:format(png)/f.elconfidencial.com%2Fjournalist%2Faf9%2F067%2F08f%2Faf906708fdfc39fd04903dcebba7e385.png)
Tribuna
Por
Los nuevos Pegasus
Este es un juego del ratón y el gato, y frente al avance del 'malware' en teléfonos móviles, el mundo de la ciberseguridad en telefonía móvil también avanza para combatir los nuevos Pegasus
:format(jpg)/f.elconfidencial.com%2Foriginal%2F086%2F25a%2F485%2F08625a485cc2537606e608e1ed922eb4.jpg)
En estos días en que la supuesta intervención por parte del CNI con el 'software' Pegasus de teléfonos del entorno independentista está en las portadas, hemos leído que algunos de estos usaron teléfonos móviles 'prehistóricos' con la finalidad de evitar la intercepción de sus comunicaciones. El hecho de que no sirviera de nada, llevó a Jordi Sànchez a manifestar que “(…) Pegasus es muy bueno”. Tras esta reflexión hay una cierta candidez, y un desconocimiento de cómo se produce una infección de estas características.
Vamos a ver en primer lugar cómo se producen estos contagios, y por qué tener un viejo Alcatel con teclas 'pulsables', y el juego del laberinto de la serpiente como único entretenimiento, no es una buena idea.
En segundo lugar, veremos cuál puede ser la evolución del 'malware' tipo Pegasus, y hacia dónde se deben dirigir las estrategias en su combate.
Antes de nada, primero hay que entender cómo se producen las infecciones de 'malware' tipo 'spyware'. Estas se basan en lo que se llaman vulnerabilidades día zero. ¿Qué son estas vulnerabilidades?
Tras cualquier móvil (incluidos los 'prehistóricos') existe un 'software' que le permite funcionar. Este es el que todos conocemos como su sistema operativo. En los móviles antiguos se encarga de enrutar las llamadas y pocas funcionalidades más, mientras que en el que usted posiblemente esté leyendo este artículo, permite que todas las funciones y aplicaciones a las que usted esté habituado funcionen.
Tanto los sistemas operativos como demás 'software' que está en los móviles suelen tener problemas de diseño. Algunos de ellos son encontrados antes de su lanzamiento comercial, mientras que otros son descubiertos con posterioridad al día cero de su puesta en marcha en el mercado.
Estas vulnerabilidades que no han sido detectadas por los fabricantes son lo que se llama vulnerabilidades día zero ('zero-day vulnerabilities').
Algunas de ellas son encontradas por el propio fabricante con posterioridad, y otras por la comunidad de desarrolladores éticos que las publican en cuanto son descubiertas. Estos hallazgos son los que llevan a que tengamos que actualizar con cierta frecuencia el sistema operativo de nuestros teléfonos móviles.
¿Qué ocurre con aquellas vulnerabilidades que son descubiertas exclusivamente por 'hackers' no éticos y/o empresas como NSO Group?
:format(jpg)/f.elconfidencial.com%2Foriginal%2F61e%2F39a%2F90e%2F61e39a90ec4f33a743a11a912ba73215.jpg)
Por un lado, son usadas por estas empresas cuyo negocio es la intercepción de las comunicaciones, para integrarlas en su batería de infección, y, por otro lado, son usadas directamente por 'hackers', cuya finalidad es el robo de información personal (contraseñas, cuentas…). Este conjunto de vulnerabilidades (agujeros, podríamos decir) en los sistemas operativos de nuestros móviles es la base sobre la que se asienta el 'malware' que como Pegasus puede intervenir la seguridad de un móvil.
Siga manteniendo en esa caja su viejo móvil
Explicados estos conceptos, volvemos a la cuestión inicial respondiendo por qué no es una buena idea usar móviles prehistóricos.
Evidentemente, contar con un Alcatel One Touch va a impedir que te roben las fotos y correos. No tenían ni fotos ni correos. Pero ¿es posible intervenir sus comunicaciones? Sí.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3d6%2F926%2Ff58%2F3d6926f58914292018090cc149b82c48.jpg)
¿Por qué es posible 'hackearlo'? Una vez que los sistemas operativos bajo los que operaban estos móviles fueron sustituidos por teléfonos más nuevos y sistemas operativos más avanzados, la actualización y revisión de los sistemas operativos de estos teléfonos se dejó de realizar. Digamos que se descatalogó su actualización.
¿Qué ocurre con las vulnerabilidades 'zero-day' que quedaron pendientes de resolver en el momento en que se dejaron de actualizar? Evidentemente, la respuesta es que permanecen abiertas a que las comunicaciones de estos teléfonos sean intervenidas, ya que nadie va a arreglar ese error. Tener un tam-tam no impide que nadie pueda seguir escuchando el tambor.
Cómo funcionan los 'spyware' Pegasus y sus evoluciones
Retomando la segunda cuestión, y para entender la evolución del 'malware' tipo Pegasus, la cuestión para resolverla es entender qué es, ¿es un virus?, ¿un programa?...
La realidad es que algo tan sofisticado como el 'malware' tipo Pegasus no se basa en una sola vulnerabilidad. Este tipo de 'malware' utiliza un conjunto de vulnerabilidades que le permite avanzar aun cuando parte de ellas sea descubierta y solventada por parte de la comunidad de desarrolladores de seguridad y los fabricantes. Este 'malware' es dinámico.
La metodología de contagio de Pegasus no es un programa, es una estrategia de ataque que evoluciona con el tiempo.
Ahora, ¿es exclusiva de NSO esta estrategia?
La respuesta es bien clara, no, no lo es. En este momento, existen diversos grupos que están comercializando y desarrollando estrategias de 'software' más avanzadas que Pegasus. Hay que tener en cuenta que, según pasa el tiempo, más y más de estas vulnerabilidades son descubiertas por más 'hackers', y, por tanto, integradas en nuevo 'malware'. Hay competidores americanos, rusos, chinos, italianos, israelíes… No van a desaparecer, ni van a ser exclusivas de uso por parte de gobiernos o empresas afines a los mismos.
El combate de este tipo de 'malware' se centra en su detección, no en evitar su contagio. Esto es lógico, en la medida en que no es posible evitar aquello que se desconoce, solo podemos aspirar a detectar si esta intromisión se ha dado.
Hasta el momento, esto se ha venido realizando mediante el análisis 'forensic' de los móviles. Entregas tu móvil a un consultor junto con toda la información personal contenida en el mismo (fotos, correos, contactos…), y este, mediante el análisis detallado de información de carácter técnico, determinará unos meses después si la seguridad del móvil ha estado comprometida o no.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F03f%2F5a2%2F77b%2F03f5a277b2491657cd44d61e1a921643.jpg)
¿Por qué se analiza información de carácter técnico?
Nuestros teléfonos móviles se encuentran constantemente recopilando información (conexiones a redes wifi, aplicaciones y procesos en funcionamiento, 'stackshots', diagnósticos de sistema…). Esta información permite conocer el funcionamiento a lo largo del tiempo del móvil.
Un 'malware', como de los que estamos hablando, tiene una estrategia compleja de ataque. Esto conlleva, entre otras cosas, intervenir los procesos poco a poco, detectar ciclos de uso del teléfono para poder realizar ciertas intervenciones en el móvil (por ejemplo, reiniciarlo) cuando entiende que el usuario está durmiendo, y llegado el caso borrar el rastro de sus intervenciones. Todas estas cuestiones dejan 'huella' en los registros de carácter técnico. Su análisis permite detectar este tipo de infecciones.
¿Es posible combatir este tipo de 'malware'?
Ahora bien, ¿es posible detectar estas huellas de una manera automática?
Los últimos avances nos indican que sí. Existen ya herramientas ('software') que permiten detectar este tipo de 'malware' sin intervención de consultores.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F850%2Fa99%2Fe88%2F850a99e88c4998b892d797c0680fd18b.jpg)
¿Cómo lo hacen?
No es una estrategia única de resolución, pero para responder a esta cuestión debemos poner en juego tecnología basada en 'machine learning' (inteligencia artificial). En este ámbito de trabajo, uno de los campos de trabajos es la llamada clusterización. Simplificadamente, es una técnica que permite, presentada una determinada información, agrupar en conjuntos aquellos que presentan características similares. De esta manera, por ejemplo, permite separar aquellos móviles cuyo comportamiento técnico es similar. Por un lado (el mayoritario) se encuentran los móviles no infectados, y por otro los infectados. Esta metodología, unida al uso de redes neuronales con análisis de series temporales (p. ej.: conexión wifi publica + reinicio + nuevo proceso = infección), permite que ya haya 'software' que detecta no solo Pegasus, sino los nuevos Pegasus de una manera automática e inmediata, con un análisis que dura minutos pudiendo hacerlo de manera regular sin desprendernos de nuestros móviles.
Actualmente, ya implementamos esta tecnología de carácter puntero que permite detectar este tipo de amenazas, y deberá de generalizarse si se quieren combatir de manera efectiva estas amenazas.
Este es un juego del ratón y el gato, y frente al avance del 'malware' en teléfonos móviles, el mundo de la ciberseguridad en telefonía móvil también avanza para combatir los nuevos Pegasus.
*Antonio Hita. CDO Canaliza Security. Economista.
En estos días en que la supuesta intervención por parte del CNI con el 'software' Pegasus de teléfonos del entorno independentista está en las portadas, hemos leído que algunos de estos usaron teléfonos móviles 'prehistóricos' con la finalidad de evitar la intercepción de sus comunicaciones. El hecho de que no sirviera de nada, llevó a Jordi Sànchez a manifestar que “(…) Pegasus es muy bueno”. Tras esta reflexión hay una cierta candidez, y un desconocimiento de cómo se produce una infección de estas características.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff8f%2Fa46%2Fc39%2Ff8fa46c39250ce33f889332e58f0205e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F04a%2Fd37%2F535%2F04ad37535379522ff99c3b4e23440690.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F756%2F618%2Fb44%2F756618b4414365c39c1b0f96c799adf7.jpg)