Los otros Pegasus para espiar a cualquiera: así se venden legalmente por cinco euros en Internet

¿Me vigilan sin que yo lo sepa? Hace no tantos años, la respuesta más común sería que ni de coña, o como mínimo que probablemente no, pero ya no está tan claro. Un día te despiertas y te encuentras con que el móvil más importante del país fue infectado por un software espía, y dudas de todo. Como mínimo, dudas de ti mismo y de tu viejo smartphone chino que recargas dos veces al día y que tiene la pantalla rayada desde 2018. Es normal.

Lo que se viene a continuación no es plato de buen gusto. Espiar las conversaciones de otra persona no es del todo difícil -ni del todo ilegal- incluso para alguien sin conocimientos de informática. Una simple búsqueda en internet permite al más troglodita de la red servirse de un menú inacabable de webs, promociones y surtidos espías que cualquiera puede contratar a precio de saldo para monitorizar cualquier dispositivo. Si tú puedes hacerlo, cualquiera puede hacértelo a ti.

Sobre esta sencilla tesis se ha desarrollado un bullicioso pero discreto ecosistema de empresas aparentemente legales que ofrecen, directamente, la capacidad de espiar sin complejos ni ataduras cualquier teléfono. El negocio empezó con un par de startups en Israel a la sombra de NSO, la creadora de Pegasus, pero se ha democratizado a todos los países del mundo y para cualquiera dispuesto a contratarlas. Ahora hay docenas al alcance de cualquiera.

Marruecos encargó espiar a 200 móviles españoles, según datos de Pegasus. Manuel Fernández Omicrono

Las posibilidades son infinitas, aunque siempre con un paraguas de buenas intenciones. Algunas describen sus productos como "interceptación legal" o "inteligencia" contra delincuentes; otras, como “control parental” para tu hijo o "vigilancia" para parejas celosas o empresarios desconfiados. En realidad valen para lo que uno quiera. Al final, todas venden herramientas que se apropian de dispositivos, se infiltran en routers WiFi o infectan altavoces inteligentes y los vuelven contra sus usuarios para espiar en secreto. Los precios oscilan desde los cinco euros al mes hasta los varios millones, dependiendo del objetivo y el programa, y son muy fáciles de usar.

Lo que no se puede discutir es que todos son legales, aparentemente. No hace falta navegar por la dark web, citarse con encapuchados en callejones oscuros ni traspasar maletines llenos de dinero negro. Dos clicks y una transferencia bancaria son suficientes para comprar un software espía, en menos de treinta segundos lo puedes instalar en otro móvil sin que la otra persona se dé cuenta y antes de que vuelva del baño la acompañarás -telemáticamente- allá donde vaya. Sus descargas aumentan a un ritmo del 50% al año y se pueden encontrar en App Store o Google Play. Es decir, al alcance de cualquiera.

Un registro de llamadas de una aplicación espía 'legal'. E.E.

De 5 euros a 55 millones

José Lancharro es director de BlackArrow, la división de servicios defensivos y ofensivos de Tarlogic Security. Hablamos por videoconferencia y le pido que me hackee en directo, que quedaría de lujo para el reportaje, pero se ríe y dice que no: “Nosotros estamos en el lado luminoso. Los malos son otros”.

‘Los malos’ son, en sus palabras, los que no entienden de ética. Puede ser desde la empresa que te cobra 30 euros por hackear a tu pareja hasta la agencia estatal extranjera que invierte millones en un programa espía remoto. También los que ofertan herramientas para asaltar cajeros automáticos o falsificar documentos. Los dos primeros son legales y los puedes contratar fácilmente en internet; los segundos llegan por contactos directos a gobiernos y grandes empresas; los terceros, por la dark web. A efectos prácticos consiguen lo mismo, pero de formas distintas.

Algunos de los servicios de un software espía, según los promociona en su página web. E.E.

“Los software espía que puede contratar un particular por precios bajos requieren instalar una app en el dispositivo [básicamente que le robes el móvil a tu pareja y le instales la aplicación]. Los otros, como Pegasus, tienen una cadena de herramientas que se conocen como click cero: sin ninguna intervención por parte de la víctima, sin que ella pueda hacer nada, se instalan en su teléfono sólo con conocer su contacto, sin que pinche en ningún lado”, explica Lancharro. Este software, por ejemplo, tiene la capacidad de poner en peligro los terminales simplemente haciendo una llamada telefónica a su objetivo a través de WhatsApp, incluso si la llamada no era contestada. 

Este matiz, el de cómo acceder a la información, es lo que dispara el precio entre las herramientas gubernamentales (Pegasus) y las que se venden como usos de “control parental” a precio de saldo, como XNSPY, eyeZy o mSee, que ofertan desde 5 euros al mes por monitorizar un teléfono. Según el periódico israelí Haaretz, Arabia Saudí pagó 55 millones de dólares por el acceso a Pegasus en 2017; otros, como Zerodium, se venden por 2,5 millones de dólares por una cadena de infección de cero clicks. Quitando este matiz, las posibilidades son las mismas una vez se llega a infectar el teléfono.

Las conversaciones se guardan en la página web, los mensajes se registran y los movimientos bancarios quedan apuntados. Todo es accesible desde un portal (por el que realmente pagas la suscripción) que te da acceso a todo, incluso horarios y rutinas por GPS. Localizarte, saber dónde vives, dónde trabajas y qué lugares frecuentas y a qué hora, todo con tutoriales facilitados por los propios desarrolladores. Un mini Pegasus al alcance de cualquiera con una neurona.

Cómo prevenirlo

La mejor arma es el sentido común. Un SMS te advierte de que tienes una factura sin pagar, un whatsapp desconocido te escribe en inglés buscando a un amigo perdido o un correo de remitente extraño te advierte de un error en tu última nómina de trabajo. Puede que te entren dudas, pero si clickas sabes a lo que te arriesgas. En un ámbito más terrenal, aunque parezca obvio, no dejes tu móvil al alcance de nadie. El segundo paso es analizar el móvil recurrentemente.

“Da igual la orientación que tengas, la cadena de intrusión y acceso es exactamente la misma para todos: lo único que las diferencia es el objetivo, que depende del espía”, señala. Este objetivo puede ser espiar las llamadas, ver los mensajes, descargar ficheros o borrar datos, entre otros. “Lo que normalmente vemos publicado en los medios es este último paso, pero lo importante es la cadena de sucesos que lleva a controlar el dispositivo, y eso deja rastro siempre”.

El éxito de Pegasus, por tanto, no es que espíe, sino cómo consigue espiar. De hecho, aporta Lancharro, "empezó siendo parecido a este tipo de softwares: necesitaba ‘engañarte’ con una app instalada. Luego fue evolucionando y se sofisticó para ser lo que es ahora, y también borrar su persistencia”. 

Esta persistencia son los datos, carpetas o huellas que las apps dejan en los teléfonos infectados. Las herramientas más antiguas -y las más baratas- se pueden eliminar sólo con reiniciar el teléfono, pero esto no protege contra ataques posteriores. En el caso de España, por ejemplo, el Gobierno ha tomado como medida preventiva que los ministros apaguen el móvil una vez al día, "pero no es suficiente". "Más que nada porque Pegasus no deja rastros, pero entre no hacer nada y apagar el móvil pues mejor apagarlo, sí", opina Lancharro.

Si, en cambio, temes ser objetivo de uno de los programas que se reivindican como "control parental" y se pagan a cinco euros el mes, la solución es más sencilla. Además de los reinicios y el sentido común, es importante mantener el teléfono actualizado y limpio de programas integrados, como iMessage o FaceTime (en el caso de Apple). También puedes navegar por internet con un navegador alternativo (Firefox Focus) o usar una VPN que oculte tu tráfico.

Lo que esto quiere decir para ti, en realidad, es que águila no caza moscas. El ciberespionaje patrocinado por los estados-nación aporta muchos recursos, y cuando el enemigo puede permitirse gastar millones de dólares en atacarte tú no puedes pretender que tu defensa sea apagar el móvil. Dicho de otra manera: si eres el objetivo de un software como Pegasus la cuestión no es si puedes infectarte, sino cuánto tiempo tardarás en darte cuenta.