Es noticia
Nadie sabe cuántos 'Pegasus' andan sueltos y eso es lo que debería preocuparnos
  1. Tecnología
ASÍ SON LOS PROGRAMAS DE ESPIONAJE

Nadie sabe cuántos 'Pegasus' andan sueltos y eso es lo que debería preocuparnos

Pegasus ha sido la estrella del 'software' de espionaje, pero es un programa más dentro de un negocio millonario. Se desconoce cuántas empresas ofrecen este servicio, pero hay una certeza: son muchas y operan con total opacidad

Foto: Pedro Sánchez en una imagen de archivo. (EFE/Emilio Naranjo)
Pedro Sánchez en una imagen de archivo. (EFE/Emilio Naranjo)
EC EXCLUSIVO Artículo solo para suscriptores

Pegasus está por todos lados. El ‘software’ de espionaje, desarrollado por la compañía israelí NSO, sigue cobrándose titulares y nuevas víctimas. Su impacto es innegable y las consecuencias son imprevisibles, pero lo cierto es que se dibuja como un árbol en mitad de un bosque del que es difícil predecir lo oscuro y extenso que es. Nadie sabe cuantificar si son cientos o miles las apps similares, ofreciendo servicios y una opacidad parecida o incluso mayor. En definitiva, que Pegasus puede ser únicamente la punta del iceberg.

El programa pionero de este tipo fue Carnivore, que fue creado por el FBI en 2005 y, aunque ha quedado desfasado, es una buena muestra de cómo ha cambiado esta industria. "Lo que se llama 'spyware' ['software' espía] existe desde los primeros ordenadores con Windows, pero que haya empresas que ofrecen servicios a terceros es un concepto más nuevo", comenta Juan Caballero, investigador de IMDEA Software y especialista en seguridad informática, que lo ve como "una evolución natural del cibercrimen, que se ha convertido en un gran negocio". Una de las consecuencias es que "permiten que estados que no invierten en este tipo de armas cibernéticas puedan hacerlo". Ahí está el caso de El Salvador, que tiene un PIB per cápita de poco más de 4.000 dólares y ha sido uno de los países señalados por las investigaciones de Amnistía Internacional y CitizenLab.

Foto: Pedro Sánchez, en una imagen de archivo. (Reuters/John Thys)

De todos modos, es difícil de establecer cuántas empresas de este tipo están operando en todo el mundo, ya que el sector se ha expandido enormemente en la última década y se caracteriza por su opacidad. Así, la ONG Privacy Internacional publicó en 2017 una base de datos –hoy no operativa– en la que había más de 500 empresas de vigilancia, aunque hoy seguramente sean muchas más. En aquel entonces, el ranking de países de origen lo encabezaban Estados Unidos (122), Reino Unido (104), Francia (45), Alemania (41) e Israel (27), que ya entonces tenía el mayor número de compañías de vigilancia por habitante. Además, tampoco es fácil saber cuánto mercado tiene cada una, ni mucho menos sus clientes.

Todo lo que tienen en común

"Todos estos servicios se parecen mucho entre sí en cuanto a funcionalidad, porque buscan dar un acceso lo más completo posible al equipo", comenta este especialista en 'software'. Así, se suele ofrecer un paquete con herramientas básicas de espionaje, como pueden ser la consulta de registro telefónico o la activación de la cámara en remoto. Después, el precio se va encareciendo según se quieran funciones más específicas (por ejemplo, entrar en una determinada aplicación del móvil). "Buscan explotar vulnerabilidades de los sistemas que las grandes tecnológicas no conocen. No siempre las investigan ellos; también hay gente que se dedica a buscarlas y, cuando las encuentra, las vende al mejor postor, que las usa hasta que las descubran", explica.

Hay dos factores que son clave para determinar el precio que paga cliente, que puede ser de varios millones de euros. Uno de ellos es el sistema operativo del dispositivo a infectar –IOs es más complicado de quebrar y, por tanto, más caro–, mientras que el otro es la forma de entrada del 'spyware'. Es decir, si para infectarse es necesario hacer 'clic' en algún enlace fraudulento ('phishing') que se haga pasar por una institución o empresa; o si, como en el caso de Pegasus, basta con algo tan banal como recibir una videollamada, aunque no se responda.

placeholder La web de NSO, creadora de Pegasus. (EFE/EPA/Atef Safadi)
La web de NSO, creadora de Pegasus. (EFE/EPA/Atef Safadi)

Román Ramírez, experto en ciberseguridad, comenta que todos estos programas suelen tener los móviles como objetivo principal, ya que "son una sonda para cualquier persona". "No solo tienes datos del usuario y sus contactos, sino un elemento táctico físico allá donde esté esa persona, porque casi nadie deja el móvil en casa. Encima, no tiene ningún control, porque cuando tienes un bicho en un teléfono, es Dios ahí dentro y puede hacer lo que quiera", apostilla.

Lo que también suele repetirse es la justificación que hacen las empresas para desarrollar 'spyware'. "Primero dicen que solo se vende a gobiernos buenos para combatir el crimen, luego solo a gobiernos; después solo a organizaciones buenas para pasar a solo organizaciones... Y así, es siempre lo mismo", lamenta este experto. Como ya se ha visto, se han acabado vendiendo al mejor postor para espiar a presidentes, periodistas o activistas.

El 'spyware' que odia a Wikileaks

FinFisher es uno de los 'spyware' que más ha sonado en estos años y tiene detrás a Gamma Internacional, una empresa angloalemana. En este caso, la aplicación está destinada a todo tipo de dispositivos, desde móviles a servidores, donde entraba suplantando el nombre comercial de otras firmas. Uno de los métodos que usó para colarse fue hacerse pasar por un complemento del navegador Firefox, algo que provocó que su desarrolladora, Mozilla, lanzara un duro comunicado contra esta firma.

Foto: El experto en seguridad informática Etienne Maynier, del Tech Lab de Amnesty International en Londres. (Irene Gamella)

Entre 2011 y 2015, se descubrió que el programa se había utilizado para espiar a activistas en países como Egipto, Baréin, Etiopía o México, donde el diario 'Reforma' reveló que fue el propio estado el que compró este 'software' a través de una tercera empresa. El golpe más duro se lo asestó Wikileaks, que a finales de 2014 publicó buena parte de su código. "FinFisher continúa operando descaradamente desde Alemania, vendiendo malware de vigilancia armado a algunos de los regímenes más abusivos del mundo", denunció su fundador, Julian Assange, que también señaló que esta filtración ayudaría a "construir herramientas que protejan a la gente de FinFisher, incluyendo el rastreo de sus comandos y centros de control". Aunque hoy sigue activa, la revelación ha hecho que haya perdido fuelle en el sector.

Las tripas del Predator del espionaje

No es la única firma que ha visto cómo se filtran los secretos de su arma más preciada. Desde que comenzó sus investigaciones sobre 'software' espía, Amnistía Internacional cuenta un repositorio en GitHub para difundir los códigos con los que trabajan estas empresas. Hace meses ya lo hizo con la propia NSO, pero también con Cytrox (lo puedes ver aquí), una compañía sede en Israel y Hungría que, según explica en su web, ofrece "soluciones cibernéticas operativas" desde 2017. Es parte de Intellexa, una alianza de varias empresas del sector para competir con Pegasus y sobre cuya actividad apenas hay registros.

placeholder Foto: Reuters/Steve Marcus.
Foto: Reuters/Steve Marcus.

En este caso, su 'spyware' se llama Predator y funciona de forma similar al resto: se puede colar hasta la cocina, pero necesita que la víctima pique antes con un 'clic' a algún enlace malicioso. Hasta el pasado diciembre, era un completo desconocido. Fue cuando Amnistía Internacional y CitizenLab publicaron una investigación que concluía que se utilizó para hackear a dos personalidades egipcias –el político exiliado Ayman Nour y un periodista cuyo nombre no se reveló– en verano de 2021. Lo más llamativo fue que el análisis forense estableció que el dispositivo del primero había sido infectado al mismo tiempo con Pegasus y Predator. "El hecho de que un solo individuo sea objeto de ambos pone de manifiesto que la práctica de 'hackear' a la sociedad civil va más allá de cualquier empresa mercenaria de 'software' espía", indicaban en las conclusiones.

El otro espía que se coló entre independentistas

Sourgum es otro de los programas de espionaje más conocidos. Lo desarrolla Candiru, una de las empresas de espionaje más importantes de Israel, cuyo presidente, Isaac Zack, fue también fundador de NSO. Este 'software' se centra en infectar todo tipo de dispositivos pero, de nuevo, la puerta de entrada no es tan sutil como en Pegasus, pues aquí sí necesita que se haga clic en algún enlace. Después, puede penetrar en sistemas operativos de Microsoft, Google y Apple.

Foto: Foto: Reuters.

El nombre de este 'software' era un desconocido hasta el pasado verano, cuando un análisis de CitizenLab y, precisamente, Microsoft, reveló parte de sus prácticas. En concreto, señalaban que se había vigilado a un centenar de personas con Sourgum. Uno de los casos más conocidos fue el de los independentistas catalanes, donde Pegasus fue la herramienta principal, pero no la única. Así, se habría empleado para atacar los móviles de un amigo de la infancia de Carles Puigdemont y de Xavier Vives y Pau Escrich, creadores de Vocdoni, una plataforma de votaciones digitales que Òmnium utilizó para sus elecciones internas. Entre los afectados, también está Elies Campo, que trabaja como asesor de esta firma y es miembro de CitizenLab.

La peligrosidad de lo que no se ve

Ahora viene una noticia buena y otra mala. La buena es que ya se conoce cómo actúa este 'software', ya que su popularización juega en su contra. "Cuanto más se extiende, más fácil es que se detecten y pierdan su valor", dice Caballero, de IMDEA. Pero la mala es que no se sabe cuántos hay ni cómo actúan.

placeholder Foto: EFE/Quique García.
Foto: EFE/Quique García.

"Si yo fuera una agencia, dejaría que me pillaran con Pegasus para que, mientras, me dejaran hacer con otros programas", explica el especialista Ramírez. Él tiene claro que lo que ha diferenciado a Pegasus ha sido que "les han pillado, se ha evidenciado que cualquiera puede ser espiado y ahora está en boca de todo el mundo".

En este sentido, recalca que "los más conocidos lo están haciendo de pena", ya que "casi nadie tiene identificados a los que son verdaderamente chungos". "La peligrosidad de verdad es la que no ves, porque nadie sabe que está ahí", recuerda.

* Si no ves correctamente este formulario, haz click aquí

Pegasus está por todos lados. El ‘software’ de espionaje, desarrollado por la compañía israelí NSO, sigue cobrándose titulares y nuevas víctimas. Su impacto es innegable y las consecuencias son imprevisibles, pero lo cierto es que se dibuja como un árbol en mitad de un bosque del que es difícil predecir lo oscuro y extenso que es. Nadie sabe cuantificar si son cientos o miles las apps similares, ofreciendo servicios y una opacidad parecida o incluso mayor. En definitiva, que Pegasus puede ser únicamente la punta del iceberg.

Móviles
El redactor recomienda