Pegasus, el software israelí utilizado por Arabia Saudí para hackear al fundador de Amazon

Un informe forense sobre el hackeo al teléfono de Jeff Bezos, propietario de Amazon y The Washington Post, citado por los relatores especiales de la ONU en ejecuciones extrajudiciales, Agnes Callamard, y en libertad de opinión y expresión, David Kaye, señala que Arabia Saudí utilizó probablemente Pegasus, el malware más temido por activistas y periodistas que trabajan e informan sobre la situación de los derechos humanos en zonas calientes como Arabia Saudí o México. 

Pegasus es el espía definitivo contra los smartphones: una vez llega al dispositivo permite leer en tiempo real qué está escribiendo su usuario, conectar el micrófono y oír las conversaciones, rastrear su ubicación o ver qué archivos contiene, como las fotografías.

“El análisis forense [elaborado en 2019 sobre el iPhone de Bezos] concluye que la intrusión se llevó a cabo probablemente a través de un conocido producto de spyware identificado en otros casos saudíes de vigilancia, como malware Pegasus-3 de NSO Group, un producto que ha sido comprado y utilizado por las autoridades saudíes, según apuntan varías informaciones”, señala la nota de prensa publicada por la Oficina del Alto Comisionado de Naciones Unidas para los Derechos Humanos en la que se recogen las declaraciones de los expertos.

“Esto sería coherente con otras informaciones. Por ejemplo, el uso de WhatsApp como plataforma para permitir la instalación de Pegasus en los dispositivos está bien documentado y es objeto de una demanda de Facebook/WhatsApp contra NSO Group”, añade.

El hackeo al teléfono del señor Bezos ocurrió en un periodo en el cual los teléfonos de dos personas cercanas a Jamal Khashoggi [asesinado por enviados saudíes en su consulado en Estambul], Yahya Assiri y Omar Abdulaziz, también fueron hackeados, supuestamente utilizando Pegasus, señalan los relatores de la ONU.

El origen de Pegasus

Todo empezó en abril con la pantalla de un smarphone iluminada para mostrar una videollamada de WhatsApp, aparentemente como todas las demás. Pero no lo era: se trataba de un hackeo con el que el ciberatacante podía introducir código malicioso en el móvil de la víctima para espiarlo. No hacía falta ni siquiera que el usuario aceptara la llamada para lograr un acceso casi completo a casi todos los rincones de su dispositivo.

WhatsApp cerró el agujero de seguridad en mayo. Estuvo abierto tan solo dos semanas, pero según la app de mensajería, en ese período la brecha fue usada por ciberatacantes de todo el mundo para espiar los teléfonos de unos 1.400 diplomáticos, fiscales, periodistas y activistas. Tras meses de investigación, WhatsApp denunció el 29 de octubre que había descubierto quién había abierto el agujero. Señaló a una vieja conocida de la industria del espionaje: la empresa israelí NSO Group. Esta compañía, conocida también como Q Cyber Technologies, está vinculada con el desarrollo y actualización de Pegasus 

En su denuncia, WhatsApp acusó a NSO de abrir el agujero de seguridad en sus videollamadas para que sus clientes, oficialmente Gobiernos y agencias de inteligencia, pudieran colar a Pegasus por él.

“¿Cómo podemos decir esto con confianza? A medida que reunimos la información que presentamos en nuestra demanda, descubrimos que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados con NSO”, reveló Will Cathcart, director ejecutivo de WhatsApp. “Además, hemos vinculado ciertas cuentas de WhatsApp utilizadas durante los ataques a NSO. Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, añadió.

Pegasus fue descubierto por primera vez en 2016 en el teléfono de un activista de Emiratos Árabes Unidos, Ahmed Mansoor. Entonces los ciberatacantes intentaban colarlo en los dispositivos de sus vítimas de forma más rudimentaria, como a través de enlaces a la víctima enviados por SMS. Tras varios mensajes sospechosos que le invitaban a pinchar en los enlaces, Mansoor informó a Citizen Lab, laboratorio de la Universidad de Toronto especializado en investigar sistemas de cibervigilancia utilizados contra ciudadanos.

Dos años después, los investigadores de la Universidad Canadiense publicaron un extenso estudio sobre el rastro de Pegasus. Su investigación documentó el empleo de Pegasus en 45 países del mundo y su uso extensivo contra activistas, periodistas y otros miembros de la sociedad civil. Estaba muy presente en las redes de los países de América Latina y Oriente Medio, pero también se detectó en Europa. El estudio no localizó focos de infección en España, pero sí en Francia, Reino Unido, Polonia, Suiza, Países Bajos, Letonia y Turquía.

El mayor escándalo donde se ha hallado el rastro de Pegasus estalló en el verano 2017 en México. Numerosos periodistas, activistas e incluso prominentes académicos denunciaron haber sido infectados. “Este tipo de tecnología se está utilizando [por el Gobierno de México] en contra de ciudadanos que dan la batalla, periodistas, en contra de quienes pelean por los derechos humanos”, acusó en una entrevista con eldiario.es Pablo X. Gonzalez Laporte, fundador de “Mexicanos Contra la Corrupción y la Impunidad”.

En Panamá, la vigilancia ha tenido consecuencias legales en el peldaño más alto de la pirámide gubernamental. Ricardo Martinelli, expresidente del país de 2009 a 2014, tuvo que exiliarse a EEUU tras perder el poder para evitar ser arrestado cuando se destaparon sus practicas de espionaje digital. En junio de este año las autoridades estadounidenses lo detuvieron y lo extraditaron a Panamá, donde está siendo juzgado. Desvió presuntamente 13,4 millones de dólares para comprar Pegasus y vigilar a empresarios rivales y periodistas.

Citizen Lab colaboró con WhatsApp en la investigación del uso que se hizo del agujero de seguridad descubierto en mayo. Sus pistas también apuntan directamente a NSO. “Se ofrecieron como voluntarios para ayudarnos a comprender quién fue afectado por el ataque y se comprometieron con periodistas y defensores de derechos humanos para ayudarlos a protegerse mejor frente a estas amenazas”, refleja Cathcart.

NSO: “Proteger la privacidad permite a los criminales y terroristas esconderse en la oscuridad”

Oficialmente, los software espía desarrollados por NSO, como Pegasus, solo se venden a Gobiernos y agencias de inteligencia para que combatan la delincuencia. No obstante, las pruebas recopiladas a lo largo de los años por Citizen Lab y otras organizaciones como Amnistía Internacional o la Electronic Frontier Foundation apuntan a que no siempre es así y su uso contra la sociedad civil está extendido.

Desde la denuncia de WhatsApp contra la empresa israelí, esta se esfuerza en defender que su trabajo ayuda a los Gobiernos a capturar a criminales y terroristas. “Los terroristas y los delincuentes usan las plataformas y aplicaciones sociales que todos usamos todos los días como vehículo para el terrorismo y la delincuencia”, ha afirmado recientemente su presidenta, Shiri Dolev. La privacidad de los activistas, periodistas o diplomáticos es una víctima colateral de esa seguridad.

Dolev, caracterizada por su actitud esquiva con la prensa y los actos públicos, apareció en un foro público para dar personalmente la versión de la compañía, que desde el principio negó las acusaciones de WhatsApp. “Desearíamos poder responder a lo que se publica sobre nosotros en los medios, pero no podemos revelar quiénes son nuestros clientes o lo que hacen”, dijo.

No solo WhatsApp, la NSO o espacios académicos como Citizen Lab han entrado en el debate. “Hay pocos ejemplos más claros del lado oscuro de la era digital que el de la industria de la vigilancia”, denunció el relator especial de la ONU para la libertad de expresión y opinión, David Kaye, en una tribuna publicada en The Guardian y eldiario.es. La presidenta de la NSO, por su parte, se queja del cifrado de extremo a extremo que asegura la privacidad de las conversaciones en las apps de mensajería como WhatsApp: “Hay información crítica que está oculta en aplicaciones seguras”.