Pegasus: el software espía de los Estados

Pegasus es una creación de la corporación israelí NSO Group, el fabricante de software espía más relevante del mundo. Se trata de una potente herramienta que aprovecha vulnerabilidades críticas para atacar a los teléfonos móviles a distancia, de forma que se puede acceder a todo su contenido, incluso activar en segundo plano componentes como la cámara o el micrófono.

NSO Group tiene su origen en CommuniTake Technologies LTD, una empresa israelí que, en su origen, ofrecía a los trabajadores de soporte técnico de teléfonos móviles la capacidad de tomar el control de los dispositivos para arreglarlos, con autorización de los clientes, o eso se supone.

Durante años, las fuerzas del orden y las agencias de inteligencia habían sido capaces de interceptar las comunicaciones en tránsito, pero con la encriptación de los dispositivos se volvió imposible. Podían interceptar una llamada, pero no podían entender lo que decían. Con la tecnología de CommuniTake podían recopilar los datos antes de que se cifraran. Todo lo que necesitaban era encontrar una forma de hacerlo sin permiso. Y así nació NSO.

La mayoría de miembros del equipo de investigación de NSO Group son veteranos de los servicios de inteligencia israelí; la mayoría de ellos sirvieron en AMAN, el Directorio de Inteligencia Militar de Israel, la agencia más grande en la comunidad de espionaje israelí, y muchos de ellos en la Unidad 8200, que solo acepta a un puñado de los reclutas más brillantes y los entrena en los métodos más avanzados de programación de armas cibernéticas. Hay pocas personas en el mundo con tal capacitación.

En el año 2011, los ingenieros de NSO terminaron la primera versión de Pegasus. Los países europeos inicialmente desconfiaron de NSO, preocupados por el hecho de que contrataran a exfuncionarios de los servicios de inteligencia de Israel; los clientes potenciales de NSO temían que su software espía pudiera permitir al Mossad acceder a sus sistemas de información.

Para ganarse la confianza internacional, la empresa nombró como Presidente al general israelí Avigdor «Yanush» Ben-Gal, héroe de la guerra de Yom Kippur y superviviente del Holocausto, quien estableció los pilares de la compañía: los productos de NSO se venderían solo a gobiernos, nunca a individuos o empresas; serían selectivos sobre a qué gobiernos permitirían usar el nuevo software; y cooperarían con la Agencia de Control de Exportaciones de Defensa de Israel (DECA) para autorizar cada venta. Esta última es una falsa concesión, pues al igual que con los proveedores de armas convencionales, los fabricantes de armas cibernéticas deben obtener licencias de exportación del Ministerio de Defensa de Israel para vender sus herramientas en el extranjero, lo que proporciona una palanca crucial para que el gobierno influya en las empresas y en los países que les compran dichas armas.

Pegasus al servicio de gobiernos

NSO tuvo rápidamente su primera oportunidad: México. En su batalla contra los cárteles de la droga estaba buscando formas de piratear el servicio de mensajería cifrada de BlackBerry.

El Ministerio de Defensa de Israel informó a NSO de que no había inconveniente con la venta de Pegasus a México. Los investigadores del Centro de Investigación y Seguridad Nacional (CISEN), ahora llamado Centro Nacional de Inteligencia, se pusieron a trabajar con Pegasus y pronto consiguieron interceptar las llamadas del Cártel de Sinaloa, llegando hasta su líder, Joaquín Guzmán Loera, conocido como «El Chapo». El narcotraficante más importante del mundo, quien cumple cadena perpetua en una prisión de máxima seguridad de Estados Unidos. 

En el año 2017, investigadores de Citizen Lab Research Laboratory, un grupo de vigilancia de la red con sede en la Escuela Munk de Asuntos Globales de la Universidad de Toronto (Canadá), informaron de que las autoridades de México habían utilizado Pegasus para espiar a los abogados que trabajaban para desentrañar la masacre de 43 estudiantes de la Escuela Normal Rural de Ayotzinapa en octubre de 2014.

No fue un caso aislado. El periodista Cecilio Pineda Brito fue asesinado en marzo de 2017, después de que la policía le acusara de pertenecer a un cartel de la droga local, también fue objetivo de Pegasus como «potencial objetivo a vigilar». El mismo grupo ha denunciado que El Salvador utilizó Pegasus para atacar a miembros de la prensa.

No hay evidencia directa de que los contratos de México con NSO provoquen un cambio en la política exterior del país hacia Israel, pero si se advierte un cambio de actitud. Así, tras una larga tradición de votar en contra de Israel en las conferencias de las Naciones Unidas, México ha comenzado a cambiar el «no» por «abstenciones».

Panamá también empleó Pegasus. En agosto de 2009, el nuevo presidente, Ricardo Martinelli, recién salido de una campaña presidencial basada en la promesa de eliminar la corrupción política, trató de persuadir a los diplomáticos estadounidenses para que le entregaran equipos de vigilancia para espiar amenazas a la seguridad, así como a opositores políticos, según un cable del Departamento de Estado publicado por WikiLeaks. Estados Unidos rechazó la petición de Martinelli, argumentando que no serían parte de ningún esfuerzo para expandir las escuchas telefónicas a objetivos políticos nacionales.

Ante el rechazo de Estados Unidos, Martinelli cambio de estrategia para acercarse a Israel. Panamá fue uno de los seis países en la Asamblea General de las Naciones Unidas que respaldó a Israel en contra de una resolución para mantener en la agenda internacional el informe de la Comisión Goldstone sobre los crímenes de guerra cometidos durante el ataque israelí a Gaza en 2008 y 2009. Una semana después de la votación, Martinelli aterrizó en Tel Aviv para apoyar al presidente israelí Shimon Peres. Poco después, Martinelli disponía de Pegasus.

Israel autorizó en 2013 la venta del sistema a los Emiratos Árabes Unidos, a modo de tregua, después de que agentes del Mossad envenenaran a un espía de Hamas en una habitación del hotel Al Bustan Rotana de Dubai en 2010.

Los Emiratos no dudaron en desplegar Pegasus contra sus enemigos domésticos. Uno de los primeros fue Ahmed Mansoor, activista por los derechos humanos y ganador del Premio Martín Ennals para Defensores de los Derechos Humanos. El 29 de mayo de 2019, Mansoor fue condenado por publicar «información falsa, rumores y mentiras sobre los Emiratos Árabes Unidos» en Facebook y Twitter. La condena consistió en diez años de prisión y una multa de un millón de dírhams de los Emiratos Árabes (unos 270.000 $). Su apelación fue rechazada el 31 de diciembre de 2018. Desde su encarcelamiento, Mansoor ha languidecido en régimen de aislamiento.

El 17 de septiembre de 2021, el Parlamento Europeo aprobó una resolución pidiendo a los Emiratos Árabes Unidos la liberación inmediata e incondicional de Ahmed Mansoor y de todos los defensores de los derechos humanos, activistas políticos y disidentes pacíficos, declarando que las autoridades emiratíes «violaron los derechos de Ahmed Mansoor con arrestos y detenciones arbitrarias, amenazas de muerte, agresiones físicas, vigilancia gubernamental y trato inhumano bajo custodia».

No es el único caso de abuso. El Alto Tribunal de Londres ha sentenciado, recientemente, que el emir de Dubái, Mohammed sin Rashid al Maktum, ordenó el espionaje de su exesposa, la princesa Haya de Jordania, y su abogada, Fiona Shackleton, encargada de su defensa en el proceso de divorcio que se sigue bajo la jurisdicción británica. Tras ese descubrimiento NSO puso fin al contrato con los Emiratos Árabes Unidos.

Arabia Saudita también dispone de Pegasus. Lo uso para espiar al periodista Jamal Khashoggi, a quien agentes saudíes mataron y desmembraron en el Consulado de Arabia Saudita en Estambul en 2018. Israel vetó el uso de Pegasus a Arabia Saudita.

En julio de 2017, el primer ministro de India, Narendra Modi, visitó Israel. Durante décadas, India había mantenido una política de lo que llamaba «compromiso con la causa palestina». Las relaciones con Israel eran frías, pero la visita de Modi a Tel Aviv y su reunión con el primer ministro israelí Netanyahu cambió las cosas. Sus países acordaron la venta de un paquete de armas sofisticadas y equipos de inteligencia por un valor aproximado de dos mil millones de dólares, incluido Pegasus. En junio de 2019, India votó a favor de Israel en las Naciones Unidas.

El uso indebido de Pegasus por parte de las autoridades de India no ha pasado desapercibido y el Tribunal Supremo de India ha abierto una investigación sobre el presunto uso del software israelí para labores de espionaje contra periodistas, opositores y activistas, entre otros.

El presidente francés, Emmanuel Macron, el ex primer ministro Édouard Philippe y otros políticos franceses, así como periodistas y activistas galos figuran entre las víctimas o afectados potenciales del programa israelí utilizado por los servicios de seguridad de Marruecos. Una investigación reciente de Amnistía Internacional ha revelado que la destacada activista de Derechos Humanos saharaui Aminetu Haidar también fue espiada por Marruecos a través de Pegasus, así como el historiador Maati Monjyb, el abogado Abdessadak El Bouchattaoui y los periodistas Omar Radi y Hicham Mansouri.

Polonia también está en el punto de mira. Amnistía Internacional asegura tener pruebas de que emplearon Pegasus para interceptar las comunicaciones del senador polaco Krzysztof Brejza cuando se presentó a las elecciones parlamentarias de 2019 por un partido de oposición.

Pegasus en España

España no va a ser la excepción. Según una investigación de The Guardian y El País publicada en 2020, el móvil del expresidente del Parlament de Cataluña Roger Torrent fue objetivo del programa espía Pegasus a través de un fallo de seguridad de WhatsApp.

Amnistía Internacional publicó en agosto de 2021 una lista de víctimas de Pegasus en España. Son personas afines al independentismo catalán. Entre ellas se encuentran Elisenda Paluzie, expresidenta de la Assemblea Nacional Catalana, la periodista Meritxell Bonet, pareja de Jordi Cuixart, activista y expresidente de la asociación catalana Òmnium Cultural, condenado por el Tribunal Supremo por sedición, y Jordi Sànchez, expresidente de la Assemblea Nacional Catalana, condenado por el mismo cargo, si bien ambos fueron indultados.

Citizen Lab también ha publicado una lista de personas espiadas con Pegasus. Son más de sesenta personas, vinculadas con el independentismo en Cataluña. Entre ellas, se encuentra el president de la Generalitat, Pere Aragonès, todos sus antecesores en el cargo en la última década, miembros y exmiembros del Govern, diputados del Parlament y del Congreso, activistas, abogados, profesores universitarios…

El 2 de mayo de 2022, el Gobierno de España informó que el teléfono móvil del Presidente del Gobierno y de la Ministra de Defensa fueron atacados con Pegasus en mayo y junio de 2021, respectivamente. Todas las sospechas señalan a Marruecos, tras las desavenencias surgidas entre los dos países a cuenta del Sáhara, el Frente Polisario y la crisis migratoria, que se acrecentó por aquellas fechas. Marruecos no ha respondido a las acusaciones de espionaje. El 10 de mayo de 2022, el Gobierno confirmó el ataque y añadió un tercer teléfono: el del Ministro de Interior, que fue atacado en junio de 2021. Asimismo, el Centro Criptológico Nacional confirmó un intento fallido del terminal del Ministro de Agricultura y ex embajador en Marruecos. La Audiencia Nacional se ocupa de la investigación.

ERC, EH Bildu, PDeCAT, Junts y la CUP, con dirigentes y diputados espiados entre sus filas, así como Unidas Podemos, PNV, Más País y Compromís pidieron una comisión de investigación pública en el Congreso, que fue rechazada con los votos en contra de PSOE, PP, Vox y Cs.

Quien compareció, en la Comisión de Secretos Oficiales del Congreso de los Diputados, fue Paz Esteban, Directora del Centro Nacional de Inteligencia (CNI), que reconoció que Pere Aragonès y otros diecisiete dirigentes independentistas fueron espiados con Pegasus, pero con autorización judicial.

Pocos días después de su comparecencia, el Gobierno anunciaba, sin explicación alguna, la “sustitución” de Paz Esteban al frente del CNI y el nombramiento de Esperanza Casteleiro como sustituta. Algunos apuntan que dicho cese responde a las presiones de los grupos independentistas, socios del Gobierno de Pedro Sánchez, quienes no estando satisfechos pidieron el cese de Margarita Robles. En tal sentido, el Parlament de Cataluña aprobó una moción registrada por ERC, con los votos a favor de Junts y la CUP y la abstención de Catalunya en Comú, instando el cese inmediato de la Ministra de Defensa, aunque no parece que vaya a tener efectos.

Lo que no queda claro es quien espió al resto de afines al independentismo en Cataluña. Hay quien señala a las Fuerzas y Cuerpos de Seguridad del Estado, si bien el Presidente del Gobierno negó en el Congreso, en respuesta a preguntas del PNV, que la Guardia Civil y la Policía Nacional dispongan de Pegasus. La respuesta del Presidente del Gobierno coincide con una declaración pública del Ministerio del Interior Fernando Grande-Marlaska.

El Ministerio del Interior se limita a admitir el uso del sistema de escuchas SITEL, siempre bajo mandato judicial. Si la Policía Nacional y la Guardia Civil no disponen de Pegasus, las opciones se reducen prácticamente a una: el Centro Nacional de Inteligencia (CNI) que depende del Ministerio de Defensa. Eso si los ataques no proceden del exterior. Sea como fuere, el tema sigue sin aclararse y no parece que se vaya a aclarar.

Según algunas fuentes, como el periódico británico The Guardian, unos doscientos móviles de ciudadanos españoles habrían sido seleccionados como objetivos de vigilancia.

Las autoridades comunitarias se pronuncian

El EDPS (European Data Protection Supervisor) ha emitido un informe respecto al uso de Pegasus, señalando que su uso «supone un nivel de intrusismo sin precedentes, que amenaza la esencia del derecho a la privacidad, en tanto en cuanto el software espía puede interferir con los aspectos más íntimos de nuestras vidas diarias».

Dicho informe también advierte que: «Dado que las características técnicas específicas de los programas espía como Pegasus dificultan enormemente el control de su uso, tenemos que replantearnos todo el sistema de salvaguardias establecidas para proteger nuestros derechos fundamentales y libertades que están en peligro con estos instrumentos». El informe admite que Pegasus es difícil de detectar.

El incierto futuro de Pegasus

Desde las revelaciones de 2013 de Edward Snowden -informante y antiguo empleado de la Agencia Central de Inteligencia (CIA) y de la Agencia de Seguridad Nacional (NSA)- sobre la vigilancia de los ciudadanos estadounidenses por parte del gobierno de Estados Unidos pocos debates han sido más tensos que aquellos sobre el alcance adecuado del espionaje doméstico y el equilibrio entre privacidad y seguridad nacional.

Israel -siempre cauteloso con Estados Unidos- pidió a NSO que programara Pegasus para que fuera incapaz de apuntar a los números estadounidenses. Para superar las limitaciones impuestas por el gobierno de Israel, NSO ofreció al FBI, la agencia de investigación criminal del Departamento de Justicia de Estados Unidos, un sistema alternativo llamado Phantom. Su presentación no estuvo exenta de polémicas, enfrentando al FBI y al Departamento de Justicia del cual depende. Tras dicho enfrentamiento, el FBI decidió no desplegar las armas de NSO.

Las autoridades de Israel reaccionaron como si la prohibición fuera un ataque al propio Estado. La ira de los israelíes se debió a la hipocresía de Estados Unidos: la prohibición estadounidense se produjo después de años de probar en secreto los productos de NSO y ponerlos en manos de al menos un país, Yibuti, que no destaca por su respeto a los derechos humanos.

La reputación de las grandes tecnológicas se ha puesto en tela de juicio, pues NSO ha evidenciado las vulnerabilidades de sus dispositivos y aplicaciones. Apple ha demandado a NSO para exigir responsabilidades por vigilancia y ataque selectivo a sus usuarios. No ha sido la única demanda. Facebook (hoy, Meta Platforms Inc.) les ha demandado por hackear los teléfonos de particulares a través de su aplicación de mensajería instantánea WhatsApp, que está instalada en más de 1.500 millones de teléfonos en el mundo. Will Cathcart -el jefe de WhatsApp- indicó a The Washington Post que el ataque había provocado un factor inquietante al dirigirse a «al menos cien activistas de los derechos humanos, periodistas y otros miembros de la sociedad civil».

En diciembre de 2021, el asesor de seguridad nacional de la Casa Blanca Jake Sullivan, llegó a Israel para reunirse con funcionarios israelíes sobre una de las principales prioridades de política exterior de la administración Biden: lograr un nuevo pacto nuclear con Irán después de que el presidente Trump echara por tierra el acuerdo original. Pero había otro asunto que Israel querían discutir: el futuro de NSO, que había sido vetado en Estados Unidos.

En junio de 2017, la firma de capital privado Francisco Partners puso a la venta su 70 por ciento de la compañía.​ Los fundadores de NSO, Omri Lavie y Shalev Hulio, en asociación con el fondo de capital privado europeo Novalpina Capital, compraron una participación mayoritaria en NSO en febrero de 2019, pero las cosas no marchan bien para la compañía. Su presidente, Asher Levy, dimitió y algunos inversores se están desprendiendo de sus participaciones. 

Dice un refrán que «a río revuelto, ganancia de pescadores»; pues bien, un fondo de inversiones americano ya ha mostrado su interés en adquirir la compañía. Si el nuevo propietario es afín al gobierno de Estados Unidos podrá potencialmente alinear a la compañía con las regulaciones estadounidenses y comenzar a vender sus productos a la CIA, el FBI y otras agencias estadounidenses ansiosas por el poder que ofrecen las armas de NSO.

Fuentes fidedignas afirman que tanto Rusia como China, que están en la élite del espionaje, no usan a NSO, lo que no quita que tengan sus propios sistemas de spyware.

Las armas cibernéticas han cambiado las relaciones internacionales de forma tan profunda como la bomba atómica en la Segunda Guerra Mundial. Son armas comparativamente baratas, se distribuyen fácilmente y se pueden implementar sin consecuencias para el atacante. Lidiar con su proliferación está cambiando radicalmente la naturaleza de las relaciones estatales, como Israel descubrió hace mucho tiempo.

Pegasus no es la única herramienta de espionaje. Hay otras muchas, como Predator, un sistema de la empresa Cytrox, de características similares a las de Pegasus. Según las investigaciones de Citizen Lab esta herramienta ha podido ser utilizada por Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.

Otro programa spyware con las mismas ventajas que los citados es Reign, de la empresa israelí QuaDream, rival de NSO Group, cuya existencia se reveló durante el año 2021.

También está Candiru, una empresa de seguridad informática israelí fundada en 2014 y reconocida como una de las empresas de ciberespionaje más avanzadas.

El uso de las nuevas tecnologías y la aplicación de la Inteligencia Artificial exige un debate ético, incluso en el ámbito militar y de al seguridad nacional. No todo vale.

PEGASUS-350x219 Pegasus: el software espía de los Estados

Javier Casal Tavasci
Abogado con más de veinte años de ejercicio profesional. Máster por la Universidad Pontificia Comillas (ICADE) en Asesoría Jurídica de Empresas y Asesoría Fiscal, Máster en Gestión y Dirección Laboral por la Universidad de Vigo y Curso Experto en Compliance Officer por la Universidad Antonio de Nebrija. Responsable de la consultora PROTECCIÓN DATA, especializada en seguridad de la información y programas de cumplimiento normativo. Autor de más de 350 artículos sobre protección de datos (https://protecciondata.es/blog/)

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.