No hay muchos trabajos fáciles en seguridad de la información, pero proteger a las personas contra los ataques de los estados-nación es el más difícil de todos. Y, sin embargo, la investigadora de seguridad Runa Sandvik no parecía desesperada durante una charla en una conferencia sobre la amenaza de que las agencias de inteligencia ataquen con software espía comercial a periodistas, activistas y políticos de la oposición.
Una razón: el modo de bloqueo que Apple envió con iOS 16 todavía parece bloquear los peores tipos de software espía comercial.
«No tengo conocimiento de ningún compromiso de un dispositivo que utilice el modo de bloqueo hoy», dijo Sandvik en el discurso de apertura de la conferencia ATT&CKcon de Mitre Corp. en Virginia. «Es la mejor defensa que tenemos hoy para Pegasus y Predator».
Pegasus es el nombre del notorio software espía para Android e iOS desarrollado por NSO Group, una empresa israelí que ha generado un desprecio generalizado por vender esta herramienta a regímenes tan opresivos como Arabia Saudita; Predator, una herramienta de software espía con capacidades similares, es obra de Cytrox, una empresa con operaciones en Israel y Hungría.
(Los informes han revelado que agencias gubernamentales de EE. UU., como la Administración de Control de Drogas y el FBI, habían considerado y luego rechazado el uso de Pegasus en 2021. Más recientemente, el gobierno ha incluido a NSO, Cytrox y otros desarrolladores comerciales de software espía en listas de bloqueo de exportación, y en En marzo, una orden ejecutiva de la administración Biden prohibió la mayor parte del uso gubernamental de estas herramientas).
Tanto Pegasus como Predator han podido infectar teléfonos específicos sin ninguna acción por parte del usuario, lo que se llama un ataque de «clic cero». Sandvik, fundador de la consultora de seguridad Granitt y con experiencia que incluye ayudar a desarrollar la red de anonimato Tor y piratear un rifle «inteligente», describió algunos casos especialmente espeluznantes.
Sandvik muestra parte de su base de datos de víctimas de software espía comercial. (Crédito: Rob Pegoraro)
En uno, New York Times El periodista Ben Hubbard recibió un mensaje de WhatsApp en junio de 2018 pidiéndole que cubriera una protesta frente a la embajada de Arabia Saudita en Washington. Si hubiera seguido el enlace de ese mensaje, habría enviado a Pegasus a su teléfono. Una investigación posterior realizada por Citizen Lab, un proyecto alojado en la Universidad de Toronto, estableció que el teléfono de Hubbard había sido pirateado sin hacer clic en 2020 y 2021.
(Sandvik trabajó como consultor de seguridad para la Veces desde marzo de 2016 hasta octubre de 2019, cuando se fue y tuiteó que el periódico le había dicho que no necesitaba «un enfoque dedicado en la sala de redacción y la seguridad periodística». En su charla mencionó su papel en el periódico, pero no entró en detalles sobre su salida).
En otro caso, Artemis Seaford, miembro del equipo de confianza y seguridad de Meta con doble ciudadanía estadounidense y griega, vio cómo su teléfono era atacado con el software espía Predator en 2021, después de haber sido sometida a una escucha secreta por parte de los servicios de inteligencia griegos durante un año.
El vector de ataque fue un mensaje de texto pidiéndole que confirmara la cita para la vacuna de refuerzo de Covid que había reservado anteriormente y que había visto confirmada por un mensaje legítimo del gobierno griego, un patrón que sugiere que el remitente del mensaje de señuelo de software espía había visto la cita anterior. texto.
«Este es un ejemplo de un ataque con un solo clic que aprovechaba información que ya había sido obtenida por el servicio de inteligencia de una manera ligeramente diferente», dijo Sandvik.
Sandvik ahora mantiene listas de víctimas de software espía comercial en la página GitHub de Granitt, desglosando cuándo fueron atacadas, quién pudo haberlo hecho y cómo pudo haber ocurrido el ataque. La lista de víctimas de Pegasus, por ejemplo, nombra a 43, siendo México el atacante sospechoso más común.
Un episodio más reciente sugiere que los clientes de empresas como NSO se están volviendo más descarados. En octubre, Amnistía Internacional publicó un informe que documenta cómo un atacante que se pensaba estaba afiliado al régimen represivo de Vietnam atacó a políticos europeos y estadounidenses, así como a la presidenta de Taiwán, Tsai Ing-wen, con respuestas a publicaciones en Twitter y Facebook.
“Lo que me dice que al operador no necesariamente le importaba que lo descubrieran”, concluyó Sandvik. «Lo que significa que el conjunto potencial de víctimas es mucho, mucho más amplio».
El consejo habitual sobre estas amenazas, continuó, incluye tres elementos de acción: no hacer clic en enlaces de extraños, mantener actualizado el software de su teléfono y reiniciarlo una vez al día para eliminar cualquier infección activa.
Recomendado por nuestros editores
Pero si bien instalar parches de seguridad tan pronto como estén disponibles es una idea excelente (Apple, por ejemplo, lanzó dos correcciones de iOS con semanas de diferencia en septiembre para cerrar las vulnerabilidades atacadas por aplicaciones de software espía) y reiniciar no hace daño, Sandvik señaló que La primera recomendación puede resultar poco práctica para muchas de las personas a las que intenta ayudar.
“Si piensas en un periodista, esa guía se rompe en ese contexto”, dijo. «El trabajo de un periodista es hacer clic en enlaces de extraños».
Eso llevó a Sandvik a elogiar el modo de bloqueo, aunque las severas restricciones que impone a la mensajería del iPhone y la navegación web también pueden hacerlo poco práctico. Y las personas cuyo modelo de amenaza no incluye ser atacado por un atacante de un estado-nación (que presumiblemente es la mayoría de las personas que leen esto) no deberían necesitar esta capa adicional de protección de software.
Mientras tanto, Google aún no ha lanzado una función equivalente para Android.
Un investigador de seguridad en la conferencia Mitre que vio la charla de Sandvik dijo que mantenerse al día con las actualizaciones de seguridad es la mejor defensa contra el malware, patrocinado por el estado o no, y estuvo de acuerdo en que decirle a la gente que abandone los hábitos de trabajo cotidianos no es un comienzo.
«La seguridad no puede obstaculizar lo que hace la gente, tiene que permitir lo que hace la gente», dijo Scott Roberts, jefe de investigación de amenazas de Interpres Security. «Se trata de que los equipos de seguridad creen un entorno permisivo donde esas personas puedan hacer su trabajo».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de seguridad boletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.