Así funciona el mercado de virus espía como Pegasus
Empresas privadas, grupos de 'hacking' e incluso gobiernos están detrás del rentable negocio de un 'malware' que solo se detecta con años de retraso
8 mayo, 2022 00:00El caso Pegasus ha desvelado el rentable negocio de los virus espía o spyware. Un mercado de software malicioso que va mucho más allá del ejemplo particular vinculado con la empresa israelí NSO: involucra tanto a compañías especializadas como grupúsculos de ciberdelincuentes que incluso diseñan estas herramientas a medida del cliente.
"No hay nada más que mirar las listas de troyanos y spywares conocidos para darse cuenta de que hay muchos intereses y mucho dinero tras la instalación de un software de espionaje en ordenadores y teléfonos ajenos", explica José Navarro, director de Evidentia. "Programas como Pegasus siempre ha habido y siempre habrá, pero salen a la luz a partir de filtraciones o denuncias ¿Qué programas tipo Pegaus hay ahora mismo en funcionamiento? No lo sabremos hasta que a partir de algún análisis forense detectamos un software espía nuevo", añade Carlos Seisdedos, responsable de ciberinteligencia en Isecauditors.
Principales 'fabricantes'
La punta del iceberg son empresas como NSO, de las que apenas se conocen detalles, tienen una época de popularidad y luego mueren. Ya le pasó a la italiana Hacking Team o a GrayShift --esta última todavía existe, pero ya no ofrece el sistema de desbloqueo de iPhones por la que se hizo conocida--.
Navarro también menciona a equipos de hacking que, bajo un mismo nombre, realizan proyectos y campañas diferentes. Algunos son conocidos, como Anonymous o el grupo norcoreano Lazarus Group, pero también se cuentan el colectivo rus APT28, el árabe Black Oasis o el chino Leviathan, entre otros. "Probablemente están apoyados o financiados por gobiernos", apostilla el especialista.
También los gobiernos
"Y por último seguramente estarán los propios gobiernos, de los que no hay noticias en los medios. Por ejemplo, en 2010 se publicó la existencia de Stuxnet, y que poco después se atribuyó a Estados Unidos e Israel, y que tenía como objetivo las plantas nucleares de Irán, aunque se les fue de control", sigue Navarro. "Realmente no es que los gobiernos tengan problemas para controlar este malware, sino que lo utilizan. No hay prácticamente ningún país que no los adquiera. Hace unos años, se vulneró la seguridad de Hacking Team y se vio en sus correos que había fuerzas y cuerpos de seguridad que estaban negociando la adquisición de malware", puntualiza Seisdedos.
Por otro lado, no hace falta una estructura compleja para desarrollar spywares. "Al final cualquier persona con capacidad técnica puede desarrollar una herramienta de este tipo, pero hay que tener en cuenta que el acceso a determinadas vulnerabilidades para su instalación puede resultar costosa. Es por esta razón que nos encontramos detrás de las soluciones avanzadas a empresas especializadas", matiza el ingeniero informático y abogado Sergio Carrasco.
Detección con retraso
Sea como sea, los actores privados o públicos que diseñan estos virus lo hacen siempre con ventaja respecto a sus víctimas. De media, estos malwares se detectan con uno o dos años de retraso. Por eso las fuentes consultadas desconocen qué spywares se usan actualmente, aunque Carrasco menciona programas todavía en boga como Sourgum, Exodus y Dropoutjeep. "El software espía que realmente está operativo no lo vamos a conocer, no se publica ni se puede conocer", remacha Seisdedos.
Carrasco añade que se trata de herramientas que muchas veces tienen clientes específicos y obligaciones de confidencialidad. "De hecho, parte de la información relativa al funcionamiento y especificaciones técnicas de Pegasus nos ha llegado gracias a la filtración de documentos de otras empresas afectadas", explica. "Además, estas herramientas buscan dificultar su detección para ser eficaces, con lo que salvo que se detecte algún indicador de compromiso sospechoso, muchas veces no se realiza un análisis en profundidad que permita su detección", concluye.