Maio comeza cunha forte convulsión política. Moncloa revelou nas primeiras horas da mañá de hoxe que os teléfonos móbiles do presidente do Goberno, Pedro Sánchez, e da ministra de Defensa, Margarita Robles, foron espiados co software Pegasus. Así o constatan os informes do Centro Criptológico Nacional (CCN), adscrito ao Centro Nacional de Inteligencia (CNI), nos que se rexistran dous ataques nos meses de maio e xuño de 2021. O ministro de Presidencia, Relacións coas Cortes e Memoria Democrática, Félix Bolaños, describiu as intervencións como “ilícitas e externas” e asegurou que o Goberno xa puxo o caso en coñecemento da xusticia. A noticia dáse a coñecer tan só unhas semanas despois de que saltase o “caso Pegasus”, no que máis de 60 independentistas cataláns vinculados ao procés foron espiados a través do mesmo software.
Cabe preguntarse cales son as claves desta plataforma, xa coñecida por estar detrás doutros casos tan polémicos como o de Jeff Bezos e o do xornalista Jamal Khashoggi. “Pegasus é un software espía que se instala nun teléfono sen coñecemento do usuario. Ten acceso a practicamente todos os contidos. Non só fotos, vídeos, mensaxes ou whatsapps. Tamén permite activar en remoto a cámara e o micrófono”, explica o presidente do Colexio Profesional de Enxeñería en Informática de Galicia (CPEIG), Fernando Suárez. É dicir, Pegasus nun só é capaz de extraer información xa almacenada nos dispositivos móbiles, senón que pode facer unha espionaxe en tempo real. “Se pensamos na cantidade de información que temos hoxe en día nos teléfonos, isto é moi preocupante”, incide Suárez.
“Se pensamos na cantidade de información que temos nos móbiles, é moi preocupante”
“A priori, Pegasus só se vende a gobernos e está enfocado en perseguir e facer seguimento de casos de terrorismo, ciberterrorismo e outros delitos”, detalla o presidente do CPEIG. Mais el puntualiza que “hai gobernos de todo tipo”. É dicir, os que fan uso desta plataforma non sempre son democráticos e “non hai garantías de que só se lle venda aos gobernos”. Ademais, Suárez fai fincapé en que os casos de espionaxe a través deste tipo de software non deixan se ser o que adoita pasar en internet: “Temos a ferramenta e podemos perder o control”. Segundo continúa explicando Suárez, detrás detrás deste software está a empresa israelí NSO Group, “que parece ter vinculacións co goberno de Israel, un país á vangarda da ciberseguridade”.
As vulnerabilidades zero day
Un dos trazos característicos do software é que se pode instalar no teléfono móbil sen interacción co usuario. É dicir, sen que sexa preciso clicar nunha ligazón ou aceptar unha ventá emerxente. A base deste sistema está nas vulnerabilidades zero day, ou o que é o mesmo: “Son brechas de seguridade polas que se pode penetrar. Cando se crea un novo sistema operativo, calquera sotware, sempre pode haber problemas que son descoñecidos, incluso para o propio fabricante”, aclara Suárez. Polo tanto, sen que o usuario se decate, Pegasus pode entrar a través cunha videochamada. Só con facela, o software xa comeza a súa espionaxe e o teléfono xa está comprometido. “Non é detectable. Parece que se instala no propio sistema operativo cun pequeno módulo, pero o usuario non o sabe. O único que pode percibir, talvez, é unha pequena merma do rendemento móbil”, indica.
A realidade é que as vulnerabilidades zero day poden estar en calquera aplicación. Whatsapp, por exemplo, é unha delas, posto que se usa con moita frecuencia. Pero tamén poden entrar a través da linterna do móbil ou da cámara. “Incluso poden ser vulnerabilidades do propio sistema operativo, sexa Android ou iOS. Ao parecer, o último caso da espionaxe en Cataluña semella que foi a través do Whatsapp”, engade o presidente do CPEIG. De feito, os casos españois relacionados con Pegasus tan só son dous dunha longa nómina de afectados. Un deles foi Jeff Bezos, a cabeza de Amazon e un dos homes máis poderosos do mundo, ao que extorsionaron con publicar fotografías íntimas e outra información confidencial a través, tamén, de Pegasus. “O software tamén fora utilizado no seu momento no caso do xornalista Kashoggi”, recorda Suárez.
De feito, o presidente do CPEIG insiste na dificultade de saber cal é o uso final que os clientes fan do software, malia que fora ideado con obxectivos lícitos. “En lugar de adicarse á investigación do terrorismo ou doutros delitos investigan, por exemplo, a un xornalista”, apunta. Amais, todo o que ten que ver coas vulnerabilidades zero day, a base na que se sostén Pegasus, “é aínda descoñecido”. “Os propios fabricantes pagan moitísimos cartos para que se detecten estas vulnerabilidades e se poidan parchear e evitar”, explica o presidente do CPEIG. Ademais, o uso de Pegasus é “moi, moi caro”. Os gobernos, en realidade, o que adquiren son licencias —é dicir, número de usos ou disparos para atacar un terminal—. “Poden estar por encima do millón ou do millón e medio de euros. Non podes compralas e facer uso delas de forma indiscriminada, porque para cada uso que fas tes que pagar un gran importe”, continúa indicando Suárez.
Non deixa rastro
No caso da espionaxe ao presidente do Goberno e á ministra de Defensa, os móbiles infectáronse hai un ano, mais a noticia salta agora. “Se o caso saltou á luz non creo que sexa porque Pegasus se detectara no propio teléfono, senón máis ben porque saíron conversacións ou gravacións”, apunta Suárez, facendo referencia á posible revelación de información confidencial que só había nos terminais infectados. Ademais, o presidente do CPEIG insiste en que Pegasus non só ten capacidade de penetrar no dispositivo sen interacción co usuario, tamén pode eliminarse en remoto. É dicir, desaparecer unha vez que acaba o período de interese para a espionaxe. “É un software moi enfocado a non deixar ningún tipo de rastro. Pode que non se chegue a saber nunca que estivo instalado, salvo que saian contidos”, insiste.
“Se o caso saltou á luz non creo que sexa porque se detectara no móbil, máis ben por revelación de información”
A parte positiva, segundo resalta o presidente do CPEIG, é que este tipo de software non supón ningún perigo para os usuarios de a pé. “Espiar un móbil con Pegasus vale millóns de euros”, asegura. Mais tamén advirte que existen moitos outros programas que funcionan de maneira semellante, aínda que o seu estilo non sexa tan profesional. “Pódense instalar no noso teléfono a través dunha ligazón que abrimos ou de calquera imaxe. Si se pode ver a trazabilidade pero, a cambio, tamén é moito máis asequible“, detalla Suárez.
Ao tempo, insiste na importancia da ciberseguridade. “Espero que casos coma este sirvan para que as persoas sexamos conscientes da protección da nosa privacidade e da nosa intimidade. Temos a nosa vida no teléfono; unha ferramenta moi fácil de perder. Debemos ter máis coidado ca nunca e andar con ollo do tipo de aplicacións que instalamos e dos seus termos de uso”, recorda. E á vista está: ninguén escapa ás brechas de seguridade que esconden os nosos míbiles.
Chámame a atención que os sistemas de comunicación de altos cargos non estean mais protexidos e que sexan víctima de espionaxe. Deberían ter un equipo informático de alto nivel ocupado en blindar eses equipos, para unha mellor seguridade do estado.