El escándalo de corrupción que asedia al Gobierno, con Santos Cerdán y José Luis Ábalos como puntas del iceberg, tiene como centro neurálgico de las investigaciones de la Guardia Civil un invento que todos llevamos en el bolsillo: el teléfono móvil.
Un dispositivo en el que almacenamos os, fotografías, vídeos, notas y desde el que mantenemos comunicación con amigos, familiares y conocidos, y que también utilizamos en el ámbito laboral.
Cuando la Benemérita irrumpió en la casa de Koldo García, el conseguidor de la trama, se encontró hasta diez teléfonos móviles con los que mantenía comunicación, algunos de ellos protegidos criptográficamemte. De igual forma, la Unidad Central Operativa (UCO) se llevó varios dispositivos durante el registro a la casa de Ábalos en Valencia.
Parte de la información de la investigación ha sido facilitada por Koldo con la intención de "tirar de la manta", pero otra que afecta a la investigación se encuentra protegida con claves y contraseñas, como puede ser el propio a los teléfonos, al correo electrónico, los mensajes de Telegram, WhatsApp..., ¿cómo consigue la Guardia Civil acceder a esta información?
Existen empresas especializadas en 'hackear' móviles
La Guardia Civil cuenta con personal especializado para accdfeder a las tripas de los teléfonos móviles, incluso si han sido destruidos parcialmente o se han sumergido en agua. Sin embargo, hay otras empresas especializadas en este tipo de necesidades con más experiencia, dado que el foco de su negocio es precisamente ese. Y muchas veces recurren a ellas.
Es el caso de Lazarus, una compañía española que ha trabajado, entre otros, en el mediático caso Julian Assange desencriptando equipos y accediendo a información sensible.
Su trabajo es acceder al disco duro del teléfono móvil, tablet u ordenador con sofisticados programas informáticos, aunque también pueden conseguirlos a través de servidores de terceros en los que se guardan las copias de seguridad, como puede WhatsApp, Gmail (de Google) o iMessage (de Apple) si los datos ya no están en el equipo.
En el caso de requerirse el a la nube para recuperar otra información se necesita una orden judicial
En el caso de WhatsApp, las copias se guardan en Drive, el servicio de almacenamiento en la nube de Google, mientras que los mensajes de los dispositivos de Apple se almacenan en servidores propios de la enseña de Cupertino.
Cuando Lazarus recibe un encargo, recoge el equipo que va a ser origen del desencriptado y lo traslada en un maletín blindado a sus instalaciones de San Sebastián de los Reyes (Madrid), donde el celular se conecta a ordenadores con un software específico para 'hackear' el disco duro y conseguir la información.
En el caso de requerirse el a la nube para recuperar otra información se necesita una orden judicial. Con ese mandato se reclamará a Google y Apple la información de las cuentas de correo o mensajería instantánea de los investigados..
El a llamadas en tiempo real se hace con aplicaciones específicas: Pegasus
En cuanto al a llamadas en tiempo real, todo se circunscribe a la utilización de sofisticadas aplicaciones que cuestan millones de euros y permiten intervenir el móvil en remoto y sin que el se dé cuenta. La más conocida es Pegasus.
Este software, de origen israelí, se instala habitualmente a través de vulnerabilidades denominadas 'zero day' (o día cero). Se trata de fallos de seguridad en el desarrollo de software (como el sistema operativo del equipo o aplicaciones descargadas). Se llaman así porque cuando se descubren hay "cero días" para solucionarlas, ya que pueden ser explotadas por los atacantes en cualquier momento.
Estas vulnerabilidades permiten instalar el software espía mediante el envío de un enlace de tipo phishing (aparentan ser de confianza para el receptor) que instala en segundo plano una app invisible para el propietario, aunque en ocasiones también es posible instalar Pegasus en remoto, sin interacción alguna del ni instalación aparente.
Entre otras cosas, Pegasus permite:
- Grabar llamadas y activar el micrófono
- Leer mensajes cifrados de apps como WhatsApp, Signal o Telegram
- Acceder a la cámara (y activarla), a la ubicación y a las fotos y archivos almacenados en el equipo
- Enviar información (como la comentada) al servidor del atacante
