Ciberseguridad>

Pegasus y el spyware: así son los programas de espionaje para militares, civiles y empresas

El software espía recopila y comparte información sobre una ordenador o red sin el consentimiento del usuario

Pegasus y el spyware: así son los programas de espionaje para militares, civiles y empresas

El software de espionaje Pegasus, creado por la compañía israelí NSO, ha causado un terremoto en la política española después de que un informe de la organización canadiense Citizen Lab revelara que se había utilizado para hackear los móviles de al menos 65 políticos y activistas de Cataluña y País Vasco, e incluso el del presidente del Gobierno, Pedro Sánchez. Esta herramienta, sin embargo, no es la única de su tipo, sino que forma parte de una categoría de aplicaciones y programas maliciosos conocidos como spyware (software de espionaje) que, de hecho, están esparcidos tanto en sector defensa como en el mundo criminal e incluso entre las empresas y los ciudadanos comunes.

Según Palo Alto Networks, la empresa de ciberseguridad más grande del mundo, el spyware es un tipo software malicioso (malware en inglés) que recopila y comparte información de un ordenador o red sin el consentimiento del usuario. Puede llegar a los dispositivos e instalarse sin consentimiento como parte de un paquete de software genuino, o a través de anuncios engañosos, sitios web, vínculos, correos electrónicos, mensajes o conexiones directas para compartir archivos. Algunos de estos programas incluso pueden permitir acceso a la geolocalización y a los micrófonos o cámaras de los móviles y ordenadores.

Bogdan Botezatu, director de investigación de amenazas de la empresa de ciberseguridad Bitdefender, ha explicado a Cinco Días que Pegasus es uno de los spyware para iOS y Android más avanzados que se hayan detectado en el mundo hasta el momento, y que explota vulnerabilidades en aplicaciones como WhatsApp o FaceTime para infectar teléfonos inteligentes: “Pegasus compromete el dispositivo a través de vulnerabilidades y aprovecha su acceso raíz en el dispositivo. A partir de ahí, los atacantes tienen el control total del objetivo y pueden instalar aplicaciones adicionales, exfiltrar archivos, entre otras cosas”. Según Citizen Lab, este software habría sido utilizado contra unas 50.000 personas y por lo menos en 34 países, aunque NSO indica que habría operado hasta en 40 países en 2021. El CNI de España habría pagado hasta unos 6 millones de euros por adquirir la herramienta de espionaje.

Klara Jordan, directora de políticas públicas de Cyberpeace Institute, ha asegurado a este periódico que en Europa este tipo de herramientas se encuentran más en países menos democráticos, pero que todos los Gobiernos de la región los han empleado y que también las usan los delincuentes: “Estas filtraciones son distintas a cederle los datos a Facebook o Amazon, porque no hay ningún control ni buenas prácticas. Los datos se emplean de forma criminal, pueden ser manipulados de cualquier manera o terminar en la deepweb. Estas violaciones de privacidad podrían convertirte en víctima de robo, secuestro o fraude, y en el caso de los regímenes autoritarios podría ocasionar que le encarcelen o incluso que te maten”.

Algunos de los software espía también pueden registrar las pulsaciones de las teclas para obtener datos personales como el nombre del usuario, la dirección, las contraseñas, la información bancaria y crediticia o la información de la seguridad social. Asimismo, puede escanear archivos en el disco duro del sistema, husmear en otras aplicaciones o leer cookies,

Los creadores de Pegasus, no obstante, insisten en que su creación está pensada para apoyar a las fuerzas de la ley. “La postura firme de NSO sobre estos temas es que el uso de herramientas cibernéticas para monitorear a políticos, disidentes, activistas y periodistas es un mal uso severo de cualquier tecnología y va en contra del uso deseado de tales herramientas. Somos un proveedor y no operamos la tecnología ni tenemos acceso a los datos recopilados. La empresa no sabe ni puede saber quiénes son los objetivos de sus clientes, pero implementa medidas para garantizar que estos sistemas se utilicen únicamente para los usos autorizados” ha asegurado un portavoz de la empresa a Cinco Días.

Ante esto, Jordan responde que la empresa ha sido cómplice, puesto que tendría que haber garantizado que su software se utilice únicamente para combatir el crimen o el terrorismo desde el principio: “No tiene sentido que hayan podido venderlo a partidos políticos u otro tipo de entidades, porque no estaba diseñado para ser empleado fuera del entorno de la defensa y seguridad. Ellos tenían la responsabilidad de verificar que se use en el contexto correcto”. La especialista aclara que la Unión Europea está actualmente trabajando para garantizar que cuando los países adquieran este tipo de herramienta, se empleen solo en el ámbito correcto y con supervisión de un juez.

La utilización del spyware, no obstante, trascienden el espionaje. El software espía puede recopilar casi cualquier tipo de datos, incluidos los hábitos de navegación web o la actividad de descarga. En este sentido, los expertos de Palo Alto Networks aseguran que, a diferencia de otros tipos de malware, estas herramientas son utilizadas también por “anunciantes sin escrúpulos” y empresas que buscan recopilar datos de mercado de los usuarios sin su consentimiento. Los especialistas añaden que, como herramienta de publicidad, el software espía también se emplea para recopilar y vender información del usuario a anunciantes interesados u otras partes interesadas. En estos casos, estos programas reciben el nombre de Adware (software malicioso de anuncios).

Cabe destacar que, a pesar de su complejidad, defenderse de estas amenazas es posible. Nicolás Arias, Director de Proyectos Especiales de la empresa de ciberseguridad VU, ha explicado a Cinco Días que para evitar este tipo de programas hay que considerar mantener los dispositivos actualizados y no instalar aplicaciones innecesarias o de fuentes no oficiales: “Adicionalmente, es recomendable usar un firewall que permita analizar las conexiones e incluso analizar el tráfico, además de mecanismos de seguridad como múltiples factores de autenticación y encriptación de los datos almacenados y en tránsito”.

Normas
Entra en El País para participar