Pegasus, el software espía que ha infectado los móviles de Pedro Sánchez, el presidente de España, y Margarita Robles, ministra de Defensa, es uno de los sistemas más sofisticados de espionaje para teléfonos móviles que existen, y sólo ha sido detectado con análisis forenses.
Un folleto de NSO Group citado por El País lo presenta como indetectable, y se ha dicho que el programa utiliza distintos trucos para que el usuario no sospeche de su existencia, como dejar de reportar datos cuando tiene menos de 5% de batería o reportar la información sólo a través de wifi si el objetivo viaja al extranjero, para que no salte el aviso por roaming. El atacante también puede activar la autodestrucción, haciendo desaparecer el virus del teléfono.
La complejidad del software espía israelí hace que no sea fácil descubrirlo, y lo que se sabe de él se ha obtenido por medio de filtraciones o análisis forenses como el de Citizen Lab, o el que realizó el Centro Criptológico Nacional (CCN) en los teléfonos de Sánchez y Robles.
Un espía indetectable
Hay 50.000 dispositivos infectados por Pegasus entre 2016 y 2021, según calcula Citizen Labs. ¿Cómo identificarlos? La cuestión es bastante complicada para el ciudadano de a pie e, incluso en los casos en los que se ha certificado la infección, parece imposible saber de quién proviene.
“La dificultad para prevenir y detectar los ataques de Pegasus es el resultado de una asimetría insostenible entre las capacidades de los atacantes y la inadecuada protección de las personas en riesgo”, dice Carlos de las Heras, experto en Tecnología y Derechos Humanos de Amnesty International.
Un equipo tecnológico de esta ONG es quien ha desarrollado una herramienta de código abierto para detectar si un móvil de Android o Apple tiene trazas de Pegasus: se llama Mobile Verification Toolkit (MVT) y está disponible gratuitamente en Github.
Sin embargo, está creada para ser utilizada por expertos, ya que su uso requiere comprender los fundamentos del análisis forense y utilizar herramientas de línea de comandos. No está pensada para el autoanálisis de un usuario final y, hasta donde conoce Amnistía, no existe una aplicación fiable y eficaz de análisis forense para el usuario común.
Qué es el Mobile Verification Toolkit
Mobile Verification Toolkit (MVT) es el nombre de un software desarrollado y publicado por el Laboratorio de Seguridad de Amnistía Internacional en julio de 2021. Permite hacer un análisis forense de dispositivos Android e iOS, con el fin de identificar rastros de Pegasus.
Esta herramienta forense para móviles se ha publicado con licencia de código abierto y tanto la arquitectura, como el funcionamiento, la metodología y los indicadores técnicos están detallados. El fin es ayudar a los investigadores de seguridad de la información y a la sociedad civil a detectar y responder a estas graves amenazas.
Sus creadores especifican que MVT está diseñado para un uso consensuado, es decir que hay que hacer el análisis sobre dispositivos cuyo usuario o dueño haya aceptado voluntariamente y un uso diferente no está amparado por la licencia. Esta colección de utilidades está en evolución porque siguen actualizándola, y por el momento tiene las siguientes capacidades:
- Descifrar copias de seguridad cifradas de iOS.
- Procesar y analizar registros de numerosas bases de datos de sistemas y aplicaciones de iOS, registros y análisis del sistema.
- Extraer aplicaciones instaladas de dispositivos Android.
- Extraer información de diagnóstico de los dispositivos Android a través del protocolo adb.
- Comparar los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2.
- Generar registros JSON de los registros extraídos, y registros JSON separados de todos los rastros maliciosos detectados.
- Generar una línea de tiempo cronológica unificada de los registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.
El análisis de los registros que se obtienen con MVT permite conocer si hubo interferencias o procesos relacionados con Pegasus, pero no es posible saber quién está detrás de un ataque o intrusión detectado.
“Esta es una de las grandes dificultades para organizaciones como la nuestra», explican desde Amnistía, «la casi imposibilidad de conocer quién es el atacante. Esta es una de las grandes fortalezas de Pegasus. Además, incluso la propia compañía, NSO Group, facilita a los atacantes una especie de salvaguardia que elimina la aplicación si se detecta que está siendo buscada, es decir, se autodestruye».
De las Heras admite que es posible que en el ámbito privado existan herramientas más complejas que MVT para detectar Pegasus.
- Carlos de las Heras, experto en Tecnología y Derechos Humanos de Amnesty International
- Citizen Lab: The Million Dollar Dissident – NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender
