Pegasus, el programa que ha hackeado a políticos catalanes y espió a periodistas y activistas por todo el mundo

Pegasus es un viejo enemigo de activistas, periodistas y opositores a gobiernos autoritarios de todo el mundo. Creado en teoría para espiar a terroristas y miembros del crimen organizado, hasta ahora las pruebas de su uso contra miembros de la sociedad civil se daban en países como Arabia Saudí, Marruecos, México y otros estados con un pobre bagaje en el respeto a los derechos humanos. Eso ha cambiado con la revelación de la campaña de ciberataques que lanzó este software espía para asaltar los teléfonos de políticos independentistas catalanes en 2019, conocida esta semana.

La investigación ha estado encabezada por el instituto de ciberseguridad de la Universidad de Toronto, Citizen Lab. Este centro fue el primero que documentó el uso de Pegasus contra defensores de los derechos humanos en 2016, cuando fue encontrado en el teléfono de Ahmed Mansoor, un activista de Emiratos Árabes Unidos. En esa ocasión el método de asalto fue un phishing tradicional: SMS que le invitaban a pinchar en enlaces que contenían el software malicioso.

Desde entonces NSO Group, la empresa israelí que lo desarrolla, ha ido refinando Pegasus. Sus diferentes versiones han explotado agujeros de seguridad de los móviles de las víctimas para colarse en sus dispositivos y acceder a los datos almacenados en ellos. Cuando esos agujeros se cerraban, NSO remozaba Pegasus y buscaba una nueva forma de infección para su siguiente versión. Siempre, según asegura la empresa, poniéndolo solo a disposición de gobiernos y fuerzas de seguridad para perseguir criminales.

En estos años se han podido contrastar infecciones de Pegasus en los móviles de confidentes de Jamal Khashoggi (el columnista del Washington Post descuartizado en la embajada de Arabia Saudí en Turquía) en el período antes de su muerte, en el teléfono de la esposa del periodista mexicano Javier Valdez, que investigaba los carteles de la droga y fue asesinado en 2017, en periodistas marroquíes relacionados con la defensa de los derechos humanos en el país. Las investigaciones de Citizen Lab han mostrado que la historia se repite en Bahrein, Turquía, Israel, Túnez y una lista de países que sumaba hasta 45, antes de contar España.

La opacidad del negocio de NSO es tal que el relator especial de Naciones Unidas para la Libertad de Expresión, David Kaye, pidió por carta recientemente a NSO una “moratoria” de su negocio de espionaje debido a la acumulación de casos en los que sus productos se usan de forma indebida. NSO, que en un comunicado remitido a elDiario.es se ha negado a revelar si hace negocios con el Estado español, contestó que ha impuesto una nueva “política de derechos humanos” para asegurarse de que sus productos no se usan para violarlos. “Esa política no hace referencia al legado de daños perpetuados como resultado del fracaso del Grupo NSO para garantizar que su tecnología se utilice de forma responsable ni articula un método que vaya a conducir necesariamente a mejores resultados para las víctimas del acoso de la vigilancia”, respondió Kaye

La última versión de Pegasus hackeó a 130 personas de la sociedad civil

La que asaltó los teléfonos de los políticos de la órbita independentista era una versión de Pegasus que el atacante podía introducir en el teléfono del objetivo con una vídeo-llamada a través de WhatsApp. El objetivo ni siquiera debía contestar para que se produjera la infección. Esta versión del software espía era capaz de convertir el terminal en un dispositivo espía al servicio del atacante, puesto que permitía encender el micrófono y la cámara de forma remota, además de acceder a prácticamente todos los datos que este contenga.

Citizen Lab descubrió esta nueva forma de infección en abril de 2019. Informó a WhatsApp, que tardó unas dos semanas en cerrar ese agujero de seguridad. Durante ese período, el instituto canadiense monitorizó las infecciones que se producían, con el permiso de la aplicación de mensajería. Contó unos 1.400 hackeos en total en todo el mundo, de los que al menos 130 se produjeron contra personas provenientes de la sociedad civil o defensores de los derechos humanos. Entre esas 130 personas hay un grupo de políticos catalanes del ámbito independentista, pero Citizen Lab no puede confirmar exactamente cuántos se han visto afectados.

El PaísThe Guardian y elDiario.es han podido confirmar algunos casos con los investigadores canadienses. El primero, publicado por El País y The Guardian, fue el hackeo con Pegasus que se llevó a cabo contra el teléfono del president del Parlament de Catalunya, Roger Torrent. Además de él, en la lista de espionajes confirmados están los nombres del director técnico del Consell per la República (organismo que que preside Carles Puigdemont desde Bélgica), Sergi Miquel; del diputado de ERC, Ernest Maragall; de la exdiputada de la CUP, Anna Gabriel; y del activista de la Asamblea Nacional Catalana Jordi Domingo. El conseller de Políticas Digitales y Administración Pública de la Generalitat, Jordi Puigneró, ha informado de que también fue atacado, pero en su caso Pegasus no consiguió introducirse en su dispositivo.

El papel de NSO, la opaca empresa de ciberseguridad israelí

Tras recibir la notificación de Citizen Lab en abril de 2019 y cerrar el agujero de seguridad en mayo, WhatsApp comenzó una investigación para dirimir quién había abierto una brecha en su sistema. En octubre llegó a una conclusión: había sido la empresa de ciberseguridad israelí NSO Group.

“¿Cómo podemos afirmar esto con confianza?”, explicó Will Cathcart, el director ejecutivo de WhatsApp, propiedad de Facebook. “Descubrimos que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados con NSO. Además, hemos vinculado ciertas cuentas de WhatsApp utilizadas durante los ataques a NSO. Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, afirmó.

WhatsApp y Facebook presentaron entonces una demanda en un juzgado de California contra NSO, acusándola de aprovecharse de su infraestructura para sus prácticas de espionaje. Días después, empleados de la compañía israelí presentaron una contrademanda en Tel Aviv acusando a Facebook de cerrarles sus cuentas en la plataforma sin motivo. Desde 2016 NSO había sido una de las compañías más señaladas y a la vez opacas de la ciberseguridad, pero la denuncia de WhatsApp fue la acusación más directa contra ella que se había producido hasta la fecha.

Aunque se conoce su capacidad para succionar información una vez que infecta el teléfono, el funcionamiento real de Pegasus y la implicación de NSO en el espionaje de sus objetivos es un aspecto desconocido para todos excepto para los gobiernos que lo contratan. Según ha explicado el medio estadounidense Vice a partir de algunos documentos y capturas de pantalla filtradas, el papel de la compañía es mucho más activo de lo que esta reconoce, puesto que actualmente el servicio se parecería más a un streaming de espionaje controlado por NSO que a una venta de software al uso.

Quién contrató los servicios de NSO para lanzar Pegasus contra los políticos independentistas también es una incógnita, por el momento. El Ministerio del Interior y el de Defensa han negado cualquier implicación de la Policía Nacional, la Guardia Civil o el CNI en la campaña de ciberespionaje.