Shalev Hulio, un empresario israelí de 39 años, hace meses que dejó de ser un personaje desconocido. Su empresa, NSO Group, está detrás de Pegasus, el polémico software con el que varios gobiernos han espiado supuestamente a diplomáticos, abogados, activistas, opositores y periodistas. Esta semana, el programa espía se ha vuelto a cruzar en el camino de Apple.
El lunes, la compañía californiana lanzó una actualización de emergencia para combatir un fallo de seguridad detectado en iPhones, Macs y Apple Watches. Los investigadores de The Cityzen Lab, de la Universidad de Toronto, han descubierto que NSO Group, ha infectado productos de Apple con un método muy sofisticado.
"Se recomienda instalar esta actualización a todos los usuarios, ya que proporciona actualizaciones importantes de seguridad". Este es el mensaje que aparece en la descripción del iOS 14.8, el nuevo sistema operativo que Apple estrenó de emergencia el lunes, un día antes de la presentación del iPhone 13 y de sus nuevos productos en el evento estrella que la compañía celebra cada mes de septiembre.
Apple respondía así al informe de The Cityzen Lab que alertaba de esta vulnerabilidad en el sistema. El spyware convierte el dispositivo infectado en un libro abierto para el espía. Le da acceso a la cámara, al micrófono o a los mensajes de texto, incluso a los enviados a través de aplicaciones de mensajería cifradas, como Signal.
Que el spyware de Shalev Hulio esté detrás de la infección de los productos de Apple no es ninguna sorpresa. En los últimos meses, Pegasus ha protagonizado titulares de medios de comunicación de varios países del mundo. En su página web, NSO Group asegura que su tecnología se utiliza para "ayudar a las agencias gubernamentales a prevenir e investigar el terrorismo y el crimen organizado para salvar vidas en todo el mundo". Y es cierto que sus servicios se han utilizado para estos propósitos durante años. El problema es que su software también ha servido para piratear teléfonos y dispositivos de ciudadanos ajenos al crimen.
Desde 2016, el rastro de Pegasus ha aparecido en los teléfonos de activistas, médicos, disidentes, abogados y periodistas. Sus huellas también se han encontrado en España. El año pasado, The Citizen Lab desveló que Pegasus se había utilizado para monitorizar el smartphone de Roger Torrent, entonces presidente del Parlamento catalán, y el de Ernest Maragall. "Notaba cosas extrañas. Se me borraban mensajes de WhatsApp y los historiales de las conversaciones", explicó Torrent a El País y The Guardian, los medios que desvelaron el presunto caso de espionaje. El político catalán acusó al Gobierno español de estar detrás del hackeo de su móvil. El Ministerio de Interior negó tener relación alguna con NSO y con el espionaje a los políticos de ERC.
En julio, una investigación realizada por un consorcio formado por Amnistía Internacional y Forbidden Stories implicó a varios gobiernos en el espionaje de más de 50.000 teléfonos de periodistas, altos cargos de empresas, activistas de derechos humanos, ministros y diplomáticos. Entre las administraciones acusadas estaban Arabia Saudí, Marruecos, México, Hungría, la India, Ruanda y Azerbayán. La investigación no aclaraba si esta lista de teléfonos era de dispositivos ya hackeados o de posibles objetivos. NSO, por su parte, se ha negado a divulgar la lista. Considera que la investigación es "endeble" e insiste en que Pegasus es una herramienta para luchar contra el crimen y el terrorismo.
El método 'Zero-Click'
Cuando NSO Group se hizo famosa en 2016 fue, precisamente, gracias a un ataque que explotaba vulnerabilidades del iOS 9 de Apple. Como ha ocurrido esta semana, la empresa de Cupertino resolvió aquel fallo de seguridad actualizando su sistema operativo.
El nuevo agujero de seguridad descubierto por The Cityzen Lab confirma que Pegasus también utiliza un método de ataque conocido como 'Zero-Click'. Según The New York Times, a este novedoso mecanismo se le considera como el Santo Grial de la cibervigilancia porque entra en el dispositivo sin avisar al usuario. Es decir, no hace falta que la víctima realice ninguna acción para instalar el programa espía. Antes, los clientes de NSO infectaban los móviles de sus objetivos enviándoles un mensaje de texto que les animaba a clicar en un enlace malicioso. Con este nuevo método no hace falta pinchar en ninguno para que Pegasus entre en el teléfono.
En esta ocasión, el software espía se instalaba a través del programa de mensajería instantánea iMessage, sin que el usuario hiciera nada para activarlo. Este agujero de seguridad afecta a todas las versiones anteriores a la 14.8 de los móviles, ordenadores y relojes inteligentes de la multinacional que dirige Tim Cook. Los usuarios pueden actualizar el sistema operativo de sus iPhones siguiendo la ruta 'Configuración/General/Actualización'. El proceso es similar para Mac y Apple Watch.