¿QUÉ ES PEGASUS?

MADRID, A 31 DE MAYO 2023
SERGIO FARRAS, ADMINISTRADOR PRINCIPAL

Pegasus es un spyware, o software espía, desarrollado por la empresa israelí NSO Group que vende sus productos a gobiernos de todo el mundo. Dentro de su sector es uno de los más poderosos, siendo capaz de infectar el equipo sin que la persona pueda evitarlo y sin dejar casi rastro. Sus creadores defienden que sirve para luchar contra el crimen y el terrorismo, pero The Washington Post informó el año pasado de una lista de 50.000 personas de países de todo el mundo afectados por este software entre los que se encuentran: periodistas, activistas defensores de los derechos humanos, directores de empresas y políticos.

Cómo funciona ‘Pegasus’, el programa de ciberespionaje adquirido preferentemente por los Estados

Se estima que 60 agencias militares y de Inteligencia de 40 países tienen el ‘software’ de espionaje

Pegasus es un programa israelí de ciberespionaje adquirido preferentemente por Estados, que se instala en dispositivos móviles y es capaz de controlar toda la información contenida en el aparato espiado.

Un virus desapercibido para monitorizar el móvil

El programa ha sido desarrollado por la empresa israelí NSO Technologies, fundada en el año 2010 por antiguos miembros de los servicios de la inteligencia israelí, y sólo es vendido a Gobiernos y a los servicios de seguridad de estos para combatir el crimen y el terrorismo.

La primera filtración sobre su uso fue en 2017, aunque la primera alerta sobre este se produjo un año antes. El sistema de “captación” es sencillo. El virus emitido por Pegasus llega al titular desde un falso correo, un mensaje de texto o una videollamada perdida en redes sociales, como WhatsApp, y, tras ser pinchado, su receptor pasa a estar monitorizado.

El “malware” es capaz de conseguir un control casi ilimitado, sin que el usuario lo sepa. Detecta la ubicación del sujeto, entra en sus aplicaciones, graba conversaciones, accede a correos electrónicos, lista de contactos, fotos y vídeos, lee los mensajes de texto o acciona en remoto la cámara para tomar imágenes o grabar conversaciones.

60 agencias militares y de Inteligencia de 40 países lo usan

Expertos del sector calculan que al menos 60 agencias militares, de inteligencia o de seguridad en 40 países de todo el mundo, son las que contaban con esta tecnología, muchos de ellos de Oriente Medio y del Golfo Pérsico. (IMPORTANTE ESTE DATO).

Por estar considerado como armamento, para su exportación tiene que contar con el visto bueno del Ministerio de Defensa de Israel.

La primera alerta sobre la existencia de Pegasus fue emitida el 24 de agosto de 2106 por el Citizen Lab de la Universidad de Toronto y la empresa Lookout Security que, en su informe general, desvelaron las vulnerabilidades encontradas en el sistema iOS, de Apple.

A finales de 2016 fue Google quien detectó los primeros dispositivos con su sistema operativo Android infectados con el bautizado como Chrysaor, hermano de Pegasus y creado también por la empresa israelí NSO.

Un informe posterior de Citizen Lab y divulgado el 1 de octubre de 2018, dio popularidad mundial a Pegasus porque desveló conversaciones del periodista Jamal Khashoggi, que fue asesinado ese año en Turquía por un grupo de saudíes.

La mayor difusión de datos sobre el espionaje con Pegasus se conoció en julio de 2021, cuando el consorcio francés Forbidden Stories, en colaboración con 17 periódicos del mundo, informó que, al menos 600 teléfonos adscritos a jefaturas de Estado y de Gobierno del mundo habían sido infectados.

El primer país del que se tuvo pleno conocimiento que había adquirido Pegasus fue México, según desveló el periódico The New York Times en 2017. Según aquella información, tres agencias federales del país azteca habían invertido 80 millones de dólares desde 2011 en el software espía y lo habían utilizado para hacer seguimiento de abogados de derechos humanos, periodistas y activistas anticorrupción.

¿Quién es el creador de Pegasus?

NSO Group, los creadores del spyware Pegasus, se quedan sin director Asher Levy dimitió a su puesto como director de NSO Group. La compañía detrás de Pegasus se queda sin líder en una época de crisis.

De acuerdo a Levy, su dimisión fue planeada desde hace meses y no tiene nada que ver con el escándalo reciente. A este último, por cierto, podemos agregar que la policía de Israel adquirió el software para espiar a ciudadanos sin orden judicial, según diversos reportes provienes de dicho país. Por lo tanto, era cuestión de tiempo para que la tensión en torno a NSO Group se volviera a elevar, si bien no parece importarles demasiado.

“Puedo entender por qué la gente está haciendo la conexión [con el tema de la policía de Israel]. En realidad, no tiene nada que ver con las noticias de última hora, por así decirlo, en torno a NSO”, declaró Levy a Associated Press. Así pues, NSO Group deberá buscar a un directivo que los guíe en una época de crisis. Actualmente, de hecho, están librando varias batallas legales.

NSO Group debe enfrentar la demanda de Apple

Apple demandó a NSO Group porque su software espía, Pegasus, afectó a algunos de sus usuarios apoyándose en una vulnerabilidad de iOS. Los de Cupertino recalcaron, eso sí, que también existen gobiernos involucrados en el espionaje. “Gastan millones de dólares en tecnologías de vigilancia sofisticadas sin rendir cuentas”, mencionaron. Apple no busca una compensación económica, sino que se prohiba totalmente el uso de este tipo de herramientas.

“Si bien estas amenazas de ciberseguridad solo afectan a un número muy pequeño de nuestros clientes, nos tomamos muy en serio cualquier ataque a nuestros usuarios y trabajamos constantemente para fortalecer las protecciones de seguridad y privacidad en iOS para mantener seguros a todos nuestros usuarios”, expresó Craig Federighi, vicepresidente de Ingeniería de Software de Apple.

Pegasus y la tecnología de espionaje, el arma diplomática más potente de Israel

Israel está exportando tecnología de espionaje para avanzar sus intereses en política exterior en todo el planeta. El último ejemplo, conocido en julio de 2021, es la venta del software Pegasus a varios países de Oriente Próximo que, a cambio, establecieron relaciones diplomáticas con Tel Aviv.

Pegasus es una creación de la corporación israelí NSO Group, el fabricante de software espía más relevante del mundo. Se trata de una potente herramienta que aprovecha vulnerabilidades críticas para atacar a los teléfonos móviles a distancia, de forma que se puede acceder a todo su contenido, incluso activar en segundo plano componentes como la cámara o el micrófono.

NSO Group tiene su origen en CommuniTake Technologies LTD, una empresa israelí que, en su origen, ofrecía a los trabajadores de soporte técnico de teléfonos móviles la capacidad de tomar el control de los dispositivos para arreglarlos, con autorización de los clientes, o eso se supone.

Durante años, las fuerzas del orden y las agencias de inteligencia habían sido capaces de interceptar las comunicaciones en tránsito, pero con la encriptación de los dispositivos se volvió imposible. Podían interceptar una llamada, pero no podían entender lo que decían. Con la tecnología de CommuniTake podían recopilar los datos antes de que se cifraran. Todo lo que necesitaban era encontrar una forma de hacerlo sin permiso. Y así nació NSO.

La mayoría de miembros del equipo de investigación de NSO Group son veteranos de los servicios de inteligencia israelí; la mayoría de ellos sirvieron en AMAN, el Directorio de Inteligencia Militar de Israel, la agencia más grande en la comunidad de espionaje israelí, y muchos de ellos en la Unidad 8200, que solo acepta a un puñado de los reclutas más brillantes y los entrena en los métodos más avanzados de programación de armas cibernéticas. Hay pocas personas en el mundo con tal capacitación.

En el año 2011, los ingenieros de NSO terminaron la primera versión de Pegasus. Los países europeos inicialmente desconfiaron de NSO, preocupados por el hecho de que contrataran a exfuncionarios de los servicios de inteligencia de Israel; los clientes potenciales de NSO temían que su software espía pudiera permitir al Mossad acceder a sus sistemas de información.

Para ganarse la confianza internacional, la empresa nombró como Presidente al general israelí Avigdor «Yanush» Ben-Gal, héroe de la guerra de Yom Kippur y superviviente del Holocausto, quien estableció los pilares de la compañía: los productos de NSO se venderían solo a gobiernos, nunca a individuos o empresas; serían selectivos sobre a qué gobiernos permitirían usar el nuevo software; y cooperarían con la Agencia de Control de Exportaciones de Defensa de Israel (DECA) para autorizar cada venta. Esta última es una falsa concesión, pues al igual que con los proveedores de armas convencionales, los fabricantes de armas cibernéticas deben obtener licencias de exportación del Ministerio de Defensa de Israel para vender sus herramientas en el extranjero, lo que proporciona una palanca crucial para que el gobierno influya en las empresas y en los países que les compran dichas armas.

Pegasus al servicio de gobiernos

NSO tuvo rápidamente su primera oportunidad: México. En su batalla contra los cárteles de la droga estaba buscando formas de piratear el servicio de mensajería cifrada de BlackBerry.

El Ministerio de Defensa de Israel informó a NSO de que no había inconveniente con la venta de Pegasus a México. Los investigadores del Centro de Investigación y Seguridad Nacional (CISEN), ahora llamado Centro Nacional de Inteligencia, se pusieron a trabajar con Pegasus y pronto consiguieron interceptar las llamadas del Cártel de Sinaloa, llegando hasta su líder, Joaquín Guzmán Loera, conocido como «El Chapo». El narcotraficante más importante del mundo, quien cumple cadena perpetua en una prisión de máxima seguridad de Estados Unidos. 

En el año 2017, investigadores de Citizen Lab Research Laboratory, un grupo de vigilancia de la red con sede en la Escuela Munk de Asuntos Globales de la Universidad de Toronto (Canadá), informaron de que las autoridades de México habían utilizado Pegasus para espiar a los abogados que trabajaban para desentrañar la masacre de 43 estudiantes de la Escuela Normal Rural de Ayotzinapa en octubre de 2014.

No fue un caso aislado. El periodista Cecilio Pineda Brito fue asesinado en marzo de 2017, después de que la policía le acusara de pertenecer a un cartel de la droga local, también fue objetivo de Pegasus como «potencial objetivo a vigilar». El mismo grupo ha denunciado que El Salvador utilizó Pegasus para atacar a miembros de la prensa.

No hay evidencia directa de que los contratos de México con NSO provoquen un cambio en la política exterior del país hacia Israel, pero si se advierte un cambio de actitud. Así, tras una larga tradición de votar en contra de Israel en las conferencias de las Naciones Unidas, México ha comenzado a cambiar el «no» por «abstenciones».

Panamá también empleó Pegasus. En agosto de 2009, el nuevo presidente, Ricardo Martinelli, recién salido de una campaña presidencial basada en la promesa de eliminar la corrupción política, trató de persuadir a los diplomáticos estadounidenses para que le entregaran equipos de vigilancia para espiar amenazas a la seguridad, así como a opositores políticos, según un cable del Departamento de Estado publicado por WikiLeaks. Estados Unidos rechazó la petición de Martinelli, argumentando que no serían parte de ningún esfuerzo para expandir las escuchas telefónicas a objetivos políticos nacionales.

Ante el rechazo de Estados Unidos, Martinelli cambio de estrategia para acercarse a Israel. Panamá fue uno de los seis países en la Asamblea General de las Naciones Unidas que respaldó a Israel en contra de una resolución para mantener en la agenda internacional el informe de la Comisión Goldstone sobre los crímenes de guerra cometidos durante el ataque israelí a Gaza en 2008 y 2009. Una semana después de la votación, Martinelli aterrizó en Tel Aviv para apoyar al presidente israelí Shimon Peres. Poco después, Martinelli disponía de Pegasus.

Israel autorizó en 2013 la venta del sistema a los Emiratos Árabes Unidos, a modo de tregua, después de que agentes del Mossad envenenaran a un espía de Hamas en una habitación del hotel Al Bustan Rotana de Dubai en 2010.

Los Emiratos no dudaron en desplegar Pegasus contra sus enemigos domésticos. Uno de los primeros fue Ahmed Mansoor, activista por los derechos humanos y ganador del Premio Martín Ennals para Defensores de los Derechos Humanos. El 29 de mayo de 2019, Mansoor fue condenado por publicar «información falsa, rumores y mentiras sobre los Emiratos Árabes Unidos» en Facebook y Twitter. La condena consistió en diez años de prisión y una multa de un millón de dírhams de los Emiratos Árabes (unos 270.000 $). Su apelación fue rechazada el 31 de diciembre de 2018. Desde su encarcelamiento, Mansoor ha languidecido en régimen de aislamiento.

El 17 de septiembre de 2021, el Parlamento Europeo aprobó una resolución pidiendo a los Emiratos Árabes Unidos la liberación inmediata e incondicional de Ahmed Mansoor y de todos los defensores de los derechos humanos, activistas políticos y disidentes pacíficos, declarando que las autoridades emiratíes «violaron los derechos de Ahmed Mansoor con arrestos y detenciones arbitrarias, amenazas de muerte, agresiones físicas, vigilancia gubernamental y trato inhumano bajo custodia».

No es el único caso de abuso. El Alto Tribunal de Londres ha sentenciado, recientemente, que el emir de Dubái, Mohammed sin Rashid al Maktum, ordenó el espionaje de su exesposa, la princesa Haya de Jordania, y su abogada, Fiona Shackleton, encargada de su defensa en el proceso de divorcio que se sigue bajo la jurisdicción británica. Tras ese descubrimiento NSO puso fin al contrato con los Emiratos Árabes Unidos.

Arabia Saudita también dispone de Pegasus. Lo uso para espiar al periodista Jamal Khashoggi, a quien agentes saudíes mataron y desmembraron en el Consulado de Arabia Saudita en Estambul en 2018. Israel vetó el uso de Pegasus a Arabia Saudita.

En julio de 2017, el primer ministro de India, Narendra Modi, visitó Israel. Durante décadas, India había mantenido una política de lo que llamaba «compromiso con la causa palestina». Las relaciones con Israel eran frías, pero la visita de Modi a Tel Aviv y su reunión con el primer ministro israelí Netanyahu cambió las cosas. Sus países acordaron la venta de un paquete de armas sofisticadas y equipos de inteligencia por un valor aproximado de dos mil millones de dólares, incluido Pegasus. En junio de 2019, India votó a favor de Israel en las Naciones Unidas.

El uso indebido de Pegasus por parte de las autoridades de India no ha pasado desapercibido y el Tribunal Supremo de India ha abierto una investigación sobre el presunto uso del software israelí para labores de espionaje contra periodistas, opositores y activistas, entre otros.

El presidente francés, Emmanuel Macron, el ex primer ministro Édouard Philippe y otros políticos franceses, así como periodistas y activistas galos figuran entre las víctimas o afectados potenciales del programa israelí utilizado por los servicios de seguridad de Marruecos. Una investigación reciente de Amnistía Internacional ha revelado que la destacada activista de Derechos Humanos saharaui Aminetu Haidar también fue espiada por Marruecos a través de Pegasus, así como el historiador Maati Monjyb, el abogado Abdessadak El Bouchattaoui y los periodistas Omar Radi y Hicham Mansouri.

Polonia también está en el punto de mira. Amnistía Internacional asegura tener pruebas de que emplearon Pegasus para interceptar las comunicaciones del senador polaco Krzysztof Brejza cuando se presentó a las elecciones parlamentarias de 2019 por un partido de oposición.

Las autoridades comunitarias se pronuncian

El EDPS (European Data Protection Supervisor) ha emitido un informe respecto al uso de Pegasus, señalando que su uso «supone un nivel de intrusismo sin precedentes, que amenaza la esencia del derecho a la privacidad, en tanto en cuanto el software espía puede interferir con los aspectos más íntimos de nuestras vidas diarias».

Dicho informe también advierte que: «Dado que las características técnicas específicas de los programas espía como Pegasus dificultan enormemente el control de su uso, tenemos que replantearnos todo el sistema de salvaguardias establecidas para proteger nuestros derechos fundamentales y libertades que están en peligro con estos instrumentos». El informe admite que Pegasus es difícil de detectar.

El incierto futuro de Pegasus

Desde las revelaciones de 2013 de Edward Snowden -informante y antiguo empleado de la Agencia Central de Inteligencia (CIA) y de la Agencia de Seguridad Nacional (NSA)- sobre la vigilancia de los ciudadanos estadounidenses por parte del gobierno de Estados Unidos pocos debates han sido más tensos que aquellos sobre el alcance adecuado del espionaje doméstico y el equilibrio entre privacidad y seguridad nacional.

Israel -siempre cauteloso con Estados Unidos- pidió a NSO que programara Pegasus para que fuera incapaz de apuntar a los números estadounidenses. Para superar las limitaciones impuestas por el gobierno de Israel, NSO ofreció al FBI, la agencia de investigación criminal del Departamento de Justicia de Estados Unidos, un sistema alternativo llamado Phantom. Su presentación no estuvo exenta de polémicas, enfrentando al FBI y al Departamento de Justicia del cual depende. Tras dicho enfrentamiento, el FBI decidió no desplegar las armas de NSO.

Las autoridades de Israel reaccionaron como si la prohibición fuera un ataque al propio Estado. La ira de los israelíes se debió a la hipocresía de Estados Unidos: la prohibición estadounidense se produjo después de años de probar en secreto los productos de NSO y ponerlos en manos de al menos un país, Yibuti, que no destaca por su respeto a los derechos humanos.

La reputación de las grandes tecnológicas se ha puesto en tela de juicio, pues NSO ha evidenciado las vulnerabilidades de sus dispositivos y aplicaciones. Apple ha demandado a NSO para exigir responsabilidades por vigilancia y ataque selectivo a sus usuarios. No ha sido la única demanda. Facebook (hoy, Meta Platforms Inc.) les ha demandado por hackear los teléfonos de particulares a través de su aplicación de mensajería instantánea WhatsApp, que está instalada en más de 1.500 millones de teléfonos en el mundo. Will Cathcart -el jefe de WhatsApp- indicó a The Washington Post que el ataque había provocado un factor inquietante al dirigirse a «al menos cien activistas de los derechos humanos, periodistas y otros miembros de la sociedad civil».

En diciembre de 2021, el asesor de seguridad nacional de la Casa Blanca Jake Sullivan, llegó a Israel para reunirse con funcionarios israelíes sobre una de las principales prioridades de política exterior de la administración Biden: lograr un nuevo pacto nuclear con Irán después de que el presidente Trump echara por tierra el acuerdo original. Pero había otro asunto que Israel querían discutir: el futuro de NSO, que había sido vetado en Estados Unidos.

En junio de 2017, la firma de capital privado Francisco Partners puso a la venta su 70 por ciento de la compañía.​ Los fundadores de NSO, Omri Lavie y Shalev Hulio, en asociación con el fondo de capital privado europeo Novalpina Capital, compraron una participación mayoritaria en NSO en febrero de 2019, pero las cosas no marchan bien para la compañía. Su presidente, Asher Levy, dimitió y algunos inversores se están desprendiendo de sus participaciones. 

Dice un refrán que «a río revuelto, ganancia de pescadores»; pues bien, un fondo de inversiones americano ya ha mostrado su interés en adquirir la compañía. Si el nuevo propietario es afín al gobierno de Estados Unidos podrá potencialmente alinear a la compañía con las regulaciones estadounidenses y comenzar a vender sus productos a la CIA, el FBI y otras agencias estadounidenses ansiosas por el poder que ofrecen las armas de NSO.

Fuentes fidedignas afirman que tanto Rusia como China, que están en la élite del espionaje, no usan a NSO, lo que no quita que tengan sus propios sistemas de spyware.

Las armas cibernéticas han cambiado las relaciones internacionales de forma tan profunda como la bomba atómica en la Segunda Guerra Mundial. Son armas comparativamente baratas, se distribuyen fácilmente y se pueden implementar sin consecuencias para el atacante. Lidiar con su proliferación está cambiando radicalmente la naturaleza de las relaciones estatales, como Israel descubrió hace mucho tiempo.

Pegasus no es la única herramienta de espionaje. Hay otras muchas, como Predator, un sistema de la empresa Cytrox, de características similares a las de Pegasus. Según las investigaciones de Citizen Lab esta herramienta ha podido ser utilizada por Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.

Otro programa spyware con las mismas ventajas que los citados es Reign, de la empresa israelí QuaDream, rival de NSO Group, cuya existencia se reveló durante el año 2021.

También está Candiru, una empresa de seguridad informática israelí fundada en 2014 y reconocida como una de las empresas de ciberespionaje más avanzadas.

El uso de las nuevas tecnologías y la aplicación de la Inteligencia Artificial exige un debate ético, incluso en el ámbito militar y de al seguridad nacional. No todo vale.

Puedes escuchar la entrevista en directo sobre Pegasus

Cortesía de Cyber- Day (Selec Radio)