Tras la nueva investigación publicada alrededor del software espía israelí, Pegasus, comenzaron a surgir herramientas e información adicional para ayudar a la ciudadanía, y a los potenciales blancos de estas vulneraciones a comprobar a través de herramientas de código, si fueron víctimas de este software o no.

La nueva investigación dada a conocer por el think tank canadiense, Citizen Lab, Amnistía Internacional y el grupo de medios y ONG’s Forbidden Stories da cuenta, a detalle, de la cantidad de personas que fueron vulneradas con este software. En México, se detectaron 15,000 blancos de periodistas y activistas, mientras que a nivel global se habla de un alcance de 50,000 usuarios, tanto de iOS como de Android.

Los países listados entre los que más se usó Pegasus, fueron Marruecos, Emiratos Árabes Unidos y México, cuyas víctimas fueron específicamente espiadas durante el sexenio de Enrique Peña Nieto. 

Sobre las acciones específicas que puede hacer este spyware, Jakub Vavra, analista de amenazas móviles de Avast, advierte que «sus variantes para Android son capaces de extraer datos de aplicaciones de mensajería populares como WhatsApp, Facebook y Viber, así como de clientes de correo electrónico y navegadores. Este software espía es capaz de vigilar a distancia a las víctimas a través del micrófono y la cámara, así como de realizar capturas de pantalla del usuario y registrar las entradas (keylogging) del usuario. Estas características lo convierten en una herramienta peligrosa que puede ser utilizada indebidamente para espiar a personas desprevenidas».

¿Cómo sé si me espiaron?

La herramienta, que se puede encontrar en GitHub, detalla con varios comandos una serie de pasos a seguir para saber si tu teléfono, ya sea iOS o Android, fue blanco de Pegasus.

En este link puedes encontrar el acceso y descargas del Kit Móvil de Verificación ( Mobile Verification Toolkit ).

Es necesario conocer de código básico para correr las pruebas; sin embargo, el MVT da opciones para ambos sistemas operativos y lo que hace es correr una prueba de verificación de vulnerabilidades en tu dispositivo que derivará en indicadores para saber si tienes algún indicio de que el dispositivo esté comprometido.

Medios especializados como TechCrunch publicaron su propio análisis forense, en el que también se toparon con un falso positivo.