Hay bastante revuelo hoy por el tema de Pegasus. Un consorcio de medios, Amnistía Internacional y otras organizaciones, ha puesto el foco en esta herramienta. Permítanme que le añada un poco de contexto a todo esto.
Esta historia empieza con un empleado descontento. En junio de 2017 un empleado de NSO Group, la empresa que comercializa Pegasus, ofertó en Deep Web una nueva herramienta que permitía el espionaje de dispositivos IOS, iPhone principalmente. El precio de salida de la subasta era de 50 millones de dólares. La transición se haría en criptomonedas como Monero, Zcash y Verge.
La herramienta era tan poderosa que permitía, siempre en un iPhone, acceder a datos y contenidos de Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango y otros. Lo presentó como una herramienta que estaba solo disponible para gobiernos y fuerzas de seguridad. Un “cliente potencial” denunció al empleado y la posterior investigación inició esta historia.
Es así como el gobierno mexicano reconoció ese año haber utilizado los servicios de NSO durante 2015 y 2016. Emiratos Árabes presuntamente lo utilizó contra Ahmed Mansoor, que fue arrestado y encarcelado.
Pegasus y la denuncia de Amnistía Internacional
En 2018 un empleado de Amnistía Internacional denunció que varios activistas y disidentes saudís habían recibido en sus dispositivos SMSs y WhatsApp con enlaces de descarga a un malware que era capaz de funcionar en dispositivos iPhone, Android y demás. Este malware era capaz de grabar vídeos, llamadas, monitorizar movimientos, recolectar mensajes y más. Eso es Pegasus.
En esas fechas es cuando Citizen Labs emite el primer informe sobre Pegasus. Más de 45 países afectados. Entre ellos Argelia, Bahrein, Bangladesh, Brasil, Canadá, Costa de Marfil, Egipto, Francia, Grecia, India, Irak, Israel, Jordania, Kazajstán , Kenia, Kuwait, Kirguistán, Letonia, Líbano, Libia, México, Marruecos, Países Bajos, Omán, Pakistán, Palestina, Polonia, Qatar, Ruanda, Arabia Saudita, Singapur, Sudáfrica, Suiza, Tayikistán, Tailandia, Togo, Túnez, Turquía, Emiratos Árabes Unidos, Uganda, Reino Unido, Estados Unidos, Uzbekistán, Yemen y Zambia.
La investigación de Citizen Labs encontró evidencias en 1.091 direcciones IP y 1.014 dominios Webs. Una extensión brutal.
Pegasus y la vulnerabilidad de ‘Zero Day’
La forma de infección de los dispositivos era una vulnerabilidad de Zero Day, no documentada ni publicada, que se presentaba en forma de phishing con un enlace a través del correo. Pronto empezaron a aparecer más víctimas. Todos con el mismo perfil. En esas fechas Omar Abdulaziz , un disidente saudí, pasó a engrosar el número de ellas.
El 14 de mayo varias organizaciones, como Amnistía Internacional y el instituto Bernstein, solicitaron al Ministerio de Defensa Israelí que revocara la licencia de NSO para operar como empresa. En ese momento la lista de presuntas víctimas era ya escandalosa. Entre ellos 24 activistas mexicanos, que fueron atacados y tenían relación con el periodista asesinado Javier Valdez Cárdenas. Este periodista investigaba en el momento de su asesinato cárteles de narcos en México. Sus asesinos se llevaron todo el material y dispositivos que tenía el periodista en el momento de su muerte.
Poder y dinero
Dos días después sus amigos y compañeros empezaron a recibir en sus móviles mensajes, y correos apuntando a enlaces de Pegasus. En la otra parte del mundo la situación no era mejor. Activistas como Omar Abdulaziz, Yahya Assiri, Ghanem Al-Masarir, Ahmed Mansoorm, y el periodista asesinado Jamal Khashoggi también estaban en la agenda de Pegasus. Como ven, poder y dinero.
El 19 de junio el diario The Guardian, que investigaba el asesinato de Khashoggi registró ciber ataques relacionados con Pegasus. El 10 de octubre la diana pasó a dos activistas marroquíes, Maati Monjib , académica y activista que trabaja en temas de libertad de expresión, y Abdessadak El Bouchattaoui.
El 20 de diciembre se pudo estudiar un ataque con más profundidad. Este iba dirigido a 36 periodistas, presentadores y productores de la cadena Al Jazzera. Esto permitió determinar varios parámetros. Por ejemplo , el uso de un exploit de Zero Day en la app iMessage de Apple. Pero no menos importante fue determinar qué parte de la infraestructura utilizada en estos ataques estaba situada en países europeos, incluidos servidores en Alemania, Francia, Reino Unido e Italia, utilizando proveedores en la nube como Aruba, Choopa, CloudSigma y DigitalOcean.
Los clientes de Pegasus tenían nombres tan evidentes como MONARCHY, que espió 18 teléfonos o SNEAKY KESTREL que espió 15 teléfonos. Citizen Labs concluyó que MONARCHY hacía referencia a los Emiratos Árabes.
Esto es lo conocido hoy sobre Pegasus. También en Newtral.es he escrito sobre otro, Candiru. La amenaza a la sociedad civil a través de estas herramientas y estas empresas mercenarias, a sueldo del mejor postor, y siempre de los poderosos, es real.
Tan real como el que algunos permanecemos atentos desde hace muchos años, con muchos menos medios, pero con todo el esfuerzo posible, en vigilar sus movimientos.
