Pegasus, el virus espía que ataca a activistas y políticos al que ha declarado la guerra EE.UU.
NSO Group, la empresa detrás de el código, ha sido añadida recientemente a la lista negra de la Comisión de Comercio de Estados Unidos
En un ‘smartphone’ cabe la vida entera. Desde la ubicación del propietario, hasta sus conversaciones y datos personales. Más allá de los cibercriminales al uso, que día sí y día también lanzan ataques para poder reventar ese cofre del tesoro, hay empresas que ofrecen software a gobiernos y agencias para alcanzar el mismo fin. Pero, eso sí, solo para combatir el terrorismo y encontrar desaparecidos. Nada de ‘hackear’ a cualquiera.
Eso es lo que afirma que hace la tecnológica NSO Group con su código espía Pegasus, por mucho que recientes investigaciones y estudios lleven le la contraria e, incluso, el Departamento de Comercio de Estados Unidos haya terminado metiendo a la firma en su lista negra. Algo que, según explica en conversación con ABC David Sancho, jefe de análisis de amenazas de la empresa de ciberseguridad Trend Micro, no tendrá, sobre el papel, «grandes efectos prácticos» para la firma especializada en ciberespionaje.
«Los efectos son más de marketing que de otra cosa. Lo que consigue Estados Unidos incluyéndolos en la lista es lanzar un mensaje en el que queda claro que la empresa no les gusta». El experto apunta, además, que este tipo de compañías, centradas en el espionaje, no dependen tanto de la tecnología estadounidense. Su principal fuente de negocio se encuentra en la búsqueda de vulnerabilidades en sistemas operativos que permita por los que su software espía, llamado Pegasus, sea capaz de ‘hackear’ los terminales de los objetivos de sus clientes.
Entre esos objetivos, además de criminales, han figurado políticos, periodistas, funcionarios, empresarios, activistas y líderes sindicales. De acuerdo con un estudio coordinado por la plataforma sin ánimo de lucro Forbidden Stories, desde 2016, 50.000 personas a nivel global han sido seleccionadas por los, al menos, 11 países que ‘alquilan’ el código Pegasus para que se les espíe. Entre los clientes figuran, de acuerdo con el estudio, gobiernos y agencias de Arabia Saudí, Azerbaiyán, Bahréin, Emiratos Árabes Unidos, Hungría, India, Kazajistán, Marruecos, México, Ruanda y Togo.
El negocio está en los agujeros
Según explica Sancho, Pegasus es un ‘spyware‘ -software desarrollado para acceder a la información del usuario que infecta- «corriente». Con todo, puede acceder a los contactos almacenados, los mensajes, las llamadas y grabar audio y vídeo. «Permite que cualquier conexión que sale fuera del dispositivo en el que está instalado sea visualizado por el propietario del código», apunta el experto, que hace hincapié en que el auténtico negocio de NSO, como el de otras empresas dedicadas al ciberespionaje, está en la «búsqueda de vulnerabilidades». Fallos de seguridad en los dispositivos que les permita instalar el código malicioso. Y, además, son muy buenos en ello.
Hace unas semanas, Apple se vio forzada a lanzar una actualización de iOS 14.8 y el resto de sistemas operativos de la firma debido a que NSO había encontrado brechas por las que realizar infecciones. Para explotar esta vulnerabilidad, que fue descubierta por la firma de ciberseguridad Citizen Lab en el terminal de un activista de Arabia Saudí, no hacía falta que el usuario pinchase en ningún enlace.
«Es uno de los ‘exploits’ más codiciados del mercado», señalaba recientemente a este diario el ‘hacker’ ético Deepak Daswani. «Una vulnerabilidad que puedes explotar sin necesidad de que la víctima pulse en ningún sitio es muy valiosa. No es algo que cualquiera pueda ejecutar. Suele estar presente en ataques muy dirigidos», completa el experto.
El movimiento de Departamento de Comercio de EE.UU. llega después de que varias empresas tecnológicas del país hayan alzado la voz sobre la vulneración de sus sistemas por parte de NSO. Firmas como Cisco, Microsoft, Google o Facebook llegaron a presentar una demanda a finales del año pasado contra la empresa, a la que calificaban de «cibermercenaria». Sancho apunta que «por cada vulnerabilidad que encuentra una compañía hay 30 que se están utilizando de forma muy selectiva. Lo que hace NSO es que proporciona la vulnerabilidad que ellos han descubierto para atacar, en concreto, al objetivo del cliente».