Hace unas horas, nos llegó el chisme que en El Salvador, unos periodistas estaban siendo «intervenidos» en sus teléfonos, mediante un software llamado Pegasus. Todos los detalles de la noticia se pueden leer en el diario digital El Faro, que fue quien reventó la noticia. Solo acuerdense de llevar una lupa, porque los salvadoreños para ahorrar tinta digital, usan un tamaño de letra ilegible.
O bien se pueden quedar aquí en Bacanalnica, leyendo todos los detalles ciber-tecnológicos, el análisis (gratis) y el rebane que tanto les trastorna. Nosotros tenemos un experto en 2 de esas 3 cosas. Ustedes mandan.
¿Qué es un Pegasus y con qué se come?
Ya vas de muerto de hambre. Mira, Pegasus es un software que vende una empresa israelí llamada NSO. El software entra en la categoría de «spyware» y «malware». O sea que básicamente es un virus que una vez instalado te permite espiar a la victima.
Tal vez te suena el nombre porque tanto NSO como Pegasus tienen mucho tiempo de existir. En más de una ocasión han sido noticia internacional, por casos famosos como el de la captura del Chapo y el del periodista que descuartizaron (Jamal Khashoggi). Se presume (con bastantes indicios) que Pegasus fue lo que facilitó ambos eventos.
¿Cómo funciona Pegasus?
Pegasus se instala en los teléfonos Android y Apple (iOS) utilizando vulnerabilidades en el sistema operativo. O sea que una vez que te penetra el aparato, te desgraciaron, el teléfono completo queda bajo control del atacante. La cámara, el microfono, las aplicaciones, las llamadas, en fin, todo lo que antes era tuyo, ahora es de otro. Vos quedas como el Puma, cantando «Dueño de qué, dueño de nada«.
Hay vulnerabilidades que requieren que vos le des clic a un enlace. Otras, más modernas (les llaman «zero click»), no requieren de tu participación. Se instalan solas (mediante un SMS), borran cualquier registro de que se instalaron y quedito te comienzan a espiar todos tus movimientos. O sea que solo necesitan de tu número de teléfono para hacerte suyos.
La empresa detrás del sistema operativo (Google o Apple en este caso) eventualmente producen un parche para tapar la vulnerabilidad que abusaron. Pero antes, dicha empresa tiene que darse cuenta que el hoyo existe.
Y para cuando esto sucede, ya Pegasus encontró otro hoyo. O mejor dicho, ya le compró otro hoyo (que nadie sabe que existe, zero day), a un hacker que pasa todo el día buscando vulnerabilidades.
¿Por qué no es ilegal vender (y comprar) un virus como Pegasus?
Buena pregunta. NSO funciona bajo la tutela de la inteligencia israelí. De hecho, no es la única empresa de ciberseguridad que funciona desde Israel, haciendo más o menos lo mismo. En el brochure tríptico papel revista full color, NSO dice que solo vende a gobiernos que van a usar Pegasus para espiar criminales y terroristas. Y que ademas, todos sus clientes pasan por un riguroso examen que hace un panel de ética que ellos mismos, muy diligentemente han conformado. Para discutir si millones y millones de dólares valen más que hacerse los locos cuando los descubren vendiéndole su spyware a joyitas como Daniel Ortega. Yo digo que serían incapaces, porque todos sabemos que millones y millones de dólares no convencen a nadie de hacer algo malo, nunca.
Por otro lado, como dije anteriormente, cada cliente además debe tener el visto bueno de la Inteligencia Israelí.
El último obstáculo (y el más difícil de superar) es un contrato que los clientes de NSO tienen que firmar donde se comprometen a portarse bien y a no usar Pegasus para espiar a gente no-terrorista. O sea que Masacrín tendría que buscar la manera de firmar un contrato que luego no podría cumplir.
Que ternura. Creen que la firma de un dictador es garantía de algo.
¿A pues entonces en Nicaragua han usado Pegasus?
No lo creo. Es más, me atrevo a asegurar que no. No por la comprometedora firma del contrato (obviamente), ni por el tal comité de ética. Hasta el sello de aprobación de la Inteligencia israelí lo veo factible. Donde no veo pintado a Masacrín es en el precio.
Estamos hablando de varios millones de dólares para espiar a 5 gatos. ¿Vos sabes cuántos paramilitares podes pagar con un millón de dólares? Como diría el tapas alaste del Chele Grigsby «Prioridades compañero, prioridades. Yo puedo inventar lo que ustedes quieran, no hace falta espiar a nadie».
En el 2016 el New York Times publicó que Pegasus tiene un precio base de 650 mil dólares, más 500 mil dólares en concepto de «instalación» (y con eso solo te permiten espiar a 10 «terroristas»). Hace poco se filtraron otros precios donde cobraban 8 millones de dólares por 25 números (es decir, a $320k por cada número de teléfono).
En Nicaragua no sale ese tipo de «inversiones». Sobre todo porque el recurso humano batracio es tan barato. Con $20 podes pagarle a dos brutos de UNEN para que vigilen 24 horas a quien sea.
Así que a nosotros nos protege ese viejo y conocido proverbio chino que reza «Por qué gastar pólvora en zopilotes».
Han habido reportes que incluyen a Nicaragua en una gran lista de países que invierten en tecnología para espiar a sus ciudadanos. Pero si profundizas, te das cuenta que se refieren a que el Gobierno alguna vez compró unos equipos marca Blue Coat, que son unos aparatos que sirven para asegurar redes, pero que tienen mala fama de permitir hacer otras cosas no tan éticas.
Sin embargo, comparado con Pegasus, esos aparatos son juguetitos chinos de esos que te dan en las purísimas.
¿Entonces en El Salvador sí hay reales?
Así parece, porque el aviso para los periodistas de que tal vez habían sido víctimas de Pegasus, viene del mismisimo Apple. Y Apple fue avisado (de la vulnerabilidad) por Citizen Lab, una organización especializada en ciber-seguridad que le viene siguiendo los pasos a NSO desde hace varios años. Además, hace tiempo sabemos que el Gobierno de México pagó para espiar, entre otros, a la periodista Carmen Aristegui (y a su hijo menor de edad, de paso). O sea que sí, es factible que Bukele haya pagado un par de melones para agarrar en la maturranga a sus adversarios políticos (así ve él a los periodistas).
Hace unos meses se filtró una lista de 50 mil números de teléfonos que supuestamente habían sido recogidos en NSO para ver si podían o no, ser penetrados por Pegasus. No te diste cuenta de la noticia porque no se pudo comprobar casi nada sobre la tal lista. Lo que sí es cierto es que Citizen Lab confirmó que 37 números sí estaban pegados con Pegasus (entre ellos presidentes, ex-presidentes y hasta uno que otro rey).
NSO niega todo. Es más, según ellos, solo tienen 45 clientes, y a lo sumo estos clientes vigilan apenas a 100 números máximo. Así que ni juntando a todos los clientes podrían llegar a semejante vulgaridad de números. No es tan fácil creerles, sobre todo porque ellos dicen que no hay manera de confirmar a cuanta gente están espiando sus clientes.
De todos modos, ya todo eso valió piña porque NSO acaba de ser demandada por la empresa más rica en la historia de las empresas, Apple. Esta no es la primera demanda que les cae (ya antes WhatsApp había llevado a juicio a los israelitas por darles color de inseguros). Pero algo me dice que ésta será la última. Porque además, el Gobierno de Estados Unidos los acaba de meter en una lista negra, tipo la Policía Sandinista.
¿Se acuerdan del contrato que NSO te hacía firmar antes de venderte su software? Aquel que Masacrín uso para limpiarse las pezuñas (en nuestro escenario hipopótamo). Pues ahí decía que Pegasus no podía ser usado contra ciudadanos de Estados Unidos o Israel. La demanda de Apple empieza diciendo que Pegasus fue usado para espiar a ciudadanos de Estados Unidos, así que no creo que sea un juicio muy largo. Hasta entonces podremos saber a ciencia cierta si fue Bukele el que pagó por espiar a los periodistas de El Faro.
Oe ¿Cómo confirmo que no estoy pegado con Pegasus?
No lo estas. Confia en mi. ¿O es que vos crees que Daniel Ortega va a gastar $500 mil bolitas verdes en tu teléfono?
OK, si estás tan seguro, y nadie te saca de ahí (porque tenes un ego del tamaño del Xolotlan, con todo y su «piso lodoso chirre»), podes descargar, compilar y correr esta aplicación. Estoy seguro que alguien tan inteligente e importante como vos sabe travesear python.
Ahora sí, aquí tienen el enlace al artículo de El Faro para que lean los detalles que no mencioné porque eran aburridos.
Leave a Comment