Bajo vigilancia: cómo evitar ser víctima de Pegasus y otros APTs para móviles

Periodistas y activistas de derechos humanos figuran entre los objetivos de sofisticados softwars espías.

En general, se cree que es imposible protegerse por completo del software de vigilancia avanzado. Aunque puede ser muy difícil evitar que un dispositivo móvil se infecte exitosamente, los usuarios pueden tomar ciertas medidas que les impidan ser objetivos de los atacantes. Según reportes de los medios de comunicación, son principalmente los periodistas, los políticos, los defensores de derechos humanos, los abogados y los activistas quienes se están convirtiendo cada vez más en los principales objetivos de este tipo de software espía, por lo que Costin Raiu –el jefe del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky– ha elaborado una serie de recomendaciones sobre cómo los usuarios de móviles, tanto de Android como de iOS, pueden proteger sus dispositivos de Pegasus y de otros programas maliciosos de gama alta para móviles.

Pegasus, Chrysaor, Phantom y otros son los llamados «softwares de vigilancia legal», desarrollados por empresas privadas y ampliamente desplegados a través de una variedad de exploits, incluyendo varios zero-click o zero-days de iOS. La primera versión de Pegasus captó la atención de los investigadores en 2016. Desde entonces, más de 30,000 activistas de derechos humanos, periodistas y abogados de todo el mundo podrían haber sido objetivo de Pegasus. 

Estos son algunos consejos que te ayudarán a protegerte contra ataques de malware sofisticados para móviles:

• En primer lugar, es importante reiniciar los dispositivos móviles a diario. Los reinicios ayudan a «limpiar» el dispositivo, por así decirlo. Esto significa que los atacantes tendrán que reinstalar continuamente Pegasus en el dispositivo, lo que hace mucho más probable que la infección sea detectada por las soluciones de seguridad.
• Mantén el dispositivo móvil actualizado e instala los últimos parches en cuanto estén disponibles. En realidad, muchos de los kits de explotación se dirigen a vulnerabilidades que ya cuentan con parches, pero siguen siendo peligrosos para aquellas personas que utilizan teléfonos antiguos o posponen las actualizaciones.
• No hagas nunca clic en los enlaces recibidos por mensajes. Este es un consejo simple pero efectivo. Algunos de los clientes de Pegasus confían más en los exploits de 1 clic que en los de 0 clic. Estos llegan en forma de mensaje, a veces por SMS, pero también pueden ser a través de otras vías de mensajería o, incluso, por medio de correo electrónico. Si recibes información interesante por SMS (o por cualquier otra vía) con un enlace, ábrelo en una computadora de escritorio, preferiblemente usando el buscador TOR, o mejor aún, utilizando un sistema operativo seguro no persistente, como Tails. 
• Además, no olvides utilizar un navegador alternativo para la búsqueda en la web. Algunos exploits no funcionan tan bien en navegadores alternativos como Firefox Focus en comparación con navegadores más tradicionales como Safari o Google Chrome.
• Utiliza siempre una VPN; de este modo, los atacantes tendrán más dificultades para atacar a los usuarios en función de su tráfico de Internet, como cuando están en roaming. Además, ten en cuenta que no todas las VPNs son iguales y opta por aquellas con buena reputación y que han estado en servicio por largo tiempo. 
• Si eres usuario de iOS, activa los diagnósticos de sistema (sysdiags) con frecuencia y guárdalos en copias de seguridad externas. Los artefactos forenses pueden ayudarte a determinar más adelante si has sido atacado. Los expertos de Kaspersky también recomiendan a los usuarios de iOS que estén en riesgo desactivar FaceTime y iMessage. Al estar activados por defecto, son un fuerte mecanismo de entrada para las cadenas de cero clics y tiempo ilimitado.

«En general, los ataques de Pegasus son muy selectivos, es decir, no infectan a la gente de forma masiva, sino a grupos específicos. Muchos periodistas, abogados y activistas de derechos humanos han sido identificados como objetivos de estos sofisticados ciberataques, pero generalmente carecen de las herramientas o los conocimientos necesarios para defenderse. Nuestra misión es hacer que el mundo sea más seguro, por lo que haremos todo lo posible para proporcionar las mejores técnicas de protección contra el malware, los hackers y amenazas sofisticadas como éstas», comenta Costin Raiu, jefe del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky. 

Si has sido víctima de un ataque de Pegasus, aquí tienes algunos consejos sobre lo que puedes hacer:

• Cambia de dispositivo: si estabas en iOS, prueba pasarte a Android durante un tiempo. Si estabas en Android, pásate a iOS. Esto podría confundir a los atacantes durante algún tiempo; por ejemplo, se sabe que algunos actores de amenazas han comprado sistemas de explotación que solo funcionan en una determinada marca de teléfono y sistema operativo.
• Consigue un dispositivo secundario, preferiblemente con GrapheneOS, para comunicaciones seguras. Utiliza una tarjeta SIM de prepago o conéctate solo por Wi-Fi y TOR en modo avión.

• Evita los servicios de mensajería en los que tengas que proporcionar tu número de teléfono a tus contactos. Una vez que un atacante tiene tu número de teléfono, puede atacarte fácilmente a través de diferentes servicios de mensajería: iMessage, WhatsApp, Signal, Telegram, todos están vinculados a tu número de teléfono. Una nueva e interesante opción es Session, que enruta automáticamente tus mensajes a través de una red tipo Onion y no depende de los números de teléfono.

• Intenta ponerte en contacto con un investigador de seguridad para discutir constantemente las mejores prácticas. Compártele artefactos, mensajes sospechosos o registros siempre que creas que algo es extraño. La seguridad nunca es una solución instantánea que esté 100% a prueba; piensa en ella como en un arroyo que fluye y en el que necesitas ajustar tu navegación dependiendo de la velocidad, las corrientes y los obstáculos.