Un experto en ciberseguridad explica cómo el software espía Pegasus invade los teléfonos y qué hace cuando entra

Una mujer sostiene un teléfono frente a la oficina de NSO Group, que fabrica una herramienta que puede ver y escuchar todo para lo que se usa un teléfono. Jack Guez / AFP a través de Getty Images

El cifrado de extremo a extremo es una tecnología que codifica los mensajes en su teléfono y los codifica solo en los teléfonos de los destinatarios, lo que significa que cualquiera que intercepte los mensajes intermedios no puede leerlos. Dropbox, Facebook, Google, Microsoft, Twitter y Yahoo se encuentran entre las empresas cuyas aplicaciones y servicios utilizan cifrado de extremo a extremo .

Este tipo de cifrado es bueno para proteger su privacidad, pero a los gobiernos no les gusta porque les dificulta espiar a las personas, ya sea rastreando a criminales y terroristas o, como se sabe que hacen algunos gobiernos, espiar a los disidentes. manifestantes y periodistas. Introduzca una empresa de tecnología israelí, NSO Group .

El producto estrella de la compañía es Pegasus, un software espía que puede ingresar sigilosamente a un teléfono inteligente y obtener acceso a todo lo que contiene, incluida la cámara y el micrófono. Pegasus está diseñado para infiltrarse en dispositivos con sistemas operativos Android, Blackberry, iOS y Symbian y convertirlos en dispositivos de vigilancia. La compañía dice que vende Pegasus solo a gobiernos y solo con el propósito de rastrear criminales y terroristas.

Cómo funciona

La versión anterior de Pegasus se instaló en teléfonos inteligentes a través de vulnerabilidades en aplicaciones de uso común o mediante spear-phishing , que implica engañar a un usuario objetivo para que haga clic en un enlace o abra un documento que instala secretamente el software. También se puede instalar en un transceptor inalámbrico ubicado cerca de un objetivo, o manualmente si un agente puede robar el teléfono del objetivo.

Desde 2019, los usuarios de Pegasus han podido instalar el software en teléfonos inteligentes con una llamada perdida en WhatsApp e incluso pueden eliminar el registro de la llamada perdida, lo que hace imposible que el propietario del teléfono sepa que algo anda mal. Otra forma es simplemente enviar un mensaje al teléfono de un usuario que no produce ninguna notificación.

Esto significa que la última versión de este software espía no requiere que el usuario del teléfono inteligente haga nada. Todo lo que se requiere para un ataque e instalación exitosos de software espía es tener una aplicación o sistema operativo vulnerable en particular instalado en el dispositivo. Esto se conoce como un exploit de cero clic .

Una vez instalado, Pegasus teóricamente puede recolectar cualquier dato del dispositivo y transmitirlo al atacante. Puede robar fotos y videos, grabaciones, registros de ubicación, comunicaciones, búsquedas web, contraseñas, registros de llamadas y publicaciones en redes sociales. También tiene la capacidad de activar cámaras y micrófonos para vigilancia en tiempo real sin el permiso o conocimiento del usuario.

Quién ha estado usando Pegasus y por qué

NSO Group dice que construye Pegasus únicamente para que los gobiernos lo utilicen en el trabajo de contraterrorismo y aplicación de la ley. La compañía lo comercializa como una herramienta de espionaje dirigida para rastrear a criminales y terroristas y no para vigilancia masiva. La empresa no revela a sus clientes.

El primer uso reportado de Pegasus fue realizado por el gobierno mexicano en 2011 para rastrear al notorio narcotraficante Joaquín “El Chapo” Guzmán. Según los informes, la herramienta también se utilizó para rastrear a personas cercanas al periodista saudí asesinado Jamal Khashoggi.

No está claro a quién o qué tipo de personas están siendo atacadas y por qué. Sin embargo, gran parte de los informes recientes sobre Pegasus se centran en una lista de 50.000 números de teléfono. La lista se ha atribuido a NSO Group, pero los orígenes de la lista no están claros. Una declaración de Amnistía Internacional en Israel declaró que la lista contiene números de teléfono que fueron marcados como «de interés» para los diversos clientes de NSO, aunque no se sabe si se ha rastreado realmente alguno de los teléfonos asociados con los números.

Un consorcio de medios, el Proyecto Pegasus , analizó los números de teléfono de la lista e identificó a más de 1.000 personas en más de 50 países. Los hallazgos incluyeron a personas que parecen estar fuera de la restricción del Grupo NSO a las investigaciones de actividades criminales y terroristas. Estos incluyen políticos, trabajadores del gobierno, periodistas, activistas de derechos humanos, ejecutivos de empresas y miembros de la familia real árabe.

Otras formas en que se puede rastrear su teléfono

Pegasus es impresionante por su sigilo y su aparente capacidad para tomar el control completo del teléfono de alguien, pero no es la única forma en que se puede espiar a las personas a través de sus teléfonos. Algunas de las formas en que los teléfonos pueden ayudar a la vigilancia y socavar la privacidad incluyen el seguimiento de la ubicación, las escuchas, el malware y la recopilación de datos de los sensores.

Los gobiernos y las compañías telefónicas pueden rastrear la ubicación de un teléfono rastreando las señales celulares de los transceptores de torre celular y simuladores de transceptores celulares como el dispositivo StingRay . Las señales de Wi-Fi y Bluetooth también se pueden usar para rastrear teléfonos . En algunos casos, las aplicaciones y los navegadores web pueden determinar la ubicación de un teléfono.

Escuchar las comunicaciones es más difícil de lograr que rastrear, pero es posible en situaciones en las que el cifrado es débil o inexistente. Algunos tipos de programa maligno pueden comprometer la privacidad al acceder a los datos.

La Agencia de Seguridad Nacional ha buscado acuerdos con empresas de tecnología en virtud de los cuales las empresas le darían a la agencia acceso especial a sus productos a través de puertas traseras y, según los informes , ha construido puertas traseras por su cuenta . Las empresas dicen que las puertas traseras anulan el propósito del cifrado de extremo a extremo .

La buena noticia es que, dependiendo de quién sea usted, es poco probable que sea un objetivo de un gobierno que maneja a Pegasus. La mala noticia es que ese hecho por sí solo no garantiza su privacidad.