Pegasus y el Danone

24/04/2022

Francisco Canós.

Danone tuvo tanto éxito con sus yogures que la gente pedía un Danone cuando en
realidad quería decir un yogurt. Al parecer hoy la gente habla de Pegasus cuando en
realidad de lo que estaría hablando es de ciber-hackeos.

Está en boca de todos las noticias sobre posibles hackeos a más de 65 personas del
ámbito catalán, principalmente políticos independentistas y de su entorno. Es
importante ofrecer algo de luz sobre este asunto tan turbio. Tal vez y como posible
conclusión a los elementos que voy a detallar, lleguemos a plantearnos una duda
razonable sobre qué herramientas se habrían utilizado, quién las habría podido
producir, si quien las hubiera utilizado hubiera podido ser una entidad gubernamental
o no, e incluso si pudiera ser extranjera.

Lo primero es no caer en la tentación de ser ingenuos. Como dijo Dwight Eisenhower
refiriéndose a EEUU, un país “no tiene amigos; sólo tiene intereses”. Esos intereses se
pueden ver comprometidos por distintos factores, y, por tanto, es razonable no caer
en la candidez de pensar que no van a hacer lo que esté en su mano para conseguir
esa información, o como se dice en el mundillo, esa inteligencia.

Conseguir esa inteligencia se produce a través de la intervención humana y del uso de
herramientas que faciliten el acceso a dicha información. Me gustaría centrarme en las
“herramientas”.

El mundo de los espías y sus herramientas es tan antiguo como la propia historia de la
humanidad. Ha inspirado novelas, series de películas de tremendo éxito (007-James
Bond, Misión Imposible), etc. La curiosidad o la necesidad de saber de los demás es
innata al ser humano. El éxito de audiencia de programas del llamado “corazón” no se
entendería de otra manera. Empresas realizando espionaje industrial, o “detectives”
obteniendo datos de parejas infieles o situaciones comprometidas de ejecutivos, han
sido objeto de amplio seguimiento en los medios. La línea roja, al menos en los países
democráticos con Estado de derecho, la marca lo que sería legal de lo que sería ilegal.

En el mundo actual, de entre las muchas herramientas disponibles, nos vamos a
centrar en las cibernéticas. En particular, de aquellas herramientas cibernéticas que
permiten comprometer y recopilar información de los móviles de tipo smartphone,
que son la inmensa mayoría hoy en día.

Los smartphones actuales son herramientas tremendamente potentes. En algunos
casos más que los ordenadores de sobremesa. Si echamos la vista atrás, cualquier
smartphone actual es cientos de veces más potente que los ordenadores usados en la
misión que llevó al hombre a la Luna.

Estos aparatos están gestionados por sistemas operativos como iOS en el iphone de
Apple o el sistema Android en casi la totalidad del resto. Estos sistemas operativos, a
pesar de los inequívocos avances en seguridad, siempre van a tener resquicios por los
que se puedan ver comprometidos. Son las llamadas “vulnerabilidades”. Es el eterno
juego del gato y el ratón entre quien desarrolla el sistema, quien encuentra sus
vulnerabilidades, quien elimina las vulnerabilidades cuando son conocidas y vuelta a
empezar.

Una vulnerabilidad sería el equivalente a una puerta, que, si conseguimos abrirla, nos
da acceso a controlar el sistema operativo o una parte de este. Esto es importante ya
que en función de estos temas podremos llegar a clasificar los distintos yogures del
sistema.

Lo primero es encontrar la vulnerabilidad, es decir, identificar la puerta e intentar
abrirla. Habrá que crear la llave para esa vulnerabilidad, lo que técnicamente se
denomina un “exploit”. Ahora bien, no todas las llaves son iguales, aunque puedan
servir para abrir una misma puerta. Por ejemplo, si la llave fuera de papel o de plástico,
aunque tenga la forma adecuada, igual no es capaz de abrir el bombín o se rompe a los pocos intentos. Por otro lado, si no se pudiera sacar de la cerradura, y se quedara allí, se deja una evidencia al alcance de un análisis posterior (“forensic”) que incluso podría llevar a saber quién fue el “cerrajero”. Al proceso de crear una llave con determinadas características que sirva para que el exploit actue se le denomina “weaponizing exploit” y el resultado “weaponized exploit”.

No todos los weaponized exploits son iguales ni mucho menos. Hay muchas maneras
de clasificarlos, pero a mí me parece que hay dos variables que resultan muy
significativas. Una es desde dónde puedo lanzar el “weaponized exploit” y la otra
cuánta “colaboración” necesito del propietario del smartphone (o target) para que el
“weaponized exploit” haga su función.

Veamos un ejemplo del “desde dónde”. Hay actuaciones en los que se puede tener un
acceso físico al dispositivo. Por ejemplo, si acudimos a un sitio y nos piden que
depositemos el dispositivo en una bandeja o en determinado sitio mientras estamos
allí, alguien puede tener físicamente acceso a ese dispositivo, conectarle un cable e
inyectarle el “weaponized exploit” antes de devolvérnoslo.

Hay otros casos en los que no es necesario un acceso físico, pero sí estar en los alrededores del dispositivo. Por ejemplo, si se simula la antena de un operador, el propio móvil se conectaría a esa antena “fake”, que a su vez se conectaría a la antena del operador real. A partir de ahí el flujo de conexión pasa por la antena “fake” y se podría introducir el “weaponized exploit” a través de ese flujo. Esta técnica existe y se denomina “man in the middle” (o de persona interpuesta). Finalmente existiría la posibilidad de que no se necesite en absoluto estar cerca del target y por tanto se pueda lanzar el “weaponized exploit” desde la cómoda distancia de una oficina situada a potencialmente cientos o miles de kilómetros. Este último sistema se denominaría “Remote” (o remoto). A todos los demás se les denomina “Táctico”.

Veamos un ejemplo de la “colaboración” necesaria del target. Imaginemos que nos
envían un sms con un enlace o “link” a la asociación de gatitos huérfanos en busca de
familia de acogida (por decir algo). Le damos click al enlace y aparece una página web
de dicha asociación con una foto pequeña de una cestita con cuatro gatitos recién
nacidos con la leyenda “buscamos familia de acogida”, y le damos click a dicha foto
para ver bien esos gatitos tan monos. Si dentro de esa foto (que no deja de ser un
fichero) estuviera metido el “weaponized exploit”; al darle el segundo click, en realidad
lo que estamos haciendo es dar el consentimiento a “instalarlo”.

Ese tipo de “weaponized exploit” sería del tipo denominado 2-Click, ya que habrían
hecho falta dos clicks para que cumpliera su misión. El proceso por el cual se lleva de la mano al target para que se decida a dar esos clicks, es lo que se denomina ingeniería social (en este caso el sms más el enlace más la cestita con los gatitos huérfanos). Está claro que cuantos menos clicks se tengan que dar más potente será el “weaponized exploit”. Los más potentes son los denominados 0-click, es decir, que no necesitan de ninguna colaboración del target para realizar su función. En puridad nunca es así, ya que algo siempre tiene que hacer el target, como, por ejemplo, tener encendido el móvil.

Estos elementos de tipo “Remote” y “0-click” están clasificadas como armas por la
mayoría de los Estados. Además, y debido a su naturaleza, no suelen dejar huellas y su actuación es prácticamente indetectable a posteriori. Es decir, el Sistema Operativo
ejecuta ordenes como si provinieran del propio usuario del móvil, que no es consciente
de ello, y aunque esta actuación “de por libre” se podría detectar, no pasa lo mismo
sobre quién lo ha hecho o cómo se ha llegado a esa situación.

Los sistemas tipo Pegasus, del grupo NSO, u otras compañías como Candiru, Intellexa o incluso agencias nacionales con capacidad (como NSA de USA, o similares en Rusia,
China, etc.) son capaces de crear “weaponized exploits” de tipo Remote 0-Click.

Cuando el “hackeo” del dispositivo se haya llevado a cabo a través de por ejemplo la
recepción de un sms, que incluye un enlace (link), al que hay que dar un click, no
estaríamos hablando de un tipo 0-Click. Este tipo de “Weaponized exploits” de 1 click o
más, no sólo se encuentra en los circuitos estándar, sino que también se pueden
encontrar y comprar en sitios como la Deep-web o la Dark-web. Obviamente los puede
comprar cualquiera que tenga los conocimientos, y los recursos para hacerlo; y no sólo
Gobiernos o entidades Gubernamentales.

Al parecer, la sospecha de ciertos dirigentes políticos independentistas es que el tema
les llegó a través de un SMS con un enlace (link). Eso descartaría que fuera un tipo 0-
click. Por tanto, en el caso de que realmente hubiera sido un hackeo, no
necesariamente tendría que haber venido de un Gobierno o entidad Gubernamental.
Es más, tanto si fueran 0-Click como si no es, no necesariamente tiene que haber sido
alguien del Estado correspondiente a la zona geográfica en dónde viva el objetivo
hackeado. Aunque más sofisticado y complicado debido a la intervención de más
puntos intermedios, las actuaciones transfronterizas son más que posibles.
¿Quién los vende y bajo qué condiciones? Los sistemas de tipo Remote 0-click, si los
produce una agencia nacional, cómo es lógico, no se venden. Tal vez se compartan conpaíses amigos, pero del mismo modo que cuando se adquiere un caza de combate, nonecesariamente los sistemas que incorpora son los mismos y de la última generaciónque puedan incorporar los cazas del país de origen. Si los produce una empresa privada, estará sujeta a la legislación del país fabricante, que en el caso de Israel sólo permite exportar dicha herramienta con el permiso del Gobierno Israelí, para su venta sólo a aquellos Gobiernos que tengan su aprobación. No olvidemos que cuando se trata de temas de armas estratégicas, Israel suele tener una estrecha colaboración con Estados Unidos ya que esté último es históricamente su mayor proveedor de armamento y tecnología relacionada. Por tanto, es de suponer que estos Gobiernos deban contar con el visto bueno tanto de unos como de otros.

¿Quién pulsa el botón? Aunque suene obvio, ninguna de estas empresas se dedica a
utilizar estos “weaponized exploits” directamente con los objetivos (targets), sino que
son sus clientes, los Gobiernos o entidades gubernamentales, las que utilizan estas
herramientas para acceder a los targets. Siendo gubernamentales, están supeditadas
tanto a las condiciones de los contratos que firmen con los proveedores, como a las
leyes que regulen en cada jurisdicción el uso de éstas. Por ejemplo, ni la Policía, ni la
Guardia Civil en España podrían utilizar estos sistemas (en caso de que los tuvieran) sin un mandato judicial que regule (y lo hace muy específicamente) los términos bajo los que esto se puede hacer.

Lanzar la piedra y esconder la mano. Una última reflexión. Realizar este tipo de
actividades conocidas como “cyber-offence” fuera de los cauces legales y regulados
que protegen los derechos y libertades fundamentales de los ciudadanos es ilegal.

Por tanto, sería lógico pensar que un buen ciudadano, si encuentra una prueba (o
“evidencia” en términos técnicos) de que dicha actuación ha sido realizada mediante
un “weaponized exploit” creado por alguna de estas compañías, debería ir
inmediatamente a la correspondiente entidad judicial, con dichas evidencias para que
se pudiera llegar hasta las últimas consecuencias y en último término encontrar a
quién ha realizado dicha actuación ilegal y por tanto delictiva. No hacerlo, pero sí
publicar posibles nombres de quienes lo han presuntamente realizado no es muy
entendible.

Un ejemplo, el laboratorio The Citizen Lab de Toronto ha sido quien ha levantado la
voz de alarma sobre que, según sus propias declaraciones, “al menos 65 individuos
catalanes han sido objetivos de o infectados por el programa de espionaje mercenario
de Pegasus y Candiru”. Citan como evidencia una campaña denominada HOMAGE, que dicen se basaría en una vulnerabilidad que Whatsapp describe como CVE-2019-3568.

Al parecer una llamada al whatsapp del usuario, incluso sin ser contestada, sería
suficiente para comprometer el dispositivo del objetivo. Citizen Lab atribuye la
producción de la campaña HOMAGE a dos compañías israelíes. Sin embargo, a día de
hoy, no tengo constancia de que se haya personado dicha compañía en un juzgado con esas evidencias a fin de poder proteger los derechos fundamentales de los
“hackeados” y descubrir quién está detrás de esos supuestos hechos.

¿Te ha parecido interesante?

(+1 puntos, 1 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.