Ciberseguridad

"Pegasus es un arma de ciberguerra": los expertos alertan de los riesgos que afrontan las democracias

Un hombre visita la web del NSO Group, la firma de tecnología israelí conocida por su spyware Pegasus.

El Ministerio de Defensa define los ciberataques como “la acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan”. En ese sentido, desde el Instituto Español de Estudios Estratégicos (IEEE) advierten de que estos ataques ilícitos “se han convertido en un potente instrumento de agresión contra particulares e instituciones públicas y privadas”  y proceden “de grupos terroristas, redes de crimen organizado, empresas, Estados o individuos aislados".

El hecho de haber integrado en nuestro vocabulario (aun sin saber a ciencia cierta lo que significan) palabras como malware, ransomware, phishing o ataques DDoS, es la prueba de que el ciberespacio se erige como un entorno central en el funcionamiento de las sociedades más avanzadas tecnológicamente. A estos conceptos se les ha unido otro que ha adquirido un protagonismo notorio en la política nacional: el software Pegasus. El pasado lunes el Gobierno reveló que los teléfonos del presidente Pedro Sánchez y la ministra de Defensa, Margarita Robles, fueron hackeados con este programa en mayo y junio del pasado año.

Pegasus es un programa espía fabricado por la empresa israelí NSO Group capaz de hacerse con datos personales, interceptar conversaciones y encender cámaras y micrófonos de forma autónoma. La empresa, estrechamente vinculada con los servicios de seguridad israelíes, afirma que aplica estrictos controles para evitar un uso indebido y que solo vende el programa a otros Estados, pero tal y como aseguran a infoLibre fuentes de los servicios de inteligencia españoles, “Pegasus lo usa cualquiera que tiene capacidad de pagarlo”. Eso sí, puntualizan, “ siempre que no se trate de un enemigo declarado del Estado de Israel”.

El Gobierno ha tardado un año en descubrir que ambos terminales estaban infectados con el virus, lo que ha puesto en entredicho la labor del CNI. Sin embargo, según explica a este periódico Alberto Aguiar, periodista de Business Insider España (BIE) especializado en ciberseguridad, Pegasus es “una herramienta muy sofisticada y difícil de detectar”. De hecho, si sabemos de su existencia es gracias al trabajo realizado por el laboratorio Citizen Lab, un equipo de investigación de la Munk School de la Universidad de Toronto. "Herramientas como Pegasus pueden ser consideradas armas de ciberguerra o artefactos muy poderosos en malas manos”.

La herramienta se promociona (e Israel la vende de ese modo) como una útil solución para frenar la pornografía infantil en la red o para acabar con células terroristas. Fruto del trabajo de investigación por parte de Citizen Lab, el año pasado también se sumaron organizaciones como Amnistía Internacional y liberaron una herramienta que bautizaron como Mobile Verification Toolkit (MVT) y que sirve para escanear dispositivos móviles y encontrar el 'rastro' de que Pegasus estuvo en él. “El problema es que Pegasus borra buena parte del rastro que deja”, traslada el periodista de BIE.

La ‘impunidad’ de los ciberatacantes

Tal y como expone Javier Miguel Gil, analista de Relaciones Internacionales en el ámbito de la Seguridad y la Defensa, el ciberespacio “aporta a los delincuentes el medio para realizar sus actividades desde cientos, miles de kilómetros, sin tener que estar físicamente en el lugar del delito ni tener que desarrollar complejas estructuras criminales, lo que le aporta otra de las características del ciberdelito, como es el anonimato”.

En ese sentido Gil apunta que debido a la dificultad que supone rastrear el origen de un ataque informático e identificar físicamente al presunto delincuente, no sólo a nivel técnico, sino también en tiempo, “este hecho le otorga una imagen de impunidad que difícilmente encontramos en otras actividades ilícitas”. Una argumentación que completa Aguiar: “Toda la ciberdelincuencia se ha convertido en una industria súper profesionalizada y las mafias que perpetran estos daños funcionan como auténticas compañías”, razona.

El analista en Seguridad y Defensa considera que el cibercrimen “se aprovecha de la pasividad de los usuarios” puesto que “en muchas situaciones en las que se produce el robo de información o la suplantación de identidad, ésta no se denuncia, bien porque se desconocen estos hechos o, en el caso de muchas empresas, por temor a que este reconocimiento público tenga repercusiones en su imagen, debido a que puede genera desconfianza entre sus clientes (o potenciales clientes) y sufrir un riesgo reputacional difícilmente cuantificable”. El Gobierno español ha sido el primero en hacer público que ha sido espiado a través de Pegasus.

Los expertos consultados advierten de que los atacantes están explotando la actual dependencia digital para conseguir sus objetivos, bien sean económicos o políticos y las técnicas utilizadas para realizar los ataques son cada vez más sofisticadas y están en constante evolución.

¿Cómo luchar contra los ciberataques?

"La principal vía para evitar y repeler ciberataques en España y en todo el mundo sigue siendo la prevención y la concienciación. En empresas y organizaciones, los eslabones más débiles suelen ser los empleados que no están lo suficientemente formados ni cuentan con los recursos necesarios para evitar caer en estafas o fraudes, estafas o fraudes que en realidad estarían abriendo un agujero en la seguridad de la organización víctima para inocular algún tipo de ataque concreto como es el ransomware (códigos maliciosos que bloquean los archivos de la red de su víctima y exige un rescate a cambio de que esta pueda recobrar la normalidad)”, explica el periodista de Business Insider.

Por ese motivo advierte de que la ciberdelincuencia "es un negocio muy lucrativo": "Si consigues paralizarle el negocio a una multinacional, la chantajeas advirtiéndole de que o pagan o no recobran la normalidad o de que sus datos más sensibles van a ser difundidos en público, te puedes ganar un buen pellizco. Si eres un ciberdelincuente con menos pretensiones, lo mismo puedes robar bases de datos personales de usuarios de una compañía y acabar vendiendo esos datos (direcciones de correo, teléfonos, tarjetas de crédito) en la dark web".

Si este ciberataque ya se ha producido, Aguiar señala que “se requiere una respuesta rápida” por parte de la persona afectada. Por ejemplo, aislar las redes afectadas por el incidente para evitar que el ataque se propague, extraiga y robe más datos, y no distorsione demasiado el negocio o la operativa de la organización. “Para ello existen equipos de respuesta temprana y de emergencias, como son los CERT o los CIRT”, expone el periodista. 

Los organismos que se encargan de la ciberseguridad en España

La Administración Pública cuenta con equipos especializados y que se despliegan cuando un ciberataque ha afectado a alguna empresa. Es el caso del INCIBE-CERT (el CERT del Instituto Nacional de Ciberseguridad) o del CCN-CERT (del Centro Criptológico Nacional, dependiente del CNI). Aguiar recuerda que este último organismo ya se desplegó hace unos años en un ciberataque al Ayuntamiento de Jerez.

En el caso del ciberespionaje, la investigación la realizará uno u otro organismo en función de quién sea la víctima. Si afecta a cualquier administración o cargo público, se encarga el Centro Criptológico Nacional; si se trata de información de carácter militar, Defensa tiene su propia área dedicada exclusivamente a ello; y si un ciberataque o un hackeo se dirigen a ciudadanos o empresas privadas, es responsabilidad del Instituto Nacional de Ciberseguridad (INCIBE). 

En marzo de este año, el Gobierno elevó al nivel tres (en una escala de cinco) su alerta de ciberseguridad y creó un comité dirigido por el Centro Criptológico Nacional para abordar los riesgos derivados de la invasión rusa a Ucrania. Y no es casual que a finales de mes el Gobierno aprobase el Plan Nacional de Ciberseguridad dotado con más de 1.200 millones de euros, frente a los 1.000 millones anunciados anteriormente, "de cara a responder de manera adecuada al mayor riesgo geopolítico actual", en palabras de la vicepresidenta Nadia Calviño.

Este plan incluye la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (AGE), adjudicado a Indra en febrero. La misión de este centro es desarrollar una estrategia nacional común de ciberseguridad, con el objetivo, entre otros, de prevenir ciberataques externos a organismos públicos y empresas, y tener planes de actuación en caso de que se produzcan.

Pegasus o 'el que paga, espía'

Más sobre este tema
stats