¿Cómo funciona el software 'Pegasus'?: lo que debe saber

El presidente Gustavo Petro ha asegurado en varias ocasiones que durante las protestas sociales de 2021, el Gobierno anterior habría adquirido este software por $11 millones de dólares.

¿Pegasus en Colombia?

Según dijo el mandatario, la supuesta compra de Pegasus se habría dado entre la empresa israelí NSO Group Technologies Limited y la Dirección de Inteligencia Policial (Dipol).

Estos señalamientos han sido investigados por las autoridades. Por un lado, la Dipol y la Dirección Nacional de Inteligencia (DNI) aseguraron que no había pruebas de la compra, pero la Fiscalía indicó que sí hubo pagos por más de cinco millones de dólares.

Pegasus es un software que ha sido usado en otros países desde hace varios años. A través del informe ‘Informe de metodología forense: Cómo atrapar a Pegasus de NSO Group’, Amnistía Internacional hace un análisis sobre su funcionamiento.

Funcionamiento de Pegasus

El informe documenta los rastros forenses que quedan en dispositivos iOS y Android después de ataques con el software desde 2014 hasta 2021. La investigación identificó que clientes de NSO Group utilizaban mensajes SMS con dominios de explotación de Pegasus.

Entre 2016 y 2018, el método más empleado fue el uso de mensajes SMS. El informe explica que “la inyección de red es un vector de ataque eficaz y rentable para uso doméstico, especialmente en países con influencia sobre operadores móviles”.

A partir de 2019, comenzaron a ser reparados los mensajes. También fueron detectados redireccionamientos sospechosos registrados en el historial del explorador (Safari): “Esas redirecciones eran el resultado de ataques de inyección de red realizados a través de dispositivos tácticos, como torres de telefonía móvil no autorizados, o a través de equipos colocados en el operador móvil”.

Amnistía Internacional analizó los dispositivos de periodistas y defensores de derechos humanos de varios países y encontraron que ciertos dominios (URL) registrados en realidad eran maliciosos.

Inclusive, había sitios web que no aparecían en el historial de Safari. Las URL se caracterizaban por tener varios caracteres, con mezclas que en teoría eran aleatorias de letras y números, pero en verdad sí seguían un patrón.

Las redirecciones no solamente eran navegando por internet, sino entrando a las aplicaciones (en la galería del celular o apps de música). El efecto era el mismo, enlaces sospechosos: “Los registros de recursos de sesión recuperados de los teléfonos analizados demuestran que se utilizan dominios de ensayo adicionales como trampolines que conducen finalmente a los servidores de infección”.

Estos procesos de redirección duraban pocos segundos y después seguía la navegación normal. Sin embargo, en ese poco tiempo, el software infectaba el dispositivo.

Pegasus se aprovecha de la vulnerabilidad de los dispositivos, a tal punto que creaba archivos. A esto se le llama exploit, el cual es “una secuencia de comandos que se aprovecha del error de una aplicación para provocar un comportamiento imprevisto”.

“Sospecha que la aplicación de fotos de IOS o el servicio Photostream se utilizan como parte de una cadena de explotación para implementar Pegasus”, apunta el informe sobre las apps que habrían sido explotadas para los fines de espionaje.