Pegasus explicado por un hacker
Pegasus, más que un supervirus, es un conjunto de programas independientes que desarrollan técnicos de NSO, la empresa que contrató Madrid en 2016. GARA disecciona con un hacker esta tecnología y sus implicaciones en la credibilidad de cada actor en la actual crisis por las escuchas del CNI.
El Catalangate y las escuchas al Gobierno español tienen un denominador común, un caballo alado. Pegasus es el nombre comercial de un programa informático –o varios, como se verá–, que comercializa la empresa israelí NSO. Suele hablarse de Pegasus y Candiru, aunque Candiru no es un programa, sino otra empresa también israelí que vende lo mismo que NSO: la capacidad de espiar a quien se quiera.
Para diseccionar este tipo de tecnología, GARA ha contado con la ayuda de Joxean Koret, autor del “Manual del hacker de antivirus” (2016) y que se ha dedicado durante años a esta peculiar rama de la informática. Koret concreta que a los programas de NSO y Candiru se les conoce software ofensivo, aunque Amnistía Internacional y Citizen Lab han comenzado a acuñar una terminología nueva para ellos: software mercenario
Software ofensivo será el primero de una serie de conceptos que vamos a ir enumerando hasta profundizar lo suficiente como para entrar en harina.
Para que alguien entre en un móvil ajeno necesita encontrar una puerta. A esa puerta se le conoce como «vulnerabilidad» y esta vulnerabilidad puede darse en un sistema operativo (Android o iOS para los móviles; Linux, OS, Windows en un ordenador personal) o, más bien, dentro de un programa que se ejecuta dentro de esos sistemas. Así, hay puertas dentro de Whatsapp, o dentro del navegador, el correo electrónico, etc.
Hay personas que se dedican a buscar puertas y otras, a cerrarlas. Y como los programas están en permanente cambio, el proceso no acaba nunca.
La existencia de vulnerabilidades genera una economía muy particular. Las compañías desarrolladoras –Google, por ejemplo– quieren ser las primeras en conocer las puertas y cerrarlas pues necesitan que su navegador y su correo sean los más seguros de todos para no perder cuota de mercado. Del otro lado, compañías como NSO, contratistas militares o piratas informáticos buscan esas puertas para emplearlas y, además, sin que ningún otro las conozca, pues de otro modo serían automáticamente cerradas. En consecuencia, hay personas que se dedican a buscar puertas y otras, a cerrarlas. Y como los programas están en permanente cambio, este proceso no acaba nunca.
Cruzar la puerta y colar el virus
Si detectar una puerta es difícil, ser capaz de desarrollar un «exploit» que lo aproveche resulta mucho más complejo. El exploit es la programación que permite entrar por una puerta concreta. Hay un exploit específico para el navegador Safari en iPhone, otros para Chrome en Android y así.
A través de exploits, lo que se metió en los teléfonos de los líderes catalanes es un RAT. Pegasus, como tal, sería el RAT.
Además de conocer vulnerabilidades y disponer de exploits para atravesarlas, hace falta otro elemento más popular: «el troyano». Aquí, dado que hemos elevado un poco el nivel, vamos a llamar al troyano RAT (Remote Administration Tool). A través de exploits, lo que se metió en los teléfonos de los líderes catalanes es un RAT mediante el cual los espías pudieron acceder a distintas partes de su teléfono, descifrar información y controlarlo externamente. Pegasus, como tal, sería un RAT.
Y, finalmente pero no menos importante, está lo que Koret denomina «infraestructura». Se trata de una arquitectura de webs, direcciones IP y servidores a través de los cuales el atacante puede lanzar el archivo con su programa hasta el móvil en concreto y, a su vez, recibir la información del dispositivo infectado de tal modo que, aunque le descubran, no se sepa ni quién lo envió, ni a dónde llegó.
El nivel de sofisticación de la infraestructura es increíble. El hacker vasco comenta el caso de un ataque informático a la empresa saudí Aramco donde se empezó a tirar del hilo y se llegó hasta Israel, pues allá figuraban los nodos iniciales. Sin embargo, Aramco siguió buscando y resultó ser una pista falsa, destapando que el atacante final provenía de Irán. «Si se hacen las cosas bien, puedes conseguir que la pista lleve a quien te dé la gana», afirma Koret.
«Si se hacen las cosas bien, puedes conseguir que la pista lleve a quien te dé la gana», afirma Koret.
Así pues, lo que adquieren los clientes de NSO y Candiru no es estrictamente un único programa, sino un conjunto de varios elementos independientes. Puede ocurrir que una compañía descubra una de esas puertas y la cierre. La propietaria de Pegasus perdería su exploit, pero esto no afectaría ni a la infraestructura ni a su RAT.
Qué son capaces de hacer
Ahora vamos a avanzar y entrar, por fin, en la harina prometida. Un ejemplo de andar por casa de infección se produce cuando llega un correo electrónico con un archivo que, al pinchar para descargarlo, resulta ser un virus que desata una serie de órdenes dentro del ordenador. Siendo este el esquema básico, veamos cuánto se puede refinar.
No todos los mensajes son visibles, ni afloran hasta la interfaz de usuario. Es más, el móvil está continuamente enviando y recibiendo información, como la de la localización del GPS. Hay mensajes tipo SMS que llegan al móvil simplemente para indicarle cómo funcionan distintos sistemas de red y que no se notifican a usuario. Si se cuenta con medios suficientes para armar una infraestructura tan potente que lo permita, una compañía puede hacer que su programación llegue hasta nuestro terminal en una de esas comunicaciones de las que nuestro móvil no llega a avisarnos. Koret asegura que NSO ha tenido exploits de lo que él llama en inglés «radio», esa especie de módem interno del móvil que se va comunicando, por ejemplo, con distintas torretas de telefonía.
Quien posea este tipo de tecnología puede espiarte con solo saber tu número de teléfono o tu correo. Nada más.
«Existen dos modos de explotar una vulnerabilidad: con interacción de usuario o sin interacción de usuario», prosigue Koret. Esto implica que hay software ofensivo que basta con que llegue a tu terminal para que comience a ejecutarse. Y, si esto es así, quien posea este tipo de tecnología puede espiarte con solo saber tu número de teléfono o tu correo. No le hace falta nada más.
Yendo a otro ejemplo concreto y real que cita Koret. Cuando llega una imagen por Whastapp, el programa revisa automáticamente para verificar que efectivamente es una imagen y no otra cosa. Por tanto, aunque nadie haya hecho clic, se ha producido una reacción desde nuestro dispositivo, algo ha interactuado con el archivo, y esa interacción no deja de ser, en cierto sentido, análoga a un clic. Y ese clic que no ha sido clic ha sido suficiente para infectar, según descubrió Citizen Lab, teléfonos en el Catalangate.
«Se sabe que eso ha bastado para que se ejecute primero código a nivel de usuario. Primero se ejecutó código al nivel de privilegios de Whastapp. Así, todos los privilegios (acceder a fotos, etc,) que se concedieron a esta aplicación los tuvo ese malware para empezar a desplegarse por el móvil».
En el 99% de los casos les basta con la información que está «a nivel de usuario»: mensajes, fotos, SMS, llamadas...
Según Koret, aunque una vez dentro del móvil pueden hacer «lo que les dé la gana», en el 99% de los casos les basta con la información que está «a nivel de usuario»: mensajes, fotos, SMS, llamadas... Si esto no les basta, en la información expuesta por Citizen Lab se detallan «escaladas de privilegios locales» desde Whastapp con el programa Candiru, mediante las que se hicieron con el control de la totalidad del equipo.
Acceder al control completo, detalla Koret, se suele usar para «pivotar», que es como se conoce a saltar desde ese móvil y ordenador que ya controlas a otros que estén en la misma red o que comparten wifi.
Credibilidad de Madrid y Catalangate
Después de esta zambullida en el funcionamiento de los programas espía, hay que volver a la superficie para ver si lo que se ha dicho públicamente encaja con lo que ahora sabemos. En el Catalangate, no hay ninguna duda al respecto. «Citizen Lab ha publicado, números de direcciones IP, dominios, exploits, ha revelado partes de la infraestructura, las CVS de las vulnerabilidades que se explotaron, comunicaciones de Whatsapp que les explotaron con zerodays...», enumera Koret. Al hacerse público, compañías como Windows han reaccionando cerrando puertas con actualizaciones para anular estos exploits. El Catalangate es, pues, real.
«No nos ha dado nada, absolutamente nada. Se lo cree quien lo quiera creer y ya está».
Por contra, el Gobierno español no ha dado esa información. «No nos ha dado nada, absolutamente nada. No han dicho siquiera si fue con un SMS, un mensaje... Nada. Y con esto, pues se lo cree quien lo quiera creer y ya está», subraya el experto.
En resumen, el Catalangate fue un fastidio para NSO y Candiru, pues anuló parte de la tecnología que manejaban. Frente a ello, el escándalo de las escuchas al Gobierno español no ha perjudicado en nada a NSO.
Y es que no conviene olvidar que, en 2016, el Gobierno español compró Pegasus y hacer público ahora cómo entraron en sus móviles iría contra su herramienta. Quizás, entre los motivos para que el CNI no dé los datos técnicos, esté también que Pegasus es su juguete y quiere seguir usándolo.