Todo software es vulnerable por naturaleza, no importa el esfuerzo que se ponga en obtener un desarrollo 100 % seguro: siempre existe un resquicio por el que un atacante puede colarse hasta obtener el control del software y del dispositivo que lo ejecuta. Estas vulnerabilidades van parcheándose; ya sea porque las descubren sus desarrolladores como la comunidad que hace uso del software. Precisamente, es lo que ocurre con los sistemas operativos de la mayoría de los terminales móviles, como iOS o Android: son muy seguros, pero a menudo dejan puertas abiertas que tardan un tiempo en cerrarse.

Como decíamos, sistemas operativos como iOS y Android acusan vulnerabilidades que tanto Apple como Google van corrigiendo según el riesgo que presentan para sus usuarios. Las dos empresas poseen equipos destinados a asegurar la integridad de los sistemas, también ofrecen recompensas a quienes descubren fallos que los atacantes puedan aprovechar para colarse (aquí el programa de Apple y aquí el de Google). Pero, dado lo populares que son los teléfonos, el gran número de empresas que toman parte en la fabricación de los móviles y debido al enorme interés por entrar en las entrañas de los sistemas para así atacarlos y obtener beneficios, no existe manera de que cada versión de iOS o de Android se distribuya sin vulnerabilidades. Por lo general sin excesivo riesgo.

Pegasus sólo necesitaba un número de teléfono para funcionar: era capaz de adentrarse tanto en móviles Android como en iPhone para así obtener la valiosa información privada

Las vulnerabilidades son inherentes al software, sobre todo conforme éste crece en volumen hasta alcanzar las complejidades que entraña un sistema operativo para móviles. Y aquí es donde entran empresas como NSO Group: aprovechando los fallos encontrados en los teléfonos, los israelíes desarrollaron una plataforma de ataque capaz de infectar cualquier móvil. Cualquiera. Según afirman ellos mismos, «el software de Pegasus se instala basándose únicamente en los números de teléfono«.

NSO Group desarrollaba su software de ataque y espionaje adaptándolo a las distintas vulnerabilidades que iban sufriendo tanto los móviles Android como el iPhone. Dada su probada efectividad, la empresa israelí vendía su producto exclusivamente a los gobiernos y como una herramienta para «prevenir atentados terroristas, desarticular redes de pedofilia, sexo y tráfico de drogas, localizar a niños desaparecidos y secuestrados, localizar a supervivientes atrapados bajo edificios derrumbados y proteger el espacio aéreo contra la penetración perturbadora de peligrosos drones«. Pegasus actualmente no está disponible para su utilización (o al menos NSO Group no hace referencia pública a él).

Pegasus es un virus de tipo Spyware que, una vez se instala en el sistema, tiene la potestad de permitir a quien lo controla activar a distancia la cámara y el micrófono del teléfono para poder grabar audio, vídeo y sacar fotos. El malware también escanea correos, mensajes y puede almacenar datos como la localización del móvil. Y todo ello de la forma más simple, ya que la manera de entrar en tu móvil es simplemente haciéndote una llamada.

Y aquí viene lo peor: No tienes por qué contestarla, simplemente al recibirla, como han confirmado expertos de seguridad y la propia WhatsApp. En 2019 conocimos de lo que Pegasus era capaz explotando una vulnerabilidad de WhatsApp, que salió a la luz cuando un abogado inglés especializado en derechos humanos fue atacado por Pegasus. El spyware aprovecha esa debilidad de la app y la usa en su favor. El ataque en sí fue bloqueado por WhatsApp, pero se desconoce la cantidad de móviles que fueron hackeados por culpa del exploit en aquel ataque, que en 48 horas se extendió y fue tan potencialmente peligroso como para lanzar una alerta global.

¿Cuánto cuestan los servicios espía de Pegasus?

Las cifras dependen de las fuentes consultadas, el New York Times apunta que NSO Group fija el precio de sus herramientas de vigilancia en función del número de objetivos, empezando por una tarifa plana de instalación de 500.000 dólares. Para espiar a 10 usuarios de iPhone, NSO cobra a las agencias gubernamentales 650.000 dólares; 650.000 dólares por 10 usuarios de Android; 500.000 dólares por cinco usuarios de BlackBerry; o 300.000 dólares por cinco usuarios de Symbian, además de la cuota de instalación, según una propuesta comercial.

Se puede pagar por más objetivos. Cien objetivos adicionales cuestan 800.000 dólares, 50 objetivos extra cuestan 500.000 dólares, 20 extra cuestan 250.000 dólares y 10 extra cuestan 150.000 dólares, según una propuesta comercial de NSO Group. A partir de entonces, hay una cuota anual de mantenimiento del sistema del 17% del precio total.

Cualquier teléfono puede ser objetivo de ataque

Como hemos visto anteriormente el precio por la compra de una licencia de Pegasus es bastante elevado así que podemos decir que es improbable que Pegasus se utilice con usuarios que no esté en el punto de mira de un Gobierno, organizaciones terroristas o por algún otro motivo de peso. Sin embargo, no podemos descartarlo completamente o quizá si eres un familiar o amigo cercano de personas que sí están dentro de la anterior categoría puedes estar preocupado por tu grado de susceptibilidad a la infección de programas espía como Pegasus.

Pese a que la mayoría de nosotros jamás será objeto de un ataque con un spyware similar, nunca está de más extremar las precauciones. No hay que descargar archivos que nos lleguen por SMS, hay que tener mucho cuidado con los adjuntos de mail y, ante cualquier sospecha, conviene desconfiar. Toda precaución es poca.

Origen: xatakamovil.com y as.com/meristation