Este es el rastro de Pegasus, el espía que las agencias de seguridad lanzan contra periodistas y ONG

Pegasus ha sido el espía definitivo contra los smartphones. Le basta un mensaje de texto o whatsapp con un enlace, un click en él y la infección es incontrolable. Este spyware puede encender la cámara y el micrófono del dispositivo, acceder a las contraseñas, agenda de contactos, las entradas del calendario, a los mensajes de texto y llamadas de voz de las aplicaciones de mensajería móvil más usadas. Detrás de él no está Corea del Norte o los hackers rusos, sino una empresa israelí que lo distribuye comercialmente a todas las agencias de seguridad gubernamentales que quieran comprarlo.

Oficialmente, Pegasus solo puede ser comprado por gobiernos y su uso restringido a espiar a sospechosos de pertenencia a redes de crimen organizado o terroristas. Sin embargo, se ha documentado que muchas de las agencias de seguridad que lo han adquirido lo han usado ampliamente contra periodistas, activistas y miembros de ONG.

Un activista de Emiratos Árabes Unidos, Ahmed Mansoor, denunció su existencia en agosto de 2016. Le llegaron varios mensajes con links en un breve espacio de tiempo, lo que le hizo sospechar. Los rebotó a Citizen Lab, laboratorio especializado en investigar sistemas de cibervigilancia utilizados contra ciudadanos. Este invitó a los expertos de una firma de seguridad para investigarlos, y lo que hallaron fue uno de los mayores agujeros de seguridad que afectaron jamás a iPhone. Más tarde descubrieron que también existía una versión para Android.

Entonces empezó una investigación para descubrir el alcance de Pegasus, al verificar que Mansoor era tan solo uno de muchos activistas atacados. ¿Hasta dónde llega su rastro? Según la investigación de Citizen Lab, en los dos años que han transcurrido desde que fue descubierto, se ha detectado su presencia en las redes de 45 países. El estudio no ha localizado focos de infección en España. En Europa muestra indicios en Francia, Reino Unido, Polonia, Suiza, Países Bajos, Letonia y Turquía.

El grupo NSO, la compañía israelí detrás de Pegasus, ha negado su distribución “en muchos de los países listados” por Citizen Lab. Aunque el laboratorio reconoce que herramientas como las VPN o las conexiones por satélite “pueden introducir inexactitudes” a sus resultados, denuncia que NSO ha vendido el software a países conocidos por violar los derechos humanos de sus ciudadanos o utilizar técnicas abusivas de vigilancia masiva, como Arabia Saudí. Además, se ha detectado su uso contra ciudadanos de otros estados para “realizar actividades que pueden ser ilegales en los países donde se encuentran los objetivos”.

“Diez operadores de Pegasus parecen estar realizando vigilancia en varios países. Si bien hemos observado casos anteriores de espionaje transfronterizo, esta investigación sugiere que la selección de objetivos y / o monitoreo desde terceros países es una práctica relativamente común”, denuncia la investigación.

Nuevos métodos para ocultar sus huellas

El mayor escándalo producido por Pegasus estalló en el verano 2017 en México. Numerosos periodistas, activistas e incluso prominentes académicos denunciaron haber sido infectados. “Este tipo de tecnología se está utilizando [por el Gobierno de México] en contra de ciudadanos que dan la batalla, periodistas, en contra de quienes pelean por los derechos humanos”, acusó en entrevista con eldiario.es Pablo X. Gonzalez Laporte, fundador de “Mexicanos Contra la Corrupción y la Impunidad”.

La justicia mexicana está investigando el caso de supuesto ciberespionaje. En Panamá, la vigilancia ha tenido consecuencias legales en el peldaño más alto de la pirámide gubernamental. Ricardo Martinelli, expresidente del país de 2009 a 2014, tuvo que exiliarse a EEUU tras perder el poder para evitar ser arrestado cuando se destaparon sus practicas de espionaje digital. En junio de este año las autoridades estadounidenses lo detuvieron y lo extraditaron a Panamá, donde está siendo juzgado. Desvió presuntamente 13,4 millones de dólares para comprar Pegasus y vigilar a empresarios rivales y periodistas.

Cada vez que los focos apuntan a Pegasus, NSO lo modifica para volver a situarlo fuera del radar. Lo hizo en 2016, después de que Apple descubriera y tapara los agujeros que usaba para infiltrarse en sus smartphone y fuera señalado por activistas de todo el mundo. En septiembre de 2017, coincidiendo con el auge de las denuncias en México, Citizen Lab detectó que NSO había lanzado la tercera versión del software. Las cifras de uso de este nuevo espía fueron en aumento hasta que cayeron abruptamente a principios del pasado mes de agosto. Citizen Lab sospecha que NSO puede estar variando de nuevo el funcionamiento de Pegasus.

Cortar las alas a Pegasus

El método más útil para protegerse del espionaje de Pegasus es la prevención. Mantener el sistema operativo del smartphone actualizado a su última versión es, de momento, la manera más efectiva de evitar que se cuele en el dispositivo.

Además, en una recomendación extensible más allá de los efectos de Pegasus, hay que evitar hacer click en cualquier enlace sospechosos recibido a través de mensajes o correos electrónicos. Cuando el envío se produzca fuera de contexto es preferible no clicar en ellos, incluso aunque su emisario sea conocido.