Según los expertos en ciberseguridad, el spyware es un tipo software malicioso (malware en inglés) que recopila y comparte información de un ordenador o red sin el consentimiento del usuario. Puede llegar a los dispositivos e instalarse sin consentimiento como parte de un paquete de software genuino, o a través de anuncios engañosos, sitios web, vínculos, correos electrónicos, mensajes o conexiones directas para compartir archivos. Algunos de estos programas incluso pueden permitir acceso a la geolocalización y a los micrófonos o cámaras de los móviles y ordenadores.

Bogdan Botezatu, director de investigación de amenazas de la empresa de ciberseguridad Bitdefender, ha explicado que Pegasus es uno de los spyware para iOS y Android más avanzados que se hayan detectado en el mundo hasta el momento, y que explota vulnerabilidades en aplicaciones como WhatsApp o FaceTime para infectar teléfonos inteligentes: “Pegasus compromete el dispositivo a través de vulnerabilidades y aprovecha su acceso raíz en el dispositivo. A partir de ahí, los atacantes tienen el control total del objetivo y pueden instalar aplicaciones adicionales, exfiltrar archivos, entre otras cosas”. Según Citizen Lab, este software habría sido utilizado contra unas 50.000 personas y por lo menos en 34 países, aunque NSO indica que habría operado hasta en 40 países en 2021.

Algunos de los software espía también pueden registrar las pulsaciones de las teclas para obtener datos personales como el nombre del usuario, la dirección, las contraseñas, la información bancaria y crediticia o la información de la seguridad social. Asimismo, puede escanear archivos en el disco duro del sistema, husmear en otras aplicaciones o leer cookies.

Los creadores de Pegasus, no obstante, insisten en que su creación está pensada para apoyar a las fuerzas de la ley. “La postura firme de NSO sobre estos temas es que el uso de herramientas cibernéticas para monitorear a políticos, disidentes, activistas y periodistas es un mal uso severo de cualquier tecnología y va en contra del uso deseado de tales herramientas. Somos un proveedor y no operamos la tecnología ni tenemos acceso a los datos recopilados. La empresa no sabe ni puede saber quiénes son los objetivos de sus clientes, pero implementa medidas para garantizar que estos sistemas se utilicen únicamente para los usos autorizados”.

Ante esto, Jordan responde que la empresa ha sido cómplice, puesto que tendría que haber garantizado que su software se utilice únicamente para combatir el crimen o el terrorismo desde el principio: “No tiene sentido que hayan podido venderlo a partidos políticos u otro tipo de entidades, porque no estaba diseñado para ser empleado fuera del entorno de la defensa y seguridad. Ellos tenían la responsabilidad de verificar que se use en el contexto correcto”. La especialista aclara que la Unión Europea está actualmente trabajando para garantizar que cuando los países adquieran este tipo de herramienta, se empleen solo en el ámbito correcto y con supervisión de un juez.

La utilización del spyware, no obstante, trascienden el espionaje. El software espía puede recopilar casi cualquier tipo de datos, incluidos los hábitos de navegación web o la actividad de descarga. En este sentido, los expertos de Palo Alto Networks aseguran que, a diferencia de otros tipos de malware, estas herramientas son utilizadas también por “anunciantes sin escrúpulos” y empresas que buscan recopilar datos de mercado de los usuarios sin su consentimiento. Los especialistas añaden que, como herramienta de publicidad, el software espía también se emplea para recopilar y vender información del usuario a anunciantes interesados u otras partes interesadas. En estos casos, estos programas reciben el nombre de Adware (software malicioso de anuncios).

Cabe destacar que, a pesar de su complejidad, defenderse de estas amenazas es posible. Nicolás Arias, Director de Proyectos Especiales de la empresa de ciberseguridad VU, ha explicado que para evitar este tipo de programas hay que considerar mantener los dispositivos actualizados y no instalar aplicaciones innecesarias o de fuentes no oficiales: “Adicionalmente, es recomendable usar un firewall que permita analizar las conexiones e incluso analizar el tráfico, además de mecanismos de seguridad como múltiples factores de autenticación y encriptación de los datos almacenados y en tránsito”.