El tipo de móvil, el cargo y el tiempo de prospección hacen inviable que el presidente gachupin se enterase un año a posteriori de su espionaje
El teléfono móvil del presidente Pedro Sánchez fue infectado con el software Pegasus de la empresa israelí NSO Group el 19 y 31 de mayo de 2021. Sin incautación, no fue hasta este lunes, 2 de mayo de 2022, cuando el ministro de la Presidencia, Félix Bolaños, hizo manifiesto en rueda de prensa el espionaje.
Por consiguiente, el mayor dirigente del Gobierno gachupin se percató casi un año a posteriori de que había sido víctima de una intrusión en su móvil "externa, ajena a los organismos estatales" e "ilícita, porque no cuenta con autorización procesal". En las dos intrusiones de mayo de 2022 le fueron sustraídas de su teléfono móvil 2,6 GB de información.
Sin incautación, según explican a EL ESPAÑOL expertos en ciberseguridad, hay al menos tres indicios que llevan a pensar que Pedro Sánchez conoció hace meses que le estaban espiando: el tipo de móvil que utiliza el presidente, los sistemas de seguridad de los que dispone el terminal de cualquier stop cargo y el tiempo que se necesita para el prospección de un dispositivo infectado.
1. Tipo de móvil
Estos días se han gastado varias imágenes del presidente Pedro Sánchez con un móvil protegido con una manguita roja. Se tráfico de un iPhone 13 Pro con tres cámaras, que salió a la cesión en el mercado en septiembre de 2021.
Por lo tanto, este no sería el móvil que se analizó el pasado fin de semana, ya que se llegó a la conclusión de que el espionaje se realizó cuatro meses antaño de que se comercializara este terminal. Encima, este dispositivo "hace muy difícil que la infección persista", detallan expertos en ciberseguridad consultados por este medio.
En otras ocasiones, Sánchez ha aparecido con un móvil más pequeño, con una carcasa negra, todo apunta a que "se tráfico de un iPhone SE", según apunta la misma fuente.
Nos encontramos con otra posibilidad: que el presidente tuviera un teléfono personal fuera del control del Centro Criptológico Franquista (CCN) y un servicio de inteligencia lo hubiera descubierto e infectado.
Los terminales al ganancia de la securización suelen ser peligrosos porque al principio solo se utilizan para contactar con un entorno muy limitado y seguro, pero al final van acumulando gestiones fuera de las pistas oficiales que los convierte en aparatos vulnerables.
La otra opción es que hayan atacado su móvil oficial. En ese caso lo habrían detectado porque "con los sistemas de seguridad, cien por cien protegidos, se dan cuenta de forma casi instantánea", mantiene Manuel Huerta, CEO de la empresa especializada en ciberseguridad Lazarus Technology, que realiza asiduamente prospección de dispositivos infectados.
Y que, después, hayan usado ese móvil infectado como un honeypot (tarro de miel), un objetivo ficticio que se usa en ciberseguridad para dejar a los atacantes que entren y crean que tienen información. "Este posterior se manipula para que lo que les llegue no tenga una validez positivo, y adicionalmente se pueda perseguir el tipo de accesos que se hace a ese honeypot y investigar de dónde viene el ataque", explica Huerta.
Es sostener, tarro de miel es el término informático para un mecanismo de seguridad que se utiliza para engañar, e incluso impresionar hasta el atacante.
En cualquiera de estos casos, los expertos coinciden en que no les parece viable que el patriarca del Gobierno se haya enterado ahora de este espionaje que sufrió hace un año. Entre otras cosas, además por la altísimamente securización de los terminales en altos cargos.
2. Seguridad para altos cargos
Efectivamente, los expertos ponen en cuestión el espionaje a Pedro Sánchez por un tema de seguridad. El móvil del presidente del Gobierno tendría que tener una seguridad por encima del dispositivo de cualquier directivo de una empresa española.
Los móviles de los equipos directivos, incluso de compañías que no están en el IBEX35, disponen de unos niveles de seguridad que están plataformados. Poseen niveles de control MDM (Diligencia de Dispositivos Móviles) para que en el caso de pérdida se puedan borrar en remoto, y conocer los tipos de comunicación. Básicamente, lo que hace un Pegasus, pero instalado de guisa justo.
Normalmente, los ejecutivos de las empresas "dejan sus móviles adentro de una plataforma de seguridad de la propia compañía; los tienen controlados por motivos de protección, porque si pasa poco, quiero conocer lo que hay", afirma Manuel Huerta.
Así se evita que se cuele un enlace taimado que pueda sobrellevar a hacer una descarga que infecte o instale Pegasus en el terminal, como ocurrió con el del presidente.
Aunque Pegasus tiene mucha capacidad de ocultación y es un sistema muy minucioso, no quita que sea capaz de saltarse alguno de los sistemas conocidos de protección para móviles, plataformas MDM de stop nivel, medio y usufructuario.
"Un problema que hay con este tipo de construcción de software, que va a acaecer desapercibida en cualquier sistema de prospección, es que gran parte se podio en firmas y en heurística. Así, cada vez que detecta cualquier actividad sospechosa, además la detiene, o por lo menos te da un aviso, y eso deja un rastrillo. Si no en el propio móvil, en el sistema al que reporta el MDM que está instalado en ese móvil, es sostener en la plataforma de seguridad", explica a EL ESPAÑOL Manuel Huerta de Lazarus Technology.
Encima, existe otro sistema de seguridad de control añadido al antecedente, que se denomina DLP (Prevención de Pérdida de Datos). Este sistema controla la información y la documentación existente en un dispositivo. Por ejemplo, si un documento se mueve, se adjunta a un correo o se comparte por WhatsApp, el DLP lo protege de ese tipo de giro.
Por lo tanto, ya existen dos sistemas de seguridad potentes. Entonces, "cuando se acento de interferir en el teléfono y ver exactamente qué hay adentro, una cosa es que lo ves y otra que te lo lleves. Hay dificultades añadidas", aclara Huerta.
3. ¿Observación en 48 horas?
El tercer punto que apunta a que se conocía el espionaje de Sánchez es el tiempo empleado en el prospección de su móvil, desde el viernes, que fue cuando supuestamente dice el Gobierno entregó los móviles, hasta que el lunes se hizo manifiesto. Mientras los expertos en ciberseguridad aseguran se necesitan bastantes más días para determinar espionaje con Pegasus y extraer los datos concreto objeto de robo.
Para poder tomar una imagen de lo que contiene el dispositivo, para estar seguro de los que vas a analizar en un teléfono de este estilo, con los niveles de encriptación que tiene, "primero es necesario efectuar un volcado del teléfono encriptado, luego desencriptarlo y volcarlo en plano. Solo eso ya te lleva varios días", razona este diestro en ciberseguridad.
Posteriormente, en un segundo paso, vendría el prospección del terminal, "buscando el tipo de trazas que hay que encontrar, lleva entre una semana y diez días, como poco", agrega.
De hecho, la compañía Lazarus Technology dispone de un equipo completo de prospección sabio para averiguar trazas de Pegasus. Su CEO afirma que "para móviles sin grandes niveles de seguridad, se ha tardado casi quince días. Simplemente, porque el teléfono tenía una capacidad de almacenamiento más o menos inscripción, y aunque no guardaba muchos datos, había que realizar la analítica entera. Y llevó 24 horas al día durante casi 15 días en una máquina de las grandes".