Una amplia investigación sobre una filtración de datos de más de 50.000 números de celulares, ha revelado un amplio uso del «software espía de grado militar» Pegasus, de la empresa israelí NSO Group, para facilitar la vigilancia de jefes de Estado, activistas, periodistas, abogados y delincuentes a nivel mundial.
Bautizado como «Proyecto Pegasus«, la investigación fue realizada en colaboración de más de 80 periodistas de un consorcio de 17 organizaciones de medios de comunicación de 10 países coordinada por Forbidden Stories, una organización de medios de comunicación sin ánimo de lucro con sede en París, junto con el apoyo técnico de Amnistía Internacional.

NSO Group es el fabricante del software de cibervigilancia llamada «Pegasus», que, cuando se instala subrepticiamente en los dispositivos iPhone y Android de las víctimas, permite a un atacante recopilar correos electrónicos, mensajes SMS, medios de comunicación, calendarios, llamadas e información de contacto, así como el contenido del chat de aplicaciones de mensajería como WhatsApp, Telegram y Signal, y activar el micrófono y la cámara del teléfono.

La herramienta, que el proveedor de servicios de vigilancia vende a gobiernos de todo el mundo, suele instalarse aprovechando vulnerabilidades de seguridad desconocidas en aplicaciones comunes o engañando a un objetivo potencial para que haga clic en un enlace malicioso. NSO Group se autodenomina «el líder mundial en soluciones de ciberinteligencia de precisión para uso exclusivo de agencias de inteligencia y de aplicación de la ley, autorizadas y aprobadas por el Estado«.
Se dice que la lista de números de teléfono, aunque no incluye los nombres, contiene cientos de ejecutivos de empresas, figuras religiosas, académicos, empleados de ONG, funcionarios sindicales y gubernamentales, y la investigación ha descubierto clientes de NSO Group en al menos 11 países, como Azerbaiyán, Bahréin, Hungría, India, Kazajistán, México, Marruecos, Ruanda, Arabia Saudí, Togo y los Emiratos Árabes Unidos.
La investigación ha identificado hasta el momento a 180 periodistas y más de 600 políticos y funcionarios gubernamentales, repartidos en más de 50 países, aunque la cronología de los ataques se extiende a lo largo de un periodo de siete años, desde 2014 hasta julio de 2021. Sin embargo, Ruanda, Marruecos, India y Hungría negaron haber utilizado Pegasus para hackear los teléfonos de las personas mencionadas en la lista.
Resulta preocupante que un análisis forense de 67 dispositivos móviles, mostrara que las intrusiones implicaban el uso continuado de los denominados exploits «zero-click» (que no requieren ninguna interacción por parte del objetivo) que se remontan a mayo de 2018. En un caso destacado por Amnistía Internacional, se cree que el compromiso ha aprovechado múltiples días cero en iMessage para atacar un iPhone 12 totalmente parcheado que ejecutaba iOS 14.6 en julio de 2021.
«Todo esto indica que NSO Group puede entrar en los últimos iPhones«, dijo Bill Marczak de Citizen Lab en una serie de tweets. «También indica que Apple tiene un MAYOR problema de cinco alarmas rojas parpadeantes con la seguridad de iMessage que su BlastDoor Framework (introducido en iOS 14 para dificultar la explotación de cero clics) no está mitigado».
THREAD with a couple of interesting bits from @AmnestyTech's new report on what they learned from looking for NSO Group's spyware on phones https://t.co/CG60vx7cRg
— Bill Marczak (@billmarczak) July 18, 2021
De los smartphones analizados, 23 dispositivos habían sido infectados con éxito con Pegasus, y 15 mostraban signos de intento de penetración, dijo el Washington Post en un informe en profundidad.
«Las historias de la semana que viene sobre el hackeo global de teléfonos idénticos al que llevas en el bolsillo, por parte de empresas con ánimo de lucro, dejan claro que los controles de exportación han fracasado como medio para regular esta industria. Sólo una moratoria integral de las ventas puede eliminar el afán de lucro«, dijo Edward Snowden, en su cuenta de Twitter.
The coming week's stories about the global hacking of phones identical to the one in your pocket, by for-profit companies, make it clear that export controls have failed as a means to regulate this industry.
— Edward Snowden (@Snowden) July 18, 2021
Only a comprehensive moratorium on sales can remove the profit motive.
La compañía israelí rebatió rotundamente las acusaciones, afirmando que están «llenas de suposiciones erróneas y teorías no corroboradas que plantean serias dudas sobre la fiabilidad y los intereses de las fuentes«, al tiempo que subrayó que tiene una «misión de salvar vidas» para «desarticular redes de pedofilia, de tráfico sexual y de drogas, localizar a niños desaparecidos y secuestrados, localizar a supervivientes atrapados bajo edificios derrumbados y proteger el espacio aéreo contra la penetración disruptiva de peligrosos drones.«
«Después de comprobar sus afirmaciones, negamos firmemente las falsas acusaciones vertidas en su informe«, añadió la empresa. «Sus fuentes les han proporcionado información que no tiene ninguna base fáctica, como se evidencia por la falta de documentación de apoyo para muchas de sus afirmaciones. De hecho, estas alegaciones son tan escandalosas y están tan alejadas de la realidad, que NSO está considerando la posibilidad de presentar una demanda por difamación.«
El último acontecimiento también se produce días después de que otra empresa israelí llamada Candiru saliera a la luz como el proveedor de software espía comercial detrás de la explotación de una serie de Zero-days en Google Chrome y Microsoft Windows, como parte de una serie de «ataques de precisión» para comprometer a más de 100 periodistas, académicos, activistas y disidentes políticos en todo el mundo.
Más información:
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/
https://forbiddenstories.org/case/the-pegasus-project/

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.