Mantente a salvo de los malware móvil Pegasus, Chrysaor y otras APT

En una investigación publicada en julio del periódico The Guardian y 16 otras organizaciones de medios, y que fue probablemente la historia más grande del 2021, se sugería que más de 30,000 activistas de derechos humanos, periodistas y abogados en todo el mundo podrían haber sido atacados con Pegasus, que es un “software de supervisión legal” desarrollado por la empresa israelí, NSO. En el informe, llamado el Proyecto Pegasus, se afirmaba que el malware se había desplegado mediante varios exploits, incluidos varios día cero, cero clic en iOS.

Con base en el análisis forense de varios dispositivos móviles, el laboratorio de seguridad de Amnistía Internacional descubrió que el software se utilizaba varias veces de manera abusiva con fines de vigilancia. La lista de individuos objetivo incluye a 14 líderes mundiales y muchos otros activistas, defensores de los derechos humanos, disidentes y figuras de oposición.

Más tarde en julio, representantes del gobierno israelí visitaron las oficinas de NSO como parte de una investigación de las afirmaciones. En octubre, la Corte Suprema de la India encargó a un comité técnico que investigara el uso de Pegasus para espiar a sus ciudadanos. En noviembre, Apple anunció que tomaría acciones legales contra el Grupo NSO por desarrollar software que convierte a sus usuarios en objetivos de malware y spyware malicioso. Por último, en diciembre, Reuters publicó que los teléfonos del Departamento de Estado de los Estados Unidos habían sido intervenidos con el malware Pegasus de NSO, como ya había alertado Apple.

Durante los últimos meses, me llegaron muchas preguntas de usuarios preocupados en todo el mundo sobre cómo proteger sus dispositivos móviles contra Pegasus y otras herramientas y malware similares. En este artículo trataremos de abordar este tema; sin embargo, cabe destacar que ninguna lista de técnicas defensivas está completa. Además, es necesario adaptar las técnicas de protección a medida que los atacantes cambian su modus operandi.

Cómo mantenerse a salvo de Pegasus y otro spyware móvil avanzado

Lo primero que tenemos que destacar es que Pegasus es un kit de herramientas que se vende a los estados nación a precios relativamente elevados. El costo de una implementación completa podría llegar hasta los millones de dólares. De igual manera, otro malware móvil de tipo APT podría desplegarse mediante exploits de día cero, cero clic. Estos son bastante caros; por ejemplo, Zerodium, una firma de brokers de exploits paga hasta 2.5 millones de dólares por una cadena de infección de cero clic en Android que sea persistente:

Desde el inicio, podemos sacar una conclusión importante: el ciberespionaje patrocinado por los estados nación es un esfuerzo con muchos recursos. Cuando el actor de una amenaza puede permitirse gastar millones, posiblemente decenas de millones o incluso cientos de millones de dólares en sus programas de ofensiva, es muy poco probable que un objetivo pueda evitar infectarse. Para decirlo de manera más simple, si te ataca un actor de este tipo, no se trata de si puedes infectarte, sino  más bien es cuestión de tiempo y recursos antes de que te infectes.

Pero hay buenas noticias: el desarrollo de exploits y la guerra cibernética ofensiva son más un arte que una ciencia exacta. Los exploits necesitan ser ajustados para versiones específicas de sistemas operativos y hardware, y pueden ser fácilmente frustrados por nuevas versiones de sistemas operativos, nuevas técnicas de mitigación o incluso pequeños eventos aleatorios.

Con esto en mente, la infección y convertirse en objetivo también es cuestión de costos y qué tan difícil sea para los atacantes. Si bien, no siempre podremos evitar la explotación exitosa y la infección del dispositivo móvil, podemos intentar dificultarle la tarea lo más posible a los atacantes.

¿En la práctica, cómo es esto? Esta es una lista de verificación básica.

Cómo protegerse del spyware avanzado en iOS

Reinicio diario. De acuerdo con la investigación de Amnistía Internacional y Citizen Lab, la cadena de infección de Pegasus con frecuencia depende de días cero, cero clic sin persistencia, así que un reinicio periódico ayuda a limpiar el dispositivo. Si reinicias tu dispositivo todos los días, los atacantes tendrán que infectarlo una y otra vez. Con el tiempo, esto aumenta la posibilidad de detección; podría ocurrir una falla general o se podrían registrar artefactos que delaten la naturaleza sigilosa de la infección. De hecho, no solo es teoría, también sucede en la práctica: analizamos un caso en donde un dispositivo móvil fue objeto de ataque mediante un exploit cero clic (probablemente, FORCEDENTRY). El propietario del dispositivo reinició su dispositivo de manera regular y lo hizo en las 24 horas posteriores al ataque. Los atacantes intentaron ponerlos en la mira unas cuantas veces más, pero terminaron dándose por vencidos después de ser sacados un par de veces mediante los reinicios.

NoReboot: un reinicio falso para afianzarse en el sistema

Desactiva iMessage. iMessage está integrado en iOS y está activado de manera predeterminada, por lo que es un vector atractivo de explotación. Debido a que está activado por defecto, es un mecanismo principal de entrega de cadenas de cero clic y durante muchos años, los exploits de iMessage eran muy solicitados, con los mejores pagos en las empresas de corretaje de exploits. El fundador de Zerodium, Chaouki Bekrar escribió en el 2019 a WIRED y dijo que durante los últimos meses se había observado un aumento en la cantidad de exploits de iOS, principalmente cadenas de Safari y iMessage, que investigadores en todo el mundo desarrollaban y vendían; que el mercado de día cero estaba inundado de exploits de iOS, y que recientemente habían tenido que rechazar algunos de ellos. Sabemos que la vida sin iMessage podría ser muy difícil para algunos (lo que abordaremos más adelante), pero si Pegasus y otro malware móvil tipo APT de gama alta está en tu modelo de amenazas, es un intercambio que vale la pena.

Desactiva Facetime. El mismo consejo que antes.

Mantén tu dispositivo móvil actualizado; instala los parches más recientes de iOS en cuanto estén disponibles. No todos pueden costar días cero, cero clic, de hecho, muchos de los kits de exploits de iOS que vemos tiene como objetivo vulnerabilidades que ya se habían parcheado. Sin embargo, muchas personas utilizan teléfonos viejos y posponen las actualizaciones por varios motivos. Si quieres estar un paso adelante (al menos) de los hackers del estado nación, actualiza lo antes posible y aprende a no necesitar emoticonos para instalar los parches.

Nunca hagas clic en los enlaces que recibas por mensaje. Este es un consejo sencillo, pero efectivo. No todos los clientes de Pegasus pueden costear cadenas de día cero, cero clic por millones, entonces dependen de los exploits de 1 clic. Estos llegan en forma de mensaje, algunas veces por SMS, pero también pueden llegar por otros servicios de mensajería o incluso por correo electrónico. Si recibes un SMS interesante (o cualquier otro mensaje), con un enlace, ábrelo en una computadora de escritorio, de preferencia con el navegador TOR, o mejor aún, con un OS seguro no persistente como Tails.

SMS con un enlace malicioso utilizado para atacar a un activista político. Fuente: Citizen Lab

Navega en Internet con un navegador alternativo como Firefox Focus en lugar de Safari o Chrome. A pesar de que todos los navegadores en iOS prácticamente utilizan en mismo motor, Webkit, algunos exploits no funcionan bien (consulta el caso de los ATP LightRighter / TwoSailJunk) en algunos navegadores alternativos:

Verificación del kit del exploit LightRiver para “Safari” en la cadena del agente de usuario

Las cadenas del agente de usuario en iOS de los navegadores Safari, Chrome y Firefox Focus:

• Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/1
• Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/1
• Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0

Utiliza siempre una VPN que enmascaré tu tráfico. Algunos exploits se entregan mediante ataques MitM del operador GSM, al navegar en sitios HTTP o al secuestrar el DNS. Utilizar una VPN para enmascarar el tráfico dificulta que tu operador de GSM te ponga como objetivo directamente desde el Internet. También complica el proceso de determinación de un objetivo si los atacantes tienen control de tu flujo de datos, por ejemplo, durante el roaming. Ten en cuenta de que no todas las VPN son las mismas y no todas son seguras. Sin favorecer a ningún proveedor de VPN específico, estas son algunas cosas que puedes considerar  cuando estés en busca de una suscripción de VPN si el anonimato es una prioridad principal:

• Comprar significa eso: nada de VPN “gratuitas“.
• Busca servicios con los que puedas aceptar pagos con criptomonedas.
• Busca servicios para los que no necesites proporcionar información de registro.
• Intenta evitar aplicaciones de VPN; en su lugar, utiliza herramientas de código abierto como OpenVPN, WireGuard y perfiles de VPN.
• Evita servicios de VPN nuevos y busca servicios establecidos que ya tengan un tiempo en el mercado.

Instala una aplicación de seguridad que verifique y te advierta si se ha hecho jailbreak a un dispositivo. En su frustración debido a fallar una y otra vez, con el tiempo, los atacantes implementarán un mecanismo de persistencia y harán jailbreak a tu dispositivo durante este proceso. Aquí aumenta diez veces la probabilidad de atraparlos y podemos aprovechar el hecho de que el dispositivo tiene jailbreak.

Haz copias de seguridad de iTunes una vez al mes. Esto permite diagnosticar y encontrar infecciones más adelante, mediante el uso del maravilloso paquete de MVT de Amnistía Internacional (lo abordaremos más adelante).

Detona sysdiags con frecuencia y guárdalos en copias de seguridad externas. Los artefactos forenses pueden ayudarte a determinar después si has sido objetivo de ataque. Detonar un sysdiag depende del modelo del teléfono; por ejemplo, en algunos iPhone, se hace al presionar los botones Subir volumen + Bajar volumen + Encendido al mismo tiempo. Es posible que necesites intentar un par de veces hasta que el sientas el zumbido del teléfono. Una vez que se crear el sysdiag, aparecerá en el diagnóstico:

Cómo protegerse del spyware avanzado en Android

La lista para usuarios de Android es parecida (para conocer los detalles y fundamentos, revisa la lista anterior para iOS):

• Reinicio diario. La persistencia en las versiones más recientes de Android es difícil, ¡muchos proveedores de APT y exploits evitan cualquier tipo de persistencia!
• Mantén tu teléfono actualizado; instala los parches más recientes.
• Nunca hagas clic en los enlaces que recibas en los mensajes de texto.
• Navega el Internet con un navegador alternativo como Firefox Focus en lugar de Chrome.
• Utiliza siempre una VPN que enmascaré tu tráfico. Algunos exploits se entregan mediante ataques MitM del operador GSM, al navegar en sitios HTTP o al secuestrar el DNS.
• Instala un conjunto de aplicaciones de seguridad que busque malware y revise y te advierta si el dispositivo tiene root.

A un nivel más sofisticado, tanto para iOS como para Android, siempre revisa tu tráfico de red con IoC en vivo. Una buena configuración podría incluir una VPN siempre activa de WireGuard en un servidor que controles, que utilice Pi-hole para filtrar lo malo y que registre todo el tráfico para una inspección más profunda.

Cómo sobrevivir sin iMessage

Hablando con mi amigo Ryan Naraine hace poco, me dijo que iMessage y FaceTime eran las razones principales por las que la gente usa iPhone y, ciertamente, tiene razón. Yo he sido usuario de iPhone desde el 2008 y pienso que iMessage y FaceTime son dos de las mejores cosas que Apple añadió a este ecosistema. Cuando me enteré de que estas también son de las funciones más explotadas que permiten que el estado nación espíe tu teléfono, intenté escapar del Hotel California de iMessage. ¿Qué fue lo más difícil? Lograr que la familia también dejara de utilizarlo. Aunque te sorprenda, esto fue una de las cosas más difíciles de lograr en toda esta saga de seguridad.

Al principio, intenté que todos se cambiaran a Telegram. Pero no me fue muy bien. Después, Signal mejoró mucho, implementaron videollamadas y llamadas en grupo. Con el tiempo, más y más amigos se cambiaron a Signal. Y esto funcionó también en mi familia. No digo que debas hacer lo mismo. Tal vez puedas conservar iMessage y vivir feliz y sin malware; la verdad es que Apple mejoró considerablemente el espacio aislado de seguridad en torno a iMessage con BlastDoor en iOS 14. Sin embargo, el exploit FORCEDENTRY que utilizó NSO para entregar Pegasus logró evitar BlastDoor y, por supuesto, ninguna función de seguridad es 100 % a prueba de ataques.

Entonces, ¿qué es lo mejor de ambos mundos, te preguntas? Algunas personas, yo incluido, tenemos varios teléfonos: uno en donde iMessage está desactivado, y un iPhone “honeypot“, o señuelo, con iMessage activado. Ambos están asociados a la misma ID de Apple y número telefónico. Si alguien decide atacarme, la probabilidad de que terminen en el teléfono señuelo es alta.

Cómo detectar Pegasus y otro malware móvil avanzado

Detectar rastros de infección de Pegasus y otro malware móvil avanzado es muy complejo, y se complica con las funciones de seguridad de los sistemas operativos modernos como iOS y Android. Con base en nuestras observaciones, el desarrollo de malware no persistente que casi no deja rastro después del reinicio, todavía lo complica aún más. Debido a que muchos marcos forenses requieren el jailbreak del dispositivo, para lo que a su vez es necesario reiniciarlo, esto resulta en que el malware se elimina de la memoria durante el reinicio.

Actualmente, se pueden utilizar varios métodos para detectar Pegasus y otro malware móvil. MVT (kit de herramientas de verificación móvil) de Amnistía Internacional es gratuito, de código abierto y permite que los tecnólogos e investigadores inspeccionen los teléfonos móviles en busca de infección. Además, MVT está impulsado por una lista de IoC (indicadores de compromiso) recopilados de casos de alto perfil y facilitados por Amnistía Internacional.

Qué debes hacer si ya te infectó Pegasus

Digamos que seguiste todas nuestras recomendaciones, pero aun así te infectaste. Desafortunadamente, esta es la realidad en la que vivimos. Lo siento mucho, en serio. Podrías no ser una mala persona, al contrario, estoy seguro de que eres uno de los buenos. Tal vez dijiste algo en contra de una persona poderosa, o participaste en alguna protesta contra una decisión cuestionable de ciertas figuras políticas, o simplemente utilizaste software de cifrado o estabas en el lugar equivocado en el momento equivocado. Mira el lado positivo: tú sabes que te infectaron, debido a que los artefactos y el conocimiento te permitieron determinarlo. Piensa en lo siguiente:

• ¿Quién te atacó y por qué? Intenta averiguar qué fue lo que llamó la atención de los peces gordos. ¿Es algo que podrías evitar en el futuro con un comportamiento más sigiloso?
• ¿Puedes hablar al respecto? Lo que derribó a muchas empresas de vigilancia fue la mala publicidad y los reporteros y periodistas que escribieron sobre los abusos y expusieron las mentiras, los delitos y todo el mal. Si fuiste atacado, intenta contar tu historia a un periodista.
• Cambia tu dispositivo: si estabas en iOS, intenta cambiarte a Android por un tiempo. Si estabas en Android, cámbiate a iOS. Es podría confundir a los atacantes por un tiempo; por ejemplo, algunos actores de amenazas son conocidos por comprar sistemas de explotación que solo funcionan en cierta marca de teléfono y sistema operativo.
• Consigue un dispositivo secundario, de preferencia que ejecute GrapheneOS, para comunicaciones seguras. Utiliza una tarjeta prepagada para este o, solo conéctalo con Wi-Fi y TOR en modo avión.
• Evita los servicios de mensajería en los que necesites proporcionar tus contactos con tu número de teléfono. Si un atacante consigue tu número telefónico, puede atacarte fácilmente por muchos medios como iMessage, WhatsApp, Signal, Telegram, ya que todos están vinculados a tu número telefónico. Session es una nueva opción interesante; esta automáticamente enruta tus mensajes mediante una red tipo Onion y no depende de números telefónicos.
• Intenta ponerte en contacto con investigador en seguridad de tu área y habla constantemente de las mejores prácticas. Comparte los artefactos, los mensajes sospechosos o los registros siempre que algo te parezca extraño. La seguridad nunca es una solución única con 100 % de efectividad; piensa que es como un arroyo que fluye y que necesitas ajustar tu navegación dependiendo de la velocidad, las corrientes y los obstáculos.

Como conclusión, me gustaría dejarte algo en que pensar. Si te ataca un estado nación, significa que eres importante. Recuerda: se siente bien ser importante, pero es más importante hacer las cosas bien. Solos somos débiles, juntos somos fuertes. Es posible que el mundo esté torcido, pero creo que vivimos en un momento en donde todavía podemos cambiar las cosas. De acuerdo con un informe del grupo sin fines de lucro Committee to Protect Journalists, 293 periodistas fueron encarcelados en el 2021, el número más alto reportado por CPJ desde que comenzaron el seguimiento en 1992. Nos corresponde moldear el mundo que tendremos en 10 años para nuestros hijos y los hijos de nuestros hijos.

Ustedes, el pueblo tienen el poder de crear máquinas. ¡El poder de crear felicidad! Ustedes, el pueblo, tienen el poder de hacer esta vida libre y hermosa, de hacer de esta vida aventura maravillosa.

Entonces, en el nombre de la democracia, ejerzamos ese poder, a unirnos todos ya. Peleemos por un mundo nuevo, un mundo decente en donde las personas tengan oportunidad de trabajar, donde la juventud tenga futuro y la ancianidad seguridad. Mediante la promesa de estas cosas, las bestias llegaron al poder. ¡Pero mintieron! No cumplen su promesa. ¡Nunca lo harán!

¡Los dictadores se liberan, pero esclavizan al pueblo! ¡Luchemos para cumplir esa promesa! Peleemos para crear un mundo libre, para acabar con las barreras nacionales, para acabar con la codicia, con el odio y con la intolerancia. Luchemos por un mundo donde domine la razón, un mundo donde la ciencia y el progreso conduzcan a la felicidad de todos los hombres. ¡Soldados! En nombre de la democracia, ¡a unirnos todos ya!

Discurso final de El Gran Dictador

Este artículo se publicó originalmente como una serie de artículos de opinión en Dark Reading (parte 1, parte 2).