Com funciona Pegasus i per què no és l'única eina de ciberespionaje governamental?
Com funcionen els programes de ciber espionatge estatal? Per què el CNI pague una quantitat tan elevada per al programari espia?
Pegasus ja s'ha convertit en el major escàndol de spyware de la història, però no és l'únic, les eines de ciber espionatge van començar a proliferar a partir del 2005 amb la creació de Carnivore, Xkeyscore, Candiru o Mystic. La llicència contractual de fabricants de productes com Pegasus es limita a la lluita contra el terrorisme i la criminalitat, no obstant això, més de 50.000 persones haurien sigut espiades amb aquest programari a tot el món en una indústria que ja embene a més de 50 països i que presumptament monitora l'activitat de polítics, periodistes, dissidents i adversaris de qualsevol naturalesa.
Pegasus aprofita les vulnerabilitats del sistema operatiu i s'instal·la amb la tecnologia zero clic. És discret i silenciós, però també deixa pistes a través del codi font. S'instal·la i opera des de la memòria temporal evitant així ser detectat per experts en ciberseguretat. Pegasus té a més un transceptor sense fil que és capaç d'infectar a la víctima si un agent es col·loca prop de l'objectiu. En altres casos s'instal·la manualment si un agent d'intel·ligència aconsegueix accedir físicament al dispositiu. Disposa a més de més de 600 dominis i webs des dels quals enganya l'usuari a través d'enllaços, publicitat i llocs web que generen contingut a la carta per a adaptar-se als interessos de la víctima. És capaç d'alterar la llista de resultats de les cerques que l'usuari visualitza en el seu mòbil desviant-lo a llocs web de falsa confiança.
Però per quina raó alguns governs paguen fins a 6 milions d'euros si existeixen programes espia que no superen els 100 euros en el mercat?
El pagament fa pensar en una quantitat molt elevada de llicències contractades durant un temps molt prolongat afirma Francisco Canals, periodista especialitzat en ciberdelictes i director del OEI. A més, aquest programari disposa de tot un ecosistema en el qual no falten dades de fonts públiques i acords amb multinacionals tecnològiques en plataformes que tots usem diàriament. Pegasus és un sistema mixt en el qual també s'utilitzen “agents en terra” que operen amb la víctima per proximitat.