El «software» perfecto
NuestraNuestra tecnología se utiliza todos los días para acabar con redes de pedofilia, cárteles de la droga, mafias de explotación sexual, bandas de delincuentes internacionales. Salva vidas, encuentra a niños desaparecidos y protege el espacio aéreo de la ciudades del ataque de drones enemigos. Solo se vende a funcionarios gubernamentales amparados por la ley con el único propósito de prevenir el crimen y el terrorismo”.
Desde que en 2011 varias filtraciones en grupos de expertos en seguridad informática descubrieran la existencia de la tecnología de espionaje Pegasus, su empresa creadora (la israelí NSO) no ha dejado de emitir comunicados. Pero lo cierto es que Pegas us,yotr os productos de monitor iza ción que presenta en sus catálogos, parecen haber logrado un éxito sin precedentes en el mundo de la inteligencia y la contra inteligencia. Antes de que el gobierno de España hiciera una de las campaña s de publicidad gratuita más sonadas que se recuerdan a NSO, otros ejecutivos fueron más inclementes con la compañía. El año pasado, sin ir más lejos, el Departamento de Comercio de Estados Unidos añadió a la empresa de Israel a la lista negra de corporaciones que podrían estar desarrollando actividades peligrosas para la nación. Pero ¿qué hay detrás de este aparentemente sencillo software de espionaje? ¿Cómo funcionan sus tripas tecnológicas?
Pegasus es una aplicación conocida como «spyware» que se instala en teléfonos móviles aprovechando alguna vulnerabilidad del sistema. Fue creada para infectar teléfonos Android, iOS, Blackberry o Symbian y convertirlos en un dispositivo de vigilancia en remoto. Una vez instalado, el usuario espía tiene acceso a las aplicaciones, comunicaciones, historial de descargas, mensajes, imágenes y documentos que se gestionen desde el aparato infectado. Puede, además, activar la cámara o el micrófono para utilizarlo a discreción. La principal virtud de este programa de vigilancia es que puede utilizar tecnología de «cero clic», es decir, no necesita que la víctima realice ninguna acción consciente o inconsciente para dejarse infectar. En el caso de que el ataque «cero clic» no de resultado, Pegasus también puede ser introducido a distancia a través de un dispositivo de transmisión situado cerca del móvil atacado o incluso de manera manual por algún agente que tenga acceso físico al teléfono de la víctima.
Este tipo de programas funcionan gracias a las inevitables e innumerables vulnerabilidades de nuestros dispositivos móviles. Un teléfono hoy en día es una biblioteca de aplicaciones de todo tipo desarrolladas por centenares de empresas. Todas las aplicaciones usan sistemas de reconocimiento, identificación y encriptación de datos que tratan de impedir que un agente externo las use para colarse en nuestro aparato. Pero todas nacen con fallas desde el primer día de su existencia. La labor de los «hackers» y creadores de «software» espía es encontrar esas fallas (conocidas como vulnerabilidades de día cero) y aprovecharlas como grietas para tomar control del dispositivo infectado. Por el contrario, la labor de las empresas de seguridad informática y los desarrolladores de apps es encontrar esas vulnerabilidades antes que lo hagan los «malos» y desarrollar parches y actualizaciones para impedir el ataque. Compañías como Google y Apple han estado anunciando desde hace años actualizaciones que reparan muchas de esas grietas de seguridad. En julio del año pasado, Apple subsanó el que parecía ser último método de entrada de Pegasus en los teléfonos iPhone, conocido como vulnerabilidad Forcedentry que había desarrollado NSO. El agujero fue descubierto por Citizen Lab a principios de 2021. Utilizaban archivos PDF camuflados como imágenes GIF para infectar el sistema de tratamiento de gráficos de Apple. Una vez descubierto, los expertos lo denominaron «el más perverso, sofisticado y terrorífico ataque» que habían conocido.
El software entonces utilizado (que se sabe que ha corrido por centenares sino miles de teléfonos de autoridades, periodistas, activistas, funcionarios…) era dificilísimo de detectar. Fuentes del programa Project Zero (un equipo de analistas empleados por Google encargado de detectar y evitar vulnerabilidades) reconocieron que ForcedEntry «es un arma contra el que no hay defensa». Apple fue capaz de generar una actualización para el sistema de mensajería iMessage a finales de 2021 que parece ser capaz de detener el ataque a través de esta grieta. De hecho, algunas fuentes aseguran que desde entonces Pegasus no tiene fácil acceso a los teléfonos iOS.
La buena noticia es que Pegasus no parece estar al alcance de cualquier bolsillo. Un contrato al que tuvo acceso «The New York Times» en 2016 sugería una tarifa de instalación de 500.000 dólares más un coste de 650.000 dólares por cada 10 teléfonos espiados. Más recientemente, se ha conocido que mientras el la Administración Biden trataba de incluir a NSO en la lista negra de proveedores del país, el FBI negociaba un contrato para el uso de Pegasus de 5 millones de dólares. Nadie quiere a la tecnología espía, pero nadie puede vivir sin ella.