Cómo proteger tu smartphone con Android o iPhone de APT móviles como Pegasus.
Teniendo en cuenta el
análisis forense de varios dispositivos móviles, el laboratorio de seguridad de
Amnistía Internacional descubrió que el software se había utilizado
repetidamente de manera abusiva con fines de vigilancia. La lista de individuos
en el punto de mira incluye a 14 líderes mundiales y muchos otros activistas,
defensores de los derechos humanos, disidentes y figuras de la oposición.
Poco después, unos
representantes del gobierno israelí visitaron las oficinas de NSO como parte de
una investigación de las afirmaciones. En octubre, la Corte Suprema de la India
encargó a un comité técnico que investigara el uso de Pegasus para el espionaje
de sus ciudadanos. En noviembre, Apple anunció que tomaría acciones legales
contra el Grupo NSO por desarrollar software que convierte a sus usuarios en
objetivos de malware y spyware malicioso. Por último, en diciembre, Reuters
publicó que los teléfonos del Departamento de Estado de los Estados Unidos
habían sido intervenidos con el malware Pegasus de NSO, como ya había alertado
Apple.
Durante los últimos
meses, he recibido muchas consultas de usuarios de todo el mundo preocupados
sobre cómo proteger sus dispositivos móviles contra Pegasus y otras
herramientas y malware similares. En este artículo trataremos de abordar este
tema; sin embargo, cabe destacar que no existe ninguna lista de técnicas
defensivas definitiva. Además, es necesario adaptar las técnicas de protección
a medida que los atacantes van cambiando su modus operandi.
Cómo mantenerse a
salvo de Pegasus y otros spyware móviles avanzados
Lo primero que
tenemos que destacar es que Pegasus es un kit de herramientas que se vende a
los estados nación a precios relativamente elevados. El coste de una
implementación completa podría ascender a millones de dólares. De igual forma,
otro malware móvil de tipo APT podría desplegarse mediante exploits de día cero
y cero clics. Estos son bastante caros; por ejemplo, Zerodium, una firma de
brokers de exploits paga hasta 2,5 millones de dólares por una cadena de
infección de cero clics en Android que sea persistente:
Desde el principio, podemos sacar una conclusión importante: el ciberespionaje patrocinado por los estados nación aporta muchos recursos. Cuando el actor de una amenaza puede permitirse gastar millones, posiblemente decenas de millones o incluso cientos de millones de dólares en sus programas de ofensiva, es muy poco probable que un objetivo pueda evitar la infección. Es decir, si estás en el punto de mira de un actor de este tipo, la cuestión no es si puedes infectarte, sino más bien de cuánto tiempo y recursos dispones antes de la infección.
Pero tenemos buenas
noticias: el desarrollo de exploits y la guerra cibernética ofensiva son más un
arte que una ciencia exacta. Los exploits tienen que adaptarse a las versiones
específicas de los sistemas operativos y el hardware, y pueden acabar
frustrados fácilmente por nuevas versiones de sistemas operativos, técnicas de
mitigación o, incluso, pequeños eventos aleatorios.
Dicho esto, la
infección y la determinación de los objetivos también depende de la dificultad
y de los costes que suponen para los atacantes. Si bien, no siempre podremos
evitar el éxito de una explotación y la infección del dispositivo móvil, sí
podemos intentar dificultar esta tarea lo máximo posible a los atacantes.
Pero ¿cómo funciona
en la práctica? A continuación, te dejamos una lista de verificación básica.
Cómo protegerse del
spyware avanzado en iOS
Reinicio diario.- De acuerdo con la
investigación de Amnistía Internacional y Citizen Lab, la cadena de infección
de Pegasus con frecuencia depende de días cero y cero clics sin persistencia,
así que un reinicio periódico ayuda a limpiar el dispositivo. Si reinicias tu
dispositivo todos los días, los atacantes tendrán que infectarlo una y otra
vez. Con el tiempo, esto aumenta la posibilidad de detección; ya que podría
ocurrir un fallo general o se podrían registrar artefactos que delaten la
naturaleza sigilosa de la infección. De hecho, no solo es una teoría, también
sucede en la práctica, como analizamos en un caso donde un dispositivo móvil
fue objeto de ataque mediante un exploit de cero clics (probablemente,
FORCEDENTRY). El propietario del dispositivo reiniciaba su dispositivo de
manera regular, de hecho, lo hizo en las 24 horas posteriores al ataque. Los
atacantes intentaron ponerlo en el punto de mira unas cuantas veces más, pero
terminaron dándose por vencidos después de ser expulsados un par de veces mediante
los reinicios.
NoReboot:
un reinicio falso para afianzarse en el sistema
Desactiva iMessage.- iMessage está
integrado en iOS y se activa de forma predeterminada, por lo que resulta un
vector atractivo para su explotación. Debido a su activación por defecto, es un
mecanismo principal de entrega de cadenas de cero clics y, durante muchos años,
los exploits de iMessage han estado muy solicitados, siendo los mejores pagados
en las empresas de brokers de exploits. El fundador de Zerodium, Chaouki Bekrar,
escribió en el 2019 a WIRED y afirmó que durante los últimos meses se había
observado un aumento en la cantidad de exploits de iOS, principalmente cadenas
de Safari y iMessage, que investigadores de todo el mundo desarrollaban y
vendían; de acuerdo con sus palabras, el mercado de día cero estaba inundado de
exploits de iOS y recientemente habían tenido que rechazar algunos de ellos.
Sabemos que la vida sin iMessage podría ser muy difícil para algunos (lo que
abordaremos más adelante), pero si Pegasus y otro malware móvil tipo APT de
alto nivel está en tu modelo de amenazas, se trata de un intercambio que vale
la pena plantearse.
Desactiva Facetime. El mismo consejo
que antes.
Mantén tu dispositivo
móvil actualizado.-
Instala los parches más recientes de iOS en cuanto estén disponibles.
No todos se pueden permitir ataques zero-click 0-day, de hecho, muchos de los
kits de exploits de iOS que vemos tienen como objetivo vulnerabilidades que ya
se habían parcheado. Sin embargo, muchas personas utilizan teléfonos viejos y
posponen las actualizaciones por varios motivos. Si quieres ir un paso por
delante (al menos) del estado nación, actualiza lo antes posible, no tienes por
qué esperar a que actualicen los emoticonos para instalar los parches.
Nunca hagas clic en
los enlaces que recibas por mensaje.- Este es un consejo sencillo, pero eficaz.
No todos los clientes de Pegasus pueden costearse las cadenas de día cero y
cero clics valoradas en millones, por lo que dependen de los exploits de 1
clic. Estos llegan en forma de mensaje, a veces por SMS, pero también pueden
llegar por otros servicios de mensajería o incluso por correo electrónico. Si
recibes un SMS interesante (o cualquier otro mensaje), con un enlace, ábrelo en
un ordenador de sobremesa, a poder ser con el navegador TOR o, mejor aún, con
un sistema operativo seguro no persistente como Tails.
Navega en Internet
con un navegador alternativo como Firefox Focus en lugar de Safari o Chrome..-A pesar de que
todos los navegadores en iOS prácticamente utilizan el mismo motor, Webkit,
algunos exploits no funcionan bien (consulta el caso de los ATP LightRighter /
TwoSailJunk) en algunos navegadores alternativos:
Las cadenas del
agente de usuario en iOS de los navegadores Safari, Chrome y Firefox Focus son
las siguientes:
- Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
- Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
- Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0
Utiliza siempre una
VPN que oculte tu tráfico.- Algunos exploits se entregan mediante
ataques MitM del operador GSM, al navegar en sitios HTTP o al secuestrar el
DNS. Utilizar una VPN para enmascarar el tráfico dificulta que tu operador de
GSM te identifique como objetivo directamente desde Internet. También complica
el proceso de determinación de un objetivo si los atacantes tienen control de
tu flujo de datos, por ejemplo, durante el roaming. Ten en cuenta de que no
todas las VPN son las mismas y no todas son seguras. Sin favorecer a ningún
proveedor de VPN específico, estas son algunas cosas que puedes considerar
cuando estés en busca de una suscripción de VPN si el anonimato es una
prioridad principal para ti:
- Comprar significa que no hay VPN “gratuitas”.
- Busca servicios con los que puedas aceptar pagos con criptomonedas.
- Busca servicios para los que no necesites proporcionar información de registro.
- Intenta evitar aplicaciones de VPN; en su lugar, utiliza herramientas de código abierto como OpenVPN, WireGuard y perfiles de VPN.
- Evita servicios de VPN nuevos y busca servicios establecidos que ya lleven un tiempo en el mercado.
Instala una
aplicación de seguridad que compruebe y te advierta si se ha hecho jailbreak a
un dispositivo. La frustración de ser expulsado una y otra vez hará que con el
tiempo los atacantes implementen un mecanismo de persistencia y hagan jailbreak
a tu dispositivo durante este proceso. Aquí aumenta diez veces la probabilidad
de atraparlos y podemos aprovechar el hecho de que el dispositivo tenga
jailbreak.
Haz copias de
seguridad en iTunes una vez al mes. Esto permitirá diagnosticar y encontrar
infecciones más adelante, mediante el uso del maravilloso paquete de MVT de
Amnistía Internacional (lo abordaremos más adelante).
Detona sysdiags con
frecuencia y guárdalos en copias de seguridad externas. Los artefactos
forenses pueden ayudarte a determinar después si has sido objetivo de ataque.
Detonar un sysdiag depende del modelo del teléfono; por ejemplo, en algunos
iPhone, se hace al presionar los botones Subir volumen + Bajar volumen + Encendido
al mismo tiempo. Es posible que tengas que intentarlo un par de veces hasta que
sientas el zumbido del teléfono. Una vez que se crear el sysdiag, aparecerá en
el diagnóstico:
La lista para los
usuarios de Android es parecida (para conocer los detalles y fundamentos,
revisa la lista anterior para iOS):
- Reinicio diario. La persistencia en
las últimas versiones de Android está complicada, ¡muchos APT y vendedores de
exploits evitan la persistencia!
- Mantén tu teléfono
actualizado;
instala los parches más recientes.
- Nunca hagas clic en
los enlaces que recibas en los mensajes de texto.
- Navega por Internet
con un navegador alternativo como Firefox Focus en lugar de Chrome.
- Utiliza siempre una
VPN que oculte tu tráfico. Algunos exploits se entregan mediante los ataques MitM
del operador GSM, al navegar en sitios HTTP o secuestrar el DNS.
- Instala un paquete de
seguridad.-
Que debe buscar malware, revisar y advertir si el dispositivo no tiene root (cuenta
de administrador activada). Algunos modelos, por seguridad, no tienen el root
activado, con lo cual tiene menos brechas de seguridad.
Para un nivel más sofisticado, tanto
en iOS como en Android, revisa siempre tu tráfico de red con indicadores de
compromiso en activo. Una buena configuración podría incluir una VPN
siempre activa de WireGuard en un servidor que controles, que utilice Pi-hole
para filtrar lo malo y que registre todo el tráfico para una inspección más
profunda.
Cómo sobrevivir sin
iMessage
Hablando con mi amigo
Ryan Naraine hace poco, me dijo que iMessage y FaceTime eran las razones
principales por las que la gente usa iPhone y, ciertamente, tiene razón. Yo
llevo siendo usuario de iPhone desde el 2008 y pienso que iMessage y FaceTime
son dos de las mejores cosas que Apple ha añadido a este ecosistema. Cuando me
enteré de que estas también son de las funciones más explotadas que permiten
que el estado nación espíe tu teléfono, intenté escapar del Hotel California de
iMessage. ¿Qué fue lo más difícil? Lograr que mi familia también dejara de
utilizarlo. Aunque te sorprenda, esto fue una de las cosas más difíciles en
toda esta saga de seguridad.
Al principio, intenté
que todos se cambiaran a Telegram. Pero no me fue muy bien. Después, Signal
mejoró mucho, implementaron videollamadas y llamadas en grupo. Con el tiempo,
más y más amigos se cambiaron a Signal. Y esto funcionó también en mi familia.
No digo que debas hacer lo mismo. Tal vez puedas conservar iMessage y vivir
feliz y sin malware; la verdad es que Apple mejoró considerablemente el espacio
aislado de seguridad en torno a iMessage con BlastDoor en iOS 14. Sin embargo,
el exploit FORCEDENTRY que utilizó NSO para entregar Pegasus logró evitar
BlastDoor y, por supuesto, ninguna función de seguridad está 100 % a prueba de
ataques.
Entonces, te
preguntarás ¿qué es lo mejor de ambos mundos? Algunos, yo incluido, tenemos
varios teléfonos: uno con iMessage desactivado y un iPhone “honeypot”, o
señuelo, con iMessage activado. Ambos están asociados a la misma ID de Apple y
número telefónico. Si alguien decide atacarme, la probabilidad de que terminen
en el teléfono señuelo es alta.
Cómo detectar Pegasus
y otros malware móviles avanzados
Detectar rastros de
infección de Pegasus y otro malware móvil avanzado es muy complejo y se
complica con las funciones de seguridad de los sistemas operativos modernos
como iOS y Android. Teniendo en cuenta nuestras observaciones, el desarrollo de
un malware no persistente que casi no deja rastro después del reinicio todavía
lo complica aún más. Debido a que muchos marcos forenses requieren el jailbreak
del dispositivo, para lo que a su vez es necesario reiniciarlo, esto da como
resultado que el malware se elimine de la memoria durante el reinicio.
Actualmente, se
pueden utilizar varios métodos para detectar Pegasus y otro malware móvil. MVT
(kit de herramientas de verificación móvil) de Amnistía Internacional es gratuito,
de código abierto y permite que los tecnólogos e investigadores inspeccionen
los teléfonos móviles en busca de infección. Además, MVT está impulsado por una
lista de indicadores de compromiso recopilados de casos de alto perfil y
facilitados por Amnistía Internacional.
Qué debes hacer si ya
te has infectado con Pegasus
Supongamos que has
seguido todas nuestras recomendaciones, pero aun así te has infectado.
Desafortunadamente, esta es la realidad en la que vivimos. Lo siento mucho, en
serio. Podrías no ser una mala persona, al contrario, estoy seguro de que eres
uno de los buenos. Tal vez dijiste algo en contra de una persona poderosa,
participaste en alguna protesta contra una decisión cuestionable de ciertas
figuras políticas o simplemente utilizaste software de cifrado o estabas en el
lugar equivocado en el momento equivocado. Mira el lado positivo: sabes que te
han infectado, debido a que los artefactos y el conocimiento te han permitido
determinarlo. Piensa lo siguiente:
- ¿Quién te ha atacado
y por qué?
Intenta averiguar qué fue lo que llamó la atención de los peces gordos. ¿Es
algo que podrías evitar en el futuro con un comportamiento más sigiloso?
- ¿Puedes hablar al
respecto?
Lo que derribó a muchas empresas de vigilancia fue la mala publicidad y los
reporteros y periodistas que escribieron sobre los abusos y expusieron las
mentiras, los delitos y todo el mal. Si fuiste atacado, intenta contar tu
historia a un periodista.
- Cambia tu dispositivo. Si estabas en iOS,
intenta cambiarte a Android por un tiempo. Si estabas en Android, cámbiate a
iOS. Esto podría confundir a los atacantes durante un tiempo; por ejemplo,
algunos actores de amenazas son conocidos por comprar sistemas de explotación
que solo funcionan en cierta marca de teléfono y sistema operativo.
- Consigue un
dispositivo secundario, de preferencia que ejecute GrapheneOS, para comunicaciones
seguras. Utiliza una tarjeta de prepago para este o, conéctalo solo con wifi y
TOR en modo avión.
- Evita los servicios
de mensajería en los que necesites proporcionar tus contactos con tu número de
teléfono.
Si un atacante consigue tu número telefónico, puede atacarte fácilmente por
muchos medios como iMessage, WhatsApp, Signal o Telegram, ya que todos están
vinculados a tu número telefónico. Session es una nueva opción interesante; ya
que automáticamente enruta tus mensajes mediante una red tipo Onion y no
depende de números telefónicos.
- Intenta ponerte en
contacto con un investigador de seguridad de tu área e infórmate sobre las
mejores prácticas.
Comparte los artefactos, los mensajes sospechosos o los registros siempre que
algo te parezca extraño. La seguridad nunca es una solución única con un 100 %
de efectividad; piensa que es como un arroyo que fluye y que necesitas ajustar
tu navegación dependiendo de la velocidad, las corrientes y los obstáculos.
EDITORIAL
De acuerdo con un informe del grupo sin ánimo de lucro Committee to Protect Journalists, 293 periodistas fueron encarcelados en el 2021, el número más alto reportado por CPJ desde que comenzaron con el seguimiento en 1992. Es nuestro trabajo moldear el mundo que dejaremos dentro 10 años para nuestros hijos y los hijos de nuestros hijos.
Y es nuestra obligación, intentar seguir los protocolos de seguridad informáticos expuestos en este post u otros equivalentes, cuando no mejores si estuviesen disponibles. Por la seguridad de nuestros datos e incluso, nuestra seguridad personal en no pocos casos de violencia confirmados (tras utilización del malware de espionaje para geolocalización) entre otros a, periodistas, activistas ambientales, e incluso políticos.
POSDATA
Caso no ser posible utilizar ningún protocolo de seguridad, lo más radical para solucionar este problema sería utilizar un dispositivo móvil sin acceso a internet, que solventaría el problema del espionaje de Pegasus y demás app de espionaje de un plumazo.
Fuente: Karpersky.es