En una investigación realizada por Citizen Lab en Toronto en colaboración con R3D (Red en los Defensa de los Derechos Digitales) y publicada hace unos días se revelan preocupantes conclusiones sobre el software de espionaje o spyware que tiene en México, actualmente bajo la administración del presidente López Obrador, su contrato más grande.
Las conclusiones>
-Las nuevas actividades de intrusión de NSO Group (propietaria de Pegasus), han logrado intervenir con éxito los teléfonos de miembros de la sociedad civil de México, incluidos dos defensores de derechos humanos del Centro PRODH, que representa a víctimas de abusos militares en México.
-Durante 2022, concluye el estudio, los clientes de NSO Group implementaron ampliamente al menos tres nuevas formas de explotación o ataque que incluso permite la intervención de los sistemas operativos de Apple (iOS 15 y iOS 16) sin siquiera hacer clic en enlaces maliciosos.
-Ataques con nombres como “PWNYOURHOME”, “FINDMYPWN”,y “LATENTIMAGE” fueron encontrados en el análisis forense de Citizen lab en diversos teléfonos iPhone de las víctimas.
-Utilidades como el sistema de mensajería iMessage, así como el altamente utilizado FindmyiPhone y HomeKit parecen ser los sistemas comprometidos en esta nueva ola de ataques.
-Citizen Lab compartió en Octubre 2022 y Enero 2023 sus hallazgos con la empresa Apple, quienes aseguran haber desarrollado parches para evitar los ataques, sin embargo, el mismo laboratorio asegura que NSO ha desarrollado caminos alternativos (o workarounds) para continuar sus ataques.
El proyecto de Pegasus en México
El Citizen Lab junto conRed en Defensa de los Derechos Digitales (R3D) ha obtenido desde el 2017 evidencia contundente de diversos ataques realizados desde el 2016, y, en este reporte, detalla los tres tipos de ataques mencionados luego de examinar varios dispositivos pertenecientes a miembros de la sociedad civil mexicana. Incluso, dos objetivos de la sociedad civil mexicana, miembros de https://centroprodh.org.mx/ Centro PRODH, aceptaron ser nombrados en este informe.
El Ejército, El Gobierno y las desapariciones forzadas:
El gobierno y el ejército mexicano han tenido un largo historial de graves abusos contra los derechos humanos, ejecuciones extrajudiciales y desapariciones.
-Desde la década de 1960 hasta la década de 1980, México experimentó la llamada “Guerra Sucia”, un conflicto entre el gobierno del PRI, grupos guerrilleros y movimientos estudiantiles de izquierda.
-Entre 1968 y 1982, se estima que el gobierno desapareció a más de 1,200 personas.
-En 2015, las desapariciones de 43 estudiantes de la normal de Ayotzinapa, volvieron a dar vida al debate de los abusos del Ejército y el Gobierno sobre defensores civiles.
-En 2017, se documentaron los primeros ataques cibernéticos por Pegasus a miembros de la sociedad civil defensores de los derechos de las víctimas de Ayotzinapa trabajando para el Centro PRODH.
-En 2018 es electo presidente Andrés Manuel López Obrador quien promete desde campaña que su gobierno no espiará nunca a los ciudadanos.
-En 2022, el Comité de las Naciones Unidas contra las Desapariciones Forzadas apuntó una seria anotación a México, donde ya había más de 100,000 desapariciones registradas oficialmente.
-En 2022, el gobierno de Andrés Manuel López Obrador, una vez más ataca a miembros de la sociedad civil en defensa de los derechos de las víctimas a través del software Pegasus:
-El 22 de junio de 2022, exactamente el día que inicia actividades la comisión de la verdad, es intervenido el teléfono de Jorge Santiago Aguirre Espinosa, director del Centro PRODH.
-El 23 de junio de 2022, un día después del inicio de la comisión de la verdad, es atacada María Luisa Aguilar Rodríguez, Coordinadora Internacional del Centro PRODH, quien está a cargo de las defensas de las víctimas de Ayotzinapa.
-Durante el mes de septiembre de 2022, se vuelven a encontrar evidencias de los ataques llamados por citizen lab FINDMYPWN en ambos teléfonos. Los ataques coinciden con la fecha de la cancelación de varias órdenes de arresto contra militares involucrados en el caso Ayotzinapa, y renuncia de Omar Gomez Trejo como fiscal general del caso, quien denunció injerencia de la Fiscalía General en su investigación.
¿Cómo funcionan los ataques de Pegasus?
Durante 2021 citizen lab logró entender vía análisis forense el ataque “con un solo clic” que llamaron FORCEDENTRY, el cual infectó a muchas de las víctimas ya conocidas del spyware pegasus, entre las cuales en su momento se destacó a los periodistas Carmen Aristegui y Ricardo Raphael..
Durante 2022 y ahora en el informe de 2023 es cuando los análisis forenses de Citizen Lab descubren tres nuevas líneas de ataque a través de cero-clics, esto es infinitamente más poderoso que ataques anteriores, ya que la víctima ni siquiera tiene que aceptar un enlace sospechoso para ser infectada. Los indicadores de compromiso encontrados sugieren que hay una muy alta probabilidad de que así funcionan las nuevas líneas de ataque del NSO Group. En adelante una versión no técnica y muy simplificada del funcionamiento de los ataques:
FINDMYPWN - Ataque de dos fases y cero clicks que entra por medio de la aplicación FindmyiPhone (de ahí el nombre) y desde esa aplicación infecta el sistema de mensajería y crea una puerta de enlace para intervenir el teléfono.
PWNYOURHOME - Ataque también de dos fases y cero clicks que entra por medio de la función HomeKit del iPhone (de ahí el nombre) para en la segunda fase explotar iMessage, y tomar control de la información del teléfono. El ataque funciona aunque la víctima no haya configurado un hogar en la función Home, basta con que el atacante agregue un correo electrónico en esta función.
LATENTIMAGE - El Ataque también parece ser sin clicks y el nombre se lo otorgaron porque prácticamente no deja huellas o imágenes en el dispositivo. Parece que también involucra la función de FindMyiPhone, sin embargo no necesariamente como puerta de entrada.
La conclusión de Citizen Lab y R3D es clara, Pegasus continúa evolucionando sus técnicas de ataque, su sofisticación y utiliza cada vez más superficies de ataque, lo cual pone un reto enorme en los fabricantes de dispositivos inteligentes para unificar metodologías de acceso e incrementar su seguridad.
México: El abusador serial de Pegasus
El abusivo ataque a la sociedad civil mexicana con el software espía Pegasus es el último de una larga serie de ataques documentados desde el 2016 donde periodistas, activistas, abogados, legisladores y hasta menores se han visto involucrados*, lo cual tuvo lugar durante la presidencia de Enrique Peña Nieto. Tras el cambio de gobierno, el presidente Andrés Manuel López Obrador, -presuntamente afectado en 2016 por los ataques junto con su primer círculo- afirmó que su administración dejó de usar pegasus.. Sin embargo, informes recientes y las investigaciones de Citizen Lab y R3D (Red en los Defensa de los Derechos Digitales) sugieren lo contrario, mostrando evidencias de ataques al defensor de derechos humanos Raymundo Ramos y al Diputado de Movimiento ciudadano Agustín Basave Alanís.
Es muy preocupante que los teléfonos de los defensores de los derechos humanos que representan a las víctimas de abusos contra los derechos humanos, incluidas las familias de los estudiantes de Ayotzinapa, fueran pirateados con el software espía Pegasus.
¿Y qué pueden hacer quienes creen que pueden ser víctimas?
Hasta este momento la única medida que se ha encontrado que puede reducir o minimizar estos nuevos ataques en un iPhone es activar el modo “Lockdown” en los dispositivos, ya que, cuando intentaron atacar, este modo fué el que desplegó alertas de correos electrónicos tratando de registrarse en la cuenta. El modo está dentro de Ajustes>Seguridad y Privacidad > Modo Lockdow
/cloudfront-us-east-1.images.arcpublishing.com/eluniversal/NPLAVZ6NYVBGRLFT3TGJKBZBBA.png)
/cloudfront-us-east-1.images.arcpublishing.com/eluniversal/R6YQYZHECRGU3E57M3XS2KNWHM.png)
