As¨ª funciona Pegasus, el ¡®software¡¯ de espionaje m¨¢s c¨¦lebre del mundo

Un d¨ªa de 2019, el presidente del Parlamento catal¨¢n, Roger Torrent, recibi¨® una videollamada de WhatsApp. No tuvo ni que contestarla. En ese momento, la empresa israel¨ª NSO, aprovechando una vulnerabilidad de la aplicaci¨®n que ya hab¨ªa usado otras veces, le coloc¨® en su tel¨¦fono Pegasus, su software de espionaje estrella. Si eso fue lo ocurri¨®, y todo apunta a que fue as¨ª, el m¨®vil del pol¨ªtico catal¨¢n ya no le obedec¨ªa solo a ¨¦l. A trav¨¦s de Pegasus, recib¨ªa tambi¨¦n instrucciones desde alg¨²n lugar remoto: captura esos mensajes, conecta el micro, haz una foto, dime la localizaci¨®n. Torrent llevaba desde entonces en el bolsillo un instrumento que espiaba su vida.

Los tel¨¦fonos tanto de Torrent como del exconseller Ernest Maragall fueron infectados con este software, seg¨²n inform¨® esta semana EL PA?S. En el pasado, personajes tan poderosos como Jeff Bezos, fundador de Amazon, tambi¨¦n fue v¨ªctima de Pegasus, el ¨²ltimo gran programa dedicado a uno de los negocios m¨¢s sostenibles desde que existen m¨®viles: espiar. Antes de NSO y Pegasus existieron por ejemplo FinFisher o Hacking Team, programas o empresas oscuras hasta que dejan de serlo. Bien porque se convierten en noticia inesperada, o porque son v¨ªctimas de un hackeo.

EL PA?S ha consultado a media docena de especialistas en seguridad inform¨¢tica acerca de su funcionamiento. El software de NSO no es algo que est¨¦ disponible sin m¨¢s. Pero ha habido suficientes investigaciones y denuncias como para que emerja un retrato claro de lo que es capaz de hacer y c¨®mo lo hace.

Hace justo cinco a?os, en julio de 2015, la empresa Hacking Team, especializada en herramientas de vigilancia, fue hackeada y miles de los correos que intercambiaban sus empleados aparecieron en Wikileaks. ¡°Mil gracias, pero solo para ser m¨¢s preciso: ?puedo decirle al CNI [Centro Nacional de Inteligencia de Espa?a] cu¨¢les son todos los exploits disponibles aunque no tengan derecho?¡±, dec¨ªa uno de ellos. Y otro le respond¨ªa: ¡°Cu¨¦ntaselos, igual los compran¡±. En el mismo mensaje, los trabajadores admit¨ªan que Marruecos s¨ª pagaba lo suficiente para tenerlos.

El exploit es la pieza de software que aprovecha la vulnerabilidad de una aplicaci¨®n, navegador o sistema operativo para acceder al dispositivo. Es la llave que abre la puerta. NSO ofrece esa llave y tambi¨¦n el software que luego controla el dispositivo. La llave esta vez abr¨ªa la puerta de WhatsApp. Pero hay m¨¢s: es un sector de negocio por s¨ª mismo. Un exploit como el usado en el m¨®vil de Torrent o en el de Jeff Bezos, que se cuela por una aplicaci¨®n muy popular y que no requiere de la participaci¨®n del usuario ¨Dlo que se llama ¡°cero clic¡±¨D, es tremendamente caro. Quien lo desarrolle y quiera venderlo puede llevarse entre uno y dos millones de euros.

NSO usa estas llaves seg¨²n las necesidades de sus clientes y las tarifas ser¨¢n a la fuerza el¨¢sticas: no es lo mismo utilizarlo por primera vez con un objetivo, que m¨¢s tarde y con m¨¢s v¨ªctimas. Una fuente conocedora de las tarifas de NSO que pide anonimato dice que un precio razonable para clientes de la empresa es 500.000 d¨®lares (437.000 euros) para un exploit m¨¢s otros 500.000 para infectar 10 dispositivos. Aunque las variables pueden modificar esas cifras.

¡°Te dan una lista y te dicen que estos son los productos para los que tienen exploits: para estas versiones de Windows, para WhatsApp en tales sistemas operativos, Safari, Chrome en Windows, lo que sea. Luego el software que metes dentro lo compras aparte¡±, dice Joxean Koret, especialista en seguridad inform¨¢tica.

Una empresa con la capacidad de comprar o desarrollar esas llaves no es sencilla de montar. Pero ah¨ª est¨¢ precisamente el negocio. Esos exploits, que son caros, pueden venderse a¨²n m¨¢s caros. Siempre depende de las necesidades del cliente. Luego est¨¢ la capacidad de empresas como NSO de ofrec¨¦rselos a varios interesados. ¡°Cuando se ponen en una cadena de producci¨®n de una empresa, se convierte en un negocio rentable¡±, dice Lukasz Olejnik, consultor e investigador independiente en ciberseguridad.

Un negocio al alza

Encontrar el exploit que sirva para acceder al m¨®vil de la v¨ªctima que interesa no es siempre sencillo: depende de modelos, versiones y de lo que cada cual est¨¦ dispuesto a pagar. Adem¨¢s es algo que no dura para siempre. ¡°Incluso para los est¨¢ndares de la inform¨¢tica, las vulnerabilidades son bastante ef¨ªmeras. Este de WhatsApp, por ejemplo, en cuanto lo usaron contra un objetivo que se dio cuenta, o Facebook lo detect¨®, est¨¢ muerto¡±, dice Koret.

Hay otros exploits que acceden directamente al sistema operativo del m¨®vil, sin pasar por una app, que requiere algo m¨¢s de desarrollo para obtener control de todo el dispositivo. Un exploit que logre acceder a todo el m¨®vil sin ning¨²n clic de la v¨ªctima cuesta para Android 2,5 millones de d¨®lares (2,1 millones de euros), seg¨²n las ¨²ltimas tarifas de Zerodium, la empresa que comercializa con estos productos y publica en abierto sus precios de compra para expertos en seguridad interesados. Si el cliente quiere ese nivel de finura tendr¨¢ que pagarlo, aunque las agencias de inteligencia de los pa¨ªses occidentales tienen sus propios desarrolladores.

Una vez el cliente ha elegido su exploit, su llave para entrar, aparece Pegasus, el producto estrella de NSO. Pegasus es lo que se conoce como RAT (herramienta de acceso remoto, en sus siglas en ingl¨¦s). El cliente de NSO tiene entonces un panel desde el que controla el dispositivo infectado.¡°La ventaja de NSO es que te facilita el exploit y luego te ponen toda la infraestructura, tienen un panel de control bastante bien montado. Te dan estabilidad. Son buenos en el producto¡±, dice David Barroso, CEO de CounterCraft.

Ese panel activa micr¨®fonos, sigue a la v¨ªctima o recibe archivos. Es el sue?o de todo esp¨ªa: mirar indetectado todo lo que hace tu sospechoso. Una vez dentro, sin embargo, se puede recoger algo o se puede uno quedar a vivir. ¡°Hay clientes a los que les gusta explotar solo lo que est¨¢ en la memoria [del dispositivo], porque no deja luego trazas una vez reinicias. A otros les interesa la persistencia. Pegasus tiene ambas opciones, seguro¡±, dice Koret.

NSO defiende que solo trabaja para Gobiernos. Pero su modelo de negocio es interesante para muchos otros clientes y la tentaci¨®n es grande: ¡°El ciclo de vida de estas empresas siempre es el mismo¡±, dice Rom¨¢n Ram¨ªrez, organizador de RootedCON. ¡°Empiezan contando el rollo de que lo hacen por el bien de la humanidad y luego vas descubriendo que se lo venden a dictadores y narcos. Al final se te acaban los clientes¡±, a?ade.

En el fondo, explica Ram¨ªrez, ¡°te vas a Israel, pagas y te dan el servicio, no te dan un software. No tienes que hacer nada¡±. Su popularidad ayuda. ¡°Su fama se basa en buen marketing, b¨²squeda de clientes y ese panel relativamente simple e intuitivo de este poderoso software de acceso¡±, a?ade Olejnik, que no olvida la notoriedad obtenida por los medios, que ¡°pueden haber jugado un papel contraintuitivamente positivo¡± para NSO.

Si hay alg¨²n consenso entre los especialistas es que este negocio tiene futuro. Y que si eres un objetivo de alguien con recursos, lo mejor es dejar el m¨®vil. ¡°Si tu amenaza es a nivel de Estado, mejor cambia de enemigo¡±, dice Koret, como si fuera una broma pero sin serlo. ¡°Si no puedes hacerlo porque no te queda otra, no puedes confiar en la tecnolog¨ªa. La tecnolog¨ªa de por s¨ª ser¨¢ un problema. Si tienes un tel¨¦fono que solo usas en una determinada ¨¢rea geogr¨¢fica y que no est¨¢s contaminando con nada de tu persona real, puede que durante un tiempo te valga. Para mucho tiempo no te va a valer¡±, a?ade. El reciente ejemplo de Encrochat ¨Del sistema de mensajer¨ªa del mundo del crimen desarticulado por la polic¨ªa¨D, es un buen aviso.

En este submundo oscuro hay siempre m¨¢s posibilidades de lo que parece. NSO se ha hecho famosa y es algo que en parte les beneficia. Si lo usan agencias de inteligencia de docenas de pa¨ªses y no para de salir en peri¨®dicos, por qu¨¦ no probarlo, puede pensar gente interesada. ¡°El m¨¦rito por el cual Pegasus se ha hecho tan famoso es el haber sido descubierto¡±, dice Carlos Seisdedos, responsable de Ciberinteligencia en IsecAuditors. Puede haber m¨¢s sin descubrir.