An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
Una mujer israelí utiliza su iPhone frente al edificio que alberga la sede de la empresa israelí NSO Group, el 28 de agosto de 2016, en Herzliya, cerca de Tel Aviv. El NSO Group ha sido acusado de facilitar el espionaje de periodistas mediante la venta de su programa espía Pegasus. (AFP/Jack Guez)

Aviso de seguridad del CPJ: Los periodistas son objetivos del software de espionaje Pegasus

Actualizado al 19 de julio de 2021

Pegasus es un programa espía, creado para dispositivos móviles, que transforma un celular en una estación de vigilancia móvil. Investigadores han documentado que se ha empleado para espiar a periodistas en todas partes del mundo; y periodistas investigativos han determinado que, como mínimo, 180 periodistas habían sido posibles objetivos en 2021. Ello plantea significativas implicaciones para la propia seguridad de los periodistas y la de sus fuentes.

Si bien los ataques anteriores dependían de engañar a los usuarios para que hicieran clic en enlaces contenidos en mensajes y así instalaran el programa espía en sus dispositivos, los ataques más recientes, en cambio, se concentran en aprovechar las vulnerabilidades de las aplicaciones o del software del teléfono y no precisan de la interacción del usuario en lo absoluto, según informes publicados en junio de 2020 y julio de 2021 por Amnistía Internacional.

Cuando el programa espía ya está instalado en el dispositivo, le otorga al atacante la capacidad de vigilar, grabar y recolectar datos actuales y futuros del teléfono, lo cual abarca las llamadas e información de las aplicaciones de mensajería y datos de localización en tiempo real. El programa espía es capaz de activar a distancia la cámara y el micrófono para vigilar el objetivo y su entorno.

La empresa israelí NSO Group, autora del software Pegasus, comercializa herramientas digitales para investigar el crimen y el terrorismo dirigidas a organismos gubernamentales. (El NSO Group ha declarado reiteradamente al CPJ que no comenta sobre casos particulares, pero que investiga denuncias de que sus productos se han utilizado indebidamente y en violación de cláusulas contractuales).

Recomendaciones para periodistas y redacciones

Pegasus ha sido diseñado para instalarse en teléfonos que funcionen con sistemas operativos Android, BlackBerry OS y iOS sin alertar al objetivo de su presencia. Probablemente la única manera de que un periodista sepa si su teléfono ha sido infectado es que un experto en tecnología de confianza inspeccione el dispositivo. Si usted es un periodista que está preocupado por esto, quizás desee compartir esta guía con el experto. 

Si tiene motivos para creer que usted es un objetivo y le han instalado software de espionaje en su dispositivo:

  • Deje de utilizar el dispositivo inmediatamente.
  • Coloque el dispositivo en algún lugar que no lo perjudique a usted ni a su entorno.
  • Salga de todas las cuentas y desvincule las cuentas del dispositivo.
  • Desde un dispositivo distinto, cambie todas las contraseñas de sus cuentas.
  • Busque la asesoría de un experto en seguridad digital. Si usted es un periodista freelance o no tiene acceso a asistencia técnica, contacte la línea de ayuda de Access Now.
  • Si es esencial utilizar el dispositivo antes de poder reemplazarlo, reinicialice la configuración de fábrica y asegúrese de actualizar con la última versión su sistema operativo, aplicaciones y navegadores. Ello no garantiza que el software de espionaje será eliminado del dispositivo. Sin embargo, en julio de 2021 Amnistía Internacional señaló que aparentemente Pegasus queda eliminado cuando se reinicializa un dispositivo. 
  • El mismo informe apuntó que Pegasus había utilizado 700 nombres de dominio para infectar dispositivos y recomendó que los medios de prensa revisen la telemetría de su red y los registros DNS en busca de estos sitios como indicio de que los medios pueden haber sido objetivos del software de espionaje.
  • La Guía para la verificación de dispositivos móviles de Amnistía Internacional, dirigida a expertos en tecnología, puede ayudar a confirmar si un dispositivo ha sido infectado con Pegasus.

Investigación de antecedentes

  • En 2018, Citizen Lab declaró que había detectado el programa Pegasus en más de 45 países. Pegasus puede haber sido empleado contra periodistas y actores de la sociedad civil en México, Arabia Saudita, Baréin, Marruecos, Togo, Israel, Estados Unidos y los Emiratos Árabes Unidos, según el informe.
  • En mayo de 2019, se identificó una vulnerabilidad en la aplicación de mensajería WhatsApp que, antes de repararse con un parche de seguridad, había infectado a algunos de los teléfonos de sus usuarios con software de espionaje, entre ellos a más de 100 defensores de los derechos humanos y periodistas de por lo menos 20 países, de acuerdo con Citizen Lab. WhatsApp, propiedad de Facebook, posteriormente identificó ese programa espía como Pegasus o una variante.
  • En junio de 2020, una investigación de Amnistía Internacional descubrió que el teléfono de un periodista marroquí había quedado infectado cuando el tráfico de Internet del teléfono fue redirigido a un sitio web malicioso controlado por los ciberatacantes. Cuando el navegador de Internet del teléfono se conectó al sitio, los ciberatacantes probablemente explotaron vulnerabilidades en el software para invadir el dispositivo, según el informe. El informe sostiene que este ataque se ejecutó o bien redirigiendo el tráfico de Internet del teléfono móvil por medio de una torre celular clandestina —un dispositivo que imita la función de una torre de telefonía celular— o bien teniendo acceso al operador de telefonía móvil del objetivo.
  • En diciembre de 2020, una amplia investigación de Citizen Lab detectó la presencia de Pegasus en los iPhones personales de 36 periodistas y ejecutivos de medios; la mayoría de ellos se desempeñaban en Al-Jazeera, pero un periodista de Al-Araby TV figuraba entre los objetivos. La investigación atribuyó los ataques a agentes gubernamentales, probablemente de Arabia Saudita y los Emiratos Árabes Unidos, y señaló que era probable que apenas se hubiera detectado una pequeña parte de los objetivos.
  • En julio de 2021, un consorcio de medios de prensa internacionales investigó un documento filtrado que contenía más de 50.000 números telefónicos pertenecientes a individuos de todo el mundo, entre ellos más de 180 periodistas, quienes aparentemente eran objeto de interés para clientes de NSO. Amnistía Internacional, en alianza con Forbidden Stories, realizó un análisis forense de los teléfonos de más de una docena de esos periodistas, el cual descubrió infecciones recientes que afectaban al iPhone 12 versión 14.6.

Recomendaciones para distintos tipos de ataques

Pegasus puede instalarse de diferentes maneras. Los periodistas deben mantenerse actualizados respecto a estos métodos y tomar las medidas adecuadas para protegerse a sí mismos y a sus fuentes.

Ataques de día cero

Los ataques de día cero, también conocidos como ataques de cero clics, explotan el software vulnerable, es decir, no van dirigidos a las personas y no precisan de ninguna interacción con el usuario.

  • Las informaciones sobre el ciberataque a WhatsApp indicaron que el ataque cobró la forma de llamadas desde números desconocidos a usuarios, lo cual provocó la caída de la aplicación. Los números desaparecieron del registro de llamadas y no dejaron constancia de ninguna llamada perdida ni del autor de la llamada.
  • El informe publicado por Citizen Lab en diciembre de 2020 señaló que los ciberatacantes instalaban el software de espionaje por medio de una vulnerabilidad en la aplicación iMessenger app, y que no hacía falta ninguna interacción del propietario del dispositivo. Al parecer la vulnerabilidad fue reparada en la actualización iOS 14.
  • En julio de 2021, Amnistía Internacional informó que había descubierto rastros de reiterados intentos de infección mediante la aplicación iMessage del iPhone 12 versión 14.6. El informe también señaló la preocupación de que otras aplicaciones incorporadas, como la aplicación iTunes Store, pudieran ser vulnerables a los ataques.

Protegerse de un ataque de día cero es difícil. Los periodistas que puedan ser objetivos de un adversario sofisticado, por ejemplo un Gobierno, deben hacer lo siguiente:

  • Valorar adquirir teléfonos desechables baratos y cambiarlos cada varios meses como precaución. 
  • Actualizar periódicamente el sistema operativo del teléfono móvil, así como las aplicaciones y los navegadores. 
  • Revisar periódicamente las aplicaciones de su teléfono y borrar las que no utilice. 
  • Si es posible, comunicarse con un experto en seguridad digital para recibir asistencia individual.

Ataques de inyección en red

Un ataque de inyección en red no precisa de ninguna interacción con el usuario. Por el contrario, consiste en el redireccionamiento automático de los navegadores o las aplicaciones a sitios controlados por los ciberatacantes. Ello también se conoce como ataque de intermediario (Man in the Middle Attack, MITM). Cuando el dispositivo se conecta con el sitio malicioso, los ciberatacantes lo infectan mediante vulnerabilidades del software. 

Es muy poco probable que un periodista sepa que ha sido objetivo de este tipo de ataque de inyección en red, y protegerse contra éste puede ser difícil. 

Para reducir al mínimo el riesgo:

  • Utilice una red privada virtual (Virtual Private Network, VPN) tanto en sus teléfonos móviles como en sus computadoras.
  • Revise la ley vigente con respecto al uso de una VPN en el país donde vive o al cual viajará.
  • Investigue la empresa del servicio de VPN para asegurarse de que no almacena datos sobre los usuarios, por ejemplo la historia de navegación y los datos para ingresar a sus cuentas, pues los Gobiernos pudieran tener acceso a esta información. 
  • Averigüe si la empresa del servicio de VPN tiene estrechos vínculos con organismos gubernamentales o es propiedad de un Gobierno. 
  • El periodista debe escoger un servicio que esté ubicado fuera del país donde vive y que cuente con un buen historial de privacidad. 

Ataques de phishing individualizados

Los ciberatacantes crean mensajes personalizados que se envían a un periodista en específico. Estos mensajes son de carácter urgente y animan al periodista a hacer clic en un enlace o documento contenido en el mensaje. Los mensajes suelen venir de muchas formas distintas, como SMS, correo electrónico, aplicaciones de mensajería como WhatsApp o mensajes en plataformas de redes sociales. Basta con que el periodista haga clic en el enlace, para que el programa espía se instale en su teléfono. 

Las investigaciones de Citizen Lab y Amnistía Internacional han constatado que los mensajes tienden a adoptar las siguientes formas:

  • Mensajes que pretenden ser de una organización conocida, como por ejemplo una embajada o una organización noticiosa local.
  • Mensajes que le advierten al objetivo que puede estar enfrentando una amenaza inmediata a su seguridad.
  • Mensajes que plantean alguna cuestión de trabajo, como cubrir un evento sobre el cual el objetivo suele informar.
  • Mensajes que apelan a cuestiones personales, como los relacionados con fotos comprometedoras de la pareja de un individuo.
  • Mensajes financieros que se refieren a compras, tarjetas de crédito o detalles bancarios.

Los mensajes sospechosos también pueden venir de números desconocidos.

Los atacantes pueden dirigirse a teléfonos particulares y teléfonos de trabajo. Para protegerse mejor a sí mismos y a sus fuentes, los periodistas deben:

  • Verificar el enlace con el emisor mediante otro canal de comunicación, preferiblemente por video o voz.
  • Si el emisor no es una persona que usted conoce, es posible que los canales secundarios no le permitan a usted verificar con éxito los enlaces, pues el adversario puede haber creado tales canales como parte de una compleja identidad encubierta.
  • Si el enlace utiliza un servicio para acortar los URL como TinyURL o Bitly, ingrese el enlace en un servicio para ampliar los URL como Link Expander o URLEX. Si el enlace ampliado tiene una apariencia sospechosa, por ejemplo imita a un sitio de noticias local pero no es exactamente igual, no haga clic en el enlace.
  • Si considera que necesita abrir el enlace, no utilice su dispositivo principal. Abra el enlace en un dispositivo secundario y distinto que no contenga información sensible ni detalles de los contactos, y que se utilice únicamente para visualizar enlaces. Reinicialice la configuración de fábrica del dispositivo periódicamente (teniendo en cuenta que es posible que ello no elimine el programa espía). Cuando no utilice el dispositivo secundario, manténgalo apagado y sin la batería.
  • Utilice un navegador que no sea el que trae el teléfono por defecto. Se cree que Pegasus ataca los navegadores instalados por defecto. El navegador por defecto para el sistema operativo Android es Chrome y el navegador por defecto para iOS es Safari. Utilice un navegador alternativo como Firefox Focus y abra el enlace en ese navegador. Sin embargo, no se garantiza que Pegasus no haya atacado otros navegadores ni que no lo haga en el futuro. 

Instalación física por parte de un adversario

Pegasus también puede instalarse en el teléfono si un adversario llega a tener el dispositivo en sus manos. Para reducir este riesgo:

  • No pierda de vista el dispositivo y evite pasárselo a otras personas.
  • Cuando cruce un punto fronterizo o un punto de control, cerciórese de que puede ver su teléfono en todo momento. Apague el teléfono antes de llegar al punto de control, y use una frase de contraseña compleja que tenga tanto letras como números. Sea consciente de que si le cogen el teléfono, el dispositivo puede ser vulnerado. 

Para más información sobre cómo protegerse a sí mismo y a sus fuentes, consulte el kit de seguridad digital del CPJ.

Con agradecimientos al Citizen Lab por los valiosos conocimientos aportados.

[NOTA DEL EDITOR: Las recomendaciones sobre los ataques de día cero se han actualizado y ahora incluyen actualizaciones de seguridad].