_
_
_
_

Pegasus, al desnudo: un intruso silencioso y con botón de autodestrucción

El programa espía más potente del mundo ofrece distintas garantías para resultar indetectable, según un folleto interno de la empresa, la israelí NSO Group

Joaquín Gil
Una mujer habla por teléfono frente a la sede de NSO Group en Herzliya, cerca de Tel Aviv (Israel), en 2016.
Una mujer habla por teléfono frente a la sede de NSO Group en Herzliya, cerca de Tel Aviv (Israel), en 2016.JACK GUEZ (AFP)

“Pegasus fue desarrollado por veteranos oficiales de las agencias de elite para proporcionar a Gobiernos nuevas formas de interceptación en el campo de batalla de la ciberseguridad”. NSO Group, la firma israelí que vende el programa espía más potente del mundo, exaltaba así las bondades de su sistema estrella en 2015 en un folleto dirigido a sus clientes potenciales: jefes de servicios secretos, policías y ejércitos. La carta de presentación de Pegasus revela la singularidad de una tecnología que ofrece al organismo gubernamental atacante ―NSO sostiene que solo vende a entidades públicas— distintas garantías para colarse en silencio y sin despertar sospechas. Entre ellas, una suerte de botón del pánico para “autodestruir” el virus si el intruso llega a la conclusión de que ha sido detectado.

El folleto, de uso restringido, figura entre los anexos de una denuncia presentada en 2019 por WhatsApp contra NSO Group en un juzgado de San Francisco (California) en la que la aplicación de mensajería acusaba al vendedor de Pegasus de aprovechar un fallo de seguridad para introducir el virus espía en 1.400 móviles en el mundo.

¿Qué ofrece Pegasus?

Es un programa que se instala a distancia y que es capaz de asaltar móviles con sistemas operativos Android e iOs (iPhone). Permite “en cualquier momento y lugar”escuchar llamadas, extraer la lista de contactos, rastrear videollamadas y mensajes de WhatsApp, Viber y Skype. Y también abre la puerta a monitorizar Facebook, hacer fotos y vídeos con las cámaras, conectar el micrófono y absorber el historial del navegador y el histórico de llamadas. El virus conoce al instante hasta el nivel de batería del teléfono. Puede recopilar datos sensibles, como información financiera, y robar las contraseñas del espiado. También puede husmear en el calendario o la agenda; y recabar archivos, fotos y correos. Pegasus conoce si su objetivo borra un teléfono o anula una cita de su agenda a última hora. Y avisa en el momento al atacante, eludiendo los radares de los antivirus. En definitiva: ofrece una réplica, un espejo, del terminal.

¿Pegasus sabe dónde están sus víctimas?

Sí. Cuando Pegasus conquista un móvil, el espiado comienza a llevar, sin saberlo, una suerte de baliza de seguimiento. El atacante puede conocer en tiempo real dónde se encuentra su víctima. Aparece como un muñeco en movimiento sobre un mapa. Si el espiado desconecta el GPS, Pegasus enciende el seguimiento unos segundos y lo vuelve a desactivar después para no despertar sospechas.

¿Qué hace Pegasus para ser indetectable?

El virus recurre a distintos subterfugios para que la víctima nunca se percate de su presencia. Cuando al espiado le queda menos del 5% de batería, el sistema deja de reportar datos al atacante para no agotar la carga, lo que podría llamar la atención. Si el objetivo viaja al extranjero y activa el roaming (itinerancia de datos), Pegasus solo reporta la información robada a través de wifi. Así se evita que una abultada factura por conectarse a una red extranjera haga saltar las alarmas. Además, el sistema solo hace fotos y graba vídeos sin flash.

¿Qué pasa si la víctima nota algo raro en su teléfono?

En ese caso, el atacante, para evitar ser descubierto, puede activar la “autodestrucción”: el virus desaparece del teléfono y, teóricamente, no es posible su detección posterior con un análisis forense.

¿Cómo penetra el programa en un teléfono?

Colar el agente ―eufemismo con el que NSO designa a su virus― es la fase más “sensible e importante de la operación de inteligencia”. Cada infección es “única” y personalizada. Y se desarrolla a través de varias tretas. Inicialmente, Pegasus intenta infiltrarse a distancia. El método más eficaz es el ataque zero click: basta con que el usuario tenga encendido el móvil para que pueda ser infectado a través de un fallo de seguridad de su sistema operativo o de alguna aplicación. Otra vía son los SMS y correos electrónicos trampa: mensajes personalizados que al pinchar redirigen a una web infectada. Si todo esto falla, la firma sugiere a sus clientes aprovechar algún descuido para instalar este malware manualmente (con algún agente sobre el terreno) “en menos de cinco minutos”.

¿Cuánto cuesta el programa espía?

No existe un precio fijo. NSO Group vende Pegasus a cada uno de sus clientes por una cantidad diferente. Ghana pagó ocho millones de euros en diciembre de 2015 para pinchar “25 objetivos simultáneos”. El importe contemplaba una garantía de 12 meses, derechos para introducir el virus en dispositivos locales y un curso de formación de dos semanas, según un contrato incorporado en la denuncia de WhatsApp de 2019.

El creador de Pegasus elude revelar detalles sobre sus clientes. La firma ofrecía su malware a 60 organismos públicos de 20 países el pasado año y asegura que rechazó el 15% de ventas por proceder de Estados que incumplían los derechos humanos. En 2018, la compañía reportó unos ingresos de 235 millones. Pese a las decenas de escándalos que han salpicado a NSO Group desde 2016 ―uso del sistema de espionaje para atacar a periodistas, diplomáticos y opositores en países como México o Arabia Saudí―, la firma asegura que solo ha revocado desde entonces sus licencias a una decena de clientes.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.

Sobre la firma

Joaquín Gil
Periodista de la sección de Investigación. Licenciado en Periodismo por el CEU y máster de EL PAÍS por la Universidad Autónoma de Madrid. Tiene dos décadas de experiencia en prensa, radio y televisión. Escribe desde 2011 en EL PAÍS, donde pasó por la sección de España y ha participado en investigaciones internacionales.

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_