El m¨®vil, el arma de espionaje definitiva que llevamos en el bolsillo

Quien entre en su m¨®vil obtendr¨¢ mucha m¨¢s informaci¨®n sobre usted que registrando su casa. Tanto en el plano f¨ªsico (ubicaci¨®n en tiempo real, historial de desplazamientos, horas de sue?o) como en el social (con qui¨¦n se ve y durante cu¨¢nto tiempo, de qu¨¦ habla, qui¨¦nes son sus amigos y su familia) o hasta en el mental (gustos, aficiones, ideas pol¨ªticas). Nuestros ordenadores de bolsillo son tambi¨¦n un punto de acceso a cualquier documento de valor (datos m¨¦dicos, financieros o laborales, fotograf¨ªas y v¨ªdeos personales, archivos de trabajo). Todo lo que hacemos pasa hoy por estos dispositivos. Por eso nos aterra que alguien los pueda husmear sin nuestro consentimiento. ¡°Los m¨®viles son el sue?o de Stalin¡±, suele decir Richard Stallman, padre del software libre y leyenda en vida para muchos programadores.

Ese sue?o cobra un significado pleno gracias a sofisticados programas como Pegasus, el producto estrella de la israel¨ª NSO Group. Seg¨²n ha desvelado una investigaci¨®n period¨ªstica, este software de espionaje, o spyware, se ha infiltrado en el m¨®vil de los presidentes de Francia, Emmanuel Macron, o de M¨¦xico, Andr¨¦s Manuel L¨®pez Obrador, entre otros. En Espa?a ya era conocido por haberse colado en los m¨®viles de algunos pol¨ªticos catalanes durante el proc¨¦s. El hombre m¨¢s rico del mundo, Jeff Bezos, ha sido capaz de pasearse por el espacio, pero no de evitar el escrutinio de este programa.

Pegasus est¨¢ dise?ado para meterse en tel¨¦fonos ajenos sin que su due?o lo advierta (como troyano al clicar en un enlace o, en otras ocasiones, descarg¨¢ndolo sin saberlo al entrar en una web determinada) y manipularlos desde dentro. Puede hacer capturas de pantalla, transmitir los datos que contenga el aparato, alterar y modificar comunicaciones y activar el micr¨®fono o la c¨¢mara. Todo de forma remota y sin levantar sospechas.

Un arsenal variado

Ni Pegasus es un spyware ¨²nico ni NSO es la empresa que controla este negocio. ?Qu¨¦ otras herramientas hay en el mercado y de qu¨¦ son capaces? Imposible saberlo por fuentes oficiales. Conscientes de ello, miembros de Privacy International, una ONG brit¨¢nica que vela por el uso no invasivo de la tecnolog¨ªa, asistieron a decenas de ferias militares celebradas en 37 pa¨ªses de Europa, Oriente Pr¨®ximo y Asia para recoger informaci¨®n sobre ciberarmas directamente de los fabricantes. Para lograrlo se hicieron pasar por posibles compradores, aunque no debi¨® ser f¨¢cil entrar en una industria tan celosa del desconocido. ¡°No puedo hacer comentarios sobre eso¡±, responde educadamente Ilia Siatitsa, investigadora de la organizaci¨®n.

El resultado de esa labor de campo es uno de los informes m¨¢s completos que hay sobre estas herramientas, con un registro en el que se detallan unos 1.500 productos distintos. Los clasifican en 11 categor¨ªas, que van desde rastreadores de ubicaci¨®n o de actividad digital hasta sistemas de grabaci¨®n de audio o los programas de hackeo de m¨®viles del tipo Pegasus.

Estados Unidos, Israel, Reino Unido, Alemania e Italia son los pa¨ªses con m¨¢s compa?¨ªas en este controvertido sector, de acuerdo a los datos que maneja Privacy International, que apenas han tenido acceso a material de Rusia o China (se da por hecho que tambi¨¦n ser¨¢n importantes en este negocio). ¡°No hay una regulaci¨®n internacional que afecte a este tipo de artilugios. Se usan de forma totalmente opaca. NSO, por ejemplo, dice que solo vende a gobiernos, pero no lo podemos confirmar¡±, explica Siatitsa. La organizaci¨®n en la que trabaja lleva tiempo haciendo campa?a para que se proh¨ªban estos artilugios. Ya en 2013 revel¨® que un software de la firma brit¨¢nica Gamma Group, capaz de infiltrarse en un ordenador y monitorizar sus comunicaciones, hab¨ªa sido usado por los Gobiernos de Etiop¨ªa o Bar¨¦in para localizar y atacar a opositores pol¨ªticos.

La falta de escr¨²pulos de los productores de estos sistemas est¨¢ contrastada. Se sabe que Azerbaiy¨¢n, Emiratos ?rabes o Arabia Saud¨ª son consumidores habituales. Y que usan estas herramientas para perseguir y asesinar a disidentes, como demuestra el caso del periodista saud¨ª Jamal Khashoggi.

No toda la tecnolog¨ªa capaz de acceder a un m¨®vil funciona de la misma forma. ¡°Por un lado est¨¢ el software de for¨¦nsica de m¨®viles, el que usa la polic¨ªa cuando tiene que entrar en un dispositivo y no le hace falta hacerlo de forma remota, y por otro est¨¢n las empresas que producen tecnolog¨ªa de vigilancia¡±, subraya Javier Ruiz, investigador de Ada Lovelace Institute de Londres. En la segunda categor¨ªa entrar¨ªan, por ejemplo, los motores de b¨²squeda que se dedican a hacer saltar una alarma cada vez que un internauta teclea palabras sospechosas (pornograf¨ªa infantil, terrorismo, etc¨¦tera). En un tercer pelda?o se sit¨²an programas como Pegasus, que directamente se dedican a hackear m¨®viles.

Para lograrlo, estos sistemas aprovechan vulnerabilidades detectadas por hackers en sistemas operativos. Son los llamados exploits. Se sabe, por ejemplo, que la francesa Vupen vende exploits a agencias de inteligencia como la NSA. Los hackers m¨¢s talentosos son capaces de descubrir vulnerabilidades desconocidas hasta por el propio desarrollador (zero day exploits). Su valor en el mercado negro puede alcanzar centenares de miles de d¨®lares. Stuxnet, el ataque inform¨¢tico organizado por EE UU e Israel contra las centrales nucleares iran¨ªes, us¨® cuatro zero day exploits.

El tsunami Snowden

Que los Estados usan la tecnolog¨ªa m¨¢s avanzada del momento para espiar no es una novedad. Durante la Guerra Fr¨ªa, los pinchazos telef¨®nicos formaban parte de la rutina de las fuerzas de seguridad en buena parte de Europa. La sofisticaci¨®n de los m¨¦todos y sobre todo la digitalizaci¨®n de nuestras vidas hicieron cada vez m¨¢s sencillo ese trabajo. Las filtraciones de Edward Snowden de 2013 supusieron una llamada de atenci¨®n mundial acerca de la magnitud y sistematizaci¨®n de las escuchas. ¡°No solo evidenciaron que la NSA ten¨ªa un amplio programa de espionaje con tecnolog¨ªa propia, sino que lo empleaba contra sus propios aliados, como Angela Merkel¡±, recuerda Andr¨¦s Ortega, investigador del Real Instituto Elcano.

Los sistemas usados entonces eran m¨¢s sencillos y solo permit¨ªan escuchar las conversaciones, pero su utilidad era enorme para los servicios secretos. Tanto es as¨ª que, seg¨²n este analista, a los servicios de inteligencia no les interesa demasiado que se hable de lo f¨¢cil que es entrar en m¨®viles ajenos precisamente para poder seguir haciendo su trabajo. En este juego participan tambi¨¦n las grandes empresas, principalmente para obtener informaci¨®n sobre negociaciones de contratos o para espionaje industrial. ¡°Por unos 500 d¨®lares puedes comprar sistemas para pinchar m¨®viles con relativa facilidad¡±, asegura Ortega.

Las recientes filtraciones del uso de Pegasus revelan que ni siquiera el tsunami provocado por Snowden fren¨® las escuchas sistem¨¢ticas. ¡°En algunos casos, las fuerzas del orden e inteligencia deben poder recurrir a estas herramientas para entrar en los m¨®viles de los criminales. Pero deber¨ªamos asegurarnos de que no se usen a la ligera¡±, opina Diego Naranjo, asesor pol¨ªtico de EDRI, una ONG paneuropea que trabaja por la defensa de los derechos humanos en la era digital. ¡°Hay que desarrollar normativas internacionales potentes, como por ejemplo prohibir que las compa?¨ªas puedan guardarse y vender zero day exploits¡±.

En Espa?a, para pinchar un m¨®vil hace falta un permiso judicial. En otros pa¨ªses, como EE UU o Reino Unido, tambi¨¦n se exige eso, aunque solo si la escucha se realiza dentro de las propias fronteras. Fuera del propio pa¨ªs, los controles son m¨¢s laxos.

?Qui¨¦n est¨¢ a salvo?

?Hace falta recurrir a programas tan sofisticados como Pegasus para entrar en un m¨®vil ajeno? La respuesta es no. ¡°A un usuario medio se le puede hacer muchas cosas cuando lleva un Android, ya sea explotando alguna vulnerabilidad o mediante ingenier¨ªa social¡±, explica Deepak Daswani, hacker y experto en ciberseguridad. El sistema operativo de Apple, iOS, ofrece m¨¢s garant¨ªas porque tiene m¨¢s medidas de control sobre las aplicaciones que uno descarga.

Hay tel¨¦fonos codificados, preparados por el CNI, que son m¨¢s dif¨ªciles de hackear: est¨¢n cifrados de punta a punta. En Espa?a los tienen los altos cargos del Gobierno. Pero muchos ministros los dejan de usar porque se oyen mal y son m¨¢s lentos, seg¨²n apunta una fuente familiarizada con estos procesos. Esa b¨²squeda de comodidad pudo haber sido la puerta de entrada de Pegasus en uno de los tel¨¦fonos del presidente Macron.

Deshacerse del smartphone no elimina el problema: entrar en un ordenador es igual de sencillo que acceder a un m¨®vil. Solo nos queda confiar en que se haga un correcto uso de las herramientas de vigilancia. ¡°Igual que hay tratados para prohibir el uso de armas nucleares o bombas de racimo, creo que deber¨ªa haberlos para las ciberarmas: son demasiado peligrosas para la democracia. Una empresa como NSO no deber¨ªa poder existir¡±, reflexiona Carissa V¨¦liz, profesora de Filosof¨ªa en la Universidad de Oxford y experta en privacidad. Hasta entonces, Stalin podr¨¢ seguir so?ando con una sonrisa de oreja a oreja.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.