El programa espía o 'spyware' Pegasus, que infectó los teléfonos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles, según ha informado el Ejecutivo este lunes, se cuela en los “agujeros” de seguridad de los sistemas operativos para controlarlos en remoto y acceder a todas las funciones del smartphone atacado.
El software, diseñado por la empresa israelí NSO Technologies -y vendido sobre todo a gobiernos, en teoría, para combatir el terrorismo y el crimen-, funciona mediante vulnerabilidades que se encuentran en un sistema y que se conocen como “zero day”, llamadas así porque el fabricante "tiene cero días para proteger a sus usuarios”, explica a EFE el especialista en ciberseguridad Deepak Daswani.
Una peculiaridad de Pegasus es que aprovecha esos errores de programación, que pueden darse en cualquiera de los servicios de un teléfono -mensajería instantánea, SMS, FaceTime, etc- sin necesidad de que el usuario o el titular del terminal haga click en ningún enlace o descargue nada nuevo.
Son, en concreto, "vulnerabilidades de ejecución remota de código", lo que significa que, una vez el móvil está infectado, el hacker es capaz de detectar la ubicación del sujeto, entrar en sus aplicaciones, grabar conversaciones, acceder a sus correos electrónicos, a su lista de contactos, fotos y vídeos, leer sus mensajes de texto o accionar a distancia la cámara para tomar imágenes o grabar conversaciones.
No todos los teléfonos son igualmente vulnerables ante ataques de spywares como Pegasus: por ejemplo, los iPhone son más difíciles de hackear que los Android, al ser este último "un ecosistema abierto, basado en open source", arguye Daswani.
Este ingenierio informático insiste en que es muy poco probable que los teléfonos de ciudadanos de a pie sufran este tipo de ataques "tan sofisticados", pues “es una amenaza persistente avanzada” dirigida a objetivos “muy concretos” y generalmente tiene un precio elevado.
“El coste de este tipo de vulnerabilidades suele ascender al millón de dólares”, precisa, y recalca que los errores del sistema operativo, una vez son detectados, pueden o bien reportarse al fabricante para que sean solucionados o bien vendidos a personas que pueden estar interesadas en ese agujero de seguridad.
Para conocer si un teléfono está infectado con Pegasus haría falta un análisis forense del dispositivo, comenta Daswani, pero existen algunas “pautas” para evitar posibles hackeos, como desactivar las funciones que no se utilicen, borrar las aplicaciones que no se usen o reiniciar el teléfono más a menudo de lo habitual, pues “casi nunca lo reiniciamos porque directamente lo cargamos”.
La primera filtración sobre el uso de Pegasus, el mismo que se usó para espiar a políticos catalanes en el escándalo denominado ‘Catalan Gate’ o para atacar el teléfono del fundador de Amazon, Jeff Bezos, se dio en 2017, aunque la primera alerta sobre este se produjo un año antes.