Uno de los softwares de espionaje más potentes jamás creados continúa de actualidad debido al creciente número de personalidades que fueron espiadas aprovechando las capacidades del spyware: Pegasus ha sido encontrado en los teléfonos de Pedro Sánchez, en el de Margarita Robles y también en 63 independentistas, jueces y miembros de la sociedad catalana. Pero ¿cómo funciona este software capaz de poner en jaque a cualquier gobierno?
Los sistemas informáticos, tanto da el dispositivo donde se instalen, son vulnerables por naturaleza. A veces basta con saber si esconden una puerta trasera, otras hay que aprovechar vulnerabilidades críticas para así tomar el control del sistema y acceder a la información privada (puede entrañar tal dificultad que sea prácticamente imposible). Android no es ajeno a las vulnerabilidades, tampoco lo es iOS: tanto Google como Apple parchean de manera constante los errores que van descubriéndose en los sistemas. Lástima que no siempre sea a tiempo.
Pegasus es un spyware que no hacía distinción de teléfonos
El polémico Pegasus, que tan presente está en el panorama político español, era un spyware creado por la compañía de seguridad israelí NSO Group. Actualmente la empresa ya no ofrece dicho spyware, al menos de manera pública. Y siempre estuvo disponible exclusivamente a gobiernos, así lo asegura la propia NSO Group.
No se conoce la interfaz del software, tampoco sabemos con exactitud de qué manera se realizan los ataques. Sí que conocemos su modo de operaciones: como afirma NSO Group, Pegasus sólo necesita un número de teléfono para iniciar los ataques. En este sentido, serían los clientes de Pegasus quienes introducirían en las bases de datos los números de aquellas personalidades a las que buscaban robarles la información.
Una vez dirigido Pegasus a los números de teléfono a espiar, el software enviaría a distancia distintos ataques para así estimar la mejor manera de infiltrarse en los móviles. Según se ha ido sabiendo, NSO Group habría utilizado diferentes vulnerabilidades conforme los desarrolladores de sistemas y aplicaciones iban descubriendo los fallos y parcheándolos. Entre dichos ataques se encontrarían:
- Vulnerabilidades de WhatsApp. La aplicación estrella de Facebook sufrió una gravísima vulnerabilidad por la que el atacante podía acceder a mensajes e información con sólo realizar una llamada. Pegasus inyectaba el spyware a distancia incluso sin que el atacado tuviera que descolgar la llamada de WhatsApp.
- Mensajes de Phising. Pegasus utilizaba mensajes SMS con enlaces a malware haciéndose pasar por información que tenían pendiente los atacados. Tarjetas de embarque, por ejemplo.
- Ataques a través de iMessage. En el terreno de iOS, Pegasus podía atacar a la app de mensajería del iPhone para infectar el teléfono lanzando una instancia de WebKit. También abusaron de una vulnerabilidad denominada como Kismet, igualmente a través de iMessage.
El principal arma de Pegasus era la versatilidad y su enorme capacidad para aprovechar las vulnerabilidades de los teléfonos a los que apuntaban, por lo general tras alguna acción del atacado (el spyware utilizaba ingeniería social). Una vez infectados, los atacantes podían hacerse con el control a distancia de los móviles para obtener conversaciones clave a través de la mensajería o grabar las llamadas, por ejemplo. Incluso para robar fotografías privadas, como le ocurrió a Jeff Bezos. También fue Pegasus.
Un supuesto uso sólo al alcance de los gobiernos
Pegasus actualmente no está disponible o, al menos, NSO Group no ha comunicado que oficialmente lo esté. Dicho spyware no permanecía al alcance de cualquiera ya que, siempre según la empresa israelí, Pegasus sólo podía contratarse desde las altas instancias gubernamentales. Y siempre como una herramienta para "prevenir atentados terroristas, desarticular redes de pedofilia, sexo y tráfico de drogas, localizar a niños desaparecidos y secuestrados, localizar a supervivientes atrapados bajo edificios derrumbados y proteger el espacio aéreo contra la penetración perturbadora de peligrosos drones" (en palabras de NSO Group).
Según ha confirmado el Gobierno de España, el Presidente Pedro Sánchez y la Ministra de Defensa Margarita Robles se suman a la lista de 63 independentistas, jueces y miembros de la sociedad catalana que fueron atacados con Pegasus. Esto demuestra el gran poder que tiene un spyware diseñado para aprovecharse de las vulnerabilidades presentes en los teléfonos. Pese a que la mayor parte de personas jamás seremos víctimas de Pegasus, conviene mantener lo más actualizados posible nuestros móviles así como extremar las precauciones ante cualquier mensaje y/o archivo sospechoso.