Periodistas incómodos o la exmujer de un jeque: lo que revelan las ‘otras’ víctimas de Pegasus
Los dilemas sobre el uso y abuso de este programa vienen de lejos: "Hay muchos clientes que no son un ejemplo de democracia o control jurídico".
El caso Pegasus ha traído, de momento, muchas más dudas que certezas. Pero hay alguna cosa clara: los teléfonos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles, fueron espiados en la primavera de 2021. Estos son los primeros altos cargos en el mundo en quienes se confirma un espionaje con el programa israelí Pegasus.
Sumando este bombazo a la noticia de que decenas de personas relacionadas con el independentismo catalán también habían sido espiadas con este software, Pegasus lleva más de una semana instalado en la primera plana de la prensa –y la sobremesa– española. El escándalo es mayúsculo.
No obstante, el software de la empresa israelí NSO Group ya era un viejo conocido de cualquier experto en seguridad, e incluso de cualquier persona interesada en la información internacional que se viene publicando desde 2016.
En agosto de ese año, la BBC publicaba un artículo titulado NSO Group, la misteriosa empresa capaz de hackear iPhones con un solo clic. En él contaba el caso de Ahmed Mansoor, un activista por los derechos humanos de Emiratos Árabes Unidos que empezó a sospechar de un hackeo cuando recibió varios mensajes de texto con unos enlaces que supuestamente le mostrarían pruebas de tortura en las cárceles de su país.
En lugar de pinchar en ellos, Mansoor se puso en contacto con las organizaciones Citizen Lab y Lookout, expertas en ciberseguridad, que analizaron su iPhone y concluyeron que esos enlaces contenían una de las armas cibernéticas más sofisticadas jamás vistas. Se trataba, aparentemente, de Pegasus, un producto de la empresa NSO Group que había sido descubierto un año atrás también de forma casual.
“Estamos hablando de la exportación de un arma”
La compañía tecnológica NSO fue fundada en 2010 y tiene sede en Herzliya, al norte de Tel Aviv. Según la revista Forbes, la empresa se fundó gracias a la financiación y a la experiencia de la Unidad de Inteligencia 8200, perteneciente a las Fuerzas Armadas israelíes, pero en 2014 fue comprada por la firma estadounidense de capital de riesgo Francisco Partners.
Hasta la fecha, NSO se ha defendido asegurando que las herramientas que crea están destinadas a luchar contra el crimen y el terrorismo, y que sólo las vende a agencias gubernamentales una vez estas pasan unos filtros que analiza el Ministerio de Defensa israelí. Al mismo tiempo, el grupo se desentiende de cómo dichas agencias utilizan sus programas.
Las organizaciones especializadas en ciberseguridad ponen en duda esta versión desde que conocen los productos que salen de los ‘laboratorios’ de NSO Group. El artículo que publicaba BBC sobre esta compañía en 2016 citaba a expertos que la calificaban como “traficante de ciberarmas”.
Marcelino Madrigal, analista de inteligencia y ciberseguridad, sostiene algo parecido. “Todas estas herramientas están en la categoría de armamento. Estamos hablando de la exportación de un arma”, afirma. De este modo, es el Ministerio de Defensa israelí el que decide a quién se las vende: “A estos señores sí, a estos señores no”, ilustra Madrigal. No van a permitir exportarlas a un rival u opositor, pero sí a alguien que no vaya a dañar sus intereses, o incluso a quien los favorezca, sugiere el experto.
“No es un software ni un virus, sino un producto con una infraestructura”
Madrigal hace mucho hincapié en la sofisticación del programa Pegasus. Para empezar, “no es un software ni un virus, sino un producto”, aclara. Como tal, Pegasus contiene “una infraestructura con múltiples partes: una de almacenamiento, otra de servidores, etcétera, porque la información que extrae [de los dispositivos infectados] tiene que ir a parar a un sitio, se tiene que almacenar, y luego se presenta”, detalla.
Madrigal señala que “todo parte de la base de los Zero Day”, esto es: vulnerabilidades del sistema operativo que no son conocidas por los fabricantes y que, por tanto, son extremadamente jugosas para los hackers. Como explica Madrigal, estas fallas pueden ser explotadas por dos tipos de actores distintos: si caen “en manos de actores de amenazas, les llamamos mafias”; si esas vulnerabilidades acaban siendo usadas “por el sector de seguridad o por quienes consideramos ‘los buenos’, entonces les llamamos empresas de seguridad”. En todo caso, la acción es la misma: recolectar información de la persona espiada accediendo a sus mensajes de texto, fotos, correos, datos de localización o incluso al micrófono y la cámara del teléfono.
En el caso del activista Ahmed Mansoor, como en los de Pedro Sánchez y la ministra Robles, el software se habría aprovechado de una falla de iPhone. En 2016, cuando se conoció el intento de espionaje a Mansoor, Apple tardó diez días en arreglar la brecha de seguridad, y lanzó una actualización del sistema para todos sus usuarios.
Y la lista crece desmesuradamente
El caso de Mansoor fue de los primeros en salir a la luz y en hacer saltar las alarmas sobre quién y cómo utilizaba Pegasus. La opacidad fue máxima, claro, pero en los últimos seis años se ha avanzado mucho sobre esto, gracias a la información de Amnistía Internacional, Forbidden Stories y Citizen Lab, y de las investigaciones de un grupo de 17 medios internacionales coaligados bajo el ‘proyecto Pegasus’.
El 18 de julio de 2021, este consorcio destapó una enorme trama de ciberespionaje con Pegasus que afectaba potencialmente a usuarios de 50.000 números de teléfono en 45 países distintos. En esa lista había periodistas, activistas, opositores, diplomáticos y políticos del más alto nivel. En ella se incluían usuarios ‘infectados’ y objetivos potenciales de los clientes de NSO desde 2016.
El 20 de julio, The Guardian y el resto de medios publicó los nombres de 14 jefes o ex jefes de Estado que se encontraban en la lista, entre ellos el francés Emmanuel Macron, el actual presidente del Consejo Europeo y ex primer ministro belga Charles Michel o el rey de Marruecos Mohamed VI.
Aunque no hubo confirmación explícita sobre estos casos, el propio Emmanuel Macron cambió de teléfono al enterarse, y en septiembre Apple se apresuró a actualizar sus dispositivos para corregir, de nuevo, estas vulnerabilidades.
Periodistas asesinados y la mujer de un jeque, víctimas de Pegasus
A medida que se iban conociendo los nombres de las posibles víctimas del spyware, se iba haciendo evidente que ni se utilizaba sólo para combatir el crimen ni había sido vendido solamente a Estados plenamente democráticos.
“No es cierto que lo usen sólo agencias gubernamentales”, sostiene Marcelino Madrigal. El analista cita varios casos paradigmáticos. “En México se descubrió que una periodista fue espiada por una empresa privada, y otro periodista fue asesinado mientras estaba investigando a los cárteles”, señala.
En julio del año pasado, la Fiscalía mexicana apuntó a la empresa KBH TRACK como una de las responsables del espionaje a la periodista Carmen Aristegui con el software Pegasus. Cecilio Pineda Birto, también periodista mexicano, corrió peor suerte que su colega. Especializado en investigar crimen organizado y corrupción, Pineda Birto fue asesinado el 2 de marzo de 2017, semanas después de que su número fuera incluido en la lista de objetivos de Pegasus.
Entre la lista que desveló el Proyecto Pegasus, por cierto, también estaban los nombres de la familia del periodista Jamal Khashoggi, asesinado por el régimen saudí en Estambul en 2018.
Madrigal menciona también otro caso que, debido al estatus de sus protagonistas, tuvo incluso más repercusión. Es el del jeque Mohamed bin Rashid Al Maktum, de Dubái, que espió con Pegasus a su ahora exmujer, la princesa Haya Bint Al Husein, tal y como reconoció la Justicia británica en diciembre de 2021.
En 2019, la princesa Haya –hermana del actual rey de Jordania– huyó con sus hijos a Reino Unido temiendo por su vida, tras descubrir que el emir había secuestrado a dos de sus propias hijas, Latifa –cuyo caso sería después muy sonado– y Shamsa.
Ya en Reino Unido, la princesa Haya siguió recibiendo amenazas y mensajes que le decían que podían encontrarla “en cualquier lugar”. El Tribunal Supremo británico determinó que el jeque había hackeado ilegalmente el teléfono móvil de su mujer y de todo su equipo con el famoso Pegasus, y obligó al emir a pagar 500 millones de libras (casi 600 millones de euros) a su exmujer por el divorcio.
Como constata Marcelino Madrigal, “entre los clientes de Pegasus y de NSO hay países como Marruecos o Emiratos Árabes, que no son un ejemplo de democracia o de control jurídico”. “El que tiene dinero lo compra”, zanja.
Se paga por territorio y por móvil espiado
Hace unos días, El País desveló que el CNI español compró el sistema Pegasus por seis millones de euros para espiar en el extrajero. El analista Marcelino Madrigal explica que el precio de Pegasus no es en absoluto fijo. “Se paga en función del entorno geográfico que quieras atacar; es decir, no es lo mismo si es sobre el territorio de la península Ibérica, que si también se quiere espiar en el continente africano, porque las infraestructuras, los servicios y las operadoras son diferentes”, ilustra. “Luego, a partir de eso, se paga por móvil espiado”, indica. Y, por supuesto, el coste también variará según las negociaciones, el cliente y los intereses, apunta Madrigal.
Recuerda también el experto que una de las primeras noticias que surgió sobre este spyware fue porque un empleado descontento de NSO Group lo quiso vender en la internet profunda o deep web. “Alguna agencia le pilló entonces, pero, ¿quién dice que eso no está circulando en otros canales?”, plantea Madrigal.
Todo es oscuro y todo se entremezcla en este asunto, por lo que cuesta mucho hablar de buenos y malos. Como muestra, un pequeño botón: mientras que WhatsApp y Facebook demandaron en 2019 a NSO Group por explotar con Pegasus una vulnerabilidad en su tecnología, resulta que Facebook ya había intentado comprar dos años antes este mismo spyware.
Para más inri, NSO Group vende, además de Pegasus, la ‘vacuna’ contra el mismo. Que se sepa, España no adquirió este escudo protector.