Por qué es importante usar el nuevo Modo Lockdown en iPhone

El uso de aplicaciones sofisticadas para espiar a altos funcionarios de gobierno, periodistas o empresarios es un hecho. El caso más reciente de estos ciberataques nos remite al software Pegasus. Un programa bastante complejo que intervino los teléfonos de varios políticos españoles, incluyendo al propio presidente, Pedro Sánchez. Sin embargo, antes de atacar en nuestro país, Pegasus ya se había convertido en un dolor de cabeza para mandatarios y personas influyentes en todo el mundo.

Apple, plenamente consciente de esta nueva amenaza, ha desarrollado el Modo Lockdown, un sistema que permite protegerse de este tipo de software espía. Pero, hay más formas de evitar la amenaza, configurando de manera adecuada nuestros dispositivos y siguiendo algunos consejos básicos de ciberseguridad.

En este artículo te vamos a explicar qué es Pegasus, cuál es su nivel de peligrosidad y en qué consiste el nuevo modo estrenado por Apple. Además, compartiremos consejos importantes para que mantengas a salvo todos tus dispositivos conectados.

¿Qué es Pegasus?

Pegasus es un software desarrollado por la empresa de ciberseguridad NSO Group. Una compañía israelí con sede en Herzliya y que tiene bastante prestigio en el ámbito tecnológico y corporativo.

La particularidad de este programa es que es capaz de infiltrarse en dispositivos, utilizando puertas traseras en las aplicaciones. Algo que puede llevar a cabo capturando privilegios root, lo que le permite hacerse con el control total de un teléfono.

Sin embargo, ver a Pegasus como un único programa sería un error. En realidad es un kit o conjunto de herramientas combinadas que permiten vulnerar la privacidad del móvil o dispositivo objetivo. Dentro de estas herramientas tenemos el vector de ataque, agente e interfaz de mando y control. 

La implementación de este sistema puede costar millones de dólares. Por lo mismo, quienes pagan por este tipo de sistemas son grandes empresas y gobiernos más o menos democráticos. El objetivo final es espiar las comunicaciones y obtener información estratégica sobre los competidores o disidentes políticos.

Quién utiliza Pegasus

Es importante destacar que Pegasus lleva varios años actuando a nivel mundial y es usado principalmente por gobiernos que espían o desean obtener información sobre otros estados. De hecho, su primera aparición sucedió en el 2016 cuando el activista de derechos humanos, Ahmed Mansoor, notificó la recepción de un mensaje sospechoso al investigador Bill Marczack del Citizen Lab de la Universidad de Toronto. Las conclusiones del investigador fueron contundentes. El mensaje formaba parte de un sistema muy sofisticado que estaba intentando acceder al iPhone del activista. Apple, sorprendida por la noticia, resolvió el problema rápidamente con una actualización que llegó el mismo año en que se descubrió la vulnerabilidad.

Pero lo más gordo sucedió en el 2021. El periódico The Guardian, junto con otros 16 medios, denunciaron que cerca de 3000 activistas de derechos humanos, periodistas y abogados de todo el mundo habrían sido espiados con Pegasus. Algo que provocó, además, la publicación de un artículo especial en la página de Amnistía Internacional en donde se explicaba toda la trama relacionada con el software de la compañía NSO.

Proyecto Pegasus

Este movimiento informativo se conoce como Proyecto Pegasus y puso sobre la mesa el conflicto que estaba provocando el uso de este software que se vende de forma legal con la justificación de prevenir ataques terroristas y criminales.

El laboratorio de Seguridad de Amnistía Internacional descubrió, además, que este programa había sido utilizado para espiar al periodista saudí Jamal Khashoggi y a otros miembros de su familia. También se identificaron al menos 180 periodistas en 20 países, quienes habrían sido seleccionados para ser atacados por el software de NSO.

El caso más delicado ocurrió en México, en donde un periodista fue seleccionado como objetivo de Pegasus, tan solo unas semanas antes de ser asesinado. Lo que dejaba en evidencia una correlación entre el software y las peores consecuencias imaginables.

Con todo esto se demostró que Pegasus no se usaba únicamente como una medida eficaz contra el terrorismo y otros delitos. También era empleado por gobiernos y clientes privados que le habían dado una dirección completamente distinta. En ese momento, NSO negó todas las acusaciones y no reveló el nombre de los clientes que se habían hecho con el kit.

La situación en España

En España la utilización de Pegasus ocasionó una enorme polémica. Esto, a propósito de un informe emitido por el Citizen Lab, un grupo especializado en ciberseguridad.

En él se mencionaban a 63 políticos, abogados y activistas independentistas cuyos móviles habían sido intervenidos con el software espía. Algo que había ocurrido durante y posterior a la crisis fallida de independencia ocurrida en el 2017. 

Este evento, conocido como CatalanGate, obligó a las autoridades a dar explicaciones. Momento en el que aparecen las declaraciones del CNI, en donde se desligaba del uso de este programa, aunque admitía que había realizado espionaje a algunas personas específicas relacionadas con la crisis catalana. Todo esto con autorización judicial. Al mismo tiempo, el gobierno comunicó que los móviles del presidente Pedro Sánchez y Margarita Robles, ministra de defensa, habían sido intervenidos por Pegasus entre mayo y junio del 2021.

¿Es legal la utilización de Pegasus?

Técnicamente, sí. Pero vistas las evidencias de su utilización fraudulenta e invasiva en ámbitos que no necesariamente tienen que ver con el terrorismo y el crimen, esa definición se vuelve bastante opaca.

Por lo demás, este Laissez Faire tiene mucho que ver con la industria del spyware que mueve en el mundo cerca de 12.000 millones de dólares. Una suma bastante elevada y que se debe, en gran parte, a la demanda de sistemas de este tipo por corporaciones y estados que se hacen con esta tecnología con la excusa de protegerse de potenciales amenazas a su estabilidad.

Después de todo, la aparición de empresas privadas como NSO son la respuesta a esa demanda viva que pide un producto de defensa que, en algunos casos, puede transformarse en un arma de doble filo para los propios estados y la democracia.

Por lo demás, si el ámbito del ciberespionaje es impulsado por los estados, el alcance que este puede tener es bastante profundo, dada la enorme cantidad de recursos que se ponen en dicha tarea. De esta forma, si una persona se transforma en objetivo de este tipo de prácticas, será realmente difícil que las pueda esquivar completamente. Esto, porque la cantidad de dinero utilizado en este tipo de tecnología es directamente proporcional a la sofisticación del ataque.

De todas maneras, aunque la comercialización de Pegasus parece algo legal, esto no ha evitado las acciones de Apple, que a finales del 2021 presentó una demanda en contra de NSO Group, el desarrollador del software espía. Algo que se sumó a las declaraciones tajantes del gigante tecnológico Meta. 

Apple y Meta advierten sobre la tecnología de vigilancia patrocinada por el estado

Para hacer frente a la amenaza de Pegasus, la compañía de la manzana publicó un comunicado de prensa el 23 de noviembre del 2021. En él informa sobre la demanda realizada en contra de NSO, desarrollador de Pegasus. Pero, además, ofrece bastantes detalles sobre la forma en que operan los actores patrocinados por el estado y que gastan millones de dólares en sofisticadas tecnologías de vigilancia sin una rendición de cuentas efectiva.

Profundizado en los ataques que recibieron algunos de sus terminales, la compañía señaló un exploit llamado FORCEDENTRY, desarrollado por NSO. Un programa que aprovechaba una vulnerabilidad presente en los dispositivos de la compañía y que esta se apresuró en parchear para evitar que el problema fuera a más. De hecho, la demanda hecha contra la compañía israelí considera el uso de ese exploit.

En la nota de prensa, Apple admite que el spyware atacó un pequeño número de usuarios de Apple en todo el mundo, usando de manera combinada malware y spyware peligrosos. Por lo mismo, se incluyeron una serie de actualizaciones en iOS 15 para reforzar la seguridad.

Por lo demás, la empresa se ha comprometido en apoyar a los investigadores de Citizen Lab con asistencia técnica, inteligencia de amenazas e ingeniería pro-bono para ayudar a su misión de investigación independiente. Apple también anunció su respaldo a otras iniciativas de ciberseguridad como Amnesty Tech, aportando recursos para proteger a las víctimas de este tipo de ataques.

Meta también hace lo suyo

Meta emitió un comunicado oficial, casi un mes después de la nota de prensa de Apple. En él hace alusión al peligro que reviste la industria de la vigilancia por contrato. 

En este caso, la empresa de Mark Zuckerberg ha ido más lejos, catalogando como cibermercernarios a los actores que se escudan en el combate contra el crimen y el terrorismo para desarrollar herramientas de espionaje de dudosa aplicación. Un mazazo directo a NSO.

Además, la compañía informó la inhabilitación de siete entidades que se dirigieron a personas a través de internet en más de 100 países con fines opacos. Adicionalmente, compartió los hallazgos con investigadores de seguridad, formuladores de políticas y emitió advertencias de cese y desistimiento. Posteriormente, alertó a las personas atacadas, para que estas pudieran fortalecer su seguridad.

Reconocimiento, compromiso y explotación

Algo que llama mucho la atención del comunicado de prensa de Meta es que ofrece un completo reporte en donde expone el comportamiento que tienen las empresas especializadas en cibervigilancia y que usan procedimientos opacos. Dentro de este sistema reconoce tres pasos fundamentales que forman parte de la estructura de ataque y que son:

Reconocimiento

Esta fase se considera como aquella en donde se recoge información de los objetivos o personas que van a ser espiadas. Es la menos visible de todas y se considera el primer paso dentro de sistemas más amplios como los que aparecen en el funcionamiento de Pegasus. En este apartado se utiliza software automatizado para captar la mayor cantidad de información de internet.

Las fuentes de información pueden ser registros en línea, blogs, redes sociales y plataformas de gestión del conocimiento como Wikipedia y Wikidata. Se incluyen, además, medios de comunicación, fotos y sitios de la Dark Web.

Compromiso

Es la fase más visible de todas. En ella se emplean, habitualmente, tácticas de ingeniería social. En este caso, se intenta contactar con la víctima u objetivo para generar confianza y obtener información complementaria. Además, se le incita a hacer clic en enlaces o archivos maliciosos.

Literalmente, es el momento en donde hay un compromiso mayor entre el atacante y el objetivo y en donde será vital el accionar del atacado para abrir la puerta al resto de amenazas subyacentes.

Explotación

Es la fase menos visible, pero al mismo tiempo la más dañina. Esto, porque en ella se aprovechan las vulnerabilidades expuestas a través de las otras dos fases. Aquí es donde entra en juego el malware, el software espía y en donde puede ocurrir la exposición de datos de una forma crítica para la víctima del ataque.

En esta etapa aparecen las herramientas más sofisticadas como el uso de Phishing, páginas web falsas y una serie de programas que comprometen directamente la información privada e incluso bancaria del atacado. Si un ataque de espionaje llega a este punto es porque las dos fases anteriores han resultado efectivas y porque la víctima, en algún punto, también ha permitido por ignorancia el acceso a su información.

Meta remarca el hecho de que estos sistemas de vigilancia y espionaje a sueldo no están destinados únicamente a bloquear la amenaza criminal y terrorista. En realidad, actúan de manera indiscriminada y pueden incluir a periodistas, disidentes, críticos de regímenes autoritarios, familias de la oposición y activistas de derechos humanos.

El nuevo modo Lockdown de iPhone

A propósito de la amenaza de Pegasus, Apple ha informado que integrará en  sus dispositivos con sistema operativo iOS 16 un modo llamado Lockdown. Este está dirigido especialmente a personas que tengan sospechas de ser objetivos de procedimientos de espionaje y amenazas digitales sofisticadas. Haciendo directa alusión a las empresas privadas que desarrollan spyware mercenario patrocinado por el estado.

El Modo Aislamiento ofrecido por la compañía de la manzana es opcional y recomendable para todos aquellos usuarios que ocupen una posición de influencia ante estados o corporaciones. La protección o blindaje actúa de la siguiente forma:

Mensajes

Cuando se activa el modo Lockdown, se bloquean la mayoría de archivos adjuntos que no sean imágenes. También se deshabilitan varias prestaciones, incluida la previsualización de enlaces.

Navegación web

Se deshabilitan tecnologías web complejas como la compilación just-in-time (JIT) de JavaScript. Esto podría producir problemas en la visualización de algunas páginas web. Por lo mismo, hay un sistema complementario que permite excluir sitios de confianza.

Conexiones por cable

Las conexiones por cable con un ordenador o accesorio se bloquean cuando el iPhone está bloqueado.

Servicios de Apple y perfiles de configuración

Cuando Lockdown está activado, las invitaciones entrantes y las solicitudes de servicio, como FaceTime, se bloquean de forma automática si el usuario no ha enviado primero una solicitud o llamado con antelación a la persona que intenta contactar.

El informe completo de la nueva función se puede leer en el comunicado publicado con fecha 6 de julio en la web de Apple. En él, además, se anuncia que se seguirán añadiendo protecciones a lo largo del tiempo. También se recuerda la existencia de una beca de 10 millones de euros para apoyar a organizaciones que investigan, desvelan y evitan ciberataques altamente personalizados.

Otras medidas para protegerse de Pegasus y otros ciberataques 

Además de los cambios realizados por Apple en favor de los usuarios de iPhone con sistema operativo iOS 16, existen otras medidas que permiten protegerse de ataques altamente sofisticados. Lo bueno es que no sirven únicamente para iOS, sino que también se pueden aplicar en dispositivos Android. Los principales consejos de protección son:

Instalar una aplicación de seguridad

Hay aplicaciones que nos permiten detectar si se ha hecho jailbreak o root a un dispositivo. Con ella podemos saber si los atacantes están intentando hacerse con el control total del móvil, después de haber fracasado en otros intensos de conseguir información de este.

Reiniciar el teléfono diariamente

La investigación de Amnistía Internacional y Citizen Lab demostró que la cadena de infección y ataque de sistemas como Pegasus dependía muchas veces de que el dispositivo estuviera siempre encendido para mantener sus esfuerzos por consumar el acto. Por lo tanto, reiniciar el teléfono de forma diaria ayuda a limpiar el dispositivo de esta línea de ataque persistente.

Esto, además, obliga al atacante a repetir el procedimiento, con lo que aumenta la posibilidad de que sea detectado. Esto, por la aparición de artefactos raros en el dispositivo y que pondrán en evidencia la infección.

Mantener actualizado el sistema operativo

Es un consejo viejo, pero siempre eficaz. Mantener actualizado el sistema operativo del teléfono permite obtener los últimos parches de seguridad.

Evitar Chrome o Safari

Algunos exploits funcionan de peor forma si usamos navegadores alternativos a Safari y Chrome. Por lo mismo, es recomendable utilizar versiones como Firefox Focus para ponérselo más complicado a los atacantes y espías.

Foto de Tyler Lastovich en Unsplash