Cómo funciona el sistema Pegasus y por qué un país extranjero es señalado como responsable del espionaje a funcionarios del Gobierno en España

Desde el año 2016 el software Pegasus ha saltado a los medios periódicamente en relación con diferentes escándalos, acusaciones, rumores y denuncias.

Según un reporte de Marta Beltrán para THE OBJECTIVE, en estas últimas semanas, ha vuelto a ser noticia en relación con lo que parecen ser dos campañas diferentes, una dirigida a políticos y dirigentes independentistas catalanes (parece que Pegasus se utilizó para obtener información de líderes independentistas catalanes, de jueces y de miembros de la sociedad civil: un total de 63 personas habrían sido objeto de espionaje mediante el spyware) y otra a miembros del Gobierno de España, entre ellos el propio presidente, Pedro Sánchez, y la ministra de Defensa.

Pegasus es un software malicioso que se instala en teléfonos móviles que utilizan cualquiera de los dos sistemas operativos mayoritarios, es decir, Android (de Google) e iOS (de Apple).

Su misión es recopilar tantos datos como sea posible de la víctima cuyo teléfono se infecta. Para ello, exfiltra ficheros almacenados en el dispositivo, contactos y contraseñas, monitoriza conversaciones mantenidas con diferentes aplicaciones y servicios, controla el micrófono y la cámara, accede a la geolocalización, etc.

Cualquier persona puede ser víctima de este software y es difícil darse cuenta. Está diseñado para permanecer bajo el radar y dificultar la detección (incluso se puede autodestruir si es necesario).

Pero ¿cómo llega este software a instalarse en un teléfono móvil? Descartada la opción trivial, que implica que el atacante ha tenido acceso físico al dispositivo, las dos alternativas son:

Mediante un ataque de phishing dirigido (spear phishing) que hace que la víctima confíe en un enlace que le llega en un correo electrónico, SMS u otro tipo de mensaje. Al pinchar en este enlace, que no le resulta sospechoso, se produce la infección.

Mediante la explotación de vulnerabilidades no publicadas (y por lo tanto, no resueltas) de los sistemas operativos móviles o de las aplicaciones que todos solemos llevar instaladas. Este vector de entrada se denomina zero touch o zero click, ya que no es necesario que la víctima pinche en ningún enlace. La infección se produce sin necesidad de que colabore.

Pegasus no es el único software malicioso de estas características, ni mucho menos. Pero sí es uno de los más sofisticados por algunos de los motivos ya mencionados: funciona para los dos sistemas operativos, tiene una capacidad de recopilación de datos enorme, es difícil de detectar y puede infectar un dispositivo aprovechando vulnerabilidades no publicadas.

La empresa que está detrás de este software es NSO Group, una empresa israelí que está sujeta al control del Gobierno de ese país para la exportación de Pegasus, ya que se considera una ciberarma.

A lo largo de estos años, tanto la empresa como el Gobierno israelí han garantizado en diferentes ocasiones que la venta de Pegasus solo se realiza a clientes gubernamentales y que se considera una herramienta para la lucha contra el crimen, el terrorismo y otras amenazas para la seguridad nacional de los diferentes Estados y Gobiernos.

Hay que tener en cuenta que NSO Group no factura millones de euros solo por el software, sino por infectar teléfonos con él (el software de nada sirve si no se sabe cómo llegar a instalarlo en los teléfonos de las víctimas, y se paga por número de teléfono infectado) y por las herramientas de Command&Control que permiten controlarlo una vez instalado en los dispositivos para dificultar la detección y para exfiltrar todos los datos que se quieren recopilar.

Para ello, NSO Group cuenta con una infraestructura de red tremendamente sofisticada que se ofrece desde nubes privadas y públicas (la de Amazon incluida) y que cambia y evoluciona constantemente para que los servidores o dominios que emplea no se puedan utilizar en los indicadores de ataque o en listas de bloqueo (la Pegasus Anonymizing Transmission Network). Es curioso que la mayor parte de los servidores que conforman esta red estén ubicados en países europeos o en Estados Unidos.

Un buen análisis forense de un dispositivo móvil para comprobar si ha sido infectado, cómo, cuándo, qué datos se han extraído, etc. puede llevar de una a varias semanas si se tienen los medios y los conocimientos adecuados para hacerlo.

El laboratorio de seguridad de Amnistía Internacional publicó el verano pasado un informe muy exhaustivo con la metodología que siguieron en sus análisis de teléfonos infectados. Esta metodología es muy valiosa, aunque su seguimiento no implica garantía de éxito.

Pegasus se puede controlar desde el exterior del dispositivo, lo que implica que en muchos casos puede borrar sus propias huellas y dificultar enormemente cualquier análisis que se realice de su actividad. Por este motivo, a veces solo se recuperan fragmentos de información: se puede saber qué días se ha accedido a un teléfono y si se ha extraído un volumen de datos, pero no se puede saber cómo se infectó el teléfono o qué datos en concreto se han extraído, por ejemplo.

Los indicadores y herramientas que se publicaron con ese informe pueden ser de gran utilidad en los análisis que se están realizando actualmente en relación con los últimos casos conocidos.

Incluso dando por buena la versión oficial de NSO Group y el Gobierno israelí de que la venta de Pegasus solo se realiza a gobiernos, eso no garantiza que se cumplan los derechos humanos. De hecho, muchos de los clientes de la empresa son gobiernos autoritarios que han empleado la herramienta para vigilar a opositores, empresarios, abogados, periodistas o activistas de diferente naturaleza en diferentes países. En algunos casos, con consecuencias desgraciadas.

De nuevo, incluso dando por buena esa versión oficial, no se sabe a ciencia cierta si existen copias de Pegasus o mercado negro que permitan el acceso a este software a otros agentes que no sean gubernamentales y sin autorización.

Prohibir Pegasus, como se está proponiendo en algunos foros, no arreglaría nada. Siempre han existido personas o grupos que han querido vigilar, espiar y controlar a otras personas o grupos. En el mundo analógico o en el digital encontrarán la manera de hacerlo. Pegasus es solo un medio más, de los muchos disponibles. Y en ocasiones, esa vigilancia, espionaje y control, autorizadas por un juez y con todas las garantías, evitan males mayores. No lo olvidemos.

Lo que debemos hacer es no mirar hacia otro lado cuando regímenes autoritarios impiden a sus ciudadanos ejercer y disfrutar sus derechos fundamentales, sea por los medios que sea. E, internamente, tener claras las responsabilidades de cada uno de los agentes que participan en la seguridad nacional y exigir que se cumplan todas y cada una de ellas con diligencia, pero sin excesos.

En este sentido, hay que recordar a las personas que ocupan puestos de responsabilidad que los teléfonos móviles no son inocentes dispositivos para hacer y recibir llamadas, sino terminales inteligentes que permiten prolongar nuestra realidad física hacia la digital y que manejan multitud de datos sensibles. Estas personas no deben mezclar nunca su esferas personales y profesionales en sus dispositivos y deben seguir a rajatabla las indicaciones que les proporcionan sus equipos de seguridad. Aunque esto implique usar un teléfono antiguo o incómodo, sufrir latencias mayores al realizar algunas tareas o no poder usar la app de moda. Se debe sacrificar facilidad de uso o incluso funcionalidad en aras de la seguridad, que es la seguridad de todos.

En cuanto a los ciudadanos de a pie, Pegasus no debe preocuparnos, es demasiado sofisticado para malgastarlo con nosotros, aunque eso no significa que no estemos expuestos a amenazas equivalentes relacionadas con el espionaje de nuestros móviles por corporaciones, gobiernos o mafias.

Gobierno español señala a un país extranjero

El Centro Nacional de Inteligencia (CNI) de España ha admitido que se espió a un número determinado de los independentistas que aparecieron en la lista publicada por The New Yorker, pero para el resto de personas que han sido víctimas de escuchas, entre ellas el presidente del Gobierno, Pedro Sánchez, ha apuntado dos posibles ‘culpables’: un país extranjero o miembros de las denominadas ‘cloacas’ del Estado «que han espiado por encima de sus posibilidades legales».

Según otro reporte de Antonio Rodríguez y Ketty Garat en THE OBJECTIVE,  así lo ha desvelado el portavoz de ERC en el Congreso, Gabriel Rufián, tras escuchar las explicaciones que ha ofrecido la directora del CNI, Paz Esteban, ante los portavoces parlamentarios que integran la Comisión de Gastos Reservados. «Salimos como hemos entrado, no ha habido secretos ni oficiales ni extraoficiales», ha dicho Rufián, incidiendo en que no incumplía la ley al desvelar parte de esa comparecencia porque el grueso de la misma ha versado sobre cosas ya «filtradas» a los medios de comunicación.

Paz Esteban López

Rufián ha apuntado que si fuese un espionaje de una nación extranjera -puso de ejemplo a Marruecos y Rusia- se estaría ante una «negligencia diplomática brutal» que merecería responsabilidades políticas. Y con la segunda teoría, «si son organismos del Estado descontrolados que tengan programas de espionaje como Pegasus, pues también y exigiría responsabilidades políticas ya que pasaríamos de Guatemala a Guatepeor». THE OBJECTIVE publicó esta semana que Podemos y los independentistas atribuían a un «Villarejo del PSOE» el espionaje de Pegasus.

Esteban se refirió inicialmente a una potencia extranjera como la hipótesis que baraja el CNI sobre el origen del espionaje, pero cuando varios portavoces independentistas le inquirieron sobre la posibilidad de que detrás del uso de Pegasus estuviese algún elemento de las Fuerzas de Seguridad del Estado, la jefa de los agentes secretos ha respondido: «Lo desconozco».

El portavoz de Vox, Iván Espinosa de los Monteros, ha negado de forma categórica que la directora del CNI haya hablado de elementos descontrolados dentro de organismos estatales. Sin embargo, el portavoz de Podemos, Pablo Echenique, ha sugerido que las ‘cloacas’ pudieran estar detrás del citado espionaje. «No desveló nada si digo que mantenemos nuestras hipótesis sobre lo que el CNI no conoce. Y en este sentido nos quedamos más intranquilos respecto a lo que no conoce», ha dicho en rueda de prensa.

Echenique ha insistido en que «podrían haber quedado residuos en los aparatos del Estado» de épocas convulsas del pasado. «No lo sé, no tengo información pero salgo más intranquilo», ha insistido. A juicio de Rufián, Esteban ha acudido a la comisión con documentación que contenía varias autorizaciones judiciales para las escuchas que ha llevado a cabo el CNI.

Fuentes parlamentarias consultadas por THE OBJECTIVE apuntan a 18 casos documentados que se han repartido entre los diez portavoces parlamentarios. Además, no ha descartado que pudiera haber más en la actualidad, lo cual ha generado intranquilidad en varios grupos. «Defensa y el CNI son solo la punta del iceberg. Lo gordo está debajo», señala uno de los portavoces a este diario.

Además, tanto el portavoz de Podemos como sus homólogos de ERC y JxCAT han coincidido en que la comparecencia de Esteban «refuerza» que se asuman responsabilidades políticas y la necesidad de que el Gobierno valore desclasificar los documentos que la directora del CNI trasladó a los diputados. «Serviría a la ciudadanía para saber qué ha pasado», ha apuntado la catalana Miriam Nogueras.

La máxima responsable de los servicios secretos ha señalado que no podía hablar específicamente del programa ‘Pegasus’ y, por tanto, no ha ofrecido ninguna solución a esta situación. Tampoco ha dado muestras de querer asumir responsabilidades por el espionaje al presidente del Gobierno o la ministra de Defensa.

«Las explicaciones han sido del todo insuficientes. Persisten muchas incógnitas. Como nos temíamos, no se ha aclarado practicamente nada. No nos ha sorprendido. La comisión de investigación sigue siendo más necesaria que nunca», ha apuntado el portavoz de ERC a TV3. «Todavía hay muchas cosas por aclarar. Seguimos con las mismas incógnitas que teníamos a la entrada. Todas aquellas sorpresas que según la ministra de Defensa nos íbamos a encontrar en esta Comisión brillan por su ausencia. Muchas dudas, y pocas sorpresas».


Deja una respuesta

Tu dirección de correo electrónico no será publicada.