El secreto mejor guardado de Pegasus podría ver la luz. Una jueza estadounidense ha impuesto a sus creadores revelar su código fuente a WhatsApp. Este juicio se inició tras descubrirse una infección masiva a través de la aplicación de mensajería entre 2019 y 2020. Por esas mismas fechas, se habría hackeado el móvil de políticos en España como Pere Aragonès, presidente de la Generalitat. Más tarde también se vería afectado el teléfono del presidente del Gobierno, Pedro Sánchez.
La jueza Phyllis Hamilton en Estados Unidos ha ordenado a la empresa israelí NSO Group que entregue el código de Pegasus a Meta, empresa propietaria de WhatsApp. Ese código aporta información relevante "sobre la funcionalidad completa del software espía correspondiente".
"El reciente fallo judicial es un hito importante en nuestro objetivo a largo plazo de proteger a los usuarios de WhatsApp contra ataques ilegales. Las empresas de software espía y otros actores maliciosos deben comprender que pueden ser descubiertos y que no podrán ignorar la ley", dijo un portavoz de WhatsApp, tal y como recoge The Guardian.
El código de Pegasus
La jueza ha establecido que esta compañía debe entregar "todo el software espía relevante" durante un período de un año antes y después de las dos semanas en las que los usuarios de WhatsApp fueron supuestamente atacados: del 29 de abril de 2018 al 10 de mayo de 2020. En esas fechas se sitúan los ataques al móvil de Pere Aragonès, presidente de la Generalitat.
La revelación de ese código es importante al desvelar el funcionamiento de este método de espionaje informático. Sin embargo, al tener una fecha determinada, si la empresa israelí llegara a cumplir con esta orden judicial, no estaría obligada a entregar el código más actual.
Los desarrolladores de software espía, así como los hackers mantienen al día sus sistemas de ataque frente a las posibles protecciones que se hayan desplegado en software que quieren atacar. NSO no ha indicado qué hará tras esta resolución, pues el litigio continúa.
De forma casi imperceptible, el spyware Pegasus se infiltra en el teléfono y permanece oculto recogiendo información personal como llamadas telefónicas, correos electrónicos, fotografías, información de ubicación y mensajes cifrados sin el conocimiento del usuario.
En 2016, cuando fue descubierto, sólo requería que la víctima pulsase en un enlace recibido por SMS; se aprovechaba de una vulnerabilidad de iOS, ya cerrada. Años después se descubrió que NSO Group podía introducir su virus a través de una llamada en WhatsApp. Se descolgara o no la llamada, Pegasus accedía a través de esta brecha e infectaba el smartphone. WhatsApp, propiedad de Meta, denunció a la empresa israelí y parcheó la vulnerabilidad impidiendo que se volviera a usar.
Apple también ha sido una puerta de entrada de este espía informático. La compañía de Cupertino ha desplegado una barrera de protección en sus iPhone expresamente diseñada contra este atacante y otros similares.
Solo mediante un examen exhaustivo del móvil se han descubierto los teléfonos infectados y los posibles métodos de ataque. No obstante, Amnistía Internacional ha desarrollado una herramienta para ayudar a "simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso en dispositivos Android e iOS". La mobile Verification Toolkit es ahora mismo, de las pocas opciones que tienen los usuarios para comprobar si su móvil ha sido atacado con un software como Pegasus.
Sus clientes anónimos
Este veredicto, por el contrario, exime a NSO de la obligación de divulgar los nombres de sus clientes o información sobre la arquitectura de su servidor. Según la propia empresa, gobiernos de todo el mundo usan su tecnología en agencias policiales y de inteligencia para combatir el crimen como el terrorismo en su país.
Aún no ha dado nunca nombres, los informes de los medios han apuntado a lo largo de los años a Polonia, Arabia Saudí, Ruanda, India, Hungría y los Emiratos Árabes Unidos, sin olvidar casos en España. Pegasus ha sido encontrado, sin embargo, dentro de los móviles de periodistas, activistas y políticos. NSO se desvincula del uso final que puedan hacer sus compradores con Pegasus.