Què és i què fa Pegasus, el programa amb què haurien espiat dirigents independentistes

Més d'una seixantena de polítics i activistes catalans haurien estat espiats a través del seu telèfon mòbil entre el 2017 i el 2020, coincidint amb el moment àlgid del procés independentista.

La revista The New Yorker i The Citizen Lab, un laboratori de la Universitat de Toronto que investiga el control de la informació i la vigilància a través de la xarxa, ho han posat al descobert i parlen de "Catalangate". Una trama d'espionatge amb el mateix programa informàtic amb què ja se sabia que es va espiar, entre altres, l'expresident del Parlament Roger Torrent. Ara, la denúncia apunta més alt: a Quim Torra, que aleshores era president de la Generalitat, i Pere Aragonès, que llavors era vicepresident.  

L'espionatge s'hauria fet amb un programa israelià anomenat Pegasus que només poden comprar governs. D'on surt aquest programari espia, i quan ha estat utilitzat, que se sàpiga?

Què és Pegasus?

Pegasus és un programari espia dissenyat per vulnerar els sistemes operatius de mòbil Android i iOS (Apple). Per fer-lo funcionar, l'operador (el govern que l'ha comprat) ha d'aconseguir que l'objectiu cliqui un enllaç.

Quan la persona a qui es vol espiar el clica, l'enllaç desencadena el que es coneix com un "atac de dia zero": l'execució d'un codi maliciós que s'introdueix al sistema operatiu del dispositiu mòbil mitjançant les vulnerabilitats que prèviament els productors del programari han detectat.

Aquest codi instal·la Pegasus sense que l'usuari del dispositiu mòbil se n'adoni. Un cop instal·lat, Pegasus contacta els servidors de comandament i control de l'operador: els servidors de l'atacant. Fet això, Pegasus envia a aquest centre de comandament i control les dades privades de l'objectiu: paraules de pas, contactes, calendari, missatges de text, etc. L'operador fins i tot pot activar la càmera i el micròfon del dispositiu.

A més d'activar-se remotament, Pegasus també pot desinstal·lar-se remotament, per eliminar la prova que la persona ha estat espiada. 

Qui l'ha dissenyat?

NSO Group Technologies, una empresa de matriu israeliana fundada l'any 2010 i participada majoritàriament per Francisco Partners Management fins que va ser posada a la venda el juny de 2017, quan ja havia esclatat l'escàndol del Pegasus.

El febrer de 2019, els fundadors d'aquesta companyia dedicada a la ciberguerra la van comprar en aliança amb el fons d'inversió Novalpina Capital. Ara en són els propietaris. Segons fonts citades en diversos mitjans, NSO Group assegura que només ven el seu programari a governs.

WhatsApp i la seva companyia matriu, Facebook, van denunciar NSO Group per haver infectat els dispositius mòbils de com a mínim 1.400 usuaris de l'aplicació de missatgeria, incloent un centenar de periodistes i activistes prodrets humans. 

Això va ser possible, entre abril i maig de 2019, gràcies a una vulnerabilitat de WhatsApp que va ser resolta.

Abans, està acreditat que el 2017 i el 2018 l'empresa NSO va utilitzar missatges SMS maliciosos per infiltrar-se en els mòbils. 

NSO està constantment buscant la manera d'assaltar els telèfons mòbils. 

En un informe de l'Oficina de l'Alt Comissionat pels Drets Humans de Nacions Unides publicat el juliol de 2019 es recomana als estats establir una moratòria per a l'exportació de programari com el que ven la companyia NSO Group, així com una regulació d'aquest tipus de productes que respecti els drets fonamentals.

Com sabem que existeix aquest programari i com opera?

Entre el 10 i l'11 d'agost de 2016, Citizen Lab, laboratori interdisciplinari de la Universitat de Toronto, al Canadà, va tenir coneixement d'una temptativa d'introducció del programari Pegasus en el dispositiu mòbil de l'activista Ahmed Mansoor, dels Emirats Àrabs Units.

Mansoor va rebre un SMS al seu iPhone en el qual li prometien "nous secrets" sobre tortures i abusos contra persones empresonades al seu país si clicava un enllaç. En comptes de fer-ho, Mansoor va reenviar el missatge al laboratori canadenc.

Aquest va ser l'inici d'una investigació forense de dos anys que va culminar amb la descoberta de 36 possibles operadors i 45 països amb possibles infeccions del programari amb data d'agost del 2018.

Per dur a terme aquesta investigació, Citizen Lab va clicar l'enllaç que li havien enviat a Mansoor per fer-se amb una còpia de Pegasus.

En paral·lel, havien identificat les empremtes digitals i el comportament de l'enllaç al programari maliciós que havien enviat a l'activista i dels servidors de comandament i control dels atacants. Això els va permetre trobar 237 servidors que NSO Group desactivaria temporalment després que ells cliquessin l'enllaç, però abans que aquesta descoberta es publiqués el 24 d'agost.

Alguns d'aquests mateixos servidors es reactivarien més tard, però les empremtes digitals havien canviat.

És en aquest punt quan els investigadors del laboratori van començar escanejos periòdics de la xarxa durant dos anys justos. D'aquesta iniciativa sorgirien 1.091 adreces IP i 1.014 noms de domini.

Mitjançant una tècnica que van anomenar Athena, en honor a la deessa grega que va domar el mític cavall alat Pegàs -Pegasus, en llatí- per entregar a l'heroi Bel·lerofont, van agrupar els resultats en 36 sistemes diferents de Pegasus, que Citizen Lab interpretaria com a indicis de l'existència de 33 operadors diferents.

Països amb infeccions de Pegasus

La llista és llarga, i Espanya és un dels últims països que s'hi ha afegit.

Abans, fins a l'agost del 2018, es té constància d'aquests: Algèria, l'Aràbia Saudita, Bahrain, Bangladesh, el Brasil, el Canadà, la Costa d'Ivori, Egipte, els Emirats Àrabs Units, els Estats Units, França, Grècia, el Iemen, l'Índia, Iraq, Israel, Jordània, el Kazakhstan, Kènia, el Kirguizistan, Kuwait, Letònia, el Líban, Líbia, el Marroc, Mèxic, Oman, els Països Baixos, Pakistan, Palestina, Polònia, Qatar, el Regne Unit, Ruanda, Singapur, Sud-àfrica, Suïssa, el Tadjikistan, Tailàndia, el Togo, Tunísia, Turquia, Uganda, l'Uzbekistan i Zàmbia.

Alguns casos en què ha transcendit l'ús de Pegasus

Juny del 2017: activistes, advocats prodrets humans i periodistes mexicans presenten una querella criminal per denunciar que els seus dispositius mòbils han estat infectats pel programari espia Pegasus.

Juny del 2018: Ben Hubbard, periodista de The New York Times hauria estat víctima del programari Pegasus, que el govern de l'Aràbia Saudita hauria provat d'introduir en el seu dispositiu mòbil.

Març del 2019: s'especula sobre la possibilitat que el programari Pegasus hagués jugat un paper en l'assassinat de Jamal Khashoggi, periodista saudita i col·laborador de The Washington Post.

Desembre del 2019: diversos periodistes de l'Índia acusen el govern del seu país de fer ús del programari Pegasus per espiar-los.

Gener del 2020: l'FBI investiga la possibilitat que el programari de la companyia NSO estigués involucrat en la infecció del dispositiu mòbil del propietari d'Amazon, Jeff Bezos. El govern de l'Aràbia Saudita seria de nou el principal sospitós.

Aquestes acusacions van motivar un comunicat de l'oficina de l'Alt Comissionat pels Drets Humans de Nacions Unides en què exigia una investigació.

Juny del 2020: un informe d'Amnistia Internacional denuncia que l'activista i periodista marroquí Omar Radi hauria estat víctima de programari espia dissenyat per NSO Group.