"Hechos, no palabras", tanto sirve de eslogan de campaña de un candidato poco dotado para la oratoria como para una frase magistral de Sherlock Holmes.
Lo digo por todo lo que sabemos del espionaje en móviles de destacados cargos públicos, activistas y defensores de los derechos civiles de todo el mundo y porque estos días estoy viendo todo lo que hay de Sherlock Holmes en Filmin. Hay una serie de hechos —cosas que sabemos y que son científicamente demostrables—, de verdades que esconden hechos —"no me consta"— y de afirmaciones contradictorias a primera vista que al final no son. Añadidle a todo esto tantas capas como queráis de pescaclics, información interesada o de gurús de la apocalipsis digital que trapichena para tener sus quince clics de gloria y tendréis la tormenta digital perfecta.
"Sabemos que los móviles de hasta 1.400 personas de 45 países en todo el mundo fueron hackeados con un software de Pegasus entre mayo y abril del 2019"
Sabemos del cierto que los móviles de hasta 1.400 personas de 45 países en todo el mundo fueron hackeados con un software de la empresa de ciberseguridad israelí Pegasus entre mayo y abril del 2019. Entre ellas el President de Parlament Roger Torrent, el entonces Conseller de Exteriores Ernest Maragall, la exdiputada de la CUP Anna Gabriel, el activista Jordi Domingo (no el abogado con el mismo nombre ahora en la ANC), el jefe de la Casa de la República Sergi Miquel. No incluyo el Conseller Jordi Puigneró porque al darse cuenta apagó el móvil, sacó la SIM y lo entregó a ciberseguridad de la Generalitat.
Esto fue posible porque el software de Pegasus aprovechaba una vulnerabilidad de Whatsapp de día-0. El término día-0 no hace referencia a que la vulnerabilidad o el software malicioso no dejen traza como repiten muchos medios y el mismo Presidente Torrent, quiere decir simplemente que es una vulnerabilidad que todavía no es conocida por el fabricante ni por las agencias de ciberseguridad. Hay un mercado de compra-venta de estas vulnerabilidades que acostumbran a tener una ventana de oportunidad de días (se llama así en el argot). Para desincentivar que estas informaciones caigan en manos de gente con malas intenciones, las grandes tecnológicas ofrecen jugosas recompensas a quienes les encuentre un agujero de seguridad. Apple mismo tiene un programa de recompensas por seguridad que llega hasta el millón de dólares para quien les encuentre un agujero de seguridad que ellos ignoren.
Otra cosa que sabemos del cierto es que en NSO Group son grandes profesionales y peores personas. Su software se usa para espiar gente. Su gran argumento es que sólo lo venden a gobiernos y cuerpos de seguridad para espiar los malos, que su tecnología es neutral y que el resultado sólo depende del uso que se haga. Permitidme que niegue la mayor. La tecnología no es nunca neutral. El hecho de destinar recursos a una investigación y desarrollo u otra ya es una decisión que con una carga ética y si es con fondos públicos, con una de política. Los EE.UU. no fueron a la Luna en un esfuerzo titánico para hacer "un gran paso por la humanidad", fueron porque era la demostración de fuerza militar definitiva ante la URSS.
"Destinar recursos a una investigación y desarrollo u otra es una decisión con una carga ética y si es con fondos públicos, una de política"
En el caso de NSO Group es todavía más flagrante dado que la tecnología que desarrollan es para espiar, para violar la intimidad de las personas sin su consentimiento. El eslogan de NSO bien podría ser: "Si usted lo ha probado respetando el estado de derecho y no se ha salido, no se preocupe tenemos la solución a sus problemas". Por otro lado, si vendes tu software en países como Arabia Saudí, Bahrein, Los Emiratos Árabes, Marruecos, Kazakstan o México después no puedes declarar públicamente que no te haces responsable de su uso.
También sabemos cómo funciona Pegasus. Conocer el funcionamiento es a la vez tranquilizador y preocupante. Para poder espiar un móvil se tiene que instalar un software espia. Lo puede hacer alguien que tenga acceso físico o bien nos lo pueden hacer a nosotros de forma inadvertida. Pegasus funciona así y se le llama ingeniería social. El móvil a espiar recibe un SMS con un enlace a una noticia cualquiera que resulte atractiva a quien lo recibe. Son enlaces pensados individualmente según los intereses y afinidades de la persona a espiar. El objetivo es que sienta suficiente curiosidad para hacer clic sin preguntarse porque recibe un SMS de un número desconocido.
Si el usuario hace clic en el enlace le sale un error de página no encontrada, se le instala el Pegasus y se le reinicia el móvil. Si no hacemos demasiado caso (si el móvil se nos cuelga a menudo podemos pensar que es normal), el móvil ya es vulnerable al espionaje. A partir de aquí, irá enviando toda la información que los espías le pidan: fotos, mensajes, correos, mensajes, contraseñas, números de tarjeta…, todo absolutamente. La vida de los otros, versión digital.
Decía que conocer el funcionamiento es a la vez tranquilizador y preocupante porque al fin y al cabo, si no nos instalamos el software espia nosotros mismos Pegasus no tiene ningún efecto. Incluso habiéndolo instalado de manera inconsciente, haciendo clic al enlace pescaclics del SMS— podemos evitar que nos espien reiniciando el móvil con la configuración de fábrica: en los iPhones, por ejemplo, lo encontráis a Configuración -> General -> Restablecer. Así de fácil podéis derrotar todos los servicios secretos y las agencias de ciberespionatge del mundo.
También podéis estar tranquilos porque espiar a alguien cuesta mucho dinero. Además del coste del software (las licencias van del medio millón de euros hasta arriba) la infraestructura de servidores y los operadores necesarios para que los ataques tengan éxito hace que si no sois alguien con un perfil muy interesante para vuestros enemigos no valga la pena el dispendio.
"Ya podéis vigilar con los SMS con enlaces"
Otra cosa que es segura también es que se ha utilizado en territorio Español contra personas de un perfil muy concreto. Esto, por otro lado, no quiere decir que lo haya hecho el Estado español, ni los CNI, ni las cloacas. Todos los que os creéis el extrabajador que afirma que en la empresa se recibió con gran alegría que España se hiciera cliente de NSO Group —"Finalmente un miembro de la UE"— sois unos malpensados. Ya podéis vigilar con los SMS con enlaces.