En un informe publicado el 18 de septiembre, Citizen Lab declaró que había detectado el software Pegasus, un programa espía creado para dispositivos móviles, en más de 45 países. Pegasus transforma un celular en una estación de vigilancia móvil y pudiera haber sido empleado contra una variedad de periodistas y actores de la sociedad civil en México, Arabia Saudita, Bahréin, Marruecos, Togo, Israel, Estados Unidos y Emiratos Árabes Unidos, según el informe.
Con anterioridad, los investigadores han identificado varias campañas importantes que utilizaban el programa Pegasus, entre ellas una contra periodistas investigativos en México y otra contra activistas de derechos humanos en Arabia Saudita. La presencia del programa espía en 45 países tiene significativas implicaciones para los periodistas, tanto en materia de la seguridad propia como de la seguridad de las fuentes.
El programa espía le otorga al atacante la capacidad de vigilar, grabar y recolectar datos actuales y futuros del teléfono, lo cual abarca las llamadas e información de las aplicaciones de mensajería y datos de localización en tiempo real. El programa espía es capaz de activar a distancia la cámara y el micrófono para vigilar el objetivo y su entorno.
Pegasus ha sido diseñado para instalarse en teléfonos que funcionan con sistemas operativos Android, BlackBerry OS y iOS sin alertar al objetivo de su presencia. Probablemente, la única manera de que los periodistas sepan si su teléfono ha sido infectado es que un experto en tecnología inspeccione el dispositivo.
Pegasus puede instalarse de varias maneras. Es importante que los periodistas estén conscientes de estos métodos y tomen las medidas adecuadas para protegerse a sí mismos y a sus fuentes.
Ataques de phishing individualizados
Los ciberatacantes crean mensajes personalizados que se envían a un periodista en específico. Estos mensajes son de carácter urgente y animan al periodista a hacer clic en un enlace o documento contenido en el mensaje. Los mensajes suelen venir de muchas formas distintas, como por SMS, por correo electrónico, por aplicaciones de mensajería como WhatsApp o por mensajes en plataformas de medios sociales. Basta con que el periodista haga clic en el enlace, para que el programa espía se instale en su teléfono.
Investigaciones de Citizen Lab y Amnistía Internacional han constatado que los mensajes tienden a adoptar las siguientes formas:
- Mensajes que pretenden ser de una organización conocida, como por ejemplo una embajada o una organización noticiosa local.
- Mensajes que le advierten al objetivo que puede estar enfrentando una amenaza inmediata a su seguridad.
- Mensajes que plantean alguna cuestión de trabajo, como cubrir un evento sobre el cual el objetivo suele informar.
- Mensajes que apelan a cuestiones personales, como los relacionados con fotos comprometedoras de la pareja de un individuo.
- Mensajes financieros que se refieren a compras, tarjetas de crédito o detalles bancarios.
Los mensajes sospechosos también pueden venir de números desconocidos.
Los atacantes pueden dirigirse a teléfonos particulares y teléfonos de trabajo. Para protegerse mejor a sí mismos y a sus fuentes, los periodistas deben:
- Verificar el enlace con el emisor mediante otro canal de comunicación, preferiblemente por video o voz.
- Si el emisor no es una persona que usted conoce, es posible que los canales secundarios no le permitan a usted verificar con éxito los enlaces, pues el adversario puede haber creado canales secundarios como parte de una elaborada identidad encubierta.
- Si el enlace utiliza un servicio para acortar los URL como TinyURL o Bitly, ingrese el enlace en un servicio para ampliar los URL como Link Expander o URLEX. Si el enlace ampliado tiene una apariencia sospechosa, por ejemplo imita a un sitio de noticias local pero no es exactamente igual, no haga clic en el enlace, sino reenvíelo a phishtank@cpj.org.
- Si considera que necesita abrir el enlace, no utilice su dispositivo principal. Abra el enlace en un dispositivo secundario y distinto que no contenga información sensible ni detalles de los contactos, y que se utilice únicamente para visualizar enlaces. Reinicialice la configuración de fábrica del dispositivo periódicamente (teniendo en cuenta que es posible que ello no elimine el programa espía). Cuando no utilice el dispositivo secundario, manténgalo apagado y sin la batería.
- Utilice un navegador que no sea el que trae el teléfono por defecto. Se cree que Pegasus ataca los navegadores instalados por defecto. El navegador por defecto para el sistema operativo Android es Chrome y el navegador por defecto para iOS es Safari. Utilice un navegador alternativo como Firefox Focus y abra el enlace en ese navegador. Sin embargo, no se garantiza que Pegasus no haya atacado otros navegadores ni que no lo haga en el futuro.
Instalación física por parte de un adversario
Pegasus también puede instalarse en el teléfono si un adversario llega a tener el dispositivo en sus manos. Para reducir este riesgo:
- No pierda de vista el dispositivo y evite pasárselo a otras personas.
- Cuando cruce un punto fronterizo o un punto de control, cerciórese de que puede ver su teléfono en todo momento. Apague el teléfono antes de llegar al punto de control, y use una frase de contraseña compleja que tenga tanto letras como números. Sea consciente de que si le cogen el teléfono, el dispositivo puede estar en riesgo.
Si cree que su teléfono está infectado con el programa Pegasus, deje de utilizar ese teléfono inmediatamente y compre otro. Debe dejar el dispositivo sospechoso en un lugar que no lo ponga en riesgo ni a usted ni a su entorno. Si usted tiene acceso a asistencia técnica mediante una organización de medios, solicítela de inmediato. Si usted es un periodista freelance o es un periodista sin acceso a asistencia técnica, comuníquese con el recurso de ayuda Access Now.
El CPJ está colaborando con sus socios para entender el pleno alcance de la amenaza que Pegasus supone para los periodistas. Si usted ha recibido un mensaje sospechoso y cree que pudiera haber sido blanco de un ataque con Pegasus, le rogamos reenviar el mensaje a phishtank@cpj.org. Esta información se tratará con absoluta confidencialidad.
Para más información sobre la seguridad tecnológica, les recomendamos a los periodistas revisar el capítulo sobre seguridad tecnológica de la Guía de seguridad del CPJ y consultar la información de seguridad digital que aparece en nuestro centro de recursos.
Con nuestro agradecimiento al Citizen Lab por sus valiosos conocimientos.