Se están formulando preguntas sobre el trabajo del especialista en vigilancia cibernética NSO Group, con sede en Israel, después de la exposición de más de 50.000 números de teléfono pertenecientes a activistas, periodistas y otras personas consideradas “de interés” para algunos de los regímenes más represivos del mundo que habían estado utilizando su troyano de acceso remoto Pegasus (RAT).
Los detalles del abuso del software espía Pegasus, que es utilizado legítimamente por clientes encargados de hacer cumplir la ley y agencias antiterroristas, entre otros, se revelaron durante el fin de semana del 17 y 18 de julio en un comunicado coordinado por varios medios de comunicación, incluido el guardián en el Reino Unido. Los periódicos obtuvieron la lista de números de una organización de medios francesa sin fines de lucro Forbidden Stories y de la organización benéfica Amnistía Internacional.
Se dice que el volcado de datos incluye detalles de periodistas en organizaciones de medios prominentes como Al Jazeera, Bloomberg, CNN, el Economista, la New York Times y el Wall Street Journal, entre otros.
Los gobiernos que supuestamente han apuntado a sus críticos con el uso de Pegasus incluyen a Azerbaiyán, Bahrein, los Emiratos Árabes Unidos, Hungría, Kazajstán, India, México, Marruecos, Ruanda y Arabia Saudita.
En una extensa declaración (editada para mayor claridad) compartida con las organizaciones informantes iniciales, NSO negó enérgicamente las acusaciones contenidas en las historias. Dijo que examinó a todos sus clientes gubernamentales y no operaba los sistemas que se les vendían, ni tenía acceso a los datos que podrían recopilar.
Negó las “afirmaciones falsas” y las “teorías no corroboradas” y trató de poner en duda los motivos de Forbidden Stories para investigarlo.
Sin embargo, esta no es la primera vez que surgen preguntas sobre el software Pegasus. En 2019, WhatsApp descubrió que Pegasus se había utilizado para infectar más de 1,000 dispositivos con malware a través de una vulnerabilidad de día cero. NSO también ha sido acusado de explotar vulnerabilidades en el software de Apple para atacar dispositivos iOS. El análisis del Laboratorio de Seguridad de Amnistía Internacional sugiere que NSO busca constantemente nuevos días cero en aplicaciones móviles establecidas.
Además de explotar las vulnerabilidades, o mediante ataques de spear-phishing a los objetivos, Pegasus también se puede instalar de forma inalámbrica si el teléfono objetivo está dentro del alcance de un transceptor específico, dijo Amnistía. Una vez presente, puede filtrar todo el contenido de un dispositivo, así como tomar el control del micrófono y la cámara del teléfono y grabar llamadas.
Jakub Vavra, analista de amenazas móviles de la firma de seguridad checa Avast, dijo que había estado rastreando y bloqueando los intentos de Pegasus de violar dispositivos Android desde 2016, con un aumento en la actividad en 2019. Sin embargo, no se ve comúnmente en la naturaleza, por lo que el riesgo para la persona promedio es probablemente menor.
“Pegasus tiene poca prevalencia en comparación con otros programas espía de Android. Evidentemente, se utiliza como una herramienta altamente dirigida, ya que a diferencia del software espía que a menudo se propaga ampliamente para recolectar grandes cantidades de datos de los usuarios, Pegasus se usa solo en unas pocas personas, aparentemente, con fines de vigilancia ”, dijo Vavra.
“La propagación mínima del software espía no lo hace menos peligroso, para cada individuo bajo vigilancia, el alcance del daño a la privacidad es ciertamente muy alto”.
Atila Tomaschek de ProPrivacy dijo que a pesar de que NSO Group afirma examinar minuciosamente a sus clientes antes de venderles Pegasus, cuando los clientes de la firma incluyen gobiernos autoritarios con malos antecedentes en materia de derechos humanos, está claro que la afirmación inevitablemente sería cuestionada.
“Las revelaciones del software espía Pegasus sirven para mostrar cómo los gobiernos autoritarios de todo el mundo no tienen reserva alguna sobre la realización de operaciones de vigilancia sobre sus ciudadanos y el silenciamiento de las voces disidentes”, dijo Tomaschek.
“Es difícil creer que el Grupo NSO haya sido completamente ingenuo sobre cómo sus clientes probablemente estarían usando su solución de software espía Pegasus, o que estaba alimentando una ofensiva tan masiva contra los derechos humanos y las libertades civiles en todo el mundo”.
Tomaschek instó a los gobiernos a que los desarrolladores de aplicaciones de monitoreo legítimas sean más responsables de cómo se utilizan sus productos: “La industria del software espía privado solo seguirá creciendo y su influencia se intensificará si este espacio permanece tan alarmantemente desregulado como lo está hoy. Las empresas de tecnología deben asegurarse de que sus productos sean seguros de usar frente a un software espía cada vez más sofisticado que tiene el potencial de ser abusado de una manera tan generalizada y aterradora “.
Brian Higgins de Comparitech agregó: “Si bien el software propietario de Pegasus pertenece a NSO Group y hace todo lo posible para controlar su implementación por contrato, siempre habrá consumidores que buscarán reutilizar su funcionalidad para sus propios fines.
“Esta historia aún se está desarrollando, pero ya es evidente que el número de víctimas potenciales citado no refleja con precisión la cantidad de actividad maliciosa que actualmente facilita este software. Es una realidad lamentable que los desarrolladores talentosos nunca puedan comprender totalmente el espectro completo de usos que sus ideas pueden cumplir en el futuro “.