¿Cómo se analiza un teléfono para saber si ha sido espiado con Pegasus?

La batería, de pronto, empieza a durar menos. El dispositivo se sobrecalienta. Se quedan colgadas las aplicaciones a menudo. Son algunos de los indicios de que un móvil podría estar infectado por un programa espía, que está funcionando en la sombra y recopilando y enviando datos en todo momento, cuenta a Público Manuel Huerta especialista en tecnología forense y recuperación de datos y CEO de Lazarus, una empresa española pionera en este campo.

En sus oficinas fue donde se detectaron, por primera vez en España, en 2019, varios smartphones de periodistas donde se había introducido inadvertidamente Pegasus, un sofisticado programa informático de espionaje diseñado por una agencia israelí para su uso por agencias militares y gubernamentales.

Desde 2019, más de 50.000 teléfonos de periodistas, políticos, jefes de Estado, abogados y miembros de organizaciones activistas no gubernamentales de todo el mundo han sido infectados de forma ilegal por este software espía, según denunciaron en 2021 Amnistía Internacional y Citizen Lab, un laboratorio multidisciplinar de la universidad de Toronto enfocado en la investigación, desarrollo de la información y comunicación en materia de tecnología, derechos humanos y seguridad global.

Entre ellos estaba el periodista Jamal Khashoggi, asesinado en la embajada de Arabia Saudí en Estambul en noviembre de 2018, o el periodista mexicano Cecilio Pineda, infectado unas semanas antes de su asesinato en 2017. Forbidden Stories reveló que al menos 180 periodistas en 20 países habían sido espiados por este medio.

En España, Citizen Lab hizo público en 2022 que estaban comprometidos, al menos, 65 teléfonos de figuras políticas catalanas, sus familiares, abogados y abogadas, y representantes de la sociedad civil y de organizaciones vinculadas al independentismo catalán. Incluso, el spyware se ha hallado, según fuentes del Gobierno, en los dispositivos del actual presidente Pedro Sánchez y algunos ministros. ¿Cómo detectarlo?

Tecnología sofisticada en la cúspide del poder

“No es fácil de identificar, porque va más allá de los métodos estándar de infección. Recordemos que ha sido creado para su uso por agencias militares y gubernamentales. A medida que subimos en la escala de poder, cuando más importantes son las víctimas del espionaje, las amenazas son más sofisticadas”, señala Huerta, que también es profesor de Investigación Digital en el Grado de Criminalística de la Universidad Europea de Madrid.

Se trata, además, de ataques dirigidos, que buscan monitorizar todos los movimientos que una persona concreta hace con su móvil u ordenador: a quién llama, qué mensajes escribe o recibe, qué páginas visita, transacciones que realiza, etc.

Esto mismo podría hacerse con un software comercial de control parental –y de hecho, no es poco frecuente que se usen para vigilar lo que hace alguien con el móvil, sobre todo, en casos de matrimonios y divorcios, nos dice Huerta-. También, puede ser un virus que se cuela en el dispositivo cuando navegamos por internet. Luego están los ataques de alto nivel, como los realizados con Pegasus.

A esta clase de ataques no está expuesto cualquier ciudadano por una razón de peso. Tienen un coste económico alto para el atacante. “Una licencia de partida para infectar teléfonos con Pegasus cuesta unos dos millones de euros. Y no son licencias ilimitadas. Haciendo un cálculo aproximado, pueden emplearse para, como mucho, unas decenas de objetivos”, nos dice Huerta.

Por la misma razón, “la vigilancia masiva de la población, grabando todas sus conversaciones, no es realista. Tendría un coste inasumible, aunque solo sea por el coste de almacenamiento de esa información”, nos tranquiliza.

'Cero click': ataques inadvertidos

Las infecciones más avanzadas con virus-espía utilizan tecnología cero click: “Te envían al teléfono un programa que se ejecuta solo, sin que tengas que abrir ningún archivo ni pinchar en nada. Luego, se borra su imagen, para que no lo veas”, explica. Así, lo habitual es que pase desapercibido.

También ocurre que ese Pegaso invasor se puede borrar desde fuera. “Pero siempre deja marca. Existe la falsa creencia de que se puede intervenir en un dispositivo sin dejar rastro. Pero todo eso que hace, acceder a la información, copiarla, enviarla..., todo deja huella”, recalca.

De todas formas, para evitar intromisiones desde el exterior, cuando los expertos de Lazarus examinan un teléfono móvil para ver si está infectado o para hacer un análisis forense de su contenido, lo primero que hacen en guardarlo en una funda de Faraday, de un material que impide que se pueda acceder mediante tecnología inalámbrica a lo que contiene.

Análisis forense en busca de pruebas

El siguiente paso es volcar la información que contiene, para poder analizarla “en un entorno de cero lectura, para no modificar las evidencias”. Es aquí donde se buscan pruebas de su infección, si está activa. Si, por el contrario, ocurrió en el pasado y el dispositivo ya está limpio, se buscan huellas de que la hubo.

Con esos datos, “podemos averiguar el momento de la infección y el vector del ataque –si fue con un SMS, con técnica de cero click, etc-”, apunta Huerta. Lo que no es tan fácil es saber de dónde vino.

“Pero no es imposible. Aunque llegan de entornos donde el anonimato está blindado, se puede llegar a desandar el camino, y saber cuáles son los servidores de donde provino el virus y los servidores que reciben la información espiada o robada. Lo más difícil es saber quién hay detrás”, añade.