Pegasus: El polémico software de espionaje que sacude al mundo. Lo que debe saber

En un mundo cada vez más digitalizado, la seguridad informática se ha convertido en un tema de vital importancia para gobiernos, empresas y ciudadanos por igual. Sin embargo, la línea entre la protección y la invasión de la privacidad se ha vuelto cada vez más difusa, especialmente con la aparición de herramientas de vigilancia altamente sofisticadas como Pegasus.

Pegasus es un software de espionaje desarrollado por la empresa israelí NSO Group, fundada en 2010 por ex miembros de la Unidad 8200, la división de inteligencia de señales de las Fuerzas de Defensa de Israel. Esta herramienta ha sido objeto de intenso escrutinio y controversia desde que se reveló su existencia en 2016.

¿Qué hace Pegasus?

Pegasus es capaz de infiltrarse en dispositivos móviles, tanto iOS como Android, sin requerir ninguna acción por parte del usuario. Una vez instalado, puede acceder a prácticamente toda la información almacenada en el dispositivo, incluyendo mensajes, correos electrónicos, contactos, historial de llamadas, ubicación en tiempo real, fotografías y videos. Además, puede activar de forma remota la cámara y el micrófono del dispositivo, convirtiéndolo en un instrumento de vigilancia en tiempo real.

¿Cómo funciona?

El método de infección de Pegasus ha evolucionado con el tiempo. Inicialmente, se basaba en técnicas de “spear phishing”, enviando mensajes engañosos con enlaces maliciosos. Sin embargo, versiones más recientes utilizan vulnerabilidades de “zero-click”, que no requieren ninguna interacción del usuario para infectar el dispositivo.

Una característica crucial de Pegasus es que no necesita ser descargado o instalado físicamente en un computador específico. El software opera principalmente desde servidores remotos, lo que significa que una vez adquirido, puede ser utilizado sin dejar rastros físicos evidentes en las instalaciones del comprador.

¿Quién lo produce y dónde se ha utilizado?

NSO Group, la empresa detrás de Pegasus, afirma que solo vende su software a gobiernos y agencias de seguridad para combatir el terrorismo y el crimen organizado. Sin embargo, investigaciones periodísticas y de organizaciones de derechos humanos han revelado su uso contra periodistas, activistas, políticos de oposición y defensores de derechos humanos en diversos países.

Se han reportado casos de uso de Pegasus en México, Arabia Saudita, Emiratos Árabes Unidos, India, Marruecos, y varios países europeos, entre otros. En 2021, el Proyecto Pegasus, una investigación colaborativa liderada por Forbidden Stories y Amnistía Internacional, reveló una lista de más de 50,000 números telefónicos potencialmente objetivo de vigilancia con Pegasus.

El caso colombiano

En Colombia, el escándalo relacionado con Pegasus ha tomado un cariz particular. Se ha reportado la supuesta compra clandestina del software por parte de alguna entidad de seguridad del Estado, generando una controversia significativa, aunque todos lo han negado. El último en negar es la DIPOL.

Según el presidente Gustavo Petro, se habría pagado 11 millones de dólares en efectivo a un banco en Israel por la adquisición de Pegasus. Sin embargo, las autoridades colombianas han negado poseer el software, argumentando que no hay rastros físicos de su existencia en los sistemas gubernamentales y no hay conocimiento cierto de haberse pagado por este software.

Es importante destacar que la ausencia de evidencia física no necesariamente implica que el software no haya sido adquirido o utilizado. Como se mencionó anteriormente, Pegasus opera principalmente desde la nube y no requiere una instalación local. Esto significa que, si fue comprado, no habría necesidad de descargarlo o instalarlo en un computador específico dentro de las instalaciones gubernamentales.

La naturaleza clandestina de la supuesta compra y la falta de transparencia en torno al tema han generado preocupación entre la sociedad civil y los defensores de derechos humanos en Colombia. Se han planteado cuestionamientos sobre el posible uso indebido de fondos públicos y la legalidad de la adquisición de un software de estas características; elevando el tema a casi un “mito” más cuando algunas voces gubernamentales están hablando ahora que el dinero utilizado para pagar por Pegasus fue dinero incautado al narcotráfico, por lo que no se hizo con dinero que dejara rastro en las finanzas públicas. Nada de ello ha sido confirmado.

Implicaciones legales y éticas

El uso de Pegasus plantea serias cuestiones éticas y legales. Aunque NSO Group afirma que su software está diseñado para combatir el crimen y el terrorismo, su potencial para el abuso es evidente. La capacidad de infiltrarse en dispositivos personales sin el conocimiento o consentimiento del usuario representa una grave amenaza a la privacidad y los derechos humanos.

Varios países y organizaciones internacionales han tomado medidas contra NSO Group y el uso de Pegasus. En noviembre de 2021, el Departamento de Comercio de Estados Unidos incluyó a NSO Group en su lista negra de entidades, citando preocupaciones sobre el uso de Pegasus contra funcionarios gubernamentales, periodistas y otros.

La Unión Europea también ha expresado su preocupación por la utilización de Pegasus dentro de sus fronteras, con investigaciones en curso en varios Estados miembros. El Parlamento Europeo ha establecido un comité especial para investigar el empleo de Pegasus y software de vigilancia similar.

¿Un muerto relacionado con Pegasus?

Hace unos días en Medellín murió Yariv Bokor un residente proveniente de Israel y relacionado con la empresa canadiense SandVine, que según el Departamento de Estado de Estados Unidos, está en la lista negra por lo mismo que está la propietaria de Pegasus y todo parece indicar que Bokor, quien era exmilitar israelí y formado en el Mosad, tendría relación con la operación de un software con las mismas propiedades que se le atribuyen a Pegasus.

Textualmente, el Departamento de Estado señala la empresa canadiense en los siguientes términos: “Sandvine  suministra herramientas de inspección profunda de paquetes, que se han utilizado en la vigilancia masiva de la web y la censura para bloquear noticias, así como para atacar a actores políticos y activistas de derechos humanos.   Esta tecnología se ha utilizado indebidamente para inyectar software espía comercial en los dispositivos de personas consideradas críticas y disidentes”. 

La muerte de Bokor, alimentó aún más las dudas sobre Pegasus.

¿Quién mató a Yariv Bokor, el israelí vinculado al espionaje en Medellín? Las pistas

Pegasus representa un hito en la evolución de las tecnologías de vigilancia, demostrando capacidades que hasta hace poco parecían propias de la ciencia ficción. Su existencia plantea preguntas fundamentales sobre el equilibrio entre seguridad nacional y privacidad individual, así como sobre la regulación de tecnologías potencialmente invasivas.

En el caso específico de Colombia, el escándalo en torno a Pegasus subraya la necesidad de mayor transparencia y supervisión en las adquisiciones y operaciones de inteligencia del Estado. La sociedad civil y los medios de comunicación juegan un papel crucial en exigir rendición de cuentas y garantizar que las herramientas de seguridad nacional no se conviertan en instrumentos de represión o vigilancia indiscriminada.

A medida que avanza la era digital, el debate sobre Pegasus y tecnologías similares seguirá siendo relevante. Es imperativo que gobiernos, empresas tecnológicas y ciudadanos trabajen juntos para establecer marcos éticos y legales que protejan los derechos fundamentales sin comprometer la seguridad nacional. Solo así se podrá navegar los complejos desafíos que plantea la intersección entre tecnología, privacidad y seguridad en el siglo XXI.