¿Cómo se detecta Pegasus?

El centro de formación  profesional especializado en ciberseguridad UNIVERSAE nos ha abierto las puertas de su laboratorio, donde Andrés Soriano, CISO de UNIVERSAE, nos ha demostrado, en exclusiva, cómo se realiza un análisis forense del malware Pegasus.

Pegasus es un software muy sofisticado, que cuenta con la capacidad de infectar dispositivos de forma remota, ya sea por un sms o una llamada perdida. Soriano nos ha contado que los dispositivos iOS, a pesar de contar con una arquitectura de seguridad más sólida que los dispositivos Android, suelen infectarse a través de su aplicación de mensajería nativa iMessage. Una vez infectado, se posee el control total sobre el dispositivo y toda la información que almacena.

Este análisis del malware Pegasus está basado en los indicadores de compromiso IOC elaborados por Amnistía Internacional. Es decir, estos indicadores nos permiten conocer cómo se comporta el malware y el tipo de firma que va dejando.

¿Por qué Amnistía Internacional elabora estos indicadores de compromiso IOC? Pegasus es un malware (archivo binario) desarrollado por el grupo de ciberinteligencia isrraelí NSO Group, que se instala en los dispositivos y que está al servicio de los gobiernos y sus servicios de inteligencia.

Este tipo de infección aprovecha vulnerabilidades denominadas Zero Day. Quien conoce dicha vulnerabilidad, se guarda mucho de que esta se conozca para poder explotarla durante más tiempo, pues una vez que se conoce, ya deja de ser una vulnerabilidad Zero Day y todos podríamos disponer de parches de seguridad para evitarlas.

Soriano nos ha contado que hacerse con un malware de este tipo supone un coste para los servicios de ciberinteligencia de 1 millón de euros para cada 10 infecciones. Este coste tan elevado responde a la razón de que no todo el mundo pueda disponer de él y esté solo al alcance de gobiernos y poderosos, pues supone una enorme ventaja a la hora de espiar a gobiernos, como el nuestro.

1 – Copia de seguridad cifrada
Para comenzar el análisis forense de este spyware, es necesario conectar nuestro dispositivo a un ordenador. Como primer paso, se realiza una clonación de toda la información que dispone el dispositivo a analizar. Cabe destacar que, a mayor volumen de datos almacenados en el dispositivo, mayor tiempo requerirá el análisis para extraer las conclusiones.

Para poder realizar la prueba, he ofrecido voluntariamente que se realice con mi teléfono personal, un iPhone 12 Pro. Una vez ha concluido la copia de seguridad, se cifra y se procede al análisis sobre esa misma copia.

2 – Análisis de IOC
Con la copia de seguridad finalizada, comienza el segundo paso: la fase del análisis forense, en el que se revisaron todos los IOC para, posteriormente, emitir un informe con formato .csv en el que se detallan los indicadores de compromiso, lo que detectan y lo que no.

3 – Emisión del análisis
Una vez se ha emitido el informe del análisis en una hoja de cálculo, podemos observar varias columnas dónde queda registrada la información y el estado del dispositivo. En este caso, aunque los gobiernos y poderosos no tengan un especial interés en la información que se encuentra en mi teléfono personal, el software es capaz de localizar 5 advertencias.
Estas advertencias hacen referencia a información a la que no ha podido tener acceso el software para analizar si se trata de una vulnerabilidad. Si se tratase del teléfono personal de nuestro Presidente de Gobierno, Pedro Sánchez, el análisis arrojaría la alerta de “crítico”, en aquellos resultados que se hayan visto vulnerados por el spyware Pegasus. Con toda la información recopilada y analizada en el informe, los equipos de ciberseguridad ya son capaces de actuar en gran medida.

Un dispositivo infectado de un alto cargo como el de nuestro Presidente del Gobierno, cuenta con información muy sensible. Los gobiernos extranjeros utilizan dicha información para tomar ventaja ante posibles negociaciones y acuerdos de geopolítica que afecten a los países infectados y espiados.

Los equipos de ciberseguridad, al detectar la infección de Pegasus, no pueden conocer desde cuándo ha sido infectado dicho dispositivo y tampoco qué información ha sido sustraída. Al realizar este tipo de análisis forenses, los equipos de ciberseguridad pueden obtener una estimación sobre qué periodo de tiempo se ha realizado la infección y proceder a la limpieza del dispositivo para evitar futuras filtraciones de información sensible.