19 julio 2021 · 6 min read

¿El software espía Pegasus en una amenaza real para las criptos?

Una filtración de datos reveló un malware que puede haber sido utilizado para espiar a activistas de derechos humanos, periodistas y abogados en todo el mundo. Infecta los dispositivos Android e iOS de las personas, extrayendo toda la información existente. Sin embargo, la amenaza no parece ser tan grande para los usuarios de criptografía, según los expertos en seguridad que hablaron con Cryptonews.com , tanto por razones técnicas como por el hecho de que las personas 'normales' no suelen ser los objetivos de tales herramientas. Dicho esto, el riesgo sigue ahí, incluso si todas las contraseñas se almacenan de forma segura.

The Guardian informó, citando "una investigación sobre una fuga masiva de datos" realizada con otras 16 organizaciones de medios, que un malware llamado Pegasus, proveniente de la compañía de vigilancia israelí NSO Group , se vendió a regímenes autoritarios, que lo usaron para atacar activistas y periodistas a favor de la democracia que investigan la corrupción, así como opositores políticos y críticos del gobierno.

NSO Group insiste en que la herramienta solo está diseñada para su uso contra criminales y terroristas, según el informe.

Sin embargo, la filtración contiene una lista de más de 50.000 números de teléfono que "han sido identificados como personas de interés por clientes de NSO desde 2016", incluidos los números de más de 180 periodistas, e incluso los de familiares cercanos del gobernante de un país.

Al menos diez gobiernos, que se cree eran clientes de NSO, estaban ingresando números en un sistema, mientras que los números de teléfono abarcaban más de 45 países en cuatro continentes.

Esto se hizo posiblemente antes de un ataque de vigilancia.

"El análisis forense de una pequeña cantidad de teléfonos cuyos números aparecieron en la lista filtrada también mostró que más de la mitad tenían rastros del software espía Pegasus", declaró The Guardian.

Pegasus es un software espía, descubierto por primera vez como una versión de iOS en 2016 y más tarde también para Android. Según Dmitry Galov, investigador de seguridad de GReAT (Security Researcher, Global Research & Analysis Team) de la firma de ciberseguridad Kaspersky, el principal esquema de infección es enviar un SMS con un enlace a la víctima y, si hacen clic en él, el dispositivo se infectado con el software espía. Además, para infectar iOS, el software espía aprovecha las vulnerabilidades desde el día cero que se encuentran en el sistema.

Incluso en 2017, Pegasus para Android podía leer SMS y correos electrónicos, escuchar llamadas, tomar capturas de pantalla y acceder a los contactos y al historial del navegador, entre otras funcionalidades, dijo.

En cuanto a cómo esto podría afectar a las criptomonedas, según Galov, "Pegasus parece ser capaz de llevar a cabo muchas acciones diferentes, incluido el registro de pulsaciones de teclas y el acceso a varios datos en el teléfono".

Si las contraseñas de las carteras criptográficas se guardan en el teléfono, los riesgos son claros, le dijo a Cryptonews.com . Pero incluso si las contraseñas se almacenan de forma segura, aún podría haber riesgos, advirtió Galov.

Sin embargo, el investigador de seguridad señaló que Pegasus es un software espía y su propósito, según la información pública, es principalmente recopilar información de personas específicas en lugar de un delito financiero.

"Aún así, existen diferentes tipos de malware móvil que son capaces de robar criptomonedas (como Cerberus , por ejemplo). El mejor consejo aquí sería usar una solución de seguridad confiable y no almacenar contraseñas en el dispositivo, sin cifrar", dijo.

Según la explicación del equipo de Kaspersky, Pegasus es un malware complejo y costoso, y está diseñado para espiar a "personas de particular interés, por lo que es poco probable que el usuario promedio lo encuentre".

Otro experto encuentra que Pegasus no es necesariamente una amenaza importante para los usuarios de criptografía, aunque siempre se debe tener precaución.

Gina Kim, una experta en seguridad de TI de Corea del Sur con sede en Seúl, dijo a Cryptonews.com que, sin haberlo visto en persona, "es bastante difícil decir si esta pieza de 'software espía' podría afectar a las aplicaciones de cifrado o no en esta etapa".

Sin embargo, los sistemas de autenticación de múltiples factores parecen ser de ayuda en estas situaciones.

Según Kim, la mayoría de las principales aplicaciones de exchange de cifrado de Corea del Sur "utilizan sistemas de autenticación de dos o tres factores bastante sofisticados que son relativamente resistentes a la mayoría de las formas de piratería y malware basado en teléfonos".

Sin embargo, un software espía, como su nombre lo indica, representa una gran amenaza para la privacidad de una persona u organización en cualquier caso.

"Es cierto que dicho software espía puede espiar qué y cuántas criptomonedas tiene el usuario, degradando su privacidad", dijo para Cryptonews.com Tomáš Sušánka, director de tecnología (CTO) de SatoshiLabs, el fabricante de la billetera de hardware Trezor .

Sin embargo, según Sušánka, cuando se trata específicamente de Trezor, quienes están detrás del software espía no pueden manipular la criptomoneda en la billetera a menos que el usuario lo apruebe físicamente. La billetera tiene la llamada pantalla confiable; por lo tanto, todas las transacciones deben ser confirmadas por el usuario en la pantalla de Trezor, no en ninguna otra aplicación o sitio web. "Entonces, incluso en los casos en que el teléfono se ve afectado por malware, Trezor muestra los datos con los que realmente trabaja en su pantalla", lo que significa que "el malware no puede, por ejemplo, enviar monedas a su dirección, etc.", dijo.

Como Pegasus apunta específicamente a dispositivos Android e iOS, Trezor no se ve afectado directamente, dijo el CTO, y agregó que "la billetera ejecuta un software personalizado de un solo propósito que está escrito y mantenido por SatoshiLabs y es completamente de código abierto para la audibilidad".

Vale la pena distinguir entre dos conceptos: software espía y vulnerabilidades, dijo Galov de Kaspersky. Pegasus es un software espía que, para infectar iOS, aprovecha las vulnerabilidades de día cero, aquellas que el desarrollador no conoce y para las que aún no se ha lanzado una solución. Aún así, estos, cuando se encuentran, pueden ser explotados por los ciberdelincuentes para implementar una variedad de tipos de ataques, incluidos los ataques dirigidos.

Tanto el software espía como las vulnerabilidades de día cero pueden ser vendidos y comprados en la darknet por varios grupos, en la darknet, y el precio de las vulnerabilidades puede alcanzar los US$2.5 millones, que es "cuánto se ofreció en 2019 por la cadena completa de vulnerabilidades en Android ", dijo Galov. Añadió que, "curiosamente, ese año, por primera vez, una vulnerabilidad de Android resultó ser más cara que una vulnerabilidad de iOS".

En términos generales, la mejor manera de mantenerse protegido contra herramientas como Pegasus es "proporcionar la mayor cantidad de información posible sobre estos casos a los proveedores de software y seguridad relacionados", dijo Galov. "Los desarrolladores de software corregirán las vulnerabilidades explotadas por los atacantes y los proveedores de seguridad tomarán medidas para detectar y proteger a los usuarios de ellas".