Un nuevo escáner de teléfonos que detecta spyware ya ha encontrado 7 infecciones de Pegasus
En los últimos años, el spyware comercial ha sido desplegado por más actores contra una gama más amplia de víctimas. No obstante, la detección de dispositivos infectados es una tarea complicada, lo que ha llevado a las personas a recurrir a instituciones académicas y ONG que están a la vanguardia en el desarrollo de técnicas forenses para rastrear programas espía en teléfonos. Esta semana, la empresa de seguridad de smartphones iVerify publicó los resultados de una función de detección de programas espía que lanzó en mayo; de los 2,500 escaneos a los dispositivos que los clientes enviaron a la empresa para ser inspeccionados, siete revelaron infecciones por el conocido malware Pegasus de NSO Group.
Un grupo de expertos en seguridad creó un algoritmo que convierte un prompt malicioso en un conjunto de instrucciones ocultas que podrían enviar la información personal de un usuario a un atacante.
¿Cómo detectó el malware?
La función «Mobile Threat Hunting» de la empresa utiliza una combinación de detección basada en firmas de malware, heurística y aprendizaje automático para buscar anomalías en la actividad de los dispositivos iOS y Android o signos reveladores de infección por software espías. Para los clientes de pago, la herramienta comprueba periódicamente los dispositivos en busca de posibles amenazas. Pero también ofrece una versión gratuita para cualquiera que descargue la aplicación iVerify Basics por 1 dólar. Estos usuarios pueden seguir los pasos para generar y enviar un archivo especial de utilidad de diagnóstico a iVerify y recibir el análisis en cuestión de horas. Los usuarios gratuitos pueden usar la herramienta una vez al mes. Aunque la infraestructura de iVerify está diseñada para preservar la privacidad, Mobile Threat Hunting pide introducir una dirección de correo electrónico para que la empresa pueda ponerse en contacto con ellos si el análisis detecta spyware, como ocurrió en los siete descubrimientos recientes de Pegasus.
Rocky Cole, director de operaciones de iVerify y antiguo analista de la Agencia de Seguridad Nacional de EE UU (DHS, por sus siglas en inglés), afirma que lo realmente sorprendente es que los objetivos no eran solo periodistas y activistas, sino líderes empresariales, ejecutivos de empresas comerciales y cargos públicos: «El ataque es más parecido al de un malware o un grupo APT cualquiera que a la versión difundida de que el spyware se utiliza para monitorear a los activistas». Siete de cada 2,500 escaneos puede parecer un grupo pequeño, especialmente en la base de clientes de la compañía, con cuentas «autoseleccionadas» de pago o gratuitas que quieren controlar la seguridad de los teléfonos más allá de encontrar un software espía. Sin embargo, el hecho de que la herramienta haya detectado un puñado de intromisiones indica hasta qué punto ha proliferado el uso de programas de vigilancia en todo el mundo. Disponer de una herramienta similar a Mobile Threat Hunting, puede calcular con qué frecuencia se emplea este tipo de software.
Los investigadores afirman que trabajadores del gobierno armenio, periodistas y, al menos un funcionario de la ONU, fueron objetivo de la herramienta.
El trabajo de iVerify aún no termina
«NSO Group vende sus productos exclusivamente a agencias de inteligencia y policiales aliadas de EE UU e Israel. Nuestros clientes utilizan estas tecnologías a diario», declaró a WIRED Gil Lainer, portavoz de NSO Group.
El vicepresidente de investigación de iVerify, Matthias Frielingsdorf, presentará los resultados de Pegasus en la conferencia de seguridad Objective by the Sea, que se celebrará el mañana, 6 de diciembre en Maui, Hawai. Cole explica que el desarrollo de la herramienta de detección ha requerido una inversión considerable, ya que los sistemas operativos móviles como Android y, en particular, iOS, están más bloqueados que los sistemas operativos tradicionales de escritorio y no permiten que el software de supervisión tenga acceso al núcleo del sistema: «La pieza crucial de esta operación fue utilizar la telemetría desde lo más cerca posible al núcleo para ajustar los modelos de aprendizaje automático». Algunos programas espía, como Pegasus, también tienen rasgos característicos que facilitan su detección, por ejemplo, en las siete detecciones se encontró Pegasus utilizando datos de diagnóstico, registros de apagado y registros de bloqueos. Pero el reto, sugiere Cole, consiste en perfeccionar las herramientas de vigilancia móvil para reducir los falsos positivos.
No obstante, el desarrollo de tecnologías de detección ya ha tenido un valor incalculable. Cole comenta que iVerify ayudó a identificar indicios de peligro en el smartphone de Gurpatwant Singh Pannun, abogado y activista político sij que fue objeto de un supuesto intento frustrado de asesinato por parte de un empleado de gobierno indio en Nueva York. La función Mobile Threat Hunting también detectó presuntas actividades de Estados-nación en los dispositivos móviles de Kamala Harris y Tim Walz durante la carrera presidencial.
«La época en la que se daba por sentado que los iPhones y los teléfonos Android eran seguros es historia. Había barreras técnicas que dejaban atrás a mucha gente. Ahora tienes la capacidad de saber si tu teléfono está infectado con un programa espía comercial. Y la tasa es mucho más alta que la que indica la narrativa predominante», concluye Cole.
Artículo originalmente publicado en WIRED. Adaptado por Alondra Flores.
