El Pegasus no vola tot sol

Pegasus, el mètode per atacar el mòbil de Roger Torrent i altres polítics catalans, no està a l’abast de qualsevol. És una tecnologia amb un cost de fabricació elevadíssim que, lògicament, també té un cost desorbitat per a qui la vulgui adquirir i utilitzar. Primer, perquè, tot i que el ciberespionatge és una indútria creixent, encara hi ha una oferta molt limitada que resulti completament eficaç (i això vol dir passar inadvertit). I segon, perquè la pedra angular d’aquests ciberatacs són les anomenades “vulnerabilitats de dia zero”, que cada cop van més buscades i per les quals s’estan pagant xifres milionàries.

Se’n diuen vulnerabilitats perquè es tracta d’una escletxa en la seguretat del dispositiu que permet accedir-hi aprofitant una errada en la programació del seu sistema operatiu o d’alguna de les aplicacions o programes que hi pugui tenir instal·lat. La referència temporal al dia zero té a veure amb el fet que aquesta via d’accés al terminal no hagi estat encara advertida per ningú, que sigui acabada de descobrir i que, per tant, es pugui aprofitar per a l’espionatge perquè ni el creador ni les agències de ciberseguretat no hi han reparat.

Atès que aquestes vulnerabilitats són una amenaça greu per a la seguretat i privacitat de les dades dels usuaris i, de retruc, també poden comprometre greument la reputació de les empreses que els proporcionen el maquinari i el programari, les grans firmes del sector tecnològic ofereixen compensacions amb molts zeros als clients que en detecten alguna. Apple, per exemple, té una taula ja establerta amb recompenses que arrenquen amb 100.000 dòlars i que van creixent en funció de les característiques. Una com la que utilitzava Pegasus es cotitza ja a un milió de dòlars. Així, si els clients la reporten poden posar-hi un pedaç amb una actualització, d’aquí la importància de tenir sempre els dispositius amb el darrer software.

La qüestió, però, és que si qui descobreix aquesta vulnerabilitat l’ofereix a empreses dedicades a l’espionatge, com NSO, en podrà treure molts més diners encara. D’aquí que els fabricants tecnològics hagin ampliat darrerament les recompenses que ofereixen.

Pegasus té un disseny modular molt complet i eficaç, però amb un sol però. Per tal que s’instal·li, cal que algú accedeixi físicament al terminal a infectar o, com se sol fer habitualment, utilitzar l’“enginyeria social”. És a dir, que sigui el mateix usuari que l’instal·li sense adonar-se’n, senzillament clicant en un enllaç que es pot enviar per WhatsApp, correu electrònic o similar. En aquest cas, sembla que s’hauria fet amb un SMS amb l’enllaç a una suposada notícia d’interès per als usuaris adaptada al seu perfil. En clicar-hi, el mòbil dona un error i es reinicia, però ja amb el Pegasus de Troia a dins. També s’especula amb que una trucada de WhatsApp hi pugui tenir a veure.

A partir d’aquí, el programa, és capaç de fer una vigilància total. Instal·la els mòduls necessaris per llegir els missatges i correus que escriu l’usuari abans que s’encriptin per ser enviats i, els que rep, un cop ja s’han desencriptat. A més, pot veure les fotografies, registrar contrasenyes, fer captures de pantalla, accedir als contactes i historials de navegació i pujar tota aquesta informació als servidors dels pirates informàtics. Per si això fos poc, com que se’n té un control total, es pot activar el micròfon o la càmera del telèfon a voluntat per veure i sentir què passa al voltant del terminal en qualsevol moment. Finalment, Pegasus també sap amagar-se prou bé: s’autodestrueix si durant més de 60 dies no ha pogut connectar-se amb els servidors que el controlen.

Vistes les possibilitats i el costos, no sobta que les tarifes amb què s’especula que treballa NSO, la companyia israeliana que el facilita, no siguin cap broma: 500.000 dòlars per la instal·lació i 650.000 pel servei d’espionatge.