Pegasus nos espía por tierra, mar y aire
Pegasus fue el primer caballo que consiguió estar entre los dioses, aunque esto tenía truco, porque al ser el caballo de Zeus, su enchufe venía del mismísimo dios del cielo y de la tierra, así que lo tuvo fácil. Con sus alas, poco a poco ha ido volando sobre nuestras cabeza y como es un dios caballo, ha sabido transformarse en helicóptero y fusionándose con Sauron, el ojo que todo lo ve, que nos vigila desde el cielo para ver si llevamos el cinturón de seguridad puesto, si cogemos el móvil mientras conducimos, si hacemos algún adelantamiento incorrecto o si excedemos de la velocidad legal. Si Pegasus detecta que cometemos algún hecho punible, se lo dice a Santa DGT y ésta nos envía una papeleta con una multa.
Aunque no viene al caso, pero puede ser interesante conocerlo, si viajas por carretera y quieres tener la tranquilidad de que no te encontrarás con Pegasus en tu camino, además del imprescindible avisador de radares, puedes decirle a tu acompañante que mire de vez en cuando la web de FlightRadar para saber si Pegasus anda al acecho en tu camino. También puedes instalarte su app en el móvil o muchas otras similares.
Pero volviendo al tema de Pegasus y sus diferentes metamorfosis, nos encontramos con una que, sin ser nueva ya que anda suelta desde 2015, está de actualidad. De ser un ojo que todo lo ve desde el cielo, Pegasus se transforma en software que se introduce por las redes, tanto de las de cable como de las de sin cable, para esnifar todo lo que por ellas transcurre y enviárselo al propietario del software que lo analizará con detalle y actuará según sus intereses.
La polémica está en que España compró hace tiempo este software, cosa que es de dominio público y la cuestión es que si un gobierno compra un software espía, para qué lo compra si no es para espiar. La cuestión es a quién espiará: ¿A los malos?, ¿a los que no piensan o actúan como ellos?, ¿a los que son del país vecino?, ¿a los que no son del país vecino? y ya puestos, ¿a los que son del partido de la oposición?, ¿al resto de partidos?, ¿a sus socios de gobierno?, ¿a la limpiadora del congreso?, ¿al camarero del bar de enfrente del congreso?, ¿al periodista que cubre una noticia y la publica en un medio que no es de la cuerda del gobierno?, ¿al taxista que lleva a los diputados del partido de la oposición?, ¿a ti?, ¿a mi?, ¿a cualquiera de los ciudadanos? Porque ya puestos, todos somos el enemigo y lanzar con Pegasus un ataque a los móviles de millones de personas, es tan sencillo como pulsar sobre el botón «enviar» y esperar a que les devuelva resultados.
La cuestión es que todos los gobiernos tienen agencias de inteligencia y ¿para qué las tienen? Pues para espiar a los demás. España no es menos que los demás y tiene su Centro Nacional de Inteligencia (CNI) que se dedica a espiar con los juguetes que les compra el gobierno. El de ahora y todos los anteriores, porque aquí nadie está libre de pecado. El problema viene cuando les pillan, porque espiar a los otros, sean quienes sean, está bien… si no te pillan. Y cuando te pillan, miramos hacia el cielo, decimos que yo no fuí, ponemos cara de buenos y abrimos comisiones de investigación que llevarán a la ruina al cabeza de turco de turno. Vamos, lo habitual. Pero mientras tanto, el software sigue haciendo de las suyas, porque una vez lanzado no hay quien lo pare.
Ahora te voy a contar de una forma muy sencilla qué es el software Pegasus. Este software lo desarrolla una empresa de Israel denominada NSO Group que lo vende al gobierno del país que lo quiera comprar. Esta empresa dice que es un software que «ayuda a los gobiernos a defender su seguridad» y bueno, si nos creemos sus argumentos y damos por hecho que los gobiernos nos van a espiar por nuestro bien, pues igual hasta les damos carta blanca, pero va a ser que no. Pegasus no deja de ser lo que se denomina spyware, es decir un software espía que se introduce de forma ilegal (incluso aunque lo lance un gobierno) en el móvil de la víctima y extrae información de su interior, además de garbar las conversaciones telefónicas, los correos electrónicos y los chat mantenidos a través de las app de mensajería instantánea. Esto hecho por orden de un juez y contra un presunto delincuente, es un acto legal, pero realizado por una agencia de inteligencia, de forma indiscriminada o claramente dirigida y por su cuenta y riesgo o por orden del gobierno, es un acto ilegal y por el que no debe pagar el chivo expiatorio de turno, sino la cabeza y los actores que hayan llevado a cabo el espionaje.
En concreto, Pegasus es un spyware que se configura como un atacante de Día Cero que busca vulnerabilidades en el dispositivo de la víctima que aún no hayan sido detectadas por el fabricante y, por lo tanto, aún no hayan sido corregidas por éste. Pero además de explotar estas vulnerabilidades, podrá explotar aquellas vulnerabilidades que aún estén sin corregir por la víctima al no haber actualizado su dispositivo y sus app. En definitiva, que si Pegasus decide entrar en tu dispositivo, entrará. ¿Y cómo puede entrar Pegasus en un móvil? Pues lo primero que hará es enviar a la víctima mensajes de texto (SMS), correos electrónicos o mensajes de Whatsapp para engañar a la víctima y obligarle a pinchar en un enlace que le llevará a una web o a descargar un archivo de audio o vídeo que incluya el código malicioso que infectará el dispositivo de la víctima. En otras palabras y fíjate bien en los que te digo, siempre será la víctima quien de forma consciente o inconsciente instale en su dispositivo el malware que le extraerá toda su información y se la envíe al atacante. Esto significa que si a alguien le llega un correo que contiene un enlace, antes de lanzarse a pinchar en el enlace, hay que analizar con calma qué puede haber detrás de ese enlace y ante la duda, lo mejor es borrar el correo y a poder ser, jamás abrirlo.
Pero leyendo esto, podría ser fácil pensar en lo sencillo que puede ser no infectarse con Pegasus y nada más lejos de la realidad. Si tú eres un objetivo claro de tu atacante, éste intentará realizar un ataque aún más sofisticado haciendo que uno de sus, llamémosle, agentes se coloque físicamente a pocos metros de ti y usando un transceptor inalámbrico, te transfiera el código usando un ataque denominado Zero Click o Zero Touch que combinado con las técnicas usadas previamente en el ataque Zero Day harán que se simule en el dispositivo de la víctima un toque en la pantalla que permita transferir el código malicioso desde el dispositivo del agente hasta el dispositivo de la víctima usando el transceptor y aquí ya sí que no puedes hacer mucho para defenderte.
Otra de las bondades de las que dispone Pegasus es su capacidad de no dejar rastro, como no podía ser de otra manera. No tiene mucho sentido que entremos en casa de alguien a robar información si vamos a ir dejando pistas detrás de nosotros que puedan identificarnos, así que lo que haremos es borrar nuestras huellas a medida que vayamos andando y esto es lo que hace Pegasus y lo que lo hace tan difícil de rastrear, aunque no imposible. Un problema que tiene Pegasus para camuflarse dentro del dispositivo si no quiere ser detectado, es que no debe dejar rastro en el sistema de almacenamiento, por lo que siempre debe ejecutarse y esconderse en la memoria RAM y ahí está su peor enemigo. Si sospechamos que Pegasus nos está espiando, debemos apagar el móvil de inmediato, mantenerlo unos minutos apagado y encenderlo de nuevo. Con esto, Pegasus pasará temporalmente a la historia hasta que te vuelvan a infectar, porque si eres su objetivo lo intentarán de nuevo. Vamos, que por si acaso y aunque no seas objetivo de nadie, termina de leer este artículo y apaga el móvil para curarte en salud.
¿Es posible detectar la presencia de Pegasus en un móvil? Pues sí, es posible. El común de los mortales podremos notar que nuestro móvil comienza a gastar más batería de lo normal, incluso que se calienta. Nos habrán llegado correos extraños o SMS de orígenes que no conocemos. Si estamos en una red wifi, podremos notar que aumenta el tráfico, eso sí, si miramos las luces del router y vemos que sin hacer nada, siguen parpadeando. Todo esto son indicios, no pruebas, pero aún así, lo mejor es apagar el móvil, esperar unos minutos y volver a encenderlo. Pero sin paranoias, que te conozco.
Si además tienes algunos conocimientos un poco más avanzados, existe una herramienta denominada MVT que es capaz de detectar a Pegasus dentro de un dispositivo. Se puede descargar libremente desde GitHub, pero si eres usuario de Windows, olvídate, porque solo funciona en Linux o Mac. Toda la información necesaria para ejecutar MVT está disponible en la guía oficial del kit de verificación. En la web de descarga de MVT dentro de GitHub tienes unos pasos sencillos para pasar los diagnósticos iniciales que te permitan detectar a Pegasus. Deberás conectar tu móvil al ordenador mediante un cable USB y deberás tener ciertos conocimientos sobre el manejo de ADB, pero nada del otro mundo. Luego ejecutas los comandos que aparecen en la guía y a cruzar los dedos.
Y poco más te puedo decir. Usa siempre el sentido común a la hora de pinchar en enlaces que te lleguen de orígenes desconocidos o, incluso, desde los conocidos pero que no esperes, ten siempre actualizado tu móvil y sus aplicaciones y resetéalo de vez en cuando. No solo podrás eliminar algún malware, además de Pegasus, que esté en la RAM, sino que el sistema operativo se limpiará de procesos inecesarios y se reiniciará, ofreciendo algo más de eficacia en su rendimiento. Y sobre todo, recuerda que la seguridad al 100% no existe.
