A pesar de que Pegasus vuelve noticia por el supuesto espionaje a políticos independentistas catalanes, no es nuevo. De hecho, ya se relacionó este spyware con otro hackeo al móvil del ex presidente del Parlament de Cataluña, Roger Torrent hace un par de años. Y resultó un auténtico escándalo cuando 17 medios de comunicación internacionales descubrieron que el software se usó para vigilar a 37 móviles inteligentes pertenecientes a activistas de derechos humanos y periodistas.

En julio de 2021, una iniciativa de investigación llamada Pegasus Project, junto con un análisis en profundidad realizado por el grupo de derechos humanos Amnistía Internacional, detectó que Pegasus se usaba ampliamente contra objetivos de alto perfil por todo el mundo.

Y a día de hoy se desconoce el total de personas afectadas por Pegasus que han sido víctimas de espionaje de sus propios gobiernos o de gobiernos extranjeros. Según la BBC, pueden haber sido más de 1.000 afectados en más de 50 países. Y hay una lista de unos 50.000 números de teléfono que se cree que son de interés para los clientes de la empresa, NSO Group, que fue filtrada a medios de comunicación:

Dicha lista de personalidades incluye desde políticos y jefes de estado hasta ejecutivos de empresas, activistas y miembros de la familia real árabe. Eso sin contar a los políticos españoles por los que Pegasus ha vuelto a estar en boca de todos.

Qué es Pegasus y de qué es capaz

Photo by Markus Spiske on Unsplash

Pegasus es un spyware (software espía) para iOS, el sistema operativo de los iPhone, diseñado y desarrollado por una compañía privada de seguridad israelí llamada NSO Group. Un desarrollo que, en principio, solo se ofrece a gobiernos y a cuerpos y fuerzas de seguridad del estado. Existe una versión para Android, pero su método de ataque es diferente.

La ventaja de Pegasus, y lo que lo hace tan peligroso, es que se puede instalar y ejecutar en todos los dispositivos iOS hasta la versión 14.6 utilizando el método conocido como zero-click exploits. Es decir, no necesita intervención de la víctima para su instalación y ejecución y es, a simple vista, invisible e irrastreable.

En realidad, Pegasus está conformado por un conjunto de exploits que se aprovechan de algunas vulneraciones de iOS que, a pesar de que Apple ha ido resolviendo, lo cierto es que algunas se siguen utilizando, sobre todo en aquellas víctimas cuyos iPhone no se han actualizado.

Lo que hace especialmente peligroso a Pegasus es que incluye varios vectores de infección. Es capaz de tomar el control del iPhone con, simplemente, presionar en un enlace en una web visualizada desde Safari o a través de cualquier de las apps del sistema como Fotos, Notas, Apple Music o iMessage.

También se puede infectar un iPhone con Pegasus a través de medios más simples y "clásicos", como usando un transceptor inalámbrico cerca de un dispositivo o con acceso físico al dispositivo.

Un spyware a la carta, dirigido y modular

Pegasus es un spyware dirigido. Es decir, no está enfocado a la infección masiva, sino que se enfoca a un persona o número en concreto. Además, con un vector de infección "a la carta" y una tarea muy específica en función de la víctima y de la información que se quiera extraer.

Una vez que Pegasus toma el control del iPhone de la víctima, es invisible y comienza a ejecutar código arbitrario para extraer información y enviarla al atacante. Puede acceder y robar la información de los contactos, el registro de llamadas, los mensajes, fotos, el historial de navegación, los certificados, la configuración del sistema y monitorizar aplicaciones.

Esto permite al atacante recopilar información de apps de mensajería de terceros, como los contenidos de WhatsApp y mensajes, los emails de Gmail, Facebook, Telegram, etc. Además, como si se tratase de una película de espías, puede interceptar llamadas y mensajes, hacer grabaciones de audio y vídeo y acceder a todo el contenido del iPhone o de un teléfono Android de forma remota.

Pegasus es, además, un spyware modular. Puede escanear el dispositivo del objetivo e instalar solo los módulos necesarios. Por ejemplo para leer los mensajes y el correo electrónico del usuario. O solo para escuchar llamadas o hacer capturas de pantalla, entre muchos otros. Lo que hace incluso más complicado detectar su presencia.

Pero su nivel de sofisticación va más allá. Según explican expertos de Karspersky, Pegasus se esconde en el sistema operativo y es capaz de autodestruirse llevándose con él toda la evidencia disponible, o de que estuvo presente en el dispositivo. Si el spyware no es capaz de comunicarse con su servidor de comando y control durante más de 60 días, o si detecta que se ha instalado en el dispositivo incorrecto o con la tarjeta SIM incorrecta, se borra.

Y además, es irrastreable hasta el destino. Es decir, no se puede saber con seguridad quién está detrás de la infección o del acceso espía al móvil infectado. De hecho, esta función es uno de las grandes reclamos de NSO Group, enfocado especialmente en el desarrollo de actividades clandestinas.

Si bien una vez infectado un terminal no se puede saber el origen del espionaje, sí se puede detectar la presencia de Pegasus en un iPhone pese a que su instalación sea, a primera vista, invisible.

¿Te tienes que preocupar por si eres víctima de Pegasus?

Es poco probable que seas víctima de Pegasus. Es un spywware dirigido y hecho a medida para la vícima, y según el New York Times, tiene un coste 500.000 dólares para infectar un móvil y una tarifa adicional para infiltrarlo en un terminal específico (aunque otras voces apunta a un coste de varios millones de euros). Por lo que a no ser que seas un jefe de estado, un activista o periodista, es complicado que alguien se tome tantas molestias. Más teniendo en cuenta que NSO Group solo trabaja, supuestamente, a petición de gobiernos o de fuerzas de seguridad.

Cómo detectar si tu iPhone está infectado con Pegasus

Si quieres quedarte tranquilo, hay algunos métodos para comprobar si tu terminal ha sido infectado con Pegasus. Amnistía Internacional ha desarrollado una utilidad que permite identificar este malware, Se llama MVT (Mobile Verification Toolkit) y su código fuente está disponible en GitHub.

Lo único que hay que tener en cuenta es que MVT no un software plug & play, ni hay formas sencillas de instalarlo y ejecutarlo. Debe compilarse para un dispositivo específico, y esto complica su acceso. MTV no puede puede analizar el dispositivo directamente, por lo que es necesario realizar un respaldo completo del sistema en el ordenador antes de iniciar el proceso, es decir, MVT en realidad verificará la copia de seguridad de iOS o Android, no el terminal en sí.

No obstante, hay algunas herramientas de terceros que simplifican algo el proceso. La apps iMazing incluye como función gratuita la detección de Pegasus. La app utiliza el kit de MVT. Sus instrucciones y su descarga están disponibles aquí.