Pegasus fue presuntamente usado para espiar a políticos españoles
Whatsapp confirmó que 1.400 personas fueron objetivos del 'spyware' Pegasus, que supuestamente accede a cualquier móvil solo con el número de teléfono
Las primeras alarmas saltaron en 2016, cuando un grupo de investigadores de Citizen Lab y de la empresa de ciberseguridad Lookup alertó de la amenaza que suponían los ataques dirigidos contra los móviles de personas de alto nivel.
Los investigadores acababan de detectar la existencia de Pegasus, un spyware (software de espionaje) destinado entonces a los móviles iPhone y desarrollado por una organización «especializada en ciberguerras» llamada NSO Group. Pegasus parecía tener ese propósito —espiar a personalidades— o al menos tenía el potencial de usarse con ese fin.
Fue gracias al que se cree fue uno de los primeros objetivos del software —un activista que recibió mensajes SMS con enlaces que le parecieron sospechosos— como los investigadores de Citizen Lab pusieron a prueba el software y concluyeron que se trataba del «ataque más sofisticado conocido» contra teléfonos móviles.
Pegasus, explicaron entonces los investigadores, aprovecha el uso continuo que hacemos del móvil para comunicarnos en todo momento y lugar a través de diferentes redes y formas, desde voz a imágenes pasando por mensajes de texto y apps de mensajería. De este modo obtiene todo tipo de información tanto del usuario del teléfono atacado (la víctima) como de su entorno, por ejemplo a través del micrófono del teléfono.
Los investigadores pudieron comprobar que Pegasus ganaba acceso total al teléfono aplicando la técnica de jailbreak. Este tipo de «hackeo» del teléfono es muy utilizada por usuarios «civiles», especialmente usuarios de iPhone, para «liberar» sus teléfonos e instalar software personalizado o apps que no están disponibles en la App Store; o para instalar gratis apps que son de pago, por ejemplo.
Acceso total al teléfono de la víctima, a todo lo que contiene y a su entorno
Aplicando el jailbreak, Pegasus gana acceso total al teléfono. Esto le permite desde leer cualquier mensaje o registro de llamadas hasta recopilar contraseñas registrando las pulsaciones de teclado, acceder al GPS, hacer capturas de pantalla, y acceder a los micrófonos y cámaras del teléfono para «oír» y «ver».
Además recopila datos de otras apps, como Telegram o Gmail, y utiliza la conexión del móvil para enviar toda esa información al atacante.
Los «clientes» de Pegasus pueden «personalizar» el software según las necesidades —qué hace, cómo y cuándo— y se sabe que Pegasus se cifra para ocultar su código e impedir que lo detecten los programas de seguridad y antivirus.
De un tiempo a esta parte se sabe que Pegasus está también disponible para Android, y se cree que desde principios de este año Pegasus puede instalarse en cualquier móvil sin necesidad de tocarlo, aplicando la técnica de 0-clic que posibilita su instalación «silenciosa,» según Amnistía Internacional.
Esto significa que, a diferencia del phising «normal» —el que supuestamente usaba originalmente y que requiere de una acción por parte del usuario, como hacer clic en un enlace recibido por mail— Pegasus ya no requeriría de la complicidad involuntaria del usuario: el software se instala simplemente conociendo el número de teléfono. Según los investigadores, basta incluso con hacer una «llamada perdida» por WhatsApp para instalarlo.
Acceso al móvil son tocarlo: basta con el número de teléfono
Según relató a en 2018 un empresario que asistió a una demostración de los productos de ciberseguridad y ciberguerra en las oficinas de NSO Group, en Israel, en la demostración se le pidió permiso para usar su móvil como objetivo, para enseñar a los asistentes el funcionamiento de Pegasus.
El empresario accedió, dio su número de teléfono y dejó el móvil sobre una mesa. «Pasados unos minutos pude ver en una pantalla de ordenador todo el contenido del teléfono sin que nadie lo hubiera tocado. Incluso accedieron a la función de teléfono y al micrófono. Todo fue automático,» contó entonces.
Se sospecha que Pegasus, además de aprovechar «agujeros de seguridad» en los móviles, también aprovecha agujeros de seguridad en las operadoras móviles.
Ante la preocupación que provocó la existencia de Pegasus, la compañía que lo desarrolla declaró al New York Times que “nuestro producto está destinado a ser utilizado exclusivamente en la investigación y prevención del crimen y del terrorismo”.
Sin embargo Amnistía Internacional solicitó el año pasado una prohibición para exportar el software Pegasus al considerar que «viola derechos humanos fundamentales» y que se utiliza por parte de gobiernos internacionales para «espiar a activistas y con fines de vigilancia masiva.»
Según el medio RT, NSO Group acaba de ganar el caso en los tribunales, que por ahora no van a prohibir que siga exportándose.
Una software que cuesta «decenas de millones»
Según expertos del sector, cada licencia de Pegasus cuesta uno 70.000 euros por ‘usuario’ (por objetivo) por lo que los compradores —normalmente gobiernos y fuerzas de seguridad— pagan «decenas de millones de dólares» por utilizarlo.
Según el diario británico The Guardian, el presidente del parlamento de Cataluña, Roger Torrent, fue una de las posibles víctimas del software Pegasus en 2019, en lo que expertos citados consideran «espionaje político local».
Fue precisamente Citizen Lab, quien diera las primeras voces de alarma en 2016, quien identificó que uno de los números de teléfono detectados recientemente en ataques atribuidos a Pegasus correspondía a Torrent.
En su caso el ataque se habría realizado a través de WhatsApp: la compañía de mensajería cree que entre abril y mayo de 2019 hasta 1.400 de sus usuarios fueron supuestamente objetivos del software espía Pegasus en diferentes países.
Además de políticos, estos ciberataques fueron supuestamente dirigidos también contra periodistas, activistas o diplomáticos, entre otros, lo que el año pasado llevó a Facebook (propietaria de WhatsApp) a demandar a la compañía NSO Group.
The Guardian destaca que el de Torrent sería el primer caso que relaciona el uso de Pegasus dentro de Europa. Sin embargo, aunque Citizen Lab confirma el uso del programa Pegasus, «no podemos confirmar quién es el atacante», dice en Vice Ronald Deibert, director de Citizen Lab.
