An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
Una mujer israelí utiliza su iPhone frente al edificio que alberga la sede de la empresa israelí NSO Group, el 28 de agosto de 2016, en Herzliya, cerca de Tel Aviv. El NSO Group ha sido acusado de facilitar el espionaje de periodistas mediante la venta de su programa espía Pegasus. (AFP/Jack Guez)

Aviso de seguridad del CPJ: Los periodistas son objetivos del software de espionaje Pegasus

Actualizado al 27 de septiembre de 2022

Pegasus es un programa informático de espionaje que ha sido creado para dispositivos móviles y que transforma un celular en una estación de vigilancia móvil. Los investigadores han documentado que se ha empleado para espiar a periodistas en todas partes del mundo. Ello plantea significativas implicaciones para la propia seguridad de los periodistas y la de sus fuentes.

Contenido

El programa informático Pegasus puede ingresar a un teléfono de distintas maneras, las que se describen en detalle a continuación. Cuando el programa espía ya está instalado en el dispositivo, le otorga al atacante la capacidad de vigilar, grabar y recolectar datos actuales y futuros del teléfono, lo cual abarca las llamadas e información de las aplicaciones de mensajería y datos de localización en tiempo real. El programa espía es capaz de activar a distancia la cámara y el micrófono para vigilar el objetivo y su entorno.

La empresa israelí NSO Group, autora del software Pegasus, comercializa herramientas digitales para investigar el crimen y el terrorismo dirigidas a organismos gubernamentales. (El NSO Group ha declarado reiteradamente al CPJ que no comenta sobre casos particulares, pero que investiga denuncias de que sus productos se han utilizado indebidamente y en violación de cláusulas contractuales).

Recomendaciones para periodistas y Redacciones

Pegasus ha sido diseñado para instalarse en teléfonos que funcionen con sistemas operativos Android y iOS sin alertar al objetivo de su presencia. Probablemente la única manera de que un periodista sepa si su teléfono ha sido infectado es que un experto en tecnología de confianza inspeccione el dispositivo. Si usted es un periodista que está preocupado por esto, quizás desee compartir esta guía con el experto.

Si tiene motivos para creer que usted es un objetivo y le han instalado software de espionaje en su dispositivo:

  • Deje de utilizar el dispositivo inmediatamente.
  • Guarde el teléfono donde el micrófono y la cámara capten la menor cantidad posible de actividades de su vida personal, lejos del lugar de trabajo y otros lugares donde usted pasa mucho tiempo, como el dormitorio.
  • Salga de todas las cuentas y desvincule las cuentas del dispositivo.
  • Desde un dispositivo distinto, cambie todas las contraseñas de sus cuentas.
  • Busque la asesoría de un experto en seguridad digital. Si usted es un periodista freelance o no tiene acceso a asistencia técnica, contacte la línea de ayuda de Access Now.
  • Si es esencial utilizar el dispositivo antes de poder reemplazarlo, reinicialice la configuración de fábrica y asegúrese de actualizar con la última versión su sistema operativo, aplicaciones y navegadores. Ello no garantiza que el software de espionaje sea eliminado del dispositivo. Sin embargo, en julio de 2021 Amnistía Internacional señaló que aparentemente Pegasus queda eliminado cuando se reinicializa un dispositivo. Si utiliza un iPhone con sistema operativo iOS 16, habilite la modalidad de bloqueo (lockdown mode).
  • El mismo informe de Amnistía Internacional apuntó que Pegasus había utilizado 700 nombres de dominio para infectar dispositivos y recomendó que los medios de prensa revisaran la telemetría de su red y los registros DNS en busca de estos sitios como indicio de que los medios pueden haber sido objetivos del software de espionaje.

La Guía para la verificación de dispositivos móviles de Amnistía Internacional, dirigida a expertos en tecnología, puede ayudar a confirmar si un dispositivo ha sido infectado con Pegasus.

Defensa contra el software de espionaje para iOS

El sistema operativo iOS 16 de Apple introdujo la modalidad de bloqueo (lockdown mode), una función de seguridad concebida para reducir las maneras como el software de espionaje puede instalarse en un iPhone, así como en los iPads que ejecutan los sistemas operativos iOS 16 y MacOS Ventura.

La modalidad de bloqueo restringe algunas funciones, como por ejemplo las llamadas de FaceTime provenientes de números desconocidos, y restringe lo que otras personas pueden compartir con usted por medio de las aplicaciones iMessage y Photos. 

Los periodistas que consideren que están en riesgo de ser atacados por el programa informático Pegasus deben activar la modalidad de bloqueo. Para hacerlo:

  • Habilite la modalidad de bloqueo en las opciones de privacidad y seguridad.
  • Apague y encienda el teléfono para activarla.

Recomendaciones para los distintos tipos de ataque

Pegasus puede instalarse de diferentes maneras. Los periodistas deben mantenerse actualizados respecto a estos métodos y tomar las medidas adecuadas para protegerse a sí mismos y a sus fuentes.

Ataques de día cero

Los ataques de día cero, también conocidos como ataques de cero clics, explotan el software vulnerable, es decir, no van dirigidos a las personas y no precisan de ninguna interacción con el usuario.

Protegerse de un ataque de día cero es difícil. Los periodistas que puedan ser objetivos de un adversario sofisticado, como por ejemplo un Gobierno, deben hacer lo siguiente:

  • Utilizar un teléfono iPhone con sistema operativo iOS 16 y activar la modalidad de bloqueo (lockdown mode).

Los periodistas que utilicen teléfonos con otros tipos de sistema operativo deben hacer lo siguiente:

  • Hacer periódicamente copias de respaldo del contenido del teléfono y reinicializar la configuración de fábrica del teléfono.
  • Valorar utilizar teléfonos baratos Android y cambiarlos frecuentemente como precaución: cada varios meses, cada varias semanas o incluso cada varios días, según el nivel de riesgo que usted corra. Asegúrese de reinicializar la configuración de fábrica de todos los teléfonos antes de usarlos.
  • Actualizar periódicamente el sistema operativo del teléfono móvil, así como las aplicaciones y los navegadores.
  • Si es posible, comunicarse con un experto en seguridad digital para recibir asistencia individual.

Ataques de inyección en red

Un ataque de inyección en red no precisa de ninguna interacción con el usuario. Por el contrario, consiste en el redireccionamiento automático de los navegadores o las aplicaciones a sitios controlados por los ciberatacantes. Ello también se conoce como ataque de intermediario (Man in the Middle Attack, MITM). Cuando el dispositivo se conecta con el sitio malicioso, los ciberatacantes lo infectan mediante vulnerabilidades del software.

Es muy poco probable que un periodista sepa que ha sido objetivo de este tipo de ataque de inyección en red, y protegerse contra éste puede ser difícil. 

Para reducir al mínimo el riesgo:

  • Utilice una red privada virtual (Virtual Private Network, VPN) tanto en sus teléfonos móviles como en sus computadoras.
  • Revise la ley vigente con respecto al uso de una VPN en el país donde vive o al cual viajará.
  • Investigue la empresa del servicio de VPN para asegurarse de que no almacena datos sobre los usuarios, por ejemplo, la historia de navegación y los datos para ingresar a sus cuentas, pues los Gobiernos pudieran tener acceso a esta información.
  • Averigüe si la empresa del servicio de VPN tiene estrechos vínculos con organismos gubernamentales o es propiedad de un Gobierno. 
  • El periodista debe escoger un servicio que esté ubicado fuera del país donde vive y que cuente con un buen historial de privacidad.

Ataques de phishing individualizados

Los ciberatacantes crean mensajes personalizados que se envían a un periodista en específico. Estos mensajes son de carácter urgente y animan al periodista a hacer clic en un enlace o documento contenido en el mensaje. Los mensajes suelen venir de muchas formas distintas, como SMS, correo electrónico, aplicaciones de mensajería como WhatsApp o mensajes en plataformas de redes sociales. Basta con que el periodista haga clic en el enlace, para que el programa espía se instale en su teléfono.

Las investigaciones de Citizen Lab y Amnistía Internacional han constatado que los mensajes tienden a adoptar las siguientes formas:

  • Mensajes que pretenden ser de una organización conocida, como por ejemplo una embajada o una organización noticiosa local.
  • Mensajes que le advierten al objetivo que puede estar enfrentando una amenaza inmediata a su seguridad.
  • Mensajes que plantean alguna cuestión de trabajo, como cubrir un evento sobre el cual el objetivo suele informar.
  • Mensajes que apelan a cuestiones personales, como los relacionados con fotos comprometedoras de la pareja de un individuo.
  • Mensajes financieros que se refieren a compras, tarjetas de crédito o detalles bancarios.

Los mensajes sospechosos también pueden venir de números desconocidos.

Los atacantes pueden dirigirse a teléfonos particulares y teléfonos de trabajo. Para protegerse mejor a sí mismos y a sus fuentes, los periodistas deben:

  • Verificar el enlace con el emisor mediante otro canal de comunicación, preferiblemente por video o voz.
  • Si el emisor no es una persona que usted conoce, es posible que los canales secundarios no le permitan a usted verificar con éxito los enlaces, pues el adversario puede haber creado tales canales como parte de una compleja identidad encubierta.
  • Si el enlace utiliza un servicio para acortar los URL como TinyURL o Bitly, ingrese el enlace en un servicio para ampliar los URL como Link Expander o URLEX. Si el enlace ampliado tiene una apariencia sospechosa, por ejemplo, imita a un sitio de noticias local pero no es exactamente igual, no haga clic en el enlace.
  • Si considera que necesita abrir el enlace, no utilice su dispositivo principal. Abra el enlace en un dispositivo secundario y distinto que no contenga información sensible ni detalles de los contactos, y que se utilice únicamente para visualizar enlaces. Reinicialice la configuración de fábrica del dispositivo periódicamente (teniendo en cuenta que es posible que ello no elimine el programa espía). Cuando no utilice el dispositivo secundario, manténgalo apagado y sin la batería.
  • Utilice un navegador que no sea el que trae el teléfono por defecto. Se cree que Pegasus ataca los navegadores instalados por defecto. El navegador por defecto para el sistema operativo Android es Chrome y el navegador por defecto para iOS es Safari. Utilice un navegador alternativo como Firefox Focus y abra el enlace en ese navegador. Sin embargo, no se garantiza que Pegasus no haya atacado otros navegadores ni que no lo haga en el futuro.

Instalación física por parte de un adversario

Pegasus también puede instalarse en el teléfono si un adversario llega a tener el dispositivo en sus manos. Para reducir este riesgo:

  • No pierda de vista el dispositivo y evite pasárselo a otras personas.
  • Cuando cruce un punto fronterizo o un punto de control, cerciórese de que puede ver su teléfono en todo momento. Apague el teléfono antes de llegar al punto de control, y use una frase de contraseña compleja que tenga tanto letras como números. Sea consciente de que, si le cogen el teléfono, el dispositivo puede ser vulnerado.

Para más información sobre cómo protegerse a sí mismo y a sus fuentes, consulte el kit de seguridad digital del CPJ. Siga la cobertura del CPJ sobre el software de espionaje y la labor del CPJ para proteger a los periodistas de los programas espías para conocer más acerca del impacto de estos programas informáticos sobre los periodistas de su país o región. 

Con agradecimientos al Citizen Lab por los valiosos conocimientos aportados.