Una investigación de Motherboard señala que NSO Group, la empresa responsable del malware Pegasus, utilizó dominios de internet que simulaban ser parte de Facebook. Las revelaciones fueron hechas por un exempleado de la empresa israelí, quien compartió al medio la dirección IP de un servidor asociado a la infraestructura de NSO.

Uno de los mecanismos de infección de Pegasus más conocidos es la instalación mediante un clic en un enlace malicioso, el cual descarga inadvertidamente el malware en el dispositivo. Para lograr que el objetivo acceda al vínculo, los atacantes suelen utilizar ingeniería social y suplantar la identidad de distintos sitios web para hacer parecer legítimo el mensaje.

La IP compartida por el exempleado de NSO Group fue vinculada a 10 dominios usados entre 2015 y 2016. Entre estos, se encontraban páginas que simulaban formar parte del equipo de seguridad de Facebook, así como otros sitios que se hacían pasar por enlaces de rastreo de paquetería.

John Scott-Railton, investigador de Citizen Lab de la Universidad de Toronto, analizó los enlaces que obtuvo Motherboard y concluyó que, aunque no eran idénticos a otros previamente analizados por el laboratorio, estos sí parecen ser parte de la infraestructura de NSO.

Estos reportes suman a la evidencia de que la firma israelí de tecnología de vigilancia habría utilizado infraestructura basada en Estados Unidos para lanzar ataques con sus malware, Pegasus. Recientemente, Facebook sumó evidencia a su demanda en contra de NSO Group, con direcciones de IP específicas de EE.UU. usadas para atacar teléfonos a través de WhatsApp, en abril y mayo de 2019.

No es la primera vez que se conoce de estas técnicas de ingeniería social de esta empresa para tratar de engañara a sus objetivos de vigilancia. En uno de los casos de espionaje con el malware Pegasus documentados en México, la periodista Griselda Triana, viuda de Javier Valdez, recibió mensajes con el malware Pegasus con dominios que suplantaban la identidad los reconocidos medios de información Animal Político y Proceso.

Al igual que en el caso de Triana, está documentado como Pegasus ha sido utilizado alrededor del mundo por gobiernos no democráticos para espiar a la oposición política, activistas, personas defensoras de derechos humanos y periodistas, entre otras personas.


Imagen de AntanO (CC BY-SA 4.0)