La copia de seguridad del teléfono no es válida como prueba porque se puede falsear
Pegasus es un malware que espía teléfonos móviles, escuchando conversaciones, leyendo mensajes, accediendo al disco duro y también puede hacer capturas de pantalla, usar la cámara o escuchar por el micrófono. Aunque su supuesto uso para espiar a los líderes independentistas y políticos ha despertado la polémica, lo cierto es que es relativamente sencillo simular que has sido espiado con este programa, según los expertos.
Según The Hack Patrol, Amnesty International Security Lab publicó una herramienta que busca indicadores de compromiso (IOC) en dispositivos iOS y Android, recopilando rastros forenses del Pegasus, llamado Mobile Verification ToolKit (MVT).
Los indicadores de compromiso o IoC son datos que surgen de una actividad que se produce dentro de nuestro sistema y que aporta información sobre el comportamiento, característica o descripción de una amenaza. En definitiva, son una evidencia que confirma si nuestro terminal tiene malware y que inmediatamente anteriores. Puede usar un sinónimo para hacer más interesante el texto, excepto si la
repetición es intencionada.—#—utilizan#emplean—#—usan» style=»background-color: rgb(201, 205, 255); cursor: pointer; color: rgb(0, 0, 0); font-family: «Source Sans Pro», sans-serif; font-size: 18px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial;»>usan las compañías de seguridad para desarrollar perfiles y así poder encontrar la solución a cada malware.
Para localizar estos IoC se realizan análisis de una muestra del malware y se genera un identificador único mediante algoritmos de hashing, mapeando un conjunto grande de datos de tamaño variable, llamados claves, en pequeños conjuntos de datos de longitud fija.
MTV busca indicios de malware en la copia de seguridad, revisan los SMS que tengan dominios en la lista negra, o dentro del historial del navegador, también revisa aquellos procesos modificados o la aparición de nuevos archivos.
Según los especialistas, cualquier dispositivo puede simular haber sido víctima de espionaje en su teléfono, con el objetivo de crear un “falso positivo” de Pegasus.
El procedimiento consiste en generar
una copia de seguridad y usar la herramienta MVT para verificar que no tenemos Pegasus en el dispositivo. Posteriormente, se ejecuta un archivo llamado pegasus-imperativo, puede que falte una coma.—#— falsé#, false—#—false» style=»background-color: rgb(254, 228, 129); cursor: pointer; color: rgb(0, 0, 0); font-family: «Source Sans Pro», sans-serif; font-size: 18px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial;»>false-positive y se vuelve a usar MVT con la copia de seguridad modificada por dicho archivo.
Para que no haya ningún problema, la copia de seguridad debería ser copiada y guardada en un lugar seguro, en el caso de necesitar restaurar el dispositivo.
Así, es posible falsear el resultado dado por dicha herramienta, manipulando la copia de seguridad para colocar en ella SMS o dominios en el historial que parezcan sospechosos. Una vez pasada la herramienta MVT, parecerá que el propietario del dispositivo está infectado por Pegasus.
La conclusión de The Hack Patrol es que una copia de seguridad no es válida como prueba forense, porque es fácil de manipular.
No hay evidencias de que nadie la haya empleado de manera formal, aunque si se está probando su eficacia. Este programa modifica el resultado de la herramienta, por lo cual a efectos legales, esta copia de seguridad no sería válida como prueba en un procedimiento judicial con garantías procesales, ya que podría tratarse de un falso positivo.