Aritz Intxusta
Redactor de actualidad
Entrevista
Eva Rodríguez de Luis
Ingeniera experta en nuevas tecnologías

«Pegasus se usa con políticos. La gente ya está monitorizada por Google o Facebook»

Eva Rodríguez de Luis es ingeniera experta en nuevas tecnologías. Editora de Xataka, la web más leída sobre sobre ciencia y TIC en castellano, expone a GARA las limitaciones de seguridad y privacidad de los dispositivos que usamos a diario.

Eva Rodríguez de Luis.
Eva Rodríguez de Luis. (Iñigo URIZ)

¿Qué es Pegasus?

Pegasus es spyware, una aplicación de espionaje. Se instala en el móvil desde algún enlace aprovechándose de las vulnerabilidades de tu movil, es decir, de fallos y grietas de tu sistema operativo. Después, continúa operando en segundo plano para permitir espiar remotamente qué estás haciendo a través de tu dispositivo personal. Funciona como una especie de control remoto. El atacante puede dar órdenes a tu móvil para que activa esta u otra función. Para que te hagas a la idea, podría decirle que lea los mensajes de texto, o las llamadas, que obtenga contraseñas, que te localice a través del GPS, robarte las fotografías, acceder a tus redes sociales, leer conversaciones en Whatsapp o Telegram…

¿Pero cómo te infectan, cómo pueden meterse ahí dentro?

Hay que entender que todos los sistemas operativos de los móviles, todos los programas tienen vulnerabilidades. Todos. En muchas ocasiones te habrá aparecido que abres un programa y te salta el aviso: «Este programa se ha cerrado por un error, ¿quiere informar de ello?». Esto evidencia que existen fallos. Antes de salir al mercado, los programas se testan, pero ningún test puede sustituir a la experiencia de los usuarios. Normalmente, es ahí cuando afloran los problemas y los fallos se van subsanando. Pero, lógicamente, también hay profesionales de buscar esos fallos para aprovecharse de ellos. Algunos de ellos se dedican a crear spyware para convertir esos fallos en grietas. Los fallos que emplea Pegasus u otro programa similar se desconocen. Cuando se detecta el cómo ha entrado se reporta y el fallo se subsana. Por eso a los dueños de Pegasus no les interesa que se sepa, es un secreto. De otra forma, la puerta se cerraría. 

«Todos los sistemas operativos de los móviles y todos los programas tienen vulnerabilidades».



¿Ni siquiera hay rumores?

Lo lógico sería que entraran a través de mensajería instantánea, pero se comenta también que podrían ser llamadas de Whastapp o de iMessage, el servicio de mensajería de los teléfonos de Apple. 

¿Puede un usuario normal, sin conocimientos en la materia, comprobar si su móvil ha sido infectado por Pegasus?

La herramienta Pegasus se usa a nivel político, dado que la usan los Gobiernos. La desarrolló NSO Group, una empresa israelí que se dedica a estas cosas. No se publica quién los contrata y a quién quiere espiar, pero lo normal es pensar que solo se emplea con políticos o personas con gran perfil social. Nadie está a salvo, pero la gente corriente  estamos ya muy monitorizadas por grandes corporaciones, como Google o Facebook. Pero si alguien quiere salir de dudas, hay un modo. Existe una aplicación para hacer esta comprobación y que fue desarrollada por Amnistía Internacional. Se llama Mobile Verification Toolkit y la puedes encontrar gratis y en código abierto en su web. Lo que tienes que hacer es instalarla en el ordenador, conectar el movil para que pueda hacer la verificación y analizarlo. 

Allá verías si alguien te ha espiado empleando las vulnerabilidades que se sabe que aprovechó determinado spyware. 

Así verías si alguien empleó una vulnerabilidad que se asocia a spywares, entre ellos, Pegasus. En 2018, con este tipo de software entraron en el teléfono de Jeff Bezos, el dueño de Amazon. Descubrieron que tenía una amante. De entonces a esta parte, cabe preguntare si ese Pegasus sigue operativo. No lo sabemos. NSO Group, en su página web, no hace ninguna referencia a su utilización. Las noticias hacen pensar de que sigue evolucionando hacia una versión cada vez más silenciosa. 

La experiencia que se tiene a pie de calle cuando alguien trata de conseguir un número de cuenta o algo así o quieren hackear el ordenador para pedirte un rescate, es que te llega un mensaje con un texto para que piques. Entiendo que  el funcionamiento de una herramienta así no es tan burdo.

Son ataques dirigidos, está claro. No sabemos si llega de forma directa o a través de redes de contactos. El phising no se dirige. 

«Para el phising se pueden dar indicaciones, para esto no. Habría que meter el móvil en una caja».


¿Podemos nosotros protegernos de un ataque así?

No sabemos cómo llega. Para el phising se pueden dar una indicaciones, para esto no. Habría que meter el móvil en una caja. 


Desde Cataluña se pone en tela de juicio la afirmación del Gobierno. 

Leí que cuando se filtró el espionaje a Catalunya se apuntó al CNI. En esta vez se habla de una vulneración externa. En esta vez se habla de una vulneración externa, de una incursión ilícita y externa. Si es intento es casi la antesala del golpismo y si el NSO Group solo vende su programa a países, lo que se le ha abierto es una crisis diplomática seria. 

Entiendo que un móvil infectado por Pegasus o por Candiru, que es otra empresa israelí, debe enviar la información por algún camino hasta quién lo ha lanzado. ¿Se puede saber hacia dónde va?

Se puede saber la cantidad que se ha robado, pero no se sabe qué ni hacia dónde ha ido. Hará falta una investigación. 

¿Algún sistema operativo es más seguro?

Hay mayores cuotas de mercado en unos sistemas que en otros. Windows y Android  se usan mucho más que iOS, Linux o Mac. Eso hace más fácil que si una persona quiere desarrollar algo contra esos sistemas se incline hacia los más usados. Simplemente porque uno se pone a pescar donde hay más peces. Apple muestra algo más de cuidado hacia los datos, pero hay que cogerlo con pinzas, porque ha ido ajustando sus políticas con el tiempo y en función del país. Diría que, por ser minoritarias, Apple y Linux tienen una ventaja. Diría que Linux por ser una comunidad más pequeña y por el elevado nivel de conocimiento de sus usuarios.

«Diría que Linux es lo mas seguro por ser una comunidad más pequeña y por el elevado nivel de conocimiento de sus usuarios»



Citizen Lab ha puesto sus datos en abierto para verificar los análisis realizados. El Estado no enseña nada. 

No, no lo ha hecho. Y además, cabe preguntarse cómo le ha costado un año el darse cuenta de estas infecciones. Las sensación que da todo es extraña. O no se han hecho los deberes o hay datos que no se conocen. Frente a Citizen Lab que tiene todo abierto, sobre lo que está haciendo el CCN (Centro Criptológico Nacional) alguien ha corrido un tupido velo. Faltan cosas. No digo que alguien haya hecho algo mal, quizá faltan herramientas… Pero un año para darse cuenta es mucho tiempo. 

Si se tira de hemeroteca, hay otros dirigentes, como Macron, Boris Johnson o primer ministro pakistaní, todos ellos potencias nucleares, de quienes se han publicado sucesos similares, con la particularidad de que estos países jamás lo han confirmado. Se está admitiendo, a fin de cuentas, una debilidad de los servicios de seguridad del Estado. 

Las incursiones con Pegasus, además, se han centrado en teléfonos institucionales. Con el fin de garantizar la seguridad de los dispositivos, Seguridad Nacional entrega un móvil encriptado que se somete a controles rutinarios y periódicos. En este caso, parece que no identificaron los ataques. 

Del 1 al 10, siendo el 10 que les pillan, ¿qué posibilidades da de que, si el espionaje es real, el Gobierno español sea capaz de encontrar a quien espió estos móviles?

Estoy casi segura que no los van a encontrar. Si lo hicieran y es otro país, resultará complejo que lo admitan en público pues se abriría un problema diplomático. Y si el origen final fuera interno... a saber quién es.