Pegasus: el software usado para espiar a Pedro Sánchez y a los independentistas

rochatotal//

Una investigación periodística internacional de julio de 2021 reveló el nombre de 14 jefes de Gobierno y de Estado, entre ellos el presidente de Francia, Emmanuel Macron, que se encontraban entre 50.000 personas de todo el mundo espiadas por ese programa, propiedad de la empresa israelí NSO. No obstante, Sánchez se ha convertido ahora en el primer jefe de Gobierno en admitir que su terminal ha sido hackeado por ese ‘software’. Esto plantea la interrogante:¿Cómo puede ser que el Ejecutivo central no haya detectado hasta 11 meses más tarde que el aparato del presidente fue infectado?

Este software de espionaje, desarrollado por la empresa israelí NSO Group, es capaz de acceder remotamente a los teléfonos para así extraer su información privada. Tal y como desveló Citizen Lab, Pegasus se utilizó para obtener información de líderes independentistas catalanes, de jueces y de miembros de la sociedad civil catalana: un total de 63 personas fueron objeto de espionaje mediante el spyware; también Pedro Sánchez y Margarita Robles fueron atacados. Pero ¿qué es y cómo funciona Pegasus?

Todo software es vulnerable por naturaleza, no importa el esfuerzo que se ponga en obtener un desarrollo 100 % seguro: siempre existe un resquicio por el que un atacante puede colarse hasta obtener el control del software y del dispositivo que lo ejecuta. Estas vulnerabilidades van parcheándose; ya sea porque las descubren sus desarrolladores como la comunidad que hace uso del software. Precisamente, es lo que ocurre con sistemas operativos como iOS o Android: son muy seguros, pero a menudo dejan puertas abiertas que tardan un tiempo en cerrarse.

Los  sistemas operativos como iOS y Android acusan vulnerabilidades que tanto Apple como Google van corrigiendo según el riesgo que presentan para sus usuarios. Las dos empresas poseen equipos destinados a asegurar la integridad de los sistemas, también ofrecen recompensas a quienes descubren fallos que los atacantes puedan aprovechar para colarse. Pero, dado lo populares que son los teléfonos, el gran número de empresas que toman parte en la fabricación de los móviles y debido al enorme interés por entrar en las entrañas de los sistemas para así atacarlos y obtener beneficios, no existe manera de que cada versión de iOS o de Android se distribuya sin vulnerabilidades. Por lo general sin excesivo riesgo.

Las vulnerabilidades son inherentes al software, sobre todo conforme éste crece en volumen hasta alcanzar las complejidades que entraña un sistema operativo para móviles. Y aquí es donde entran empresas como NSO Group: aprovechando los fallos encontrados en los teléfonos, los israelíes desarrollaron una plataforma de ataque capaz de infectar cualquier móvil. Cualquiera. Según afirman ellos mismos, “el software de Pegasus se instala basándose únicamente en los números de teléfono”.

NSO Group desarrollaba su software de ataque y espionaje adaptándolo a las distintas vulnerabilidades que iban sufriendo tanto los móviles Android como el iPhone. Dada su probada efectividad, la empresa israelí vendía su producto exclusivamente a los gobiernos y como una herramienta para “prevenir atentados terroristas, desarticular redes de pedofilia, sexo y tráfico de drogas, localizar a niños desaparecidos y secuestrados, localizar a supervivientes atrapados bajo edificios derrumbados y proteger el espacio aéreo contra la penetración perturbadora de peligrosos drones”. Pegasus actualmente no está disponible para su utilización (o al menos NSO Group no hace referencia pública a él).

Pegasus era un software espía o spyware que generalmente necesitaba la interacción de la víctima para ejecutarse en el teléfono, acceder a él y tomar su control para así robar la información necesaria y enviarla a los gobiernos que utilizaban la herramienta. Para ello utilizaban distintas vulnerabilidades de Android y de iOS, también de aplicaciones como WhatsApp. Por ejemplo, un atacante podía instalar el spyware a través de una llamada de WhatsApp, incluso sin que el usuario contestara; NSO Group también encontró la manera de abrir puertas traseras en el iPhone a través de iMessage.

Dada la potencia del spyware, y su capacidad para obtener información privada de cualquier teléfono, Pegasus se ha utilizado para atacar a distintas personalidades del panorama político español, también se usó en su momento para robar fotos íntimas de Jeff Bezos. En 2021 salió a la luz una lista con más de 50.000 números de teléfono de todo el mundo que podrían haber sido atacados con Pegasus.

NSO Group asegura que sus desarrollos buscan obtener información que prevenga de atentados terroristas y otros delitos, pero no parece que pueda contenerse su poder a esos casos tan vitales: como han demostrado los datos, cualquiera puede ser víctima de un spyware como pegasus. Y no importa que se utilice un Android o un iPhone: siempre habrá alguien capaz de encontrar vulnerabilidades críticas con las que colarse hasta la cocina de los teléfonos.

Pese a que la mayoría de nosotros jamás será objeto de un ataque con un spyware similar, nunca está de más extremar las precauciones. No hay que descargar archivos que nos lleguen por SMS, hay que tener mucho cuidado con los adjuntos de mail y, ante cualquier sospecha, conviene desconfiar. Toda precaución es poca.