Pegasus, uno de los spywares más hablamos y controversiales de los últimos años, ha sido detectado en decenas de dispositivos móviles, pertenecientes a periodistas y activistas de El Salvador. Se estima que el número de equipos infectados con el malware es de 37 dispositivos móviles, pertenecientes a 35 personas.
«Los objetivos incluían periodistas de El Faro, GatoEncerrado, La Prensa Gráfica, Revista Digital Disruptiva, Diario El Mundo, El Diario de Hoy, y dos periodistas independientes. Entre los objetivos de la sociedad civil se encuentran la Fundación DTJ, Cristosal y otra ONG«, menciono Citizen Lab en su informe.
Según estimaciones de la investigación, los dispositivos móviles con más presencia de Pegasus fue el sitio de noticias «El Faro», donde se encontró el spyware en los dispositivos de 22 reporteros.
Crecen las sospechas contra el gobierno local
Citizen Lab menciono que los dispositivos hackeados fueron comprometidos entre julio de 2020 y noviembre de 2021, por un actor de amenaza al que llamaban Torogoz, y que algunos dispositivos fueron comprometidos en diferentes ocasiones.
Los investigadores, que tienen un largo historial de análisis del software espía Pegasus, dijeron que no tenían «ninguna evidencia técnica concluyente» sobre la identidad de los atacantes, pero el enfoque en los individuos de El Salvador sugiere que Torogoz es muy probablemente una entidad asociada con el gobierno salvadoreño.
Otras circunstancias que sostienen esta atribución son el hecho de que muchas víctimas vieron comprometidos sus dispositivos en la misma época en que investigaban o informaban sobre asuntos delicados relacionados con el gobierno local, como el escándalo de las supuestas negociaciones entre la administración del presidente Bukele y el cártel criminal MS-13.
El informe de Citizen Lab sugiere que la administración de El Salvador o alguien cercano a ella podría haber alquilado el acceso a Pegasus, una plataforma y software espía para dispositivos móviles, creada y administrada por la empresa israelí NSO Group, y luego haberla utilizado para perseguir a sus críticos.
La teoría propuesta no es una hipótesis descabellada, ya que NSO Group ha hecho esto antes, proporcionando su programa espía Pegasus a muchos regímenes opresivos de todo el mundo, que luego lo utilizaron para rastrear y silenciar a sus críticos y rivales políticos.
Aunque NSO Group siempre ha declarado públicamente que sólo vende su software a organismos policiales legítimos y que no puede controlar la forma en que sus clientes utilizan sus herramientas, el abuso persistente de su software por parte de regímenes opresores para cometer abusos contra los derechos humanos ha obligado al gobierno de Estados Unidos a incluir a NSO Group en su lista de sanciones en noviembre del año pasado. Las polémicas explotaron luego de una investigación realizada por Amnistía Internacional descubriera que Pegasus ha estado operando en Azerbaiyán, Bahréin, Hungría, India, Kazajistán, México, Marruecos, Ruanda, Arabia Saudí, Togo y los Emiratos Árabes Unidos.
¿Cómo fueron descubiertos?
Citizen Lab dijo que se enteró de los hackeos en septiembre de 2021, después de que algunos periodistas de El Salvador utilizaran una herramienta de seguridad gratuita desarrollada por Amnistía Internacional, llamada «Mobile Verification Toolkit (MVT)«, para autoanalizar sus dispositivos en busca de rastros del programa espía Pegasus.
Los reporteros que encontraron los indicios de que sus dispositivos se encontraran comprometidos, se pusieron en contacto con la línea de ayuda para la seguridad digital de Access Now, que pidió a Citizen Lab que investigara más a fondo los hackeos.
Después de que Apple demandara a NSO Group, algunas de las víctimas de estos ataques recibieron la confirmación de los hackeos por parte de la propia Apple, cuando la empresa notificó a las anteriores víctimas de los ataques de Pegasus mediante un nuevo conjunto de notificaciones que la empresa puso en marcha. En ese momento, también se enviaron notificaciones similares a muchos usuarios de Apple en Tailandia y Uganda.

Los nombres de la mayoría de los reporteros y activistas de El Salvador hackeados en esta última campaña están disponibles en el informe de Citizen Lab.
Informes recientes indican que NSO Group está al borde de la quiebra y del cierre tras la demanda de Apple. Sin embargo, hay un mercado en auge de muchos otros vendedores de software espía dispuestos a llenar el vacío que dejaría un posible cierre de NSO.
Más información
https://www.technologyreview.com/2021/11/23/1040509/france-macron-nso-in-crisis-sanctions/

Alerta Temprana de Riesgos Cibernéticos
Gestión de la Superficie de Ataque
Cyber Threat Intelligence