Como funciona Pegasus? O ‘software’ que espiou os teléfonos de Sánchez e Robles

O programa é capaz de infectar o móbil sen coñecemento do usuario e ter acceso á cámara e ao micrófono en tempo real

Maio comeza cunha forte convulsión política. Moncloa revelou nas primeiras horas da mañá de hoxe que os teléfonos móbiles do presidente do Goberno, Pedro Sánchez, e da ministra de Defensa, Margarita Robles, foron espiados co software Pegasus. Así o constatan os informes do Centro Criptológico Nacional (CCN), adscrito ao Centro Nacional de Inteligencia (CNI), nos que se rexistran dous ataques nos meses de maio e xuño de 2021. O ministro de Presidencia, Relacións coas Cortes e Memoria Democrática, Félix Bolaños, describiu as intervencións como “ilícitas e externas” e asegurou que o Goberno xa puxo o caso en coñecemento da xusticia. A noticia dáse a coñecer tan só unhas semanas despois de que saltase o “caso Pegasus”, no que máis de 60 independentistas cataláns vinculados ao procés foron espiados a través do mesmo software.

Cabe preguntarse cales son as claves desta plataforma, xa coñecida por estar detrás doutros casos tan polémicos como o de Jeff Bezos e o do xornalista Jamal Khashoggi. “Pegasus é un software espía que se instala nun teléfono sen coñecemento do usuario. Ten acceso a practicamente todos os contidos. Non só fotos, vídeos, mensaxes ou whatsapps. Tamén permite activar en remoto a cámara e o micrófono”, explica o presidente do Colexio Profesional de Enxeñería en Informática de Galicia (CPEIG), Fernando Suárez. É dicir, Pegasus nun só é capaz de extraer información xa almacenada nos dispositivos móbiles, senón que pode facer unha espionaxe en tempo real. “Se pensamos na cantidade de información que temos hoxe en día nos teléfonos, isto é moi preocupante”, incide Suárez.

Publicidade

“Se pensamos na cantidade de información que temos nos móbiles, é moi preocupante”

A priori, Pegasus só se vende a gobernos e está enfocado en perseguir e facer seguimento de casos de terrorismo, ciberterrorismo e outros delitos”, detalla o presidente do CPEIG. Mais el puntualiza que “hai gobernos de todo tipo”. É dicir, os que fan uso desta plataforma non sempre son democráticos e “non hai garantías de que só se lle venda aos gobernos”. Ademais, Suárez fai fincapé en que os casos de espionaxe a través deste tipo de software non deixan se ser o que adoita pasar en internet: “Temos a ferramenta e podemos perder o control”. Segundo continúa explicando Suárez, detrás detrás deste software está a empresa israelí NSO Group, “que parece ter vinculacións co goberno de Israel, un país á vangarda da ciberseguridade”.

As vulnerabilidades zero day

Un dos trazos característicos do software é que se pode instalar no teléfono móbil sen interacción co usuario. É dicir, sen que sexa preciso clicar nunha ligazón ou aceptar unha ventá emerxente. A base deste sistema está nas vulnerabilidades zero day, ou o que é o mesmo: “Son brechas de seguridade polas que se pode penetrar. Cando se crea un novo sistema operativo, calquera sotware, sempre pode haber problemas que son descoñecidos, incluso para o propio fabricante”, aclara Suárez. Polo tanto, sen que o usuario se decate, Pegasus pode entrar a través cunha videochamada. Só con facela, o software xa comeza a súa espionaxe e o teléfono xa está comprometido. “Non é detectable. Parece que se instala no propio sistema operativo cun pequeno módulo, pero o usuario non o sabe. O único que pode percibir, talvez, é unha pequena merma do rendemento móbil”, indica.

Fernando Suárez, presidente do CPEIG.
Fernando Suárez, presidente do CPEIG.

A realidade é que as vulnerabilidades zero day poden estar en calquera aplicación. Whatsapp, por exemplo, é unha delas, posto que se usa con moita frecuencia. Pero tamén poden entrar a través da linterna do móbil ou da cámara. “Incluso poden ser vulnerabilidades do propio sistema operativo, sexa Android ou iOS. Ao parecer, o último caso da espionaxe en Cataluña semella que foi a través do Whatsapp”, engade o presidente do CPEIG. De feito, os casos españois relacionados con Pegasus tan só son dous dunha longa nómina de afectados. Un deles foi Jeff Bezos, a cabeza de Amazon e un dos homes máis poderosos do mundo, ao que extorsionaron con publicar fotografías íntimas e outra información confidencial a través, tamén, de Pegasus. “O software tamén fora utilizado no seu momento no caso do xornalista Kashoggi”, recorda Suárez.

De feito, o presidente do CPEIG insiste na dificultade de saber cal é o uso final que os clientes fan do software, malia que fora ideado con obxectivos lícitos. “En lugar de adicarse á investigación do terrorismo ou doutros delitos investigan, por exemplo, a un xornalista”, apunta. Amais, todo o que ten que ver coas vulnerabilidades zero day, a base na que se sostén Pegasus, “é aínda descoñecido”. “Os propios fabricantes pagan moitísimos cartos para que se detecten estas vulnerabilidades e se poidan parchear e evitar”, explica o presidente do CPEIG. Ademais, o uso de Pegasus é “moi, moi caro”. Os gobernos, en realidade, o que adquiren son licencias —é dicir, número de usos ou disparos para atacar un terminal—. “Poden estar por encima do millón ou do millón e medio de euros. Non podes compralas e facer uso delas de forma indiscriminada, porque para cada uso que fas tes que pagar un gran importe”, continúa indicando Suárez.

Non deixa rastro

No caso da espionaxe ao presidente do Goberno e á ministra de Defensa, os móbiles infectáronse hai un ano, mais a noticia salta agora. “Se o caso saltou á luz non creo que sexa porque Pegasus se detectara no propio teléfono, senón máis ben porque saíron conversacións ou gravacións”, apunta Suárez, facendo referencia á posible revelación de información confidencial que só había nos terminais infectados. Ademais, o presidente do CPEIG insiste en que Pegasus non só ten capacidade de penetrar no dispositivo sen interacción co usuario, tamén pode eliminarse en remoto. É dicir, desaparecer unha vez que acaba o período de interese para a espionaxe. “É un software moi enfocado a non deixar ningún tipo de rastro. Pode que non se chegue a saber nunca que estivo instalado, salvo que saian contidos”, insiste.

“Se o caso saltou á luz non creo que sexa porque se detectara no móbil, máis ben por revelación de información”

A parte positiva, segundo resalta o presidente do CPEIG, é que este tipo de software non supón ningún perigo para os usuarios de a pé. “Espiar un móbil con Pegasus vale millóns de euros”, asegura. Mais tamén advirte que existen moitos outros programas que funcionan de maneira semellante, aínda que o seu estilo non sexa tan profesional. “Pódense instalar no noso teléfono a través dunha ligazón que abrimos ou de calquera imaxe. Si se pode ver a trazabilidade pero, a cambio, tamén é moito máis asequible“, detalla Suárez.

Ao tempo, insiste na importancia da ciberseguridade. “Espero que casos coma este sirvan para que as persoas sexamos conscientes da protección da nosa privacidade e da nosa intimidade. Temos a nosa vida no teléfono; unha ferramenta moi fácil de perder. Debemos ter máis coidado ca nunca e andar con ollo do tipo de aplicacións que instalamos e dos seus termos de uso”, recorda. E á vista está: ninguén escapa ás brechas de seguridade que esconden os nosos míbiles.

Laura Filloy
Laura Filloy
Xornalista científica pola Universidade Carlos III de Madrid. Comezou a súa andaina profesional no Faro de Vigo. Con experiencia en comunicación institucional a través de Médicos sen Fronteiras e a Deputación de Pontevedra, meteuse de cheo na divulgación científica na Axencia EFE. Dende 2021 en Gciencia, onde segue a cultivar a súa paixón pola ciencia.

1 comentario

  1. Chámame a atención que os sistemas de comunicación de altos cargos non estean mais protexidos e que sexan víctima de espionaxe. Deberían ter un equipo informático de alto nivel ocupado en blindar eses equipos, para unha mellor seguridade do estado.

DEIXAR UNHA RESPOSTA

Please enter your comment!
Please enter your name here

Este sitio emprega Akismet para reducir o spam. Aprende como se procesan os datos dos teus comentarios.

Relacionadas

Guía para o Black Friday en Galicia: como evitar que te estafen

As principais ciberaemazas son a chegada de mensaxes de texto ou correos electrónicos con ligazóns a unha páxina falsa

“Chat GPT fascíname como investigadora, como usuaria dáme medo”

A informática Verónica Bolón recibe o Premio Ada Byron polo seu estudo dos algoritmos verdes e o fomento das vocacións STEM

Por que deberiamos deixar de usar o móbil no baño

O teléfono está máis sucio que a tapa do váter e usámolo centos ou miles de veces ao día sen que se nos pase pola cabeza limpar as mans

Un enxeñeiro galego crea un mecanismo para acelerar as conexións a internet no móbil

Esta proposta da tese de Pablo Fondo, do atlanTTic, é compatible coas redes 4G existentes, o que facilita a súa integración