Pegasus, un crimen y 'sombreros negros'

¿Cuál es el origen de 'Pegasus'? Sus creadores son los exmilitares judíos Niv Carmi, Omri Lavie y Shalev Huli. Sus nombres -Niv, Shalev, Omri- son los que sirvieron para crear las siglas de NSO cuando en 2010 abandonaron la unidad clandestina en la que trabajaban para crear, en una pequeña granja, las instalaciones en la que desarrollaron el software de espionaje. Los tres militares procedían de la 'unidad 8200' una división invisible -el nombre de su jefe es secreto de Estado en Israel- que desde el desierto del Negev utiliza tecnología de ciencia ficción para controlar a todos los países de los alrededores. Esta sección es responsable, entre otras acciones, de la 'operación Huerto', en la que aviones israelíes volaron hasta el desierto sirio para bombardear y destruir un reactor nuclear donde Siria, con el apoyo del Corea del Norte, fabricaba sus futuras bombas atómicas. Según el mito, la 'Unidad 8200' consiguió apoderarse el sistema de radar del enemigo para que las aeronaves responsables del ataque pudieran completar la misión sin bajas. NSO Group surge de ese mundo fantasmal en el que las guerras se ganan desde un teclado.

La empresa israelí tenía algo que ofrecer al mundo que se resume con dos palabras: 'Click Zero'. Es decir, una tecnología -'Pegasus'- capaz de infectar teléfonos en cualquier lugar del mundo sin necesidad de que su propietario acepte un mensaje, abra una aplicación o lea un correo electrónico. Si recibe una llamada perdida ya está infectado. Para que esta posibilidad se aplique se utilizan las denominadas 'vulnerabilidades ocultas', es decir, aquellos agujeros del software de WhatsApp, Facebook, Telegram, Apple o cualquier otra aplicación que ni siquiera los creadores han detectado pero que, en la práctica, supone dejar las llaves de la casa a los ladrones.

Y aquí aparecen los 'sombreros negros'. A lo largo del mundo hay una legión de hackers investigando las vulnerabilidades de todo tipos de grandes tecnológicas pero, según su actividad, se dividen en dos grupos: los 'white hat' (sombreros blancos) y los 'black hat' (sombreros negros). Mientras que los primeros se caracterizan por el comportamiento ético y avisan a las empresas cuando localizan el error, los segundos son delincuentes que sacan a subasta esa información en la web profunda.

Según la experta en ciberseguridad Marta Beltrán, directora del máster sobre este tema de la Universidad Rey Juan Carlos, «solo grandes empresas, con presupuestos potentes pueden gastarse las cantidades de dinero necesaria para pujar por esas brechas». No hay pruebas de que NSO haya acudido a ese mercado pero es una firma que dispone de fondos para acceder a él o para contratar sus propios 'sombreros negros'.

El problema de las 'vulnerabilidades ocultas' es que tarde o temprano se detectan y que los creadores las reparan. Para esos casos, NSO Group no dejó de trabajar en la tecnología clásica. Es decir, sistemas que infectan el móvil a través de todo tipo de mensajes que llegan al celular y que el propietario del dispositivo tiene que abrir o pulsar. Y una vez que 'Pegasus' entra en el sistema, se apodera de todo lo que encuentra: fotografías, mensajes, llamadas, vídeo, geolocalizaciones, el micrófono, la lista de contactos, la agenda. La intrusión en la vida del dueño del teléfono es absoluta. No hay barreras capaz de detenerla.

'Pegasus' permitió ganar millones a sus creadores porque no solo vendían el software para espiar sino que también las aplicaciones para controlarlo y para poder usarlo sin dejar rastro. No está clara la cifra que puede costar comprar este sistema. Según Marta Beltrán, «solo se han conocido filtraciones de correos en los que se habla de seis millones de dólares, pero también puede haber ofertas especiales como el control de cien teléfonos por parte de 'Pegasus', ampliables a otros cien con descuento. Cualquier dato es pura especulación».

'Pegasus' ya había triunfado y entonces entró en barrena. Hay una fecha que marca el antes y el después del programa de espionaje. El 2 de octubre de 2018 el periodista saudí Jamal Khashoggi accede a la embajada de su país en Turquía para realizar los trámites que le permitirán casarse con su tercera mujer. Pero en la legación le esperan 18 agentes secretos procedentes de Riad que le degollarán, le trocearán con una motosierra y harán desaparecer su cadáver. Todo este ritual criminal es grabado por algún servicio de espionaje desconocido, aunque ahora todo apunto a que Khashoggi era una víctima de 'Pegasus'. El control al que eran sometidos los teléfonos del periodista crítico y el de su prometida permitieron averiguar qué había pasado en la embajada y encendieron todas las alarmas sobre el uso que se le estaba dando a 'Pegasus'.

En ese momento ya existía la sospecha de que la aplicación era algo más que un sistema de espionaje para los servicios secretos. Segunda fecha clave: el 18 de julio de 2021 la asociación francesa de apoyo a periodistas 'Forbidden Stories' (Historias prohibidas) hace público un trabajo en el que ha colaborado la organización canadiense 'Citizen Lab', vinculada a la Universidad de Toronto, y Amnistía Internacional, entre otros. Lo que revela este conglomerado es que decenas de informadores incómodos para sus países han sido espiados a lo largo del mundo después de detectar que 50.000 teléfonos -al menos- hayan mostrado evidencias de haber sido contaminados. Desde la India a Marruecos, Azerbayán o Panamá, 'Pegasus' ha sido empleado por gobiernos autoritarios para vigilar a las personas que defendían los derechos humanos o exigían cambios democráticos. Pero las sospechas se extienden a otros ámbitos. El presidente francés, Enmanuel Macron, pudo haber sido espiado, al igual que su homólogo británico, Boris Johnson, o el propio rey de Marruecos, Mohamed VI.

NSO quedó atrapada en el escándalo por 'Pegasus' pese a su sofisticada forma de no dejar huellas. La experta Marta Beltrán asegura que en ese momento existían dos tipos de pistas que llevan a la tecnología israelí. «Lo que estaban apareciendo eran documentos filtrados, en algunos casos por extrabajadores de NSO, en los que se facilitaban listados de teléfonos que podían haber sido infectados. Era a partir de esos datos cuando se realizaban los análisis forenses de los móviles», explica Marta Beltrán.

El problema de 'Pegasus' es que apenas deja huellas en un teléfono que haya infectado. «No se trata de un programa con un código que más tarde se puede localizar. La aplicación se instala en la memoria, por ejemplo, y si se apaga el teléfono, desaparece», afirma la experta de la Universidad Rey Juan Carlos. Las huellas aparecen en servidores externos como WhatsApp -es el caso de los independentistas catalanes- pero 'Pegasus' ha utilizado también en las aplicaciones de Apple para fotos o música. En cualquier caso, el mundo del espionaje es tan complejo que ya se ha detectado la alternativa a 'Pegasus'. Se llama 'Candirú' y también ha aparecido en Cataluña. La leyenda del espionaje aumenta.