Categorías: Actualidad

¿Qué es Pegasus? Tus datos en riesgo

Los últimos ciberataques provocados por el programa informático Pegasus en el entorno político nacional y mundial han vuelto a traer consigo múltiples debates acerca de los límites de la ciberseguridad. Preguntas como «¿Están mis datos en riesgo?», «¿Cómo puedo proteger mi privacidad?», «¿Puedo ser víctima de un ciberataque?» han formado parte de nuestras conversaciones, generando desconfianza y miedo en la sociedad.

 

Solicita una auditoría gratis de ciberseguridad para tu empresa

   

1. ¿Qué es Pegasus?

 

Se trata de un programa que, por medios ilícitos, se puede hacer con el control de un teléfono móvil y, dependiendo de algunos factores, robar información o incluso emplearlo como dispositivo espía activando la cámara y/o el micrófono.

 

2. ¿Cómo es posible?

 

Aunque hay diferencias entre fabricantes, el software que empleamos en nuestros dispositivos es cada vez más complejo. A pesar de que los desarrolladores llevan a cabo un esfuerzo considerable para evitarlo, esa complejidad lleva parejo el riesgo de que existan vulnerabilidades en el mismo.

 

3. ¿Todo el mundo está en riesgo?

 

En principio no. Estas herramientas son muy caras y normalmente solamente están al alcance de agencias de seguridad de determinados países. En el caso de Pegasus, la empresa que lo comercializa además está supervisada por un gobierno que, teóricamente, supervisa a quién se le vende y en qué condiciones.

Este tipo de herramientas tan sofisticadas se emplea solamente en objetivos de alto valor. Y esto es así por un buen motivo. Una campaña masiva sería mucho más fácil de detectar por parte de los fabricantes de dispositivos y por tanto la herramienta se volvería inútil rápidamente.

La gente que descubre estas vulnerabilidades normalmente las vende a empresas especializadas en espionaje que pagan cifras enormes por la información. Pero para cuando la vulnerabilidad se ha hecho conocida y podría resultar peligrosa para el público en general el fabricante ya la ha resuelto.

Es importante, eso sí, mantener los dispositivos actualizados aunque a veces resulte muy incómodo. El uso de una vulnerabilidad de alto valor y uso muy limitado puede convertirse en generalizado un tiempo después.

 

¿Buscas una auditoría gratis de ciberseguridad para tu empresa?

   

4. ¿Hace falta engañar al usuario para instalar algo como Pegasus?

 

Aunque en algunos casos consiguieron emplear alguna vulnerabilidad de las llamada en el argot «zero click» (es decir, sin intervención del usuario), en la inmensa mayoría de los casos es necesario que el usuario pulse un enlace o confirme una operación para que la infección se lleve a cabo.

 

5. ¿Cómo se descubre una infección por Pegasus o algo similar?

 

Existen sistemas de seguridad en redes que, por supuesto con un coste en cuanto a privacidad, permiten escuchar el tráfico de red de un dispositivo en busca de patrones inusuales. Se trata, de todas maneras, de un juego entre el gato y el ratón. Conforme se sofistican las técnicas de análisis lo hacen también las de comunicación encubierta.

Por otro lado, los dispositivos móviles pueden ser especialmente problemáticos. Con frecuencia se conectan a Internet directamente a través del servicio del operador de móvil sin que intervengan los dispositivos de seguridad como cortafuegos, detectores de intrusos, etc, que la empresa pueda tener en su red. Sin que esto suponga una garantía, la integración de los móviles en la red de la empresa al menos aumenta la probabilidad de detección de una herramienta como Pegasus.

 

6. ¿Es posible disponer de software seguro a prueba de estas cosas?

 

Es muy complicado. En primer lugar hay que tener en cuenta lo ya mencionado en el punto 2. Antes de la explosión del uso del correo electrónico el medio estrella de comunicación escrita era el TELEX. Los mensajes se imprimían automáticamente en un formulario y el único peligro era el de un engaño.

Hoy día en los sistemas de mensajería instantánea y el correo electrónico empleamos imágenes, dibujos animados, vídeos, sonidos… Y con cada tipo de contenido posible aumentamos exponencialmente el riesgo. Una aplicación limitada exclusivamente a texto sin ningún tipo de adorno sí podría diseñarse de manera que fuera muy resistente. Aun así la forma en la que hoy día se construye el software adolece de algunos problemas heredados de muy difícil solución.

 
   

Solicita una auditoría gratis de ciberseguridad para tu empresa

   

7. ¿Debilitan los fabricantes los dispositivos de alguna manera a propósito?

 

Cada cierto tiempo algún grupo político en algún país del mundo presiona a los desarrolladores para que de alguna manera incluyan una «puerta trasera» que permita la persecución de delitos graves.

Y cada cierto tiempo se ven cuáles serían las consecuencias de reducir ese nivel de seguridad. Consecuencias que serían igual de desastrosas para todo el mundo.

Ya a finales de los años 80 las autoridades de Estados Unidos emprendieron una cruzada contra la disponibilidad de herramientas de criptografía para el público en general. Hoy día sin embargo esas herramientas criptográficas son la columna vertebral de la digitalización de la economía y con unas herramientas debilitadas esto sería imposible.

De hecho, quitando algunas aplicaciones muy especializadas, los gobernantes están empleando los mismos dispositivos que un usuario de a pie. Los mismos ordenadores y teléfonos con los mismos sistemas operativos. Aunque algunos legisladores mal informados presionen de vez en cuando no parece muy inteligente debilitarlos aún más.

 

8. ¿Podemos esperar que estos problemas vayan a más?

 

Es complicado predecirlo. Por un lado ahora vivimos en un momento en el que de alguna manera los ciberataques se han banalizado. Si durante la Guerra Fría un bloque hubiera infiltrado agentes en el bloque contrario para, por ejemplo, sabotear una infraestructura crítica, probablemnte hubiera constituido un «casus belli».

Por el contrario, «hackear» cosas parece estar considerado como una travesura, algo «de guante blanco». Es previsible que esto cambie especialmente si se produce una escalada a raíz de la guerra de Ucrania.

 

9. ¿Hay algún consejo que permita al menos reducir la exposición?

 

Sí, hay varias cosas que reducirán de manera significativa el riesgo.

En primer lugar, evitar instalar aplicaciones superfluas desconfiando especialmente de las gratuitas y/o de orígenes en apariencia no confiables. Cada aplicación añadida contribuye a aumentar el nivel de riesgo.

Si se trabaja con información especialmente delicada, es una buena idea mantener una separación estricta entre el teléfono personal y el del trabajo. En éste último debería estar activo el mínimo estrictamente imprescindible de funciones y aplicaciones.

En segundo lugar hay que ser muy cuidadoso y no seguir enlaces a páginas web contenidos en mensajes cuyo origen no sepamos a ciencia cierta que es legítimo. Si recibimos un mensaje del banco, por poner un ejemplo, lo correcto es no «pinchar» el enlace sino visitar directamente la página del banco y comprobar así que la notificación que nos envían es auténtica.

Es fundamental mantener los dispositivos actualizados. Los fabricantes llevan a cabo una tarea constante de mejora.

 

Solicita una auditoría gratis de ciberseguridad para tu empresa

 
Borja Marcos

Borja Marcos | Responsable de Seguridad en Sarenet

Compartir
Publicado por
Borja Marcos

Entradas recientes

Así está revolucionando España el Internet de las Cosas (IoT)

Estamos observando una revolución silenciosa pero impactante, propiciada por el Internet de las Cosas (IoT).…

Hace 1 día

Claves para migrar servicios a la nube: la importancia de una estrategia sólida

En un mercado inundado de opciones de servicio Cloud, las empresas deben decidir cuidadosamente cuál…

Hace 3 semanas

IA: un camino lleno de incertidumbre que está transformando nuestro día a día

La Inteligencia Artificial (IA) uno de los temas más discutidos y fascinantes de nuestro tiempo.…

Hace 4 semanas

Backup y recuperación de datos: el starter pack de la ciberseguridad corporativa

En un panorama empresarial marcado por una digitalización acelerada, la gestión de la información se…

Hace 2 meses

La ciberseguridad está en el centro de cualquier estrategia TI empresarial

Desde nuestros inicios hace 30 años, hemos observado de cerca la transformación de Internet, de…

Hace 2 meses

Solo en casa

Que vivimos una verdadera epidemia de ciberataques no es ningún secreto. La situación de hecho…

Hace 2 meses