Així entra Pegasus al mòbil: una petita vulnerabilitat permet controlar tot el telèfon

És com portar un espia a la butxaca. Així defineix John Scott-Railton, un dels investigadors de l'institut de recerca Citizen Lab, el funcionament de Pegasus, el programari de ciberespionatge utilitzat per espiar més de 60 polítics i activistes independentistes entre 2017 i 2020.

A través de petites vulnerabilitats, el software desenvolupat per l'empresa israeliana NSO Technologies s'introdueix al telèfon i pot arribar a tenir el control total de l'aparell. Els espies podien veure les trucades que havia fet la víctima de l'espionatge, llegir els whatsapps, els correus i l'historial d'internet, consultar fotografies, vídeos, calendari, contactes o activar el micròfon i la càmera.

I, sovint, no va caldre que l'usuari fes res: Pegasus aprofita escletxes de seguretat de les aplicacions del mòbil per monitoritzar l'aparell, tal com explica Scott-Railton:

"El més preocupant és que gran part dels atacs es feien amb clic zero. Això vol dir que, quan una persona és víctima, no veu res ni pot fer res per aturar-ho."

A Pere Aragonès, per exemple, el programa se li va instal·lar al telèfon el 4 de gener del 2020, quan va clicar l'enllaç d'un missatge amb faltes d'ortografia titulat "Cronica y claves negociacion ERC-PSOE".

Al secretari general de Junts, Jordi Sànchez, li van infectar el mòbil a través de SMS enganyosos, que feien veure que eren links a una notícia. És el que es coneix com un "atac de dia zero".

En un missatge a Twitter, Sànchez assegura que, entre el primer i l'últim atac al seu mòbil, van passar cinc anys. L'expresident de l'ANC explica que va rebre més de 25 atacs fallits i quatre amb èxit:

Entre el 1r i el darrer atac de Pegasus al meu telèfon van passar 5 anys. Més de 25 atacs fallits, 4 amb èxit. Primer amb govern espanyol del PP i després amb govern PSOE-Podemos, coincidint amb permisos penitenciaris de 3r grau. Sempre marca España al darrera. #CatalanGate pic.twitter.com/p0uSy6tfX3

— Jordi Sànchez (@jordisanchezp) April 18, 2022

En altres ocasions, el programari espia utilitza un simple missatge o videotrucada de WhatsApp per aconseguir entrar el telèfon mòbil.

A més d'activar-se remotament, Pegasus també pot desinstal·lar-se remotament. I, d'aquesta manera, eliminar la prova que la persona ha estat espiada.

"T'envien una cosa que gairebé és impossible no picar"

L'informàtic Josep Maria Ganyet va rebre un missatge i, quan va clicar-hi, al navegador li va aparèixer un missatge d'error i se li va reiniciar el telèfon.

La seva reacció va ser guardar el missatge, tornar el mòbil als ajustos de fàbrica i esborrar-ho tot. Després es va posar en contacte amb Citizen Lab, que li van comunicar que havia tingut dos intents més d'accedir al seu telèfon.

Ganyet alerta que, abans que s'iniciï l'espionatge a algú, els responsables de l'atac ja saben alguna cosa sobre aquella persona. És per això que quan envien un missatge amb el codi maliciós, "gairebé és impossible" no clicar-hi.

Així ho ha explicat al programa "Tot es mou":

? "Normalment, quan t'espien, ja saben alguna cosa de tu. T'envien un enllaç que és molt difícil no clicar." Josep Maria @ganyet, enginyer informàtic espiat per Pegasus#TotEsMouTV3

? https://t.co/DOxX3fXCYq pic.twitter.com/tfjmGLXkb2

— Tot es mou (@totesmoutv3) April 19, 2022

En un cas encara més sofisticat, una víctima va reservar un vol i, just després, va rebre un SMS amb la targeta d'embarcament. La targeta, però, era falsa. Clicant-hi, el programa espia quedava instal·lat al telèfon.

El programari espia més ben desenvolupat de la història

Pegasus s'ha convertit en el programari espia de vigilància invasiva més ben desenvolupat de la història. Afecta tant iOS com Android i és pràcticament indetectable per l'usuari.

Preferentment, només es ven a Estats i es calcula que l'utilitzen almenys 60 agències militars, d'intel·ligència o de seguretat d'una quarantena de països. Com que està considerat armament, l'exportació ha de comptar amb el vistiplau del Ministeri de Defensa d'Israel.

La primera vegada que es va tenir constància d'un intent d'introducció de Pegasus en un telèfon mòbil va ser l'agost del 2016. L'activista Ahmed Mansoor, dels Emirats Àrabs Units, va rebre un SMS que li prometia informació sobre tortures i abusos al seu país si clicava un enllaç. Mansoor no ho va fer i va reenviar el missatge a Citizen Lab, que ho va difondre a l'informe "The Million Dollar Dissident".

El primer país que es té coneixement que adquirís el programari d'espionatge és Mèxic. Segons una investigació de The New York Times, tres agències federals del país van invertir 80 milions de dòlars des del 2011 per fer seguiment d'advocats de drets humans, periodistes i activistes contra la corrupció. El sistema també es va utilitzar per espiar l'aleshores president del Parlament, Roger Torrent, l'any 2019.

Es calcula que Pegasus afecta milers de números de telèfon de caps d'estat, activistes o periodistes. Entre les víctimes més conegudes d'aquest espionatge hi ha la família del periodista saudita Jamaal Khashoggi; l'entorn del primer ministre britànic, Boris Johnson; el propietari d'Amazon, Jeff Bezos; o l'activista i periodista marroquí Omar Radi.

La difusió més gran de persones espiades per Pegasus es va saber l'estiu passat, quan Amnistia Internacional i 17 mitjans de comunicació van publicar que hi havia uns 50.000 telèfons mòbils d'arreu del món infectats pel programari. Entre els números identificats n'hi havia 600 de polítics, 180 de periodistes, 85 d'activistes de defensa dels drets humans i 65 d'empresaris.