Columna de opinión independiente de nuestro columnista invitado, Norman Gutiérrez, sobre The Pegasus Project.
PUBLICIDAD
No cabe la menor duda que estamos frente a uno de los escándalos en materia de ciberseguridad con más repercusiones en el mundo. Edward Snowden lo calificó como “la historia del año” y con justa razón: un reporte de Amnistía Internacional y Forbidden Stories puso en el ojo del huracán al NSO Group, compañía israelí creadora del spyware Pegasus.
La acusación es grave. En palabras de Amnistía, Pegasus ha sido usado “para facilitar violaciones a los derechos humanos en una escala masiva”, con más de 50 mil teléfonos como blancos potenciales y actuando en países como México, India, los Emiratos Árabes Unidos, Hungría y Arabia Saudita.
Sin embargo, NSO Group insiste que su software está hecho con un solo propósito: atrapar grandes criminales y terroristas a nivel mundial. La empresa ofrece sus servicios de spyware a gobiernos, agencias de inteligencia y grupos militares, con contratos millonarios gestados en el más absoluto secreto, con el objetivo de otorgar herramientas de espionaje a personeros clave.
Estas herramientas contienen un alto nivel de sofisticación, muchas veces aprovechándose de vulnerabilidades no conocidas, y preocupantes hasta para el usuario más básico de teléfonos móviles.
El problema tecnológico
Pegasus es un software extremadamente poderoso, y funciona como cualquier otro malware de alta categoría. Puede recolectar correos electrónicos, posts en redes sociales, grabar llamadas telefónicas y conversaciones en WhatsApp, activar secretamente el micrófono y las cámaras de tu móvil, o grabar la posición GPS, todo sin que el usuario haga absolutamente nada, tanto en Android como en iOS.
Sin embargo, lo peligroso de Pegasus es la manera en que infecta los teléfonos, incluso aprovechándose de exploits no conocidos por el resto de los hackers ni por los equipos de seguridad de Apple y Google. Especialistas como los de NSO Group buscan descubrir cualquier vulnerabilidad peligrosa, usualmente del tipo “zero-day”, y usarla con propósitos comerciales.
La sorpresa más grande en este descubrimiento a nivel técnico fue un tipo de ataque dirigido a iPhones capaz de infectar incluso a celulares con iOS 14.6, la última versión del sistema operativo de Apple.
Según los investigadores, este ataque se aprovecha de una vulnerabilidad en un servicio de iMessage relativo al muestreo de imágenes en la plataforma, que ya tiene otras vulnerabilidades conocidas. No obstante el exploit, conocido como “zero-click” en el mundo de la seguridad, es realmente peligroso: es un mensaje de iMessage sin sonido, sin notificación, sin vibración de tu teléfono. Es un ataque sin interacción alguna del usuario, tremendamente difícil de detectar, contrarrestar, e incluso investigar.
(1) @AmnestyTech saw an iOS 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. We at @citizenlab also saw 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. All this indicates that NSO Group can break into the latest iPhones.
— Bill Marczak (@billmarczak) July 18, 2021
Un punto importante al respecto es que dicha ofuscación se extiende a todo ámbito de este spyware. Pegasus es, por definición, indetectable y difícil de rastrear. NSO Group utiliza tácticas grises para ocultar sus acciones en todo el proceso: cambiando los servidores desde los que envía el malware, ocultándolos a través de “DNS-knocking”; estableciendo golpeo de puertos en sus servidores de comando y control (para cortar los hilos que los unen a su propio malware); e incluso borrando las tablas que guardan la información de los procesos en uso dentro de un iPhone (como el archivo “DataUsage.sqlite”, actualmente el único rastro confiable del uso de Pegasus).
Gran parte de los investigadores en ciberseguridad son categóricos: las empresas fabricantes de teléfonos móviles son incapaces de seguir el ritmo de los hackers. Esto es especialmente cierto en el caso de Apple, cuya prédica es estar a la vanguardia en temas de seguridad móvil y privacidad, pero deja graves vulnerabilidades al descubierto e incluso entorpece la posibilidad de debuggear estos exploits con sistemas de seguridad como BlastDoor.
La conclusión lógica parece ser que ningún teléfono es realmente seguro, discusión que lleva años sobre la mesa fuera de las máquinas de marketing de los respectivos fabricantes. Lamentablemente, existe una industria que actúa a nivel mundial y que es capaz de estar siempre un paso adelante de empresas que se suponen vanguardistas por antonomasia.
El problema ético
Fuera de la esfera tecnológica, hay otra conclusión que es peligrosa desde el parámetro que se mire: cualquier gobierno puede comprar Pegasus y usarlo para espiar a sus ciudadanos, bajo la premisa de “actividades de inteligencia” relativas a la seguridad nacional, terrorismo o similares.
NSO Group argumenta que sus clientes son 60 agencias policiales, militares y de inteligencia en 40 países, y que no tienen detalles acerca de las actividades específicas de inteligencia. En entrevista con el Washington Post, el director ejecutivo de NSA Group, Shalev Hulio, aseguró que “en algunas circunstancias nuestros clientes pueden hacer mal uso del sistema y, en algunos casos […] hemos apagado sistemas por clientes que hicieron mal uso de éste”.
La aparente falta de control va de la mano con el secretismo de la compañía. Todos los clientes de NSO Group están protegidos por acuerdos de confidencialidad -una práctica bastante estándar en la industria- y la empresa no se hace responsable por el mal uso de cualquiera de sus soluciones. La única manera de relacionar a los clientes con sus potenciales blancos fue la mencionada lista de 50 mil teléfonos de activistas o periodistas aparentemente vulnerados, donde países como México, India y Emiratos Árabes Unidos fueron perfilados como usuarios predilectos de Pegasus.
Este aparente mal uso de la plataforma se ha vuelto un problema sistemático en países como México, donde investigadores de seguridad han manifestado su preocupación por el uso malicioso de Pegasus desde la presidencia de Enrique Peña Nieto. Cecilio Pineda Birto, periodista asesinado el año 2017 después de acusar a personeros de gobierno de estar coludidos con un capo de Ciudad Altamirano, tenía su teléfono celular infectado con Pegasus y estaba en una lista de vigilancia junto al menos otros 26 periodistas.
Si la lista de 14 mil teléfonos celulares es de creer, es posible asegurar que fuerzas de inteligencia en México siguen siendo clientes de NSO Group, incluso después de variadas investigaciones que aseguran el mal uso de Pegasus de parte del gobierno mexicano.
Asimismo, las redes del NSO Group están bien extendidas por Latinoamérica. Según investigaciones de diversos medios tras el escándalo de Pegasus en México, la Policía de Investigaciones de Chile, y por consiguiente el gobierno chileno, son clientes de NSO Group y poseen Pegasus en sus unidades de delito informático.
Herramientas de este calibre y con este nivel de secretismo en manos de gobiernos autoritarios atentan contra principios democráticos clave de nuestras sociedades, incluso fuera de la órbita digital.
El nivel de espionaje que se puede conseguir con Pegasus es aún más invasivo que lo que esperaríamos de agencias como la NSA en Estados Unidos. No obstante, los tratos en secreto entre gobiernos y los fabricantes de este spyware diluyen la responsabilidad ética de cada país de no espiar a sus ciudadanos, y la legitimidad de su uso en las situaciones planteadas por NSO Group.
Asimismo, no existen figuras en el Derecho Internacional que permitan regular de mejor manera la exportación de este spyware, de modo de generar accountability y transparencia sobre su uso. Amnistía Internacional ha criticado fuertemente el negocio de spyware de NSO Group y su falta de regulación, llegando incluso a impulsar una demanda en la corte de Israel para detener su exportación, sin éxito.
Lo cierto es que los esfuerzos por buscar accountability han caído en oídos sordos. Abogados en Estados Unidos han defendido la imagen de NSO Group en cortes federales tras el asesinato de Jamal Khashoggi en 2018 y la clara relación de Pegasus con dicho crimen, donde se presume la responsabilidad del gobierno árabe, comprobado usuario del spyware.
El mensaje ante esta situación debería ser claro e irrestricto. Empresas como NSO Group son facilitadores a violaciones a los derechos humanos, y su labor como protectores de la seguridad informática a nivel mundial debería ser al menos cuestionada. Su regulación a nivel mundial debería ponerse sobre el papel a la brevedad.
Asimismo, y en pos de la democracia y legalidad que los gobiernos profesan, el uso de Pegasus por parte de agencias de inteligencia en todo el mundo debiera ser regulado y transparente de cara a los ciudadanos. Es la mínima exigencia ante una sofisticación tecnológica peligrosa para cualquier ciudadano de a pie, y que atenta contra los principios éticos definidos en la Declaración Universal de Derechos Humanos.
Norman Gutiérrez es investigador de seguridad en Prey, empresa chilena de protección de datos y administración de dispositivos.