Es posible que se esté abusando del software espía disponible comercialmente más sofisticado del mundo, según una investigación de 17 organizaciones de medios en diez países. Las filtraciones de inteligencia y el análisis forense de teléfonos sugieren que el software de vigilancia, llamado Pegasus, se ha utilizado para apuntar y espiar los teléfonos de activistas de derechos humanos, periodistas de investigación, políticos, investigadores y académicos.
NSO Group, la firma israelí de inteligencia cibernética detrás de Pegasus, insiste en que solo otorga licencias de su software espía a clientes gubernamentales examinados en nombre de la lucha contra el crimen transnacional y el terrorismo. Ha calificado los informes de los periodistas de investigación como una “campaña viciosa y difamatoria” sobre la que ya no comentará.
Sin embargo, el fundador y director ejecutivo de NSO Group admitió anteriormente que “en algunas circunstancias, nuestros clientes podrían hacer un mal uso del sistema”. Dado que el grupo ha vendido su software espía a unos 40 países, incluidos algunos con malos antecedentes de corrupción y violaciones de derechos humanos, se alega que Pegasus ha sido objeto de un uso indebido significativo, socavando la libertad de prensa, la libertad de pensamiento y las democracias libres y abiertas. .
Estas revelaciones son el último indicio de que la industria del software espía está fuera de control, y los clientes con licencia pueden espiar a objetivos políticos y civiles, así como a presuntos delincuentes. Es posible que nos dirijamos a un mundo en el que ningún teléfono esté a salvo de tales ataques.
Cómo funciona Pegasus
Pegasus está considerado como el software espía más avanzado del mercado. Puede infiltrarse en los dispositivos de las víctimas sin que ni siquiera tengan que hacer clic en un enlace malicioso, lo que se denomina “ataque sin hacer clic”. Una vez dentro, el poder que posee Pegasus para transformar un teléfono en una baliza de vigilancia es asombroso.
Inmediatamente se pone a trabajar copiando mensajes, imágenes, videos y contenido descargado para enviar al atacante. Como si eso no fuera lo suficientemente insidioso, Pegasus puede grabar llamadas y rastrear la ubicación de un objetivo mientras activa de forma independiente y secreta la cámara y el micrófono de un teléfono. Con esta capacidad, un teléfono infectado actúa como una mosca en la pared, viendo, escuchando e informando las conversaciones íntimas y sensibles que observa continuamente.
Hay evidencia previa del mal uso de Pegasus. Estuvo implicado en el presunto pirateo del teléfono de Jeff Bezos por parte del príncipe heredero de Arabia Saudita en 2018. Al año siguiente, se reveló que varios abogados y activistas indios habían sido blanco de un ataque de Pegasus a través de WhatsApp.
Las nuevas revelaciones sugieren que Pegasus se usó para vigilar al presidente de México, Andrés Manuel López, y a 50 miembros de su círculo íntimo, incluidos amigos, familiares, médicos y asistentes, cuando era un político de oposición. Pegasus también se ha relacionado con la vigilancia de Rahul Gandhi, el actual rival político del primer ministro indio Narendra Modi.
También se ha encontrado una infiltración de Pegasus entre los teléfonos pertenecientes a la familia y amigos del periodista asesinado Jamal Khashoggi, y hay indicios de que Pegasus también pudo haber sido utilizado por un cliente de NSO mexicano para atacar al periodista mexicano Cecilio Pineda Birto, quien fue asesinado. en 2017.
Industria del software espía
Aunque el poder de Pegasus es impactante, el software espía en sus diversas formas está lejos de ser un fenómeno nuevo. El software espía básico se remonta a principios de la década de 1990. Ahora es una industria en auge con miles de compradores ansiosos.
En la base de la industria del software espía se encuentran las herramientas de espionaje menores, que se venden por tan solo $ 70 (£ 51) en la web oscura, que pueden acceder de forma remota a cámaras web, registrar pulsaciones de teclas de la computadora y recopilar datos de ubicación. El uso de este tipo de software espía por parte de acosadores y socios abusivos es un problema creciente y preocupante.
Luego, por supuesto, está el estado de vigilancia global en el que Edward Snowden levantó la cortina en 2013. Sus filtraciones revelaron cómo se estaban utilizando las herramientas de vigilancia para acumular un volumen de datos personales de los ciudadanos que parecía ir mucho más allá de las instrucciones de las agencias de inteligencia que las usaban. .
En 2017, también aprendimos cómo un equipo secreto de programadores de élite de la Agencia de Seguridad Nacional de EE. UU. Había desarrollado un arma avanzada de ciberespionaje llamada Eternal Blue, solo para que el colectivo de hackers Shadow Brokers la robara y la vendiera en la web oscura. Fue este software espía el que más tarde se utilizaría como columna vertebral del infame ataque de ransomware Wannacry de 2017, que tuvo como objetivo el NHS y cientos de otras organizaciones.
Por qué Pegasus es diferente
Cuando se publicaron las filtraciones de Snowden, muchos se sorprendieron al enterarse de la escala de vigilancia que habían permitido las tecnologías digitales. Pero este espionaje masivo fue al menos desarrollado y realizado dentro de las agencias de inteligencia estatales, que tenían cierta legitimidad como agentes de espionaje.
Ya no estamos debatiendo el derecho del estado a violar nuestros propios derechos a la privacidad. Las revelaciones de Pegasus muestran que hemos llegado a una nueva e incómoda realidad en la que se venden herramientas de software espía altamente sofisticadas en un mercado abierto. Para no hacernos ilusiones, nos referimos aquí a una industria de desarrolladores de malware con fines de lucro que crean y venden los mismos tipos de herramientas, y a veces las mismas herramientas, que utilizan los “hackers maliciosos” para atraer empresas y organizaciones gubernamentales a sus rodillas
A raíz de las revelaciones de Pegasus, Edward Snowden ha pedido una prohibición internacional del software espía, afirmando que estamos avanzando hacia un mundo donde ningún dispositivo es seguro. Ese será ciertamente el caso si Pegasus corre el mismo destino que Eternal Blue, con su código fuente encontrando su camino hacia la web oscura para ser utilizado por piratas informáticos criminales.
Recién hemos comenzado a contemplar plenamente todas las implicaciones de Pegasus en nuestra privacidad colectiva y democracia. Sin transparencia, no tenemos idea de cómo y bajo qué circunstancias Pegasus tiene licencia, quién tiene autorización para usar Pegasus una vez que tiene licencia, bajo qué circunstancias una licencia puede ser revocada o qué regulaciones internacionales existen para vigilar contra su abuso.
La evidencia sugiere que Pegasus se ha utilizado indebidamente y se necesita una mayor responsabilidad y supervisión. También debemos tratar de reavivar debates importantes en torno a los controles exigibles sobre la creación y venta de software espía corporativo. Sin esto, la amenaza que Pegasus y las futuras herramientas de software espía representan para la privacidad no se limitará a los objetivos de alto perfil que se han revelado hasta ahora, sino que será una amenaza para todos nosotros.
Este artículo de Christian Kemp, profesor de Criminología, Universidad Anglia Ruskin, se ha vuelto a publicar de The Conversation con una licencia Creative Commons. Lea el artículo original.
¿Tienes alguna idea sobre esto? Háganos saber más abajo en los comentarios o lleve la discusión a nuestro Twitter o Facebook.
