Pegasus, aquest és el nom del software maliciós que ha situat Catalunya al centre de totes les mirades. I és que més d’una seixantena de polítics i figures de la societat civil catalana han estat espiats entre el 2017 i el 2020, segons les investigacions del grup d’experts en ciberseguretat Citizen Lab, de la Universitat de Toronto, i publicades per la revista The New Yorker. Malgrat que el sistema segueix les mateixes pautes que les de qualsevol altre sistema, aquest és, tal com explica el consultor digital i professor d’ESADE Carles Iglesias, “el programari més complex i sofisticat que actua en els mòbils a tot el món”.

Pegasus s’apodera de qualsevol telèfon amb Android o iOS per gravar totes les comunicacions que es donen a través de trucades o de capturar els missatges que s’envien mitjançant aplicacions de missatgeria electrònica. També pot robar les dades de correus electrònics o imatges de la càmera. “Pot prendre gairebé el control total del dispositiu”, alerta l’especialista, qui recorda que la infecció arriba per una via ja coneguda: “Es transmet amb missatges dissenyats perquè no semblin falsos”. Pot arribar a partir d’un missatge d’un contacte de la lliberta, d’una notificació push que demana actualitzar una app o d’un enllaç, i sense els errors habituals que poden posar en alerta els usuaris. “Són molt creïbles, així que fas clic, i no hi ha marxa enrere”, comenta.

Pegasus personalitza els missatges per garantir la infecció i reduir al mínim la possibilitat de detectar el frau

Les campanyes actuals d’infecció massiva busquen xarxes àmplies de persones. És a dir, que un dispositiu infectat repliqui el missatge al màxim nombre de contactes possibles. “La seva base és la viralitat, així que són textos molt generals i no hi ha personalització com la que trobem amb Pegasus, per això són més fàcils d’identificar”, apunta Iglesias. En canvi, aquest software israelià dissenyat per l’empresa NSO Group Technologies identifica el seu objectiu per tal d’adaptar els missatges perquè siguin creïbles. A més a més, recorda, “no t’arriba un sol missatge de WhatsApp o una notificació push, sinó que te’n poden arribar 10, 12 o 16 de diferents en un període de temps raonable per assegurar que hi haurà la infecció”. Totes les dades adquirides amb Pegasus s’emmagatzemen als servidors de la companyia desenvolupadora perquè els clients hi accedeixin.

Detectar el programari maliciós en un terminal o l’arribada d’alguna comunicació que tingui la intenció d’infectar un dispositiu només està a l’abast dels experts en ciberseguretat. Tal com explica Iglesias, existeixen spywares que detectar el programari, però no està a l’abast de qualsevol persona, sinó que calen coneixements en profunditat.

Un buit legal

Pegasus s’empra en entorns d’alta seguretat com la política. De fet, només els governs i les agències d’intel·ligència el poden contractar, i ha de ser sempre amb una ordre judicial. “NCO ha afirmat des del primer moment que la seva activitat no és il·legal i que treballa per a governs amb mecanismes democràtics aprovats per la llei”, assenyala Iglesias, “un altre debat és si l’activitat és poc ètica o perillosa des d’un punt de vista democràtic”.

La companyia israeliana treballa amb governs que tenen el permís judicial per a l'espionatge

L’ús del software s’ha detectat gairebé a tot Europa. “Pràcticament tots els països el tenen contractat. NCO té monopoli a escala europea, tot i que hi ha més competidors al món i alguns que són excel·lents en l’àmbit de Windows o de Macs, però Pegasus és el millor amb els mòbils”, conclou l’especialista.

Entre les personalitats afectades pel ja conegut com a CatalanGate es troben el president de la Generalitat, Pere Aragonès; els expresidents del Govern, Artur Mas i Quim Torra; l’expresidenta de l’ANC, Elisenda Paluzie, i l’actual secretari general de Junts per Catalunya, Jordi Sànchez.