Pegasus es un software diseñado por la compañía israelí NSO Group que pretende colaborar con las agencias gubernamentales para prevenir e investigar la delincuencia organizada y el terrorismo. Sin embargo, su existencia es utilizada por muchos gobiernos, dentro o fuera de la legalidad, así como por otros “actores” que denuncian un uso ilegal o indiscriminado para llevar a cabo espionajes a políticos y ciudadanos.
La revista estadounidense The New Yorker junto con el laboratorio The Citizen Lab -adscrito a la Universidad de Toronto y especializado en el desarrollo de seguridad cibernética- publicaron el lunes 18 de abril una investigación, conocida como “CatalanGate”, que aseguraba una trama de espionaje a políticos y activistas independentistas catalanes.
Según el comunicado emitido por la plataforma, de los “63 dispositivos móviles objetos del ataque, se confirmaba que 52 de ellos habían sido infectados con el software espía Pegasus, de la compañía israelí NSO Group, entre los años 2017 y 2020”. A pesar de que los resultados no son probatorios ni concluyentes, The Citizen Lab expone que “hay pruebas contundentes sobre la implicación de las autoridades españolas en esta red de espionaje”.
Como consecuencia de esta publicación, el líder de la Generalitat, Pere Aragonès ha anunciado la congelación de las relaciones con el gobierno de España y ha exigido a este último “transparencia” y “asunción de responsabilidades”.
La Ministra de Defensa, Margarita Robles, en el pleno del Congreso añadió que cualquier intervención en las comunicaciones que se realiza en España “requiere la previa autorización por parte de un Magistrado” y siempre quedando fundamentado con un ilícito penal grave y con una motivación legal de necesidad y proporcionalidad.
Se cuestiona la fiabilidad e independencia de la publicación de The Citizen Lab
Según The Citizen Lab, estas informaciones han sido verificadas de forma “independiente” por el Laboratorio sobre Seguridad de Amnistía Internacional.
Antes de esta publicación, Amnistía Internacional ya había documentado, a través del “Proyecto Pegasus”, el uso ilegítimo de este programa. Por ello, Amnistía Internacional insta al gobierno español a declarar si ha tenido relación con la empresa creadora del software y hace un llamamiento para que NSO Group cierre de forma inmediata los sistemas de clientes cuando haya pruebas de uso indebido de sus herramientas.
Sin embargo, la investigación llevada a cabo por varios Analistas e Investigadores, apunta a que el “CatalanGate” realmente es un “FakeCatalanGate” al ser una trama orquestada por los círculos independentistas.
Estos Analistas e Investigadores aportan informaciones y pruebas, tales como las fechas de la reserva previa del dominio “catalangate.cat” o que The Citizen Lab y el Programa Tecnológico de Amnistía Internacional tienen a una persona en común trabajando, que es Etienne Maynier, lo cual hace cuestionar la posible independencia de esta verificación y la fiabilidad de toda la información aportada.
A continuación se ofrece un hilo resumen:
El Gobierno de España también ha sido víctima de un ataque con Pegasus
El 2 de mayo de 2022, en rueda de prensa, el Ministro de la Presidencia, Félix Bolaños, comparecieron para informar que el Presidente del Gobierno, Pedro Sánchez y la Ministra de Defensa, Margarita Robles, también sufrieron ataques mediante Pegasus en sus dispositivos móviles, durante 2021.
Según el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia, estos ciberataques a los dos políticos, supusieron la extracción de un volumen de información de sus dispositivos móviles profesionales, pero aún se desconoce la autoría del ataque.
El Ministro de Presidencia afirmó que se sigue auditando la ciberseguridad de los dispositivos móviles del resto de miembros del Gobierno y que se revisarán los protocolos de seguridad y tomarán nuevas medidas de ciberseguridad.
Bolaños, además, añade que se compartirán las conclusiones y nuevas medidas de seguridad con el resto de las Administraciones públicas de España, así como que el caso se ha puesto en manos del Ministerio de Justicia para que lleve a cabo una investigación judicial independiente, apuntando a que se trata de un ataque externo a las instituciones del Estado, sin concretar si se refiere a un país extranjero o a otros actores hostiles contra el Gobierno de España.
Los dos espionajes a Sánchez y el espionaje a la titular de Defensa, Margarita Robles, coincidieron con dos hechos políticos que marcaron la actividad del Gobierno de España durante esos días:
- La concesión de los indultos a los líderes independentistas condenados por la organización ilegal de un referéndum de independencia.
- La entrada en territorio español del líder del Frente Polisario, Brahim Ghali, el 18 de abril de 2021, para recibir atención médica en Logroño.
Por el momento, no hay ninguna prueba que atribuya los espionajes a estas causas o a los “actores” vinculados a estos hechos.
NSO GROUP, la empresa que desarrolló Pegasus
La compañía israelí NSO Group, también conocida como Q-Cyber, diseñó Pegasus en el año 2010. Este software espía fue concebido para combatir la delincuencia organizada y el terrorismo. El grupo NSO es una de las empresas más controvertidas de Israel, que ha convertido el país en una de las principales industrias de spyware o software malicioso. Esta controversia se debe a la falta de regulación internacional en el sector, que ha supuesto el uso ilegítimo de esta herramienta en numerosas ocasiones.
El consejero delegado de NSO Group, Shalev Hulio, explicaba a The New Yorker que Pegasus sólo era concedido a las agencias gubernamentales de inteligencia, con la previa aprobación del gobierno de Israel y de los ministerios de Defensa de cada país. De hecho, en la empresa asegura en su página web que la aplicación del programa se efectuará conforme a la ley. También garantiza que las licencias del programa son otorgadas tras haber realizado una evaluación previa del país en materia de derechos humanos, política y seguridad. Sin embargo, podemos afirmar que esta tecnología se ha utilizado para cometer abusos ilegales en países que no cumplen estas consideraciones.
La investigación “Proyecto Pegasus” conducida por Amnistía Internacional en colaboración con otras organizaciones, reveló en el año 2021 que el programa había sido utilizado para espiar a políticos, activistas y disidentes de regímenes represivos. Agnès Callamard, secretaría general de Amnistía Internacional, expuso que “el software espía de NSO es el arma preferida de los gobiernos represivos que intentan silenciar a periodistas, atacar a activistas y aplastare a la disidencia, poniendo en peligro innumerables vidas”.
Etienne Maynier, tecnólogo del Laboratorio sobre Seguridad de Amnistía Internacional y miembro de The Citizen Lab, afirmó que el “Proyecto Pegasus” presentaría pruebas sobre la falsedad en las declaraciones emitidas por NSO que garantizaban que “su software sólo se utilizaba en investigaciones penales legítimas”. Mayiner, por otro lado, apremiaba a los gobiernos a regular la industria para poner fin a las “violaciones de derechos humanos generalizadas que facilita Pegasus”.
Con relación a su funcionamiento, el software se instala en los dispositivos de diferentes formas y es invisible para las víctimas. Una de ellas es a través de enlaces en servicios de mensajería como WhatsApp, iMessage o SMS, aunque también lo hace a través de entradas que no requieren acción por parte del ciudadano. Pegasus accede a los datos personales de los móviles, a los mensajes e incluso es capaz de vigilar a tiempo real a sus víctimas a través de las cámaras y micrófonos de los dispositivos. Además, puede realizar capturas de pantalla y acceder a los archivos guardados.
En 2019, el servicio de mensajería WhatsApp sufrió un ataque del programa, a través de una llamada de vídeo que no requería repuesta por parte del usuario. Según la investigación de The New Yorker, el programa accedió a más de 1000 dispositivos móviles a nivel mundial. La compañía Meta, propietaria de la aplicación, no dudó en demandar al grupo NSO. La compañía israelí que alegó en su defensa que ella sólo concedía su programa a los gobiernos y era en estos últimos en los que recaía la responsabilidad de utilizarlo con buen provecho Cabe destacar que actualmente, todavía no se ha resuelto el proceso judicial.
Apple también sufrió un ataque similar en su sistema operativo. En 2021, The Washington Post reveló que nueve dispositivos móviles Apple, per a políticos estadounidenses que trabajaban en el extranjero también habían sido infectados con Pegasus.
Shalev Hulio, consejero delegado de NSO Group aseguró, en defensa de su compañía que, una vez NSO concedía la licencia a sus clientes, la empresa no podía rastrear el uso del software. Estas declaraciones son, sin embargo, desmentidas en las investigaciones de The Citizen Lab y The New Yorker, que confirmaban que sí era posible el control remoto por parte de la empresa. Aunque para realizarlo, es necesaria la previa autorización del cliente.
El uso ilegítimo de Pegasus
Pegasus en sí mismo no es un software ilegal, sino que lo es su uso fuera de los cauces legales y judiciales establecidos.
Su fácil uso, implica que puede haber sido utilizado de forma ilegal por numerosos países y “otros actores” para cometer abusos e incluso violaciones de los derechos humanos, pero la realidad es que las pruebas para demostrarlo suelen ser insuficientes o difíciles de conseguir.
Sin embargo, hay entidades que siguen publicando acerca de los supuestos usos ilegales o ilegítimos.
En el año 2016, The Citizen Lab y Lookout llevaron a cabo una investigación en la que se reveló por primera vez la amenaza de Pegasus. El autor del descubrimiento fue Ahmed Mansoor, activista de derechos humanos, pues había recibido enlaces maliciosos en su dispositivo -iPhone- y los envío a los expertos de The Citizen Lab para su análisis. En los resultados se demostró que Pegasus podía traspasar las barreras de seguridad de Apple e infectar los dispositivos.
En 2018, tras el asesinato del periodista Jamal Khashoggi en Arabia Saudí – caso que continúa pendiente de resolver- se descubrió que el programa también había sido instalado en varios de sus teléfonos.
En el año 2020, el número 10 de Downing Street, residencia oficial del primer ministro de Reino Unido, fue objetivo de Pegasus. El ataque fue realizado a través de un dispositivo conectado a la red de la residencia. Sobre este ataque The Citizen Lab sugiere que fueron iniciados por estados como el de Emiratos Árabes Unidos, India y Chipre.
Por otro lado, los tribunales británicos revelaron también que Emiratos Árabes Unidos había utilizado el programa para espiar a la Princesa Haya Bint Al Hussain, ex mujer de Mohammed bin Rashid Al-Maktoum, mandatario de Dubái y actual primer ministro de los Emiratos Árabes.
El programa también fue encontrado en el iPhone de Jeff Bezos, fundador de la compañía Amazon. Pegasus entró en su dispositivo a través de la descarga un video que contenía que Mohammad bin Salman, príncipe heredero de Arabia Saudi le había enviado por el servicio de mensajería WhatsApp.
En 2021, una investigación realizada por el grupo Front Line Defenders identificó señales de un ataque del software Pegasus en los teléfonos móviles de activistas palestinos. Aboy Shehadeh, político israelí miembro del legislativo, aseguraba que “Israel había utilizado la este tipo de tecnología para espiar a los ciudadanos palestinos”
Pegasus también había sido utilizado de forma ilegal por países como El Salvador, México o Marruecos con el fin de investigar a periodistas y activistas contrarios a sus gobiernos. En concreto, en el Salvador Pegasus fue instalado en los dispositivos de periodistas que investigaban sobre los casos de corrupción en el país.
Con relación a Europa, Shalev Hulio, consejero delegado de NSO Group exponía en The New Yorker que “casi todos los gobiernos de Europa utilizan nuestras herramientas”. De hecho, y a raíz de las investigaciones del Proyecto Pegasus y The Citizen Lab, la Eurocámara ha abierto una Comisión de Investigación para examinar el uso del programa espía. También pretende el uso de este por parte de Hungría y Polonia.
Esta comisión celebraba su primera sesión el día 19 de abril, un día después de que se publicara la investigación de The Citizen Lab sobre Pegasus y el supuesto “CatalanGate”. Sin embargo, la Comisión Europea anunció el 20 de abril, que el informe de esta comisión sería de carácter consultivo, pues la Unión Europea carece de competencias sobre la seguridad nacional de los Estados miembros y que por tanto, son los tribunales nacionales a quienes corresponde la autoridad de tratar con el problema.
En definitiva, podemos afirmar que, a pesar de que Pegasus fuera concebido como un instrumento para colaborar en la resolución del crimen organizado y delincuencia a nivel mundial, las investigaciones han demostrado cómo su uso se ha desvirtuado.
Dado que las acusaciones del uso ilegal de este software son difíciles de probar, estas acusaciones se han utilizado (y se siguen utilizando) para atacar a gobiernos y agencias gubernamentales, dependiendo de cada caso, con más o con menos legitimidad.
Aún así, salvo la legislación vigente en cada país y la división de poderes existente, la realidad es que no hay ninguna forma de controlar ni prevenir el uso ilegal de Pegasus por parte de los países, agencias gubernamentales u otros “actores” que lo utilizan para intervenir los dispositivos y las comunicaciones.
