BRUSELAS. Un comité de expertos se ha reunido con la comisión de investigación del Parlamento europeo, creada ex profeso tras salir la luz el escándalo del programa software Pegasus, utilizado por gobiernos de países de la Unión Europea (UE) para espiar a políticos e incluso eurodiputados. La primera sesión ha contado con el morbo adicional de la presencia de algunos espiados, miembros del comité, como el ex presidente de Catalunya y parlamentario europeo por Junts Carles Puigdemont y la también eurodiputada por ERC Diana Riba, que ha intervenido online.
Durante dos horas, la Comisión de Investigación del uso de Pegasus y otros spyware de vigilancia equivalentes ha expuesto sus preguntas sobre ciberseguridad y privacidad a los cuatro oradores invitados: Constanze Kurz, de NetzPolitik; Adam Haertlé, ZaufanaTrzeciaStrona (Polonia); Linus Neumann, experto alemán en seguridad informática móvil, y Bill Marczak, Citizen Lab (Canadá).
Las preguntas han ido dirigidas a los aspectos más técnicos, ya que varios eurodiputados tenían dudas de si les habían hackeado en algún momento. De hecho, el Parlamento Europeo ofreció a sus miembros la posibilidad de someter sus dispositivos electrónicos a una inspección para comprobar si estaban infectados con el virus de Pegasus, perteneciente a la empresa israelita NSO.
“Cero clik” es el sistema utilizado por Pegasus y que garantiza su fiabilidad al comprador-espía, ya que permite penetrar en los teléfonos móviles sin que su usuario haga nada para “aceptar” esta intrusión o pueda impedirlo y, es más, sin que sea consciente de que tiene un troyano en su dispositivo. A partir de ese momento, la vulnerabilidad es total y definitiva ya que, según un experto, el receptor queda obsoleto incluso cuando se detecta y limpia el spyware.
La comisión de investigación sobre el uso del programa espía de vigilancia Pegasus y otros programas equivalentes está compuesta por 38 miembros. Durante doce meses, examinará las presuntas infracciones de la legislación de la UE en el uso del programa de vigilancia por parte de Hungría y Polonia, entre otros países, como España. El Gobierno español confirmó la pasada semana que se ha usado este programa para espiar el entorno del independentismo catalán “dentro de la legalidad”, es decir, con autorización judicial, nominal e individualizada.
La primera ronda de preguntas ha girado en torno a cuestiones técnicas. Por ejemplo, han especificado que un teléfono infectado no puede pasar el spyware al ordenador cuando se enchufa al dispositivo o se comparte software. Normalmente, NSO vende por separado la contaminación de cada dispositivo.
En principio, NSO afirma que sólo vende a Gobiernos, previa autorización de la propia empresa. La exigencia, además del precio, es que el comprador tenga capacidad para almacenar los datos en servidores propios. No obstante, ya existen empresas dedicadas a alquilar estas nubes o servidores en una especie de prestación de servicios que las hace intermediarias, como la que se ha descubierto con el espionaje en Polonia. No hay ninguna garantía de que los intermediarios no tengan acceso a los datos almacenados y los utilicen para venderlos a terceros países u otras empresas interesadas.
También se descubrió que la empresa polaca, además de alquilar su servidor, ofrecía un servicio de formación en el uso para agentes gubernamentales y mantenimiento en caso de problemas técnicos leves. Para dificultades técnicas importantes, se recurre directamente a NSO.
Por supuesto, NSO sólo reconoce que se lo vence a los Gobiernos y bajo condiciones. Una de ellas es el país comprador y el sujeto espiado. Por ejemplo, no se vende para espiar a Estados Unidos e Israel, excepto que el comprador tenga sede en esos países. Varios países de ls UE han comprado este programa, aunque algunos cuentan con programas propios, como Francia, Pegasus lo usan quienes no tienen su propio sistema como Rusia, China, Estados Unidos Francia e Israel. Esos países tienen una herramienta propia.
Hay programas de spywre más agresivos, pero Pegasus es el más sofisticado y su base de clientes es más amplia. Hay una licencia básica que consiste en que los gobiernos pueden espiar en su país. Si pagas más, puedes espiar en otros países, siempre con la aprobación de la empresa NSO.
Ello se debe a que la ubicación del operador es limitada, una que se usan aplicaciones de mensajería y se entra al dispositivo espiado a través de internet. Hay otros programas de espionaje en ls que intervienen redes de comunicaciones, donde se aprovechan las vulnerabilidades de la red de comunicación y con el acceso a bases de datos más limitados, como el rastreo de un teléfono no encriptado. La ventaja es que no toca el dispositivo, sino que sólo opera a través de la red.
El precio es otra de las variables para NSO. Se habla de decenas de millones de euros, según la función y el tipo de gobierno que se pretende espiar. Las agencias gubernamentales pueden querer una función diferente y los contratos de grupos de hackeadores difieren según el país. Por ejemplo, el contrato para el gobierno de Etiopía fue de un millón, mientras que se habla de 250 millones de dólares en el caso de Arabia Saudí.
En el caso del contrato conocido con el gobierno de Ghana, fueron ocho millones de dólares para 15 licencias paralelas en 2017, con una empresa polaca, ya que necesitaba muchos intermediarios. Parece ser que los gobiernos no van directamente a NSO, sólo venden la solución. Esto es normal en los servicios digitales.
En cuanto al hardware, “Apple también tiene un problema”, explicó uno de los expertos. Su sistema operativo ha sido famoso durante 40 años por la escasa vulnerabilidad a cualquier virus. No obstante, no es infalible con Pegasus, que también puede entrar en los Android. Pegasus se ha especializado en iPhones porque es uno, mientras que los dispositivos Android se utilizan en distintas marcas.. Por ello, “hay que regular a los fabricantes de programas informáticos para que no creen programas espías”, añade.
El objetivo sería regular el mercado de las infecciones. Estados Unidos ya intentó regularlo. Y China no permite que se vendan virus fuera, son para uso local. Todos ello dificultaría la vida a NSO. Mientras tanto, ¿qué pasa con los datos y si se pueden borrar en la empresa que los almacena?, se preguntan los eurodiputados. La respuesta, de nuevo, está en la ley. Depende de las autoridades nacionales.
El eurodiputado Carles Puigdemont, que acaba de presentar una querella por ser espiado con Pegasus, se interesó por si esta circunstancia “tendría consecuencias en procedimientos judiciales, ya que los datos confidenciales son accesibles a través de NSO, no sólo por un funcionario público”. Y también se preguntó si “no podemos saber de dónde viene el ataque ni si se ha realizado, ni si se ha retirado el hackeo de nuestro móvil o si esto es ilegal”. También Diana Riba, en su comparecencia online, preguntó si se puede saber “quién es el propietario del operador, en qué país se encuentra y qué Gobierno ha sido”.
Otros eurodiputados preguntaron por sus casos particulares. Pegasus va más allá de cualquier spyware y evita incluso la “autentificación de doble factor de Apple”. Respecto a qué aplicaciones son más seguras, Pegasus penetra en todas las que tienen mayor difusión en el mercado, como Whatsapp, Telegram y Signal. Además de robar información, también puede modificar o crear datos nuevos sin que el propietario se entere, por ejemplo, evitando mails con fake news o información falsa a través de Facebook.
¿Con dinero, todo el mundo puede espiar a todo el mundo? NSO dice que estudian cada solicitud detenidamente, para luego afirmar que “el servidor es nuestro, pero no somos los responsables”. Además, el terminal infectado queda obsoleto. Siempre quedarán trazos del spyware. “Si uno cree que su teléfono está infectado, ya no hay solución”, comentaron. Hay que venderlo y comprar otro nuevo. Como aconsejan todos los expertos en ciberseguridad, “actualizar el software ayuda a complicar la tarea de infección. Cuanto más nuevo es el modelo, menor vulnerabilidad tiene. Y no importa las aplicaciones que haya, quien espía lo ve todo.
En este punto, Bill Marczak explicó que el concepto de cómo se puede atribuir a determinado gobierno o indagar en qué país se ha filtrado el operador es un problema de demostración. “A título técnico, cuando se identifique a un operador que esté espiando, se puede deducir que es el gobierno del país, porque tienen la licencia de Pegasus. Pero hay servicios de alquiler de nubes que se utilizan para albergar los servidores intermediarios”, comenta el experto Citizen Lab.
Esas empresas podrían ofrecer una información como servicio, como ocurre con varios países usuarios de la UE. “Es más fácil hacer la lista de los países que no son clientes de Pegasus que los que la tienen, porque son muchos”, añadió Marczak. Además, también utilizan Pegasus servicios policiales y agencias de inteligencia, que pueden tener los servidores en sus instalaciones, si políticamente puede investigar.
Además, un gobierno extranjero podría investigar en la UE. Con Pegasus, Ruanda consiguió autorización para espiar en Bélgica. Si un cliente paga lo suficiente, lo normal es que NSO le deje espiar, pero con la excepción ya señalada de Israel y Estados Unidos. No obstante, se ha espiado a diplomáticos estadounidenses en Uganda.
De otro lado, es muy difícil crear un software de espionaje que no deje traza alguna y que no pruebe que ha habido una infección. Ese tipo de registros pueden servir para detectar otro software, como el espionaje local que se descubrió desde Francia a Estados Unidos, pero que no se ha demostrado aún.
El peno del Parlamento de primeros de marzo, se aprobó la solicitud del grupo Verdes/EFA, de crear esta comisión especial de investigación, bajo el título “Uso de Pegasus por los Estados miembros de la UE contra particulares, incluidos eurodiputados, y la violación de derechos fundamentales”. Tendrá una duración de 12 meses y su próxima sesión ha sido anunciada para el 30 de junio.
Los eurodiputados estudiarán las leyes nacionales vigentes sobre vigilancia, y si el programa espía Pegasus se utilizó con fines políticos contra, periodistas, políticos y abogados. La comisión también verificará si los países que utilizaron Pegasus u otros programas con el mismo objetivo infringieron la legislación comunitaria. La propuesta para la creación de esta comisión fue respaldada por 635 eurodiputados, 36 votaron en contra y 20 se abstuvieron.