"Es lógico que Pegasus nos alarme; lo llamativo es que hayamos tardado tanto"
Entrevista a Yolanda Quintana, autora de 'Ciberguerra': “Pegasus puede crear falsas alarmas y dejar huellas en teléfonos que realmente no han sido espiados”.
A Yolanda Quintana no le ha sorprendido especialmente el escándalo del espionaje de Pegasus a miembros del Gobierno español y del Govern catalán. Sobre todo porque, como autora de Ciberguerra (Catarata) y secretaria general de la Plataforma por la Libertad de Información (PDLI), Quintana lleva años reclamando mayor control y responsabilidad de los Estados a nivel internacional en el uso de ciberarmas.
Pegasus es sólo una de estas armas, aunque algo más sofisticada que el resto. Y aunque en el último episodio español se mezclan al menos dos casos de espionaje bien diferenciados, la herramienta es la misma, y las dudas sobre su uso y abuso están ahí.
Quintana explica en esta entrevista con El HuffPost las particularidades de esta ciberarma, lo complicado que es rastrear el origen de la infección y lo relativamente sencillo que resulta que estos softwares maliciosos caigan en manos de ciberdelincuentes y pongan en peligro a todo el planeta, en parte porque los Estados también los utilizan en beneficio propio.
¿Que Pegasus llegara a afectar a miembros del Gobierno español era, de algún modo, esperable?
El espionaje a alto nivel no es una novedad, principalmente desde que los papeles de Snowden revelaron que la NSA y los servicios de inteligencia estadounidenses tenían múltiples posibilidades no sólo de hacer espionaje masivo, sino dirigido, y cuando se descubrió que aliados de EEUU, como Merkel, o incluso miembros del Gobierno español, habían sido objeto de este espionaje.
Por otro lado, hace unos años se conoció otra filtración de una empresa italiana de software, Hacking Team, entre cuyos compradores también había gobiernos de todo el mundo. El uso de herramientas de software por parte de servicios de inteligencia para espiar a figuras de alto nivel ya lo hemos visto, forma parte del ámbito de la inteligencia de cualquier país.
Lo que pasa ahora es que, aunque no hay ninguna comunicación segura, a un alto nivel sería exigible que hubiera el mayor número de precauciones posible. Las comunicaciones más sensibles de un Estado, a nivel del presidente y de los ministros, deberían utilizar unos dispositivos lo menos comprometidos posible. Sería exigible que fueran móviles auditados y vigilados no cuando salga un escándalo como este, sino de una forma más periódica, porque tiene que ver con la seguridad nacional.
¿Por qué este caso parece más escandaloso que otros anteriores?
Son casos muy graves. Lo que llama la atención es que los precedentes que ha habido, como el espionaje de la NSA o el de Hacking Team –que utiliza herramientas muy similares a Pegasus–, no hayan producido el mismo escándalo. Cualquier espionaje es un riesgo y es una vulneración de derechos fundamentales. Es lógico que nos alarme, pero también tenemos que ser conscientes de que hemos tardado un tiempo en alarmarnos, cuando esto ya estaba ocurriendo.
También es cierto que Pegasus es una herramienta que se salta los medios de prevención tradicionales. Normalmente somos víctimas de un malware cuando descargamos un archivo malicioso o cuando hacemos clic en un enlace. El de Pegasus es un malware de zero click, es decir, no hace falta pinchar en nada para que este software se descargue. Es un poco más sofisticado que otros.
A diferencia del de la NSA, que era un espionaje masivo, Pegasus es un software muy dirigido a víctimas concretas que se quieren seguir, y además en este caso han sido periodistas, activistas y políticos. La pregunta también es si este espionaje, en el caso de los independentistas catalanes, cumplía con las garantías jurídicas suficientes.
En el caso de los miembros del Gobierno, ¿este espionaje era evitable?
Ese es otro de los aspectos que sorprenden. No hay ningún dispositivo del todo seguro, en especial frente a un software de este tipo, pero desde que se conocía que existía Pegasus, hay herramientas en el mercado que permiten auditar un teléfono para saber si tiene rastros del malware.
En cualquier caso, este software, en paralelo y para crear falsas alarmas, puede dejar huellas en teléfonos que realmente no han sido espiados. Es decir, es posible falsear un dispositivo como si tuviera este software instalado aunque en realidad no lo tenga, lo que se conoce como ‘falsos positivos’. Este malware tiene una complejidad técnica superior a otros tipos. El análisis forense de los dispositivos va a ser complejo y nunca va a ser seguro cien por cien; se intentará poner sobre la mesa todos los indicios, sabiendo que estos pueden estar manipulados.
Entiendo que todo esto complica mucho más los procesos de auditoría de los teléfonos.
Claro. El problema vendrá cuando este tipo de herramientas se utilice en procesos judiciales, a la hora de impugnar pruebas en procedimientos. Para que un perito forense pueda acreditar que un dispositivo ha tenido este malware o que se ha utilizado para conseguir pruebas contra la mala actuación de las personas sometidas a un proceso judicial, resultará técnicamente muy complejo.
¿Hay que desconfiar del Grupo israelí NSO –creador de Pegasus– y de sus clientes? Las filtraciones anteriores demuestran que Pegasus no siempre se ha usado para perseguir el terrorismo y el crimen organizado como se dijo inicialmente.
Lo que hay que denunciar es el uso sin control de este tipo de herramientas que supuestamente sólo se venden a Gobiernos. En primer lugar, porque si vemos la lista de estos Gobiernos, muchos son autoritarios. Lo que en España o en cualquier país democrático se puede entender como una lucha con control judicial contra la delincuencia o contra el terrorismo, pero siempre con garantías jurídicas democráticas y de presunción de inocencia, en muchos casos es una lucha contra lo que ellos llaman terroristas pero que en realidad son activistas que buscan promover la democracia en sus países.
No podemos olvidar casos como el de Jamal Khashoggi, que poco antes de ser asesinado se descubrió que su mujer tenía instalado este software. Aun en el caso de que estas empresas cumplan el requisito de vender sólo a gobiernos, la mayoría de los compradores son o países autoritarios o países con unas democracias muy mermadas.
Tampoco debemos olvidar la otra cara del asunto. Para que estos softwares funcionen, se apoyan en vulnerabilidades de los dispositivos que muchas veces sí son conocidas por los Estados. Entre los papeles de la NSA que destapó Snowden, se supo que los servicios de inteligencia estadounidenses conocían muchas vulnerabilidades de Zero Day –aquellas que no están explotadas porque ni siquiera los fabricantes las conoces– y no las reportaban para que sus propios servicios de inteligencia las explotaran.
Esto lo hacen los Gobiernos de todo el mundo. Hay un mercado de vulnerabilidades Zero Days que son explotadas por ciberdelincuentes –para hacer caja cuando nos atacan las cuentas bancarias o cuando somos víctimas de un ransomware y piden un rescate–, pero también por los servicios de inteligencia de los gobiernos. Tiene que haber un acuerdo mundial para que las vulnerabilidades de los equipos que nos ponen en riesgo a todos dejen de usarse como ciberarmas de los servicios de inteligencia y se reporten a los fabricantes. Si no, puede haber casos como el de Wannacry, que en 2017 puso en jaque a medio mundo por un robo, o peores.