El texto entregado el mes pasado al iPhone 11 de Claude Mangin, la esposa francesa de un activista político encarcelado en Marruecos, no emitió ningún sonido. No produjo ninguna imagen. No ofreció ninguna advertencia de ningún tipo, ya que un iMessage de alguien que no conocía entregó malware directamente en su teléfono y más allá de los sistemas de seguridad de Apple.
Una vez dentro, el software espía, producido por el Grupo NSO de Israel y con licencia para uno de sus clientes gubernamentales, empezó a funcionar, según un examen forense de su dispositivo realizado por el Laboratorio de Seguridad de Amnistía Internacional. Descubrió que entre octubre y junio, su teléfono fue pirateado varias veces con Pegasus, la herramienta de vigilancia de firma de NSO, durante un tiempo en que estaba en Francia.
El examen no pudo revelar lo que se recopiló. Pero el potencial era enorme: Pegasus puede recopilar correos electrónicos, registros de llamadas, publicaciones en redes sociales, contraseñas de usuarios, listas de contactos, imágenes, videos, grabaciones de sonido e historiales de navegación, según investigadores de seguridad y materiales de marketing de NSO. El software espía puede activar cámaras o micrófonos para capturar imágenes y grabaciones nuevas. Puede escuchar llamadas y mensajes de voz. Puede recopilar registros de ubicación de dónde ha estado un usuario y también determinar dónde se encuentra ese usuario ahora, junto con datos que indican si la persona está parada o, si se mueve, en qué dirección.
Y todo esto puede suceder sin que un usuario ni siquiera toque su teléfono o sepa que ha recibido un mensaje misterioso de una persona desconocida, en el caso de Mangin, un usuario de Gmail que se llama "linakeller2203".
Este tipo de ataques de "clic cero", como se les llama en la industria de la vigilancia, pueden funcionar incluso en las generaciones más nuevas de iPhones, después de años de esfuerzo en los que Apple intentó cerrar la puerta a la vigilancia no autorizada y creó campañas de marketing en afirma que ofrece mejor privacidad y seguridad que sus rivales.
El número de Mangin estaba en una lista de más de 50.000 números de teléfono de más de 50 países que The Post y otras 16 organizaciones revisaron. Forbidden Stories, una organización periodística sin fines de lucro con sede en París, y el grupo de derechos humanos Amnistía Internacional tuvieron acceso a los números y los compartieron con The Post y sus socios, en un esfuerzo por identificar a quién pertenecían los números y persuadirlos de que permitieran los datos de sus teléfonos para ser examinados forense.
Durante años, Mangin ha estado llevando a cabo una campaña internacional para lograr la libertad de su esposo, la activista Naama Asfari, miembro de la etnia saharaui y defensora de la independencia del Sáhara Occidental que fue encarcelada en 2010 y presuntamente torturada por la policía marroquí, dibujando una clamor internacional y condena de las Naciones Unidas.
"Cuando estaba en Marruecos, sabía que los policías me seguían a todas partes", dijo Mangin en una entrevista en video realizada a principios de julio desde su casa en los suburbios de París. "Nunca imaginé que esto pudiera ser posible en Francia".
Especialmente no a través de los productos de Apple que ella creía que la protegerían del espionaje, dijo. La misma semana que se sentó para una entrevista sobre la piratería de su iPhone 11, un segundo teléfono inteligente que había pedido prestado, un iPhone 6s, también estaba infectado con Pegasus, según mostró un examen posterior.
Los investigadores han documentado infecciones de iPhone con Pegasus docenas de veces en los últimos años, desafiando la reputación de Apple de seguridad superior en comparación con sus principales rivales, que ejecutan sistemas operativos Android de Google.
La investigación de meses de The Post y sus socios encontró más evidencia para alimentar ese debate. El Laboratorio de seguridad de Amnistía examinó 67 teléfonos inteligentes cuyos números estaban en la lista de Historias prohibidas y encontró evidencia forense de infecciones por Pegasus o intentos de infección en 37. De ellos, 34 eran iPhones: 23 que mostraban signos de una infección exitosa de Pegasus y 11 que mostraban signos intento de infección.
Solo tres de los 15 teléfonos Android examinados mostraron evidencia de un intento de piratería, pero eso probablemente se debió a que los registros de Android no son lo suficientemente completos como para almacenar la información necesaria para obtener resultados concluyentes, dijeron los investigadores de Amnistía.
Aún así, la cantidad de veces que Pegasus se implantó con éxito en un iPhone subraya la vulnerabilidad incluso de sus últimos modelos. Los teléfonos pirateados incluían un iPhone 12 con las últimas actualizaciones de software de Apple.
En una evaluación separada publicada el domingo , el Citizen Lab de la Universidad de Toronto respaldó la metodología de Amnistía. Citizen Lab también señaló que su investigación anterior había encontrado infecciones de Pegasus en un iPhone 12 Pro Max y dos iPhone SE2, todos con versiones 14.0 o más recientes del sistema operativo iOS, lanzado por primera vez el año pasado.
Cómo funciona Pegasus
Objetivo: Alguien envía lo que se conoce como un enlace de trampa a un teléfono inteligente que persuade a la víctima a tocar y activar, o se activa sin ninguna entrada, como en los trucos más sofisticados de "cero clic".
Infectar: el software espía captura y copia las funciones más básicas del teléfono, según muestran los materiales de marketing de NSO, graba desde las cámaras y el micrófono y recopila datos de ubicación, registros de llamadas y contactos.
Seguimiento: el implante informa secretamente esa información a un operativo que puede usarla para trazar un mapa de los detalles confidenciales de la vida de la víctima.
Ivan Krstić, director de Arquitectura e Ingeniería de Seguridad de Apple, defendió los esfuerzos de seguridad de su empresa.
“Apple condena inequívocamente los ataques cibernéticos contra periodistas, activistas de derechos humanos y otros que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado ”, dijo en un comunicado. “Los ataques como los descritos son muy sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos ".
Apple pulió su reputación de proteger la privacidad del usuario durante su pelea legal de alto perfil con el FBI en 2016 sobre si la compañía podría verse obligada a desbloquear un iPhone utilizado por uno de los atacantes en un tiroteo masivo en San Bernardino, California, el año anterior. . El FBI finalmente se retiró del conflicto legal cuando encontró una empresa australiana de ciberseguridad, Azimuth Security , que podría desbloquear el iPhone 5c sin la ayuda de Apple.
Investigadores externos elogian a Apple por su posición y por seguir mejorando su tecnología con cada nueva generación de iPhones. El año pasado, la compañía presentó silenciosamente BlastDoor, una función que busca evitar que el malware entregado a través de iMessages infecte los iPhones, lo que dificulta los ataques al estilo Pegasus.
Es probable que las conclusiones de la investigación también alimenten un debate sobre si las empresas de tecnología han hecho lo suficiente para proteger a sus clientes de intrusiones no deseadas. La vulnerabilidad de los teléfonos inteligentes y su adopción generalizada por parte de periodistas, diplomáticos, activistas de derechos humanos y empresarios de todo el mundo, así como delincuentes y terroristas, ha dado lugar a una industria sólida que ofrece herramientas de piratería disponibles comercialmente para quienes estén dispuestos a pagar.
Una investigación realizada por un consorcio de organizaciones de medios ha descubierto que se ha utilizado software espía de grado militar con licencia de una empresa israelí para piratear teléfonos inteligentes. (Jon Gerberg / The Washington Post)
NSO, por ejemplo, reportó $ 240 millones en ingresos el año pasado, y hay muchas otras compañías que ofrecen software espía similar.
El domingo, el director ejecutivo de NSO, Shalev Hulio, dijo a The Post que estaba molesto por los informes de la investigación de que los teléfonos pertenecientes a periodistas, activistas de derechos humanos y funcionarios públicos habían sido atacados con el software de su empresa, a pesar de que disputó otras acusaciones informadas por The Post y sus organizaciones de noticias asociadas. Prometió una investigación. "Cada acusación sobre el uso indebido del sistema me preocupa", dijo Hulio. "Viola la confianza que le estamos dando al cliente".
Apple no es la única que se enfrenta a posibles intrusiones. El otro objetivo importante de Pegasus es el sistema operativo Android de Google, que alimenta los teléfonos inteligentes de Samsung, LG y otros fabricantes.
La portavoz de Google, Kaylin Trychon, dijo que Google tiene un equipo de análisis de amenazas que rastrea a NSO Group y otros actores de amenazas y que la compañía envió más de 4,000 advertencias a los usuarios cada mes de intentos de infiltración por parte de atacantes, incluidos los respaldados por el gobierno.
Dijo que la falta de registros que ayuden a los investigadores a determinar si un dispositivo Android ha sido atacado también fue una decisión de seguridad.
“Si bien entendemos que los registros persistentes serían más útiles para usos forenses como los descritos por los investigadores de Amnistía Internacional, también serían útiles para los atacantes. Continuamente equilibramos estas diferentes necesidades ”, dijo.
Los defensores dicen que la incapacidad de prevenir la piratería de teléfonos inteligentes amenaza la democracia en decenas de países al socavar la recopilación de noticias, la actividad política y las campañas contra los abusos de los derechos humanos. La mayoría de las naciones tienen poca o ninguna regulación efectiva de la industria del software espía o de cómo se utilizan sus herramientas.
"Si no los estamos protegiendo y no les proporcionamos herramientas para hacer este trabajo peligroso, entonces nuestras sociedades no van a mejorar", dijo Adrian Shahbaz, director de tecnología y democracia de Freedom House, un promotor con sede en Washington. think tank sobre democracia. "Si todo el mundo tiene miedo de enfrentarse a los poderosos porque temen las consecuencias de ello, sería desastroso para el estado de la democracia".
Hatice Cengiz, la prometida del columnista colaborador del Washington Post asesinado Jamal Khashoggi, dijo que usó un iPhone porque pensó que ofrecería una protección sólida contra los piratas informáticos.
"¿Por qué dijeron que el iPhone es más seguro?" Cengiz dijo en una entrevista de junio en Turquía, donde vive. Su iPhone se encontraba entre los 23 que tenían evidencia forense de una intrusión exitosa de Pegasus. La infiltración ocurrió en los días posteriores a la muerte de Khashoggi en octubre de 2018, según encontró el examen de su teléfono.
NSO dijo en un comunicado que no había encontrado evidencia de que el teléfono de Cengiz hubiera sido atacado por Pegasus. "Nuestra tecnología no se asoció de ninguna manera con el atroz asesinato de Jamal Khashoggi", dijo la compañía.
No es posible realizar una comparación directa de la seguridad de los sistemas operativos de Apple y Google y los dispositivos que los ejecutan, pero los informes de piratería a iPhones han aumentado en los últimos años a medida que los investigadores de seguridad han descubierto evidencia de que los atacantes han encontrado vulnerabilidades en tales dispositivos. aplicaciones de iPhone ampliamente utilizadas como iMessage, Apple Music, Apple Photos, FaceTime y el navegador Safari.
La investigación encontró que iMessage, la aplicación de mensajería incorporada que permite chatear sin problemas entre los usuarios de iPhone, jugó un papel en 13 de las 23 infiltraciones exitosas de iPhones. IMessage también fue el modo de ataque en seis de los 11 intentos fallidos que el Laboratorio de Seguridad de Amnistía identificó a través de sus exámenes forenses.
Una razón por la que iMessage se ha convertido en un vector de ataque, dicen los investigadores de seguridad, es que la aplicación ha agregado características gradualmente, lo que inevitablemente crea más vulnerabilidades potenciales.
“No pueden hacer que iMessage sea seguro”, dijo Matthew Green, profesor de seguridad y criptología en la Universidad Johns Hopkins. "No estoy diciendo que no se pueda arreglar, pero es bastante malo".
Un tema clave: IMessage permite a los extraños enviar mensajes a los usuarios de iPhone sin ninguna advertencia o aprobación del destinatario, una función que facilita a los piratas informáticos dar los primeros pasos hacia la infección sin ser detectados. Los investigadores de seguridad han advertido sobre esta debilidad durante años.
"Tu iPhone, y mil millones de otros dispositivos de Apple listos para usar, ejecutan automáticamente un famoso software inseguro para obtener una vista previa de iMessages, ya sea que confíes en el remitente o no", dijo el investigador de seguridad Bill Marczak, miembro de Citizen Lab, una investigación instituto con sede en la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto. "Cualquier estudiante de Computer Security 101 podría detectar la falla aquí".
Project Zero de Google, que busca errores explotables en una variedad de ofertas de tecnología y publica sus hallazgos públicamente, informó en una serie de publicaciones de blog el año pasado sobre las vulnerabilidades de iMessage.
La aplicación de chat encriptado Signal adoptó nuevas protecciones el año pasado que requieren la aprobación del usuario cuando un usuario desconocido intenta iniciar una llamada o un mensaje de texto, una protección que Apple no ha implementado con iMessage. Los usuarios de iPhones pueden optar por filtrar a los usuarios desconocidos activando una función en la configuración de sus dispositivos, aunque la investigación durante muchos años ha demostrado que los usuarios normales de dispositivos o aplicaciones rara vez aprovechan estos controles granulares.
En un correo electrónico de 2.800 palabras que respondió a preguntas de The Post que Apple dijo que no se podían citar directamente, la compañía dijo que los iPhones restringen severamente el código que un iMessage puede ejecutar en un dispositivo y que tiene protecciones contra el malware que llega de esta manera. Dijo que BlastDoor examina las vistas previas web y las fotos en busca de contenido sospechoso antes de que los usuarios puedan verlas, pero no dio más detalles sobre ese proceso. No respondió a una pregunta sobre si consideraría restringir los mensajes de remitentes que no estén en la libreta de direcciones de una persona.
El análisis técnico de Amnistía también encontró evidencia de que los clientes de NSO utilizan empresas comerciales de servicios de Internet, incluido Amazon Web Services, para distribuir el malware Pegasus en teléfonos específicos. (El presidente ejecutivo de Amazon, Jeff Bezos, es dueño de The Post).
Kristin Brown, portavoz de Amazon Web Services, dijo: "Cuando nos enteramos de esta actividad, actuamos rápidamente para cerrar la infraestructura y las cuentas relevantes".
Lecciones duras
La infiltración de los iPhones de Mangin subraya lecciones difíciles sobre la privacidad en la era de los teléfonos inteligentes: nada que se guarde en ningún dispositivo es completamente seguro. Gastar más en un teléfono inteligente premium no cambia ese hecho, especialmente si las agencias de inteligencia o de aplicación de la ley de alguna nación quieren entrar. NSO informó el mes pasado que tiene 60 clientes gubernamentales en 40 países, lo que significa que algunas naciones tienen más de una agencia con un contrato.
Las nuevas medidas de seguridad a menudo exigen costos para los consumidores en términos de facilidad de uso, velocidad de las aplicaciones y duración de la batería, lo que genera luchas internas en muchas empresas de tecnología sobre si tales compensaciones en el rendimiento valen la mayor resistencia a la piratería que brindan tales medidas.
Un ex empleado de Apple, que habló bajo condición de anonimato porque Apple requiere que sus empleados firmen acuerdos que les prohíban comentar sobre casi todos los aspectos de la empresa, incluso después de que se vayan, dijo que era difícil comunicarse con los investigadores de seguridad que informaron errores en Productos de Apple porque el departamento de marketing de la empresa se interpuso.
“El marketing podría vetar todo”, dijo la persona. “Teníamos un montón de respuestas enlatadas que usaríamos una y otra vez. Fue increíblemente molesto y ralentizó todo ".
Apple también restringe el acceso que los investigadores externos tienen a iOS, el sistema operativo móvil utilizado por iPhones y iPads, de una manera que dificulta la investigación del código y limita la capacidad de los consumidores para descubrir cuándo han sido pirateados, dicen los investigadores.
En su respuesta por correo electrónico a las preguntas de The Post, Apple dijo que su equipo de marketing de productos tiene voz solo en algunas interacciones entre los empleados de Apple e investigadores de seguridad externos y solo para garantizar que los mensajes de la compañía sobre los nuevos productos sean consistentes. Dijo que está comprometido a brindar herramientas a investigadores de seguridad externos y promocionó su Programa de Dispositivos de Investigación de Seguridad, en el que la compañía vende iPhones con software especial que los investigadores pueden usar para analizar iOS.
Los críticos, tanto dentro como fuera de la empresa, dicen que Apple también debería centrarse más en rastrear el trabajo de sus adversarios más sofisticados, incluido NSO, para comprender mejor los exploits de vanguardia que están desarrollando los atacantes. Estos críticos dicen que el equipo de seguridad de la empresa tiende a centrarse más en la seguridad general, al implementar funciones que frustran la mayoría de los ataques, pero que pueden no detener los ataques a personas sujetas a la vigilancia del gobierno, un grupo que a menudo incluye periodistas, políticos y activistas de derechos humanos como Mangin. .
“Es una situación en la que siempre estás trabajando con un déficit de información. No sabes mucho sobre lo que hay ahí fuera ”, dijo un ex ingeniero de Apple, hablando bajo condición de anonimato porque Apple no permite que los ex empleados hablen públicamente sin el permiso de la empresa. "Cuando tienes un adversario con buenos recursos, hay cosas diferentes sobre la mesa".
En su correo electrónico a The Post, Apple dijo que en los últimos años ha expandido significativamente su equipo de seguridad enfocado en rastrear adversarios sofisticados. Apple dijo en el correo electrónico que se diferencia de sus competidores en que elige no discutir estos esfuerzos públicamente, sino que se centra en crear nuevas protecciones para su software. En general, su equipo de seguridad se ha cuadruplicado en los últimos cinco años, dijo Apple.
El modelo de negocio de Apple se basa en el lanzamiento anual de nuevos iPhones, su producto estrella que genera la mitad de sus ingresos. Cada nuevo dispositivo, que normalmente llega con un sistema operativo actualizado disponible para los usuarios de dispositivos más antiguos, incluye muchas funciones nuevas, junto con lo que los investigadores de seguridad denominan nuevas "superficies de ataque".
Los empleados actuales y anteriores de Apple y las personas que trabajan con la compañía dicen que el calendario de lanzamiento del producto es desgarrador y, debido a que hay poco tiempo para examinar los nuevos productos en busca de fallas de seguridad, conduce a una proliferación de nuevos errores que los investigadores de seguridad ofensivos en compañías como NSO Group puede usar para ingresar incluso en los dispositivos más nuevos.
En su correo electrónico a The Post, Apple dijo que utiliza herramientas automatizadas e investigadores internos para detectar la gran mayoría de los errores antes de que se publiquen y que es el mejor de la industria.
Apple también llegó relativamente tarde a las "recompensas por errores", en las que las empresas pagan a investigadores independientes por encontrar y revelar fallas de software que los piratas informáticos podrían utilizar en ataques.
Krstić, el principal funcionario de seguridad de Apple, presionó por un programa de recompensas por errores que se agregó en 2016, pero algunos investigadores independientes dicen que han dejado de enviar errores a través del programa porque Apple tiende a pagar pequeñas recompensas y el proceso puede llevar meses o años.
La semana pasada, Nicolas Brunner, un ingeniero de iOS de Swiss Federal Railways, detalló en una publicación de blog cómo envió un error a Apple que permitía a alguien rastrear permanentemente la ubicación de un usuario de iPhone sin su conocimiento. Dijo que Apple no se comunicaba, tardaba en corregir el error y, en última instancia, no le pagaba.
Cuando se le preguntó sobre la publicación del blog, un portavoz de Apple se refirió al correo electrónico de Apple en el que decía que su programa de recompensas por errores es el mejor de la industria y que paga recompensas más altas que cualquier otra empresa. Solo en 2021, ha pagado millones de dólares a los investigadores de seguridad, decía el correo electrónico.
Las personas familiarizadas con las operaciones de seguridad de Apple dicen que Krstić ha mejorado la situación, pero el equipo de seguridad de Apple sigue siendo conocido por mantener un perfil público bajo, negándose a hacer presentaciones en conferencias como la conferencia de ciberseguridad Black Hat en Las Vegas cada verano, donde otros técnicos las empresas se han convertido en elementos fijos.
Una vez que se informa de un error a Apple, se le asigna un código de color, dijeron ex empleados familiarizados con el proceso. Rojo significa que los atacantes están explotando activamente el error. Naranja, el siguiente nivel hacia abajo, significa que el error es grave pero que aún no hay evidencia de que haya sido explotado. Los errores naranjas pueden tardar meses en solucionarse, y el equipo de ingeniería, no el de seguridad, decide cuándo sucede.
Ex empleados de Apple relataron varios casos en los que errores que no se creían serios fueron explotados contra los clientes entre el momento en que se informaron a Apple y el momento en que se corrigieron.
Apple dijo en su correo electrónico que ningún sistema es perfecto, pero que corrige rápidamente graves vulnerabilidades de seguridad y continúa invirtiendo en mejorar su sistema para evaluar la gravedad de los errores.
Pero los investigadores de seguridad externos dicen que no pueden estar seguros de cuántos usuarios de iOS son explotados porque Apple dificulta que los investigadores analicen la información que apuntaría a explotaciones.
"Creo que estamos viendo la punta del iceberg en este momento", dijo Costin Raiu, director del equipo global de investigación y análisis de la firma de ciberseguridad Kaspersky Lab. “Si lo abres y le das a la gente las herramientas y la capacidad de inspeccionar los teléfonos, tienes que estar preparado para el ciclo de noticias, que será mayormente negativo. Se necesita coraje ".
***.-Dana Priest contribuyó a este informe.
El Proyecto Pegasus es una investigación colaborativa que involucra a más de 80 periodistas de 17 organizaciones de noticias coordinadas por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional. 
