Cataluña es otra víctima del software espía Pegasus. Un informe de Citizen Lab confirmaba esta semana que más de 60 representantes o simpatizantes del independentismo catalán habían sido espiados a través de este programa entre 2017 y 2020. Detrás de Pegasus está la empresa israelí NSO, que ha estado en el punto de mira en los últimos años por el famoso software espía que solo lo pueden comprar gobiernos. Y detrás de los esfuerzos por afianzar la seguridad digital en la Generalitat está la Agencia de Ciberseguridad de Cataluña. Su director, Oriol Torruella, explica a Hipertextual que los resultados del informe no fueron en realidad una sorpresa y cuáles son las estrategias que utilizan para frenar los millones de ciberataques que reciben todos los días contra la Administración catalana.
Desde Barcelona, Torruella afirma que en un informe divulgado antes de la pandemia, entre finales de 2019 y principios de 2020, ya se identificó el espionaje a líderes políticos como un peligro latente. “Explicamos que estos casos, en el ámbito de los conflictos geopolíticos, eran un tema que podría dar lugar a situaciones de este estilo. Y por desgracia hemos acertado”, dice en entrevista. También admite que es muy difícil evitar estos casos y que, a pesar de las medidas de la agencia para aumentar la seguridad de las comunicaciones, nada indica que no pueda volver a pasar algo parecido.
Desde 2020, la Agencia de Ciberseguridad catalana ha desplegado un plan para proteger a los altos cargos de las amenazas dentro del ámbito digital. No son pocas. Torruella informa que el año pasado, la Generalitat de Catalunya recibió más de 900 millones de amenazas, de las cuales se materializaron 3.000 incidentes. Dentro de estos problemas de seguridad los objetivos de los ciberdelincuentes pasan desde el robo de identidad o de dinero hasta, por supuesto, los posibles casos de espionaje.
Pegasus, ese viejo conocido de Cataluña
La agencia a cargo de Oriol Torruella ya tiene experiencia con el espionaje de Pegasus, después de que en 2019 saliera a la luz que el móvil del presidente del Parlament de Cataluña, Roger Torrent, fuera objetivo del software espía. “Con Citizen Lab empezamos a trabajar por el caso del espionaje de Torrent y para identificar si había impactado a otros altos cargos en el ámbito de la Generalitat”, comenta Torruella. Todavía están investigando hasta qué punto y en qué terminales, continúa. “Tanto con Citizen Lab como con otras organizaciones nos intentaremos coordinar en lo máximo posible para que esto no vuelva a suceder”, añade.
Antes de continuar, Oriol Torruella quiere hacer hincapié en que una de las complejidades de Pegasus es separar el concepto del espionaje con el de ciberseguridad. Estos dos fenómenos confluyen en un smartphone a través del cual se infiltra el software espía, pero son dos realidades distintas. “El concepto de espionaje está vinculado a actividades de determinadas organizaciones de inteligencia, muchas de ellas estatales, que tienen unos intereses y objetivos concretos. Y que utilizan unas herramientas muy sofisticadas para llevar a término estas actividades”, aclara.
La ciberseguridad, por otro lado, consiste en las actividades de ciertos grupos criminales para colarse en nuestros dispositivos con fines como el robo de identidad, de fondos o cualquier otro tipo de delito cibernético.
“Cuando en los medios se pregunta a cuántos ciudadanos ha podido espiar Pegasus, yo creo que no es el caso, no está pasando. Pero sí estamos sujetos a muchas amenazas vinculadas a la ciberseguridad. A día de hoy hay organizaciones cibercriminales muy potentes que están trabajando en este mercado”.
Oriol Torruella
Los métodos espías, más sofisticados
Volviendo a Pegasus, hay pocas garantías para evitar que vuelva a pasar algo parecido. En primer lugar, el desarrollo del sistema ha evolucionado mucho a lo largo de los años; cada vez es más complicado ser ni siquiera consciente de que un usuario está siendo espiado. Las maneras para que las víctimas piquen el anzuelo también han mejorado. En el caso de los independentistas catalanes, el software espía envió tarjetas de embarque, notificaciones falsas de Hacienda, noticias de medios como La Vanguardia o El Confidencial y hasta correos que parecían que venían de la propia Generalitat.
El problema viene también cuando se ha identificado un espionaje y se buscan culpables. Ese es el caso de México, en donde salió a la luz que el Gobierno de Enrique Peña Nieto espió a más de 15.000 políticos, periodistas y activistas utilizando Pegasus, pero no ha tenido consecuencias políticas. Volviendo a nuestros lares, el caso de Torrent lleva un año en espera. La Vanguardia informaba que el juzgado de instrucción 32 de Barcelona mantiene abierta una investigación, en el que también estuvo afectado Ernest Maragall. El juez aceptó una comisión rogatoria a Israel (el país donde tiene la sede el software) para que les dieran información y, un año y medio después, siguen esperando.
Las expectativas para esclarecer quién está detrás del espionaje a los independentistas, entre ellos los expresidentes de la Generalitat Artur Mas, Carles Puigdemont y Quim Torra, así como el actual mandatario catalán, Pere Aragonès, no son muy altas. Bajo el discurso de que se trata de temas de seguridad nacional, la información que se da en estos casos es limitada, por no decir, inexistente. “Evidentemente hay estados más democráticos o menos pero todos tienen servicios de inteligencia y todos ejecutan operaciones en esta línea”, comenta Oriol Torruella en referencia al espionaje de Pegasus.
El espionaje de Pegasus también es política
Desde Cataluña, los dedos apuntan a que España podría detrás de este caso y piden explicaciones. Por su parte, la Ministra de Defensa, Margarita Robles, defiende que el Centro Nacional de Inteligencia (CNI) siempre actúa acorde con la legalidad y que está sujeto a control y autorización judicial; aunque reconoció que este organismo no se puede defender. “El CNI tiene una limitación por ley y es que todo lo que hace referencia al CNI es secreto”, afirmó. Por ello, no puede confirmar ni desmentir que el Ejecutivo compró el spyware Pegasus.
Las consecuencias del espionaje no han tardado en llegar a la esfera política. Pere Aragonés, el president de la Generalitat y que está entre los espiados, ha amenazado al Gobierno de Pedro Sánchez con romper la mayoría de la investidura si estos actos no tienen consecuencias. La tensión política promete estirarse y Pegasus seguirá dando de qué hablar en España.
Para la Agencia de Ciberseguridad de Cataluña, sin embargo, este caso no es el peor de los escenarios dentro de la seguridad cibernética. Más allá de la relevancia y simbología que tiene el espionaje a los independentistas, Torruella recuerda las millones de amenazas que reciben diariamente en la Generalitat. De las cerca de 2.800 incidencias de seguridad que reportan, 60 se identifican como críticas. “Eso quiere decir que estamos todos con los pelos de punta y corriendo”, explica a Hipertextual.
Pegasus no es lo peor que le puede pasar a Cataluña
Uno de los ciberataques más potentes fue el de finales del año pasado, cuando se cayeron más de 2.000 aplicaciones de la Administración catalana. Durante cerca de dos horas, fue imposible acceder a sus sistemas. “Este ataque de denegación de servicio (DDoS) provocó que no se pudiera acceder a la historia clínica de un paciente, por ejemplo. Esto tiene un impacto mucho más allá que el espionaje que afecta a unas personas en concreto”, sostiene.
A pesar de no quitarle hierro a este hecho, Torruella sí subraya que, en el caso del ataque DDoS, todos los ciudadanos de Cataluña estuvieron afectados de alguna manera. “Las 60 incidencias críticas que identificamos pueden dejar sin servicio público a la población”.
Lo que se sabe de los ciberdelincuentes detrás de este ataque es muy poco. Solamente que la persona o grupo detrás operaba desde la dark web y que cobra en bitcoins. Como suele suceder en muchos de los casos como este, es muy complicado saber a ciencia cierta quién es el responsable; y las técnicas que mejoran día a día. Las estrategias digitales para anonimizarse son muy sofisticadas, pero también las amenazas. “Eso requiere más recursos para detectarlas y hacerles frente”, continúa el director de la agencia de ciberseguridad.
“Si lo trasladamos a una pyme, que no tiene una agencia propia como esta, cualquiera de estos incidentes se puede convertir en un cierre del negocio, pérdida de la información y de la reputación. El problema es que hay mucha actividad organizada, específica y enfocada”.
Oriol Torruella
Aproximadamente el 60% de las amenazas que recibe la Generalitat van dedicadas al concepto lugar de trabajo, que se entiende como las dependencias de la Administración y sus funcionarios. En esta división se incluyen también los ataques a altos cargos. Proteger y frenar los ataques que reciben es cada vez más difícil porque “ya no es solo un ordenador con un monitor y una torre; es un móvil, un portátil, dos tablets.. eso complica más la capacidad de protección”, informa Oriol Torruella.
La estrategia no cambia, a pesar de todo
La Agencia de Ciberseguridad de Cataluña intenta que las herramientas de protección evolucionen al mismo nivel que los modus operandi que utilizan los ciberdelincuentes. Las medidas pasan desde sistemas que analizan el tráfico para evitar códigos maliciosos hasta una capacitación digital para todos los funcionarios. “No hay una solución mágica pero cuántos más sistemas se usen, mejor. Tenemos 3 o 4 aplicaciones de mensajería que tienen diferentes niveles de seguridad”, explica a este medio.
Las herramientas que necesitan tienen que ser cada vez más sofisticadas pero ese reto siempre ha existido. El espionaje de Pegasus a los independentistas no ha cambiado la estrategia. “Empezamos en 2020 con el programa de protección para altos cargos y (el espionaje) era una realidad que teníamos analizada. Estamos tomando medidas para evitarlo. (...) Pero lo que sí plantea es una acción en particular para mejorar la seguridad de estas terminales”, afirma Torruella.
El software espía Pegasus puede cambiar algunos aspectos de la estrategia de ciberseguridad de la Generalitat de Cataluña, pero no el fondo. El plan, continúa Oriol Torruella, es seguir con su hoja de ruta para hacer frente a las millones de amenazas que les llegan cada día. “Por desgracia, la realidad nos ha dado la razón (en referencia a Pegasus) y por eso creo que tenemos que seguir desarrollando nuestro modelo de seguridad”, concluye.