Aumenta la demanda para conocer si el móvil está infectado entre cargos públicos, lideres de opinión y responsables corporativos. La empresa española CANALIZA SECURITY les ayuda a verificar si sus móviles han sido infectados por Pegasus en pocos minutos y sin comprometer su información personal.

El problema empieza a tomar una enorme dimensión. Si inicialmente la acción de Pegasus se circunscribía al entorno independentista catalán supuestamente bajo tutela judicial e impulsado por el Centro Nacional de Inteligencia, hoy desayunamos con la noticia de que nuestro Presidente de Gobierno y Ministra de Defensa de España han sido víctimas del mismo software malicioso.

Si como indica el Gobierno es un ataque externo, nos encontramos con actividades ilícitas y fuera de control que afectan a nuestra seguridad nacional. Los hechos son muy graves pero más allá de los objetivos, deberíamos preguntarnos si esta amenaza está fuera de control y si se ha podido extender a otros responsables políticos, de medios de comunicación y de las grandes corporaciones del país.

Parece que entramos en una fase de alarma que ningún cargo con responsabilidad en este país debe no atender. Pero, la pregunta que nos hacemos es, cómo podemos comprobar si nuestros teléfonos están limpios.

El entorno independentista fue consciente de la infección gracias a la investigación de un laboratorio interdisciplinar llamado Citizen lab, basado en la Escuela Munk para Asuntos Globales y Política Pública de la Universidad de Toronto, en Canadá.

Para llegar a detectar la acción de Pegasus se debió depositar en las manos de este laboratorio los teléfonos para iniciar una labor forense que ha requerido ceder toda la información en ellos contenida para ser analizados durante varias semanas.

Pero ¿es esta la única alternativa que existe para poder comprobar si nuestro teléfono ha sido infectado?; ¿debemos dar acceso total a un desconocido de todos mis datos?, ¿debo esperar tanto tiempo?

A continuación explicamos que existen otras opciones, como funcionan y a quien debo contactar en España para aportarnos una solución.

Cómo se detecta este tipo de spyware

La metodología para poder detectar este tipo de software malicioso, requiere de un análisis en profundidad de lo que ha pasado en el móvil. Seamos conscientes o no, nuestros móviles recogen una ingente cantidad de información de carácter técnico. Mientras lee esto, su móvil está registrando el volumen de tráfico, las conexiones a las redes WiFi, diagnósticos de sistema, aplicaciones y procesos en funcionamiento…

El tamaño de esta información es de cientos de megabytes y tiene un carácter histórico. Recoge qué es lo que ha venido pasando en nuestro móvil desde que venimos usándolo e incluso antes, ya que parte de esta información se transmite de un dispositivo a otro cuando hacemos un cambio de terminal móvil y los conectamos para copiar la información del móvil antiguo al nuevo.

Supongamos que se tienen sospechas de que la seguridad de un móvil ha sido comprometida. Para poder corroborarlo, se le entrega el móvil a un consultor de Citizen Labs (con toda la información en el contenida…), para que este haga un análisis forense del móvil. Para ello buscará, entre otras cosas, lo que se denominan IOCs o Indicadores de Compromiso. Estos pueden ser entendidos como un conjunto de reglas lógicas que partiendo del análisis de los hechos determinan que el equipo ha sido infectado. Siguiendo con el ejemplo (muy simplificado), supongamos que mediante al análisis de los logs, el consultor encuentra que en una determinada fecha se produce una conexión a una red WiFi pública. Con posterioridad, dos días después se produce un reiniciado no previsto del equipo, y tras el reiniciado arranca en segundo plano un proceso que no estaba antes, que se arroga permisos de backup del sistema. Unos días después el proceso termina súbitamente. El consultor, en este sencillo ejemplo, podría determinar que, efectivamente, el móvil ha estado infectado.

Para poder realizar de manera automática un análisis como el realizado por el consultor, se ha de acudir a herramientas de Machine Learning (inteligencia artificial). Una de las múltiples aplicaciones del Machine Learning, es la determinación de los comportamientos anómalos. Es la técnica usada, por ejemplo, para determinar el posible fraude en las tarjetas de crédito. Para poder entrenar un algoritmo de estas características se requiere de la fuente más preciada de información: datos.

Con una gran base de datos que recoja esta información de carácter técnico, y algoritmos de deep learning de análisis de series temporales, es posible relacionar de manera automática aquellos hechos que determinan que la seguridad de un móvil ha sido comprometida, y entrenar una red neuronal que permita hacerlo de manera automática.

En el caso del spyware de tipo Pegasus (y digo tipo porque lamentablemente Pegasus no es el único), de lo que se sabe sobre su comportamiento, indica que el conjunto de indicadores de compromiso que permiten determinar la infección del dispositivo es muy extenso. No es, como en nuestro sencillo ejemplo, una conjunción de tres o cuatro eventos. Para poder detectarlo es necesario contar con una herramienta que cuente con redes neuronales entrenadas en la detección de este tipo de amenazas que permitan analizar una gran cantidad de información de carácter técnico.

Qué soluciones permiten analizar en pocos minutos

Son pocas las soluciones en el mercado internacional que permiten realizar este tipo de análisis rápido y nada intrusivo. La más avanzada se llama ZecOps y en España de manera exclusiva implementa la empresa Canaliza Security con sede en Madrid. Más de 250 teléfonos de cargos privados han sido analizados de manera muy sencilla, obtenido resultados en unos pocos minutos.

No hace falta enviar su móvil a Canadá, con solo un clic usted ya puede saber si teléfono ha sido comprometido.