Pegasus escaló otro nivel en España. Después de que un informe del Citizen Lab alertara de que este software de espionaje se usó para hackear los móviles de al menos 65 políticos, activistas y abogados del entorno independentista catalán y vasco, el Gobierno informó que los teléfonos de Pedro Sánchez y la ministra de Defensa, Margarita Robles, también fueron atacados. ¿Cómo actúa Pegasus? ¿Quién está detrás de la empresa israelí que lo desarrolla? ¿Qué es el Citizen Lab? ¿Es posible saber si un teléfono fue infectado? Estas son algunas de las claves que rodean al opaco y polémico Pegasus:

¿Qué es Pegasus?

Pegasus es un potente software de espionaje desarrollado por la compañía israelí NSO Group. Su principal característica es que puede tomar el control total del dispositivo de la víctima si consigue infectarlo: el atacante podrá leer los emails, SMS, mensajes de WhatsApp, Telegram o cualquier otra aplicación, escuchar las llamadas en curso, hacer pantallazos de lo que muestre el teléfono en cada momento, acceder al historial de navegación, a la lista de contactos o a la geolocalización. En la práctica, el teléfono infectado por Pegasus se convierte en un dispositivo espía controlado por los atacantes, puesto que estos pueden activar a voluntad la cámara o el micrófono y vigilar reuniones o encuentros. Esto hace que Pegasus no solo comprometa la seguridad de la víctima sino la de todos los que le rodean.

¿Cómo entra en el celular?

La vía de infección de Pegasus cambia con cada ataque. NSO Group analizó durante años los principales servicios tecnológicos para encontrar agujeros de seguridad y enseñar a Pegasus a aprovecharlos para infectar el móvil del objetivo. Estas brechas se conocen como zero day y se caracterizan por ser desconocidas para el servicio que las sufre. En la campaña de espionaje a los independentistas Pegasus usó un zero day en iMessage, un servicio de mensajería instantánea desarrollado por Apple para sus propios dispositivos. En el pasado había usado otro en WhatsApp. Las dos compañías estadounidenses parchearon de inmediato estos agujeros cuando tuvieron constancia de ellos y han llevado a los tribunales a NSO al conocer que Pegasus los ha utilizado de este forma.

Un zero day permite a Pegasus colarse en el móvil de la víctima sin dejar apenas rastro. Cuando no hay uno disponible, los atacantes también pueden recurrir a métodos tradicionales de infección como el phishing. En el hackeo contra los políticos, abogados y activistas del entorno independentista catalán y vasco se suplantó la identidad de instituciones públicas como Hacienda o la Seguridad Social, ONG o medios de comunicación. El Gobierno no ha confirmado cómo se produjo el ataque contra los móviles de Pedro Sánchez y Margarita Robles.

¿Quién puede utilizar Pegasus?

NSO defiende que solo vende Pegasus a Gobiernos legítimos para que lo utilicen para combatir el crimen. “NSO vende sus productos bajo licencia y regulación a los organismos de inteligencia y policiales. Estas herramientas críticas se utilizan para prevenir el terrorismo y la delincuencia en virtud de órdenes judiciales y de las leyes locales de sus países. Las tecnologías de NSO Group ayudaron a sus clientes a salvar miles de vidas en los últimos años”, contestó la empresa a elDiario.es al ser preguntada por el hackeo a los independentistas. La empresa con base en Herzliya, cercana a Tel Aviv, alude a que no puede facilitar su lista de clientes por motivos de seguridad.

Sin embargo, hay indicios que apuntan a que Pegasus no solo está en manos de gobiernos. La Fiscalía mexicana ha documentado que al menos una empresa privada lo usó para espiar a activistas y periodistas del país. Citizen Lab tampoco descarta que pueda estar en manos de actores privados.

¿A quién más atacó Pegasus?

Los hechos ponen en cuestión la versión que ofrece NSO también en lo referente a sus objetivos. El rastro de Pegasus ha sido encontrado en los teléfonos de activistas y periodistas que no estaban acusados de ningún delito desde hace años. Primero empezaron a evidenciarse casos de personas espiadas por regímenes autoritarios o conocidos por violar los derechos humanos de sus ciudadanos. Pegasus se encontró en los teléfonos de colaboradores y de la pareja de Yamal Kashogyi, el periodista presuntamente asesinado y descuartizado por agentes de Arabia Saudí en el embajada del país en Turquía en 2021.

Pero desde verano de 2021 el espectro de los infectados por Pegasus se ha multiplicado exponencialmente. El pasado julio una investigación liderada por el Citizen Lab de la Universidad de Toronto, Amnistía Internacional y varios medios internacionales destapó que el software de espionaje se había usado contra 50.000 personas. Había intentado atacar a los presidente francés Emmanuel Macron, a los máximos mandatarios sudafricano y al paquistaní, así como jefes militares y altos cargos políticos de 34 países. También se vieron afectados un gran número de activistas, abogados y periodistas.

Desde entonces ha habido un goteo constante de afectados. En abril el Gobierno británico comunicó que había hallado evidencias de que varios de sus miembros habían sido objetivos del programa, mientras que Bruselas admitió que los móviles del comisario europeo de Justicia y su equipo también fueron atacados.

La campaña de espionaje descubierta en España, que abarca los móviles de al menos 65 personas del entorno independentista, a los que ahora se suman los de Pedro Sánchez y Margarita Robles, es la más numerosa descubierta hasta ahora.

¿Quién controla que Pegasus no se use para el espionaje masivo?

Nadie. No hay una convención internacional para el control del software de espionaje. Tampoco un organismo supranacional que vigile que se use de manera responsable, ni con la capacidad de castigar a aquellos que lo lanzan de manera masiva, injustificada o indiscriminada.

Esta es la principal crítica ante cada escándalo de espionaje que rodea a Pegasus. Naciones Unidas y decenas de ONG han denunciado esta ausencia de una regulación internacional para el uso de programas de espionaje, así como de métodos para exigir responsabilidades tanto a NSO Group como al resto de empresas que los diseñan cuando se usa de forma indiscriminada. Porque ese es otro de los problemas: Pegasus se ha hecho muy conocido por sus múltiples ataques contra miembros de la sociedad civil, pero NSO es solo una de las firmas que se dedican a este negocio. Hay muchas más, buena parte provienen de Israel y todas se caracterizan por su opacidad.

En el espionaje contra los independentistas se usó también Candiru, desarrollado por otra compañía israelí del mismo nombre. Candiru utilizaba un zero day en Microsoft. Cuando lo descubrió, la multinacional detectó que este programa estaba espiando a un centenar de personas de 10 países. “Si no se hace nada para detener la venta de esta tecnología, no serán sólo 50.000 objetivos. Serán 50 millones de objetivos y va a ocurrir mucho más rápidamente de lo que creemos”, avisó Edward Snowden.

¿Cuál es el papel de Israel?

El Gobierno de Israel califica este tipo de software como un arma. No permite que sus empresas lo vendan al exterior sin su visto bueno. No obstante, este control tiene en cuenta motivos diplomáticos y de política exterior y no tanto los planes que el usuario final piensa darle al software.

¿Qué dice NSO ante estos escándalos?

NSO asegura que lleva a cabo una auditoría interna de cómo se usa Pegasus y que ha mejorado sus controles internos desde los primeros escándalos. En su memoria de transparencia relativa a 2021 explica que en 2021 tuvo 60 clientes en 40 países, más de la mitad agencias estatales de espionaje, detectando una decena de casos de mal uso de su programa. No da más detalles.

Sobre los repetidos informes del Citizen Lab y otras ONG sobre el espionaje indiscriminado a través de Pegasus, la firma dice que están movidos por propósitos anti-israelíes. “En los últimos años, NSO ha sido objeto de una serie de ataques de organizaciones con motivaciones políticas, muchas de ellas con conocidos sesgos antiisraelíes, para producir informes inexactos, incompletos y sin fundamento con el objetivo de presentar al público una visión distorsionada de la ciberinteligencia y revocar las necesarias herramientas de inteligencia tecnológica con las que agencias gubernamentales luchan contra el terrorismo y el crimen organizado”, dice un portavoz a elDiario.es.

¿Alguien actuó contra Pegasus?

Hasta ahora las únicas acciones contra Pegasus han derivado de decisiones unilaterales de diferentes gobiernos a raíz del impacto de los escándalos que lo rodean. EEUU ha puesto a NSO en su lista negra e impide a sus empresas e instituciones tener cualquier relación con ella o con su tecnología. Pero la UE no ha tomado una decisión similar, a pesar de que se han detectado ataques contra europarlamentarios o el comisario de Justicia.

El pasado diciembre, 82 organizaciones de la sociedad civil instaron a la UE a reconsiderar esa postura. Piden “incluir urgentemente a NSO en su lista de sanciones globales y tomar todas las medidas apropiadas para prohibir la venta, la transferencia, la exportación, la importación y el uso de las tecnologías del Grupo NSO, así como la prestación de servicios de productos de NSO, hasta que se establezcan las salvaguardias adecuadas en materia de derechos humanos”.

¿Cómo comprobar si un teléfono celular está infectado?

Pegasus y el resto de software de espionaje que desarrollan las empresas de esta industria se caracterizan por ser extremadamente avanzados e indetectables. Una de sus capacidades es autodestruirse si detectan que han infectado por error un dispositivo que no pertenecía a la lista de objetivos, o cuando el atacante ha concluido el espionaje sobre la víctima. Todo para dificultar que un tercero los detecte y borrar sus huellas.

Tras las revelaciones sobre el uso masivo de Pegasus contra políticos, activistas y abogados del pasado verano, Amnistía Internacional publicó un conjunto de herramientas para analizar un dispositivo en busca rastros de Pegasus. El paquete se llama Mobile Verification Toolkit y está disponible para su descarga en Github. La ONG recuerda en cualquier caso que no se trata de una aplicación pensada para el usuario medio sino “una herramienta de investigación forense destinada a tecnólogos e investigadores”.

“Su uso requiere comprender los fundamentos del análisis forense y utilizar herramientas de línea de comandos. No está pensada para la autoevaluación del usuario final. Si le preocupa la seguridad de su dispositivo, busque la ayuda de un experto”, recomienda Amnistía Internacional en la página de descarga.

¿Qué es el Citizen Lab?

El Citizen Lab es un departamento de investigación de la Universidad de Toronto. Sus investigadores se han especializado en el análisis forense digital necesario para rastrear las infecciones por Pegasus. Además de sus investigaciones sobre espionaje, el Citizen Lab ha entrado en otros campos. Durante la pandemia, por ejemplo, elaboró informes sobre la ciberseguridad de las aplicaciones de rastreo de contagios de coronavirus.

¿Por qué el Citizen Lab lleva la voz cantante en las investigaciones de Pegasus?

Los investigadores del Citizen Lab adquirieron experiencia en el análisis de Pegasus y las prácticas de la industria del ciberespionaje durante los años en los que parecía que este era un problema exclusivo de activistas y periodistas de estados autoritarios, colaborando con ellos para trazar los ataques de este software. Fruto de este trabajo y de la ausencia de un organismo internacional que ejerza algún tipo de control sobre la industria del espionaje digital, el Citizen Lab se ha convertido en la fuente de referencia en la investigación de Pegasus y del software de ciberespionaje en general.

NSO ha intentado torpedear el trabajo de este centro. Como reveló recientemente The Guardian, la firma estuvo recopilando información sobre ellos y contactó con las instituciones y donantes que lo financian para que dejaran de hacerlo. Novalpina, el fondo de inversión propietario de NSO, llegó a contratar a un estudiante que colaboraba con su director para supuestamente intentar extraerle información sobre él, aunque el fondo y el contratado lo niegan.

¿Quién financia el Citizen Lab?

El Citizen Lab recibe o ha recibido apoyo financiero del Centro Canadiense de Estudios de Seguridad Global, la Fundación Donner Canadian, la Fundación Hewlett, HIVOS, The Hopewell Fund, el Centro Internacional de Investigación para el Desarrollo (IDRC), la Fundación John D. y Catherine T. MacArthur, la Fundación Oak, Open Society Foundations, Psiphon Inc., The Sigrid Rausing Trust, el Consejo de Investigación de Ciencias Sociales y Humanidades de Canadá y la Fundación Walter y Duncan Gordon, refleja en su página web.

¿Quién está detrás de NSO?

NSO fue fundada Niv Karmi, Omri Lavie, and Shalev Hulio en 2010. Durante la siguiente década sus productos la convirtieron en una de las principales empresas del sector de la ciberseguridad israelí y llegó a tener más de 500 empleados. En 2019, cuando ya se habían destapado algunos casos del uso de Pegasus contra miembros de la sociedad civil, NSO fue vendida al fondo de inversión británico Novalpina por 1.000 millones de dólares.

Tan solo unos meses después de la compra empezaron los problemas de verdad para NSO. Un informe del Citizen Lab mostró que había diseñado Pegasus para aprovechar un agujero de diseño en WhatsApp y hackear a sus usuarios. WhatsApp y Facebook, su empresa matriz (renombrada a Meta) llevaron a la firma israelí a los tribunales en septiembre de 2019. Esta intentó evitar ser juzgada en EEUU alegando una supuesta inmunidad diplomática por sus acuerdos con gobiernos de todo el mundo. La justicia estadounidense ha rechazado recientemente este recurso, por lo que el proceso comenzará en breve. A él se unirá el litigio abierto por Apple, que denunció en 2021 a NSO al descubrir que estaba aprovechándose de una brecha en iMessage para su negocio de espionaje.

Estas denuncias, la exposición mundial de su negocio y la inclusión en la lista negra de EEUU ha provocado que Novalpina afirme que “ha perdido prácticamente toda su inversión en NSO”. En un litigio por el control de la empresa ante los tribunales británicos, los abogados del fondo de Capital riesgo han afirmando que no se han producidio nuevas contrataciones de Pegasus desde julio de 2021 y que está “absolutamente claro” que NSO ha quedado “sin valor”.