La crisis gubernamental e institucional -dentro del CNI- provocada por el «caso Pegasus» debe servir como llamada de atención. Más allá de los intereses políticos detrás del caso, conviene estudiar en profundidad cómo se emplean este tipo de herramientas, los costes económicos, pero también en cuanto a seguridad que tienen, cómo encajan dentro del ciclo de inteligencia y el partido que de ellas se puede obtener.
Ofrecer al Gobierno líneas de actuación que le permitan anticipar las acciones del adversario, conociendo sus planes estratégicos, reduciendo costes e incrementando beneficios políticos o militares es el objetivo que cualquier servicio de información debería perseguir.
Los métodos de encriptación y desencriptación se remontan a la antigüedad, siendo el «documento» cifrado más antiguo que se conoce una tableta de arcilla que se encuentra en el Irak del siglo XVI a.C; hacia el siglo I a.C, el ejército romano utilizaba el “código César” para proteger sus documentos; y es de sobra conocida la relevancia que tuvo para el desarrollo de la Segunda Guerra Mundial la legendaria máquina Enigma.
La revolución tecnológica que representaron primero el telégrafo y la radio, y posteriormente las comunicaciones telefónicas, en el mundo del espionaje forzaron a los servicios de inteligencia a evolucionar sus métodos y procedimientos de interceptación y encriptación de la información.
Internet y el conjunto de todas aquellas tecnologías de la información ligadas al dominio cibernético, desde los primeros sistemas de compartición de archivos mediante redes p2p hasta el desarrollo de la tecnología 5G, ha supuesto un paso más en esta revolución para los servicios de inteligencia.
En la actualidad, el nuevo frente de batalla que constituye el ciberdominio supone para los servicios de inteligencia, por un lado, un importante filón de información, dada la dependencia que las sociedades modernas tienen de los medios digitales y la rentabilidad en términos cantidad de información obtenida versus dificultad de acceso a la misma; por otro, el ciberespacio ha abierto la puerta de los secretos del Estado a infinidad de amenazas –hasta el punto de que, los servicios de inteligencia ya no solo deben centrar sus labores de contrainteligencia en actores estatales sino también frente a todo tipo de actividades ilegítimas.
La actualidad geopolítica que impera en el mundo viene marcando una tendencia creciente hacia el ciberespionaje, consolidándose como una importante amenaza para los intereses de los estados y aquellas infraestructuras o empresas que sostienen importantes recursos públicos.
En los últimos años, ha crecido exponencialmente el número de países que han adquirido las capacidades necesarias para recopilar inteligencia en el ciberespacio, al considerar que el ciberespionaje es un método relativamente cómodo, fácil y económico en cuanto a los riesgos a asumir –en contraposición al espionaje tradicional (Candau, 2018).
El software Pegasus no es más que la constatación empírica del interés que demuestran los actores estatales por implementar y extender sus labores de inteligencia al dominio cibernético, incluso a riesgo de compartir la información obtenida con actores privados patrocinados por estados extranjeros cuyos objetivos se desconocen.
Pegasus es un malware/spyware creado por la compañía israelí NSO Group Technologies, dedicada a la creación de software de intrusión y monitorización, y que es vendido de forma legal a los estados como una herramienta destinada a combatir el terrorismo y el crimen organizado. Sin embargo, tal y como se ha demostrado a través de los distintos escándalos de espionaje estatal que ha protagonizado –y que han trascendido al público–, las víctimas potenciales de Pegasus no se limitan únicamente al mundo del hampa.
La forma de infección mediante Pegasus es relativamente simple, una vez seleccionada la víctima por parte del emisor, éste envía un mensaje con un enlace infeccioso camuflado en un contenido aparentemente legítimo, el cual permite descargar de forma inadvertida el software malicioso una vez que la víctima accede al mismo[1].
Desde este momento, el spyware permite al comprador de Pegasus recopilar la información almacenada en el dispositivo y monitorizar de forma constante la actividad del terminal, ya que, dado su carácter modular el malware permite al atacante adquirir un control total del dispositivo, permitiéndole leer mensajes, acceder a sus cuentas personales, conocer las contraseñas empleadas, activar las cámaras y el micrófono del dispositivo, etc. O dicho de otro modo, Pegasus permite tener un acceso total a la intimidad digital de la víctima mediante la recopilación y actualización de una cantidad ingente de datos.
Mediante el procesamiento y análisis de estos datos se podría obtener inteligencia de una gran relevancia, tanto a nivel táctico como político: a través del GPS del terminal se podría generar un mapa geográfico de la víctima, mostrando rutas y horarios frecuentes; al analizar la rutina diaria y acceder al calendario del teléfono se podría elaborar un cronograma diario de las actividades del objetivo, lo cual permitiría incluso llegar a predecir la existencia de eventos futuros de relevancia; gracias al volcado de la agenda del dispositivo se accedería fácilmente a los contactos cercanos de la víctima, lo que no solamente permitiría tejer la red de contactos del objetivo, sino también explotar esta información para chantajear a la víctima o a sus contactos mediante la información contenida en los mensajes privados interceptados; y obviamente, también permite conocer información confidencial protegida frente a terceros, acceder a imágenes privadas, video o audio del entorno, o de la propia víctima (Peirano, 2017).
Sobre el papel, si bien estas capacidades permitirían a los estados legítimos infiltrarse en las redes de terrorismo y crimen organizado internacional ayudando a la sociedad en su conjunto, lo cierto es que cualquier actor estatal se vería fácilmente tentado a utilizar este recurso para obtener ventajas competitivas frente a otros estados rivales en el tablero geopolítico, o incluso como forma de control interno, al infectar a activistas, periodistas o adversarios políticos[2].
Por supuesto estas capacidades no son gratuitas y tienen un doble coste, por un lado, un coste económico[3], pues los estados tienen que adquirir el software –y su posterior mantenimiento y actualización– a NSO Group Technologies; por otro lado, este coste también se paga indudablemente en términos de información, pues resultaríamos especialmente cándidos si pensáramos que los servicios secretos israelíes o la propia empresa suministradora garantizan completamente el no acceso a los datos de sus clientes.
Lo cierto es que, el incremento de los riesgos y amenazas en el ciberespacio han forzado la ampliación del concepto de seguridad y de la complejidad de los entornos estratégicos, obligando en consecuencia a los analistas a abordar nuevas formas de entender la inteligencia (Puime Maroto, 2009).
Precisamente, con el objetivo de frenar las capacidades de ciberespionaje en tiempos de paz que puedan tener potencias extranjeras o actores no estatales consistentes en la identificación de objetivos, búsqueda de vulnerabilidades, recopilación y explotación de información, nace la ciberinteligencia (Cyber Threat Intelligence (CTI)).
La ciberinteligencia puede concebirse desde una doble perspectiva dependiendo de si la consideramos como medio o como el todo. Así, pues si nos enfocáramos en la ciberinteligencia como el todo la consideraríamos como el conocimiento producido en el espectro del ciberespacio, es decir, nos focalizaríamos en conocer al enemigo y recabar toda aquella información que nos permita defendernos en el aspecto más técnico, con el objetivo de desplegar una serie de contramedidas tecnológicamente avanzadas en caso de un futurible ataque.
Por tanto, la actividad analítica iría destinada a proporcionar únicamente información relevante en el dominio cibernético y en el aspecto técnico, con el objetivo de apoyar el proceso de toma de decisiones sobre cuestiones relacionadas con el ciberespacio. (Torres Soriano, 2017)[4].
No obstante, existe otra forma de concebir la ciberinteligencia, entendiéndola como un medio a través del cual se puede recopilar y procesar la información obtenida del ciberespacio para utilizarla en el proceso de toma de decisiones políticas y de interés estratégico, es decir, transcendiendo el dominio cibernético e interrelacionándose con el resto de esferas de conocimiento que permiten defender unos intereses nacionales y geoestratégicos (Caligiuri, 2016)[5].
Dicho de otro modo, ciberinteligencia y ciberespionaje son las dos caras de una misma moneda (el ciclo tradicional de la inteligencia aplicado al ciberespacio): por un lado, la visión ofensiva, y por otro, la defensiva. Dicho ciclo de inteligencia tradicional (dirección-obtención-elaboración-difusión) puede ser considerado –aplicando alguna salvedad[6]– perfectamente aplicable al ciberdominio; y si nos basamos en el modus operandi de Pegasus podemos validarlo tanto desde la perspectiva del atacante como del defensor.
1. Dirección: Planificación e identificación
En este primer paso, la dirección (el mando político en este caso) plantea la necesidad que tiene de infectar a un objetivo determinado con Pegasus. Ante lo cual, los equipos técnicos (en este caso la empresa NSO) determinan la fortaleza y vulnerabilidades del objetivo, estudiando qué vector de infección y método de ocultamiento resulta más idóneo con respecto al objetivo, las infraestructuras que éste utiliza y los protocolos de comunicación y contraofensivas empleados por parte de la víctima.
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment