Pegasus, el espía perfecto: cómo funciona, cuánto cuesta y por qué es casi indetectable

“Nuestra tecnología se utiliza todos los días para acabar con redes de pedofilia, cárteles de la droga, mafias de explotación sexual, bandas de delincuentes internacionales. Salva vidas, encuentra a niños desaparecidos y protege el espacio aéreo de la ciudades del ataque de drones enemigos. Solo se vende a funcionarios gubernamentales amparados por la ley con el único propósito de prevenir el crimen y el terrorismo”.

Desde que en 2011 varias filtraciones en grupos de expertos en seguridad informática descubrieran la existencia de la tecnología de espionaje Pegasus, su empresa creadora (la israelí NSO) no ha dejado de emitir comunicados como éste. Comunicados a los que se puede acceder fácilmente en su portal de internet y que suelen carecer de fecha de emisión.

La compañía lleva más de un lustro navegando en un turbulento océano de sospechas, alegaciones de usos indebidos y advertencias por parte de algunos de los gobiernos más poderosos del mundo. Pero lo cierto es que Pegasus, y otros productos de monitorización que presenta en sus catálogos, parecen haber logrado un éxito sin precedentes en el mundo de la inteligencia y la contrainteligencia.

Antes de que el gobierno de España hiciera una de las campañas de publicidad gratuita más sonadas que se recuerdan a NSO, otros ejecutivos fueron más inclementes con la compañía. El año pasado, sin ir más lejos, el Departamento de Comercio de Estados Unidos añadió a la empresa de Israel a la lista negra de corporaciones que podrían estar desarrollando actividades peligrosas para la nación. Pero ¿qué hay detrás de este aparentemente sencillo software de espionaje? ¿Cómo funcionan sus tripas tecnológicas?

Pegasus es una aplicación conocida como spyware que se instala en teléfonos móviles aprovechando alguna vulnerabilidad del sistema. Fue creada para infectar teléfonos Android, iOS, Blackberry o Symbian y convertirlos en un dispositivo de vigilancia en remoto. Una vez instalado, el usuario espía tiene acceso a las aplicaciones, comunicaciones, historial de descargas, mensajes, imágenes y documentos que se gestionen desde el aparato infectado. Puede, además, activar la cámara o el micrófono para utilizarlo a discreción. La principal virtud de este programa de vigilancia es que puede utilizar tecnología de cero clic, es decir, no necesita que la víctima realice ninguna acción consciente o inconsciente para dejarse infectar.

El software silencioso

Muchos programas de malware (software malicioso) necesitan la interacción del usuario. Por ejemplo, podemos ser atacados si accedemos a una página web fraudulenta, leemos un mensaje con un virus o respondemos a una llamada perdida. Pero Pegasus, sobre todo desde sus actualizaciones en 2019, puede introducirse mediante el simple envío de un mensaje de WhatsApp o iMessage o mediante una llamada perdida sin necesidad que la otra parte lea o conteste el envío. Es más, una vez lograda la introducción en el dispositivo, Pegasus se encarta de borrar el mensaje enviado para no dejar huella. En otras palabras: un teléfono puede estar siendo atacado sin que su usuario sea consciente en ningún momento presente o futuro.

En el caso de que el ataque “cero clic” no de resultado, Pegasus también puede ser introducido a distancia a través de un dispositivo de transmisión situado cerca del móvil atacado o incluso de manera manual por algún agente que tenga acceso físico al teléfono de la víctima.

Este tipo de programas funcionan gracias a las inevitables e innumerables vulnerabilidades de nuestros dispositivos móviles. Un teléfono hoy en día es una biblioteca de aplicaciones de todo tipo desarrolladas por centenares de empresas. Mensajería, juegos, mapas, aplicaciones de monitorización de la salud, correo, cámaras de fotos, aplicaciones de entretenimiento o banca. Cada vez que usamos el móvil para algo más que para llamar estamos empleando un complejo sistema de apertura y cierre de puertas al exterior. Todas las aplicaciones usan sistemas de reconocimiento, identificación y encriptación de datos que tratan de impedir que un agente externo las use para colarse en nuestro aparato. Pero todas nacen con fallas desde el primer día de su existencia. La labor de los hackers y creadores de software espía es encontrar esas fallas (conocidas como vulnerabilidades de día cero) y aprovecharlas como grietas para tomar control del dispositivo infectado. Por el contrario, la labor de las empresas de seguridad informática y los desarrolladores de apps es encontrar esas vulnerabilidades antes que lo hagan los “malos” y desarrollar parches y actualizaciones para impedir el ataque.

Compañías como Google y Apple han estado anunciando desde hace años actualizaciones que reparan muchas de esas grietas de seguridad. En julio del año pasado, Apple subsanó el que parecía ser último método de entrada de Pegasus en los teléfonos iPhone, conocido como vulnerabilidad Forcedentry que había desarrollado NSO. El agujero fue descubierto por Citizen Lab a principios de 2021. Utilizaban archivos PDF camuflados como imágenes GIF para infectar el sistema de tratamiento de gráficos de Apple. Una vez descubierto, los expertos lo denominaron “el más perverso, sofisticado y terrorífico ataque” que habían conocido.

En 2021 se descubren las grietas de seguridad

El software entonces utilizado (que se sabe que ha corrido por centenares si no miles de teléfonos de autoridades, periodistas, activistas, funcionarios…) era dificilísimo de detectar. Fuentes del programa Project Zero (un equipo de analistas empleados por Google encargado de detectar y evitar vulnerabilidades) reconocieron que ForcedEntry “es un arma contra el que no hay defensa”. Apple fue capaz de generar una actualización para el sistema de mensajería iMessage a finales de 2021 que parece ser capaz de detener el ataque a través de esta grieta. De hecho, algunas fuentes aseguran que desde entonces Pegasus no tiene fácil acceso a los teléfonos iOS. Desde el propio entorno de Apple, sin embargo, las cosas no están tan claras y se sigue trabajando en un escenario de cierta incertidumbre. Si NSO fue capaz de generar un ataque tan perfecto el año pasado, ¿qué será capaz de hacer este?

La buena noticia es que Pegasus no parece estar al alcance de cualquier bolsillo. Un contrato al que tuvo acceso The New York Times en 2016 sugería una tarifa de instalación de 500.000 dólares más un coste de 650.000 dólares por cada 10 teléfonos espiados. Más recientemente, se ha conocido que mientras el la Administración Biden trataba de incluir a NSO en la lista negra de proveedores del país, el FBI negociaba un contrato para el uso de Pegasus de 5 millones de dólares. Nadie quiere a la tecnología espía, pero nadie puede vivir sin ella.