El escándalo de Pegasus de NSO: ¿Día cero, clics cero, privacidad cero?
Por qué hay que prohibir las ciberarmas igual que las armas nucleares.
Pegasus: Del mito al malware
El 18 de julio de 2021, el escándalo del Proyecto Pegasus volvió a poner al misterioso NSO Group en el punto de mira de la opinión pública. Pegasus es un programa espía desarrollado por NSO Group y es un arma cibernética emblemática para la vigilancia de dispositivos móviles.
Esta pieza de malware se distribuyó a nivel mundial y se ha utilizado para la vigilancia directa "de casi 200 periodistas de todo el mundo cuyos teléfonos han sido seleccionados como objetivos por los clientes de NSO", como informa Forbidden Stories. Bajo el pretexto de la seguridad nacional, gobiernos de todo el mundo han comprado este programa para presionar a periodistas, activistas y a sus oponentes políticos.
A pesar de la actual chispa de interés mediático, Pegasus no es un nuevo actor en la escena de la vigilancia internacional. Según el "Informe de Metodología Forense" de Amnistía Internacional, la difusión de Pegasus comenzó ya en 2016 y continúa hoy en 2021.
Cómo funciona Pegasus
En 2016 el activista de derechos humanos Ahmed Mansoor recibió un mensaje de texto en su iPhone, tras una investigación más profunda por parte de Citizen Lab se descubrió que se trataba de un esquema clásico de spear-phishing que buscaba instalar el malware Pegasus en su dispositivo. "Si hubiera tocado el enlace, el teléfono habría sido saqueado. Enormes cantidades de datos privados: mensajes de texto, fotos, correos electrónicos, datos de localización, incluso lo que está siendo captado por el micrófono y la cámara del dispositivo."
A partir de 2019, Pegasus ya no necesita que un objetivo toque ese enlace sospechoso para ser víctima. NSO ha explotado repetidamente vulnerabilidades de día cero en plataformas de mensajería como WhatsApp y, más recientemente, iMessage. Estos exploits de día cero se aprovechan de vulnerabilidades de seguridad en programas, sistemas operativos o aplicaciones móviles. La iteración actual de Pegasus puede infectar dispositivos iOS con la versión 14.6 o anterior. Una vez infectado el dispositivo, el programa puede establecer rápidamente privilegios de root. El atacante que utilice Pegasus tendrá el control total del dispositivo.
Si usted llegara a ser de interés para alguno de los clientes de NSO Group, todo lo que necesitaba era su número de teléfono para infectar su dispositivo. No era necesario hacer clic en un enlace o descargar un archivo para que Pegasus se instalara de forma remota en tu dispositivo Android o iOS. Según Amnistía Internacional, "se ha observado un ataque exitoso de 'clic cero' explotando múltiples días cero para atacar un iPhone 12 totalmente parcheado que ejecutaba iOS 14.6 en julio de 2021".
Apple lanzó la versión 14.7 de iOS el 19 de julio y ahora el mundo está en la cuenta atrás hasta que se descubra el próximo día cero. Mientras tanto, se ha publicado una nueva herramienta llamada Mobile Verification Toolkit que puede utilizarse para determinar si un dispositivo ha sido comprometido por el malware Pegasus. Sin embargo, este kit de herramientas es complicado de utilizar.
El crecimiento de la industria de las ciberarmas
A la luz de estas recientes revelaciones, estamos echando un vistazo a la creciente industria de las ciberarmas. La tecnología actúa como un virus: Lo único que hace es infectar los smartphones para espiar a sus propietarios. Por si eso no fuera suficientemente malo, esta tecnología de virus se vende regularmente a cualquiera que pueda pagarla.
No es necesario rebuscar en sitios web de mala muerte para encontrar este software. NSO Group opera como cualquier otro contratista del gobierno donde todo el mundo puede verlos. Una búsqueda rápida le llevará a "nsogroup.com", donde puede ponerse en contacto con NSO Group para preguntar sobre los precios y posibles descuentos de las armas de vigilancia masiva. El banner principal de su página web anuncia actualmente "Eclipse: Protect Your Skies", que es una plataforma de drones que puede utilizarse para tomar y confiscar "drones comerciales no autorizados".
Esta publicidad descarada muestra la creciente legitimidad de una industria que antes existía en los mercados de la red oscura o en los foros de hacking.
Pero, ¿cuál es la diferencia entre una organización como NSO Group, a la que se le permite trabajar abiertamente con entidades gubernamentales, y el grupo de hackers DarkSide, perseguido por la distribución de programas de ransomware?
Parece que es sólo una cuestión de clientela.
Pegasus supone una amenaza para la privacidad
Pegasus y el auge de la industria de la vigilancia suponen una amenaza inconmensurable para periodistas, activistas políticos y ciudadanos como tú. Las vulnerabilidades de seguridad no van a desaparecer y no existe la seguridad perfecta. Esto nos lleva a preguntarnos qué podemos hacer nosotros, como personas de a pie, para proteger nuestros dispositivos, nuestra privacidad y nuestros datos personales a la luz de este escándalo. Lo que Claudio Guarnieri, del Laboratorio de Seguridad de Amnistía Internacional -que como experto en seguridad hace uso de Secure Connect en su sitio web- dijo a The Guardian fue poco optimista,
"Esta es una pregunta que me hacen prácticamente cada vez que hacemos análisis forenses con alguien: '¿Qué puedo hacer para que esto no vuelva a suceder?'", dijo Guarnieri. "La respuesta honesta real es nada".
Alemania: El uso de Pegasus sería ilegal
A riesgo de terminar con un tono de derrota, se pueden encontrar algunas joyas de esperanza en este asunto. Al ser preguntados por la NDR y la WDR sobre si las autoridades alemanas han comprado y utilizado esta pieza de software de espionaje, los funcionarios alemanes respondieron afirmando: "'Pegasus' ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt" (Pegasus es simplemente demasiado poderoso, demasiado potente. El troyano puede hacer mucho más de lo que permite la legislación alemana).
Como consecuencia, las autoridades alemanas rechazaron Pegasus cuando el Grupo NSO intentó vendérselo.
Esta actitud adoptada por las autoridades alemanas es admirable, si se compara con la de otros organismos mundiales de inteligencia y aplicación de la ley que han adoptado un enfoque más de "espiar ahora y cambiar las leyes después". El ejemplo alemán demuestra que la legislación puede restringir las prácticas de vigilancia invasivas e innecesarias. Si una legislación sólida en materia de privacidad puede hacer que estas agencias rindan cuentas de sus acciones, entonces todos los ciudadanos con derecho a voto siguen teniendo medios para luchar contra la vigilancia masiva.
Más allá del ámbito gubernamental, el gigante tecnológico Amazon "ha cerrado la infraestructura y las cuentas vinculadas a la empresa de vigilancia israelí NSO Group", independientemente de si se trata simplemente de una maniobra de relaciones públicas para evitar las críticas o de una auténtica preocupación por la privacidad, esta acción demuestra que todavía existe una preocupación por la opinión pública negativa hacia la vigilancia masiva.
Hay que prohibir las ciberarmas
Tenemos que empezar a tratar a estas empresas de ciberarmas como tales. Están fabricando y distribuyendo herramientas que se utilizan para intimidar y silenciar. Estas armas están al alcance de cualquiera que pueda permitirse los costes. Cabe señalar que cuando Philip Zimmerman, el creador de PGP, lanzó su programa de encriptación gratuito que sólo pretendía proporcionar una plataforma de comunicación segura, fue investigado por el Servicio de Aduanas de Estados Unidos por la posible violación de la Ley de Control de Exportación de Armas.
Es escandaloso que el apoyo a la privacidad personal se gane una investigación federal, pero que despreciarla por completo se gane un contrato bien financiado.
En una entrevista con The Guardian, Edward Snowden da en el clavo: "Hay ciertas industrias, ciertos sectores, de los que no hay protección, y por eso intentamos limitar la proliferación de estas tecnologías. No permitimos un mercado comercial de armas nucleares".
Aunque la mayoría de los usuarios de Internet no serán objeto de este programa, existe un efecto escalofriante en aquellos que temen llamar la atención. A los objetivos de alto perfil que temen la vigilancia del gobierno se les aconsejaría cambiar regularmente de dispositivos y números de teléfono para evitar el seguimiento persistente por parte de herramientas de espionaje como Pegasus.
Snowden cerró esta entrevista con un llamamiento a la solidaridad y al activismo contra la creciente industria de la vigilancia: "La solución para la gente corriente es trabajar colectivamente. Este no es un problema que queramos intentar resolver individualmente, porque eres tú contra una empresa de mil millones de dólares... Si quieres protegerte tienes que cambiar el juego, y la forma de hacerlo es acabar con este comercio".
Como empresa que da prioridad a la privacidad, pedimos a los legisladores internacionales y al público votante que apoyen la prohibición de la venta de estas ciberarmas. Al igual que no existe un mercado de consumo para las armas nucleares, no debe haber un mercado para la venta abierta de exploits de software y malware.
