Los secretos de Pegasus en una de las cuatro torres de Madrid: "Se puede saber qué le robaron a Sánchez"

Pegasus es el programa espía desarrollado por la industria tecnológica de Israel capaz de introducirse en el teléfono y robar cualquier información sensible sin que el afectado se percate. El presidente del Gobierno, Pedro Sánchez, fue víctima de este ataque, cuya investigación se ha reabierto recientemente en la Audiencia Nacional. Se sabe la cantidad de gigas que le quitaron, pero a día de hoy no ha trascendido qué información concreta se llevaron de su móvil. "Es posible saberlo", confirman desde BeDisruptive, empresa de ciberseguridad con sede en las cuatro torres que dominan el skyline de Madrid.

Acostumbrados a analizar el Pegasus, estos especialistas añaden que el modus operandi puede dar pistas sobre el autor del ataque. "Lo de Pedro Sánchez fueron 2,6 gigas. Es mucha información, traducido en minutos de voz serían unos 12.000 minutos, es algo bastante fuerte. Pegasus puede robar SMS, correos, WhatsApp, Telegram, Signal, fotos, grabar llamadas, acceso al calendario, libreta de contactos… es decir, todo", indica en conversación con El Confidencial Roberto Lara, uno de los responsables de esta empresa.

Dicen ser capaces, no solo de medir el material extraído en términos de cantidad, sino precisar exactamente qué han robado del dispositivo. Saber quién ha sido es más complicado, aunque no imposible. Lo comparan con la investigación de cualquier crimen, donde se llega al responsable tras analizar su modus operandi. "Las técnicas y tácticas que hayan utilizado para entrar a robarte y lo que te han robado te puede llevar a un grupo criminal o a otro, incluso pueden dejar algún rastro, pero no suele ser lo habitual. Es difícil", admiten.

La forma de infiltrarse de Pegasus es muy básica: "Es un SMS que te entra, pinchas y te infectas. O te envían un GIF o una foto desde un contacto desconocido y ya te infectas. No hace falta ni que pinches. La solución más segura es el zero trust, no confiar en nadie que no conozcas". El magistrado de la Audiencia Nacional José Luis Calama reabrió el mes pasado la causa sobre el espionaje de los dispositivos móviles del presidente del Gobierno, Pedro Sánchez, y de los ministros Margarita Robles, Fernando Grande-Marlaska y Luis Planas.

El juez Calama dio este paso después de que las autoridades de Francia le hayan remitido documentación sobre el software espía y sobre la empresa israelí que posee el mismo, NSO Group, fundada por antiguos miembros de los servicios secretos israelíes. "No es imposible llegar a saber quién infectó el móvil de Pedro Sánchez", insisten en BeDisruptive, pero "seguramente va a llegar un momento en el que se necesite algo más que herramientas tecnológicas".

"Los ciberdelincuentes siempre suelen dejar señuelos para volver a entrar tiempo después"

"Puedes llegar a una conclusión, el mundo digital ayuda mucho, pero al final vas a necesitar una fuente humana que te cuente algo", zanja Lara al tiempo que avisan: "Los malos siempre suelen dejar señuelos para volver a entrar tiempo después".

Esta empresa de ciberseguridad ha elaborado un informe sobre Pegasus en el que recuerda que "NSO Group afirma que el programa es un producto de alto costo diseñado para la Seguridad Nacional, orientado hacia la lucha contra el terrorismo, el yihadismo y otros grupos criminales, y no para su uso en el sector privado". El documento interno de BeDisruptive se refiere a "informes del Servicio de Inteligencia del Reino Unido", según los cuales, "Marruecos ha sido identificado como presunto responsable del espionaje" a Sánchez y su Gobierno.

Sala de seguridad ocupada por 'hackers'

Las oficinas de esta empresa se ubican en lo alto de uno de estos edificios desde donde se divisa toda la ciudad. En ese lugar está ubicado uno de los pocos centros de operaciones de seguridad del mundo que no está bajo tierra, lo más habitual. Consiste en una sala de seguridad a la que ni siquiera los empleados pueden entrar con su móvil personal. Es un búnker con ordenadores en los que no se puede introducir ningún archivo, tampoco conectar ningún dispositivo no autorizado. Nada sale de las oficinas, cuyos accesos están restringidos y controlados por detectores biométricos. El Confidencial accede a esta área reservada con la condición de no fotografiar las pantallas de los monitores.

Los vigilantes que ocupan los puestos del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) son también de lo más variado. "Tenemos ingenieros informáticos y de telecomunicaciones, pero también hay gente que viene de letras. Tengo gente que ha estudiado Antropología, un criminalista, gente que ha estudiado Derecho… y luego tenemos hackers", dice Lara, director del SOC. En este punto, es importante hacer una aclaración sobre este último término, a veces utilizado peyorativamente.

Un hacker es alguien con profundos conocimientos tecnológicos, que los puede usar para delinquir o para todo lo contrario. Estos últimos reciben el nombre de white hat (sombrero blanco), un argot que también usa la policía para distinguirlos de los criminales. Ese es el personal que tiene BeDisruptive. De hecho, la empresa exige una hoja de antecedentes limpia para participar en según qué proyectos. "Estos perfiles vuelan, se los rifan. En este campo hay pleno empleo. Es un sector bien pagado, hay poca gente", advierten. Señalan que en ocasiones hay miembros de las fuerzas de seguridad que se especializan en este campo y se pasan a la empresa privada.

TE PUEDE INTERESAR

El juez del caso Pegasus ordena al CNI conservar el volcado del móvil de Sánchez

Pablo Gabilondo

Desde la compañía cuentan —hasta donde les está permitido— que la colaboración con las fuerzas de seguridad del Estado es permanente: "Nosotros trabajamos con el Centro Criptológico Nacional, con el Instituto Nacional de Ciberseguridad, con la Policía y con la Guardia Civil". "Aquí se conocen todos", apunta otra responsable.

BeDisruptive trabaja principalmente para empresas privadas, ya sea un banco, una cadena de ropa con una línea de venta por internet o simplemente particulares. Sus servicios son lo suficientemente caros como para que nadie en la empresa quiera responder a la pregunta sobre cuánto cuesta su asistencia técnica para evitar ciberataques.

El riesgo puede ser un hacktivista que quiere boicotear una empresa para luego difundir su acción hasta uno de los muchos delincuentes que se lucran robando datos personales de ficheros que luego se venden al peso en la deep web, el internet oculto, terreno del crimen organizado. Las mafias compran esa información para luego llevar a cabo estafas mandando correos electrónicos o mensajes a los teléfonos.

BeDisruptive cuenta con equipos de detección y respuesta, un departamento forense digital, inteligencia "como la que puede tener un Estado a menor escala, que se dedica a investigar" y un equipo de seguridad ofensiva —los hackers— que ponen a prueba los sistemas de ciberseguridad de las empresas. Las amenazas son múltiples dentro de una industria en auge.

"No te imagines a un 'Iván' (nombre ruso) en su casa con un ordenador. Son auténticas empresas". Lo dice uno de los forenses de la compañía. Atiende a El Confidencial mientras escruta un disco duro abierto en dos sobre la mesa de su laboratorio.

TE PUEDE INTERESAR

Así trafican con tus datos las mafias para después estafarte: hasta un millón por un listado

Alejandro Requeijo

Una lupa le permite apreciar con detalle los chips del dispositivo oscurecidos por haber estado bajo el agua. Es como una autopsia digital: "¿Ves que las ranuras de la izquierda están más oscuras?, las estoy limpiando porque si no la conectividad no es buena y me está dando errores a la hora de recuperar todo el dato forense".

Entre 30 o 45 minutos bastan para saber si te han infectado el teléfono. "Yo soy teleco, pero no hay ninguna carrera que te enseñe esto. Es tener curiosidad y echarle horas. La delincuencia va generalmente cinco o seis meses por delante", comenta el forense.

De Pegasus a Predator

Cuando se pregunta a los especialistas por Pegasus parece como si fuera algo ya pasado. "Para nosotros es uno más", afirman al tiempo que ya citan nombres de programas más novedosos como Predator, algo así como una evolución del que infectó el teléfono del presidente.

Insisten en no decir precios, pero explican que sus servicios sí los podría contratar una pyme. Con todo, lo ideal es invertir en prevención. "Si a un cliente le han metido un virus o le han infectado de alguna forma, nosotros aquí llegamos a la raíz, al vector de entrada, detectamos cómo y cuándo se ha accedido, quién ha sido por el modus operandi empleado, qué tácticas ha usado, qué te han quitado…".

La ciberdelincuencia mueve hoy al año más dinero que el narcotráfico y la trata de seres humanos juntos, según esta empresa. El Instituto Nacional de Ciberseguridad anunció la semana pasada que en 2023 gestionó más de 83.000 incidentes, lo que supone un incremento del 24% con respecto al año anterior.

España es el tercer país más atacado del mundo a pesar de ser una referencia en ciberseguridad. Desde BeDisruptive apuntan a que siempre hay dinero como telón de fondo: "En ocasiones roban información para luego extorsionar. Un informe clínico se vende a unos 1.000 dólares en la deep web, un DNI o datos personales se venden a unos 30 dólares".

BeDisruptive cuenta con el aval de su director general, Xabier Mitxelena, considerado uno de los padres de la ciberseguridad en España. Fundó su primera compañía a finales de los noventa, poco después del inicio de Internet. Es un ingeniero industrial que vio una amenaza donde nadie más la veía entonces. A su juicio, lo que hace falta es un cambio en la mentalidad en un mundo cada vez más conectado donde "el gran ataque digital está todavía por llegar".

Considera necesario que Europa entienda que hay que invertir en crear productos seguros y no programas de seguridad para esos productos. Lo compara a cuando en el pasado había que comprar un programa antivirus el mismo día que se compraba el ordenador. "El concepto debe ser que te compres un ordenador seguro, sin que te haga falta el antivirus". Cifra en 17 billones al año el dinero genera la ciberdelincuencia. Representaría, dice, la tercera o segunda economía del mundo. Es un problema global. "Han sido necesarios 25 años para que nos hagan caso", lamenta.