Cuando leemos casos de periodistas, activistas o cargos públicos que han resultado estar vigilados usando software espía como Pegasus, puede surgirnos la duda de "¿y si mi móvil también…?". Verificarlo ya no es terreno exclusivo de laboratorios: existe una herramienta forense abierta, difundida por el 'Security Lab' de la ONG Amnistía Internacional, que cualquiera puede ejecutar en casa: Mobile Verification Toolkit (MVT).

Su objetivo no es cazar "virus" al uso, sino rastros muy concretos de software espía avanzado en tu teléfono.

1) Malware común vs. spyware avanzado: por qué MVT es distinto

Android sufre amenazas de todo tipo (virus, troyanos, phishing…), pero MVT no es un antivirus. No busca adware ni troyanos bancarios: su cometido es localizar Indicadores de Compromiso (IoC), esas "huellas" específicas que dejan los spyware más sofisticados. Si te preocupa Pegasus y similares, esto es lo que necesitas; si quieres limpiar apps maliciosas genéricas, no.

Pero, aunque no sustituya al antivirus, pero sí aporta un diagnóstico valioso frente a amenazas de alto perfil. Ejecutarlo es una lección de privacidad aplicada: entiendes qué datos generas, cómo se examinan y qué señales deberían preocuparte. Y si el informe sale limpio, podrás dormir mejor.

En Genbeta

El software que infectó el móvil de Pedro Sánchez ya no sólo ataca a políticos. Han encontrado a Pegasus en personas de a pie

2) ¿Qué hace MVT exactamente?

En primer lugar, descarga una base de IoC mantenida por investigadores y la usa para cotejarla con datos de tu dispositivo. En un caso real se cargaron 10.752 indicadores antes del análisis.

A continuación, revisa señales sensibles: SMS (enlaces sospechosos), historiales de apps compatibles, registros del sistema y propiedades del terminal. Finalmente, devuelve un veredicto por colores:

• Verde: progreso informativo.
• Amarillo (advertencia): algo anómalo que requiere interpretación humana (no confirma infección).
• Rojo: fallo técnico en la extracción/lectura, no necesariamente infección.

Vale. ¿Y qué hago si veo avisos amarillos? Interprétalos con calma: pueden ser falsos positivos o elementos legítimos. Repite el análisis, revisa los elementos señalados y, si hay dudas razonables, consulta a profesionales o a la documentación oficial.

3) Guía paso a paso

El proceso para poner en marcha el análisis es más sencillo en Linux, pero también es posible en Windows utilizando el Subsistema de Windows para Linux (WSL) y una utilidad llamada usbipd-win para "puentear" el puerto USB al entorno Linux.

Nota: No rootees tu Android sólo "para ver más": MVT puede trabajar sin root y la herramienta desaconseja explícitamente rootear para realizar el análisis.

3.1. Preparar el entorno (Linux o WSL/Ubuntu)

1. Actualiza el sistema e instala Python 3 + pip + venv.
2. Crea un entorno virtual y actívalo para aislar dependencias.
3. Instala MVT con pip y descarga los IoC con mvt-android download-iocs.

3.2. Preparar el móvil Android

Activa las Opciones para desarrolladores y Depuración por USB (Ajustes → Acerca del teléfono → pulsa 7 veces en "Número de compilación"; vuelve y activa la depuración).

En Xataka Android

Cómo activar las opciones de desarrollador en Android y para qué sirve

3.3. Conectar y analizar en Linux

• Instala ADB (android-tools-adb) desde tu gestor de paquetes favorito.
• Conecta el móvil, acepta la huella RSA y verifica con adb devices (estado: device).
• Ejecuta el chequeo: mvt-android check-adb -o ./resultados_analisis/ para generar los informes.

3.4.  Conectar y analizar en Windows (con WSL)

El flujo es más largo porque hay que puentear el USB desde Windows hacia WSL:

1. En WSL instala ADB ejecutando, primero, esto en WSL:

sudo apt install android-tools-adb -y.

1. Luego, en PowerShell (como administrador) instala "usbipd-win" con este comando:

winget install --interactive --exact dorssel.usbipd-win

1. Volvemos a WSL:

sudo apt install linux-tools-generic hwdata

sudo update-alternatives --install /usr/local/bin/usbip usbip /usr/lib/linux-tools/*-generic/usbip 20

1. Y ahora, otra vez en PowerShell, tendremos que establecer el protocolo de conexión (recuerda sustituir "tu ID" por el número asignado que verás en la lista tras ejecutar el primer comando):

usbipd list

usbipd bind --busid "tu ID" --force

usbipd attach --wsl --busid "tu ID"

1. Y ahora sólo quedaría autorizar, verificar y ejecutar MVT en la terminal de WSL:

adb devices

mvt-android check-adb -o ./resultados_analisis/

Tras esto, la herramienta empezará a funcionar y te devolverá un sumario final con el veredicto.

4) Buenas prácticas tras el análisis

• Actualiza el sistema y las apps, y revisa la fecha de parche de seguridad con regularidad.
• Refuerza tu navegación (configuración de navegador, cautela con enlaces y adjuntos) y desconfía de APK fuera de tiendas oficiales.

Vía | Xataka Android
Imagen | Marcos Merino mediante IA
En Genbeta | Han creado el malware definitivo. Tenemos suerte de que lo haya hecho uno de los buenos, o sería una pesadilla

El desarrollador de Debian Michael "mika" Prokop ha anunciado que, gracias al equipo Debian Forensics, se incluirá y se mantendrá una serie de herramientas de análisis forense junto con sus dependencias en la próxima versión de la popular distribución Linux.

Según se ha publicado en SoftPedia, Debian 9 Stretch, que está a punto de liberarse, se convertirá en la versión más avanzada y estable de la historia de la distribución. La última iteración del sistema operativo llegará con las últimas tecnologías GNU/Linux y con las últimas aplicaciones open source.

Además de las habituales que la mayoría de los usuarios podrán encontrar en los repositorios, habrá unos cuantos paquetes destinados al análisis forense que no se pueden encontrar en Debian Jessie actualmente. En palabras de Prokop:

Repitiendo lo que hice en los últimos lanzamientos de Debian con #newinwheezy y #newinjessie, ya es hora de hablar de #newinstretch. Debian Stretch, también conocido como Debian 9.0, vendrá con una serie de paquetes para personas interesadas en la informática forense.

Las nuevas herramientas de Debian 9

Entre las nuevas herramientas de análisis forense que vendrán con la nueva versión de Debian, podemos mencionar las siguientes:

• bruteforce-salted-openssl, que permite encontrar la passphrase en archivos cifrados de OpenSSL.
• cewl, que permite generar lista de palabras personalizadas.
• dislocker, para leer y escribir volúmenes cifrados de BitLocker.
• hasdeep y hashrat, que se pueden usar para computar recursivamente hashings de hashum o piecewise.
• pompem, que permite encontrar exploits y vulnerabilidades.
• rekall, para realizar análisis de memoria.
• unide.rb, para encontrar procesos ocultos mediante rootkits.

Todas estas herramientas vienen acompañadas por docenas de librerías, que se pueden consultar en el comunicado de Debian. Por lo demás, sólo queda esperar hasta que por fin se libere Debian 9 Stretch en las próximas semanas.

Vía | SoftPedia, Debian
En Genbeta | Debian 9 Stretch está a la vuelta de la esquina y traerá cambios consigo

Backtrack 4 es una distribución de Linux basada en Ubuntu que incluye numerosas aplicaciones para realizar tests de seguridad y análisis informático forenses. Gracias a esas aplicaciones Backtrack se ha convertido en una distribución imprescindible para los administradores de sistemas y profesionales de la auditoria informática.

La distribución incluye utilidades para la auditoría de redes wireless, scanners de puertos y vulnerabilidades, sniffers, archivos de exploits, etc.. la mayoría de ellas actualizadas a sus últimas versiones, pues la versión 4 de la distribución se lanzó hace poco más de 15 días.

Algunas de esas herramientas son: dnsmap, Netmask, PsTools, TCtrace, Nmap, Protos, utilidades para la detección de vulnerabilidad en redes Cisco, SQL Inject, SMB-NAT, SNMP Scanner, Pirana, Dsniff, Hydra, Sing, WebCrack, Wireshark, NSCX, Airsnort, aircrack, BTcrack, SNORT, Hexedit, etc.. hasta completar más de 300.

Backtrack 4 puede descargarse desde su página web o bien utilizando la red BitTorrent. Su forma de utilización es la habitual y puede ejecutarse directamente desde el DVD donde grabemos la imagen iso, desde un disco USB o bien instalarla en nuestro ordenador. También puede instalarse utilizando herramientas de virtualización como VMWare.

Después de probar Backtrack 4 por este último método, me atrevo a asegurar que es una solución muy profesional. La sensación que queda tras observar la cantidad de herramientas disponibles es abrumadora y no he podido evitar buscar en foros y otras páginas como utilizar alguna de ellas.

Seguramente si alguna vez algún conocido os comenta que va a romper la red wireless de vuestro vecino estará utilizando alguna de las aplicaciones incluidas en Backtrack. Por eso dominar todas ellas se hace bastante complicado si no se usan a diario y se conoce su aplicación concreta.

Enlace | Backtrack 4