An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
Una mujer israelí utiliza su iPhone frente al edificio que alberga la sede de la empresa israelí NSO Group, el 28 de agosto de 2016, en Herzliya, cerca de Tel Aviv. El NSO Group ha sido acusado de facilitar el espionaje de periodistas mediante la venta de su programa espía Pegasus. (AFP/Jack Guez)

Aviso de seguridad del CPJ: Los periodistas son objetivos del software de espionaje Pegasus

Actualizado al 13 de julio del 2020

Pegasus es un programa espía, creado para dispositivos móviles, que transforma un celular en una estación de vigilancia móvil. Los investigadores han documentado que se ha empleado para espiar a periodistas. Ello plantea significativas implicaciones para la propia seguridad de los periodistas y la de sus fuentes.

En 2018, Citizen Lab declaró que había detectado el programa Pegasus en más de 45 países. Pegasus puede haber sido empleado contra periodistas y actores de la sociedad civil en México, Arabia Saudita, Baréin, Marruecos, Togo, Israel, Estados Unidos y los Emiratos Árabes Unidos, según el informe.

Si bien los ataques anteriores dependían de engañar a los usuarios para que hicieran clic en enlaces contenidos en mensajes y así instalaran el programa espía en sus dispositivos, los ataques más recientes, en cambio, se concentran en aprovechar las vulnerabilidades de las aplicaciones o del software del teléfono y no precisan de la interacción del usuario en lo absoluto, según un informe publicado en junio de 2020 por Amnistía Internacional.

En mayo de 2019, se identificó una vulnerabilidad en la aplicación de mensajería WhatsApp que, antes de repararse con un parche de seguridad, había infectado a algunos de los teléfonos de sus usuarios con software de espionaje, entre ellos a más de 100 defensores de los derechos humanos y periodistas de por lo menos 20 países, de acuerdo con Citizen Lab. WhatsApp, propiedad de Facebook, posteriormente identificó ese programa espía como Pegasus o una variante diseñada por el NSO Group, con sede en Israel, el cual comercializa herramientas digitales para investigar el crimen y el terrorismo dirigidas a organismos gubernamentales. (El NSO Group ha declarado reiteradamente al CPJ que no comenta sobre casos particulares, pero que investiga informaciones de que sus productos se han utilizado indebidamente y en violación de cláusulas contractuales).

En junio de 2020, una investigación de Amnistía Internacional descubrió que el teléfono de un periodista marroquí había quedado infectado cuando el tráfico de Internet del teléfono fue redirigido a un sitio web malicioso controlado por los ciberatacantes. Cuando el navegador de Internet del teléfono se conectó al sitio, los ciberatacantes probablemente explotaron vulnerabilidades en el software para invadir el dispositivo, según el informe. El informe sostiene que este ataque se ejecutó o bien redirigiendo el tráfico de Internet del teléfono móvil por medio de una torre celular clandestina —un dispositivo que imita la función de una torre de telefonía celular— o bien teniendo acceso al operador de telefonía móvil del objetivo.

Cuando el programa espía ya está instalado en el dispositivo, le otorga al atacante la capacidad de vigilar, grabar y recolectar datos actuales y futuros del teléfono, lo cual abarca las llamadas e información de las aplicaciones de mensajería y datos de localización en tiempo real. El programa espía es capaz de activar a distancia la cámara y el micrófono para vigilar el objetivo y su entorno.

Pegasus ha sido diseñado para instalarse en teléfonos que funcionen con sistemas operativos Android, BlackBerry OS y iOS sin alertar al objetivo de su presencia. Probablemente la única manera de que los periodistas sepan si su teléfono ha sido infectado es que un experto en tecnología inspeccione el dispositivo.

Si tiene motivos para creer que usted es un objetivo y le han instalado software de espionaje en su dispositivo:

  • Deje de utilizar el dispositivo inmediatamente.
  • Coloque el dispositivo en algún lugar que no lo perjudique a usted ni a su entorno.
  • Salga de todas las cuentas y desvincule las cuentas del dispositivo.
  • Desde un dispositivo distinto, cambie todas las contraseñas de sus cuentas.
  • Busque la asesoría de un experto en seguridad digital. Si usted es un periodista freelance o no tiene acceso a asistencia técnica, contacte la línea de ayuda de Access Now.

Pegasus puede instalarse de diferentes maneras. Los periodistas deben mantenerse actualizados respecto a estos métodos y tomar las medidas adecuadas para protegerse a sí mismos y a sus fuentes.

Ataques de inyección en red

Un ataque de inyección en red no precisa de ninguna interacción con el usuario. Por el contrario, consiste en el redireccionamiento automático de los navegadores o las aplicaciones a sitios controlados por los ciberatacantes. Ello también se conoce como ataque de intermediario (Man in the Middle Attack, MITM). Cuando el dispositivo se conecta con el sitio malicioso, los ciberatacantes lo infectan mediante vulnerabilidades del software.

Es muy poco probable que un periodista sepa que ha sido objetivo de este tipo de ataque de inyección en red, y protegerse contra éste puede ser difícil. Para reducir al mínimo el riesgo, los trabajadores de medios deben utilizar una red privada virtual (Virtual Private Network, VPN) tanto en sus teléfonos móviles como en sus computadoras.

Al escoger una VPN, el periodista debe valorar lo siguiente:

  • Debe revisar la ley vigente con respecto al uso de una VPN en el país donde vive o al cual viajará.
  • Investigue la empresa del servicio de VPN para asegurarse de que no almacena datos sobre los usuarios, por ejemplo la historia de navegación y los datos para ingresar a sus cuentas, pues los Gobiernos pudieran tener acceso a esto.
  • Averigüe si la empresa del servicio de VPN tiene estrechos vínculos con organismos gubernamentales o es propiedad de un Gobierno. El periodista debe escoger un servicio que esté ubicado fuera del país donde vive y que cuente con un buen historial de privacidad.

Ataques de día cero

Los ataques de día cero explotan el software vulnerable, es decir, no van dirigidos a las personas y no precisan de ninguna interacción del usuario.

Las informaciones sobre el ciberataque a WhatsApp indicaron que el ataque cobró la forma de llamadas desde números desconocidos a usuarios, lo cual provocó la caída de la aplicación. Los números desaparecieron del registro de llamadas y no dejaron constancia de ninguna llamada perdida ni del autor de la llamada.

Protegerse de un ataque de día cero es difícil. Los periodistas que puedan ser objetivos de un adversario sofisticado, por ejemplo un Gobierno, deben valorar cambiar de teléfonos desechables baratos cada varios meses como precaución. Usted debe asegurarse de actualizar periódicamente el sistema operativo del teléfono móvil, así como las aplicaciones y los navegadores. Revise periódicamente las aplicaciones de su teléfono y borre las que no utilice. Si es posible, comuníquese con un experto en seguridad digital para recibir asistencia individual.

Ataques de phishing individualizados

Los ciberatacantes crean mensajes personalizados que se envían a un periodista en específico. Estos mensajes son de carácter urgente y animan al periodista a hacer clic en un enlace o documento contenido en el mensaje. Los mensajes suelen venir de muchas formas distintas, como SMS, correo electrónico, aplicaciones de mensajería como WhatsApp o mensajes en plataformas de redes sociales. Basta con que el periodista haga clic en el enlace, para que el programa espía se instale en su teléfono.

Las investigaciones de Citizen Lab y Amnistía Internacional han constatado que los mensajes tienden a adoptar las siguientes formas:

  • Mensajes que pretenden ser de una organización conocida, como por ejemplo una embajada o una organización noticiosa local.
  • Mensajes que le advierten al objetivo que puede estar enfrentando una amenaza inmediata a su seguridad.
  • Mensajes que plantean alguna cuestión de trabajo, como cubrir un evento sobre el cual el objetivo suele informar.
  • Mensajes que apelan a cuestiones personales, como los relacionados con fotos comprometedoras de la pareja de un individuo.
  • Mensajes financieros que se refieren a compras, tarjetas de crédito o detalles bancarios.

Los mensajes sospechosos también pueden venir de números desconocidos.

Los atacantes pueden dirigirse a teléfonos particulares y teléfonos de trabajo. Para protegerse mejor a sí mismos y a sus fuentes, los periodistas deben:

  • Verificar el enlace con el emisor mediante otro canal de comunicación, preferiblemente por video o voz.
  • Si el emisor no es una persona que usted conoce, es posible que los canales secundarios no le permitan a usted verificar con éxito los enlaces, pues el adversario puede haber creado canales secundarios como parte de una compleja identidad encubierta.
  • Si el enlace utiliza un servicio para acortar los URL como TinyURL o Bitly, ingrese el enlace en un servicio para ampliar los URL como Link Expander o URLEX. Si el enlace ampliado tiene una apariencia sospechosa, por ejemplo imita a un sitio de noticias local pero no es exactamente igual, no haga clic en el enlace.
  • Si considera que necesita abrir el enlace, no utilice su dispositivo principal. Abra el enlace en un dispositivo secundario y distinto que no contenga información sensible ni detalles de los contactos, y que se utilice únicamente para visualizar enlaces. Reinicialice la configuración de fábrica del dispositivo periódicamente (teniendo en cuenta que es posible que ello no elimine el programa espía). Cuando no utilice el dispositivo secundario, manténgalo apagado y sin la batería.
  • Utilice un navegador que no sea el que trae el teléfono por defecto. Se cree que Pegasus ataca los navegadores instalados por defecto. El navegador por defecto para el sistema operativo Android es Chrome y el navegador por defecto para iOS es Safari. Utilice un navegador alternativo como Firefox Focus y abra el enlace en ese navegador. Sin embargo, no se garantiza que Pegasus no haya atacado otros navegadores ni que no lo haga en el futuro.

Instalación física por parte de un adversario

Pegasus también puede instalarse en el teléfono si un adversario llega a tener el dispositivo en sus manos. Para reducir este riesgo:

  • No pierda de vista el dispositivo y evite pasárselo a otras personas.
  • Cuando cruce un punto fronterizo o un punto de control, cerciórese de que puede ver su teléfono en todo momento. Apague el teléfono antes de llegar al punto de control, y use una frase de contraseña compleja que tenga tanto letras como números. Sea consciente de que si le cogen el teléfono, el dispositivo puede ser vulnerado.

Para más información sobre cómo protegerse a sí mismo y a sus fuentes, consulte el kit de seguridad digital del CPJ.

Con agradecimientos al Citizen Lab por los valiosos conocimientos aportados.

[NOTA DEL EDITOR: Las recomendaciones sobre los ataques de día cero se han actualizado y ahora incluyen actualizaciones de seguridad].