Espiados antes de ser espiados por Pegasus

El presunto espionaje masivo al independentismo catalán fue más allá de la infección de móviles con el virus Pegasus, el programa informático de la firma israelí NSO que teóricamente solo pueden comprar gobiernos. La investigación realizada por Citizen Lab, el grupo de expertos en ciberseguridad de la Universidad de Toronto (Canadá), revela que los autores de la intromisión tuvieron presuntamente acceso previo a información confidencial de sus víctimas para utilizarla como cebo en los mensajes que enviaban para poder infectar luego sus teléfonos.

“La sofisticación y la personalización de los mensajes variaron según los intentos, pero a menudo reflejan un conocimiento detallado de los hábitos, intereses, actividades y preocupación del objetivo”, destaca el informe de Citizen Lab, que añade que todo apunta “al uso probable de otras formas de vigilancia” sobre las víctimas. Entre los cebos detectados figuran tarjetas de embarque de vuelos reales, enlaces a noticias sobre el independentismo, información sobre la covid-19, entradas gratis para eventos o enlaces a organismos oficiales de otros países.

El estudio detalla que los ataques supuestamente afectaron, entre 2017 y 2020, a 63 personas, entre ellas los expresidentes de la Generalitat Artur Mas, Carles Puigdemont y Quim Torra, así como el actual mandatario catalán, Pere Aragonès. Para ello, se utilizaron dos programas espía de origen israelí, Pegasus y Candiru (conocido como Lengua del Diablo), cuyo objetivo final era acceder a la información contenida en la memoria y aplicaciones de los dispositivos electrónicos infectados e, incluso, manejar las funciones del equipo, como la cámara y el micrófono, sin que fuera percibido por el propietario.

Pero antes de todo ello, el virus debía ser instalado en el móvil. El informe detalla que con tal fin se usaron dos sistemas. Por un lado, los llamados “exploits sin clic”, programas informáticos que se aprovechan de las debilidades de los sistemas operativos para instalar un virus sin necesidad de que la víctima pinche un enlace. Los expertos de Citizen Lab recalcan que “es especialmente difícil defenderse” ante estos mecanismos de infección, ya que “no hay ninguna acción que un usuario normal pueda tomar que le proteja de manera segura contra este tipo de ataque”. El estudio revela dos tipos concretos de exploits utilizados contra los independentistas catalanes: los llamados Homage y Kismet.

Enlaces maliciosos

No obstante, la mayor parte de las víctimas fueron presuntamente atacadas por el segundo sistema: el envío de SMS, de los que la investigación ha recopilado más de 200 tipos. “Enviaban mensajes de texto que contenían enlaces maliciosos diseñados para engañar a los objetivos para que hicieran clic. Una vez que la víctima hace clic en un enlace, el dispositivo se infecta”, explican los autores del informe, que ponen como ejemplo el caso de Jordi Baylina, un informático barcelonés afincado en Suiza y que asesora en proyectos de voto digital.

Según ha revelado el análisis de sus dispositivos, Baylina sufrió 26 supuestos intentos de infección y en al menos ocho ocasiones el ataque tuvo éxito. En uno de esos ataques, este informático recibió un mensaje con un enlace para descargarse la tarjeta de embarque de un vuelo de Swiss Airlines que había comprado. Citizen Lab apunta a que los que ejecutaron la intromisión presuntamente tuvieron acceso al Registro de Nombres de Pasajeros (PNR en sus siglas en inglés), una base de datos en la que las compañías aéreas deben volcar la información de sus clientes y cuyo fin es que la policía pueda detectar la presencia de sujetos peligrosos. En otros casos, Baylina recibió mensajes que aparentemente procedían de la Agencia Tributaria o de la Seguridad Social y que incorporaban el número de su DNI.

Además, recibió mensajes supuestamente procedentes de la ONG alemana European Digital Rights, con información sobre el pasaporte inmunitario de la covid-19, y de la operadora Swisscom, compañía que opera en Suiza, su país de residencia, con tarifas del roaming [el cargo extra que cobraban las compañías cuando sus abonados utilizan el móvil fuera de su país]. También le llegó un mensaje aparentemente enviado por el Mobile World Congress, de Barcelona, para que se descargara unas supuestas invitaciones.

Otras víctimas recibieron mensajes con notificaciones a su nombre sobre supuestas entregas de paquetes, aunque la mayoría fueron tentados con lo que aparentaban ser alertas de Twitter o de noticias “generalmente enfocadas en temas de interés para el objetivo”. Así, las pesquisas han revelado SMS con enlaces que supuestamente remitían a informaciones de La Vanguardia, Europa Press, El Temps o El Confidencial, así como de medios extranjeros como The Guardian, Financial Times, Die Welt o Columbia Journalism Review. “Nuevo instrumento político de Puigdemont con mandos de PDeCAT y ERC” o “El portavoz catalán: ‘Puigdemont es el único candidato viable”, eran los titulares de algunas de las noticias enviadas como enlaces maliciosos.

En otros casos, los supuestos ataques se enmascaraban en mensajes de ONG extranjeras, como le ocurrió a Marta Rovira, secretaria general de ERC y exdiputada del Parlamento catalán que huyó a Suiza en 2018. Rovira recibió en su número de teléfono suizo SMS enviados presuntamente por entidades del país centroeuropeo. Uno de ellos procedía en apariencia de la ONG Swisspeace, dedicada a promover la paz en situaciones de conflictos. El segundo, del Centro de Políticas de Seguridad de Ginebra (GCSP en sus siglas en inglés), una fundación financiada por el Gobierno helvético.

Para infectar con el virus Candiru, el estudio de Citizen Lab revela que se utilizó el correo electrónico. Este programa malicioso afectó al empresario Joan Matamala, amigo de Puigdemont, y a los expertos informáticos Elies Campo, Xavier Vives y Pau Escrich, relacionados con iniciativas de voto digital. Vives y Escrich recibieron correos con el membrete del Ministerio de Sanidad con recomendaciones de la Organización Mundial de la Salud sobre qué hacer en caso de contraer la covid. Además, el segundo recibió otro mensaje en el que le invitaban a descargarse invitaciones para el Mobile World Congress, de Barcelona.

Por su parte, Campo recibió uno aparentemente remitido por el Registro Mercantil de Barcelona con información real de su empresa, en el que se le advertía de que existía otra compañía con un nombre similar que estaba registrada en Panamá. “Dicho mensaje indica un alto grado de conocimiento de las actividades de Campo y es probable que generase un clic”, concluyen los autores del informe.