La comissió d’investigació sobre Pegasus del Parlament Europeu ja ha començat a rodar i ho ha fet interrogant aquest dimarts tres experts en ciberseguretat per començar a desentranyar els misteris d’un ‘software’ d’espionatge que ha obert una profunda bretxa de desconfiança a la Unió Europea i a Espanya, on ha provocat la destitució de la directora del CNI, Paz Esteban.
Segons les seves conclusions, les capacitats del ‘software’, fabricat per l’empresa israeliana NSO Group, són gairebé infinites perquè no només permet accedir als telèfons mòbils per espiar converses o accedir a informació recollida a l’aparell sinó també col·locar dades dins del terminal espiat.
«El ‘software’ possibilita la manipulació de tot el telèfon. Té accés a tots els drets així que pot col·locar dades al terminal», ha explicat Constanze Kurz, del portal netzpolitik.org, i una dels tres experts en ciberseguretat que han comparegut en la primera reunió de la comissió d’investigació. «Pegasus és un administrador del seu telèfon i per tant pot fer el que vulgui. Pot llegir fitxers i si pot llegir-los també pot llegir les ‘cookies’ d’autentificació de les credencials, que són les que permeten obrir el seu compte de correu. Pegasus et pot substituir en línia i pot tenir la possibilitat d’incorporar fitxers als dispositius. No hi ha manera de saber si aquesta possibilitat s’utilitza veritablement» perquè «no hi ha auditories independents de com es comporta», però «no podem excloure que hi hagi una versió Pegasus que sigui capaç d’implantar fitxers», ha afegit Adam Haertle, editor del portal de ciberseguretat polonès Zaufana Trzecia.
El que tenen clar és que l’empresa israeliana ha de saber qui són les víctimes perquè el fabricant continua donant servei de suport als clients que adquireixen les llicències i és impossible utilitzar el sistema sense que l’empresa presti aquest servei. «Diuen que no tenen cap idea de qui són les víctimes i que supervisen els seus clients per veure si no estan abusant del sistema», però és «una declaració contradictòria i cal assumir el pitjor. Saben qui són les víctimes i és possible des del punt de vista tècnic», apunta el mateix expert.
Iphone, presa fàcil
Haertle també adverteix que els iPhones són «presa fàcil» i que són més fàcils d’espiar que els Android per la fragmentació més gran que hi ha en els models que utilitzen aquest sistema operatiu. «Per a Android hauria de generar més versions per a un sol terminal i seria més difícil encertar», estimen. També és més difícil buscar proves de possibles espionatges en els Android.
Quant a l’atribució de l’espionatge a certs governs, els experts interrogats reconeixen la dificultat d’atribuir l’atac degut al fet que s’utilitzen operadors intermediaris i s’oculta on s’envien les dades. Però asseguren que existeixen tècniques per ancorar determinats atacs i que és molt difícil que un ‘software’ no deixi cap rastre. «Si s’agrupen diversos atacs, es pot arribar a la conclusió de quins són els objectius i un es pot fer una idea de qui és l’operador», afirma Bill Marczak, de CitizenLab, l’organisme que ha destapat el ‘CatalanGate’.
Segons ha detallat, tot i que les llicències permeten espiar en un determinat país admet que «si un client paga prou el normal és que NSO el deixi espiar», amb petites limitacions. Per exemple, els clients no poden espiar a Israel o als Estats Units llevat que tinguin seu allà. Tot i que no han donat xifres, els experts reconeixen que les llicències d’accés als programes d’espionatge tenen un cost de «milions» o «desenes de milions» segons la funció d’espionatge. Països com Israel, els Estats Units, Alemanya, Rússia, França o la Xina disposen dels seus propis instruments sense necessitat d’haver de recórrer a empreses com NSO Group.