El sistema Pegasus, ideat i comercialitzat per l’empresa israeliana NSO, és el que es coneix com un sistema intrusiu en un terminal de comunicacions o informàtic. Tot de manera remota. Una sistema operatiu maliciós que segons l’empresa comercialitzadora només ven als estats. De fet, és un sistema que pren el control del terminal i pot xuclar la informació i les dades acumulades en un dispositiu, seguir converses, activar els micròfons o monitoritzar una reunió. El patró de la prova forensica realitzada per Citizen Lab que es va difondre aquest dilluns i que denunciava el hackeig dels mòbils de 65 catalans esbossa com es posava en marxa aquest malware d’espionatge que ha anat evolucionant al llarg dels anys i de les proves fetes per una seixantena d’entitats de seguretat i intel·ligència d’una quarantena d’Estats diferents.
En un principi, el sistema s’activava a través d’un SMS enganyós, basat en informació prèvia -com la compra per internet o bé l’enviament d’un paquet per part d’una empresa de missatgeria- que a l’usuari no se li feia estrany de clicar. A partir d’aquí s’instal·la un malware que infecta l’equip i atorga el control remot a qui té el programa espia.
A mida que han passat els anys, el sistema d’instal·lació s’ha sofisticat. Segons Carles Flamerich –d’una de les empreses punteres de ciberseguretat de Catalunya, Light Eyes de Barcelona–, actualment Pegasus utilitza “vulnerabilitats d’aplicacions populars com Whatsapp, Gmail o Facebook per instal·lar-se, és un sistema de clic zero”. Joel Araujo, responsable tècnic de la mateixa empresa, avisa que aquest sistema és “molt bo” i més quan pot detectar “forats per entrar en el que es coneix com a zero day“. Això és colar-se per aplicacions del mòbil o del mateix sistema operatiu del terminal “quan encara el mateix programador no ha descobert la vulnerabilitat o quan el fabricant encara no sap com solucionar-ho”. “Per tant, es pot instal·lar sense que l’usuari ni tan sols cliqui cap enllaç o en sigui conscient”, detalla Flamerich.
El programa espia s’ha anat tornant sofisticat
“Són desenvolupadors molt perillosos i molt especials”, alerta Araujo. Una de les recomanacions més bàsiques de Flamerich és instla·lar actualitzacions o encendre i apagar el mòbil de tant en tant, cosa que esborra el software maliciós i aleshores s’ha de tornar a instal·lar o a través del phising (SMS) o d’una vulnerabilitat d’alguna aplicació o del sistema operatiu. De tota manera, a mida que han passat els anys, el sistema d’espionatge s’ha perfeccionat i posa les coses més difícils. De fet, Araujo remarca que els aplicatius que detecten les infeccions treballen en base al “rastre que deixen al terminal”. “Ara bé, cal tenir present que cada cop saben amagar-se millor”, afegeix. Així, el mòbil s’ha d’apagar i encendre sovint.
El Pegasus com a programari maliciós té versions per a Apple, com les detectades per Citizen Lab, però també treballa amb sistemes operatius de Blackberry i Windows, i fins i tot, pot determinar el temps de durada de l’espionatge. És a dir, manllevar informació, dades o fotografies durant un temps determinat, fer el seguiment durant un termini establert o qualsevol altra activitat de monitoratge i després autodestruir-se del terminal. És el rastre que deixa el que a través d’un sofisticat anàlisi forense informàtic el que determinarà si s’ha estat víctima d’aquest software. En tot cas, els experts de Light Eyes indiquen que, per economia de treball, el malware tria i passa pel sedàs uns determinats mots, paraules, expressions o conceptes que fa saltar les alarmes i que serveix de base per a la investigació i la reserva de dades.
3 
