La evidencia encontrada en el teléfono de la activista árabe Loujain al-Hathloul permitió identificar los errores en el software de Apple que permiten la entrada a Pegasus

Eduardo Rivas

La evidencia sobre el malware de espionaje Pegasus era escasa hasta que el caso de la activista árabe Loujain al-Hathloul dio las pautas para catalogar la primera evidencia sólida del programa, propiedad de NSO Grup, que es utilizado por gobiernos para vigilar a periodistas y activistas.

Desde que el malware Pegasus se hizo público en el año 2016 los avances en las investigaciones continuaron para determinar el rastro del programa así como las consecuencias legales para la compañía israelí, NSO Group.

De acuerdo a información de la agencia Reuters dentro del iPhone de al-Hathloul se encontró la primera pieza de evidencia que apuntaba directamente a una intrusión del malware en el equipo de una activista y que pudo ser usado después para detectar el funcionamiento del sistema, así como para reconocer otras intrusiones y, posteriormente, como base legal para las demandas presentadas contra NSO Group por el uso del programa.

Loujain al-Hathloul es una activista de los derechos de la mujer originaria de los Emiratos Árabes Unidos que, entre otras cosas, encabezó el movimiento “Women to drive” en contra de las restricciones en el país para que las mujeres puedan conducir; fue encarcelada precisamente por conducir un auto como protesta. Según Amnistía Internacional durante su cautiverio sufrió severas violaciones a sus derechos humanos, incluyendo tortura.

También te puede interesar: Empresario vinculado con venta de tecnologías de espionaje a entidades de la República Mexicana se declara culpable en EE.UU.

https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-5276943697118145 (adsbygoogle = window.adsbygoogle || []).push({});

Evidencia por error

Su aprehensión en 2018 derivó en cinco años y ocho meses de prisión que terminaron el 10 de febrero de 2021. Poco tiempo después, la activista recibió una alerta de Google indicando que “hackers respaldados por el estado” habían intentado violar su cuenta de correo Gmail, tras lo cual Loujain al-Hathloul acudió al grupo canadiense Citizen Lab que analizó su iPhone en búsqueda de algun atacante.

Esta búsqueda reveló que al momento de atacar el equipo de Loujain, el malware sufrió un glitch, una falla en su funcionamiento que dejó una imagen escondida entre los archivos, que fue descrita como un “plano” que debía borrarse luego de ejecutarse pero que no lo hizo y al ser analizada reveló que su intención era robar los mensajes. Esta evidencia apuntaba directamente hacia Pegasus y NSO Group.

De acuerdo a Reuters, expertos en seguridad indican que “el descubrimiento de al-Hathloul fue el primero que proporcionó un plano de una nueva y poderosa forma de ciberespionaje” basada en un malware tan poderoso que ni siquiera requiere que el afectado haga clic en archivos sospechosos y permite una infiltración completamente sigilosa.

También te puede interesar: FBI tuvo ‘versión de prueba’ del sistema de espionaje Pegasus

https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-5276943697118145 (adsbygoogle = window.adsbygoogle || []).push({});

La investigación hecha por Citizen Lab, basada en esta imagen logró determinar parte del funcionamiento del malware, el cual envía imágenes a los equipos a través de lo que denominaron “mensajes de texto invisibles” y que, una vez que alcanza su blanco viola la seguridad permitiendo el acceso a la memoria y la instalación del programa que roba los mensajes del usuario.

La investigación también fue capaz de encontrar claves de comunicación entre el programa de espionaje y servidores que Citizen Lab previamente había identificado como propiedad de NSO según el investigador Bill Marczak.

También te puede interesar: En la mira de “Atacantes patrocinados por el Estado”: Periodistas y opositores salvadoreños reciben aviso de Apple

https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-5276943697118145 (adsbygoogle = window.adsbygoogle || []).push({});

La base de Apple

Esta pieza de evidencia, de acuerdo a personas cercanas al asunto y que comentaron a Reuters, fue utilizada por la empresa tecnológica Apple para detectar las intrusiones a sus equipos, corregir el error que permitía la intrusión e informar a sus usuarios de posibles ataques hechos contra ellos. 

También sirvió como base para la demanda interpuesta en contra de NSO Group por las intrusiones llevadas a cabo en los equipos de la compañía hasta ahora, hecha por Apple en noviembre de 2021. 

Actualmente, NSO Group se encuentra en la lista negra del Departamento de Comercio de Estados Unidos por lo que no puede comprar piezas a empresas del país, adicionalmente la compañía podría estar considerando la venta de la empresa y cerrar de manera definitiva la unidad relacionada al desarrollo de Pegasus, así como a presión internacional sobre el gobierno de Israel por el escándalo.

https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-5276943697118145 (adsbygoogle = window.adsbygoogle || []).push({});