Una vez dentro, el software espía, producido por NSO Group de Israel y con licencia para uno de sus clientes gubernamentales, empezó a funcionar, según un examen forense de su dispositivo realizado por el Laboratorio de Seguridad de Amnistía Internacional. Descubrió que entre octubre y junio, su teléfono fue pirateado varias veces con Pegasus, la herramienta de vigilancia de firma de NSO, durante un tiempo en que estaba en Francia.
El examen no pudo revelar lo que se recopiló. Pero el potencial era enorme: Pegasus puede recopilar correos electrónicos, registros de llamadas, publicaciones en redes sociales, contraseñas de usuarios, listas de contactos, imágenes, videos, grabaciones de sonido e historiales de navegación, según investigadores de seguridad y materiales de marketing de NSO.
El software espía puede activar cámaras o micrófonos para capturar imágenes y grabaciones nuevas. Puede escuchar llamadas y mensajes de voz. Puede recopilar registros de ubicación de dónde ha estado un usuario y también determinar dónde se encuentra ese usuario ahora, junto con datos que indican si la persona está parada o, si se mueve, en qué dirección.
Y todo esto puede suceder sin que un usuario toque su teléfono o sepa que ha recibido un mensaje misterioso de una persona desconocida, en el caso de Mangin, un usuario de Gmail que se llama «linakeller2203».
Este tipo de ataques de «clic cero», como se les llama en la industria de la vigilancia, pueden funcionar incluso en las generaciones más nuevas de iPhones, después de años de esfuerzo en los que Apple intentó cerrar la puerta a la vigilancia no autorizada y creó campañas de marketing en afirma que ofrece mejor privacidad y seguridad que sus rivales.
El número de Mangin estaba en una lista de más de 50.000 números de teléfono de más de 50 países que The Post y otras 16 organizaciones revisaron. Forbidden Stories, una organización periodística sin fines de lucro con sede en París, y el grupo de derechos humanos Amnistía Internacional tuvieron acceso a los números y los compartieron con The Post y sus socios, en un esfuerzo por identificar a quién pertenecían los números y persuadirlos para que permitieran los datos de sus teléfonos para ser examinados forense.
Durante años, Mangin ha estado llevando a cabo una campaña internacional para lograr la libertad de su esposo, la activista Naama Asfari, miembro de la etnia saharaui y defensora de la independencia del Sáhara Occidental que fue encarcelada en 2010 y presuntamente torturada por la policía marroquí, dibujando un clamor internacional y condena de las Naciones Unidas.
«Cuando estaba en Marruecos, sabía que los policías me seguían a todas partes», dijo Mangin en una entrevista en video realizada a principios de julio desde su casa en los suburbios de París. «Nunca imaginé que esto pudiera ser posible en Francia».
Especialmente no a través de los productos de Apple que ella creía que la protegerían del espionaje, dijo. La misma semana que se sentó para una entrevista sobre la piratería de su iPhone 11, un segundo teléfono inteligente que había pedido prestado, un iPhone 6s, también estaba infectado con Pegasus, según mostró un examen posterior.
Los investigadores han documentado infecciones de iPhone con Pegasus docenas de veces en los últimos años, desafiando la reputación de Apple de seguridad superior en comparación con sus principales rivales, que ejecutan sistemas operativos Android de Google.
La investigación de meses de The Post y sus socios encontró más evidencia para alimentar ese debate. El Laboratorio de seguridad de Amnistía examinó 67 teléfonos inteligentes cuyos números estaban en la lista de Historias prohibidas y encontró evidencia forense de infecciones por Pegasus o intentos de infección en 37. De ellos, 34 eran iPhones, 23 que mostraban signos de una infección exitosa por Pegasus y 11 que mostraban signos de intento de infección.
Solo tres de los 15 teléfonos Android examinados mostraron evidencia de un intento de piratería, pero eso probablemente se debió a que los registros de Android no son lo suficientemente completos como para almacenar la información necesaria para obtener resultados concluyentes, dijeron los investigadores de Amnistía.
Aún así, la cantidad de veces que Pegasus se implantó con éxito en un iPhone subraya la vulnerabilidad incluso de sus últimos modelos. Los teléfonos pirateados incluían un iPhone 12 con las últimas actualizaciones de software de Apple.
En una evaluación separada publicada el domingo , el Citizen Lab de la Universidad de Toronto respaldó la metodología de Amnistía. Citizen Lab también señaló que su investigación anterior había encontrado infecciones de Pegasus en un iPhone 12 Pro Max y dos iPhone SE2, todos con versiones 14.0 o más recientes del sistema operativo iOS, lanzado por primera vez el año pasado.
Cómo funciona Pegasus
Objetivo: Alguien envía lo que se conoce como un enlace de trampa a un teléfono inteligente que persuade a la víctima a tocar y activar, o se activa sin ninguna entrada, como en los trucos más sofisticados de «cero clic».
Infectar: el software espía captura y copia las funciones más básicas del teléfono, según muestran los materiales de marketing de NSO, graba desde las cámaras y el micrófono y recopila datos de ubicación, registros de llamadas y contactos.
Seguimiento: el implante informa secretamente esa información a un operativo que puede utilizarla para trazar un mapa de los detalles confidenciales de la vida de la víctima.
Ivan Krstić, director de Arquitectura e Ingeniería de Seguridad de Apple, defendió los esfuerzos de seguridad de su empresa.
“Apple condena inequívocamente los ciberataques contra periodistas, activistas de derechos humanos y otros que buscan hacer del mundo un lugar mejor. Durante más de una década, Apple ha liderado la industria en innovación de seguridad y, como resultado, los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado ”, dijo en un comunicado. “Los ataques como los descritos son altamente sofisticados, cuestan millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando incansablemente para defender a todos nuestros clientes y constantemente agregamos nuevas protecciones para sus dispositivos y datos «.
Apple pulió su reputación de proteger la privacidad del usuario durante su pelea legal de alto perfil con el FBI en 2016 sobre si la compañía podría verse obligada a desbloquear un iPhone utilizado por uno de los atacantes en un tiroteo masivo en San Bernardino, California, el año anterior. . El FBI finalmente se retiró del conflicto legal cuando encontró una firma australiana de ciberseguridad, Azimuth Security , que podría desbloquear el iPhone 5c sin la ayuda de Apple.
Investigadores externos elogian a Apple por su posición y por continuar mejorando su tecnología con cada nueva generación de iPhones. El año pasado, la compañía presentó silenciosamente BlastDoor, una función que busca evitar que el malware entregado a través de iMessages infecte iPhones, lo que dificulta los ataques al estilo Pegasus.
Es probable que las conclusiones de la investigación también alimenten un debate sobre si las empresas de tecnología han hecho lo suficiente para proteger a sus clientes de intrusiones no deseadas. La vulnerabilidad de los teléfonos inteligentes y su adopción generalizada por parte de periodistas, diplomáticos, activistas de derechos humanos y empresarios de todo el mundo, así como delincuentes y terroristas, ha dado lugar a una industria sólida que ofrece herramientas de piratería disponibles comercialmente para quienes estén dispuestos a pagar.