El móvil se ha convertido en la principal brecha de seguridad de nuestra información personal y empresarial. Los esfuerzos en proteger la información con la que trabajamos habitualmente se han centrado durante muchos años en los ordenadores, portátiles, servidores… Contar con una herramienta de seguridad (antivirus, firewalls, etc.) en nuestros ordenadores forma parte de la configuración estándar de cualquier equipo, tanto particular como empresarial. Aunque la problemática de la seguridad en estos equipos está lejos de ser solucionada (en otro momento hablaremos sobre la prevención de ataques ramsomware), sí que existen herramientas generalistas que proporcionan una razonable seguridad a la información contenida en estos equipos.
Ahora bien, ¿qué ocurre con la información contenida en nuestros dispositivos móviles? El móvil contiene la misma información que guardamos en nuestros equipos de escritorio. ¿Existe esa razonable seguridad respecto la información contenida en estos equipos? A la vista de lo que sabemos respecto lo que ha venido pasando con el software Pegasus de NSO Group, la respuesta es clara: no.
¿Por qué se produce esta brecha de seguridad tan importante en los móviles, que no vemos comúnmente en los ordenadores personales?
La respuesta está en las denominadas Zero-Day Vulnerabilities. Estas son las vulnerabilidades de los sistemas operativos que son desconocidas tanto por su fabricante como por la comunidad de usuarios, y que son explotadas por empresas como NSO Group y el resto de la comunidad dedicada a la producción de malware. En el caso de los sistemas operativos mayoritarios de los teléfonos móviles (IoS y Android) existe un conjunto de estas vulnerabilidades aún pendientes de detectar que permiten la proliferación de este spyware que toma el control absoluto de los terminales.
Si se desconoce el cómo, ¿es posible detectar el qué y el cuándo? Dicho de otra manera, ¿es posible detectar spyware del tipo Pegasus, y todo aquel basado en vulnerabilidades zero-day? La respuesta es sí.
La metodología para detectar este tipo de software malicioso requiere de un análisis en profundidad de lo que ha pasado en el móvil. Seamos conscientes o no, nuestros móviles recogen una ingente cantidad de información de carácter técnico. Mientras lee esto, su móvil está registrando el volumen de tráfico, las conexiones a las redes WiFi, diagnósticos de sistema, aplicaciones y procesos en funcionamiento. El tamaño de esta información es de cientos de megabytes y tiene un carácter histórico. Recoge qué es lo que ha venido pasando en nuestro móvil desde que venimos usándolo e incluso antes, ya que parte de esta información se transmite de un dispositivo a otro cuando hacemos un cambio de terminal móvil y los conectamos para copiar la información del móvil antiguo al nuevo.
Supongamos que se tienen sospechas de que la seguridad de un móvil ha sido comprometida. Para poder corroborarlo, se le entrega el móvil a un consultor (con toda la información en el contenida) para que este haga un análisis forense. Para ello buscará, entre otras cosas, lo que se denominan IOCs o Indicadores de Compromiso. Estos pueden ser entendidos como un conjunto de reglas lógicas que partiendo del análisis de los hechos determinan que el equipo ha sido infectado. Siguiendo con el ejemplo (muy simplificado), supongamos que mediante al análisis de los logs, el consultor encuentra que en una determinada fecha se produce una conexión a una red WiFi pública. Con posterioridad, dos días después se produce un reiniciado no previsto del equipo, y tras el reiniciado arranca en segundo plano un proceso que no estaba antes, que se arroga permisos de backup del sistema. Unos días después el proceso termina súbitamente. El consultor, en este sencillo ejemplo, podría determinar que, efectivamente, el móvil ha estado infectado.
Para realizar de manera automática un análisis como el realizado por el consultor se ha de acudir a herramientas de Machine Learning. Una de las múltiples aplicaciones del machine learning, es la determinación de los comportamientos anómalos. Es la técnica usada, por ejemplo, para determinar el posible fraude en las tarjetas de crédito. Para entrenar un algoritmo de estas características se requiere de la fuente más preciada de información: datos.
Con una gran base de datos que recoja esta información de carácter técnico, y algoritmos de deep learning de análisis de series temporales, es posible relacionar de manera automática aquellos hechos que determinan que la seguridad de un móvil ha sido comprometida, y entrenar una red neuronal que permita hacerlo de manera automática.
En el caso del spyware de tipo Pegasus (y digo tipo porque lamentablemente Pegasus no es el único), de lo que se sabe sobre su comportamiento, indica que el conjunto de indicadores de compromiso que permiten determinar la infección del dispositivo es muy extenso. No es, como en nuestro sencillo ejemplo, una conjunción de tres o cuatro eventos. Para detectarlo es necesario contar con una herramienta que cuente con redes neuronales entrenadas en la detección de este tipo de amenazas que permitan analizar una gran cantidad de información de carácter técnico.
¿Existe en el mercado este tipo esta solución? La respuesta es sí.
En este momento existen soluciones que permiten realizar este análisis. Algunas son soluciones que son complementarias al análisis forense realizado por un consultor, y otras se encuentran en un estado más avanzado. La más destacada es ZecOps herramienta desarrollada por el fundador de Zimperium, Zuc Avraham, quien desde su cuartel general de San Francisco se ha mostrado como uno de los lideres mundiales en seguridad en el móvil y que comercializa, instala y configura en España sus socios de Canaliza Security.
No cabe la menor duda de que detrás del desarrollo de malware como el de Pegasus hay una ingente cantidad de talento (mal dirigido), pero del mismo modo existe talento en el mundo de la ciberseguridasd móvil que frente a estas estrategias desarrollan modelos de negocio centradas en detectarlas. Ya existen en el mercado y veremos más en los próximos tiempos.