.
Los investigadores reconocieron que también es posible que el gobierno de Armenia haya tenido interés en hackear al menos a algunas de las personas. Sin embargo, Armenia parece ser solo un cliente de Cytrox, que desarrolla el software espía rival Predator.
Protéjase contra Pegasus
Afortunadamente, a pesar de lo peligrosos que son Pegasus y Predator, la buena noticia es que estas herramientas solo están disponibles para los gobiernos, y se utilizan para objetivos altamente específicos y ataques específicos. Eso significa que no es probable que la mayoría de nosotros seamos víctimas de spyware de grado militar como este. Simplemente no somos tan interesantes.
Además, Apple sigue jugando al gato y al ratón con los expertos en seguridad de sombrero gris que trabajan para empresas como NSO Group y Cytrox. Casi todas las nuevas versiones de iOS en estos días incluyen parches para vulnerabilidades de seguridad, lo que genera la necesidad de que los desarrolladores de spyware descubran nuevos para aprovecharlos.
Apple también ha proporcionado herramientas para periodistas y otras personas de alto riesgo. para ayudar a mitigar el riesgo, incluido un modo de bloqueo de alta seguridad en iOS 16 y verificación de clave de contacto de iMessage que probablemente llegará en iOS 16.6. Si bien estas son características que la mayoría de la gente nunca necesitará habilitar, ofrecen una seguridad más estricta para cualquiera que piense que es probable que sea víctima de software espía como Pegasus o Predator.