El escándalo del espionaje suma novedades cada día y todo gira en torno al famoso software producido por la empresa israelí NSO Group, en boca de todos. Pegasus, curiosamente, ni siquiera aparece en la página web oficial de la compañía. Hace tiempo se promocionaba como una herramienta solamente disponible para gobiernos.

La logística que hay detrás de una intervención que significa la toma de control total del dispositivo telefónico es compleja y no se sabe mucho al respecto. Los acuerdos son secretos y tocan intereses muy sensibles, pero, además, implican mucho dinero.

«Ellos tienen un modelo de negocio muy bien planteado», explica a GARA el informático y especialista en ciberseguridad Vicente Aguilera Díaz, socio fundador de INT Security: «El coste del servicio va en función de las versiones del programa, tienen varias. Utilizan un packaging en función del teléfono a intervenir y el precio se negociará en función del volumen [de dispositivos] que se quiera monitorizar».

Preguntado por los precios, responde que «puede llegar a costar hasta un millón de euros, aunque también se ha hablado de 600.000. No se puede decir una cifra exacta porque hay cambios y también depende del dispositivo y la versión de Pegasus; las últimas van incorporando más funcionalidad para intentar pasar más desapercibidas, se van sofisticando. Pero sí, hablamos de cifras altísimas, costes que solo pueden pagar gobiernos o muy grandes empresas».

La directora del CNI, Paz Esteban, dijo el jueves en la Comisión de Gastos Reservados que hubo un espionaje a 18 políticos soberanistas bajo supervisión judicial, según lo trascendido tras la reunión a puerta cerrada. Por lo que explica Aguilera Díaz, solo tomando como cierta esa afirmación de Esteban, se estaría hablando de una operación de no menos de nueve millones de euros.

Si lo publicado por el grupo de expertos CitizenLab de la Universidad de Toronto fuera cierto y se tratara de 60 dispositivos intervenidos, la cifra superaría los 30 millones de euros como mínimo, y eso en el cálculo más conservador.

Gobierno israelí: a quién sí, a quién no

Aguilera Díaz señala también que «en teoría» las autoridades de Israel «probablemente validan o autorizan» la utilización de Pegasus. «Aunque es una empresa privada, viendo que esto es un servicio que se ofrece a otros gobiernos, lo que se habla en el trasfondo es que Israel quiere conocer en qué manos está y es posible que el Gobierno de ese país tenga la última palabra de a quién sí se vende y a quién no».

Además, recuerda que el fundador de la empresa estuvo involucrado en trabajos de Inteligencia (en alusión a Niv Carmi, quien se supone fue un exagente del Mosad).

Asimismo, añade que en el submundo de la ciberseguridad se comenta que la comunicación entre la empresa y sus clientes «se hace a veces con empresas pantalla, intermediarios para evitar problemas de impuestos». Porque no solo es un asunto de gobiernos: suelen estar involucrados grandes intereses de corporaciones privadas. «No olvidemos que ha habido ataques a la ciberseguridad de laboratorios por el covid de empresas que han querido adelantarse. Hay muchos intereses comerciales en proyectos de investigación por la competencia».

Sobre lo denunciado por Moncloa, Aguilera Díaz opina: «Me ha sorprendido que el Gobierno diga ahora que lo descubrieron un año después. Habría que ver qué pasó... porque podría ser que no se hubiera descubierto porque en ese momento la revisión de rutina que se hace no encontró rastros, o que sí lo hayan detectado pero les interesaba no sacarlo a la luz por motivos políticos, o incluso por contrainteligencia; es decir, para volcar determinados temas al detectar el espionaje y así confundir».

Respecto a la técnica concreta de espionaje, afirma que «es muy difícil detectarlo porque está diseñado para no dejar trazas» y solo puede descubrirse con facilidad si se revisa el dispositivo en el mismo momento en que se están robando los datos. «Pegasus toma el control total del teléfono, puede alterarlo todo, hacer chats, poner y borrar aplicaciones, pero se cuida de no despertar sospechas y no se hacen cambios para no generar alarmas», subraya. Además, no hace falta que el usuario abra un enlace o mensaje, solo con una llamada o envío de mensaje alcanza para poder comenzar la filtración.

Pegasus ofrece dos formas: intervenir desde la compañía o vender la infraestructura al cliente para que pueda hacer la operación desde su oficina. Y puede ser letal incluso con alta prevención de seguridad: «Están preparados para explotar las vías desconocidas de los software, modalidades que no conocen; por eso estamos indefensos. Incluso un dispositivo con protección estaría en riesgo porque el propio software de seguridad tiene una ventana de riesgo».

El programa israelí no es el único que oficia de espía virtual. «Hay muchos Pegasus en el mundo; hay otro de otra empresa israelí, Candiru, y otro que se llama Galileo, de una empresa italiana, solo que Pegasus es el que se hizo más conocido», explica.

Y en este tema, cree que, pese al escándalo político, no habrá cambios: «Esto va a seguir existiendo, no se va a acabar, se sabe que los gobiernos espían gobiernos y al final lo que ocurrirá es que todos intentarán reforzar sus medidas de seguridad y controles, aunque no nos acabemos enterando».