La misión del software es recopilar tantos datos como sea posible de la víctima cuyo teléfono se infecta. Para ello, exfiltra ficheros almacenados en el dispositivo, contactos y contraseñas.
Desde el año 2016 el software Pegasus ha saltado a los medios periódicos en relación con diferentes escándalos, sospechas, rumores y denuncias.
En estas últimas semanas, ha vuelto a ser noticia en relación con lo que parecen ser dos campañas diferentes, una dirigida a políticos y líderes independentistas catalanes (parece que Pegasus se obtuvo para obtener información de líderes independentistas catalanes, de jueces y de miembros de la sociedad civil: un total de 63 personas habrían sido objeto de espionaje mediante el spyware) y otros miembros del Gobierno de España, entre ellos el propio presidente, Pedro Sánchez, y la ministra de Defensa.
¿Qué es y para qué sirve?
Pegasus es un software malicioso que se instala en teléfonos móviles que utilizan cualquiera de los dos sistemas operativos mayoritarios, es decir, Android (de Google) e iOS (de Apple). Su misión es recopilar tantos datos como sea posible de la víctima cuyo teléfono se infecta. Para ello, exfiltra ficheros almacenados en el dispositivo, contactos y contraseñas, monitoriza conversaciones mantenidas con diferentes aplicaciones y servicios, controla el micrófono y la cámara, accede a la geolocalización, etc.
Cualquier persona puede ser víctima de este software y es difícil darse cuenta. Está diseñado para permanecer bajo el radar y dificultar la detección (incluso se puede autodestruir si es necesario).
Pero ¿cómo llega este software a instalarse en un teléfono móvil? Descartada la opción trivial, que implica que el atacante ha tenido acceso físico al dispositivo, las dos alternativas son:
- Mediante un ataque de phishing dirigido (spear phishing) que hace que la víctima confie en un enlace que le llega en un correo electrónico, SMS u otro tipo de mensaje. Al pinchar en este enlace, que no le resulta sospechoso, se produce la infección.
- Mediante la explotación de vulnerabilidades no actualizadas (y por lo tanto, no resueltas) de los sistemas operativos móviles o de las aplicaciones que todos solemos llevar instaladas. Este vector de entrada se denomina zero touch o zero click, ya que no es necesario que la víctima pinche en ningún enlace. La infección se produce sin necesidad de que colabore.
Pegasus no es el único software malicioso de estas características, ni mucho menos. Pero sí es uno de los más sofisticados por algunos de los motivos ya mencionado: Funciona para los dos sistemas operativos, tiene una capacidad de recopilación de datos enorme, es difícil de detectar y puede infectar un dispositivo aprovechando vulnerabilidades no publicadas.
Quién está detrás y quién tiene acceso a él
La empresa que está detrás de este software es NSO Group, una empresa israelí que está sujeta al control del Gobierno de ese país para la exportación de Pegasus, ya que se considera una ciberarma.
A lo largo de estos años, tanto la empresa como el Gobierno israelí han garantizado en diferentes ocasiones que la venta de Pegasus solo se realiza a clientes gubernamentales y que se considera una herramienta para la lucha contra el crimen, el terrorismo y otras amenazas para la seguridad nacional de los diferentes Estados y Gobiernos.
Hay que tener en cuenta que NSO Group no factura millones de euros solo por el software , sino por infectar teléfonos con él (el software de nada sirve si no se sabe cómo llegar a instalarlo en los teléfonos de las víctimas, y se paga por número de teléfono activado) y por las herramientas de Command&Control que permiten controlarlo una vez instalado en los dispositivos para dificultar la detección y para exfiltrar todos los datos que se quieren recopilar.
Para ello, NSO Group cuenta con una infraestructura de red tremendamente destacada que se ofrece desde nubes privadas y públicas (la de Amazon incluida) y que cambia y evoluciona constantemente para que los servidores o dominios que emplean no se pueden utilizar en los indicadores de ataque o en listas de bloqueo (la Pegasus Anonymizing Transmission Network). Es curioso que la mayor parte de los servidores que conforman esta red estén ubicados en países europeos o en Estados Unidos.
Cómo saber si un dispositivo ha sido realizado
Un buen análisis forense de un dispositivo móvil para comprobar si ha sido logrado, cómo, cuándo, qué datos se han extraído, etc. puede llevar a cabo de una a varias semanas si se tienen los medios y los conocimientos adecuados para hacerlo.
El laboratorio de seguridad de Amnistía Internacional publicó el verano pasado un informe muy completo con la metodología que siguió en sus análisis de teléfonos brillantes. Esta metodología es muy valiosa, aunque su seguimiento no implica garantía de éxito.
Pegasus se puede controlar desde el exterior del dispositivo, lo que implica que en muchos casos puede borrar sus propias huellas y dificultar probablemente cualquier análisis que se realice de su actividad. Por este motivo, a veces solo se recuperan fragmentos de información: se puede saber qué días se ha accedido a un teléfono y si se ha extraído un volumen de datos, pero no se puede saber cómo se infectó el teléfono o qué datos en concreto se han extraído, por ejemplo.
Los indicadores y herramientas que se publicaron con ese informe pueden ser de gran utilidad en los análisis que se están realizando actualmente en relación con los últimos casos conocidos.
Quiénes son los clientes de Pegasus
Incluso dando por buena la versión oficial de NSO Group y el Gobierno israelí de que la venta de Pegasus solo se realiza a gobiernos, eso no garantiza que se cumplan los derechos humanos. De hecho, muchos de los clientes de la empresa son gobiernos autoritarios que han empleado la herramienta para vigilar a opositores, empresarios, abogados, periodistas o activistas de diferente naturaleza en diferentes países. En algunos casos, con consecuencias desgraciadas.
De nuevo, incluso dando por buena esa versión oficial, no se sabe a cierta ciencia si existen copias de Pegasus o mercado negro que permiten el acceso a este software a otros agentes que no sean gobiernos y sin autorización.
Prohibir Pegasus, como se está proponiendo en algunos foros, no arreglaría nada. Siempre han existido personas o grupos que han querido vigilar, espiar y controlar a otras personas o grupos. En el mundo analógico o en el digital encontrarán la manera de hacerlo. Pegasus es solo un medio más, de los muchos disponibles. Y en ocasiones, esa vigilancia, espionaje y control, autorizadas por un juez y con todas las garantías, evitan varones mayores. No lo olvidemos.
Lo que debemos hacer es no mirar hacia otro lado cuando los mecanismos autoritarios impiden a los ciudadanos sus ejercer y disfrutar sus derechos fundamentales, sea por los medios que sea. E, internamente, tener claras las responsabilidades de cada uno de los agentes que participan en la seguridad nacional y exigir que se cumplan todas y cada una de ellas con diligencia, pero sin excesos.
En este sentido, hay que recordar a las personas que ocupan puestos de responsabilidad que los teléfonos móviles no son dispositivos inocentes para hacer y recibir llamadas, sino terminales inteligentes que permiten prolongar nuestra realidad física hacia la digital y que manejan multitud de datos sensibles. Estas personas no deben mezclar nunca sus esferas personales y profesionales en sus dispositivos y deben seguir a rajatabla las indicaciones que les proporcionan sus equipos de seguridad. Aunque esto implique usar un teléfono antiguo o incómodo, sufrirá latencias mayores al realizar algunas tareas o no podrá usar la aplicación de moda. Se debe sacrificar la facilidad de uso o incluso la funcionalidad en aras de la seguridad, que es la seguridad de todos.
En cuanto a los ciudadanos de a pie, Pegasus no debe preocuparnos, es demasiado sofisticado para malgastarlo con nosotros, aunque eso no significa que no estemos expuestos a amenazas equivalentes relacionadas con el espionaje de nuestros móviles por corporaciones, gobiernos o mafias.
