Pegaso, el caballo alado de la mitología griega, vuelve para acechar al gobierno indio, dirigido por Narendra Modi. Diecisiete medios de comunicación, entre ellos The Wire, The Washington Post y The Guardian, llevan meses examinando una lista de 50.000 números de teléfono pertenecientes a personas de unos 50 países. Esta lista fue facilitada por la organización periodística francesa sin ánimo de lucro Forbidden Stories y por Amnistía Internacional.
Las investigaciones de las organizaciones de medios de comunicación ayudaron a identificar los posibles objetivos de estos ciberataques. Después de identificarlos, se examinaron – forzosamente – los teléfonos móviles de 67 de las personas que figuraban en la lista de objetivos. Los resultados revelaron que 37 de los teléfonos analizados mostraban señales de haber sido hackeados por el programa espía Pegasus de la empresa israelí NSO Group o, por lo menos, señales de intento de hackeo. De los 30 restantes, los resultados no fueron concluyentes, ya que o bien los propietarios habían cambiado sus teléfonos o los teléfonos eran Android, que no registran el tipo de información que ayuda a detectar estos hackeos.
Los posibles objetivos no sólo incluyen a periodistas y activistas, sino también a funcionarios de gobiernos. Se trata de 14 jefes de Estado y de Gobierno: tres presidentes (el francés Emmanuel Macron, el iraquí Barham Salih y el sudafricano Cyril Ramaphosa), tres primeros ministros en ejercicio y siete ex primeros ministros, y un rey (el marroquí Mohamed VI). Los tres primeros ministros en ejercicio son el paquistaní Imran Khan, el egipcio Mostafa Madbouly y el marroquí Saad-Eddine El Othmani. Entre los siete ex primeros ministros están el libanés Saad Hariri, el francés Édouard Philippe, el argelino Noureddine Bedoui y el belga Charles Michel, según el Washington Post.
Una vez que el malware o software malicioso se instala en el teléfono del objetivo, el programa espía no sólo proporciona acceso total a los datos del aparato, sino que también controla el micrófono y la cámara del teléfono. En lugar de un dispositivo para uso del propietario, el teléfono se convierte en un aparato que puede utilizarse para espiarlo, grabando no sólo las conversaciones telefónicas sino también las conversaciones en persona, incluyendo imágenes de los participantes. La información y los datos recogidos se transmiten luego a quienes despliegan Pegasus.
Los sucesivos ministros de Información y Tecnología de la India – Ravi Shankar Prasad y Ashwini Vaishnaw – han declarado que “el Gobierno no se ha prestado a ninguna interceptación no autorizada” en el país, según The Wire. Ambos ministros han optado por eludir las preguntas: ¿Compró el Gobierno el software de interceptación de la NSO y autorizó la interceptación de ciudadanos indios? ¿Y puede considerarse que el uso del programa espía Pegasus para infectar los teléfonos inteligentes y alterar sus funciones básicas es una autorización legal en virtud de la normativa india sobre tecnologías de la información (procedimiento y salvaguardias para la interceptación, la supervisión y el descifrado de la información) de 2009 para “interceptar, supervisar o descifrar cualquier información a través de cualquier recurso informático”?
Dejaré las cuestiones legales para aquellos que están mejor capacitados para manejarlas. En su lugar, voy a examinar los nuevos peligros que supone para el mundo el armamento del malware por parte de los Estados-nación. Pegasus no es el único ejemplo de este tipo de software; las revelaciones sobre la vigilancia de Snowden nos mostraron lo que hacen la Agencia de Seguridad Nacional (NSA) de Estados Unidos y los Gobiernos de los Cinco Ojos y arrojaron luz sobre su régimen de vigilancia integral. Estas agencias de inteligencia y Gobiernos han hackeado la infraestructura digital de otros países y han interceptado sus comunicaciones seguras e incluso han espiado a sus aliados. Ni siquiera la canciller alemana Angela Merkel se libró de la vigilancia de la NSA.
La diferencia clave entre los Estados-nación y los ciberdelincuentes que desarrollan malware es que los Estados-nación poseen muchos más recursos cuando se trata de desarrollar dicho malware. Tomemos el ejemplo de un grupo llamado Shadow Brokers, que filtró un gigabyte de exploits de software agresivo de la NSA en 2017. Al respecto, Matthew Hickey, un conocido experto en seguridad, declaró a Ars Technica en 2017: “Es muy significativo, ya que efectivamente pone las ciberarmas en manos de cualquiera que lo descargue”. El ransomware (secuestro de datos) llegó a lo grande poco después, con los casos WannaCry y NotPetya, creando estragos al utilizar los exploits del kit de herramientas de la NSA.
¿Por qué menciono las herramientas de malware de la NSA mientras hablo de Pegasus? Porque Pegasus pertenece a NSO, una empresa israelí con vínculos muy estrechos con la Unidad 8200, el equivalente israelí de la NSA. NSO, al igual que muchas otras empresas israelíes de ciberinteligencia comercial, está fundada y dirigida por ex oficiales de inteligencia de la Unidad 8200. Estos elementos – introducir habilidades y conocimientos de los estados-nación – en la esfera civil son lo que hace que este tipo de software espía sea tan peligroso.
La NSO también parece haber desempeñado un papel en la mejora de las relaciones de Israel con dos petro-monarquías del Golfo, los Emiratos Árabes Unidos (EAU) y Arabia Saudita. Por lo tanto, Israel considera que la venta de programas espía a estos países es una extensión de su política exterior. Los EAU y Arabia Saudita han utilizado ampliamente Pegasus para atacar a diversos disidentes nacionales e incluso a críticos extranjeros. El ejemplo más conocido, por supuesto, es el de Jamal Khashoggi, disidente saudí y columnista del Washington Post, asesinado en el consulado saudí de Estambul.
La capitalización bursátil de NSO ronda los 2.000 millones de dólares, lo que la convierte en una de las empresas civiles de ciberinteligencia más caras. Sus herramientas son aterradoras, ya que no parece haber ninguna protección contra ellas. La mayoría de estas herramientas están clasificadas como ciberarmas y requieren la aprobación del Gobierno israelí para su exportación, lo que demuestra una vez más el vínculo entre el estado israelí y la NSO.
La otra razón por la que el software espía Pegasus es tan peligroso es que no necesita ninguna acción por parte del propietario de un teléfono para que el aparato sea hackeado por el software espía. La mayoría de las infecciones de dispositivos tienen lugar cuando la gente hace clic en un enlace que se le envía por correo electrónico/SMS, o cuando va a un sitio y hace clic en algo allí. Pegasus se aprovechó de un problema de seguridad de WhatsApp y fue capaz de hackear un teléfono a través de una simple llamada perdida. Basta un timbre para que el programa espía de Pegasus se instale en el teléfono. Esto se ha ampliado ahora al uso de otras vulnerabilidades que existen en iMessage, WhatsApp, FaceTime, WeChat, Telegram y otras aplicaciones que reciben datos de fuentes desconocidas. Todo esto significa que Pegasus puede comprometer un teléfono sin que el usuario tenga que hacer clic en un solo enlace. En la comunidad cibernética, esto se denomina exploits de clic cero.
Una vez instalado, Pegasus puede leer los mensajes, los correos electrónicos y los registros de llamadas del usuario; puede hacer capturas de pantalla, registrar las teclas pulsadas y recoger el historial del navegador y los contactos. Se exfiltra – es decir, envía archivos – a su servidor. Básicamente, puede espiar todos los aspectos de la vida de un objetivo. Cifrar los correos electrónicos o utilizar servicios de cifrado como Signal no disuadirá a Pegasus, que puede leer todo lo que el usuario de un teléfono infectado lee, o capturar lo que escribe.
Mucha gente utiliza iPhones creyendo que son más seguros. La triste verdad es que el iPhone es tan vulnerable a los ataques de Pegasus como los teléfonos Android, aunque de forma diferente. Es más fácil averiguar si un iPhone está infectado, ya que registra lo que hace el teléfono. Como los sistemas Android no mantienen esos registros, Pegasus puede ocultar mejor sus rastros.
En una entrevista con The Guardian publicada el 19 de julio, “después de las primeras revelaciones del Proyecto Pegasus”, Snowden describió a los desarrolladores de malware con fines de lucro como “una industria que no debería existir… Si no se hace nada para detener la venta de esta tecnología, no van a ser sólo 50.000 objetivos. Van a ser 50 millones de objetivos, y va a ocurrir mucho más rápido de lo que cualquiera de nosotros espera”. Pidió una prohibición mundial inmediata del comercio internacional de software espía.
La respuesta de Snowden de prohibir la venta de estos programas espía no es suficiente. En su lugar, debemos considerar la desarmonización de todo el ciberespacio, incluido el software espía. La avalancha de ciberataques recientes – que se calcula que son decenas de miles al día – es un riesgo para la ciberinfraestructura de todos los países de la que dependen todas sus instituciones. Tras la filtración de las ciberarmas de la NSA y la CIA, y ahora con el uso indiscriminado de Pegasus por parte de la NSO, deberíamos preguntarnos si realmente se puede confiar en que los Estados-nación desarrollen este tipo de armas.
En 2017, Brad Smith, el presidente de Microsoft (no un pacifista o izquierdista), escribió: “En repetidas ocasiones, los exploits en manos de los Gobiernos se han filtrado al dominio público y han causado daños generalizados”. Esta es la preocupación que algunas empresas líderes del sector – Microsoft, Deutsche Telekom y otras – habían planteado en 2017, pidiendo una nueva Convención de Ginebra digital que prohíba las ciberarmas. Rusia y China también han hecho peticiones similares en el pasado. Fue rechazada por Estados Unidos, que consideraba que tenía una ventaja militar en el ciberespacio, algo que no debía desaprovechar.
Pegasus es un recordatorio más del peligro que supone el desarrollo de ciberarmas por parte de los Estados-nación. Aunque en este caso no se trata de una filtración, sino del uso deliberado de una tecnología peligrosa para el beneficio privado, lo que supone un riesgo para los periodistas, los activistas, los partidos de la oposición y, finalmente, para la democracia. Es solo cuestión de tiempo que los teléfonos inteligentes que llevamos encima se conviertan en vectores de ataque a la propia ciberinfraestructura de la que todos dependemos.