Un móvil hackeado.

Un móvil hackeado. NC Omicrono

Software

Descubren el phishing más avanzado de la historia: "Es un arma contra la que no hay defensa"

Project Zero de Google ha analizado el exploit de NSO Group y descubierto cómo infectaba los iPhones sin ser detectado, "es bastante aterrador" dicen los investigadores.

17 diciembre, 2021 06:03

Noticias relacionadas

La presión internacional se mantiene sobre NSO Group, la empresa israelí creadora de Pegasus, una herramienta de espionaje que se ha usado para vigilar a activistas, periodistas y políticos en España y otros países. Mientras NSO busca compradores para hacer frente a sus deudas, los investigadores de Google han desentrañado las sofisticadas técnicas de esta empresa para infectar móviles sin ser detectados.

Desde Project Zero, los investigadores expertos en ciberseguridad de Google han analizado en profundidad la vulnerabilidad de iOS que la empresa israelí aprovechó para introducir Pegasus en miles de móviles sin ser detectados y sin que el espiado pudiera defenderse. Los investigadores describen el ataque ForcedEntry como "uno de los exploits técnicamente más sofisticados que jamás hayamos visto".

Aseguran desde Google, que la tecnología de espionaje que NSO Group ha estado vendiendo a gobiernos, puede rivalizar con las técnicas "que antes se pensaba que eran accesibles solo para un puñado de naciones". The Washington Post publicó a principios de año una lista de 50.000 víctimas que habían sido espiadas gracias a técnicas como esta.

Atacado sin hacer clic

Antes de nada, es importante destacar que esta vulnerabilidad dentro del sistema operativo de Apple, se resolvió el 13 de septiembre de 2021 en la versión en iOS 14.8. Por lo que, al mantener sus iPhones actualizados, los usuarios de la marca están protegidos contra nuevos ataques de este tipo.

Aún así, el informe de Project Zero es relevante para comprender la magnitud que está adquiriendo el ciberespionaje. No solo el software de NSO era capaz de infectar un móvil sin ser detectado, además no necesitaba la interacción del propietario para realizar el ataque como ocurre con la mayoría de mensajes phishing que se conocen, "es un arma contra la que no hay defensa" dicen el informe. 

pegasus nso group 1

pegasus nso group 1

En 2016, la tecnología de NSO utilizaba SMS para enviar enlaces trampa, al pinchar en ellos, el software espía se descargaba en el dispositivo y controlaba todos los elementos para vigilar cada movimiento o conversación del sujeto. Sin embargo, las técnicas phishing ahora son más conocidas entre la población y los ciudadanos tienen más cuidado a la hora de descargar archivos o usar enlaces de correos y mensajes sospechosos.

Por este motivo, NSO recurrió a una técnica más atrevida, infectar el móvil sin necesidad de que el propietario haga clic en ningún elemento. A través de la aplicación iMessage de Apple y utilizando una imagen GIF trampa, ForcedEntry aprovechó una vulnerabilidad de la aplicación para camuflar un PDF con código maliciosos tras un GIF y obligar a iMessage a descargar el malware, sin que el usuario pueda hacer nada para evitarlo.

¿Cómo comprobar si tu móvil ha sido víctima de espionaje del spyware Pegasus?

¿Cómo comprobar si tu móvil ha sido víctima de espionaje del spyware Pegasus?

La vulnerabilidad se encontraba en una herramienta de compresión utilizada para procesar texto en imágenes que el software actual había heredado de la década de 1990. Cuando el ancho de banda era muy limitado surgieron estándares como JBIG2 un códec para comprimir imágenes que se utilizó en impresoras y escáneres de oficina.

La tecnología del siglo pasado, se ha estado reutilizando como base para crear nuevos sistemas y eso implica heredar los fallos o brechas de seguridad que se mantienen ocultas en el código hasta que un desarrollador las encuentre y corrige, o peor, hasta que los piratas informáticos se aprovechen de ellas.

Oculto en iMessage

Las artimañas de NSO Group no terminan aquí, Proyect Zero explica que para pasar desapercibido, ForcedEntry es capaz de configurar su propio entorno virtualizado. Es decir, una vez el malware ha entrado camuflado en el GIF, el ataque se ejecuta dentro de un extraño entorno emulado creado a partir de una descompresión gracias a JBIG2. "Es bastante increíble y, al mismo tiempo, bastante aterrador”, concluyen los investigadores del Project Zero en su análisis, que preparan una segunda publicación para explicar con más detalle este proceso.

iPhone X

iPhone X

Tanto Amnistía Internacional y empresas de ciberseguridad como Citizen Lab, quien ha cedido una muestra del exploit a Google para el estudio, llevan tiempo analizando las técnicas de esta empresa israelí para rastrear Pegasus dentro de los móviles de periodistas y defensores de derechos humanos. Amnistía Internacional ha creado la aplicación mobile Verification Toolkit con la que tratar de encontrar rastros forenses que demuestren la presencia de esas herramientas de espionaje que atacan móviles Android al igual que iOS.

El análisis de Project Zero, aunque detalla un tipo de ataque contra el que ya se han aplicado parches y medidas de seguridad, desvela la capacidad de espionaje actual. "Te hace preguntarte qué más se está utilizando en este momento que está esperando a ser descubierto. Si este es el tipo de amenaza que enfrenta la sociedad civil, es realmente una emergencia" ha declarado John Scott-Railton, investigador principal de Citizen Lab a The Wired.

pegasus

pegasus

NSO Group no es la única empresa que se dedica a vender este tipo de herramientas de espionaje, pero sí la que está ahora en el ojo del huracán al haber sido descubierta su tecnología. Esto permite a países con menos recursos contar con tecnología de inteligencia avanzada. La empresa siempre ha defendido que sus productos sirven para frenar el terrorismo y el crimen organizado, pero los informes de Amnistía Internacional han demostrado que se ha utilizado para perseguir a personas en defensa de derechos humanos o críticas con los gobiernos.

Ahora NSO Group se enfrenta a una demanda por parte de Apple que pretende así impedir que "vuelva a perjudicar a sus usuarios" y las deudas que acarrea la están obligando a buscar compradores. Algunos fondos de inversión estadounidenses estarían interesados en su compra para controlar Pegasus y poder cerrar este software de espionaje.

También te puede interesar...