Pegasus, al desnudo: un intruso silencioso y con botón de autodestrucción

El programa espía más potente del mundo ofrece distintas garantías para resultar indetectable, según un folleto interno de la empresa, la israelí NSO Group

Una mujer habla por teléfono frente a la sede de NSO Group en Herzliya, cerca de Tel Aviv (Israel), en 2016.JACK GUEZ (AFP)

“Pegasus fue desarrollado por veteranos oficiales de las agencias de elite para proporcionar a Gobiernos nuevas formas de interceptación en el campo de batalla de la ciberseguridad”. NSO Group, la firma israelí que vende el programa espía más potente del mundo, exaltaba así las bondades de su sistema estrella en 2015 en un folleto dirigido a sus clientes potenciales: jefes de servicios secretos, policías y ejércitos. La carta de presentación de Pegasus revela la singularidad de una tecnología que ofrece al organismo gu...

Suscríbete para seguir leyendo

Lee sin límites

“Pegasus fue desarrollado por veteranos oficiales de las agencias de elite para proporcionar a Gobiernos nuevas formas de interceptación en el campo de batalla de la ciberseguridad”. NSO Group, la firma israelí que vende el programa espía más potente del mundo, exaltaba así las bondades de su sistema estrella en 2015 en un folleto dirigido a sus clientes potenciales: jefes de servicios secretos, policías y ejércitos. La carta de presentación de Pegasus revela la singularidad de una tecnología que ofrece al organismo gubernamental atacante ―NSO sostiene que solo vende a entidades públicas— distintas garantías para colarse en silencio y sin despertar sospechas. Entre ellas, una suerte de botón del pánico para “autodestruir” el virus si el intruso llega a la conclusión de que ha sido detectado.

El folleto, de uso restringido, figura entre los anexos de una denuncia presentada en 2019 por WhatsApp contra NSO Group en un juzgado de San Francisco (California) en la que la aplicación de mensajería acusaba al vendedor de Pegasus de aprovechar un fallo de seguridad para introducir el virus espía en 1.400 móviles en el mundo.

¿Qué ofrece Pegasus?

Es un programa que se instala a distancia y que es capaz de asaltar móviles con sistemas operativos Android e iOs (iPhone). Permite “en cualquier momento y lugar”escuchar llamadas, extraer la lista de contactos, rastrear videollamadas y mensajes de WhatsApp, Viber y Skype. Y también abre la puerta a monitorizar Facebook, hacer fotos y vídeos con las cámaras, conectar el micrófono y absorber el historial del navegador y el histórico de llamadas. El virus conoce al instante hasta el nivel de batería del teléfono. Puede recopilar datos sensibles, como información financiera, y robar las contraseñas del espiado. También puede husmear en el calendario o la agenda; y recabar archivos, fotos y correos. Pegasus conoce si su objetivo borra un teléfono o anula una cita de su agenda a última hora. Y avisa en el momento al atacante, eludiendo los radares de los antivirus. En definitiva: ofrece una réplica, un espejo, del terminal.

¿Pegasus sabe dónde están sus víctimas?

Sí. Cuando Pegasus conquista un móvil, el espiado comienza a llevar, sin saberlo, una suerte de baliza de seguimiento. El atacante puede conocer en tiempo real dónde se encuentra su víctima. Aparece como un muñeco en movimiento sobre un mapa. Si el espiado desconecta el GPS, Pegasus enciende el seguimiento unos segundos y lo vuelve a desactivar después para no despertar sospechas.

¿Qué hace Pegasus para ser indetectable?

El virus recurre a distintos subterfugios para que la víctima nunca se percate de su presencia. Cuando al espiado le queda menos del 5% de batería, el sistema deja de reportar datos al atacante para no agotar la carga, lo que podría llamar la atención. Si el objetivo viaja al extranjero y activa el roaming (itinerancia de datos), Pegasus solo reporta la información robada a través de wifi. Así se evita que una abultada factura por conectarse a una red extranjera haga saltar las alarmas. Además, el sistema solo hace fotos y graba vídeos sin flash.

¿Qué pasa si la víctima nota algo raro en su teléfono?

En ese caso, el atacante, para evitar ser descubierto, puede activar la “autodestrucción”: el virus desaparece del teléfono y, teóricamente, no es posible su detección posterior con un análisis forense.

¿Cómo penetra el programa en un teléfono?

Colar el agente ―eufemismo con el que NSO designa a su virus― es la fase más “sensible e importante de la operación de inteligencia”. Cada infección es “única” y personalizada. Y se desarrolla a través de varias tretas. Inicialmente, Pegasus intenta infiltrarse a distancia. El método más eficaz es el ataque zero click: basta con que el usuario tenga encendido el móvil para que pueda ser infectado a través de un fallo de seguridad de su sistema operativo o de alguna aplicación. Otra vía son los SMS y correos electrónicos trampa: mensajes personalizados que al pinchar redirigen a una web infectada. Si todo esto falla, la firma sugiere a sus clientes aprovechar algún descuido para instalar este malware manualmente (con algún agente sobre el terreno) “en menos de cinco minutos”.

¿Cuánto cuesta el programa espía?

No existe un precio fijo. NSO Group vende Pegasus a cada uno de sus clientes por una cantidad diferente. Ghana pagó ocho millones de euros en diciembre de 2015 para pinchar “25 objetivos simultáneos”. El importe contemplaba una garantía de 12 meses, derechos para introducir el virus en dispositivos locales y un curso de formación de dos semanas, según un contrato incorporado en la denuncia de WhatsApp de 2019.

El creador de Pegasus elude revelar detalles sobre sus clientes. La firma ofrecía su malware a 60 organismos públicos de 20 países el pasado año y asegura que rechazó el 15% de ventas por proceder de Estados que incumplían los derechos humanos. En 2018, la compañía reportó unos ingresos de 235 millones. Pese a las decenas de escándalos que han salpicado a NSO Group desde 2016 ―uso del sistema de espionaje para atacar a periodistas, diplomáticos y opositores en países como México o Arabia Saudí―, la firma asegura que solo ha revocado desde entonces sus licencias a una decena de clientes.

Sobre la firma

Más información

Archivado En