El software que usaron para hackear el celular de Jeff Bezos se llama Pegasus. Se trata de una poderosa herramienta que permite acceder, de forma remota, a toda la información que hay en un celular, una tablet y/o una computadora: mensajes de texto, llamadas, contactos y correos electrónicos y aplicaciones, fotos, videos, historial de navegación, datos de localización y hasta activar el micrófono y la cámara para escuchar y ver, en tiempo real, lo que habla y escucha su dueño.
Pegasus es el producto estrella desarrollado por la empresa Israelí NSO Group, creada en 2010 y que, según cálculos, ahora vale unos 1500 millones de dólares. (La mayoría de sus acciones pertenecen a Novalpina Capital, una empresa con sede en Londres). NSO tiene 750 empleados y entre sus más de 40 clientes gubernamentales se encuentra Arabia Saudita, que contrató los servicios un año antes de los hechos sobre Bezos que conté en la primera entrega (link).
A mediados de julio de este año se conoció un informe llamado “Proyecto Pegasus” llevado adelante por The Washington Post (el diario de Bezos) y otros 16 medios de comunicación asociados. El informe fue dirigido por la ONG periodística Forbidden Stories, con sede en París (https://forbiddenstories.org/)
El resultado de la investigación arrojó que más de 50 mil celulares fueron hackeados a pedido de distintos clientes de NSO, entre los que se encontraban varios gobiernos. Entre esos miles de celulares de personas consideradas “de interés” hay periodistas, empresarios, activistas de DDHH, diplomáticos, militares, funcionarios, etc. Además, había 14 números privados de presidentes y jefes de Estado, entre los que se encontraban el francés Emmanuel Macron, Barham Salih (Irak) y Cyril Ramaphosa (Sudáfrica. También primeros ministros y hasta un Rey.
Uno de los fundadores de NSO, Omri Lavie, se defiende de las acusaciones contra la empresa y afirmó que su herramienta es la mejor que existe en el mundo para combatir el terrorismo y el crimen. “No podemos ver la actividad de nuestros clientes ni cómo usan Pegasus pero nosotros desarrollamos la mejor herramienta posible. Alguien tiene que hacer el trabajo sucio”, se excusó. Y dijo que son sus clientes los que abusan del software sin ningún control.
El spyware y/o malware aprovecha las vulnerabilidades y puntos débiles de un sistema operativo para hackear un dispositivo. Está diseñado para trabajar de forma sigilosa y cubrir todo tipo de huellas. En los últimos tiempos también es capaz de autodestruirse, lo que dificulta la tarea a los forenses digitales para saber si un celular fue infectado o espiado.
Hay distintas herramientas de software, que van de simples hasta bien complejas, como las que usan los servicios de inteligencia de los países o en el ámbito militar para seguridad y defensa. Pero, por supuesto, también se usan para el mal. En los últimos años, distintos ciberdelincuentes, grupos terroristas, bandas criminales y hasta narcos se fueron armando con arsenales conformados por distintas herramientas de ciberespionaje muy sofisticadas. El objetivo es doble: hackear para robar (dinero y datos) y también la protección para no ser atrapados.
No es casual. Después de escapar durante años, el famoso narco mexicano Joaquín “Chapo” Guzman cayó en manos de la DEA en enero de 2016, por culpa de los SMS de su BlackBerry, que habían sido interceptados y cruzados con un GPS. “Hoy los narcos no solo tienen sicarios como antes sino que también tienen hackers. Son los nuevos sicarios 2.0”, explica un experto en ciberseguridad que prefiere el anonimato.
El caso Bezos y el escándalo de Pegasus ventilado por Forbidden Stories deja varios interrogantes: ¿Quién vigila a los que espían? ¿Quién protege a los simples ciudadanos del uso y abuso del espionaje ilegal?
En un mundo globalizado y con una red como internet que no conoce fronteras el problema no puede tratarse solo de forma local. Pero las leyes internacionales que regulan la actividad de la ciberseguridad son muy desparejas. Hay países que ni siquiera tienen en consideración a la ciberseguridad.
En los Estados Unidos, por ejemplo, existen algunas restricciones legales al software espía, como la Ley Federal de Fraude y Abuso Informático, promulgada en 1986 y que prohíbe el «acceso no autorizado» a un ordenador o un celular. Pero su lenguaje vago genera huecos legales por donde se escabullen algunos abogados para defender a sus acusados en los tribunales. También difiere según los Estados. La Ley Integral de Acceso a Datos Informáticos y Fraude de California prohíbe la manipulación o interferencia electrónica.
Pero nada parece suficiente para combatir en una pelea desigual. La ley siempre corre por detrás del delito.
Por eso la secretaria general de Amnistía Internacional, Agnès Callamard es muy enfática en su propuesta: exige suspender en todo el mundo la exportación venta, transferencia y uso de tecnología de vigilancia “hasta que se establezca un marco regulador sólido que respete los derechos humanos” y reclama de forma urgente “una reglamentación estricta que ponga orden el “salvaje oeste” que es la industria de la vigilancia”.
Mientras tanto, ¿es posible mantener el celular a salvo de un hackeo? “La seguridad absoluta es una utopía” dice Rodolfo Pignatelli, especialista en ciberseguridad y fundador de la empresa GreenTank. “Pero sí es posible mitigarla con medidas y contramedidas, pero que requieren de inversión. La industria de la defensa desarrolló aplicaciones específicas, con altos niveles de encriptación, permitiendo obtener un 99 por ciento de protección en comunicaciones entre sus usuarios usando la red celular y un smartphone básico. Estas apps ya no están reservadas solo a ejércitos, gobiernos o fuerzas de seguridad, sino que algunas versiones ya están listas para el sector corporativo.
-¿Y para las personas?
-Creo que en usuarios personales, debemos partir de la premisa “menos es más”. Mantener siempre la última versión del sistema operativo y las aplicaciones instaladas es una medida de prevención para no ser víctima de ataques del tipo Zero Day (de los más peligrosos porque no se pueden evitar ya que el fabricante del software todavía no encontró su vulnerabilidad), entre otras decenas de técnicas de intrusión.
***
“El caso que destapó las filtraciones masivas fue Snowden” explica Pignatelli. Se refiere a Edward Snowden, un perfecto desconocido hasta que en 2013, cuando tenía 30 años, provocó la mayor filtración de la historia de los Estados Unidos al hacer públicos casi dos millones de documentos secretos de la Agencia de Seguridad Nacional (NSA, la poderosa rama militar del Pentágono). Allí trabajaba Snowden pero después de las filtraciones fue acusado por delitos criminales en los EE.UU y desde entonces, hasta hoy, vive asilado en la embajada de Ecuador en la Rusia de Vladimir Putin. Google, Apple, Microsoft, Yahoo! y Facebook, entre otras empresas, colaboraron con la NSA al permitirles ingresar a sus servidores. De esta manera, el entonces gobierno de Barack Obama tuvo acceso irrestricto a todos los correos electrónicos, fotos, chats, videos, historial de navegación en la web, transferencias de archivos, mapas y una larga lista que incluye, por supuesto, todo lo que los usuarios hacen en Facebook: desde un like en una foto hasta un mensaje privado. Pero eso no es todo. La empresa norteamericana de telecomunicaciones Verizon fue obligada a entregarle a la NSA todos los registros de las llamadas telefónicas (fijas y celulares) que realizaron sus clientes. “En sólo treinta días la unidad de operaciones recogió datos de 97 mil millones de e-mails y 124 mil millones de llamadas telefónicas de todo el mundo”, escribió el periodista Glenn Greenwald en “Sin un lugar donde esconderse”, el excelente best seller donde Snowden contó su historia en detalles. Según el autor, el objetivo de la NSA fue claro: eliminar por completo la privacidad electrónica en el mundo recogiendo, almacenando, controlando y analizando todas las comunicaciones entre las personas del planeta.
Snowden destapó una olla y desde ese entonces todo empeoró.
Hoy nadie está a salvo.
Lalo Zanoni 
1 Comment