Este software espía puede ser fácilmente introducido en un ‘smartphone’. Basta llamar al número, aunque no se conteste. Su licencia cuesta USD 1 millón, por lo que no se utiliza contra gente común.
El Gobierno español denunció que los celulares del presidente Pedro Sánchez, y de la ministra de Defensa, Margarita Robles, fueron infectados en 2021 con el programa Pegasus y se sustrajeron datos de los aparatos.
El software intruso fue diseñado por la empresa israelí NSO Technologies y es vendido sobre todo a gobiernos, en teoría, para combatir el terrorismo y el crimen.
El experto en ciberseguridad Fernando Negrete explica que Pegasus funciona mediante vulnerabilidades que se encuentran en un sistema y que se conocen como ‘zero day’. Son llamadas así porque el fabricante tiene “cero días para proteger a sus usuarios”.
Pegasus aprovecha errores de programación, que pueden darse en cualquiera de los servicios de un teléfono -mensajería instantánea, SMS, FaceTime, etc.- sin necesidad de que el usuario pulse en ningún enlace o descargue nada. Son “vulnerabilidades de ejecución remota de código”. Una vez que el móvil está infectado, el ‘hacker’ es capaz de detectar la ubicación, entrar en sus aplicaciones, grabar conversaciones, acceder a correos electrónicos, lista de contactos, fotos y videos, leer sus mensajes o accionar a distancia la cámara para tomar imágenes.
Pero no todos los teléfonos son igualmente vulnerables: por ejemplo, los iPhone son más difíciles de ‘hackear’ que los Android, al tener este último un ecosistema basado en código abierto, afirma Negrete.
El ingeniero informático insiste en que es muy poco probable que los teléfonos de ciudadanos anónimos sufran este tipo de ataques tan sofisticados. Ello porque es una amenaza avanzada, dirigida a objetivos muy concretos y generalmente tiene un precio elevado.
El costo del software intruso asciende a USD 1 millón. Por este costo de la licencia, Pegasus no se utiliza contra el común de las personas, salvo que estén en la mira de un gobierno, organizaciones terroristas o por algún otro motivo de peso. Sin embargo, no se puede descartarlo completamente en ciertas actividades, como utilizarlo contra trabajadores de una empresa estratégica, multinacional o periodística. También tiene riesgo de ser espiada la familia de una persona con visibilidad social.
Existen algunas pautas para evitar posibles ‘hackeos’. Entre ellas: desactivar funciones y borrar aplicaciones que no se usan, o reiniciar el teléfono más a menudo.
¿Cómo detectar Pegasus en Android e iOS?
Los antivirus no pueden detectar el software espía pero se puede usar la aplicación MVT (Mobile Verification Toolkit) en un ‘smartphone’ Android e iOS. Su código fuente se encuentra disponible en la plataforma de desarrollo colaborativo GitHub. Como buen malware, Pegasus está diseñado para no ser detectado por los medios tradicionales, perola ‘app’ MVT puede hacerlo. El problema es que realmente no hay soluciones estándar ya listas para la instalación rápida de la aplicación. Para poder instalar MVT es necesario realizar la compilación para un dispositivo específico y este procedimiento solo puede hacerse en una computadora con sistema operativo Linux o macOS.
Lo que se debe hacer es conectar el teléfono que se crea infectado con Pegasus a una computadora. La aplicación guarda una copia de seguridad de los datos del ‘smartphone’ en el dispositivo, escanea todos los datos y comprueba si el teléfono tiene el software espía Pegasus, e informa al usuario si la información de su móvil podría verse comprometida y transferida.
Pegasus no es nuevo
El uso policial del software espía lo inició la Policía de Israel en 2015 para detectar la actividad de grupos armados. LuegoPegasus estuvo implicado en 2016 en un ataque contra el activista de derechos humanos Ahmed Mansoor; y en 2018 fue usado para atacar a 12 periodistas que investigaban al presidente de México. La forma más simple que tiene Pegasus para entrar a un móvil es a través de una llamada; lo peor es que puede entrar al móvil sin que ni siquiera se conteste la llamada, basta con recibirla, como han confirmado expertos de seguridad y la propia WhatsApp.