Dos gigas y medio a Pedro Sánchez, nueve megas a Margarita Robles, seis gigas a Fernando Grande-Marlaska… La entidad privada o el estado que atacó a los móviles de estos miembros del Gobierno se abstuvo de hacer copias totales de los contenidos, según los recientes informes que, por orden de Moncloa, ha realizado el Centro Driptológico Nacional tras detectarse este espionaje. El agresor solo copió porciones de su memoria cuyo contenido no ha trascendido. La razón para catas pequeñas está en la clandestinidad de esas intromisiones, como las realizadas a teléfonos de independentistas un año antes: el espía no quería que lo encontraran en un rastreo periódico de los guardaespaldas del dirigente espiado.
“Adquirir y enviar los datos que se cogen del móvil atacado implica un tráfico de datos, y eso sí es detectable”, explica Josep Albors, responsable de Investigación de Eset España, filial de la multinacional de ciberseguridad de origen eslovaco. Quien espió no quiso que una emisión inusualmente grande de datos desde los móviles de los ministros llamara la atención a horas de trafico de red no demasiado intenso, “por ejemplo, cuando Marlaska dormía”, explica Albors.
En la Seguridad del Estado se lo toman con filosofía: solo cabe aumentar el presupuesto de terminales de teléfono de los altos cargos para irlos cambiando
Esa es la única huella de Pegasus que hoy puede seguir un servicio de seguridad común… pero en el momento del pinchazo. Y poco más. Las fuentes consultadas en la Seguridad del Estado se lo toman con filosofía: solo cabe aumentar el presupuesto para terminales de teléfono de los altos cargos, pues lo único que pueden hacer es revisar y, si detectan, siempre a posteriori, el paso de Pegasus, cambiar el terminal infectado por uno nuevo.
Los ingenieros de ciberseguridad pierden de momento perdiendo la batalla contra el programa espía israelí. “Ahora Pegasus es imparable”, dice un experto estatal en contraespionaje electrónico versioneando una conclusión general en toda Europa. “No se puede impedir un ataque de Pegasus -corrobora Albors-, lo que sí se puede hacer es detectarlo a tiempo, avisar… y cambiar de terminal”.
Ambos técnicos se refieren a la etapa .4 que vive ya Pegasus. De interceptaciones más toscas (de los tiempos del espionaje) ha pasado a ser un sistema zero-click. Tanto los ministros espiados en 2021 como los independentistas en 2020 recibieron un falso mensaje y activaron el 'malware' al abrirlo, 'clickar' o contestar. Ahora Pegasus no necesita que su objetivo 'clickee' nada, ni que lea un mensaje, actualice el móvil, autorice la instalación de una app…). Al atacante le basta con saber el número de teléfono de su objetivo y enviar el código espía “aprovechando las puertas que se dejan abiertas programas complejos de mensajería”, asegura el experto estatal, en alusión a WhatsApp o iMessage.
Clase dirigente
Las escuchas que ahora puedan realizar el CNI o la DGED, (Dirección General de Estudios y Documentación, el espionaje exterior marroquí) son ahora aún más silenciosas. “Envían por iMessage un gif que en realidad camufla un pdf auto ejecutable. No precisa respuesta. El dueño del teléfono no se entera de que lo ha recibido. Y se instala en el móvil”, explica Albors.
Eset, la empresa para la que trabaja, detectó versiones anteriores de Pegasus en teléfonos no IOS, como Android Spy o Chrysaor. Como otras del sector, la firma tiene herramientas para detectar un ataque, sistemas antivirus para móviles Android que dan la alarma, incluso por 10 euros al año, mucho menos de los 43.000 euros que cuesta penetrar con Pegasus en un teléfono móvil. Son antivirus “para lidiar con amenazas usadas por delincuentes, como troyanos bancarios o spyware”, relata.
Pero los políticos tienen un problema: “La mayoría de los ataques identificados han sido dirigidos a dispositivos IOS –cuenta Josep Albors-. En ese caso, existe la posibilidad de detectarlo solo después, haciendo un análisis forense”.
La clase dirigente, parlamentarios y altos cargos, en los países OTAN reciben iPhones para trabajar. Y los teléfonos de Apple se han vuelto más atacables “no solo por ser los más numerosos entre los políticos, también porque la compañía no permite la instalación de antivirus que no sean los suyos”, explica este experto.
La iniciativa MVT
Pasado un mes del estallido de esta nueva entrega del caso Pegasus, no sabría Albors cuantificar aún en qué porcentaje exacto, pero si certifica que en el sector se han disparado las consultas a especialistas sobre contraespionaje, “y el interés de los usuarios por proteger sus teléfonos ha aumentado”.
Mientras trata de cerrar puertas de sus móviles, Apple ha llevado a los tribunales contra NSO Group con una denuncia presentada en Estados Unidos en noviembre pasado. Entre febrero y septiembre de 2021 la firma californiana consiguió detectar ataques de Pegasus, pero fue antes de que una nueva versión convirtiera a este programa en un zero-click.
Ninguna de las fuentes consultadas confía demasiado en la eficacia de los sistemas libres anti Pegasus: “Dan demasiados falsos positivos”
No solo las empresas buscan escudos que vender contra Pegasus. Hay también iniciativas libres. Desde la reedición del caso en España, que ha resucitado a nivel internacional la fama del software espía después de otro escándalo en 2020, se está poblando de propuestas para combatir al caballo alado un armero discreto y especial de esta guerra sorda: Github.
Se trata de un repositorio web en el que confluyen desarrolladores libres y entidades de lucha por los derechos civiles, como Amnesty International. Esta oenegé, en colaboración con la entidad canadiense Citizen Lab “y otros partners”, ha colgado en ese hub el MVT (Mobile Verification Toolkit) una herramienta informática de código abierto que, si no detiene a Pegasus, sí puede dar la voz de alarma. Entre sus municiones, una lista de direcciones de correo iCloud usadas para ataques zero-click por iMessage, o una vía, Python 3, para instalar ese MVT en los ordenadores Apple.
Pero ninguna de las fuentes confía demasiado en su eficacia. Josep Albors lo resume así: “Dan demasiados falsos positivos”. Para el técnico consultado en la Seguridad del Estado, ese hecho, que corrobora, es la base de la afirmación que tanto la ministra de Defensa como la exjefa del CNI, Paz Esteban, han hecho en el Congreso dudando de lo certero de los análisis de Citizen Lab. “Solo quien tiene Pegasus reconoce al cien por cien un ataque de Pegasus”, reitera el experto estatal una afirmación que ha hizo otra fuente de la Seguridad del Estado a este diario.
Y más en un campo en el que, contra lo que se ha extendido, no solo los estados pueden disponer del famoso programa espía. En realidad lo puede tener “todo aquel a quien se lo consienta el Mossad”, explica el funcionario. El servicio secreto de Israel veta con autorizaciones o negativas de su ministerio de Defensa a los clientes que llaman a la puerta de NSO Group a través de intermediarios. No lo hacen por vender solo a estados; más bien se trata de que Pegasus no acabe en manos de la OLP, o de Al Fatah, o de Irán... y también de una forma híbrida de su diplomacia.
