La industria de los programas espías es más grande de lo que crees: las apps que usas diariamente y pueden ser tan peligrosas como Pegasus

Pegasus es, por méritos propios, una de las herramientas de ciberespionaje más conocidas del mundo. Desarrollada por la israelí NSO Group, este spyware está en el centro de varios huracanes, después de que las investigaciones de un colectivo de expertos llamado CitizenLab, ligado a la Universidad de Toronto, venga denunciando desde hace años sus prácticas.

La última de sus denuncias: el espionaje a líderes independentistas catalanes. El CNI ha confirmado una veintena de casos autorizados por el Tribunal Supremo, aunque CitizenLab habló en un principio de más de 60 víctimas. Poco después se supo que miembros del Gobierno también habían sido espiados, provocando un escándalo político.

Precisamente el escrutinio público al que Pegasus se ha visto sometido en los últimos 3 años, desde que hackeó WhatsApp para inocular la herramienta en miles de dispositivos, ha hecho que la herramienta (y otras del estilo, como Sourgum, desarrollada por Candiru) hayan sido vetadas en mercados tan críticos como el estadounidense.

Incluso el CEO de Candiru reprochó en una llamada telefónica al CEO de NSO Group su exposición pública y posteriores consecuencias. "Por vuestra culpa".

Pero Pegasus o Sourgum no son las únicas herramientas de espionaje digital disponibles para gobiernos, agencias de inteligencia y grandes empresas. En el mercado hay un sinfín de plataformas disponibles también para usuarios domésticos. Algunas de estas herramientas son tan accesibles como una aplicación disponible en iOS (iPhone) o Android.

De Jeff Bezos a Pedro Sánchez: empresarios, políticos, periodistas, millonarios o activistas por los derechos humanos, el club de los vigilados por Pegasus

"No es Pegasus todo lo que reluce", corrobora Jessica Cohen, directora de Ciberinteligencia y Riesgos Globales en Tarlogic, una empresa de ciberseguridad española. "Pegasus es un software espía más. Ahora ha salido su nombre, pero conocemos muchos más. Lo preocupante es la mercantilización de ese tipo de programas incluso a públicos más generales".

Todo programa espía se conoce como spyware, pero en este sector del espionaje digital también hay otras apps que reciben el sobrenombre de stalkerware (programas de acoso). Son herramientas que puedes estar usando de forma rutinaria sin que ni siquiera te des cuenta. Apps de control parental, de geolocalización o de control laboral.

Son herramientas cuyo modelo de negocio consiste en saber qué estás haciendo, dónde lo estás haciendo y en qué momento lo estás haciendo. Y no discriminan entre sus víctimas: da igual que seas un niño jugando con el teléfono o que seas un trabajador que no haya sido debidamente informado por su empleador de que estás siendo vigilado, aunque eso resulte ser ilegal.

"Como consumidores es muy sencillo entrar en la App Store de iOS o en la Google Play Store de Android y acceder a este tipo de aplicaciones que facilitan este tipo de comportamientos", incide Cohen. La experta lamenta que el público general no es "en absoluto consciente" de los peligros que encarnan este tipo de programas informáticos.

Cómo funciona Pegasus, el malvado programa espía usado contra los móviles de Pedro Sánchez y Margarita Robles

Y lo dice "con rotundidad y con el pesimismo que ello implica". "Los que trabajamos en tecnología ya nos llama la atención cuando por ejemplo se nos pide asesoramiento para protegerse ante este tipo de tecnología. Siempre hay que dar pautas viables. No le puedes decir a una persona que deje de tener un dispositivo inteligente", incide. Aunque esa sería la opción más segura y eficaz.

Lo que a Cohen le sorprende es sobre todo lo bien que este tipo de tecnologías se distribuyen y venden a públicos más generalistas, cuando el resultado de su uso puede ser que incluso los niños de la casa corran riesgos al ver cómo sus datos personales acaban en manos de terceros. "Cuando nos venden algo en nombre de la seguridad a menudo comprometemos nuestros derechos".

Esa "seguridad" con la que muchas de estas herramientas espías, esos otros 'Pegasus', son apps que pueden ir desde el control parental para que tus hijos accedan a determinados contenidos con el móvil hasta herramientas de geolocalización que pueden avivar conflictos en relaciones tóxicas y controladoras. "Hay muchísima industria detrás".

Ejemplos recientes. Una investigación internacional entre los institutos madrileños IMDEA Networks, IMDEA Software y la suiza EPFL revelaba en febrero del año pasado que muchas aplicaciones de control parental ya eran de por sí muy opacas en materia de privacidad y ofrecían datos personales de los usuarios (menores de edad) con fines publicitarios.

Los creadores de Pegasus "colaborarán con cualquier investigación gubernamental" sobre el espionaje a Sánchez o a Robles, aunque desconocen el caso denunciado

Cabe recordar que en un reciente trílogo (reunión formal entre el Consejo de la Unión Europea, el Parlamento Europeo y la Comisión Europea) se aprobó el texto definitivo del futuro Reglamento de Servicios Digitales, que limitará las campañas de publicidad personalizada con datos personales cuando estas se dirijan a usuarios menores de edad.

Para frenar la lacra de los stalkerware hay incluso una alianza de compañías de antivirus y ciberseguridad, entre ellas Kaspersky. Daniel Creus, analista del Equipo de Investigación y Análisis de la firma rusa, detallaba en una entrevista con este medio que estas apps son "un tipo de programa espía con ciertas singularidades que los hacen diferentes de otras herramientas".

Lo que diferencia a una app de control parental o de control de terceros dispositivos disponibles en las grandes tiendas de aplicaciones es que, aun sirviendo para espiar y controlar a otra persona, tiene otro "ámbito de utilización". "Este tipo de programas se usan en el ámbito del acoso doméstico", denunciaba entonces Creus.

"Muchas se anuncian como con una especie de halo de legalidad, como si se tratase de un sistema de control parental", confirmaba el analista de la firma de seguridad. "Pero a menudo analizas estas apps y ves que ni siquiera informan al usuario de los datos que está comprometiendo. Aunque sea con un hijo, ya es ética y moralmente reprobable usarlas", criticó.

El Supervisor Europeo de Protección de Datos propone prohibir el desarrollo de programas espías como el polémico Pegasus, que afectó a políticos catalanes

Para Jessica Cohen, de Tarlogic, este tipo de plataformas no han sido regularizadas porque a menudo han estado respaldadas por los propios gobiernos. Desde principios de los 2000 esta problemática comenzó a aflorar. Y no es extraño ver singulares puertas giratorias entre cargos políticos y empresas de soluciones ciberofensivas.

"La gente no es consciente de la existencia de esta industria, de lo que puede suponer para cada uno de nosotros el uso que se está haciendo de sus soluciones, y del impacto que tiene". NSO Group o Candiru no tienen por qué recurrir a espacios más salvajes de la red, como la dark web, para hacer llegar sus soluciones a gobiernos y agencias.

Pero en la dark web y en aplicaciones de Android o iOS hay soluciones que también son muy sofisticadas y con precios que oscilan hasta los 100 dólares al mes. Soluciones que quizá no contemplen interceptar comunicaciones, como sí pueden hacer Pegasus o Sourgum, pero cuyas consecuencias también pueden ser "muy dañinas", advierte la especialista.