En 1996 apareció el primer teléfono celular inteligente o smartphone, el primer IPhone de Apple fue lanzado el 2007 convirtiéndose en un éxito mundial. Actualmente existen cerca de 8.000 millones de celulares (casi uno por habitante), su capacidad computacional es entre 1.000 a 10.000 veces la que tenía la NASA para llevar por primera vez el hombre a la luna en 1969 (González, 2023), y está aumentando constantemente, incluyendo la creciente aplicación de la inteligencia artificial.

Los smartphones son cada vez más importantes en la vida de las personas, almacenan los contactos, los correos electrónicos e historial de las interacciones con mensajes de texto, chats, videos y fotos en las redes sociales, y se usan constantemente sus aplicaciones para facilitar las actividades de sus usuarios. Este es el principal medio de acceso a internet de miles de millones de personas.

El 2001, posterior al ataque a las torres gemelas de Nueva York, se inició un potenciamiento de las capacidades de inteligencia de Estados Unidos y de sus aliados para contribuir a combatir el terrorismo a nivel mundial, desarrollando diversos softwares aplicables a las redes sociales, tráfico por internet, telefonía celular y otras fuentes de dominio público, para obtener informaciones de inteligencia que contribuyera a detectar y combatir estas amenazas.

El uso creciente de los teléfonos inteligentes por las personas despertó el interés de varias empresas para desarrollar softwares capaces de hackearlos¹ (y de delincuentes habituales), lo que aparecía como una oportunidad para obtener informaciones que por otros medios eran casi imposibles de lograr.

Así florecieron en las últimas décadas diversas capacidades de los países más desarrollados cibernéticamente, junto con softwares creados por empresas privadas, cuyo objetivo era hackear teléfonos inteligentes para extraer y transmitir toda la información contenida en estos dispositivos y permitir una vigilancia pasiva y activa sobre sus usuarios.

En 2010 se creó la empresa israelí NSO Group desarrollando el conocido software “Pegasus” capaz de hackear smartphones, el cual fue comercializado por primera vez el 2011 a México para combatir el crimen organizado y narcotráfico en ese país. Este software es considerado una poderosa arma cibernética y solo se puede vender a órganos de inteligencia estatales, su exportación está restringida y debe ser autorizada por el Gobierno de Israel. “Pegasus” no puede ser utilizado por diseño para hackear smartphones israelíes ni norteamericanos.

En 2013, Edward Snowden, ingeniero en software contratista de la National Security Agency norteamericana (NSA)², filtró a la prensa gran parte de las capacidades de ese país para efectuar vigilancia sobre las comunicaciones por telefonía celular e internet a nivel mundial que le permitía obtener inteligencia. Entre los smartphones que fueron hackeados por la NSA se destacan los de Dilma Rousseff, presidente de Brasil y Ángela Merkel, primer ministro de Alemania. En esa época la NSA tenía acceso a todas las bases de datos de las empresas tecnológicas relacionadas con internet, redes sociales y telefónicas norteamericanas, junto a varios convenios secretos con otros países del mundo, lo que le permitían vigilar y analizar, en tiempo real, todas las comunicaciones de más de mil millones de personas.

Capacidades avanzadas para hackear smartphones

A las tradicionales capacidades de hackear un teléfono celular que requieren alguna acción de la víctima, se han agregado en los últimos años modernas herramientas de hackeo con las cualidades de “zero click” y “zero time”.

“Zero click” significa que el smartphone receptor no debe hacer ninguna acción para que sea hackeado. Bastará una llamada telefónica perdida, un correo electrónico o un WhatsApp no contestados, la incorporación de una nueva aplicación al celular o una actualización falsa del mismo, entre otras técnicas, para infectar al teléfono con esta poderosa arma cibernética (Pegg, 2021). En caso de tener contacto físico con el smartphone, en solo 5 minutos se pueden instalar estos virus en su interior.

“Zero time” significa que, aunque el celular sea de última generación puede tener vulnerabilidades precedentes de los modelos anteriores o inherentes al nuevo diseño, permitiendo infectarlo con estos virus casi desde el momento en que sea lanzado al mercado.

Secuencia para hackear un smartphone por “Pegasus”

Lo primero es conocer el número telefónico, email y modelo del smartphone de interés para posibilitar el ataque cibernético. Logrado el hackeo es posible desarrollar las fases sucesivas de “extracción de datos”, “explotación pasiva” y “explotación activa” del smartphone siguiendo la secuencia establecida en el siguiente gráfico.

Los datos obtenidos por “Pegasus” se transmiten a su central de control con compresión de pulsos y codificados, los cuales son retransmitidos vía internet por medio de varios servidores ubicados en diferentes partes del mundo, en forma sucesiva, por lo que es prácticamente imposible saber de dónde provino el ataque cibernético.

Empresas y softwares de hackeo occidentales más conocidos

Es importante tener presente que el valor del mercado anual de los softwares de hackeo a smartphones se estima en alrededor USD $ 12.000 millones anuales (Dibert, 2023). Las principales empresas occidentales desarrolladoras de estas armas cibernéticas son de origen israelí, norteamericanas, italianas, alemanas y británicas. Se desconocen las empresas equivalentes de India, Rusia y China.

La más conocida es la NSO Group de Israel la cual creó el software “Pegasus”, ya mencionado, que ya tenía al año 2017 las capacidades de “zero click” y “zero time”, siendo capaz de hackear los más avanzados smartphones del mundo que operan con los sistemas operativos de Apple y Android. Se estima que “Pegasus” fue relevante en la captura del Chapo Guzmán, famoso traficante de drogas de nivel mundial.

Algunos potenciales países³ que han adquirido el software “Pegasus” son U.S.A., U.K., Alemania, Polonia, Hungría, India, Francia, España, Bulgaria, Chipre, Grecia, Finlandia, Palestina, Kenia, Suiza, Canadá, Tailandia, Singapur, Kazajistán, Azerbaiyán, Arabia Saudita, Marruecos, Togo, Ruanda, Líbano, Israel, Jordania, Qatar, Yemen, Baréin, Congo, Uganda, Argelia, Omán, Turquía, Marruecos y la UAE. En Latinoamérica lo habrían adquirido, aparte de México, Guatemala, El Salvador y Panamá.

CitizenLab, organización dependiente de la universidad de Toronto, Canadá, identificó el uso de “Pegasus” en 45 diferentes países entre los años 2016 y 2018 (NATO Cooperative Ciber Defence Center, 2021).

El año 2021 se generó un importante revuelo político en Europa por el uso de “Pegasus” en funciones de espionaje ajenas al crimen organizado y terrorismo, lo que desembocó en una comisión investigadora del Parlamento Europeo. Previamente, se había detectado que casi 50.000 smartphones a nivel mundial habían sido hackeados por este software, entre ellos los de los presidentes de Francia y España, algunos importantes políticos, activistas de derechos humanos, periodistas y empresarios (entre ellos Jeff Bezos, controlador de la empresa Amazon). El país que más había utilizado este software espía había sido México con casi 15.000 teléfonos y el segundo era Marruecos con más de 10.000 teléfonos hackeados (Nato Ciber Defence Centre, 2021).

Competidores conocidos de “Pegasus”

El software “Predator”, aparentemente tan eficaz como “Pegasus”, es comercializado por la empresa Cytrox ubicada en Grecia. Algunos países potenciales usuarios de estos sistemas son Armenia, Egipto, Grecia, Indonesia, Arabia Saudita y Serbia (Zuloaga, 2022).

En Israel existen otros proveedores de softwares con similares capacidades al “Pegasus”: el “Reign”, de la empresa QuaDream fundada el 2014 que también comercializa estas armas cibernéticas solo a clientes gubernamentales. El 2021 el software “Reign” desarrolló la misma capacidad “zero click” de “Pegasus”, y habría sido vendido a Bulgaria, República Checa, Hungría, Ghana, Israel, México, Rumania, Singapur, UAE y Uzbekistán (Tiwari, 2023).

También existe la empresa israelí Candiru fundada el 2016, siendo una de las más avanzadas en su campo, que ofrece el software del mismo nombre y que puede usarse para infiltrarse en plataformas digitales. “Candiru” habría sido comercializado al menos, 10 diferentes países (Zuloaga, 2022)

En Italia está ubicada la empresa italiana Hacking Team, a la cual le habrían adquirido software de hackeo a celulares un número indeterminado de países.

Adicionalmente, se han reportado negociaciones de México, Paraguay y Venezuela para adquirir el software “Fin Fischer”, producido por la empresa británica Gamma Group (Arbuzov, 2023).

Las empresas occidentales compiten con proveedores chinos y rusos en sistema que sean capaces de hackear a los smartphones, principalmente en África y países con regímenes no democráticos como Corea del Norte, Venezuela, Cuba, Nicaragua, etc.

China ha comercializado sistemas capaces de hackear smartphones en, a lo menos, 63 países, principalmente africanos y no alineados (Farror, 2023). Hace poco tiempo se conoció una de sus armas cibernéticas más potentes denominada “Daxin”, el cual se ha estado utilizando contra varios gobiernos en las últimas décadas (MIT Review, 2022)

Uso de hackeo de smartphones en guerras recientes

Existen informaciones de que al menos 12 smartphones pertenecientes a altos funcionarios de Armenia fueron hackeados en la breve guerra que sostuvo contra Azerbaiyán el año 2020.

Por otra parte, Israel denegó la venta del software “Pegasus” a Estonia y Ucrania el año 2023, para hackear smartphones rusos por temor a las represalias de ese país (Bergman, 2023).

Consideraciones finales

Existe una falsa sensación de seguridad de las personas al creer que las redes de WhatsApp, Telegram o similares son seguras por estar codificadas de extremo a extremo. Es cierto cuando se transmiten estos mensajes, pero todos los datos almacenados en los smartphones pueden extraerse y decodificarse con algunas armas cibernéticas ya comentadas.

Debemos asumir que los países más desarrollados cibernéticamente (U.S.A., China, Rusia, Israel y U.K., entre otros), tienen capacidades de hackeo abarcando todas las informaciones que se transmiten por medios electrónicos, siendo capaces de ejercer una vigilancia automatizada en tiempo real y obtener informaciones de inteligencia de todas las informaciones que se trasmiten por internet.

Un significativo número de países está obteniendo modernas armas cibernéticas capaces de hackear smartphones y redes computacionales, tendencia que será creciente con el explosivo desarrollo de la inteligencia artificial. Adicionalmente, existen múltiples organizaciones criminales dedicadas a hackear sistemas informáticos y smartphones en todo el mundo.

Se debe asumir que todos los smartphones y comunicaciones por emails, chats u otros sistemas digitales existentes son vulnerables a acciones de hackeo, ya sea por parte de algunos países u organizaciones que puedan contratar estos servicios de hackeo a terceros.

Lo más conveniente para mantener la seguridad de las informaciones es no comentar ni transmitir por ningún medio electrónico asuntos de alta clasificación del servicio y restringir el acceso de smartphones a lugares sensibles, los que podrían estar trasmitiendo en tiempo real a terceros todo lo que ahí ocurra.

El hackeo de los emails del Estado Mayor de la Defensa de Chile el 2022 y de los smartphones de diversas personalidades y autoridades de nivel mundial en los años recientes ha demostrado la gran efectividad de estas armas cibernéticas modernas utilizadas por algunos estados y organizaciones criminales.

Bibliografía

• Esta es la historia de los teléfonos móviles: desde su origen hasta la actualidad. (2023). Carolina González, Revista Computer Hoy. 25-octubre, en: https://computerhoy.com/moviles/historia-telefonos-moviles-origen-actualidad-1181484
• Los competidores del “Pegasus” de los que nadie habla y que tienen la misma efectividad. (2022). Diario La Razón, España, J. M. Zuloaga. (2022). 22 mayo, en: https://www.larazon.es/espana/20220522/4y7fyc2y5zg3rk4yxsgb36pl7i.html
• Ofertas de software espía…, las mejores historias de investigación de 2023 en la India, Deepak Tiwari. (2023). 12-diciembre, en: https://gijn.org/stories/best-investigative-stories-india-2023/
• Considerations for Military and National Security Decision Makers, NATO. (2021). N° 12 / September, https://www.google.com/search?sca_esv=596880998&rlz=1C1PRFI_enCL998CL999&sxsrf=ACQVn08pda2qxZ27wVZF0qkhkP5IEaC9eQ:1704810234971&q=1.
• Advanced spyware for mobile devices, Metropolia University of Applied Sciences, K. Arbuzov. (2023). En: https://www.google.com/search?q=Kirill+Arbuzov,+Advanced+spyware+for+mobile+devices 
• Pegasus: espionaje global a jefes de estado. (2021). Diario pagina12.com.ar, Argentina, 21-julio.
• Pegasus, el software espía de los teléfonos Apple sigue más activo que nunca, A. Sastre, diario El País. (2023). 26 mayo, en: https://cincodias.elpais.com/cincodias/2023/05/25/smartphones/1685034780
• El ciberespionaje viene de China: instrucciones para ser una superpotencia, MIT Technology Review. (2022). 13 abril, en: https://www.technologyreview.es/s/14121/el-ciberespionaje-viene-de-china-instrucciones-para-ser-una-superpotencia
• El sigiloso espionaje de Pegasus a nuestros móviles, Raquel M. Alonso, RTVE. (2022). 16 febrero, en: ttps://www.rtve.es/radio/20220216/sigiloso-espionaje-pegasus-a-nuestros-moviles/2291235.shtml
• Cómo las democracias espían a sus ciudadanos, diario New Yorker, Ronan Farror. (2023). 25 abril, en: https://www.newyorker.com/magazine/2022/04/25/how-democracies-spy-on-their-citizens.
• Dulces QuaDreams, un primer vistazo a los exploits, las víctimas y los clientes del proveedor de software espía QuaDream, Bill Marczak y otros. (2023). 11 abril, en: https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/
• Qué países usan el software espía Pegasus, diario ABC, España, 04-05-2022, en: //www.abc.es/espana/abci-paises-usan-pegasus-software-espia-nsv-02205041449_noticia.html
• In Depth Analysis for the Pegausus committee, European Parliament. (2022). Mayo 2022, en: file:///C:/Users/Admin/Downloads/IPOL_IDA(2022)732268_EN.pdf.
• The Autocrat in Your iPhone, How Mercenary Spyware Threatens Democracy, Ronald Deibert, Revista Foreign Affairs. (2023). January/February, en: https://www.foreignaffairs.com/world/autocrat-in-your-iphone-mercenary-spyware-ronald-deibert.
• Pegasus: esto aprendimos tras un año de investigar al programa espía más potente del mundo, M. Levenson, The New York Times. (2022). 28 enero, en: https://www.nytimes.com/es/2022/01/28/espanol/pegasus-isr33ael-nso-espionaje.html
• QuaDream, el nuevo Pegasus que pone en peligro la seguridad mundial, Chema Rubio, diario El Debate, 07-enero-2024, en: https://www.eldebate.com/tecnologia/20230417/quadream-nuevo-pegasus-pone-peligro-seguridad-mundial_107843.html
• Israel, por temor a la reacción rusa, bloqueó el software espía para Ucrania y Estonia, R. Bergman y Marcos Mazzetti, The New York Times. (2023). 23 marzo, en: https://www.nytimes.com/2022/03/23/us/politics/pegasus-israel-ukraine-russia.html
• What is Pegasus spyware and how does it hack phones?, D. Pegg y otro, diario The Guardian, U.K. (2021). 18 Julio, en: https://www.theguardian.com/news/2021/jul/18/what-is-pegasus-spyware-and-how-does-it-hack-phones