Actum Forense Press

Diseccionando Pegasus y las técnicas forenses para detectar software espía moderno – Parte 1

Escrito por

Juan Pablo Castillo Cubillo

en

, , , , , , , ,

Informática forense


Una guía técnica

Pegasus, representa uno de los softwares espía más sofisticados disponibles y conocidos públicamente, aunque si bien la empresa cayó en desgracia, tras varios escándalos, es un ejemplo paradigmático de este tipo de código. Su detección a nivel forense es un ejemplo básico de lo que actualmente se enfrenta a analizar un profesional en el rango tecnológico más elevado, pues requiere un enfoque multinivel que combina análisis de red, inspección de dispositivos y examen de artefactos digitales.

El software que redefinió las amenazas en espionaje

Pegasus representa el paradigma del desafío forense digital moderno, de hecho, la caída en desgracia de NSO no significó la desaparición de Pegasus, sino su consolidación como el arquetipo de la amenaza persistente avanzada (APT) para dispositivos móviles. Su evolución define el campo de batalla de la informática forense digital actual. Actualmente, los investigadores deben enfrentarse a una entidad que aprende y se adapta: por ejemplo, tras descubrirse que dejaba rastros en archivos de registro del sistema como el shutdown.log de iOS, Pegasus evolucionó para borrarlos meticulosamente. Incluso cambios en los sistemas operativos, como una modificación en iOS 26 que sobrescribe automáticamente el shutdown.log, pueden borrar sin querer las últimas evidencias forenses, complicando aún más las investigaciones.

Por ello, la detección ya no puede depender de una sola técnica. Requiere un enfoque multinivel que combine el análisis de red (para detectar comunicaciones sospechosas con servidores de comando y control), la inspección forense profunda de dispositivos (buscando artefactos en bases de datos del sistema, procesos maliciosos con nombres legítimos y anomalías en logs) y el examen de artefactos digitales en la nube y aplicaciones específicas. Esta cacería técnica es un reflejo directo de la historia de Pegasus: una respuesta compleja a una amenaza que se sofisticó al mismo ritmo que se desvió de su propósito declarado.

Pegasus y NSO Group: de arma de seguridad a símbolo de la vigilancia descontrolada

El nombre Pegasus, tomado del caballo alado de la mitología griega, se convirtió en la última década en sinónimo de la sofisticación extrema y el peligro ético inherente al software espía moderno. Desarrollado por la empresa israelí NSO Group, Pegasus representó la vanguardia tecnológica en vigilancia digital, una herramienta vendida exclusivamente a gobiernos con la promesa de combatir el terrorismo y el crimen organizado (o eso afirmaron hipócritamente). Sin embargo, su trayectoria está marcada por una paradoja trágica: la misma tecnología diseñada para proteger vidas fue sistemáticamente desplegada para espiar, silenciar y amenazar a periodistas, activistas de derechos humanos, disidentes políticos e incluso jefes de Estado. La historia de NSO y Pegasus es, por tanto, un relato fundamental para entender la evolución de las amenazas digitales, la erosión de la privacidad global y el complejo desafío forense que plantean armas cibernéticas diseñadas para ser invisibles.

Los Orígenes y la Ascensión Técnica

NSO Group fue fundada en 2010 por exmiembros de unidades de élite de la inteligencia israelí, -aunque no está claro este punto, dada la disparidad en las fuentes sobre el historial Shalev Hulio, Omri Lavie y Niv Carmi, se confirma que almenos uno de ellos, Hulio, fue un comandante militar que sirvió en una unidad de inteligencia israelí. Si bien las fuentes no confirman explícitamente a cuál, se cree ampliamente que él, y otros empleados de la compañía, provienen de la prestigiosa Unidad 8200 de las Fuerzas de Defensa de Israel (FDI), un origen que explica su profundo conocimiento en este tipo de herramientas.

Desde el principio, su producto estrella, Pegasus, se comercializó como una solución «legal» para agencias de seguridad. El software, capaz de infectar dispositivos iOS y Android de forma remota, ofrecía un control total sobre el teléfono comprometido: acceso a mensajes, correos, micrófono, cámara y ubicación en tiempo real.

La evolución técnica de Pegasus: la carrera armamentística digital en su máxima expresión

Sus primeras versiones, identificadas públicamente en 2016, dependían de ataques de phishing que requerían que la víctima hiciera clic en un enlace malicioso enviado por SMS. Sin embargo, la compañía no tardó en perfeccionar sus métodos. Para 2019, ya explotaba vulnerabilidadeszero day o «día cero» (es decir, fallos de seguridad desconocidos por el fabricante) en aplicaciones como WhatsApp para realizar infecciones de «cero clics», donde la mera recepción de una llamada o mensaje, sin ninguna interacción del usuario, era suficiente para comprometer el dispositivo. Este salto tecnológico era muy relevante,convirtió a Pegasus en una amenaza prácticamente imperceptible, incluso para expertos en seguridad digital de alto nivel!

La expansión del abuso y los primeros escándalos

Mientras NSO afirmaba operar bajo estrictos controles éticos, la realidad en el terreno contaba una historia diferente. México se convirtió en un caso de estudio temprano y escalofriante. Contratos millonarios con el gobierno mexicano, que según investigaciones ascendieron a más de 300 millones de dólares, financiaron una red de vigilancia masiva que si bien inicialmente ayudó a la captura del Chapo Guzmán, todos quedaron tan impresionados y hubo tanta demanda, que pronto apuntó no a criminales, sino a periodistas que investigaban corrupción, activistas que promovían reformas y hasta al propio presidente Andrés Manuel López Obrador y su círculo más íntimo. Para 2021, se estima que México concentraba 15,000 números de teléfono en listas de objetivos potenciales.

Los abusos se replicaron a nivel global. En 2018, se reveló que el teléfono de la prometida del periodista saudí Jamal Khashoggi fue infectado con Pegasus días después de su asesinato, mientras que miembros de su familia habían sido blanco antes del crimen. Gobiernos de Arabia Saudí, Emiratos Árabes Unidos, Hungría, India, Marruecos y Ruanda, entre otros, fueron señalados como clientes que utilizaron el software contra la sociedad civil. A pesar de las denuncias recurrentes de organizaciones como Citizen Lab y Amnistía Internacional, NSO mantuvo su postura de que los abusos eran casos aislados y fruto de un uso indebido por parte de sus clientes.

El Proyecto Pegasus: La Caída en Desgracia

El punto de inflexión llegó en julio de 2021 con la publicación del «Proyecto Pegasus», una investigación colaborativa sin precedentes liderada por Forbidden Stories y Amnistía Internacional. La filtración de una lista de más de 50,000 números de teléfono seleccionados como objetivos potenciales por clientes de NSO desató un escándalo mundial.

La lista incluía a decenas de jefes de Estado, como el presidente francés Emmanuel Macron y más de 180 periodistas de medios como CNN, The New York Times y Associated Press, y centenares de activistas y abogados. A nivel local, Pedro Sánchez, presidente del gobierno español, Margarita Robles, ministra de Defensa, Fernando Grande-Marlaska: Ministro del Interior o una amplia lista de políticos independentistas catalanes.

Esta revelación masiva demostró que el uso abusivo no era la excepción, sino la norma, y desató una reacción en cadena que marcaría el principio del fin para la imagen y operaciones de NSO:

Las noticias que iban apareciendo generaron una gran presión legal y corporativa dondeApple y Meta (dueña de WhatsApp) demandaron a NSO, empresas como Amazon cerraron sus cuentas en AWS (El propio Jeff Bezos, presidente de la compañía fue expiado). En diciembre de 2024, un tribunal estadounidense declaró a NSO responsable de hackear a 1,400 usuarios de WhatsApp. Pero lo peor llegó del escrutinio gubernamental: El gobierno de EE.UU., el cual, paradójicamente, tambien había adquirido previamente para su estudio a Pegasus, incluyó a NSO en su lista de Entity List (Lista de Entidades) del Departamento de Comercio,s una lista negra comercial que prohíbe a cualquier empresa o individuo estadounidense exportar software, hardware o servicios a la compañía israelí sin una licencia previa, la cual suele ser denegada por defecto.

En la práctica, la respuesta de EEUU (al menos, de cara al público) era como decir que NSO había actuado contra los intereses de la seguridad nacional, prohibiendo efectivamente que empresas estadounidenses comerciaran con ella.

Israel, que regula la exportación de esta tecnología, lanzó una investigación y prometió revisar sus controles, y pese a que la defendió en múltiples ocasiones, por cuestiones de prestigio, sabía que estaba tocada de muerte, a sabiendas que NSO había generado un debate ético global y expertos en derechos humanos de la ONU y gobiernos democráticos, exigieron una moratoria global a la venta de tecnología de vigilancia.

Obviamente, a nivel de inteligencia y delincuencia organizada, esta tecnología se ha seguido desarrollando de manera exponencial y Pegasus ya es solamente una herramienta básica cuyas características todo experto debe estar capacitado para detectar, bloquear y notificar de manera indubitable, razón principal de este trabajo en el que iremos profundizando aún más en siguientes entregas para los interesados en complementar su preparación.

Nivel I – Esquematización de los puntos de detección de Pegasus

La parte menos mala de Pegasus es que nos ha permitido documentar una amplia serie de mecanismos y patrones de detección que hasta hace pocos años se procedia de manera un tanto arbitraria y que describimos a continuación, pues su aplicación organizada sería lo mínimo que hoy en día podemos exigir para el análisis de cualquier herramienta similar que sospechemos.

1. Análisis de Tráfico de Red

  • Detección de patrones de comunicación: Pegasus utiliza protocolos cifrados y conexiones efímeras a servidores de comando y control
  • Firmas de red: Identificación de dominios y direcciones IP asociados a infraestructuras conocidas de NSO
  • Anomalías en el tráfico: Picos de datos en momentos inusuales o conexiones a servidores en países no habituales



2. Análisis de Dispositivos Móviles

Para iOS:

  • Verificación de Jailbreak no autorizado: Pegasus explota vulnerabilidades zero-day pero puede dejar artefactos
  • Análisis de backups cifrados. Búsqueda de:
    • Aplicaciones no autorizadas
    • Procesos sospechosos en logs del sistema
    • Modificaciones en archivos del sistema
  • Examen de registros de diagnóstico: Análisis de archivos sysdiagnose y logs
  • Para Android:
  • Escaneo de aplicaciones maliciosas: Detección de APKs sideloaded o inyectados
  • Análisis de permisos elevados: Aplicaciones con permisos de accesibilidad no justificados
  • Examen de procesos en segundo plano: Servicios no identificados con actividad persistente



3. Análisis de Artefactos Forenses

  • Registros de llamadas y mensajes: Entradas inconsistentes o modificadas
  • Metadatos de archivos: Timestamps anómalos o discrepancias
  • Datos de geolocalización: Registros de ubicación que no coinciden con el uso real del dispositivo



4. Herramientas Especializadas

  • Mobile Verification Toolkit (MVT): Desarrollado por Amnesty International, específico para detectar Pegasus
  • Koodous: Plataforma de análisis colaborativo de APKs
  • Cellebrite y Oxygen Forensics: Herramientas comerciales con módulos específicos

5. Análisis de Memoria RAM

  • Volatility Framework: Búsqueda de procesos maliciosos en volcados de memoria
  • Detección de inyección de código: Identificación de regiones de memoria con ejecutables no firmados

Nivel II – Capacidades de Pegasus a superar

A principios del s.XXI Pegasus forzó a estructurar las capacidades que se debian vencer para afrontar el reto de identificar, probar o seguir la pista a este tipo de software malicioso. Podríamos resumirlos en:

  1. Cifrado avanzado: Pegasus utiliza cifrado de extremo a extremo para sus comunicaciones
  2. Auto-eliminación: Capacidad de borrar artefactos cuando detecta análisis
  3. Explotación zero-day: Uso de vulnerabilidades desconocidas, dificultando la detección basada en firmas
  4. Evasión de sandboxes: Capacidad de permanecer inactivo en entornos de análisis

Nivel III – Prácticas básicas para Investigadores y herramientas necesarias

  1. Aislamiento del dispositivo: Usar bolsas Faraday o entornos altamente aislados para prevenir comunicaciones remotas durante el análisis con sistemas de conexión a red simulados (Pegasus se desinstala pasado un tiempo sin conexión)
  2. Cadena de custodia: Documentar exhaustivamente cada paso del proceso forense, manteniendo un registro inequívoco del código presente en el dispositivo, lo más fidedigno posible dentro del código ofuscado o encriptado que debemos analizar
  3. Análisis múltiple: Combinar análisis estático, dinámico y de memoria.
  4. Colaboración internacional: Compartir indicadores de compromiso (IOCs) con la comunidad forense

¿Qué herramientas y hardware tenemos para afrontar el reto de un código tipo Pegasus?

En Europa, las herramientas comerciales clave para la investigación forense judicial y policial se centran en dos soluciones líderes del mercado. Junto a ellas, existen otros proveedores relevantes y un ecosistema robusto de hardware especializado que se usa de manera desigual según la localización geográfica. Aún con todo podemos encontrar unas funciones en esenciales en todo este tipo de herramientas y que cumplen las necesidades más básicas para analizar y combatir este tipo de software.

Con todo, debemos recordar que aunque muchas veces se pone el énfasis en el uso de estos códigos y ahora los vamos a ver, es importante entender que los creadores de este tipo de software de espionaje siempre lo codifican teniendo presente las herramientas, medidas y procedimientos de detección habituales, actualizándose casi a diario, por lo que al final, no es tan relevante y será decisivo para el éxito, sobre todo lo demás, la habilidad real y conocimiento técnico del investigador, el cual sea capaz de emplear el método y la herramienta más adecuada (manual o automatizada) para cada ocasión.

Citamos a continuación algunos muy conocidos que servirán de referencia

OpenText Forensic / EnCase – OpenText

Se le suele considerar la solución de referencia para el análisis forense profundo y de laboratorio de una gama amplia gama de dispositivos. Habitualmente usado para analisis integral de discos (Windows, macOS, Linux), dispositivos móviles y datos en la nube. Ampliamente utilizado en fuerzas de seguridad y probado ante tribunales durante más de 20 años.

Cellebrite UFED / Physical Analyzer – Cellebrite

Líder en forense móvil avanzado, incluyendo la extracción de dispositivos bloqueados. Habitual para la extracción y análisis forense de dispositivos móviles (Android, iOS). Usado también con gran frecuencia por la policía y servicios de inteligencia de muchos paises.

ADF Solutions

Clasificación automatizada y análisis rápido, con IA para detectar material sensible (armas, CSAM). Usado por policías europeos para clasificación en escena y por laboratorios forenses para priorizar análisis. Si bien las herramientas de ADF, como Mobile Device Investigator (MDI) para dispositivos móviles y Digital Evidence Investigator (DEI) para ordenadores, no detectan Pegasus, pueden ayudar en las fases iniciales y de clasificación. Es útil por ejemplo si el espionaje tenía como objetivo obtener capturas de pantalla o fotografías sensibles, puede ayudar a filtrar rápidamente grandes volúmenes de imágenes.de una investigación compleja. También puede analizar los registros de actividad del sistema y apps de comunicación (SMS, llamadas, WhatsApp) para encontrar anomalías temporales o de comportamiento que coincidan con un ataque

Equipamiento de hardware forense esencial para el trabajo pericial e integridad de las pruebas:

El hardware especializado es esencial, evitar el borrado de pistas y que el software espia no detecte que ha sido ‘descubierto’ puede resultar esencial para su trazabilidad. Esto exige dominar ciertas herramientas físicas que eluden su capacidad de detectarnos, ocultar su actividad o comunicarse (sin que sepan que han sido bloqueados, algo practicamente imposible de realizar en el ámbito dosméstico). Entre las divisiones habituales la habitual sería:

Duplicadores forenses: Creadores de imágenes forenses a alta velocidad (ej. Logicube Forensic Falcon, Tableau).

Bloqueadores de escritura: Impiden modificaciones en el dispositivo origen (ej. Tableau, Logicube).

Estaciones de trabajo forenses: Ordenadores potentes con puertos bloqueados y gran capacidad para análisis (ej. configuraciones Velociraptor)

Abarcar todas las técnicas es complejo, requiere de conocimimientos en múltiples disciplinas técnicas además del ámbito legal o la ingenieria social (psicología) pero en siguientes análisis vamos a ir adentrándonos en estos diferentes campos hasta desgranar todas las habilidades técnicas necesarias.

Juan Pablo Castillo Cubillo y Manuel Castelló González

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más entradas