Pegasus es un software espía israelí que durante años y años ha sido utilizado para atacar a los teléfonos móviles de políticos, activistas y personalidades de alto nivel. En España, el Gobierno denunció en 2022 que el móvil de Pedro Sánchez había sido víctima de una infección utilizando dicho software. Que se utilizara para atacar a autoridades no quiere decir que los ciudadanos de a pie estuviéramos a salvo, y es justo lo que se acaba de demostrar.
La compañía de seguridad iVerify detalla en un informe que han observado que Pegasus se está utilizando en smartphones de usuarios particulares.
Nadie está a salvo (y el usuario de a pie no tiene la protección de políticos)
iVerify cuenta con una app de verificación de Pegasus lanzada en mayo de este año. La compañía permite que los usuarios escaneen su smartphone de cara a saber si están infectados o no con el software espía. Tras pasar la prueba, pueden elegir compartir los resultados con la compañía. Y es justo lo que hicieron 2.500 usuarios.
La sorpresa para iVerify saltó cuando detectaron que de ese total, siete estaban infectados por Pegasus. El director de operaciones de iVerify y antiguo analista de la NSA estadounidense, Rocky Cole, ha contado a Wired que "lo realmente fascinante es que los objetivos no eran sólo periodistas y activistas, sino líderes empresariales, directivos de empresas comerciales y cargos públicos". "Se parece mucho más al perfil de los objetivos de un malware normal que a la versión que se ha difundido de que el spyware se utiliza para atacar a activistas", sostiene Cole.
Por su parte, NSO Group, la compañía detrás del desarrollo y comercialización de Pegasus, ha explicado al mismo medio que "vende sus productos exclusivamente a agencias policiales y de inteligencia aliadas de Estados Unidos e Israel". Esto es lo que siempre se ha sostenido, en el sentido de que cualquier ciudadano no puede contratar sus servicios para atacar.
El informe es muy preocupante para cualquier persona, pues cambia las reglas del juego de lo que entendemos por el rango de acción de Pegasus. Sin embargo, hay que tener dos cosas en cuenta. La primera es que iVerify cuenta que "los objetivos no eran sólo periodistas y activistas, sino también empresarios, directores de empresas comerciales y cargos públicos". Es decir, que no eran ciudadanos "rasos" como quien escribe esto, sin grandes intereses políticos o económicos, sino figuras que sin tener la relevancia de otros ataques están en una esfera por encima de lo normal.
En segundo lugar, iVerify no ha dado números exagerados. Siete de 2.500 parece algo razonable para entender que no están siendo alarmistas, pero también es parte interesada, pues su negocio está en vender la app a usuarios finales. Podemos hacer un escaneo mensual gratuito para buscar a Pegasus, pero más allá de eso tendremos que pagar un dólar al mes. Por otra parte, iOS y Android lo ponen tan difícil para analizar esto que Rocky Cole afirma que el resto es refinar estas herramientas para reducir falsos positivos. O sea, que desgraciadamente, los hay.
Imagen destacada | Kenny Eliason en Unsplash
Ver 0 comentarios