Es noticia
Por qué frenar el espionaje masivo con Pegasus es más complejo de lo que parece
  1. Tecnología
ESCÁNDALO INTERNACIONAL

Por qué frenar el espionaje masivo con Pegasus es más complejo de lo que parece

La UE se muestra dispuesta a neutralizar o regular el uso del 'software' de NSO, aunque los expertos ponen en duda la efectividad de los posibles cortafuegos. Abogan por estrategias que no dependan de terceros

Foto: Pedro Sánchez, en una imagen de archivo. (Reuters/John Thys)
Pedro Sánchez, en una imagen de archivo. (Reuters/John Thys)
EC EXCLUSIVO Artículo solo para suscriptores

Hasta hace no mucho tiempo, Pegasus solo era conocido en los mentideros especializados en ciberseguridad y tecnología. Todo ha cambiado radicalmente en los últimos días, al menos en España. Primero, los independentistas, y después, la denuncia del Gobierno de que los terminales de Pedro Sánchez y la ministra de Defensa, Margarita Robles, habían sido espiados han hecho que el nombre de esta programa informático le resulte familiar a cualquier persona de a pie. Este 'spyware' (como se le denomina en la jerga especializada), creado por una empresa israelí llamada NSO Group, lleva en realidad mucho más tiempo dando que hablar... Concretamente, desde mediados de la pasada década, ya que los primeros informes sobre esta amenaza datan de 2016.

Foto: El experto en seguridad informática Etienne Maynier, del Tech Lab de Amnesty International en Londres. (Irene Gamella)

Desde ese momento, se ha producido un dilatado e incesante goteo de víctimas de este 'software'. Un listado ahora engrosado por algunas autoridades patrias, pero en el que ya figuraban personalidades como Boris Johnson, primer ministro británico; Emmanuel Macron, presidente francés; Angela Merkel, ex canciller alemana, o incluso Jeff Bezos, fundador de Amazon. Estos probablemente son algunos de los nombres más mediáticos del grupo de afectados, entre los que también se encontrarían abogados, activistas o periodistas de varias partes del mundo.

También se podría añadir a la lista de perjudicados Apple. Los iPhone, a pesar de que Pegasus se puede usar y se ha utilizado en Android, se han visto en el ojo del huracán después de que esta herramienta, creada en principio para ayudar a la lucha contra el crimen y el terrorismo, haya cuestionado la privacidad y la inviolabilidad de sus aparatos, algo que han convertido en un argumento de venta desde hace tiempo.

Muchas dudas sobre Pegasus

Fuera de los círculos especializados, Pegasus sigue envuelta en un denso aire de misterio y las preguntas no tardan en acumularse. ¿Siguen los agujeros que explota aún abiertos? ¿Cómo una empresa israelí es capaz de detectar unos fallos que nadie más ha visto? ¿Solo lo emplean gobiernos, como NSO asegura, o, por el contrario, también ha sido vendido a empresas? Por último, y no menos importante, ¿hay alguna forma de anticiparse o solo cabe enmendar los daños 'a posteriori'? ¿Puede neutralizar la UE esta amenaza, tal y como se ha mostrado dispuesta en las últimas horas?

Uno de los problemas que impiden obtener respuestas y certezas es que el 'modus operandi' ha ido cambiando con el paso del tiempo, al igual que las puertas que ha empleado en cada ataque. Por ejemplo, el informe de Citizen Lab y Amnistía Internacional apuntaba a que en el caso de los independentistas, el 'butrón' por el que se había producido la intrusión era una vulnerabilidad en iMessage, la 'app' de mensajería que incluyen los dispositivos de Apple.

placeholder Foto: Reuters/Edgar Sue.
Foto: Reuters/Edgar Sue.

Se trata de una vulnerabilidad de las conocidas como de 'día cero', es decir, que existen desde el día en que la actualización o la nueva entrega del sistema operativo u aplicación se pone en circulación. Estar añadiendo nuevas funciones y nuevas características regularmente exige tener una supervisión de esos posibles riesgos igual de intensa, cosa que no siempre se logra. Entonces, estos problemas se conocen cuando la comunidad de 'hackers' empiezan a chequear, por sus cuentas, las tripas de los diferentes desarrollos.

Mercado negro de 'agujeros'

"NSO ha procurado hacerse con un buen repositorio de 'exploits' en este tiempo y eso es lo que le ha permitido alcanzar ese nivel de sofisticación frente a otros 'spywares'. Porque, al fin y al cabo, Pegasus es un 'malware' más, comercial y muy efectivo, pero uno más de este tipo", explica José Antonio Lancharro Bervel, director del área de seguridad ofensiva de BlackArrow-Tarlogic.

Muchas veces estas vulnerabilidades no tardan en ser identificadas, bien por las propias compañías o por terceros, que muchas veces son remunerados con programas de pagos y recompensas que ponen en marcha las diferentes empresas por motivos obvios. Sin embargo, otras tantas acaban siendo objeto de puja en mercados secundarios. Eso es lo que habría permitido, explica Lancharro, a una empresa como NSO "conocer fallos que no han salido a la luz y explotarlos", bien haciendo ellos la compra directamente o adquiriéndolo a través de un bróker de 'exploits'. "Por los que más se suelen pagar es por los conocidos como 'zero click", apunta el experto. Por normal general, existe la idea de que un 'malware' que pretende robar información personal o credenciales depende de que la víctima pulse en un enlace o se descargue e instale un determinado archivo. La cuestión es que Pegasus puede hacerlo sin esa interacción.

WhatsApp o iMessage son algunos de los butrones que ha utilizado Pegasus

En Cupertino, no tardaron en parchear el problema cuando fueron conscientes y decidieron llevar NSO Group a los tribunales. Algo que también hizo Facebook cuando descubrió que la compañía israelí utilizó grietas en la estructura de WhatsApp para acceder a los mensajes de diversos usuarios. Pero ¿no está WhatsApp cifrado de extremo a extremo? Efectivamente lo está. El problema no se encuentra en el camino, que está encriptado evitando ataques intermedios. El problema puede estar en el origen o en el destino. "Los extremos se tienen que comunicar para establecer esa comunicación segura. Si el fallo se encuentra en ese punto, se puede comprometer la seguridad del dispositivo, a pesar de que esté encriptado el mensaje", añade Lancharro. "Esto, al final, es la clásica carrera que ocurre con la seguridad. Hay una competición constante para encontrar esos agujeros para aprovecharlos o evitar que se usen fraudulentamente".

También hay cierta confusión en torno a qué puede hacer exactamente Pegasus. No se trata de un mero programa de escuchas. Una vez el teléfono resulta infectado, el atacante puede llegar a tener barra libre. Puede leer las notas que tengas guardadas, pasearse por tu árbol de carpetas, leer tus mensajes en WhatsApp, Telegram, en tu 'app' de SMS o en tu correo electrónico. Incluso pueden activar remotamente micrófonos o las cámaras y ver o escuchar a distancia lo quee está ocurriendo en cada momento.

placeholder Un hombre consulta la web de NSO. (EFE/Atef Safadi)
Un hombre consulta la web de NSO. (EFE/Atef Safadi)

NSO Group ha defendido siempre que solo licencia y vende sus servicios a organismos estatales y que la orientación de productos como Pegasus es ayudar en la lucha antiterrorista o contra actividades criminales. Incluso asegura que tienen procesos internos para garantizar que no se producen abusos y excesos. "Hay evidencias de que se ha utilizado para vigilar a dirigentes y no solamente a delincuentes o terroristas", reflexiona Lancharro, que cree que esto es indicio de que este mercado de la cibervigilancia se ha descontrolado. Algo que ha removido las inquietudes de la UE, que ya busca vías para neutralizar este programa ante los últimos episodios que se han vivido en algunos de sus Estados miembros.

¿Se puede regular el uso de Pegasus?

La duda que surge es si existe una solución técnica efectiva para parar Pegasus o hacen falta otras estrategias. John Scott-Railton, uno de los principales investigadores de Citizen Lab, lo tiene claro. "La solución no es técnica. Las vulnerabilidades se parchean. Y luego la industria simplemente encuentra otras nuevas", escribía en su cuenta de Twitter este martes en un hilo en el que abogaba por crear "una regulación inteligente". Este experto sugería medidas como sanciones contra las compañías y ejecutivos que excedan los límites, listas negras de empresas y límites a la venta y la exportación de servicios...

Sobre otras maneras de combatir este tipo de programas, Scott-Railton ofrece una visión pesimista. "Hemos probado medidas técnicas. Es costoso y el problema no desaparece", escribía en la red social. "¿Litigio? Hemos visto demandas de víctimas y grandes plataformas. Pueden afectar a empresas específicas, pero requieren tiempo y no se ajustan a la escala de la regulación".

Javier Rodríguez, experto en ciberseguridad, muestra sus reservas en torno a esto. "La situación ideal sería lograr algo de lo que se ha logrado con el armamento tradicional. Es cierto que el armamento más rudimentario está más descontrolado, pero con los equipos más avanzados sí se ha conseguido controlar a quién se vende y en qué situaciones se puede utilizar", defiende. "Pero eso sería el mundo ideal, al final hay muchos intereses cruzados. Y es muy difícil que terceros países no paguen por tener unas capacidades como estas, por mucha regulación que haya".

Apuesta por una estrategia proactiva y no simplemente "reactiva", como ha sido el caso español. "Es muy difícil evitarlo. El atacante solo tiene que hacer una cosa bien. El que se defiende, o hace todo bien o cae", afirma, a la par que apuesta por tomar medidas adicionales, como hacer labores de contrainteligencia para adelantarse a estas amenazas, crear canales seguros y proveer 'software' específico asi como concienciar a los posibles blancos de estos ataques de que no hagan excepciones en el proceder que se establezca.

placeholder El líder de ERC, Oriol Junqueras, durante una comparecencia sobre el caso Pegasus. (EFE)
El líder de ERC, Oriol Junqueras, durante una comparecencia sobre el caso Pegasus. (EFE)

Rodríguez es contundente. "No vale hacer la comparación con un 'software' más. Se trata de una ciberarma. Se trata de fabricantes muy especializados para un mercado muy potente, que tiene mucho cliente y que mueve mucho dinero, tanto que solamente lo pueden pagar los Estados y para objetivos muy concretos. Es un poco locura pensar que estas empresas van a desaparecer", agrega.

En esta misma línea apunta Román Martínez, experto en ciberseguridad y fundador de la RootedCON, que opina que la regulación sería algo 'cosmético' más dirigido a calmar las inquietudes de la ciudadanía que realmente a poder evitar el problema. "Sí, una regulación te serviría si pillas a alguna empresa concreta para sancionarla. Pero hay que tener en cuenta que los países han utilizado herramientas siempre de vigilancia y las seguirán utilizando de una manera o de otra", comenta. "La solución técnica es muy complicada, casi imposible. Efectivamente, una vez parcheas, te va a aparecer otra vulnerabilidad. Así ha ocurrido siempre. Y es que los fabricantes a veces cometen errores que desde nuestro punto de vista son inexplicables", agrega.

No depender de terceros

Martínez apuesta por no "depender de terceros" y diseñar una estrategia de seguridad operacional complementaria. "Una solución puede ser comprar 10 móviles iguales, iPhone o el que sea, para el sujeto en cuestión y diseñar un circuito para regularmente cambiar de móvil, sin que se pueda predecir cuál es el dispositivo en concreto, y cortar el periodo de exposición a la vulnerabilidad", explica.

En el caso de soluciones como Pegasus, estamos ante 'malware' que no busca lo que se llama "persistencia". Es decir, este tipo de 'software', que deja pequeñas trazas pero no instala nada en el teléfono, porque "eso facilitaría mucho el análisis forense y detectar", por ejemplo, datos asociados al origen del ataque. Esto tiene una contrapartida, que cuando reinicias el móvil, también cortas la intrusión.

"Si lo haces mensualmente, la exposición va a ser de 29 días y no de varios meses. Cuanto más corto sea el circuito, más corta será la exposición. Tienes que ocuparte de que a la persona en concreto no le falten cosas como los contactos y otros cosas imprescindibles, pero eso es algo asequible". Si se quiere más seguridad, Martínez apuesta por tomar medidas adicionales como, por ejemplo, que "siempre que haya una reunión sensible" los móviles se queden en una "jaula de Faraday", que impida las escuchas y vigilar lo que se discute en los encuentros importantes. "Soluciones hay muchas para frustrar estos intentos. Y no hay que olvidar que son ataques costosos, por eso estas empresas suelen cobrar por ataque exitoso y no entregan, por así decirlo, el 'software' en mano", añade. "Si estás abortando los ataques constantemente, el coste probablemente no les salga a cuenta".

Hasta hace no mucho tiempo, Pegasus solo era conocido en los mentideros especializados en ciberseguridad y tecnología. Todo ha cambiado radicalmente en los últimos días, al menos en España. Primero, los independentistas, y después, la denuncia del Gobierno de que los terminales de Pedro Sánchez y la ministra de Defensa, Margarita Robles, habían sido espiados han hecho que el nombre de esta programa informático le resulte familiar a cualquier persona de a pie. Este 'spyware' (como se le denomina en la jerga especializada), creado por una empresa israelí llamada NSO Group, lleva en realidad mucho más tiempo dando que hablar... Concretamente, desde mediados de la pasada década, ya que los primeros informes sobre esta amenaza datan de 2016.

Pedro Sánchez Angela Merkel Tecnología IPhone
El redactor recomienda