Así actuó Pegasus en España para el presunto espionaje político a entornos independentistas

A pocos que se muevan en los entornos de la ciberseguridad puede extrañar el uso de Pegasus en España teniendo en cuenta que este spyware se ha utilizado en todo el mundo como «solución de seguridad gubernamental contra el terrorismo y la gran delincuencia«, según describe su desarrollador, pero también contra todo tipo de ciudadanos y empresas que nada tienen que ver con ‘actividades ilegales’.

Una investigación del Citizen Lab de la Universidad de Toronto, dice haber encontrado pruebas del espionaje mediante Pegasus a 65 abogados, académicos, periodistas y políticos de los entornos independentistas vascos y catalanes. Se trata de la mayor operación de espionaje contra un solo grupo de víctimas documentada por estos investigadores especializados en rastrear las actividades de este software espía.

Teniendo en cuenta los implicados en este asunto y que la empresa detrás de Pegasus, NSO Group, solo vende este spyware a gobiernos y agencias gubernamentales oficiales, se sospecha que el CNI (los espías españoles para entendernos) es quien está detrás del espionaje. Dependiente del Ministerio de Defensa, las actividades del CNI para intervenir las comunicaciones de un ciudadano requieren autorización judicial, aunque se trata de un procedimiento especial y secreto en el que interviene un magistrado del Tribunal Supremo y que no cuenta con fiscalización posterior.

Y ello si se existe este control, porque ya conoces que por su propio funcionamiento una agencia de inteligencia anda siempre en el filo de la navaja. El escándalo ha sido monumental, como era esperable y a varios niveles. Más allá de la consideración política e ideológica que nos merezcan las actividades de algunos de los políticos implicados, son ciudadanos a los que -presuntamente- se han violado derechos fundamentales desde un estado democrático. Y en ese grupo estamos todos. En mi opinión, el Gobierno español debe dar explicaciones y no escudarse en la siempre socorrida ‘Seguridad Nacional’.

Pegasus en el mundo

Pegasus es el software más conocido de la empresa israelita NSO Group y uno de los spyware más sofisticados que se conocen, que no único porque existen otros como Candiru (también procedente de Israel) que ha sabido permanecer más escondido de la actualidad mediática, pero que se sospecha es igual o más potente que Pegasus.

Amén de sus actividades ‘legales’ contra terroristas y gran delincuencia, está probado que Pegasus se ha utilizado desde hace años en actividades ilegales contra periodistas, organizaciones, disidentes, políticos, académicos o cualquier objetivo, violando sistemáticamente derechos como el de la privacidad y más allá como resultado de ello, como en el caso del espionaje al entorno del disidente Jamal Khashoggi, asesinado posteriormente en el consulado saudí de Estambul.

Una colaboración pionera de más de 80 periodistas de 17 organizaciones de grandes medios en 10 países coordinada por Forbidden Stories, una organización sin fines de lucro con sede en París y con el apoyo técnico de Amnistía Internacional, realizó pruebas forenses de vanguardia para identificar rastros del software espía confirmando que ha espiado a «todo lo que se ha movido» en Internet. Para algunos, a pocos terroristas y delincuentes y a muchos ciudadanos y empresas.

Los resultados permitieron argumentar que Pegasus es «un arma preferida por los gobiernos represivos que buscan silenciar a los periodistas, atacar a los activistas y aplastar la disidencia, poniendo en peligro innumerables vidas». La realidad es que este tipo de tecnologías facilitan un abuso sistémico bajo un cuadro de legitimidad. Por todo ello, Amnistía Internacional pidió una moratoria inmediata sobre la exportación, venta, transferencia y uso de tecnología de vigilancia como la de Pegasus.

Este software espía no solo ha sido usado contra disidentes o por dictaduras. Pegasus fue empleado para espiar al Departamento de Estado de EE.UU y también a 13 jefes de estado donde destacaba el presidente de Francia Emmanuel Macron. Aunque NSO Group niegue su responsabilidad, este desarrollo ha terminado llegado a todo el que pudiera pagarlo. También se ha usado para distribuir malware, graves exploits en productos de Microsoft o Facebook como WhatsApp. Y es que es imposible dejar este tipo de desarrollos fuera de las garras de los que precisamente dice combatir y para las actividades que se publicitan.

Qué alcance habrá tenido Pegasus para que las mismas autoridades del estado de Israel dijeran que deberían investigarse sus actividades y que las estadounidenses hayan pedido que se sancione a NSO Group. En la Unión Europea hay abierta una investigación tras un informe del regulador de datos europeo donde pide su prohibición total como «respuesta adecuada a los riesgos sin precedentes que plantea esta tecnología, no solo para las personas y dispositivos sino a la propia democracia y al estado de derecho».

Pegasus en España

El spyware utiliza ataques de phishing y de suplantación de identidad preferentemente para instalarse en dispositivos móviles Android e iOS. Una vez introducido en el smartphone de la víctima, permite al atacante su «control total», el acceso completo a los mensajes, correos electrónicos, medios, micrófono, cámara, llamadas y contactos del dispositivo.

Según Citizen Lab, los ataques al grupo cercano a los independentistas vascos y catalanes fueron diseñados con un gran nivel de personalización para cada uno de ellos, lo que indica conocimiento previo de sus actividades seguramente por otros medios de espionaje. Todo era una trampa para que picasen y por lo que leemos lo hicieron muy bien.

La suplantación de identidad es un método efectivo contra cualquiera y fue el ataque preferente. Los atacantes suplantaron a todo tipo de organismos y empresas, desde la Agencia Tributaria a la Seguridad Social, pasando por empresas de mensajería o empresas de transporte. Son las mismas que se usan en las campañas de «consumo», aunque en este caso se añadieron comunicaciones falsas de organizaciones internacionales de derechos o ‘ganchos’ como el del ex-presidente de Cataluña y fugado de la acción judicial, Carles Puigdemont.

Para la introducción de Pegasus se usaron SMS fraudulentos y mensajes desde redes sociales, con decenas de intentos de intrusión entre 2017 y 2020. Los investigadores también descubrieron ataques especiales para los iPhones usando una vulnerabilidad 0-Day de la app Mensajes, bien conocida en entornos de seguridad.

«Muchas víctimas fueron objeto de ataques basados en SMS, y hemos recopilado más de 200 mensajes de este tipo”, explica el Citizen Lab. «La sofisticación y la personalización de los mensajes varían según los intentos, pero reflejan un conocimiento a menudo detallado de los hábitos, intereses, actividades y preocupaciones del objetivo«. 

La ministra de Defensa, Margarita Robles, ha anunciado una comisión secreta en el Congreso para dar explicaciones del uso de Pegasus en España ante la imposibilidad de que las ofrezca por objeto (y por Ley) el CNI. Según El País, la agencia española de inteligencia tiene Pegasus desde hace años tras adquirirlo por seis millones de euros para espiar en el extranjero.

Y es seguro que también en casa… en actividades «legales» y en otras. Ciertamente estamos en un caso muy oscuro del que faltan datos y pruebas sobre todo lo escrito. Seguramente nunca las conoceremos. Las agencias de inteligencia y cuerpos policiales deben contar con armas digitales para combatir a los malos y proteger al resto de los ciudadanos. En este caso, de confirmarse en toda su extensión, hablamos de algo que debería avergonzar a un estado democrático. Y no debería ser excusa si son independentistas porque el uso ilegal de estas tecnologías terminará alcanzando también a los que no pensamos como ellos.