Casi medio centenar de gobiernos, entre ellos varios autoritarios, lo han usado para controlar a decenas de miles de objetivos potenciales en todo el mundo, según ha revelado el consorcio de periodistas Forbidden Stories y la organización Amnistía Internacional.

Una filtración revela el espionaje de Gobiernos a periodistas y opositores con el programa Pegasus. Varios Estados autoritarios supuestamente usaron este software para espiar parte de una lista de 50.000 números de teléfono, según una investigación del consorcio Forbidden Stories.

Pegasus es un software desarrollado por la compañía israelí NSO Group que permite hacerse con el control remoto de un dispositivo móvil sin que el usuario sea consciente de ello.

La revelación, publicada el domingo por los diarios Le Monde y The Guardian, entre otros medios internacionales– se basa en la filtración de una lista de 50.000 números telefónicos identificados como objetivos potenciales desde 2016 por los clientes de NSO, aunque no todos han sido infectados. Entre los estados que usaron el programa de NSO según las revelaciones, se encuentran México, Hungría, Marruecos, la India, Arabia Saudí, Ruanda y Azerbaiyán.

De acuerdo a Forbidden Stories, el Gobierno español informa que los teléfonos del Presidente del Gobierno, Pedro Sánchez, y de la Ministra de Defensa, Margarita Robles, fueron infectados con el programa espía Pegasus el año pasado. El máximo tribunal penal de España investigará el ilícito, que también afectó a la ministra de Defensa. Los desarrolladores de Pegasus dicen que el programa espía es sólo para uso gubernamental. El informe apunta a Marruecos como posible autor del espionaje a 200 móviles españoles que habrían sido seleccionados como objetivos de vigilancia por parte de un cliente de la compañía israelí NSO Group.

Félix Bolaños, ministro de la Presidencia, dijo que el teléfono de Sánchez fue atacado en mayo y junio de 2021, mientras que el de Robles lo fue en junio de 2021. Bolaños dijo que la máxima instancia penal española, la Audiencia Nacional, investigará la actividad «ilícita» y «externa».

Asimismo, dijo que las escuchas debían provenir de fuera de España porque cualquier actividad de ese tipo en España habría requerido la autorización de un juez.

Pegasus, vendido por la empresa israelí NSO Group, se ha utilizado para espiar a docenas de activistas independentistas catalanes, entre ellos el presidente de la región del noreste de España, Pere Aragonès, y tres de sus predecesores que dirigieron la región antes que él.

El software Pegasus, desarrollado por la empresa israelí NSO, saltó al centro de la polémica cuando el pasado mes de agosto una investigación del diario The Washington Post reveló una lista de 50.000 teléfonos de todo el mundo que podrían ser objetivo del software. Entre los usuarios de esos teléfonos hay periodistas, activistas y empresarios, entre otras personalidades.

El gobierno regional catalán ha apuntado al Centro Nacional de Inteligencia (CNI) del país. El Defensor del Pueblo español también ha iniciado una investigación sobre la supuesta persecución de activistas catalanes por parte del CNI, que forma parte del Gobierno.

El presidente catalán dijo en un comunicado: «Cualquier espionaje político es extremadamente grave. Hace unos días denunciamos el espionaje, pero el gobierno español no nos dio ninguna explicación. Cuando se trata de un espionaje masivo a las instituciones catalanas y al movimiento independentista, todo era silencio y excusas. Con esto, todo va muy rápido. Hay que depurar responsabilidades de inmediato. Urge una investigación exhaustiva e independiente y asumir responsabilidades».

NSO Group afirmó en un comunicado que estudiaría «cualquier sospecha de uso indebido» de su software y que colaboraría con cualquier investigación del gobierno. Según un portavoz, «no hemos visto ninguna información sobre este supuesto uso indebido y no conocemos los detalles de este caso».

La postura de NSO sigue siendo: «Utilizar herramientas cibernéticas para vigilar a políticos, activistas o periodistas es un grave uso indebido de cualquier tecnología, y va en contra del uso previsto de estas herramientas críticas. NSO es un proveedor de software; la empresa no maneja la tecnología ni tiene conocimiento de los datos recogidos». NSO Group afirma que Pegasus sólo se vende a los gobiernos para rastrear a los delincuentes y a los terroristas.

NSO Group fue incluido en una lista negra por Estados Unidos tres meses después de que un grupo de periodistas que trabajaba con una organización francesa sin ánimo de lucro llamada Forbidden Stories revelara que muchos periodistas y activistas habían sido hackeados por gobiernos extranjeros mediante un programa espía llamado NSO.

El problema que plantea el programa Pegasus, si se confirma la lista de 50.000 objetivos, es que no sirve solo para espiar y combatir a organizaciones criminales o terroristas, el uso para el que teóricamente se habría concebido. El problema sería que se hubiese utilizado fuera de todo marco legal y principalmente para espiar a activistas por los derechos humanos, periodistas y opositores, además de jefes de Estado y de Gobierno, diplomáticos y responsables de otros servicios de espionaje.

Zero-Click en iOS

Según las declaraciones de Claudio Guarnieri (aka botherder), jefe del Laboratorio de seguridad de Amnistía Internacional, recogidas por OCCRP, la mayoría de los casos se dieron a través de «ataques Zero-Click» que se aprovechan de fallos en la seguridad de aplicaciones como iMessage, WhatsApp y FaceTime e instalan el spyware sin que el usuario intervenga. Simplemente con la recepción del mensaje o de la llamada, el dispositivo ya estaría infectado.

El punto de entrada de Pegasus en iOS es iMessage fue analizado en «A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution» y por Sergio López (aka slpnix). El atacante envía un GIF a la víctima y, sin que ésta tenga que hacer nada («zero-click»), el smartphone empieza a procesar la supuesta imagen animada. Pero, ese GIF no es un GIF, sino un PDF. La biblioteca ImageIO es capaz de identificar correctamente el tipo de documento, indistintamente de su extensión, y de compensar su renderizado.

El PDF está construido para explotar una vulnerabilidad («Integer Overflow») en el formato JBIG2 para preparar la memoria y tomar el control de la ejecución, en preparación de la siguiente parte del exploit.

El artículo de Google Project dicen que en 14.8.1 se limitó el número de formatos que soporta IMTranscoderAgent y en 15.0 todo el procesado de adjuntos se movió a BlastDoor.

Asimismo, en 15.1 se limitó la funcionalidad de NSExpressions para mitigar algunas estrategias de escape del sandbox.

Fuente y redacción: segu-info.com.ar

Compartir