Una investigación de 16 medios de todo el mundo, incluidos The Guardian, Washington Post, Le Monde y más, ha revelado una lista de 50.000 números de teléfono de víctimas del malware Pegasus, creado por la empresa de ciberseguridad israelí NSO Group.
Una vez instalado, este malware tiene la capacidad de tomar el control de todo el smartphone, incluyendo la posibilidad de grabar llamadas, grabar vídeo, obtener la localización, y copiar los mensajes recibidos. Más sorprendente aún es que las últimas versiones se pueden instalar sin que el usuario haga click en ningún sitio, sólo con recibir una llamada de WhatsApp o un mensaje SMS.
El NSO Group se aprovecha de las vulnerabilidades "zero-day", fallos en el sistema que son desconocidos para el fabricante y que aún no tienen solución. Es una táctica usada por hackers habitualmente, cuando descubren un 'bug' y lo aprovechan, en vez de avisar al creador del programa.
Oficialmente, NSO Group afirma que sólo vende Pegasus a gobiernos, fuerzas de seguridad, servicios de inteligencia y militares que pasen rigurosos controles, y el gobierno israelí debe aprobar licencias individuales de exportación de esta tecnología, con el objetivo de atrapar a "terroristas y criminales". Sin embargo, esta nueva investigación revela que algunos objetivos son bien diferentes, en muchos casos atacando los móviles de periodistas, políticos y activistas de derechos humanos.
Entre la lista de teléfonos filtrados, se encuentran los de 180 periodistas, de medios como El País, Financial Times, CNN, The New York Times, France 24, The Economist, Associated Press y Reuters. El caso más chocante es del periodista mexicano Cecilio Pineda Birto, asesinado en 2017 después de acusar a gobiernos locales de aliarse con el 'capo' conocido como El Tequilero. Ahora, su número de teléfono aparece en una lista de objetivos de espionaje de uno de los clientes mexicanos de NSO Group.
México es el cliente que más datos solicita a NSO Group en la lista filtrada, con 15.000 números, por delante de Marruecos y los Emiratos Árabes Unidos con más de 10.000 números cada uno. Pegasus también se ha asociado con Arabia Saudita, y el asesinato del periodista Yamal Jashogyi en Estambul en 2017. Amnistía Internacional ha revelado que activistas y miembros de la oposición de países como Hungría o India han sido objetivos de este malware, incluida la esposa de Jashogyi.
Sólo con una llamada de WhatsApp
La lista de objetivos no implica que todos hayan sido espiados; sólo que fueron consideradas "personas de interés" para usar Pegasus antes de realizar el ataque. Por lo tanto, por el momento no se sabe qué porcentaje de los dispositivos fueron realmente hackeados, y de cuáles se obtuvieron datos. El gran problema de Pegasus es que entra de manera desapercibida en el sistema, con algo tan simple como una llamada de WhatsApp de un contacto, sin necesidad de responderla.
El NSO Group usa vulnerabilidades en dispositivos iOS y Android que aún no han sido solucionadas, aunque Apple ya ha respondido a la investigación, defendiendo su seguridad y afirmando que el iPhone es el móvil más seguro según los expertos. Los rumores indican que las últimas actualizaciones de iOS traían soluciones a algunos de los 'bugs' usados por el NSO Group para entrar en el iPhone, pero Apple no lo ha confirmado.
De hecho, Apple sale mal parada del informe de Amnistía Internacional, por su política de seguridad basada en el secretismo; por ejemplo, la organización se queja de las dificultades para realizar estudios forenses en sus móviles, la falta de registros históricos, y la falta de métodos para realizar comprobaciones de la integridad del sistema.
Por su parte, NSO Group se ha alejado del uso que sus clientes le dan al malware Pegasus, recordando que no es la encargada de operar los sistemas, ni tiene acceso a los datos de sus clientes. En concreto, ha intentado negar su participación en el asesinato de Pineda, afirmando que, incluso si su móvil estuviese entre los objetivos filtrados, eso no significa que los datos obtenidos por Pegasus hayan sido usados para encontrarlo, y que los gobiernos podrían haber descubierto su localización por otros medios.
Sin embargo, esta lista demostraría que esos clientes estarían vulnerando los términos de servicio de la compañía, al usar Pegasus contra objetivos diferentes a "terroristas y criminales". Ante esto, NSO Group, a través de sus abogados, ha denunciado "falsedades" en el informe de Amnistía Internacional, y una cifra "exagerada" de objetivos, pero no ha tenido más remedio que anunciar una investigación de todas las "reclamaciones creíbles de uso indebido" de su software.
