Pegasus: así es el software espía israelí capaz de robarte toda la información de tu móvil

De acuerdo con la investigación, entre los países que podrían tener contratado el uso de este software figuran Arabia Saudí, Azerbaiyán, Bahréin, Emiratos Árabes Unidos, Hungría, India, Kazajistán, Marruecos, México, Ruanda y Togo. La herramienta, con capacidad para extraer toda la información del dispositivo infectado, no es de reciente fabricación. Durante los últimos años, ha estado relacionada con 'hackeos' sufridos por magnates tecnológicos, como el fundador de Amazon, Jeff Bezos , o el político catalán Roger Torrent . Se cree que NSO Group, empresa fabricante, desarrolló el software en los primeros años de la década pasada; aunque, según explican expertos en seguridad consultados por este diario, no comenzó a hacer ruido hasta 2016 .

Desde entonces, Pegasus ha estado relacionado en algunas de las incidencias de ciberespionaje más sonadas de los últimos años. Y todo, a pesar de que la compañía israelí garantiza que solo cede su herramienta con el objetivo de que se utilice para combatir el crimen o el terrorismo . Estamos hablando, sin duda, de uno de las herramientas de robo de información más potentes que hay en la Red. Sus funcionalidades son numerosas . «Pegasus te permite hacer lo que quieras en el dispositivo que infecta. Prácticamente, te permite tomar el control. Posibilita ver los contactos almacenados, los mensajes, las llamadas, grabar audio y vídeo. Absolutamente todo. Como si quien lo 'hackea' tuviese el móvil en sus manos», explica a ABC Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET.

Para conseguir ser efectivo, Pegasus se sirve de las vulnerabilidades no parcheadas que descubre el equipo de investigación de NSO Group. Suele aprovecharlas para infectar a través de servicios como WhatsApp, iMessage o del empleo del SMS. De acuerdo con la reciente investigación, incluso iOS 14.6 , la última versión del sistema operativo lanzado por Apple para iPhone y, probablemente, el más seguro del mundo si hablamos de 'smartphones', es susceptible a un ataque de Pegasus. «Normalmente emplean ingeniería social para engañar al usuario e infectar su terminal. Se presentan como alguna empresa o algún contacto conocido de la víctima para que baje la guardia y pulse sobre un enlace, que es el que desencadena la infección», destaca el jefe de investigación de ESET.

Sea como fuere, con el paso de los años, NSO Group no ha dejado de desarrollar su 'spyware' . De acuerdo con la investigación que acaba de compartirse, el software es tan depurado que, actualmente, es capaz de infectar un dispositivo sin necesidad de que la víctima haga 'clic' en ningún enlace . Solo hace falta que reciba en su dispositivo el mensaje en el que va incluido el código. «Es uno de los 'exploits' más codiciados del mercado», señala a este diario el 'hacker' ético Deepak Daswani. «Una vulnerabilidad que puedes explotar sin necesidad de que la víctima pulse en ningún sitio es muy valiosa. No es algo que cualquiera pueda ejecutar. Suele estar presente en ataques muy dirigidos», completa el experto.

Sobre el papel, Pegasus solo puede ser empleado en acciones contra grupos criminales y terroristas. Al menos, eso es lo que NSO Group lleva años prometiendo. A raíz de la publicación del estudio, la compañía ha vuelto a enfatizar, a través de un comunicado , que «vende sus tecnologías únicamente a agencias policiales y de inteligencia de gobiernos examinados con el único propósito de salvar vidas mediante la prevención del crimen y los actos terroristas». Asimismo, señala que Pegasus se utiliza «para acabar con las redes de pedofilia, relaciones sexuales y de tráfico de drogas, localizar a niños desaparecidos y secuestrados, localizar supervivientes atrapados bajo edificios derrumbados y proteger el espacio aéreo contra la penetración disruptiva de drones peligrosos».

Sea como fuere, el empleo de vulnerabilidades no descubiertas para penetrar en los dispositivos de los objetivos de sus clientes ha provocado el enfado de varias empresas tecnológicas. Firmas como Cisco , Microsoft , Google o Facebook presentaron una demanda a finales del año pasado contra NSO Group por esta razón. Microsoft, a través de un comunicado firmado por su vicepresidente, Tom Burt, acusó a la empresa israelí de «cibermercenaria» y de «encubrirse en la inmunidad legal otorgada a sus clientes gubernamentales, lo que lo protegería de la responsabilidad cuando sus armas infligen daño a personas y empresas inocentes».

Albors apunta que, en el caso de NSO Group, nos encontramos con un problema de 'ética', ya que el empleo de vulnerabilidades de terceros no es algo propio de una empresa que, supuestamente, vela por la seguridad: «Lo que un 'hacker' ético haría sería estudiar la vulnerabilidad para comunicársela a la empresa y que la solucione. Lo que hace esta gente podemos meterlo en otro ámbito que se puede enunciar de muchas formas».