Pegasus i més enllà. La vigilància massiva és aquí per quedar-se

Arran de la sortida a la llum pública d’un nou cas de vigilància massiva per part de l’estat Espanyol, contra la dissidència política, contra l’independentisme, he cregut necessari posar a disposició de qui estigui interessat, de manera senzilla i clara, algunes de les receptes que existeixen per auditar l’estat dels dispositius respecte a aquesta amenaça en concret, Pegasus.

Però abans d’entrar en matèria, algunes dades i reflexions que poden ajudar a posar en context, i obrir el focus, sobre la qüestió de la vigilància massiva practicada per estats i corporacions sobre les persones.

Pegasus és un sistema d’extracció de dades altament intrusiu, tal com detalla l’informe forense de Citizen labs. És un sistema que aprofita vulnerabilitats a les aplicacions instal·lades als dispositius per accedir-hi i extreure tota la informació que pugui, en alguns casos sense que l’usuari hagi interactuat amb cap element enviat per qui vol robar-ne la informació. Cal destacar que l’estratègia duta a terme per Pegasus pot variar, en alguns casos l’atacant roba les dades, i no manté una persistència al dispositiu, no està espiant constantment les comunicacions de l’usuari, de tal manera que una actualització de les dades robades d’un dispositiu requerirà una nova infecció. En altres casos el programa està constantment escoltant.

Pegasus és un cas extrem, molt sofisticat, i amb un impacte total sobre la privacitat de les persones.

Però on m’agradaria posar el focus, abans de passar a les «receptes», i aprofitant la centralitat que ha agafat aquests dies la privacitat de les nostres dades, la vigilància massiva, i la persecució de la dissidència, és en el fet que aquest tipus de «monitoreig» sobre les persones per part de corporacions i estats normalment no és tan intrusiva, agressiva, i total, però en molts casos els resultats poc tenen a envejar a l’estratègia seguida per eines com Pegasus o Candiru.

Densa del descobriment per part de Google de l’excedent conductual* – informació extreta sobre els usuaris-, i la presa de consciència per part del capitalisme del fet que es trobava davant d’una nova matèria primera amb què especular, el que s’ha anomenat el petroli del segle XXI, les dades personals, els comportaments, gustos, filies i fòbies, ha plogut molt.

Si bé en un inici, quan Google va veure el potencial de monetitzar** dades que fins aleshores només es feien servir per qüestions internes, o ni això, els mecanismes de recol·lecció de dades eren molt «rudimentaris», i el tipus de dades que es podien obtenir dels usuaris era relativament limitat. A mesura que la tecnologia ha evolucionat, i s’ha anat posant a les nostres butxaques, literalment, s’han sofisticat molt aquests mecanismes de recol·lecció de dades personals, s’ha ampliat exponencialment l’espectre del tipus de dades usurpades, se n’ha estandaritzat els formats, i s’han convertit les dades personals en un producte més, s’ha generat un mercat sòlid, en bona part legal, i que mou milers de milions d’euros.

Per posar-hi algun nombre, el 2020 el negoci de les dades personals, aplicades només a la indústria publicitària, generava 210.000.000.000 de dollars.

Un exemple recent d’aquesta indústria que s’alimenta de la nostra vida privada el podem trobar en l’empresa nord-americana Anomaly Six, contractista del govern dels Estats Units d’Amèrica.

En una demostració a porta tancada va exhibir el seu mètode per rastrejar més de 3.000.000.000 de dispositius en temps real, segons l’empresa. Partint d’informació publicada a Twitter, i posteriorment processada per l’empresa Zignal Labs, a qui Anomaly Six compra les dades. El volum de dades que acumulen creix en 280 terabytes anuals, només en informació de dades de geolocalització.

A Buenos Aires, també recentment, la justícia va ordenar apagar un sistema de reconeixement facial originalment implantat per a localitzar pròfugs, perquè han aparegut indicis clars del fet que s’havia fet servir per a rastrejar milions de persones.

Un cas altre paradigmàtic de la cursa per l’acumulació d’aquest petroli del segle XXI, és l’empresa ClearView, una empresa dedicada al reconeixement facial, i que ha anunciat l’objectiu de fer arribar la seva base de dades de cares de persones a 100.000.000.000. Aquesta empresa extreu les imatges principalment d’internet, i concretament de les xarxes socials, i ofereix serveis a centenars d’agències estatals, i cossos policials, bàsicament els lloga la seva base de dades, i els algoritmes que n’exploten el contingut.

Quan parlem de vigilància massiva perpetrada per estats, cal recordar les revelacions fetes per Edward Snowden el 2013, quan va destapar diversos casos d’espionatge massiu executats pels Estats Units i estats membres de la Unió Europea contra els seus propis ciutadans. Segons les filtracions d’Snowden, aquests programes d’espionatge van des de la intercepció de comunicacions privades, com ara correus electrònics, missatgeria instantània, trucades, missatges de veu… fins a la manipulació de hardware en origen per a facilitar l’accés dels serveis secrets a milions de dispositius.

En un context més local, cal destacar el recent cas de la suplantació d’identitats de membres d’organitzacions polítiques i socials, un cas d’espionatge a la UAB, la gravació de manifestacions… Certament, alguns d’aquests exemples poden semblar de poca rellevància, comparat amb el cas del programa espia de l’empresa NSO, o d’altres. Com també és cert que un dels efectes de vincular la vigilància massiva només amb casos tan extrems és aquest, que s’acaba generant un marc mental on tot allò que no és una intervenció brutal i directa sobre els dispositius personals, no és digne de ser destacat, es normalitza doncs allò que no és normal, la vigilància massiva.

Tenint en compte aquest calidoscopi de casos, una selecció microscòpica, sembla evident que els estats han vigilat, vigilen i vigilaran de manera massiva aprofitant-se dels avenços tecnològics, com ho havien estat fent abans de l’era d’internet, però ara més i millor. I que les corporacions faran servir totes les estratègies que estiguin al seu abast, per tal de treure benefici econòmic de les nostres dades.

Ser conscients d’això ens manté en alerta, permet no caure en l’error de pensar que Pegasus és un cas excepcional, sinó un cas molt greu, però, al cap i a la fi, un cas més.

Finalment i tornant al programa espia Pegasus, aquestes són algunes de les «receptes» existents per detectar-lo al teu dispositiu.

En primer lloc, cal saber que hi ha tot un seguit de comportaments dels dispositius que ens poden indicar una possible infecció, no només de Pegasus, sinó de programari maliciós en general. Aquests en són els principals indicadors:

• La bateria es consumeix molt més ràpid del normal

• L’aparell s’escalfa massa, més del que és normal

• L’espai de disc de l’aparell creix molt ràpidament en relació amb l’ús que en fem

• L’aparell triga molt a apagar-se o reiniciar-se

• Sorolls estranys durant les trucades

• La pantalla s’encén sense interactuar-hi

• Apagats o reinicis aleatoris

Quant a programes que ens permetin detectar Pegasus als dispositius destaca el que va fer públic el laboratori de seguretat d’Amnistia internacional l’estiu del 2021, Mobile Verification Toolkit, aquest programa és el resultat d’anys d’observar el comportament del programa Pegasus, i detectar-ne els diferents indicadors de compromís, que permeten determinar si un dispositiu ha estat infectat per Pegasus. Aquesta eina no s’executa als terminals, sinó que es llança contra una còpia de seguretat feta prèviament, aquí en teniu la documentació.

És de suposar que l’empresa creadora de Pegasus, NSO Group, ha anat adaptant el seu programa, i, per tant, les noves infeccions poden no respondre als indicadors de compromís detectats, permetent al programa espia passar inadvertit. Tot i això, l’última actualització dels indicadors publicats per Amnistia Internacional és de fa pocs dies respecte de la data de publicació d’aquest article.

Un altre programa que es pot fer servir és Zeus App, una aplicació que està basada en el programa d’Amnistia Internacional, i que posa a disposició de l’usuari una interfície gràfica. Aquesta aplicació també busca les evidències escanejant una còpia de seguretat recent.

*Excedent conductual és tota aquella informació que es pot extreure d’un usuari, i que no forma part d’una acció realitzada conscientment per aquest, sinó que es recopila de manera passiva, tot emprant diferents algoritmes creats per a recaptar aquesta informació, com ara: com ha arribat l’usuari a la pàgina actual, quanta estona ha mirat un article o foto, quines consultes ha fet, quina és la seva geolocalització, en quins llocs ha estat abans…

Tota aquesta informació serveix per a crear perfils detallats dels usuaris, que són usats principalment amb finalitats comercials (millorar l’experiència d’usuari o publicitat personalitzada o orientada en diuen), i que també estan a disposició, previ pagament, dels estats per a exercir una vigilància massiva amb les finalitats que aquests considerin.

**En aquest cas, convertir en diners informació que fins aleshores només s’utilitzava per a finalitats tècniques, monitorització de la infraestructura, depuració d’errors, resposta a atacs informàtics, etc…