«La licencia de Pegasus para intervenir un teléfono puede costar hasta un millón de euros»
«Ante este tipo de softwares, estamos indefensos», asegura el especialista en ciberseguridad Vicente Aguilera Díaz. Expresa sorpresa por el anuncio tardío del espionaje a Sánchez y cree que el Gobierno de Israel probablemente tenga un veto sobre a quién se le aplica este programa.
El escándalo por el espionaje a políticos soberanistas y al presidente del Gobierno español cada día va sumando más novedades y todo gira en torno al famoso software producido por la empresa israelí NSO Group, en boca de todos. Pegasus, curiosamente, ni siquiera aparece en la página web oficial de la compañía. Hace tiempo se promocionaba como una herramienta solamente disponible para gobiernos.
La logística que hay detrás de una intervención que significa la toma de control total del dispositivo telefónico es compleja y no se sabe mucho al respecto. Los acuerdos son secretos y tocan intereses muy sensibles, pero además, implican mucho dinero.
«Ellos tienen un modelo de negocios muy bien planteado», explica a NAIZ el informático y especialista en ciberseguridad Vicente Aguilera Díaz, socio fundador de INT Security: «El coste del servicio va en función de las versiones del programa, tienen varias. Utilizan un packaging en función del teléfono a intervenir y el precio se negociará en función del volumen (de dispositivos) que se quiera monitorizar».
Preguntado por los precios, responde que «puede llegar a costar hasta un millón de euros, aunque también se ha hablado de 600.000. No se puede decir una cifra exacta porque esto tiene cambios y también depende del dispositivo y la versión de Pegasus, las últimas van incorporando más funcionalidad para intentar pasar más desapercibidos, se van sofisticando. Pero sí, hablamos de cifras altísimas, costes que sólo pueden pagar Gobiernos o muy grandes empresas».
La directora del Centro Nacional de Inteligencia, Paz Esteban, ha dicho en la Comisión de Gastos Reservados del Congreso este jueves que hubo un espionaje a 18 políticos soberanistas bajo supervisión judicial, según los trascendidos publicados tras la reunión a puerta cerrada. Por lo que explica Aguilera Díaz, sólo tomando como cierta esa la afirmación de Esteban, se estaría hablando de una operación de no menos de nueve millones de euros.
Si lo publicado por el grupo de expertos CitizenLab de la Universidad de Toronto fuera cierto y se tratara de 60 dispositivos intervenidos, la cifra superaría los 30 millones de euros como mínimo, y eso en el cálculo más conservador.
«Es posible que el Gobierno de Israel tenga la última palabra de a quién se vende y a quién no»
Aguilera Díaz señala también que «en teoría» las autoridades de Israel «probablemente validan o autorizan» la utilización de Pegasus. «Aunque es una empresa privada, viendo que esto es un servicio que se ofrece a otros gobiernos, lo que se habla en el trasfondo es que Israel quiere conocer en qué manos está y es posible que el gobierno de ese país tenga la última palabra de a quién sí se vende y a quién no».
Además, recuerda que el fundador de la empresa estuvo involucrado en trabajos de Inteligencia (en alusión a Niv Carmi, quien se supone fue un exagente del Mosad).
Asimismo, añade que en el submundo de la ciberseguridad se comenta que la comunicación entre la empresa y sus compradores «se hace a veces con empresas pantallas, intermediarios para evitar problemas de impuestos». Porque no sólo es un asunto de gobiernos: grandes intereses de corporaciones privadas suelen estar involucrados. «No olvidemos que ha habido ataques a la ciberseguridad de laboratorios por el covid, de empresas que han querido adelantarse, hay muchos intereses comerciales en proyectos de investigación por la competencia», agrega.
¿Por qué ahora la revelación del Gobierno? «O antes no encontraron rastros o no les interesaba por motivos políticos, o por contrainteligencia»
Sobre lo denunciado por Moncloa, Aguilera Díaz opina: «Me ha sorprendido que el Gobierno diga ahora, que lo hayan descubierto un año después. Habría que ver qué pasó... porque podría ser que no se hubiera descubierto porque en ese momento la revisión de rutina que se hace no encontró rastros, o que sí lo hayan detectado pero les interesaba no sacarlo a la luz por motivos políticos, o incluso por contrainteligencia, es decir, para volcar determinados temas al detectar el espionaje y así confundir».
Con respecto a la técnica de espionaje concreto, asevera que «es muy difícil detectarlo porque está diseñado para no dejar trazas» y sólo puede descubrir con facilidad si se revisa el dispositivo en el mismo momento en que se está robando datos. «Pegasus toma el control total del teléfono, puede alterarlo todo, hacer chats, poner y borrar aplicaciones, pero se cuida de no despertar sospechas y por eso se suele no hacer cambios para no generar alarmas», subraya. Además no hace falta que el usuario abra un enlace o mensaje, tan solo con una llamada o envío de mensaje alcanza para poder comenzar la filtración.
Pegasus ofrece dos formas: intervenir desde la compañía o vender la infraestructura al cliente para que pueda hacer la operación desde su propia oficina. Y puede ser letal incluso con alta prevención de seguridad: «Están preparados para explotar las vías desconocidas de los software, explotan modalidades que no conocen, por eso estamos indefensos. Aunque hubiera un dispositivo con protección también estaría en riesgo porque el propio software de seguridad tiene una ventana de riesgo», asegura.
El programa israelí no es el único que oficia de espía virtual. «Hay muchos Pegasus en el mundo, hay otro de otra empresa israelí, Candiru, y otro que se llama Galileo, de una empresa italiana, sólo que Pegasus es el que se hizo más conocido», explica.
Y en este tema, Aguilera Díaz cree que a pesar del escándalo político, no habrá cambios: «Esto va a seguir existiendo, no se va a acabar, se sabe que los gobiernos espían gobiernos y al final lo que ocurrirá es que todos intentarán reforzar sus medidas de seguridad y controles, aunque no nos acabemos enterando».