Uno de los nombres que más ha sonado en la industria de la ciberseguridad en los últimos meses ha sido el de Pegasus, el software espía usado por gobiernos de todo el mundo para rastrear a activistas y políticos. Dicha aplicación ya se pudo ver por España, después de que se supiera que el teléfono móvil de Roger Torrent estaba afectado por Pegasus. Ahora, se suman a la lista tanto Pere Aragonès, presidente de la Generalitat como otros 60 independentistas más.

Según ha desvelado una investigación del The New Yorker, Aragonès y otros 60 miembros de la cúpula independentista en Catalunya habrían sido víctimas de Pegasus. Esto habría ocurrido mucho antes de que Aragonès tomara posesión como presidente de la Generalitat, y habría involucrado a políticos de partidos como la CUP, JxCat o ERC, así como miembros de entidades independentistas, ya sean ANC u Òmnium Cultural.

Este software, desarrollado por la empresa proveniente de Israel NSO Group, ha sido vendido a todo tipo de gobiernos a nivel internacional, y se aprovecha de vulnerabilidades importantes de los sistemas Android e iOS para actuar, infectando miles de millones de dispositivos de activistas, políticos, periodistas o personalidades con cierta relevancia.

¿Qué es Pegasus?

Pegasus nace en 2016, o más bien, se descubre. Investigadores de ciberseguridad de Citizen Lab y Lookout aseguraron que habían detectado una amenaza que se aprovechaba de vulnerabilidades críticas zero day de iOS y Android. Este tipo de vulnerabilidades zero day son fallos de sistema que sus desarrolladores no conocen y que evidentemente no han parcheado. Tanto Apple como Google se han estado dedicando a parchear las vulnerabilidades que Pegasus ha estado aprovechando en los últimos años.

Enlaces maliciosos enviados a un iPhone para infectarlo con Pegasus.

Según las investigaciones posteriores, NSO Group se dedicaba a vender este mismo software a gobiernos y firmas de inteligencia para realizar espionaje en cubierta. Pegasus usa la técnica conocidísima de spear-phishing, que se basa en enviar todo tipo de mensajes (SMS, mensajes directos, correos electrónicos...) para que las víctimas descarguen sin querer el software espía. Este, una vez en el teléfono, se encarga de rastrear absolutamente todos los datos de la víctima.

Las víctimas son muchas y variadas. Además de Aragonès y Torrent, una lista revelada por WhatsApp que incluía 1.400 personas recoge a personalidades tan importantes como Jeff Bezos, antiguo CEO de Amazon y dueño de la firma aeroespacial Blue Origin. Le acompaña el príncipe heredero saudí Mohammed Bin Salman, que afectado por Pegasus en 2018 después de recibir un enlace en su smartphone personal.

¿Cómo funciona?

Un pegaso.

Pegasus es capaz de no solo rastrear la ubicación de la víctima, sino detectar con qué otras personas ha estado. Puede recopilar fotos, hacer uso de la grabadora del teléfono para conseguir conversaciones y es capaz de rastrear los mensajes de prácticamente todas las aplicaciones del dispositivo. Lo más llamativo, si cabe, es que este software no deja rastro alguno en el dispositivo de la víctima, escondiéndose en la memoria temporal del dispositivo.

¿Qué significa esto? Que en vez de alojarse en la memoria principal del smartphone (es decir, su equivalente a un disco duro de ordenador) se aloja en la temporal. De esta forma, si el dispositivo se apaga, Pegasus desaparece, haciendo que expertos en ciberseguridad no puedan determinar si el dispositivo afectado ha sido atacado en efecto por Pegasus.

WhatsApp y la palabra seguridad.

Además, una vez descargado Pegasus, este no necesita que el usuario haga ninguna interacción: es un software tipo zero-otuch o click cero que no necesita que el usuario realice ningún tipo de acción. Por si fuera poco, la NSO ha presumido en anteriores ocasiones que en caso de fallar todo esto, puede usar un transceptor inalámbrico que se coloca cerca del objetivo para instalar Pegasus. La última opción es la más peliaguda; conseguir que un agente externo tenga acceso físico al dispositivo de la víctima.

Craig Federighi en una presentación de Apple.

Y no solo hablamos de sistemas operativos. En 2019, WhatsApp advirtió que algunos usuarios estaban en peligro, ya que Pegasus estaba haciendo uso de un fallo crítico que afectaba directamente a las videollamadas de WhatsApp. Will Cathcart, CEO de WhatsApp, fue el que proporcionó la lista de 1.400 usuarios de WhatsApp que fueron atacados por el software de la NSO Group, acusándola directamente.

Por supuesto, arregló el fallo, pero Pegasus ha ido evolucionando en estos últimos años no solo para atacar nuevas vulnerabilidades, sino para poder hacer frente a los sistemas de seguridad que pretenden evitar que este se propague. La NSO rechazó las acusaciones de WhatsApp y reiteró su inocencia.

Apple demanda a la NSO

Tal fue el impacto de Pegasus que Apple demandó en 2021 a la propia NSO Group, alegando que no permitiría que se perjudicara más "a los usuarios", después de que se estimara que Pegasus había infectado millones de dispositivos en todo el mundo. Apple anunció que buscaría una orden judicial para que las autoridades prohibieran a NSO Group a usar cualquier tipo de software, servicio o dispositivo proveniente de Apple.

Según ha explicado Craig Federighi, vicepresidente sénior de Ingeniería de Software de Apple: "Algunas empresas con respaldo estatal como NSO Group invierten millones de dólares en desarrollar sofisticadas tecnologías de vigilancia sin responsabilizarse de las consecuencias. Eso tiene que cambiar".

También te puede interesar...

• Pegasus, a un paso de desaparecer: la empresa del software espía se vende
• Israel no venderá a Marruecos herramientas de ciberespionaje tras el caso Pegasus
• Así te avisará Apple si eres espiado por Pegasus, el software de NSO