Una investigación conjunta entre El País y The Guardian ha revelado que el teléfono móvil del presidente del Parlament de Cataluña, Roger Torrent, fue objetivo de Pegasus, un spyware desarrollado por la empresa israelí NSO. Este software, según la compañía, solo se comercializa a Gobiernos y cuerpos de seguridad con el objetivo de combatir el crimen y el terrorismo.
Según John Scott-Railton, perteneciente a la firma de seguridad Citizen Lab, el número de teléfono de Roger Torrent aparece entre los móviles atacados por Pegasus. No obstante, esto no significa necesariamente que el spyware llegase a infectar el dispositivo y lograse extraer su información. “Es posible confirmar que el teléfono fue objetivo de Pegasus. Sin embargo, sería necesaria una investigación adicional para saber si fue hackeado. No hay ningún motivo para pensar que no fue así”, explicó el investigador a El País.
En 2019, Roger Torrent observó cómo desaparecían mensajes de WhatsApp de su teléfono y, a su vez, cómo llegaban mensajes SMS extraños. Esto, según John Scott-Railton, es uno de los efectos colaterales de Pegasus, el software de espionaje desarrollado por NSO.
Para adentrarse en los teléfonos móviles, Pegasus aprovechaba un fallo de seguridad de WhatsApp. Bastaba con realizar una llamada de vídeo perdida para que el spyware se adentrase en el dispositivo. Una vez dentro, Pegasus permite escuchar conversaciones, leer mensajes, extraer archivos almacenados en la memoria del teléfono e incluso activar remotamente la cámara y el micrófono del dispositivo. Según Citizen Lab, Pegasus es capaz incluso de interceptar mensajes y llamadas de voz cifradas. La vulnerabilidad fue corregida por WhatsApp poco después.
Tanto el CNI como el Gobierno, según recoge El País, se desmarcan de este supuesto espionaje. En el caso del Centro Nacional de Inteligencia, el organismo ha recordado que sus acciones están supervisadas por un magistrado del Tribunal Supremo.
Pegasus no es un spyware nuevo
La primera vez que se habló públicamente del spyware Pegasus fue en 2016. El activista Ahmed Mansoor recibió una serie de enlaces en su teléfono móvil que, tras ser investigados por Lookout y Citizen Lab, resultaron ser maliciosos. Ambas compañías descubrieron que los enlaces explotaban tres vulnerabilidades críticas del sistema operativo iOS, permitiendo adentrarse en el dispositivo en cuestión. Apple solventó estas vulnerabilidades en iOS 9.3.5. No obstante, es posible que el software de NSO haya evolucionado en los últimos años para aprovechar otras vulnerabilidades –tanto si son propias de WhatsApp como si lo son del sistema operativo iOS–. Desde 2016, el spyware Pegasus se ha asociado a hackeos como el de Jeff Bezos, entre otros.
WhatsApp, por su parte, denunció a finales de 2019 a la empresa irsaelí NSO por utilizar su aplicación de mensajería con el objetivo de espiar a sus usuarios. “WhatsApp continuará haciendo todo lo que podamos desde nuestro código, y desde los tribunales, para ayudar a proteger la privacidad y seguridad de nuestros usuarios en todo el mundo”, aseguró la compañía en un comunicado publicado en The Washington Post.