entrevista | experto en ciberseguridad

Igor Unanue (S21sec): "Es imposible saber si te han instalado Pegasus sin hacer un forense del móvil"

7/05/2022 - 

MURCIA. El 'caso Pegasus' ha puesto de manifiesto que nadie, ni siquiera un presidente del Gobierno como Pedro Sánchez, está a salvo de ser espiado con malware a través de su teléfono móvil. Algo que probablemente haya sucedido siempre, pero en esta ocasión ha trascendido. También ha demostrado lo sencillo que es introducir este programa en un terminal cualquiera contra la voluntad de su propietario. Hablamos de Pegasus y de otras formas de espionaje y de robo de datos con Igor Unanue, director técnico de la empresa especializada en ciberseguridad S21sec, que advierte de que no hay forma de protegerse de los 'Pegasus'.

-¿Cómo es posible que exista ese agujero de seguridad tan grande en los equipos que usamos a diario como para que nos infecten sin que el usuario tenga que clicar en ningún sitio? ¿Cómo se alcanza este nivel de refinamiento en el cibercrimen?

-Bueno, cualquier software tiene vulnerabilidades. Al final se trata de encontrar esa vulnerabilidad, y sobre todo si son zero day, como se llama a las que no conoce ni el fabricante, sino solo los hackers, y se utilizan para esto, para meter con una llamada, con un mensaje... un 'bicho' sin que te des cuenta. Los ordenadores tienen bastante software vulnerable, los móviles menos, pero las que hay se aprovechan de esa manera. Y así entran, porque tienen vulnerabilidades que explotan y pueden meter el software sin que te des cuenta. Pero eso sí, tiene que ser con la versión 'X' que tenga esa vulnerabilidad. Si tienes una versión actualizada, probablemente ya no puedan entrar.

-Los fabricantes, a medida que se van detectando estas vulnerabilidades, supongo que van corrigiendo esas puertas traseras con actualizaciones.

-Exacto, pero van corrigiendo las que conocen. Si es un zero day y no ha salido aún, nadie conoce esta vulnerabilidad, pues no van a poder parchear. Y si lo parchean lo hacen sin querer. Whatsapp, por ejemplo, hizo público que Pegasus estaba utilizando una vulnerabilidad de su programa para poder entrar, y publicó que había mil y pico usuarios que podían estar afectados.

-Ahí fue cuando se descubrió el pastel, ¿no? Whatsapp admite el ataque, se tira del hilo y llegamos al espionaje a los líderes independentistas catalanes.

-Correcto. Después entró Citizen Labs y Aministía Internacional para analizar el caso, y empezaron a analizar los móviles de algunos altos funcionarios, que con su permiso lo pueden hacer. O el propio servicio de inteligencia del afectado lo puede detectar. Pero detectan Pegasus porque saben más o menos qué tienen que buscar. Si no sabes qué tienes que buscar, probablemente no detectes el 'bicho'. Las versiones viejas de Pegasus son fáciles de encontrar porque ya sabes qué buscas, pero aplicaciones nuevas... no las encontraremos, porque no sabemos qué procesos ejecutan, ni a qué servidor se conectan. Vas indagando y al final descubres.

-¿Cuál sería el humo que lleva al fuego en este tipo de situaciones? ¿Cómo alguien puede sospechar que ha sido infectado?

-Imposible. Es imposible. Es espionaje, y por tanto sucede sin que te des cuenta. Manejan el móvil sin que ninguna aplicación se esté ejecutando o que el procesador vaya más rápido, por ejemplo. Quizá un síntoma pueda ser que se están usando más datos de internet, pero es que se pueden usar otras aplicaciones del móvil para mandar la información, por ejemplo las de mensajería. Con lo cual, como tenemos tantas comunicaciones con el smartphone, de mensajería, redes sociales, al final es muy difícil controlar si esa comunicación es real o no. O sea, que va a ser muy difícil detectarlo. Hay que hacer un forense al móvil para poder detectar estos malwares.

-Está claro que no hablamos de un hacker 'normal', sino de probablemente el mejor servicio de inteligencia del mundo, que es el Mossad. Pero las empresas que os dedicáis a que esto no pase, ¿cómo reaccionáis en estos casos?

-A nosotros, si nos traen un móvil para analizar, lo analizamos y vemos aquellas aplicaciones que no son legítimas y están en el móvil. Y si tiras, igual puedes averiguar de quién se trata. Pero muchas veces no sabemos ni quiénes son, encontramos malware nuevo de esa manera a menudo. Probablemente hay mucho malware que es para robar dinero, o acceder a tus datos simplemente para beneficiarse económicamente. De estos hay muchos. ¿Se detectan más fácilmente? Unos sí y otros no, depende. El espionaje utiliza estas mismas técnicas para poder entrar a los móviles, rastrearte, te activan el micrófono, la cámara... todo lo que pueden. 

-En el caso de Pegasus, imagino que los que no somos presidentes del Gobierno podemos estar tranquilos. Pero ¿qué consejos podemos darle a los usuarios para que estén más protegidos, dentro de lo posible?

-Efectivamente este software concreto cuesta mucho, no lo aplican a cualquiera: políticos, empresarios... para rastrearlos, o delincuentes y terroristas, que para eso lo compran. Pero si alguien quiere tener cierta seguridad de que no se le instale software espía, lo primero es tener control sobre su móvil. Si te lo quitan de la mano, te pueden instalar cualquier cosa sin que te des cuenta, en segundos. Lo más importante es verificar que el móvil siempre ha estado bajo tu control. Segundo, tener actualizado siempre a la última versión el software del terminal. Y después, no pinchar en direcciones, correos, mensajes... que no conozcas. De hecho, muchos de los que se infectaron con Pegasus tenían mensajes que habían llegado por SMS en los que pedían clicar en un enlace. Esos mensajes hay que evitarlos. Y luego, no ir a direcciones web extrañas, no instalar aplicaciones que no necesites, raras... no forzar el móvil ni hacerle cosas raras.

-Ahora Pegasus se ha hecho famosa con el espionaje a los políticos españoles, pero imagino que debe tener unos cuantos 'hermanos' circulando por ahí.

-¿Aplicaciones de este tipo? Sí, hay unas cuantas. Israelís, americanas, europeas también. Hay varias empresas que tienen aplicaciones de este tipo, que las venden para espiar. Pero es que en internet puedes encontrar también aplicaciones de espionaje, y yo he visto a gente usarlas pues por ejemplo para espiar a su pareja, infidelidades...  Hay muchas opciones, pero otra cosa es que puedas instalarla en el móvil y que sea indetectable, para eso tienen que ser ya muy profesionales. Las de 'andar por casa' se detectan más fácilmente.

-Por último, como empresa que se dedica a la ciberseguridad, ¿cómo está el sector, tienen mucho trabajo, se da mucha innovación en el cibercrimen?

-Sí, sí. Esto no cambia. De hecho va a más. Porque los criminales están ganando mucho dinero, y cada vez explotan más, ya no solo a bancos o usuarios de banca online. También buscan 'secuestros' y chantajes a empresas, te cifran la información y te piden un rescate, o amenazan con publicar la información que te han robado. Hay gente ganando muchísimo dinero con esto. Y entonces las bandas cada vez buscan formas nuevas de poder robar, y a cuanta más gente mejor. Ya está habiendo millones de ataques a nivel mundial, que mueven muchísimo dinero. Nosotros estamos viendo entornos donde estos delincuentes suben fotos suyas con ferraris, con chicas... todo eso lo ponen en su web y se publicitan diciendo "he ganado mucho dinero haciendo esto". El tema del cibercrimen es una barbaridad porque hay mucho dinero en juego. Está el anonimato, que puedes infectar a miles de personas a la vez... es relativamente fácil. Entonces las empresas también están tomando cada vez más precauciones. Cualquiera puede ser infectado, porque como atacan a miles de usuarios a la vez, si uno de tus empleados clica... Y luego los rescates están personalizados, en base a la información que han visto de tu empresa. Según el dinero que tienes, te piden. El tema está bastante en auge, sí.

Noticias relacionadas

next