El nombre “de moda” en el mundo de la informática y la protección de datos hoy es Pegasus, un spyware desarrollado por la firma israelí NSO Group. Y si bien NSO asegura que su comercialización se realiza en un contexto muy acotado y dentro del marco de la ley con el único fin de prevenir problemas de seguridad, la realidad parece ser otra, especialmente en el caso del espionaje a activistas de la salud en México descubierto hace unos días.
¿Cómo funciona Pegasus? El programa actúa sobre iOS y una vez instalado permite al atacante acceder a toda la información sensible que se encuentre dentro del teléfono, incluyendo documentos, agendas de contactos y hasta grabar el entorno del usuario de manera “oculta” a través de la cámara y el micrófono. Para ello, el programa saca provecho de algunas vulnerabilidades críticas de iOS que según Apple se han ido parcheando mediante actualizaciones de software, pero a ciencia cierta no se ha asegurado que esos parches eviten por completo que Pegasus actúe.
Sin ir más lejos, los “ataques” a los activistas mexicanos se llevaron a cabo a mediados de 2016 a través de mensajes de texto donde se les solicitaba a las víctimas ingresar a un enlace adjunto que instalaba Pegasus sin autorización del usuario.
Eso sí, aún cuando la amenaza de Pegasus es alta, por ahora parece limitada a personas de alto perfil y no a usuarios comunes y corrientes. Luis Fernando García, director de la Red en Defensa de los Derechos Digitales de México (R3DMX), explica que infectar a alguien con Pegasus es muy caro. “Los gobiernos pagan un precio alto por un número limitado de licencias, por lo que un spyware como este se utiliza solo en casos donde es estrictamente necesario”.
El vínculo entre el gobierno de México y NSO Group
(AP Photo/Daniella Cheslow)
En el año 2014, se promulgó en México una ley que aplica un impuesto a las bebidas gaseosas como parte de una campaña que busca reducir la obesidad en aquel país, uno de los líderes en el consumo de gaseosas per cápita en el mundo. Dicha ley fue impulsada por un grupo de activistas que a mediados de 2016 propusieron duplicar el impuesto, a la vez que pidieron transparencia al gobierno respecto a la utilización del dinero recaudado hasta la fecha.
También a mediados de 2016 comenzaron a aparecer sospechosos mensajes en los teléfonos de las víctimas, que fueron enviados a una compañía de seguridad para que estudiara su procedencia. La conclusión: se trató de un intento por instalar Pegasus en los teléfonos de personas (se cree que al menos uno de los blancos sí alcanzó a ser intervenido) que de una u otra forma habían causado alguna molestia a las compañías de refrescos y, lo más grave de todo, es que se cree que alguna agencia de gobierno tuvo participación en la adquisición del programa; la relación entre México y el NSO Group data del 2012, cuando se reportó que el gobierno pagó 20 millones de dólares en el acuerdo con la compañía israelí.
Luis Fernando García indica que, o bien la industria de gaseosas estuvo asociada al gobierno, o NSO le vendió su software a una transnacional “violando sus principios de venderle sólo a gobiernos, lo que le podría acarrear sanciones en sus permisos de importación”. Por ende, las autoridades israelíes “deberían también investigar a NSO Group y revisar a quien le están vendiendo el software”.
Quien investiga a quien
La R3DMX está exigiendo que el gobierno mexicano investigue la utilización de Pegasus por parte de terceros ajenos a agencias de gobierno, pero la pregunta cae de cajón: ¿Quién investigará a quién? ¿Será capaz un gobierno que no se caracteriza por su transparencia poner en tela de juicio lo que sus propias agencias hacen?
Según García, la Procuradoría General de la República es quien debe proceder a investigar. El problema es que “resultaría paradójico que la fiscalía se investigue a sí misma ya que se trata de uno de los entes señalados como comprador y usuario de Pegasus”.
“Aún así, llegado el momento se puede recurrir a organismos internacionales”, cierra Luis Fernando García.
¿Y qué hacen las compañías tecnológicas para prevenir las vulnerabilidades?
A juicio de expertos como la firma de seguridad canadiense Citizen Lab, ni Apple ni otras compañías tecnológicas están actuando de manera firme para evitar que programas como Pegasus aprovechen los huecos de seguridad de su sistema operativo.
Y una de esas medidas tiene que ver con un programa de incentivos que le paga a terceros que encuentren errores en sus sistemas. Dichos incentivos pueden alcanzar los USD $200.000 en el caso de la misma Apple, aunque en promedio la mayoría de los “premios” rondan los USD $10.000. Y si bien no se trata de una cifra pequeña, se queda un poco lejos de lo que pagan otras compañías externas como Zerodium, que en 2015 realizó un inusual “concurso”: un millón de dólares de premio al que lograra romper la seguridad de iOS 9.
Será interesante observar cómo se desenrrolla la madeja de ahora en adelante, sobre todo cuando el gobierno ya ha sido emplazado públicamente a resolver la situación, amén de vivir en una era donde la protección de datos es un tópico demasiado sensible y relevante no solo para la vida digital.