Pegasus vuelve estar en la primera línea de la polémica. El conocido software espía israelí es el foco de una investigación liderada por The Guardian y The Washington Post con la colaboración de Amnistía Internacional y Forbidden Stories. Según los resultados de dicha investigación, el software espía Pegasus habría generado una lista con 50.000 objetivos de rastreo de alto interés. Entre ellos, políticos, periodistas, empresarios de grandes e importantes compañías y activistas.
Generada desde 2016, esta lista habría sido encargada por clientes directos de la compañía propietaria de Pegasus, NSO Group. Entre sus clientes, gobiernos de países como España o la India. También de México, el país con más clientes según la investigación; concretamente 15.000. Marruecos y Emiratos también serían las regiones con más encargados listados (10.000 cada una).
Según los detalles del reportaje, la lista con los detalles de los 50.000 objetivos no implica que estos hayan sido espiados o infectados con el sistema de rastreo. Simplemente los pone en el punto de mira por parte de alguna organización contratante de los servicios de NSO Group.
Sin embargo, tras los análisis de la investigación, sí que se se concluyó que más de la mitad de los contactos en dicha lista contenían rastros de infección por parte del software espía de Pegasus. El grupo de investigación apunta a que dicha lista será publicada en los próximos días.
De momento, apuntan a perfiles de los más variados. La mayor parte concentrados en Argelia, México, Francia o Turquía. Políticos de todos los colores y partidos, académicos, ejecutivos y personas del entorno cercano y familiar de estos. También periodistas de grandes medios internacionales y de El País en España. Se incluye el contacto de Cecilio Pineda; el periodista mexicano asesinado en 2017 cuyo móvil nunca fue encontrado para comprobar si, efectivamente, había sido rastreado por el software espía Pegasus a petición de un cliente, también mexicano.
El software espía de Pegasus, un viejo conocido
El software espía Pegasus es ya perro viejo. Especialmente desde que se conociese su presencia en dispositivos Android y de Apple en 2016. Tras ello, se ha relacionado al producto estrella de NSO Group con el asesinato del periodista saudita Jamal Khashoggi, el fallo de seguridad de WhatsApp en 2019, el espionaje a Bezos así como el uso por parte del Centro Nacional de Inteligencia (CNI) en España para espiar a políticos catalanes durante el procés.
Desde entonces, y a raíz de esta investigación, la posición de NSO ha sido siempre la misma. El software tiene fines de uso para seguridad nacional e investigaciones penales. Nada relacionado con terrorismo o delitos. Sin embargo, y tal como se expone en la investigación, algunos de los datos encontrados se relacionan con delincuentes internacionales. Lo que indica un incumplimiento de contrato por parte de los contratantes y una alta permisividad por parte de NSO Group. Compañía que, a propósito de esta filtración, apunta a que no controla el uso de su tecnología por parte de los clientes y a que la filtración de la lista supone una exageración de los acontecimientos.
Si Pegasus entra en un dispositivo, este deja de pertenecer a su propietario casi de forma instantánea
En cuanto a las vulnerabilidades del sistema, ninguna de las compañías afectadas ha hecho declaraciones. Apple insiste en tener el sistema operativo más seguro del momento, excepto para el software espía Pegasus. Los detalles de la investigación apuntan a que la nueva versión del software espía habría evolucionado incluso para los iPhone iOS 14.6. Si antes había que hacer link para que dejar entrar al software malicioso en el sistema, este habría evolucionado a poder acceder con un simple mensaje a través de iMessage. Sin que el afectado tenga que hacer un solo clic. Esto indica que, ahora mismo, todos los iPhone (actualizados a la última versión de iOS 14.6) son vulnerables al software espía israelí.
Una vulnerabilidad que, de hecho, daría acceso casi total al dispositivo móvil del afectado. Desde escuchar llamadas de teléfono, historial de navegación, archivos, acceso a la cámara o acceso a todas las aplicaciones instaladas y a los datos allí alojados. También a la información de ubicación con la precisión de apenas unos metros, incluyendo velocidad de movimiento.
Básicamente, si Pegasus entra en un dispositivo, este deja de pertenecer a su propietario casi de forma instantánea. A excepción de los dispositivos registrados en Estados Unidos e Israel. Los cuales, según la compañía, son la excepción al software espía de Pegasus a fin de proteger los intereses de la compañía.
NSO Group, entre el silencio y la polémica
NSO Group, y creadora del software más vigilado del momento, es considerada uno de los éxitos del emprendimiento en Israel. Fundada por Shalev Hulio, Niv Carmi y Omri Lavie, tres agentes del grupo de ciberinteligenicia de Israel, su premisa quedó patente desde el primer momento: dar una herramienta útil a los gobiernos del mundo para vigilar a los criminales. Y la realidad es que poco se sabe de estos fundadores. A diferencia de sus pares de Silicon Valley, estos podrían circular por el mundo sin que nadie les conociese.
Los gobiernos del mundo pronto se vieron atraídos por tan tamaña herramienta. México fue el primero de ellos usando a un software espía Pegasus, aún en sus primeros pasos, para atrapar al narcotraficante "El Chapo" Guzmán. Después de ello, la popularidad de la compañía subió como la espuma, así como su valoración y rondas de financiación. De hecho, los fundadores vendieron NSO a fondos internacionales por 1.000 millones, para después comprarla tiempo después sembrada de polémicas.
La promesa idílica de "cazar a los malos" pronto quedó disuelta cuando varias investigaciones apuntaban al uso de la tecnología de NSO para investigar a activistas u opositores a los gobiernos. También de ventas ilegales del software a través de criptomonedas o relaciones opacas con Arabia Saudí para limitar los derechos humanos en la región. Por su parte, NSO ha dado el silencio como respuesta ante estas acusaciones. Así como pocos datos sobre sus movimientos y clientes.
Es tal su poder que, dos años después de su fundación, Israel consideró que el software espía Pegasus era un arma en toda regla. Como tal, esta solo podía ser vendida a gobiernos bajo la aprobación tácita del estado de Israel y de la junta de la NSO a fin de preservar los derechos humanos y el uso de la plataforma espía. Un proceso que, a la vista de los acontecimientos, hace aguas.