Los móviles de varios políticos catalanes fueron atacados mediante una vulnerabilidad de WhatsApp que esta herramienta usa para colarse en los dispositivos. Seguro que en las últimas horas has leído alguna referencia a Pegasus, principalmente por las informaciones sobre el espionaje de los teléfonos móviles de Roger Torrent y Ernest Maragall.

Para entenderlo lo primero que hay que hacer es aclarar que Pegasus no es un malware «al uso», es decir, no es uno de esos patógenos que un buen día alguien lanza a X direcciones de correo electrónico o cuelga en una página web, a la espera de que se difunda de manera masiva infectando miles o incluso millones de sistemas. No, este troyano funciona de una manera distinta en lo referido a su difusión, ya que se emplea exclusivamente para ataques totalmente dirigidos. Es decir, si alguien es atacado por Pegasus, es porque "alguien" ha querido que esa persona en concreto fuera espiada.

Pegasus es un infame spyware desarrollado por la empresa israelí NSO Group que va contra Android e iOS, y que, según denunció en su momento Amnistía Internacional, está siendo utilizado por diversos países contra activistas en favor de los Derechos Humanos, entre los que se encuentran México, Kazajistán y Arabia Saudí. Y también fue empleado, por ejemplo, para espiar el teléfono móvil de Jeff Bezos.

Pegasus fue un malware que generó fuertes críticas debido a los fines tremendamente maliciosos para los que fue concebido, pero esto no parece haber detenido su expansión, ya que según el laboratorio de investigación de origen canadiense Citizen Lab, al menos 10 operadores del spyware “parecen estar activamente involucrados en la vigilancia transfronteriza”, apuntando a posibles realidades geopolíticas alrededor del espionaje estatal, operando en la actualidad en 45 países distintos.

Un día de 2019, el presidente del Parlamento catalán, Roger Torrent, recibió una videollamada de WhatsApp. No tuvo ni que contestarla. En ese momento, la empresa israelí NSO, aprovechando una vulnerabilidad de la aplicación que ya había usado otras veces, le colocó en su teléfono Pegasus, su software de espionaje estrella. Si eso fue lo que ocurrió, y todo apunta a que fue así, el móvil del político catalán ya no le obedecía solo a él. A través de Pegasus, recibía también instrucciones desde algún lugar remoto: captura esos mensajes, conecta el micro, haz una foto, dime la localización. Torrent llevaba desde entonces en el bolsillo un instrumento que espiaba su vida.

Los teléfonos tanto de Torrent como del exconseller Ernest Maragall fueron infectados con este software, según informó esta semana EL PAÍS. En el pasado, personajes tan poderosos como Jeff Bezos, fundador de Amazon, también fue víctima de Pegasus, el último gran programa dedicado a uno de los negocios más sostenibles desde que existen móviles: espiar. Antes de NSO y Pegasus existieron por ejemplo FinFisher o Hacking Team, programas o empresas oscuras hasta que dejan de serlo. Bien porque se convierten en noticia inesperada, o porque son víctimas de un hackeo.

EL PAÍS ha consultado a media docena de especialistas en seguridad informática acerca de su funcionamiento. El software de NSO no es algo que esté disponible sin más. Pero ha habido suficientes investigaciones y denuncias como para que emerja un retrato claro de lo que es capaz de hacer y cómo lo hace.

Hace justo cinco años, en julio de 2015, la empresa Hacking Team, especializada en herramientas de vigilancia, fue hackeada y miles de los correos que intercambiaban sus empleados aparecieron en Wikileaks. “Mil gracias, pero solo para ser más preciso: ¿puedo decirle al CNI [Centro Nacional de Inteligencia de España] cuáles son todos los exploits disponibles aunque no tengan derecho?”, decía uno de ellos. Y otro le respondía: “Cuéntaselos, igual los compran”. En el mismo mensaje, los trabajadores admitían que Marruecos sí pagaba lo suficiente para tenerlos.

El exploit es la pieza de software que aprovecha la vulnerabilidad de una aplicación, navegador o sistema operativo para acceder al dispositivo. Es la llave que abre la puerta. NSO ofrece esa llave y también el software que luego controla el dispositivo. La llave esta vez abría la puerta de WhatsApp. Pero hay más: es un sector de negocio por sí mismo. Un exploit como el usado en el móvil de Torrent o en el de Jeff Bezos, que se cuela por una aplicación muy popular y que no requiere de la participación del usuario ―lo que se llama “cero clic”―, es tremendamente caro. Quien lo desarrolle y quiera venderlo puede llevarse entre uno y dos millones de euros.

NSO usa estas llaves según las necesidades de sus clientes y las tarifas serán a la fuerza elásticas: no es lo mismo utilizarlo por primera vez con un objetivo, que más tarde y con más víctimas. Una fuente conocedora de las tarifas de NSO que pide anonimato dice que un precio razonable para clientes de la empresa es 500.000 dólares (437.000 euros) para un exploit más otros 500.000 para infectar 10 dispositivos. Aunque las variables pueden modificar esas cifras.

“Te dan una lista y te dicen que estos son los productos para los que tienen exploits: para estas versiones de Windows, para WhatsApp en tales sistemas operativos, Safari, Chrome en Windows, lo que sea. Luego el software que metes dentro lo compras aparte”, dice Joxean Koret, especialista en seguridad informática.

Una empresa con la capacidad de comprar o desarrollar esas llaves no es sencilla de montar. Pero ahí está precisamente el negocio. Esos exploits, que son caros, pueden venderse aún más caros. Siempre depende de las necesidades del cliente. Luego está la capacidad de empresas como NSO de ofrecérselos a varios interesados. “Cuando se ponen en una cadena de producción de una empresa, se convierte en un negocio rentable”, dice Lukasz Olejnik, consultor e investigador independiente en ciberseguridad.

Un negocio al alza

Encontrar el exploit que sirva para acceder al móvil de la víctima que interesa no es siempre sencillo: depende de modelos, versiones y de lo que cada cual esté dispuesto a pagar. Además es algo que no dura para siempre. “Incluso para los estándares de la informática, las vulnerabilidades son bastante efímeras. Este de WhatsApp, por ejemplo, en cuanto lo usaron contra un objetivo que se dio cuenta, o Facebook lo detectó, está muerto”, dice Koret.

Hay otros exploits que acceden directamente al sistema operativo del móvil, sin pasar por una app, que requiere algo más de desarrollo para obtener control de todo el dispositivo. Un exploit que logre acceder a todo el móvil sin ningún clic de la víctima cuesta para Android 2,5 millones de dólares (2,1 millones de euros), según las últimas tarifas de Zerodium, la empresa que comercializa con estos productos y publica en abierto sus precios de compra para expertos en seguridad interesados. Si el cliente quiere ese nivel de finura tendrá que pagarlo, aunque las agencias de inteligencia de los países occidentales tienen sus propios desarrolladores.

Un hombre lee en un stand de NSO, en el Congreso de la Policía Europea, en Berlín en febrero de 2020. El lema en la pared dice: "Derrama luz en tus objetivos más oscuros". Hannibal Hanschke / Reuters

Una vez el cliente ha elegido su exploit, su llave para entrar, aparece Pegasus, el producto estrella de NSO. Pegasus es lo que se conoce como RAT (herramienta de acceso remoto, en sus siglas en inglés). El cliente de NSO tiene entonces un panel desde el que controla el dispositivo infectado.“La ventaja de NSO es que te facilita el exploit y luego te ponen toda la infraestructura, tienen un panel de control bastante bien montado. Te dan estabilidad. Son buenos en el producto”, dice David Barroso, CEO de CounterCraft.

Ese panel activa micrófonos, sigue a la víctima o recibe archivos. Es el sueño de todo espía: mirar indetectado todo lo que hace tu sospechoso. Una vez dentro, sin embargo, se puede recoger algo o se puede uno quedar a vivir. “Hay clientes a los que les gusta explotar solo lo que está en la memoria [del dispositivo], porque no deja luego trazas una vez reinicias. A otros les interesa la persistencia. Pegasus tiene ambas opciones, seguro”, dice Koret.

NSO defiende que solo trabaja para Gobiernos. Pero su modelo de negocio es interesante para muchos otros clientes y la tentación es grande: “El ciclo de vida de estas empresas siempre es el mismo”, dice Román Ramírez, organizador de RootedCON. “Empiezan contando el rollo de que lo hacen por el bien de la humanidad y luego vas descubriendo que se lo venden a dictadores y narcos. Al final se te acaban los clientes”, añade.

En el fondo, explica Ramírez, “te vas a Israel, pagas y te dan el servicio, no te dan un software. No tienes que hacer nada”. Su popularidad ayuda. “Su fama se basa en buen marketing, búsqueda de clientes y ese panel relativamente simple e intuitivo de este poderoso software de acceso”, añade Olejnik, que no olvida la notoriedad obtenida por los medios, que “pueden haber jugado un papel contraintuitivamente positivo” para NSO.

Si hay algún consenso entre los especialistas es que este negocio tiene futuro. Y que si eres un objetivo de alguien con recursos, lo mejor es dejar el móvil. “Si tu amenaza es a nivel de Estado, mejor cambia de enemigo”, dice Koret, como si fuera una broma pero sin serlo. “Si no puedes hacerlo porque no te queda otra, no puedes confiar en la tecnología. La tecnología de por sí será un problema. Si tienes un teléfono que solo usas en una determinada área geográfica y que no estás contaminando con nada de tu persona real, puede que durante un tiempo te valga. Para mucho tiempo no te va a valer”, añade. El reciente ejemplo de Encrochat ―el sistema de mensajería del mundo del crimen desarticulado por la policía―, es un buen aviso.

En este submundo oscuro hay siempre más posibilidades de lo que parece. NSO se ha hecho famosa y es algo que en parte les beneficia. Si lo usan agencias de inteligencia de docenas de países y no para de salir en periódicos, por qué no probarlo, puede pensar gente interesada. “El mérito por el cual Pegasus se ha hecho tan famoso es el haber sido descubierto”, dice Carlos Seisdedos, responsable de Ciberinteligencia en IsecAuditors. Puede haber más sin descubrir.

Fuente: El País | MuyComputer