Pegasus y Spyware Estatal: Análisis Técnico de Zero-Click Attacks

Spyware como arma de estado

El spyware estatal representa una categoría singular dentro del ecosistema de amenazas móviles. A diferencia del malware criminal (banking trojans, ransomware), el spyware gubernamental no busca beneficio financiero directo. Su objetivo es la vigilancia: acceso total y silencioso a las comunicaciones, ubicación, contactos, archivos y sensores de un dispositivo móvil.

Pegasus, desarrollado por NSO Group (Israel), se ha convertido en sinónimo de esta categoría. Pero no está solo: Predator (Cytrox/Intellexa), Hermit (RCS Lab, Italia), FinSpy (FinFisher, Alemania) y Candiru (Israel) operan en el mismo mercado, vendiendo capacidades de vigilancia a gobiernos de todo el mundo.

Lo que distingue a estas herramientas del malware convencional es su nivel técnico: exploits zero-day exclusivos, cadenas de infección zero-click, y capacidades de persistencia y evasión diseñadas para burlar las defensas de Apple y Google.

NSO Group y Pegasus

Historia y contexto

NSO Group fue fundada en 2010 en Herzliya, Israel, por Niv Carmi, Shalev Hulio y Omri Lavie. Pegasus es su producto estrella, comercializado exclusivamente a agencias gubernamentales y de inteligencia para la lucha contra el terrorismo y el crimen organizado.

Hitos clave:

• 2016: Citizen Lab y Lookout publican el primer análisis técnico de Pegasus, descubierto tras un intento fallido contra Ahmed Mansoor (activista emiratí).
• 2019: WhatsApp demanda a NSO Group por explotar una vulnerabilidad zero-day en las llamadas de WhatsApp para infectar dispositivos.
• 2021: The Pegasus Project (consorcio de 17 medios coordinado por Forbidden Stories) revela una lista de 50.000 números potencialmente seleccionados como objetivos. EE.UU. incluye a NSO en su Entity List.
• 2022: Caso Catalangate: Citizen Lab documenta el uso de Pegasus contra políticos, abogados y activistas catalanes en España.
• 2023-2024: Apple lanza Lockdown Mode como respuesta directa a amenazas tipo Pegasus.
• 2024-2026: NSO Group continúa operando. Nuevos exploits zero-click documentados por Google TAG y Citizen Lab.

Zero-click exploits: iMessage

Los exploits zero-click de Pegasus contra iMessage representan el nivel más alto de sofisticación ofensiva documentado públicamente.

FORCEDENTRY (2021)

FORCEDENTRY es el exploit zero-click más analizado, documentado por Citizen Lab y Google Project Zero.

Vector: iMessage. El atacante envía un mensaje invisible que contiene un archivo PDF disfrazado como GIF.

Vulnerabilidad explotada: CVE-2021-30860. Una vulnerabilidad de integer overflow en CoreGraphics, específicamente en el procesamiento de archivos JBIG2 (un estándar de compresión de imágenes usado en PDFs).

Cadena de explotación:

1. El atacante envía un iMessage con un adjunto .gif que en realidad es un PDF con contenido JBIG2.
2. iMessage procesa automáticamente el adjunto sin interacción del usuario (zero-click).
3. El parser JBIG2 en CoreGraphics procesa el archivo y la vulnerabilidad de integer overflow permite corromper memoria.
4. El exploit utiliza las operaciones lógicas de JBIG2 (AND, OR, XOR, XNOR) para construir una máquina virtual Turing-completa dentro del procesador JBIG2. Google Project Zero describió esto como "one of the most technically sophisticated exploits we've ever seen."
5. Esta máquina virtual ejecuta código que escapa del sandbox de iMessage.
6. El código descarga y ejecuta el implant de Pegasus.

Impacto: Funcional contra iOS 14.x y versiones anteriores. Apple parcheó la vulnerabilidad en iOS 14.8 (septiembre 2021).

BLASTPASS (2023)

Citizen Lab descubrió otro exploit zero-click contra iMessage, denominado BLASTPASS:

• CVE-2023-41064: Vulnerabilidad de buffer overflow en ImageIO al procesar imágenes.
• CVE-2023-41061: Vulnerabilidad en Wallet que permitía ejecución de código mediante PassKit.
• Cadena: Los dos CVEs se encadenaban para lograr ejecución de código sin interacción del usuario.
• Parcheado: iOS 16.6.1.

Zero-click exploits: WhatsApp

En 2019, NSO Group explotó CVE-2019-3568, una vulnerabilidad de buffer overflow en la pila SRTP (Secure Real-time Transport Protocol) de WhatsApp.

Vector: El atacante iniciaba una llamada de voz de WhatsApp al objetivo. La vulnerabilidad se explotaba durante el establecimiento de la llamada, antes de que el usuario respondiera. El usuario ni siquiera necesitaba ver la llamada: el exploit funcionaba con llamadas perdidas que podían ser eliminadas del registro.

Impacto: Aproximadamente 1.400 dispositivos comprometidos en un período de dos semanas, según la demanda de WhatsApp contra NSO Group.

Capacidades de Pegasus

Una vez instalado, Pegasus proporciona acceso completo al dispositivo:

Comunicaciones:

• Lectura de SMS, MMS y correos electrónicos.
• Acceso a mensajes de apps cifradas: WhatsApp, Signal, Telegram, iMessage. Pegasus lee los mensajes después del descifrado, en el dispositivo.
• Registro de llamadas de voz.
• Grabación de llamadas de voz en tiempo real.

Sensores:

• Activación remota de cámara (foto y vídeo).
• Activación remota de micrófono (grabación ambiental).
• Seguimiento GPS en tiempo real.

Datos:

• Contactos, calendario, notas.
• Fotos y vídeos almacenados.
• Historial de navegación.
• Contraseñas almacenadas en el keychain.
• Datos de apps (tokens de sesión, bases de datos locales).

Capacidades avanzadas:

• Keylogging (registro de todas las pulsaciones).
• Captura de pantalla.
• Exfiltración de archivos del dispositivo.
• Geofencing: activar la grabación cuando el objetivo entra en una ubicación específica.

Cadena de infección

La cadena de infección de Pegasus sigue un patrón general:

Fase 1: Delivery
├── Zero-click: iMessage/WhatsApp exploit (sin interacción)
└── One-click: Enlace personalizado (requiere clic)

Fase 2: Exploitation
├── Exploit de vulnerabilidad en el parser (CoreGraphics, WebKit, etc.)
├── Escape del sandbox de la app
└── Escalación de privilegios a nivel kernel

Fase 3: Implant Installation
├── Descarga del implant desde C2
├── Instalación persistente (o no persistente en versiones recientes de iOS)
└── Configuración inicial (C2, módulos activos, targets de grabación)

Fase 4: Operation
├── Heartbeat periódico al C2
├── Recepción de comandos (activar cámara, grabar llamada, etc.)
├── Exfiltración de datos recopilados
└── Auto-destrucción si se detecta riesgo de descubrimiento

Persistencia vs volatilidad

En versiones recientes de iOS (14+), Pegasus opera predominantemente en modo no persistente: el implant no sobrevive a un reinicio del dispositivo. Esto es una decisión deliberada de NSO Group:

• Ventaja: Reduce la probabilidad de detección forense. Si se sospecha compromiso, un reinicio elimina el implant.
• Desventaja: Requiere reinfección tras cada reinicio.
• Solución: NSO Group puede reinfectar el dispositivo mediante un nuevo exploit zero-click cuando sea necesario.

En Android, la persistencia es más factible debido al modelo de seguridad más abierto, y Pegasus puede sobrevivir a reinicios.

Predator (Cytrox/Intellexa)

Perfil

Predator es desarrollado por Cytrox, una empresa de Macedonia del Norte adquirida por Intellexa Alliance, un consorcio europeo de empresas de vigilancia con sede en múltiples países de la UE (Grecia, Irlanda, Suiza).

Diferencias técnicas con Pegasus

Aspecto	Pegasus	Predator
Delivery principal	Zero-click	One-click (enlace) + zero-click limitado
Desarrollo de exploits	In-house (equipo dedicado)	Compra a brokers + desarrollo parcial
Persistencia iOS	No persistente (post-iOS 14)	No persistente
Plataformas	iOS + Android	iOS + Android
Coste por target	Reportado: 25.000-500.000 USD	Reportado: 1.5-4M USD por sistema
Clientes documentados	40+ países	10+ países (EU, Egipto, Arabia Saudí)

Cadena de infección Predator

El vector más documentado de Predator es one-click: el objetivo recibe un enlace personalizado (via SMS, WhatsApp o email) que, al ser abierto en el navegador:

1. Redirige a una cadena de exploits de Safari/Chrome.
2. Explota una vulnerabilidad del motor del navegador (WebKit/V8).
3. Escala privilegios a nivel kernel.
4. Instala el implant Predator.

En 2023, Google TAG documentó exploits zero-day de Predator encadenados:

• CVE-2023-4863: Vulnerabilidad en libwebp (procesamiento de imágenes WebP) explotada por Predator.
• CVE-2023-4211: Vulnerabilidad en el driver de GPU ARM Mali para escalación de privilegios.

Alien: el loader de Predator

Predator utiliza un componente separado llamado Alien como loader e inyector:

• Alien se inyecta primero en un proceso del sistema.
• Alien descarga e inyecta Predator en procesos adicionales.
• Alien también proporciona funcionalidades básicas (grabación de audio, recolección de datos) mientras Predator se carga.

Hermit (RCS Lab)

Perfil

Hermit es desarrollado por RCS Lab, una empresa italiana de vigilancia fundada en 1993. A diferencia de NSO y Cytrox, RCS Lab tiene un historial más largo pero menor sofisticación técnica.

Características técnicas

• Delivery: Requiere interacción del usuario. Típicamente se distribuye mediante enlaces SMS que suplantan a operadores de telecomunicaciones o apps de mensajería.
• Plataformas: Android e iOS.
• Capacidades: Similares a Pegasus pero con menor sofisticación: grabación de audio, acceso a fotos, SMS, contactos, ubicación GPS.
• Distribución documentada: Google TAG documentó campañas de Hermit en Italia y Kazajistán.

Aspecto diferencial

Hermit ha sido documentado en escenarios donde el ISP (proveedor de Internet) colabora con el atacante. En Italia, se documentó un caso donde el ISP desactivó la conexión de datos móviles del objetivo y le envió un SMS con un enlace para "restaurar la conectividad" que instalaba Hermit.

Tabla comparativa de spyware estatal

Característica	Pegasus (NSO)	Predator (Cytrox)	Hermit (RCS Lab)	FinSpy (FinFisher)
País de origen	Israel	Macedonia del Norte/EU	Italia	Alemania (extinto)
Delivery zero-click	Si (primario)	Limitado	No	No
Delivery one-click	Si	Si (primario)	Si (primario)	Si
iOS	Si	Si	Si	Si
Android	Si	Si	Si	Si
Exploit development	In-house	Mixto (compra + interno)	Limitado	Compra
Persistencia iOS	No (reinfección)	No	Limitada	Limitada
Clientes estimados	40+ países	10+ países	Menos de 10	Extinto (2022)
Estado 2026	Activo	Activo (sancionado por EE.UU.)	Activo	Cerrado

Detección forense

MVT (Mobile Verification Toolkit)

MVT es una herramienta desarrollada por Amnesty International Security Lab para detectar indicadores de compromiso de Pegasus y otros spyware en dispositivos iOS y Android.

Funcionamiento en iOS:

1. Generar un backup cifrado del dispositivo via iTunes/Finder o libimobiledevice.
2. Descifrar el backup.
3. Ejecutar MVT contra el backup descifrado con una lista de IOCs (indicadores de compromiso).

# Ejemplo de uso de MVT (simplificado)
# Instalar MVT
pip3 install mvt

# Verificar backup iOS
mvt-ios check-backup \
    --iocs pegasus_iocs.stix2 \
    --output results/ \
    /path/to/decrypted/backup/

# Verificar filesystem dump iOS
mvt-ios check-fs \
    --iocs pegasus_iocs.stix2 \
    --output results/ \
    /path/to/filesystem/dump/

Artefactos que analiza MVT en iOS:

Artefacto	Base de datos / archivo	Qué busca
DataUsage	DataUsage.sqlite	Procesos con uso de red anómalo
SMS attachments	sms.db	Links maliciosos en mensajes
ChromeHistory	History	URLs de exploits
Safari History	History.db	URLs de redirectores de infección
Calls	call_history.db	Llamadas a números de redirección NSO
Interactionc	interactionC.db	Procesos con interacciones sospechosas
Diagnostics	diagnostics/	Crashes provocados por exploits
Configuration profiles	ConfigurationProfiles/	Perfiles MDM maliciosos

Artefactos forenses de Pegasus en iOS

Los indicadores más fiables de infección por Pegasus en iOS:

Procesos sospechosos en DataUsage.sqlite:

Pegasus inyecta código en procesos del sistema. Los nombres de procesos asociados con Pegasus (documentados por Citizen Lab y Amnesty):

• bh (versiones tempranas)
• roleaboutd
• pcaborede
• fservernetd
• laaborede

Estos nombres no corresponden a procesos legítimos de iOS y su presencia en DataUsage.sqlite es un indicador fuerte de infección.

Dominios C2 de NSO Group:

La infraestructura de NSO utiliza dominios con patrones reconocibles. Amnesty International y Citizen Lab mantienen listas actualizadas de dominios e IPs asociados. Los dominios suelen seguir patrones que simulan servicios de noticias, tecnología o correo:

• Dominios con TLDs poco comunes (.info, .me, .club).
• Subdominios que simulan servicios legítimos.
• Rápida rotación de dominios (vida útil de semanas).

Crashes en logs de diagnóstico:

Los exploits de Pegasus provocan crashes en procesos como mediaserverd, SpringBoard o CommCenter. Un análisis de los crash logs puede revelar patrones de explotación.

Detección en Android

La detección en Android es más compleja porque el sistema de archivos es más accesible y el malware puede limpiarse de forma más efectiva. MVT para Android analiza:

• APKs instalados (comparación con listas de package names de spyware conocido).
• Mensajes SMS con enlaces sospechosos.
• Tráfico de red (si se tiene un pcap).

Sin embargo, la detección forense en Android es generalmente menos fiable que en iOS porque:

• Android no mantiene registros tan detallados como DataUsage.sqlite.
• El spyware en Android puede obtener root y modificar/eliminar logs.
• La variedad de fabricantes y versiones complica la normalización de artefactos.

Contramedidas

Lockdown Mode (Apple)

Apple introdujo Lockdown Mode en iOS 16 como respuesta directa a amenazas tipo Pegasus. Cuando está activado:

• iMessage: Bloquea la mayoría de adjuntos (excepto imágenes). Los previews de enlaces se desactivan. Esto elimina los vectores de ataque FORCEDENTRY y BLASTPASS.
• Web: Safari desactiva tecnologías web complejas (JIT compilation de JavaScript). Esto reduce la superficie de ataque del motor WebKit.
• Conexiones: Las conexiones USB con cable se bloquean cuando el dispositivo está bloqueado.
• Perfiles: No se pueden instalar perfiles de configuración ni MDM.
• FaceTime: Las llamadas de FaceTime de números desconocidos se bloquean.

Lockdown Mode tiene un impacto en la funcionalidad: algunas webs no funcionan correctamente, adjuntos de iMessage se limitan, y la experiencia de uso se degrada. Está diseñado para personas con riesgo elevado (periodistas, activistas, abogados, políticos).

Reinicio diario

Dado que las versiones recientes de Pegasus en iOS no sobreviven al reinicio, reiniciar el dispositivo diariamente es una medida de mitigación efectiva. No previene la reinfección, pero limita la ventana de compromiso.

Reducción de superficie de ataque

• Desinstalar apps que no se utilizan (cada app es un parser potencial).
• Desactivar previews de enlaces en mensajería.
• Usar un dispositivo separado para comunicaciones sensibles.
• No hacer clic en enlaces de fuentes desconocidas (previene vectores one-click).

Monitorización continua

• Ejecutar MVT periódicamente contra backups del dispositivo.
• Monitorizar el tráfico de red del dispositivo buscando comunicaciones con infraestructura conocida de spyware.
• Revisar los crash logs buscando crashes en parsers (mediaserverd, ImageIO).

Implicaciones legales y éticas

Uso documentado contra periodistas y activistas

Las investigaciones de Citizen Lab, Amnesty International y The Pegasus Project han documentado el uso de Pegasus contra:

• Periodistas: Jamal Khashoggi (su círculo cercano fue objetivo antes de su asesinato), periodistas de Al Jazeera, Le Monde, The Guardian.
• Activistas de derechos humanos: Ahmed Mansoor (EAU), activistas saharauis, defensores de derechos humanos en México, India y Bahréin.
• Políticos: Presidente Emmanuel Macron (Francia) en la lista de objetivos potenciales. Políticos catalanes en España (Catalangate). Políticos de oposición en Hungría y Polonia.
• Abogados: Abogados que representan a víctimas de vigilancia.

Respuesta regulatoria

• EE.UU. (2021): NSO Group y Candiru incluidos en la Entity List del Departamento de Comercio, restringiendo la venta de tecnología estadounidense a estas empresas.
• UE (2022-2023): Comité PEGA del Parlamento Europeo investigó el uso de Pegasus en estados miembros. Recomendó una moratoria en su uso.
• España (2022): El CNI reconoció el uso de Pegasus contra políticos catalanes con autorización judicial. Caso Catalangate generó una crisis política.
• Regulación propuesta: Múltiples iniciativas legislativas para regular la industria de spyware comercial, incluyendo el Pall Mall Process (2024) firmado por Francia y Reino Unido.

Debate sobre la industria

La industria del spyware comercial opera en una zona gris legal:

• Los fabricantes argumentan que venden herramientas legítimas de seguridad nacional.
• Las investigaciones documentan abusos sistemáticos contra civiles.
• La regulación es fragmentada: no existe un tratado internacional sobre armas cibernéticas de vigilancia.
• El mercado se está fragmentando: empresas más pequeñas y menos visibles reemplazan a las sancionadas.

Recursos

• Citizen Lab (investigación académica sobre spyware estatal, Munk School, University of Toronto)
• Amnesty International Security Lab (investigaciones técnicas y desarrollo de MVT)
• MVT (Mobile Verification Toolkit) (herramienta de detección de código abierto)
• Google TAG Blog (investigación de Google sobre spyware comercial)
• The Pegasus Project (investigación periodística coordinada por Forbidden Stories)
• Apple Lockdown Mode (documentación oficial de Apple)
• Google Project Zero: FORCEDENTRY Analysis (análisis técnico del exploit JBIG2)
• MalwareIntel (plataforma de inteligencia sobre familias de malware)