Las otras víctimas de Pegasus, el programa espía que se utilizó contra ciudadanos catalanes

Aunque se conocía su existencia desde al menos 2019, Pegasus, el programa espía que ha vuelto a los titulares esta semana, no actuó únicamente contra ciudadanos catalanes.

Esta herramienta de ciberespionaje desarrollada por una empresa israelí llamada NSO Group se pudo inocular en al menos 1.400 dispositivos a raíz de un hackeo masivo a WhatsApp que se produjo precisamente en 2019. Entonces Meta, propietaria de Facebook y de la propia app de mensajería, presentó una denuncia contra los responsables de este programa.

En 2020, The Guardian y El País avanzaron que Pegasus había sido utilizado contra líderes independentistas de Cataluña, entre ellos el entonces presidente del Parlament catalán, Roger Torrent, hoy conseller de la Generalitat. El año pasado también se supo que otra herramienta de vigilancia informática había actuado en Cataluña, esta de otra empresa llamada Candiru.

Pero políticos, activistas y ciudadanos catalanes no han sido las únicas víctimas de estos instrumentos de espionaje informático. Ya el año pasado una investigación revelada por Amnistía Internacional, entre otros colectivos de periodistas y activistas en defensa de la privacidad, tuvieron acceso a una lista de 50.000 números de teléfono cuya privacidad se habría visto comprometida por Pegasus.

Los inquietantes hallazgos de Google tras estudiar los productos de hacking de NSO Group: "Son tan sofisticados como los de algunos estados"

En esa lista aparecían periodistas, opositores políticos, abogados y activistas de medio mundo. También líderes globales de la talla de Emmanuel Macron, presidente de Francia, o Charles Michel, presidente del Consejo Europeo.

La organización que más sabe de Pegasus y mejor conoce a sus responsables, la israelí NSO Group, es Citizen Lab. Se trata de un grupo de expertos en ciberseguridad que trabajan en la Munk School de la Universidad de Toronto y que realizan sus pesquisas con el firme propósito de hacer frente a este tipo de compañías de ciberespionaje.

John Scott-Railton es uno de sus principales investigadores. En una entrevista con Business Insider España, Scott-Railton, junto con otros especialistas, explicaron que la operativa de firmas como NSO o Candiru pueden ser similares a la de la industria armamentística, tras la que siempre suele haber un siniestro mercado negro.

Una amenaza subestimada

Pegasus ha vuelto a los titulares en España, donde se ha levantado toda una polvareda política, después de un reportaje publicado en The New Yorker que recoge el último análisis técnico de Citizen Lab sobre Pegasus. Este informe detalla cómo este spyware (programa espía) se inoculó en los dispositivos de ciudadanos catalanes. La trama se ha dado a conocer como CatalanGate.

Pero en unas declaraciones que recoge Malwarebytes, el propio Scott-Railton reconoce que cuando descubrió en julio de 2020 que Pegasus también logró infectar un teléfono de la red de Downing Street (la sede y domicilio del primer ministro británico) se quedó alucinado.

"Pensé que EEUU, Reino Unido y otras ciberpotencias estaban reaccionando tan lentamente a Pegasus porque no la consideraban una amenaza directa a su seguridad nacional", dijo entonces el investigador de Citizen Lab. "Me equivocaba: incluso Reino Unido estaba subestimando la amenaza que supone Pegasus".

Una profesora de la Universidad de Granada intervino en una comisión del Parlamento Europeo advirtiendo que la propia Unión Europea es también vulnerable a este tipo de amenazas.

Los entresijos del mercado oscuro en el que se venden programas de ciberespionaje como el que se utilizó contra políticos catalanes: "Es como el tráfico de armas"

Las revelaciones sobre el CatalanGate que han aportado tanto el reportaje de The New Yorker y por Citizen Lab han llegado a poner en riesgo el Gobierno de coalición en España, después de que Unidas Podemos se haya sumado a varios grupos parlamentarios en el Congreso al exigir la creación de una comisión de investigación.

Aunque no existe una acusación formal, Citizen Lab asevera en su análisis que todos los indicios apuntan a que las autoridades españolas estuvieron detrás del ciberespionaje con esta herramienta que ha acabado dejando rastro. El diario El País avanzó hace unos días que el Centro Nacional de Inteligencia, los servicios secretos, adquirieron la herramienta.

Sin embargo, fuentes del CNI consultadas por El País aseguran que el uso de Pegasus se circunscribiría únicamente a su uso en misiones en el extranjero. NSO Group reivindica que su herramienta puede servir para prevenir acciones terroristas y para combatir el crimen organizado. Pero lo cierto es que ha acabado usándose contra ciudadanos, lesionando sus derechos.

El ciberespionaje, una industria que va mucho más allá de Pegasus

Aunque se trata de una sofisticada herramienta de espionaje que explotaba varias vulnerabilidades desconocidas en distintas plataformas (también en el ecosistema iOS, el sistema operativo de iPhone), lo cierto es que otras soluciones como la que proveía otra firma, Candiru, aprovechaba vías de entrada más convencionales y fáciles de evitar, como dominios con configuraciones deficientes.

Lo cierto es que estas herramientas de espionaje no son en ningún caso una novedad. Palantir, una de las multinacionales de ciberespionaje más conocidas del mundo, está a punto de abrir oficinas en España. Ya ha tenido encontronazos con activistas en defensa de la privacidad en Europa.

Meta expone en un informe a las empresas que venden herramientas de 'hacking' a gobiernos: "Esta industria va mucho más allá de una sola firma"

Ni siquiera para NSO Group. Después de las revelaciones que Citizen Lab, entre otros, han hecho en los últimos años, la firma israelí ha visto cómo algunos países como Estados Unidos la han incluido en una lista negra. Esto ha supuesto dificultades financieras para la firma, que sin embargo, sigue desarrollando soluciones de ciberespionaje.

Una de las últimas recibe el nombre de Maestro. Mientras que Pegasus es una herramienta capaz de intervenir las comunicaciones y los datos en un dispositivo móvil, Maestro es una herramienta que hace un escrutinio sobre todos los datos de vigilancia que se hayan recopilado sobre un posible criminal... u opositor.

De esta manera, Maestro, de NSO Group, pretende crear "modelos sobre individuos, sus relaciones y sus agendas, para alertar a las autoridades en caso de que haya cambios en su rutina que puedan suponer una amenaza criminal". Es una solución que convierte "cualquier patrón vital en un vector matemático".

De momento no se sabe qué países utilizan Maestro, la última solución de NSO Group. Con Pegasus, el Gobierno de España ha rechazado cualquier implicación. Sin embargo, ya en 2020, un extrabajador de la compañía aseguró que España estaba entre sus clientes. De hecho, fue motivo de celebración en la firma: fue uno de los primeros gobiernos democráticos en recurrir a sus polémicos servicios.