Cómo saber si tu móvil está afectado por un programa espía

El espionaje al móvil del presidente del Gobierno, Pedro Sánchez, y al de la ministra de Defensa, Margarita Robles, con el software Pegasus ha puesto en jaque la seguridad estatal y al propio CNI. El caso de Sánchez no ha sido el único ya que previamente se había denunciado el espionaje a 60 nombres relacionados con el independentismo catalán y otros nombres internacionales como Emmanuel Macron o Boris Johnson también aparecían en la lista de este software.

En el caso concreto de Pegasus, la mayoría de los móviles espiados provenían de países como Hungría, India, Kazajstán, México, Marruecos, Azerbaiyán, Bahrein, Ruanda, Arabia Saudí y Emiratos Árabes Unidos. Aunque este virus no es el único. Un estudio de Privacy International recoge 1.500 programas de espionaje de este tipo utilizado por distintos países. 

Este malware, sin embargo, no es un virus que se distribuya abiertamente entre los usuarios de a pie que, en el caso de España son los más vulnerables a spam y ciberataques del mundo, según Karpesky.

“A los que adquieren Pegasus les sale rentable”, señala Jordi Serra, profesor de los Estudios de Informática y Telecomunicación de la UOC. “Es una empresa que se dedica a esto, a colocar software que son de gente importante de la que puedan extraer datos”, indica y recuerda que la empresa isrealí NSO desarrolladora de Pegasus solo trabaja para Estados que les compran licencias, es decir, esos ataques concretos a móviles. 

“A la gente normal de la calle nos atacan nuestros dispositivos móviles para obtener nuestra clave del banco y obtener nuestro dinero, pero no para espiarnos porque van a sacar poco”, indica.

Este tipo de software se conoce como stalkerware y es especialmente dañino ya que fomenta el ciberacoso y el espionaje. Un informe de Kaspersky de 2021 recogía que 53.870 usuarios de móviles fueron espiados a través de un programa espía en todo el mundo en 2020. Uno de los más conocidos es NIDB, que permite ver la actividad del dispositivo en el que se instala. Se suele utilizar por los dueños de varios dispositivos para facilitar la transferencia de datos entre ellos.

Según este mismo estudio, Rusia es el país con más víctimas de ciberacoso en 2020 con 12.389 víctimas, seguido de Brasil con 6.523, EEUU con 4.745, India con 4.627 y México con 1.570. En Europa, Alemania con 1.547 casos, Italia 1.345 y Reino Unido con 1.009 son los que lideran el ciberespionaje a través de este tipo de aplicaciones. España se encuentra en el puesto 12º con 873 casos denunciados.

Para Serra las principales amenazas son los links que se reciben por SMS a través de los cuales se puede instalar un troyano, un tipo de virus que permanece inactivo hasta que encuentra lo que va buscando infectar. 

“Están ahí dormidos hasta que accedes a una web, una app del banco o pones un número de tarjeta Visa o Mastercard y se activa capturando incluso vídeos de la pantalla para ver qué número o qué contraseña estás poniendo”, detalla. “Al final envía a los ciberdelincuentes la tarjeta del banco o las distintas credenciales como el correo electrónico para recordar la contraseña del banco”, indica. 

El especialista recuerda que los antivirus son efectivos aunque no al 100%. “Te protege frente a los ataques que son conocidos, por eso hay muchos ataques que no son conocidos como el grupo este NSO que mediante el programa Pegasus conecta la cámara, la ubicación, a la pantalla y se lo lleva. Pero esta empresa está muy especializada en teléfonos móviles y consiguen ataques o vulnerabilidades que no son conocidos en dispositivos tanto Android como iOS”, detalla.

Ejemplo de una vulnerabilidad difícil de detectar puede ser “un ataque muy dirigido a una persona en el que el atacante se hace pasar por alguien de su entorno y lo engaña para obtener acceso a algo”.

Para Serra, tampoco son especialmente fiables las aplicaciones que aseguran decirte si alguien te está espiando el dispositivo. “No las pondría en el paquete de las confiables porque que te espíen el teléfono, lo tiene que hacer el propio fabricante porque es darle acceso a todo el sistema”, indica. “Para que una aplicación que te bajas sepa que te están espiando tienes que darle permiso a la ubicación, las comunicaciones, a la cámara, a la tarjeta SIM, a los contactos… Le estás dando libre acceso a una aplicación que tampoco sabes bien quién la ha hecho”, detalla y admite que solo serían fiables las aplicaciones de Apple o Google como fabricantes de los sistemas operativos de Android e iOS.

Con respecto a la diferencia en seguridad de los dispositivos iPhone —usados por el Gobierno— o Android, Serra admite que, aunque son dos maneras de trabajar diferentes, es mucho más seguro el móvil de la marca Apple porque es más complicado acceder a la protección que crea para cada app. “Cada app virtualiza el teléfono para tener una configuración separada y la empaqueta”, señala.

“Es más complicada de saltar, pero se la saltan igual, de hecho NSO empezó con iOS y luego pasó a Android”, apunta. Según explica, Android funciona como un ordenador con su parte de software con todas las aplicaciones y su parte de hardware al que se le da acceso completo. “Sí que hay permisos para cada cosa, pero es más difícil parar estos accesos”, detalla y admite que a veces estos permisos están mal encapsulados y dan lugar a fisuras. 

Desde la web de la empresa de ciberseguridad Kaspersky señalan que este tipo de aplicaciones pueden camuflarse a través de otras apps pero solicitan acceso a los mensajes, registros de llamadas, localización u otras actividades personales e incluso la cámara o el micrófono. “Por ejemplo, una aplicación llamada Wi-Fi que tiene acceso a la geolocalización es un candidato sospechoso”, indican.

También recomiendan revisar si existen “fuentes desconocidas” en la configuración de Android y, en el caso de que estén activadas, ponerse en alerta ante una posible instalación de stalkerware.

Otros signos pueden ser que aparezcan búsquedas o páginas webs que el usuario no conoce o no ha visitado, que se agote la batería rápidamente, que el móvil funcione especialmente lento o que aparezcan llamadas y mensajes que el usuario no ha realizado. 

Serra suma a esto una series de precauciones a tener en cuenta de cara a los virus tipo Troyano. “Tener cabeza con los links que recibimos por SMS o por e-mail. Por ejemplo, los del tipo que tienes un paquete esperando en la aduana y tienes que pagar un euro y algo para que te lo envíen”, señala. “Hay que desconfiar mucho también de las URL acortadas en las que que generalmente no ves lo que estás clickando, pero igual estás accediendo a una web en China o Rusia que te instala un malware en el dispositivo. Es sentido común y no abrir cualquier link ni cualquier código QR”, detalla.

Para el especialista “la confianza ciega hace que clickemos en cualquier link y aparentemente no suceda nada, pero el día que entremos en el banco puede que no tengamos dinero, por lo que seamos muy cuidadoso con eso”. “Cuando salimos de casa comprobamos que cerramos todo bien, en el mundo virtual igual, ir con cuidado y no dejar puertas abiertas en internet”, detalla.

Tal y como explican desde Legálitas en una nota de prensa, lo primero que hay que hacer es recabar pruebas como un informe pericial de un técnico informático para poder denunciar ante las autoridades judiciales. 

Asimismo, desde la empresa jurídica recuerdan que es ilegal espiar el dispositivo o los documentos de otra persona, así como acceder a su dispositivo móvil y las penas de cárcel oscilan entre los seis meses a los dos años. Además, difundir el contenido que se haya obtenido de forma ilícita tiene un agravante que se castiga con penas de prisión entre los dos y los cinco años. 

En Legálitas recuerdan también que adquirir este tipo de software de espionaje ya está penado de por sí con penas de prisión de seis meses a dos años o multa de tres a dieciocho meses, incrementándose hasta los veinticuatro meses en caso de instalarlo en el dispositivo de otra persona.