Tecnología
Así es Pegasus, el spyware israelí usado para ciberespiar a Pere Aragonès: ¿cuánto vale usarlo?
El presidente de la Generalitat de Cataluña ha denunciado a la exdirectora del CNI por el uso de este software, que licencian los gobiernos para espiar a diversas personalidades.
La polémica sobre Pegasus regresa a la primera línea mediática. El software utilizado para espiar a líderes del independentismo catalán, al presidente del Gobierno de España Pedro Sánchez y a la ministra de Defensa Margarita Robles, entre otros, se ha cobrado una nueva víctima. Como publica EL PAÍS, en julio de 2019 el Centro Nacional de Inteligencia (CNI) solicitó al Tribunal Supremo que autorizara el seguimiento al presidente de la Generalitat, Pere Aragonès, entonces todavía vicepresidente del Govern. Lo acusaban de dirigir desde la clandestinidad a llamados Comités de Defensa de la República.
¿Qué es Pegasus y cómo funciona?
Con un origen comercial, Pegasus es en sí un spyware concebido y creado por NSO Group Technologies, una empresa israelí dedicada a la creación de programas y software de intrusión y vigilancia. Sus creadores se defendieron señalando que venden Pegasus a gobiernos y agencias oficiales de la Ley “para ayudar a la lucha contra el terrorismo y el crimen”. Pero el malware también ha sido usado de forma ‘errónea’ por países, organizaciones y grupos terroristas.
De hecho, Pegasus estuvo implicado en 2016 en un ataque contra el activista por los derechos humanos Ahmed Mansoor; y en 2018 fue usado para atacar a 12 periodistas que investigaban un escándalo sobre el presidente de México. Según los investigadores, Pegasus ha sido usado en 45 países para perseguir a disidentes, periodistas y un amplio demográfico de civiles.
Pegasus es un virus de tipo Spyware que, una vez se instala en el sistema, tiene la potestad de permitir a quien lo controla activar a distancia la cámara y el micrófono del teléfono para poder grabar audio, vídeo y sacar fotos. El malware también escanea correos, mensajes y puede almacenar datos como la localización del móvil. Y todo ello de la forma más simple, ya que la manera de entrar en tu móvil es simplemente haciéndote una llamada.
Y aquí viene lo peor: no tienes por qué contestarla, simplemente al recibirla, como han confirmado expertos de seguridad y la propia WhatsApp. En 2019 conocimos de lo que Pegasus era capaz explotando una vulnerabilidad de WhatsApp que salió a la luz cuando un abogado inglés especializado en derechos humanos fue atacado por Pegasus.
El spyware aprovecha esa debilidad de la app y la usa en su favor. El ataque en sí fue bloqueado por WhatsApp, pero se desconoce la cantidad de móviles que fueron hackeados por culpa del exploit en aquel ataque, que en 48 horas se extendió y fue tan potencialmente peligroso como para lanzar una alerta global.
Esto es lo que cuesta utilizar Pegasus
Como decía el icónico Joker de Heath Ledger en The Dark Knight: “Si algo se te da bien, no lo hagas gratis”. Hablamos de una ‘herramienta para espiar’, algo que se alquila, que se compra. ¿Cuánto vale hacerse con los servicios de Pegasus? Las cifras dependen de las fuentes consultadas, pero en esta pieza de 2016 del New York Times apuntan que NSO Group fija el precio de sus herramientas de vigilancia en función del número de objetivos, empezando por una tarifa plana de instalación de 500.000 dólares. Para espiar a 10 usuarios de iPhone, NSO cobra a las agencias gubernamentales 650.000 dólares; 650.000 dólares por 10 usuarios de Android; 500.000 dólares por cinco usuarios de BlackBerry o 300.000 dólares por cinco usuarios de Symbian, además de la cuota de instalación, según una propuesta comercial.
Se puede pagar por más objetivos. Cien objetivos adicionales cuestan 800.000 dólares, 50 objetivos extra cuestan 500.000 dólares, 20 extra cuestan 250.000 dólares y 10 extra cuestan 150.000 dólares, según una propuesta comercial de NSO Group. A partir de entonces, hay una cuota anual de mantenimiento del sistema del 17% del precio total.
Los documentos de NSO Group dicen que es “acceso ilimitado a los dispositivos móviles de un objetivo”. En resumen, dice la empresa: Puede “recopilar de forma remota y encubierta información sobre las relaciones, la ubicación, las llamadas telefónicas, los planes y las actividades de su objetivo, cuando y donde quiera que esté”.
Hackeo a uno de los hombre más rico del mundo
En 2018, el smartphone de Jeff Bezos, dueño de la todopoderosa Amazon y de medios como el Washington Post, fue hackeado. Pero no es hasta un año y medio después cuando se conoce la información de que el terminal de Bezos fue pirateado usando un archivo malicioso oculto en un vídeo que le llegó a través de WhatsApp. El verdadero drama acaba de arrancar y es mucho más complejo porque entra un actor inesperado: el príncipe de Arabia Saudí.
El mismo día, 22 de enero de 2020, dos expertos de la ONU en derechos humanos pidieron que se investigase si el príncipe heredero de Arabia Saudita hackeó el teléfono de Jeff Bezos. Los relatores tuvieron acceso al análisis forense del terminal de Bezos que concluye con un grado de “confianza de media a alta” que el teléfono fue pirateado el 1 de mayo de 2018 gracias a un archivo de video MP4 enviado desde la cuenta personal de WhatsApp del príncipe heredero Mohammed bin Salman. Una técnica que hizo uso del software Pegasus, como luego los expertos de la ONU concluyeron.
Esta información sugería que el príncipe está probablemente involucrado en la vigilancia a Bezos, en un intento de “influenciar, e incluso silenciar” las informaciones del Washington Post sobre el papel de Arabia Saudita y del propio bin Salman en el asesinato del columnista Jamal Khashoggi en la embajada saudí en Estambul. Casi nada, de repente esto ha pasado de ser una noticia típica de un hackeo a un empresario de perfil alto a una trama política digna de ‘Homeland’ o ‘24′.
Pero la cosa sigue, porque “en un momento en el que Arabia Saudita supuestamente estaba investigando el asesinato de Khashoggi y enjuiciando a los responsables”, estaban “llevando a cabo clandestinamente una campaña masiva en internet” contra Bezos y Amazon, por ser el dueño del Washington Post.
Agnes Callamard y David Kaye, los expertos de la ONU, consideraron que las circunstancias y el momento en el que ocurrió son motivos adicionales para que se siguiera investigando si el príncipe “ordenó, incitó o como mínimo conocía los planes y no hizo nada para evitar” el asesinato Khashoggi. Del mismo modo, los expertos destacaron que, de ser verdad, este caso de espionaje mediante software desarrollado y comercializado por una compañía privada y transferido a un gobierno sin control judicial de su uso es un ejemplo concreto del peligro de la venta irrestricta de ese tipo de tecnología.
“La vigilancia con instrumentos digitales debe estar sujeta al control más riguroso de autoridades judiciales y regulaciones nacionales e internacionales de control de exportaciones para que no sea fácil su abuso y así proteger a los individuos. Esto resalta la necesidad urgente de una moratoria a la venta y transferencia mundiales de tecnología privada de espionaje”, concluyeron Callamard y Kaye.
Prohibición de la ONU de usar WhatsApp por Pegasus
Convertida en una de las 3 apps más usadas en el mundo, alrededor de dos mil millones de personas utilizan WhatsApp al mes, y por ello es tan apreciada entre hackers y cibercriminales, porque tiene una capacidad de expandir un ataque tan vasta como viral. Pero al mismo tiempo demuestra que no es segura, puesto que si se puede hackear a alguien del perfil de Jeff Bezos, una de las principales fortunas y empresarios del mundo en la actualidad, pueden llegar a cualquiera.
Por ello, la política de la Organización de las Naciones Unidas ha sido tajante: prohibir a sus oficiales el uso de WhatsApp para comunicarse, ya que “no es compatible como mecanismo seguro”. Esto lo dijo un representante de la ONU, Farhan Haq, que añadió que la directiva se hizo oficial entre los oficiales de la ONU en junio de 2019: “Los oficiales senior de la ONU han recibido instrucciones de que no usaran WhatsApp”.
Por descontado WhatsApp, que es propiedad de Meta (antes Facebook), respondió al baneo en la ONU señalando que “cada mensaje privado es protegido por un cifrado de extremo a extremo para ayudar a prevenir a WhatsApp u otros ver esos chats”. La tecnología empleada para la encriptación está “muy valorada por expertos de seguridad y permanece como la mejor disponible para la gente en todo el mundo”.
Los autos del Tribunal Supremo fueron desclasificados el pasado 16 de enero. Pere Aragonès se ha querellado contra Paz Esteban, exdirectora del CNI, tan pronto como se ha conocido el caso. El Gobierno español, por su parte, ha recordado que ni el CNI ni el Supremo tienen el deber de informar al ejecutivo, si bien ha sido el Gobierno de Pedro Sánchez el que ha decidido “desclasificar esta información a petición de un juez”. Según Moncloa, “esta información demuestra que ahora funcional el Estado de derecho y se actúa con transparencia, nada que ver con la policía paralela y la guerra sucia de la etapa del PP”.