Pegasus es una de las herramientas de espionaje más discutidas en la actualidad. Este artículo viene al hilo del último, que titulé Ciberguerra, que dejo enlazado aquí.
Pegasus es una creación de la corporación israelí NSO Group. Se trata de una potente herramienta que aprovecha vulnerabilidades críticas para atacar a los teléfonos móviles a distancia, de forma que se puede acceder a todo su contenido, incluso activar en segundo plano componentes como la cámara o el micrófono.
NSO Group tiene su origen en la empresa de sus fundadores CommuniTake Technologies LTD que ofrecía a los trabajadores de soporte técnico de teléfonos móviles la capacidad de tomar el control para arreglarlos, si bien requería que el cliente otorgara permiso para habilitar el acceso.
Durante años, las fuerzas del orden y las agencias de inteligencia habían sido capaces de interceptar las comunicaciones en tránsito, pero con la encriptación de los dispositivos se volvió imposible. Podían interceptar una llamada, pero no podían entender lo que decían. Con la tecnología de CommuniTake Technologies podían recopilar los datos antes de que se cifraran. Lo que necesitaban era encontrar la forma de hacerlo sin permiso. Y así nació NSO Group.
La mayoría de miembros del equipo de investigación de NSO Group son veteranos de los servicios de inteligencia israelí. La mayoría de ellos sirvieron en AMAN, el Directorio de Inteligencia Militar de Israel, y muchos de ellos en la Unidad 8200, que sólo acepta a un puñado de los reclutas más brillantes y los entrena en los métodos más avanzados de programación de armas cibernéticas. Pocas personas hay en el mundo con tal capacitación.
En el año 2011, los ingenieros de NSO terminaron la primera versión de Pegasus. Los países europeos inicialmente desconfiaron de NSO, preocupados por el hecho de que contrataran a exfuncionarios de los servicios de inteligencia de Israel. Temían que su software espía pudiera permitir a los agentes del Mossad acceder a sus sistemas de información.
Para ganarse la confianza internacional, la empresa nombró como Presidente al general israelí Avigdor «Yanush» Ben-Gal, héroe de la guerra de Yom Kippur y superviviente del Holocausto, quien estableció los pilares de la compañía: los productos de NSO se vendería solo a gobiernos, nunca a individuos o empresas; serían selectivos sobre a qué gobiernos permitirían usar el nuevo software; y cooperarían con la Agencia de Control de Exportaciones de Defensa de Israel (DECA) para autorizar cada venta. La última es una falsa concesión, pues al igual que con los proveedores de armas convencionales, los fabricantes de armas cibernéticas deben obtener licencias de exportación del Ministerio de Defensa de Israel para vender sus herramientas en el extranjero, lo que proporciona una palanca crucial para que el gobierno influya en las empresas y en los países que les compran dichas armas.
Pegasus al servicio de los Estados
NSO tuvo rápidamente su primera oportunidad: México, que en su batalla contra los cárteles de la droga estaba buscando formas de piratear el servicio de mensajería cifrada de BlackBerry.
El Ministerio de Defensa de Israel informó a NSO que no había inconveniente con la venta de Pegasus a México. Los investigadores del Centro de Investigación y Seguridad Nacional (CISEN), ahora llamado Centro Nacional de Inteligencia, se pusieron a trabajar con Pegasus y pronto consiguieron interceptar las llamadas del Cártel de Sinaloa, llegando hasta su líder, Joaquín Guzmán Loera, conocido como «El Chapo». El narcotraficante más importante del mundo, quien cumple cadena perpetua en una prisión de máxima seguridad de Estados Unidos.
En el año 2017, investigadores de Citizen Lab Research Laboratory, un grupo de vigilancia de la red con sede en la Escuela Munk de Asuntos Globales de la Universidad de Toronto (Canadá), informaron que las autoridades de México habían utilizado Pegasus para espiar a los abogados que trabajaban para desentrañar la masacre de 43 estudiantes de la Escuela Normal Rural de Ayotzinapa en octubre de 2014. No fue un caso aislado. El periodista Cecilio Pineda Brito fue asesinado en marzo de 2017, después de que la policía le acusara de pertenecer a un cartel de la droga local, también fue objetivo de Pegasus como «potencial objetivo a vigilar». El mismo grupo ha denunciado que El Salvador utilizó Pegasus para atacar a miembros de la prensa.
No hay evidencia directa de que los contratos de México con NSO provoquen un cambio en la política exterior del país hacia Israel, pero si se advierte un cambio de actitud, así, tras una larga tradición de votar en contra de Israel en las conferencias de las Naciones Unidas, México ha comenzado a cambiar el «no» por «abstenciones».
Panamá también empleó Pegasus. En agosto de 2009, el nuevo presidente, Ricardo Martinelli, recién salido de una campaña presidencial basada en la promesa de eliminar la corrupción política, trató de persuadir a los diplomáticos estadounidenses para que le entregaran equipos de vigilancia para espiar amenazas a la seguridad, así como a opositores políticos, según un cable del Departamento de Estado publicado por WikiLeaks. Estados Unidos rechazó la petición de Martinelli, argumentando que no serían parte de ningún esfuerzo para expandir las escuchas telefónicas a objetivos políticos.
Ante el rechazo de Estados Unidos, Martinelli cambio de estrategia para acercarse a Israel. Panamá fue uno de los seis países en la Asamblea General de las Naciones Unidas que respaldó a Israel en contra de una resolución para mantener en la agenda internacional el informe de la Comisión Goldstone sobre los crímenes de guerra cometidos durante el ataque israelí a Gaza en 2008 y 2009. Una semana después de la votación, Martinelli aterrizó en Tel Aviv para apoyar al presidente israelí Shimon Peres. Poco después, Martinelli disponía de Pegasus.
Israel autorizó en 2013 la venta del sistema a los Emiratos Árabes Unidos, a modo de tregua, después de que agentes del Mossad envenenaran a un espía de Hamas en una habitación del hotel Al Bustan Rotana de Dubai en 2010.
Los Emiratos no dudaron en desplegar Pegasus contra sus enemigos domésticos. Uno de los primeros fue Ahmed Mansoor, activista por los derechos humanos y ganador del Premio Martín Ennals para Defensores de los Derechos Humanos. El 29 de mayo de 2019, Mansoor fue condenado por publicar «información falsa, rumores y mentiras sobre los Emiratos Árabes Unidos» en Facebook y Twitter. La condena consistió en 10 años de prisión y una multa de 1.000.000 de dírhams de los Emiratos Árabes (unos 270.000 $). Su apelación fue rechazada el 31 de diciembre de 2018. Desde su encarcelamiento, Mansoor ha languidecido en régimen de aislamiento.
El 17 de septiembre de 2021, el Parlamento Europeo aprobó una resolución pidiendo a los Emiratos Árabes Unidos la liberación inmediata e incondicional de Ahmed Mansoor y de todos los defensores de los derechos humanos, activistas políticos y disidentes pacíficos, declarando que las autoridades emiratíes «violaron los derechos de Ahmed Mansoor con arrestos y detenciones arbitrarias, amenazas de muerte, agresiones físicas, vigilancia gubernamental y trato inhumano bajo custodia».
No es el único caso de abuso. El Alto Tribunal de Londres ha sentenciado, recientemente, que el emir de Dubái, Mohammed sin Rashid al Maktum, ordenó el espionaje de su exesposa, la princesa Haya de Jordania, y su abogada, Fiona Shackleton, encargada de su defensa en el proceso de divorcio que se sigue bajo la jurisdicción británica. Tras ese descubrimiento NSO puso fin al contrato con los Emiratos Árabes Unidos.
Arabia Saudita también dispone de Pegasus. Lo uso para espiar al periodista Jamal Khashoggi, a quien agentes saudíes mataron y desmembraron en el Consulado de Arabia Saudita en Estambul en 2018. Israel vetó el uso de Pegasus a Arabia Saudita.
En julio de 2017, el primer ministro de India, Narendra Modi, visitó Tel Avid. Durante décadas, India había mantenido una política de lo que llamaba «compromiso con la causa palestina». Las relaciones con Israel eran frías, pero la visita de Modi y su reunión con el primer ministro israelí Netanyahu cambió las cosas. Sus países acordaron la venta de un paquete de armas sofisticadas y equipos de inteligencia por un valor aproximado de 2 mil millones de dólares, incluido Pegasus. En junio de 2019, India votó a favor de Israel en las Naciones Unidas.
El uso indebido de Pegasus por parte de las autoridades de India no ha pasado desapercibido y el Tribunal Supremo de India ha abierto una investigación sobre el presunto uso del software israelí para realizar labores de espionaje contra periodistas, opositores y activistas, entre otros.
El presidente de Francia, Emmanuel Macron, el ex primer ministro Édouard Philippe y otros políticos franceses, así como periodistas y activistas galos figuran entre las víctimas o afectados potenciales del programa israelí utilizado por los servicios de seguridad de Marruecos. Una investigación de Amnistía Internacional ha revelado que la destacada activista de Derechos Humanos saharaui Aminetu Haidar también fue espiada por Marruecos a través de Pegasus, así como el historiador Maati Monjyb y el abogado Abdessadak El Bouchattaoui y los periodistas Omar Radi y Hicham Mansouri.
Polonia también está en el punto de mira. Amnistía Internacional asegura tener pruebas de que emplearon Pegasus para interceptar las comunicaciones del senador polaco Krzysztof Brejza cuando se presentó a las elecciones parlamentarias de 2019 por un partido de oposición.
Pegasus en España
España no va a ser la excepción. Según una investigación de The Guardian y El País publicada en 2020, el móvil del expresidente del Parlament de Cataluña Roger Torrent fue objetivo del programa espía Pegasus a través de un fallo de seguridad de WhatsApp.
Amnistía Internacional publicó en agosto de 2021 una lista de víctimas de Pegasus en España. Son personas afines al independentismo catalán. Entre ellas se encuentran Elisenda Paluzie, expresidenta de la Assemblea Nacional Catalana, la periodista Meritxell Bonet, pareja de Jordi Cuixart, activista y expresidente de la asociación catalana Òmnium Cultural, condenado por el Tribunal Supremo por sedición, y Jordi Sànchez, expresidente de la Assemblea Nacional Catalana, condenado por el mismo cargo, si bien ambos fueron indultados por el Gobierno de Pedro Sánchez.
Citizen Lab también ha publicado una lista de personas espiadas con Pegasus. Son más de sesenta personas, vinculadas con el independentismo en Cataluña. Entre ellas, se encuentra el president de la Generalitat, Pere Aragonès, todos sus antecesores en el cargo en la última década, miembros y exmiembros del Govern, diputados del Parlament y del Congreso, activistas, abogados, profesores universitarios…
El 2 de mayo de 2022, el Gobierno de España informó que el teléfono móvil del Presidente del Gobierno y de la Ministra de Defensa fueron atacados con Pegasus en mayo y junio de 2021, respectivamente. Todas las sospechas señalan a Marruecos, tras las desavenencias surgidas entre los dos países a cuenta del Sáhara, el Frente Polisario y la crisis migratoria, que se acrecentó por aquellas fechas. Marruecos no ha respondido a las acusaciones de espionaje. El 10 de mayo de 2022, el Gobierno confirmó el ataque y añadió un tercer teléfono: el del Ministro de Interior, que fue atacado en junio de 2021. Asimismo, el Centro Criptológico Nacional confirmó un intento fallido del terminal del Ministro de Agricultura y ex embajador en Marruecos. La Audiencia Nacional se ocupó de la investigación, si bien, la causa por un delito de descubrimiento y revelación de secreto, que puso en jaque la propia seguridad nacional, fue archivada por orden del titular del Juzgado Central de Instrucción nº 4 de la Audiencia Nacional, José Luis Calama, ante la nula cooperación de Israel, que no contestó la comisión rogatoria enviada por la Audiencia Nacional.
ERC, EH Bildu, PDeCAT, Junts y la CUP, con dirigentes y diputados espiados entre sus filas, así como Unidas Podemos, PNV, Más País y Compromís pidieron una comisión de investigación pública en el Congreso, que fue rechazada con los votos en contra de PSOE, PP, Vox y Cs.
Quien compareció, en la Comisión de Secretos Oficiales del Congreso de los Diputados, fue Paz Esteban, Directora del Centro Nacional de Inteligencia (CNI), que reconoció que Pere Aragonès y otros diecisiete dirigentes independentistas fueron espiados con Pegasus, pero con autorización judicial.
Pocos días después de su comparecencia, el Gobierno anunciaba, sin explicación alguna, la «sustitución» de Paz Esteban al frente del CNI y el nombramiento de Esperanza Casteleiro como sustituta. Algunos apuntan que dicho cese responde a las presiones de los grupos independentistas, socios del Gobierno de Pedro Sánchez, quienes no estando satisfechos pidieron el cese de Margarita Robles. En tal sentido, el Parlament de Cataluña aprobó una moción registrada por ERC, con los votos a favor de Junts y la CUP y la abstención de Catalunya en Comú, instando el cese inmediato de la Ministra de Defensa, aunque no parece que vaya a tener efectos.
Lo que no queda claro es quien espió al resto de afines al independentismo en Cataluña. Hay quien señala a las Fuerzas y Cuerpos de Seguridad del Estado, si bien el Presidente del Gobierno negó en el Congreso, en respuesta a preguntas del PNV, que la Guardia Civil y la Policía Nacional dispongan de Pegasus.
La respuesta del Presidente del Gobierno coincide con una declaración pública de Fernando Grande-Marlaska. El Ministerio del Interior se limita a admitir el uso del sistema de escuchas SITEL, siempre bajo mandato judicial. Si la Policía Nacional y la Guardia Civil no disponen de Pegasus, las opciones se reducen prácticamente a una: el Centro Nacional de Inteligencia (CNI) que depende del Ministerio de Defensa. Eso si los ataques no proceden del exterior. Sea como fuere, el tema sigue sin aclararse y no parece que se vaya a aclarar.
Según algunas fuentes, como el periódico británico The Guardian, unos doscientos móviles de ciudadanos españoles habrían sido seleccionados como objetivos de vigilancia.
A la fecha, existe una investigación judicial en curso, iniciada por el titular del Juzgado de Instrucción nº 29 de Barcelona, tras admitir la querella presentada por Pere Aragonés contra el CNI, en la que ha pedido al Gobierno que desclasifique documentos secretos del CNI para esclarecer si el móvil de Aragonés fue espiado a través de Pegasus. Al mismo tiempo, el juez instructor ha pedido a la Comisión Delegada de Asuntos de Inteligencia la desclasificación de informes reservados en torno a la adquisición de Pegasus, a fin de identificar «a las personas que actuaron en nombre del CNI en los procesos de encargo, compra, recepción, solicitud de información, formación o soporte técnico, identificándolos con el máximo de datos de identidad y localización de que dispongan».
Las autoridades comunitarias se pronuncian
El EDPS (European Data Protection Supervisor) ha emitido un informe respecto al uso de Pegasus, señalando que su uso «supone un nivel de intrusismo sin precedentes, que amenaza la esencia del derecho a la privacidad, en tanto en cuanto el software espía puede interferir con los aspectos más íntimos de nuestras vidas diarias».
Dicho informe también advierte que: «Dado que las características técnicas específicas de los programas espía como Pegasus dificultan enormemente el control de su uso, tenemos que replantearnos todo el sistema de salvaguardias establecidas para proteger nuestros derechos fundamentales y libertades que están en peligro con estos instrumentos». El informe admite que Pegasus es difícil de detectar.
Herramientas alternativas a Pegasus
Pegasus no es la única herramienta de espionaje. Hay otras muchas, como Predator, un sistema de la empresa Cytrox, de características similares a las de Pegasus. Según las investigaciones de Citizen Lab esta herramienta ha podido ser utilizada por Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia.
Otro programa spyware con las mismas ventajas que los citados es Reign, de la empresa israelí QuaDream, rival de NSO Group, cuya existencia se reveló durante el año 2021.
También está Candiru, una empresa de seguridad informática israelí fundada en 2014 y reconocida como una de las empresas de ciberespionaje más avanzadas.
Más información
Si tiene curiosidad por saber cómo funciona Pegasus, haciendo clic aquí, tendrá acceso al un informe completo sobre sus funcionalidades. Y si quieren saber si su teléfono está infectado por Pegasus, les deje aquí un enlace a la herramienta Mobile Verification Toolkit desarrollada específicamente por el Laboratorio de Seguridad de Amnistía Internacional en julio de 2021 en el contexto del Proyecto Pegasus junto con una metodología técnica forense .
—
Fuentes
Ahmed Mansoor: La conciencia de los Emiratos Árabes Unidos. IFEX
Facebook demanda a la firma NSO Group por espiar a través de WhatsApp, El Periodico.com, 30.10.2019
Editorial. Notimundo. Los fundadores y BRG luchan por la venta de NSO. 25.01.2022
El regulador de la UE pide que se prohíba la herramienta de vigilancia Pegasus
La activista saharaui Aminetu Haidar espiada por Marruevos con Pegasus
Listado de personalidades espiadas con Pegasus en Cataluña
Los móviles de Pedro Sánchez y Margarita Robles fueron hackeados con Pegasus por fuentes externas