Cómo proteger su teléfono de Pegasus y otros APT


Amnistía Internacional informa que Pegasus, el «software de vigilancia legal» de la empresa israelí NSO Group que se ha utilizado para vigilar a activistas de derechos humanos, periodistas y abogados en todo el mundo, se ha encontrado en 37 dispositivos pertenecientes a 35 periodistas en El Salvador hasta noviembre pasado.

En los últimos meses, recibí muchas preguntas de usuarios preocupados de todo el mundo sobre cómo proteger sus dispositivos móviles de Pegasus y otras herramientas y malware similares. Primero, déjame advertirte que ninguna lista de técnicas de defensa puede ser exhaustiva. Además, a medida que los atacantes cambian su modus operandi, las técnicas de defensa deben adaptarse.

Deberíamos empezar diciendo que Pegasus es un juego de herramientas que se vende a los estados-nación a precios relativamente altos. El costo de una implementación completa puede llegar fácilmente a millones de dólares. Del mismo modo, se puede implementar otro malware móvil de amenazas persistentes avanzadas (APT) a través de exploits de día cero sin clic. Estos también son extremadamente costosos; por ejemplo, Zerodium, una firma de corretaje de exploits, paga hasta $ 2.5 millones de dólares por una cadena de infección de Android sin clic con persistencia.

Desde el principio, llegamos a una conclusión importante: el ciberespionaje patrocinado por el estado-nación es un esfuerzo que requiere muchos recursos. Cuando un actor de amenazas puede permitirse gastar millones, decenas de millones o incluso cientos de millones de dólares en sus programas ofensivos, es muy poco probable que un objetivo pueda evitar infectarse. Para decirlo sin rodeos: no se trata de si te infectas, es solo una cuestión de tiempo y recursos antes de infectarte.

Ahora, las buenas noticias: el desarrollo de exploits y la guerra cibernética ofensiva suelen ser más un arte que una ciencia exacta. Los exploits deben ajustarse para versiones de SO y hardware específicos, y pueden frustrarse fácilmente con nuevos SO, nuevas técnicas de mitigación o incluso pequeños eventos aleatorios.

Con eso en mente, evitar la infección también se reduce a hacer las cosas más costosas y difíciles para los atacantes. Aunque es posible que no siempre podamos evitar la explotación e infección exitosas de nuestro dispositivo móvil, podemos intentar ponérselo lo más difícil posible a los atacantes. ¿Cómo hacemos esto en la práctica? Aquí hay una lista de verificación simple:

En dispositivos Apple iOS
Reiniciar diariamente. Según una investigación de Amnistía Internacional y CitizenLab, la cadena de infección de Pegasus a menudo se basa en cero días sin clic sin persistencia, por lo que el reinicio regular ayuda a limpiar el dispositivo. Si el dispositivo se reinicia diariamente, los atacantes tendrán que volver a infectarlo una y otra vez. Con el tiempo, esto aumenta las posibilidades de detección; se podría registrar un bloqueo o artefactos que revelan la naturaleza de la infección sigilosa. Esto no es solo teoría, es práctica: analizamos un caso en el que un dispositivo móvil fue atacado a través de un exploit sin clic (probablemente FORCEDENTRY). El propietario del dispositivo reiniciaba su dispositivo regularmente y lo hacía en las 24 horas posteriores al ataque. Los atacantes intentaron atacarlos unas cuantas veces más, pero finalmente se dieron por vencidos después de recibir patadas varias veces durante los reinicios.

Deshabilitar iMessage. iMessage está integrado en iOS y está habilitado de forma predeterminada, lo que lo convierte en un atractivo vector de explotación. Debido a que está habilitado de forma predeterminada, es un mecanismo de entrega superior para las cadenas de clic cero. Durante muchos años, los exploits de iMessage tuvieron una gran demanda, con pagos máximos en las empresas de corretaje de exploits. «Durante los últimos meses, hemos observado un aumento en la cantidad de exploits de iOS, en su mayoría cadenas de Safari e iMessage, desarrollados y vendidos por investigadores de todo el mundo. El mercado de día cero está tan inundado de exploits de iOS que recientemente comencé a rechazar algunos (de) ellos», el fundador de Zerodium Chaouki Bekrar escribió en 2019 a Wired. Nos damos cuenta de que esto puede ser muy difícil para algunos (más adelante), pero si Pegasus y otro malware móvil APT de alta gama está en su modelo de amenaza, vale la pena tomar esta compensación.

Deshabilita Facetime. Lo mismo que arriba.

Mantenga el dispositivo móvil actualizado. Instale los últimos parches de iOS tan pronto como salgan. No todos los atacantes pueden permitirse los días cero de cero clics; muchos de los kits de explotación de iOS que estamos viendo tienen como objetivo vulnerabilidades ya parcheadas. Sin embargo, muchas personas usan teléfonos antiguos y posponen las actualizaciones por varias razones. Si quiere estar por delante de (algunos) piratas informáticos del estado-nación, actualice lo antes posible y enséñese a sí mismo no necesitar emojis para instalar los parches.

Nunca haga clic en los enlaces recibidos a través de mensajes SMS. Este es un consejo simple, pero efectivo. Para ahorrar el costo de las cadenas de clics cero, muchos piratas informáticos confían en las vulnerabilidades de un clic. Estos llegan en forma de mensaje, a veces por SMS, pero también a través de otros mensajeros o incluso por correo electrónico. Si recibe un SMS interesante (o cualquier otro mensaje) con un enlace, ábralo en una computadora de escritorio, preferiblemente usando el navegador TOR o un sistema operativo seguro no persistente como Tails.

Navegue por Internet con un navegador alternativo como Firefox Focus. A pesar de que prácticamente todos los navegadores de iOS utilizan el mismo motor de renderizado WebKit, algunos exploits no funcionan bien (ver LightRighter / TwoSailJunk) en algunos navegadores alternativos.

Mostrar la cadena de agente de usuario
Fuente: Costin Raiu, Kaspersky GReAT

Cadenas de agentes de usuario en iOS desde Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1

Cadenas de agente de usuario en iOS desde Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) FxiOS/39 Mobile/15E148 Versión/15.0

Siempre use una VPN que enmascare su tráfico. Algunos exploits se entregan a través de ataques MitM del operador GSM, al navegar por sitios HTTP o por secuestro de DNS. El uso de una VPN para enmascarar el tráfico dificulta que su operador GSM lo apunte directamente a través de Internet. También complica el proceso de focalización si los atacantes tienen control sobre su flujo de datos, como cuando están en roaming. Tenga en cuenta que no todas las VPN son iguales, y no todas las VPN son buenas para usar. Sin favorecer ninguna VPN específica, aquí hay algunas cosas que debe considerar al comprar una suscripción VPN:

  • «Comprar» significa exactamente eso: no hay VPN «gratuitas»
  • Busque servicios que acepten pagos con criptomonedas
  • Busque servicios que no requieran que proporcione ninguna información de registro
  • Trate de evitar las aplicaciones VPN; en su lugar, use herramientas de código abierto como WireGuard y OpenVPN y perfiles VPN
  • Evite los nuevos servicios de VPN y busque servicios establecidos que hayan existido durante algún tiempo.

Instala una aplicación de seguridad que compruebe y avise si el dispositivo tiene jailbreak. Frustrados por ser pateados una y otra vez, los atacantes eventualmente implementarán un mecanismo de persistencia y liberarán su dispositivo en el proceso. Aquí es donde la probabilidad de atraparlos se multiplica por diez, y podemos aprovechar que el dispositivo tiene jailbreak.

Realiza copias de seguridad de iTunes una vez al mes. Esto le permite diagnosticar y encontrar infecciones más tarde, mediante el uso de la maravillosa Paquete MVT de Amnistía.

Active Sysdiags con frecuencia y guárdelos en copias de seguridad externas. Los artefactos forenses pueden ayudarlo a determinar en un momento posterior si ha sido un objetivo. La activación de un sysdiag depende del modelo de teléfono; por ejemplo, en algunos iPhones, se hace presionando VOL Arriba + Abajo + Encendido al mismo tiempo. Es posible que deba jugar con esto un par de veces hasta que suene el teléfono. Una vez que se crea el sysdiag, aparecerá en los diagnósticos:

Opciones de análisis en iOS
Fuente: Costin Raiu, Kaspersky GReAT

En dispositivos Android
Reiniciar diariamente. La persistencia en las últimas versiones de Android es difícil; ¡muchos APT y vendedores de exploits evitan cualquier persistencia!

Mantén tu teléfono actualizado. Instale todos los parches más recientes.

Nunca hagas clic en enlaces recibidos en mensajes SMS.

Navega por Internet con un navegador alternativo. Nuevamente, intente usar Firefox Focus en lugar de Chrome.

Siempre use una VPN que enmascare su tráfico. Algunos exploits se entregan a través de ataques MitM del operador GSM, al navegar por sitios HTTP o por secuestro de DNS.

Instale una suite de seguridad que busque malware y verifique y avise si el dispositivo tiene jailbreak.

En un nivel más sofisticado, siempre verifique el tráfico de su red usando IOC en vivo. Una buena configuración podría incluir una VPN Wireguard siempre activa a un servidor bajo su control que utiliza pi-agujero para filtrar cosas malas y registra todo el tráfico para una inspección más detallada.

¡Hermano, esto no tiene sentido! La vida sin iMessage es verde y sin emojis.

Mensaje de George sobre iMessage.
Fuente: Costin Raiu, Kaspersky GReAT


Ah, sí, te escucho, he estado allí yo mismo. Hablando con mi amigo Ryan Naraine ayer, dijo: «iMessage y FaceTime: estos son el ¡Razones por las que la gente usa iPhones!” y seguro que tiene razón. Yo mismo he sido usuario de iPhone desde 2008, y creo que iMessage y FaceTime fueron dos de las mejores cosas que Apple agregó a este ecosistema. Cuando me di cuenta de que estas son también algunas de las funciones más explotadas que permiten a los estados nacionales espiar tu teléfono, traté de escapar del iMessage. Hotel California. ¿La cosa mas dificil? Conseguir que la familia también deje de usarlo. Por sorprendente que parezca, esta fue una de las cosas más difíciles en toda esta saga de seguridad.

Al principio, traté de cambiar a todos a Telegram. Esto no salió muy bien. Luego, Signal mejoró, implementando videollamadas y llamadas grupales. Con el tiempo, más y más amigos comenzaron a pasarse a Signal. Y esto también funcionó bien con mi familia.

No digo que tú debas hacer lo mismo. Tal vez pueda mantener esas aplicaciones habilitadas y vivir feliz y libre de malware; a decir verdad, Apple mejoró enormemente la sandbox de seguridad alrededor de iMessage con BlastDoor en iOS 14. Sin embargo, el Explotación FORCEDENTRY NSO solía ofrecer Pegasus sin pasar por BlastDoor y, por supuesto, ninguna característica de seguridad es 100 % a prueba de piratería.

Entonces, ¿qué es lo mejor de ambos mundos?, te preguntarás. Algunas personas, incluyéndome a mí, tienen varios iPhones, uno donde iMessage está deshabilitado y un iPhone «honeypot» donde iMessage está habilitado. Ambos están asociados con el mismo ID de Apple y número de teléfono. Si alguien decide atacarme de esta manera, es muy probable que termine en el teléfono trampa.

Tenga en cuenta que sopesé los costos y los beneficios para mi propia situación. He experimentado este tipo de ataques y, por lo tanto, sé que podría volver a ser un objetivo. Para evitar este mayor nivel de riesgo, me esforzaré más y sacrificaré más funciones que considero útiles y divertidas. Si está tomando medidas que podrían hacer que un estado-nación lo note y lo considere un enemigo, es posible que desee bloquear su teléfono tanto como sea posible.

De lo contrario, tal vez solo configure un honeypot.





Enlace a la noticia original