Una compañía israelí distribuirá la herramienta que espía cualquier móvil
La empresa israelí NSO Group demuestra ante posibles clientes cómo pueden acceder a un móvil con simplemente el número de teléfono
Los iPhone se consideran los smartphones más seguros del mercado, usados por millones de personas incluyendo gobiernos y empresas con material sensible o secreto. Esto lo convierte en el blanco de hackers, pero también de empresas que venden malware a gobiernos.
La empresa israelí NSO Group, muy conocida en le mundo de la seguridad, está haciendo demostraciones de cómo funciona el ‘malware’ conocido como Pegasus, quizá uno de los más potentes y peligrosos que atacan tanto a iPhone como a Android.
Un emprendedor de viaje por Israel visitó las oficinas de NSO Group para asistir a una demostración de sus productos, entre los que estaba el software Pegasus, según relata Motherboard. Lo que hace que Pegasus sea tan peligroso es que, según cuentan las personas que lo han visto, no requiere ningún tipo de intervención en el teléfono. No hay que descargar archivos en él, no abrir algún enlace engañoso (tipo ‘phising’) ni recibir un mensaje de texto: el software accede simplemente conociendo el número de teléfono.
Según comenta el testigo de esta prueba la empresa israelí le pidió permiso para realizar una prueba real en su móvil iPhone. Él accedio y dio su número de teléfono extranjero, y lo dejo sobre una mesa. Pasados unos minutos pudo ver en una pantalla de otdenador todo el contenido de su teléfono sin que nadie lo hubiera tocado. Incluso puedieron accedieron a la función de teléfono y al micrófono. Todo fue automático.
Todo queda expuesto sin tener acceso físico al móvil
Llamadas, agenda de contactos, correos electrónicos… toda la información de su iPhone quedaba accesible para esta empresa de seguridad. Esto es posible porque NSO invierte mucho dinero y tiempo en encontrar y comprar en el mercado negro todo tipo de fallos de seguridad relativos a sistemas operativos como iOS o Android, pero también fallos de seguridad de operadoras móviles que suelen ser menos conocidas por el público.
Este es el tipo de acceso que se suelen ver en las películas de espías, pero este tipo de ‘malware’ que acceden a todo el contenido de los móviles es real aunque poco conocido ya que normalmente lo poseen gobiernos y concretamente agencias de seguridad.
Demostraciones reales como instrumento de venta
Ahora se se sabe cómo NSO Group mostraba Pegasus para impresionar a posibles clientes, incluyendo gobiernos como el de México o Emiratos Árabes Unidos.
Al parecer NSO Group ha espiado al director de un periódico en Reino Unido para impresionar a la agencia de seguridad de Emiratos Árabes Unidos. También ayudó a espiar a periodistas y activistas mexicanos como demostración para el gobierno de aquel país.
Según un reciente estudio publicado la semana pasada por Citicen Lab se han encontrado pruebas que Pegasus se ha usado en 45 países del mundo. Aunque por lo que parece España no es uno de ellos, sí que los son países cercanos como Francia, Reino Unido o Marruecos.
Decenas de millones de dólares por licencia
La empresa ahora se enfrenta a varias demandas por el ‘malware’ que ha desarrollado, aunque NSO Group se defiende diciendo que no son responsables del mal uso que hagan de la herramienta sus clientes, normalmente gobiernos que pagan decenas de millones de dólares por licencia. “Nuestro producto está destinado a ser utilizado exclusivamente en la investigación y prevención del crimen y del terrorismo”, comentó la empresa recientemente al New York Times.
Este tipo de ‘malware’ comercial despierta algo más que recelos entre expertos de seguridad, activistas, políticos y en cualquier persona al que le preocupe su privacidad o la integridad sus datos. “Pese a que es muy costoso un gobierno podría espiar a sus ciudadanos usando Pegasus, porque son los que tienen los recursos necesarios para vigilar a una persona”, explica Pepe Flores, director de comunicación de la organización mexicana R3D (Red en Defensa de los Derechos Digitales).
“Hay que distinguir entre vigilancia masiva y vigilizancia focalizada. Pegasus es vigilancia focalizada,” explica Flores. El coste de Pegasus puede alcanzar los 80.000 dólares por usuario, unos 68.000 euros al cambio actual. “Hay otros mecanismos de vigilancia masiva como la obtención colectiva de datos o los sistemas de reconocimiento facial”.
Pese al coste y la poca accesibilidad la existencia de Pegasus evidencia graves problemas de seguridad, desconocidos y no resultos en el software de los móviles que permite este acceso a todos los datos y su seguimiento sin que nadie se percate.