Por qué es tan difícil seguir el rastro de Pegasus y no se sabe quién te ha hackeado
NSO Group ha diseñado su software espía para que sea casi imposible saber quién ha contratado el ataque a cada móvil infectado con Pegasus.
7 mayo, 2022 04:22Noticias relacionadas
La directora del CNI, Paz Esteban, ha acreditado ante los portavoces de los grupos parlamentarios sólo la vigilancia de Pere Aragonés, actual presidente de la Generalitat, y otras 17 personas de la cúpula independentista. Sin embargo, los más de 40 afectados restantes que encontraron evidencias de Pegasus en sus móviles, así como varios miembros del Gobierno, se preguntan ahora quién les ha estado espiando, una cuestión muy difícil de responder.
A la salida de la comisión de secretos oficiales el portavoz de ERC, Gabriel Rufián, indicaba a la prensa que Paz Esteban había planteado dos hipótesis para el resto de afectados: el origen pudo ser "un país extranjero u organismos del Estado al margen de la ley". La directora del CNI también ha cuestionado algunos aspectos del informe elaborado por el centro Citizen Lab donde se revelaban las pruebas del espionaje en Cataluña a 63 personas.
Tanto este último como el resto de análisis forenses que han llevado a cabo diversas organizaciones sobre móviles infectados por Pegasus, han determinado variados métodos de infección y cómo funciona dentro del dispositivo este spyware, pero son menos certeros a la hora de determinar la procedencia exacta del espionaje. "En las empresas de seguridad vamos con mucho cuidado con las atribuciones porque en los ataques es muy fácil simular que tú estás en un sitio cuando estás en otro" explica Josep Albors, director de investigación y concienciación de ESET España a EL ESPAÑOL-Omicrono.
Sin dejar rastro
Si ya supone un gran reto dar con la procedencia de los ciberataques que se sufren a diario como el phishing, el ransomware o como los que se están dando en la guerra entre Ucrania o Rusia, trazar la procedencia de un software tan preciso como Pegasus puede ser casi imposible. En eso radica la esencia de la tecnología desarrollada por NSO Group.
Por un lado, los SMS o correos utilizados para engañar a los objetivos para que pincharán en los enlaces, como en la mayoría de estafas online, se diseñan para parecer auténticos, desde cuentas oficiales, pero en realidad son anónimas y desvían el rastro de su procedencia para confundir a los que puedan estar investigando. Tampoco el uso de vulnerabilidades de día cero pone fácil la tarea, al no conocerse su existencia es muy complicado que se puedan estar controlando esas posibles entradas. Es más tarde cuando se hace el estudio exhaustivo cuando se descubre la puerta trasera por la que accedió el malware.
Los análisis de los dispositivos para localizar virus como Pegasus requieren de tecnologías muy sofisticadas para dar con el escaso rastro que deja el spyware y pueden durar hasta meses de investigación. Por el contrario, el programa desarrollado en Israel solo requiere de unas horas o unos días para entrar, robar información y salir del sistema como el mejor de los ladrones de guante blanco.
Teniendo en cuenta que la mayoría de ataques que se están investigando ahora en España se produjeron hace años, por ejemplo, el presidente del Gobierno fue espiado el 19 y 31 de mayo de 2021, el análisis forense actual tiene muy complicado rastrear el origen de esas infecciones.
Pregunten a NSO
Pero incluso sin todos estos aspectos que juegan en contra de los investigadores, sería la propia dinámica de la empresa y su tecnología la que sirve de muro infranqueable para mantener en secreto las actividades de espionaje de sus clientes. "Ellos lo que hacen es una entrega llave en mano, como decimos aquí, permiten a los usuarios que compran el software acceder a un panel que ellos controlan para hacer los ataques" explica Albors.
El software no muestra en los análisis forenses que proceda de ningún país en concreto, tampoco los datos que roba del dispositivo se envían a un servidor determinado en una u otra región del mundo, sino a la propia empresa. Para este investigador la forma de conocer con seguridad quién está detrás de cada espionaje es que la propia empresa NSO Group publicara su trabajo y relacionara a cada móvil infectado con el cliente que pagó por ello, "pero no lo van a hacer" apunta.
Aunque NSO asegura que solo comercia con gobiernos, se sospecha que su tecnología podría haber llegado a más clientes. La Fiscalía mexicana ha documentado que al menos una empresa privada lo usó para espiar a activistas y periodistas del país. Citizen Lab tampoco descarta que pueda estar en manos de actores privados.
El momento preciso
Para otros especialistas, pillarles con las manos en la masa parece ser la única opción viable. En el momento del hackeo cuando se está usando el software y este está mandando los datos robados a los servidores de NSO habría alguna posibilidad para realizar el rastreo. Algo muy complicado por lo rápido que actúa el software y por lo transparente que es.
No obstante, Albors duda de esta posible técnica si se tiene en cuenta el funcionamiento de la propia empresa de espionaje y cómo han conseguido mantener en la sombra a sus compradores hasta ahora. "Creemos que llevan diez años haciendo esto y no se ha conseguido saber quién está detrás, salvo cuando un gobierno lo ha reconocido", como es el caso actual y los 18 investigados por el CNI.
No se atribuyen los ataques
Por estos motivos, Citizen Lab "no atribuye de manera concluyente las operaciones a una entidad específica, pero una fuerte evidencia circunstancial sugiere un nexo con las autoridades españolas". Tras esta frase inicial, los investigadores detallan al final del informe cuatro motivos por los que apuntan a ese origen institucional.
Mencionan que el CNI de España ha sido cliente de NSO Group, lo que ya se ha confirmado, pero no para todos los teléfonos de la lista. También aluden a que los móviles se infectaron coincidiendo en el tiempo con "eventos de interés específico para el gobierno español" como el Process catalán y que "los objetivos eran de evidente interés para el gobierno español". Además, el cebo usado para los SMS sugiere el acceso a la información personal de los objetivos, como los números de identificación del gobierno español.
Sin embargo, todo son suposiciones como las que apuntan a Marruecos como posible responsable del espionaje en los móviles de Pedro Sánchez y Margarita Robles. Amnistía Internacional refleja en un informe el uso de este spyware de Marruecos contra políticos, periodistas y activistas de diferentes países.
La inversión millonaria que ha hecho NSO Group en su tecnología y los resultados obtenidos durante todos estos años, demuestran la fortaleza de este software, uno de los más famosos de su categoría, pues si algo insisten la mayoría de especialistas es que hay otros de los que se tiene aún menos información. "Tú puedes ponerte las medidas de seguridad que quieras en tus dispositivos, pero si tienes detrás a gente con mucho interés en espiarte y con los recursos suficientes. Lo siento mucho, pero poco se puede hacer".