Vuelve Pegasus, ahora con nuevas capacidades. Al menos así se desprende de los documentos e información recabada por el Financial Times. Según esta nueva versión, Pegasus puede acceder a las nubes personales de usuarios a los que previamente se ha infiltrado mediante spyware. Entre estos servicios cloud se encuentran Apple, Google, Facebook, Amazon y Microsoft. Se trata de un servicio controvertido ofrecido únicamente a gobiernos "responsables" pero que en el pasado ha acabado en manos de estados autoritarios.
Cómo funciona Pegasus en su nueva versión de spyware
Pegasus es un servicio comercializado por la empresa israelí NSO Group Technologies. Está pensado para que las fuerzas de seguridad e inteligencia puedan acceder a los datos contenidos por los dispositivos de, al menos, las cinco grandes tecnológicas. El procedimiento es el siguiente, según la documentación obtenida por el Financial Times:
- Se instala el software espía en un dispositivo de la persona objetivo.
- Pegasus clona las credenciales de acceso del dispositivo a la nube y las traslada a un servidor.
- El servidor se descarga todos los datos almacenados en la nube, que puede incluir años de información.
- Los operadores de la vigilancia reciben toda esta información.
Es importante destacar que Pegasus funciona únicamente cuando un dispositivo ha sido infectado con su spyware. De modo que no se trata de un sistema que permita un acceso a dispositivos de forma masiva e indiscriminada. Hace falta infectar un dispositivo del sujeto, probablemente vía un enlace con el ataque en un mensaje o email. Este tipo de ataque hace inservible la autenticación de dos factores, según esa misma documentación.
La forma que tiene de acceder a la información hace a Pegasus independiente del dispositivo. Una vez garantizado el acceso a la nube del usuario, puede obtener datos e información de cualquiera de los dispositivos que se sincronicen a ella: smartphones, tablets y ordenadores. Entre ellos, los de Apple. La compañía proporcionó la siguiente declaración al FT:
Apple dijo que su sistema operativo es "la plataforma computacional más segura del mundo. A pesar de que puedan existir herramientas muy caras para ejecutar ataques concretos a un pequeño número de dispositivos, no creemos que esto sea útil para ataques a gran escala contra los consumidores". La compañía añadió que actualiza su sistema operativo y ajustes de seguridad con regularidad.
Cómo deshacerse de Pegasus
Para quienes tengan buena memoria, Pegasus les sonará como el software perteneciente a NSO Group que hace tres años se empleó para acceder al dispositivo de un activista por los derechos humanos en Emiratos Árabes Unidos. Se trataba de un ataque distinto en el que se infectó el iPhone de este activista. En su momento, Apple lanzó iOS 9.3.5 para cerrar el error de seguridad que permitía ese exploit.
Y hace unos meses, se descubrió que un error en WhatsApp permitía a hackers instalar software espía en el iPhone y dispositivos Android. En esta ocasión, el ataque volvía a estar dirigido a una única persona y no podía aplicarse de manera masiva. WhatsApp ha corregido ese error y ya no puede explotarse.
Para este nuevo ataque no parece que haya una manera sencilla de arreglarlo. Al menos de momento, ya que la autenticación con la nube tanto de Apple como del resto de compañías afectadas está basada en estándares comunes en toda la industria. No parece ser algo que se solucione con una actualización.
Sin embargo, el Financial Times da una solución a Pegasus. Restaurar y poner de fábrica un dispositivo de Apple no solucionaría el problema, ya que el spyware clona las credenciales de acceso. La única manera de romper su acceso es cambiando las contraseñas de acceso al servicio. Eso "cancela la viabilidad del token de autenticación replicado hasta que Pegasus sea desplegado de nuevo".
Ver 10 comentarios