La comisión de investigación sobre Pegasus del Parlamento Europeo ya ha empezado a rodar y lo ha hecho interrogando este martes a tres expertos en ciberseguridad para empezar a desentrañar los misterios de un software de espionaje que ha abierto una profunda brecha de desconfianza en la Unión Europea y en España, donde ha provocado la destitución de la directora del CNI, Paz Esteban.

Según sus conclusiones, las capacidades del software, fabricado por la empresa israelí NSO Group, son casi infinitas porque no solo permite acceder a los teléfonos móviles para espiar conversaciones o acceder a información recogida en el mismo sino también colocar datos dentro del terminal espiado.

“El software posibilita la manipulación de todo el teléfono. Tiene acceso a todos los derechos así que puede colocar datos en el terminal”, ha explicado Constanze Kurz del portal netzpolitik.org y una de los tres expertos en ciberseguridad que han comparecido en la primera reunión de la comisión de investigación. “Pegasus es un administrador de su teléfono y por lo tanto puede hacer lo que quiera. Puede leer ficheros y si puede leerlos también puede leer las cookies de autentificación de las credenciales, que son los que permiten abrir su cuenta de correo. Pegasus te puede sustituir en línea y puede tener la posibilidad de incorporar ficheros en los dispositivos. No hay manera de saber si esta posibilidad se utiliza verdaderamente” porque "no hay auditorías independientes de cómo se comporta” pero "no podemos excluir que haya una versión Pegasus que sea capaz de implantar ficheros", ha añadido Adam Haertle, editor del portal de ciberseguridad polaco Zaufana Trzecia.

Lo que tienen claro es que la empresa israelí tiene que saber quienes son las víctimas porque el fabricante sigue dando servicio de apoyo a los clientes que adquieren las licencias y es imposible utilizar el sistema sin que la empresa preste ese servicio. "Dicen que no tienen ninguna idea de quienes son las víctimas y que supervisan a sus clientes para ver si no están abusando del sistema” pero es “una declaración contradictoria y hay que asumir lo peor. Saben quienes son las víctimas y es posible desde el punto de vista técnico”, apunta el mismo experto.

Iphone, presa fácil

Haertle también advierte que los iPhones son “presa fácil” y que son más fáciles de espiar que los Android por la mayor fragmentación que existe en los modelos que utilizan este sistema operativo. “Para Android tendría que generar más versiones para un solo terminal y sería más difícil atinar”, estiman. También es más difícil buscar pruebas de posibles espionajes en los Android.

En cuanto a la atribución del espionaje a tal gobiernos, los expertos interrogados reconocen la dificultad de atribuir el ataque debido a que se utilizan operadores intermediarios y se oculta donde se envían los datos. Pero aseguran que existen técnicas para anclar determinados ataques y que es muy difícil que un software no deje ningún rastro. “Si se agrupan varios ataques, se puede llegar a la conclusión de cuales son los objetivos y se puede uno hacer una idea de quién es el operador”, sostiene Bill Marczak, de CitizenLab, el organismo que ha destapado el 'CatalanGate'.

Según ha detallado, aunque las licencias permiten espiar en un determinado país admite que "si un cliente paga lo suficiente lo normal es que NSO le deje espiar”, con pequeñas limitaciones. Por ejemplo, los clientes no pueden espiar en Israel o Estados Unidos a menos que tengan sede allí. Aunque no han dado cifras, los expertos reconocen que las licencias de acceso a los programas de espionaje tienen un coste de “millones” o “decenas de millones” según la función de espionaje. Países como Israel, Estados Unidos, Alemania, Rusia, Francia o China disponen de sus propios instrumentos sin necesidad de tener que recurrir a empresas como NSO Group.