El software espía Pegasus, que alguna vez se consideró una herramienta para atacar a periodistas y activistas, ahora se está implementando contra ejecutivos del sector privado, incluidos los de finanzas, bienes raíces y logística.
En una investigación de diciembre de 2024, se detectaron 11 nuevas infecciones de Pegasus entre 18.000 dispositivos escaneados en todo el mundo, lo que indica un cambio en las tácticas de espionaje hacia el espionaje corporativo.
Los hallazgos, detallados en el último informe de iVerify, resaltan la capacidad del software espía para eludir las salvaguardas tradicionales y evadir la detección por parte de las notificaciones de amenazas de Apple en casi el 50% de los casos.
Explotaciones sin clic y compromiso persistente
Pegasus, desarrollado por NSO Group de Israel, emplea exploits sin clic que se infiltran en los dispositivos sin interacción del usuario, a menudo explotando vulnerabilidades en iMessage o WhatsApp.
Una vez instalado, el software espía obtiene acceso raíz a los sistemas iOS y Android, lo que permite a los atacantes filtrar mensajes cifrados, documentos financieros e incluso activar micrófonos de forma remota.
El análisis reveló que algunos dispositivos se habían visto comprometidos desde 2021, con múltiples variantes de Pegasus (por ejemplo, v3.8.2 y v4.1.0) persistiendo a través de las actualizaciones del sistema operativo.
Rocky Cole, director de operaciones de iVerify y ex analista de la NSA “La era de asumir que los teléfonos iPhone y Android están seguros desde el primer momento ha terminado. Los tipos de capacidades para saber si su teléfono tiene software espía no estaban muy extendidos”.
“Había barreras técnicas y estaba dejando atrás a mucha gente. Ahora tienes la posibilidad de saber si tu teléfono está infectado con software espía comercial”.
Democratizando la detección
La función Mobile Threat Hunting de iVerify, con un precio de 1 dólar por escaneo, combina detección basada en firmas, análisis heurístico y aprendizaje automático para identificar artefactos de Pegasus.
La herramienta analiza los archivos de diagnóstico del sistema iOS, en particular el archivo Shutdown.log, que registra procesos anómalos durante los reinicios, un signo revelador de software espía.
Por ejemplo, los procesos «pegajosos» vinculados a Pegasus se marcaron usando reglas YARA (por ejemplo, regla pegasus_shutdown {strings: $s1 = «com.apple.apsd» nocase condition: $s1}).
La herramienta iShutdown complementaria de Kaspersky, alojada en GitHub, automatiza el análisis de registros para detectar infecciones.
El script basado en Python (iShutdown.py) busca indicadores como actividad inesperada de demonios o claves criptográficas no autorizadas, generando hashes SHA-256 de archivos sospechosos para realizar referencias cruzadas con bases de datos de amenazas.
A pesar de estos avances, el modo de bloqueo de Apple (una función diseñada para bloquear vectores de explotación conocidos) no logró prevenir infecciones en 5 de los 11 casos, lo que subraya la adaptabilidad del software espía.
Los datos de iVerify indican una tasa de infección global de 1,5 por cada 1.000 dispositivos, lo que sugiere miles de compromisos no detectados.
En particular, el 55% de los usuarios infectados no recibieron alertas de las notificaciones de amenazas de Apple, por lo que no se dieron cuenta hasta que utilizaron herramientas de terceros.
Mitigaciones
Para mitigar los riesgos, iVerify recomienda:
- Reinicios diarios: interrumpe las instancias de Pegasus no persistentes al borrar la RAM.
- Deshabilitar iMessage/FaceTime: reduce las superficies de ataque para los vectores de cero clic.
- Actualizaciones frecuentes de iOS: parchea vulnerabilidades a nivel de kernel como CVE-2024-3596, explotadas en campañas recientes de Pegasus.
A medida que los operadores de Pegasus se dirigen al sector privado, crece la necesidad de herramientas de detección accesibles. Las metodologías de código abierto de iVerify y los recursos de GitHub de Kaspersky marcan el progreso, pero la colaboración sistémica con los gigantes tecnológicos sigue siendo fundamental. Por ahora, las empresas deben implementar un monitoreo proactivo ya que la ignorancia es la mayor debilidad en la era del software espía industrial.
