El 18 de julio, un grupo de 17 periódicos y organizaciones de medios, con la ayuda del Laboratorio de seguridad de Amnistía Internacional y el grupo de investigación Citizen Lab, reveló que una de las herramientas de software espía más avanzadas y brutalmente invasivas del mundo se había utilizado para piratear o intentar piratear, en 37 teléfonos móviles propiedad de activistas de derechos humanos, periodistas, disidentes políticos y ejecutivos de empresas.

El software espía, llamado Pegasus y desarrollado por la empresa israelí NSO Group, es fundamental para las campañas de vigilancia opresiva de varios gobiernos contra sus propios ciudadanos y residentes y, aunque NSO Group ha negado repetidamente las acusaciones de que vende Pegasus de manera cómplice a violadores de derechos humanos, Es difícil conciliar exactamente cómo el programa de software espía sin hacer clic, que roba de forma no consensuada e invisible correos electrónicos, mensajes de texto, fotos, videos, ubicaciones, contraseñas y actividad en las redes sociales, es al mismo tiempo una herramienta que puede, en su propio uso, respetar los derechos de las personas de todo el mundo a hablar libremente, asociarse de forma segura y vivir en privado.

Pegasus es software espía y el software espía no está diseñado para respetar la privacidad. Lo erosiona.

Lo que puede ser más molesto sobre los informes explosivos del domingo es que la comunidad de ciberseguridad ha sabido sobre Pegasus durante años. Los proveedores de antivirus lo detectan. Los laboratorios forenses digitales saben cómo detectarlo. Y entre 2016 y 2018, se encontró que más de 1,000 direcciones IP estaban asociadas con él .

Con herramientas como Pegasus de las que se puede abusar a escala mundial, asumimos un riesgo demasiado grande. Cuando los gobiernos autoritarios la utilizan como arma, la vigilancia enfría la libertad de expresión, ahuyenta a la disidencia y roba a un público inocente una vida que no ha sido vista, por ningún delito cometido más que decir la verdad al poder, realizar investigaciones de salud pública o simplemente amar a otra persona.

Permite abusos como el hackeo de teléfonos móviles de Hatice Cengiz , ex prometida del columnista asesinado del Washington Post, Jamal Khoshoggi. Después de que el mundo se enteró de que su teléfono fue pirateado, ella escribió :

“Estoy profundamente conmocionado de que me hayan atacado mientras tenía tanto dolor esperando saber qué le había sucedido a Jamal. Este fue el peor momento de mi vida y, sin embargo, los asesinos me espiaban. No tienen vergüenza. Deben ser llevados ante la justicia «.

Pegaso en teoría

Según NSO Group, su principal programa de software espía es una herramienta beneficiosa para investigar y prevenir ataques terroristas y mantener la seguridad del público. Respondiendo a las preguntas del grupo de 17 organizaciones de medios, que publicaron sus hallazgos bajo el nombre » El Proyecto Pegasus «, el Grupo NSO dijo:

«En pocas palabras, NSO Group está en una misión para salvar vidas, y la compañía ejecutará fielmente esta misión sin inmutarse, a pesar de todos y cada uno de los intentos continuos de desacreditarlo por motivos falsos».

Después de que The Pegasus Project publicara sus hallazgos iniciales el domingo, el director ejecutivo de NSO Group, Shalev Hulio, habló con The Washington Post sobre las preocupaciones que tenía sobre cómo se ha utilizado el software de su empresa contra periodistas y activistas de derechos humanos.

“La empresa se preocupa por los periodistas y activistas y la sociedad civil en general”, dijo Hulio. «Entendemos que, en algunas circunstancias, nuestros clientes pueden hacer un mal uso del sistema y, en algunos casos, como informamos en el Informe de transparencia y responsabilidad de [NSO], hemos cerrado los sistemas para los clientes que han hecho un mal uso del sistema».

Hulio le dijo a The Washington Post que su compañía había rescindido los contratos de dos clientes debido a acusaciones de abusos a los derechos humanos, pero, según el periódico, se negó a revelar qué cuentas estaban cerradas.

Sin embargo, las explicaciones de NSO Group son solo la mitad de la historia porque, al informar sobre las revelaciones del domingo, el Proyecto Pegasus también preguntó a los gobiernos potencialmente responsables por qué usaron Pegasus para piratear los teléfonos móviles de disidentes y reporteros. Los gobiernos en cuestión negaron haber usado Pegasus en absoluto, como dijo el ministro de Asuntos Exteriores de Ruanda, o afirmaron que cualquier vigilancia llevada a cabo por sus gobiernos era legal, como lo hizo la oficina del primer ministro húngaro, Viktor Orban.

Del mismo modo, el gobierno de la India rechazó cualquier acusación de haber utilizado indebidamente a Pegasus para realizar actividades de vigilancia. Cualquier interceptación de mensajes, dijo el gobierno, se aprueba en varios niveles del gobierno de acuerdo con varias leyes.

“En la India, existe un procedimiento bien establecido mediante el cual se lleva a cabo la interceptación legal de las comunicaciones electrónicas con el fin de la seguridad nacional, en particular en caso de que ocurra una emergencia pública o en interés de la seguridad pública, por parte de las agencias del Centro. y Estados ”, dijo el gobierno . «Las solicitudes para esta interceptación legal de comunicaciones electrónicas se realizan de acuerdo con las reglas pertinentes de acuerdo con las disposiciones de la sección 5 (2) de la Ley de Telégrafos de la India de 1885 y la sección 69 de la Ley de Tecnología de la Información (Enmienda) de 2000»

Las historias gemelas que cuentan NSO Group y sus clientes, entonces, es que Pegasus es una herramienta necesaria para mantener la seguridad, y que el uso de Pegasus es legal dentro del propio régimen de vigilancia de un país.

NSO Group también ha dicho que su herramienta es cada vez más necesaria en una era en la que el cifrado de extremo a extremo está ampliamente disponible para los delincuentes.

“Las organizaciones terroristas, los cárteles de la droga, los traficantes de personas, las redes de pedófilos y otros sindicatos delictivos explotan hoy en día las capacidades de cifrado listas para usar que ofrecen las aplicaciones de comunicaciones y mensajería móvil”, dijo NSO Group a The Pegasus Project. “Estas tecnologías proporcionan a los delincuentes y sus redes un refugio seguro, lo que les permite ‘oscurecerse’ y evitar la detección, comunicándose a través de impenetrables sistemas de mensajería móvil. Las agencias estatales de aplicación de la ley y de lucha contra el terrorismo de todo el mundo han luchado por mantenerse al día «.

Esta tendencia puede ser cierta: el cifrado de extremo a extremo está más disponible hoy que nunca, ofrecido en varias aplicaciones de consumo en dispositivos Android e iOS, aunque también es exagerado. Como ha escrito anteriormente Malwarebytes Labs, el problema de «oscurecerse» a menudo se exagera , y la solución a ese problema, para hacer «puertas traseras seguras», también es tecnológicamente imposible.

Sin embargo, es importante destacar que si Pegasus fuera en realidad una herramienta crítica para detener el crimen, podría probarse. Sin embargo, en la práctica, el Proyecto Pegasus descubrió que los objetivos de Pegasus no son «organizaciones terroristas, cárteles de la droga, traficantes de personas, redes de pedófilos» u «otros sindicatos criminales», sino más bien reporteros, científicos, parejas románticas y potencialmente jefes de estado

Pegaso en la práctica

El domingo y los días siguientes, The Pegasus Project reveló el amplio elenco de víctimas que cree que han sido atacadas con el software espía Pegasus.

En sus informes, The Pegasus Project se basó en una lista de 50.000 números de teléfono obtenidos por Forbidden Stories, una organización periodística francesa sin fines de lucro . Los reporteros creen que los 50.000 números de teléfono son una lista de números de teléfono que han sido atacados con el software espía Pegasus. La lista también incluye marcas de tiempo para cada entrada de número de teléfono, que los reporteros creen que muestra cuándo un teléfono fue potencialmente atacado por primera vez por un operador de Pegasus.

En la investigación, los reporteros contactaron a decenas de personas a las que pertenecían los números de teléfono enumerados, y finalmente obtuvieron 67 dispositivos móviles que creían que habían sido atacados por el software espía.

Los 67 dispositivos fueron analizados por primera vez por el Laboratorio de Seguridad de Amnistía Internacional, que buscó rastros de software espía Pegasus y mensajes de texto maliciosos que, si se hacía clic, se sabía que explotaban las vulnerabilidades de día cero del dispositivo para instalar el software espía Pegasus y piratear teléfonos. El trabajo de Amnistía Internacional fue verificado por separado por Citizen Lab, una institución de investigación de la Universidad de Toronto que se centra en la tecnología y los derechos humanos.

En la investigación, The Pegasus Project encontró indicios de que el software espía Pegasus había intentado o exitosamente hackear 37 dispositivos. Los 30 dispositivos restantes produjeron resultados no concluyentes.

La lista de números de teléfono, que NSO Group negó es una lista de objetivos de Pegasus, incluía 14 políticos, incluidos tres presidentes, 10 primeros ministros (tres actuales y siete ex) y un rey .

Los tres presidentes son el francés Emmanuel Macron, el iraquí Barham Salih y el sudafricano Cyril Ramaphosa. Ninguno de los jefes de estado ofreció sus dispositivos móviles al Proyecto Pegasus, por lo que es imposible saber si los dispositivos habían sido pirateados o habían recibido mensajes de texto maliciosos que pudieran resultar en un pirateo.

El posible uso de Pegasus contra presidentes, primeros ministros y princesas es solo eso: Posible. Pero recuerde que The Pegasus Project encontró evidencia de piratería o intento de piratería en 37 de los 67 dispositivos móviles que probó.

De los hechos denunciados hasta ahora, el uso de Pegasus contra esas personas no tiene ninguna marca de trabajo antiterrorista, pro seguridad o contrainteligencia.

Por ejemplo, ¿por qué se usó Pegasus para piratear el teléfono de la reportera Khadija Ismayilova , cuyo trabajo de investigación ha revelado corrupción dentro de la familia gobernante de Azerbaiyán?

¿Por qué Pegasus fue implantado silenciosamente en el iPhone 11 de Claude Magnin , residente de París y esposa del activista político Naama Asfari, quien fue encarcelado y presuntamente torturado en Marruecos?

¿Por qué se usó Pegasus para piratear los teléfonos de la esposa y prometida separada del columnista del Washington Post y crítico del gobierno de Arabia Saudita Jamal Khoshoggi, quien, según la Administración Biden, fue asesinado y desmembrado con la aprobación del Príncipe Heredero de Arabia Saudita?

¿Y por qué un operador de Pegasus envió mensajes de texto maliciosos a un científico y dos directores de organizaciones sin fines de lucro que apoyaron activamente un impuesto banal a los refrescos en México ? O ¿por qué un operador de Pegasus enviar mensajes de texto de manera similar a periodista mexicano Rafael Cabrera que, si se hace clic, podría haber informa, dio lugar a una infección Pegasus de su iPhone 6?

Este no es un trabajo de seguridad. Esto es vigilancia.

Una industria peligrosa

Pegasus no es nuevo. La compañía detrás de ella se lanzó en 2010 y, según los informes, ganó su primer cliente en el extranjero solo un año después. Durante años, Citizen Lab ha estado rastreando la propagación de Pegasus, buscando clientes gubernamentales y rastreando dispositivos móviles que fueron pirateados por el software espía. En 2016, las investigaciones del grupo ayudaron a impulsar las actualizaciones de MacOS para corregir vulnerabilidades graves que podrían haber sido explotadas por Pegasus. En 2018, Citizen Lab también identificó 45 países que potencialmente dependían de Pegasus para realizar la vigilancia.

Más recientemente, las actividades de NSO Group se volcaron en las noticias estadounidenses cuando Facebook culpó a la compañía israelí por explotar una vulnerabilidad en WhatsApp en 2019. WhatsApp, propiedad de Facebook, demandó más tarde a NSO Group por supuestamente usar esta vulnerabilidad para permitir a los usuarios de Pegasus piratear 1.400 dispositivos. La demanda aún está en curso y ha obtenido el apoyo de Microsoft, Google, Cisco y VMWare .

Conocemos estos problemas desde hace años. Ya no podemos hacer la vista gorda ante este tipo de abuso. Hace dos años, un grupo de proveedores de ciberseguridad, activistas de derechos digitales y redes de apoyo a la violencia doméstica se unieron para lanzar Coalition Against Stalkerware , reconociendo la necesidad interdisciplinaria de proteger a los usuarios de la amenaza de la vigilancia de la pareja íntima.

Esperamos que hoy se pueda capturar la misma energía.

Después de conocer los hallazgos del Proyecto Pegasus, el ex contratista de defensa de la NSA y denunciante de vigilancia Edward Snowden advirtió que el software espía no es un problema menor. Está, dijo, en todas partes y hay que detenerlo .

“Cuando miro esto, lo que ha revelado el Proyecto Pegasus es un sector donde el único producto son los vectores de infección, ¿verdad? No lo hacen, no son productos de seguridad ”, dijo Snowden. “No brindan ningún tipo de protección, ningún tipo de profiláctico”.

“No fabrican vacunas. Lo único que venden es el virus ”.