NSO Group es la compañía israelí responsable del programa espía Pegasus, que se detectó en teléfonos de políticos, periodistas y activistas de medio mundo. En España es de sobra conocido: dejó rastros en terminales de políticos independentistas catalanes y también se detectaron sus trazas en móviles de miembros del Gobierno central.

El teléfono del presidente Pedro Sánchez y de varios de sus ministros fueron infectados con esta herramienta que, en un principio, NSO Group comercializa únicamente a las autoridades policiales. El propósito de esta tecnología, defienden sus creadores, es perseguir grupos terroristas y organizaciones criminales.

Pero ni Sánchez ni los políticos independentistas en cuyos teléfonos se encontraron rastros de Pegasus son terroristas o criminales. Tampoco lo son otros líderes europeos como Emmanuel Macron, en cuyos dispositivos también se encontraron pruebas de este spyware.

Meta, propietaria de WhatsApp, ya emprendió acciones legales contra NSO Group tras descubrirse que un hackeo a gran escala sobre la popular app de mensajería sirvió para inocular este programa espía en miles de teléfonos. El de las herramientas de espionaje es un mercado que muchos expertos en ciberseguridad asemejan al mercado negro de armas.

Las otras víctimas de Pegasus, el programa espía que se utilizó contra ciudadanos catalanes

A menudo, estas compañías aprovechan vulnerabilidades sin descubrir —vulnerabilidades día cero o zero day— en muchos ecosistemas informáticos. Un buen ejemplo es la capacidad con la que esta firma israelí logró inocular su singular Pegasus en iPhone. Apple presume desde hace años en la privacidad y seguridad de sus dispositivos. Pero no son infalibles.

CitizenLab, un equipo de investigación de Toronto (Canadá) especializado en las artimañas que este tipo de compañías emplean para acceder a sus víctimas, ha desvelado que NSO Group fue capaz de explotar vulnerabilidades hasta ahora desconocidas en las últimas versiones del sistema operativo de Apple para iPhone o iPad, su iOS 16.

"En 2022, CitizenLab obtuvo una amplia visión forense de nuevos ataques de NSO Group tras detectar infecciones entre miembros de la sociedad civil mexicana, incluyendo 2 activistas del Centro PRODH que representan a víctimas de los abusos militares en el país centroamericano", refleja esta organización canadiense en una nueva entrada en su web.

"Nuestra investigación en marcha nos permitió concluir que en 2022 los clientes de NSO Group aprovecharon ampliamente al menos 3 vulnerabilidades en iOS 15 y en iOS 16 para usarlas contra objetivos de la sociedad civil en todo el mundo".

CitizenLab descubrió varias de estas vulnerabilidades siendo explotadas por los clientes de Pegasus en junio y en octubre del año pasado. Precisamente en octubre de 2022 los especialistas de esta organización compartieron sus hallazgos con el fabricante de iPhone. Por esa razón, Apple introdujo varias mejoras en seguridad en la actualización de iOS a iOS 16.3.1, en enero de 2023.

Pegasus siguió mejorando en pleno escándalo en España

Estas vulnerabilidades tenían la capacidad de interceptar información en herramientas muy características del ecosistema iPhone, como la funcionalidad Buscar —que permite a un usuario buscar su dispositivo— o directamente en Mensajes. Por eso CitizenLab bautizó estos ataques como FINDMYPWN y PWNYOURHOME.

Estos descubrimientos invitan a CitizenLab a pensar que Pegasus "continúa siendo una amenaza" dado que sus técnicas de ataque "siguen evolucionando". "PWNYOURHOME y FINDMYPWN son los primeros ataques de click cero que hemos visto usando dos superficies aprovechables para el ataque en remoto de iPhone".

La organización también pone en evidencia cómo el ejército mexicano estaría haciendo uso de estas herramientas de NSO Group para poner en la picota a activistas del país americano. El año pasado, una investigación de CitizenLab ya puso de relieve que España había sido cliente de NSO Group para hacer uso de sus herramientas de espionaje contra activistas independentistas de Cataluña.

Aquellas revelaciones provocaron la convocatoria en el Congreso de la Comisión de Secretos Oficiales —a puerta cerrada—, algo que no sucedía desde hacía años. También supuso el cese de la exdirectora del CNI, Paz Esteban. Sin embargo, nunca se produjo una confirmación oficial sobre si las autoridades españolas habían sido clientes de esta compañía israelí.