NSO Group afirma que el producto que vende a clientes gubernamentales, más comúnmente conocido como Pegasus  , está destinado a "recopilar datos de los dispositivos móviles de personas específicas, sospechosas de estar involucradas en delitos graves y terroristas". Pegasus tiene amplias capacidades: el software espía se puede instalar de forma remota en un teléfono inteligente sin requerir ninguna acción por parte de su propietario. Una vez instalado, permite a los clientes tomar el control total del dispositivo , incluido el acceso a mensajes de aplicaciones de mensajería encriptada como WhatsApp y Signal, y encender el micrófono y la cámara.

El consorcio Forbidden Stories descubrió que, contrariamente a lo que NSO Group ha afirmado durante muchos años, incluso en un informe de transparencia reciente, este software espía ha sido ampliamente utilizado de forma indebida . Los datos filtrados mostraron que al menos 180 periodistas han sido seleccionados como objetivos en países como India, México, Hungría, Marruecos y Francia, entre otros. Los objetivos potenciales también incluyen defensores de los derechos humanos, académicos, empresarios, abogados, médicos, líderes sindicales, diplomáticos, políticos y varios jefes de estado .

En una carta compartida con Forbidden Stories y sus socios, NSO Group afirmó que los informes del consorcio se basaban en "suposiciones erróneas" y "teorías no corroboradas". NSO Group insistió en que el análisis de los datos por parte de los periodistas que formaban parte del Proyecto Pegasus se basó en una "interpretación engañosa de los datos filtrados de información básica accesible y abierta, como los servicios de búsqueda de HLR, que no tienen relación con la lista de clientes". objetivos de Pegasus o cualquier otro producto de NSO”.

HLR se refiere al Registro de ubicación de inicio, una base de datos que es esencial para operar redes de telefonía celular. Una persona con conocimiento directo de los sistemas de NSO, que habló bajo condición de anonimato, les dijo a los periodistas del Proyecto Pegasus que una búsqueda de HLR es un paso clave para determinar ciertas características de un teléfono, como si está encendido o en un país que permite apuntar a Pegasus.

Cuando se le preguntó acerca de esos hallazgos de Forbidden Stories, NSO Group negó y dijo que "continuará investigando todas las afirmaciones creíbles de uso indebido y tomará las medidas apropiadas en función de los resultados de estas investigaciones".

El consorcio se reunió con víctimas de todo el mundo cuyos números de teléfono aparecían en los datos. Los análisis forenses de sus teléfonos, realizados por el Laboratorio de Seguridad de Amnistía Internacional y revisados ​​por pares por la organización canadiense Citizen Lab, pudieron confirmar una infección o intento de infección con el software espía de NSO Group en el 85% de los casos , o 37 en total. Tal tasa es notablemente alta dado que se supone que el spyware de última generación es indetectable en el dispositivo comprometido.

Periodistas del Proyecto Pegasus ( más de 80 reporteros de 17 organizaciones de medios en 10 países coordinados por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional) revisaron estos registros de números de teléfono y pudieron echar un vistazo detrás de la cortina de este arma de vigilancia, que nunca había sido posible hasta este punto antes.

Entre las víctimas se encontraban varios periodistas del Proyecto Pegasus , como Siddarth Varadarajan, un periodista de investigación indio y fundador del sitio de noticias The Wire, que fue pirateado en 2018 y Szabolcs Panyi, un reportero de investigación de Direkt36 en Hungría cuyo teléfono fue comprometido durante un período de siete meses en 2019.

Todos compartían una sensación general de impotencia cuando se les informaba sobre los ciberataques que habían sufrido. “Nos hemos estado recomendando esta o aquella herramienta, cómo mantener [nuestros teléfonos] cada vez más seguros de los ojos del gobierno”, dijo la periodista azerbaiyana Khadija Ismayilova. “Y ayer me di cuenta de que no hay manera. A menos que te encierres en [una] tienda de hierro, no hay forma de que no interfieran en tus comunicaciones”.

El Laboratorio de Seguridad de Amnistía Internacional también identificó nuevas formas a través de las cuales se puede instalar Pegasus en un teléfono, como a través de una falla de seguridad en los iPhones que se ha utilizado con frecuencia desde 2019 y aún se detectó en julio de 2021. Fuentes bien informadas compartieron preocupaciones sobre innumerables vulnerabilidades vinculadas al servicio de mensajería de Apple iMessage , un problema que dicen que ha empeorado con los años.

Los datos filtrados sugieren que el spyware se usa mucho más descuidadamente de lo que se anuncia. En el informe de transparencia publicado en junio de 2021, la compañía israelí enfatizó que Pegasus “no era una tecnología de vigilancia masiva” y que “se usaba solo cuando [había] una razón legítima de aplicación de la ley o de inteligencia”. Sin embargo, solo el cliente marroquí de NSO Group seleccionó más de 10.000 números de teléfono para vigilancia durante un período de dos años .

El proyecto arroja una luz dura sobre el negocio de NSO Group, que, a pesar de afirmar que examina a sus clientes en función de sus antecedentes de derechos humanos, decidió vender su producto a regímenes autoritarios como Azerbaiyán, los Emiratos Árabes Unidos y Arabia Saudita. Insiders reveló el importante papel desempeñado por el Ministerio de Defensa de Israel a la hora de elegir a los clientes de NSO Group . Múltiples fuentes corroboraron el hecho de que las autoridades israelíes presionaron para que Arabia Saudita se agregara a la lista de clientes a pesar de las dudas de NSO Group. El abogado de la empresa negó que "NSO Group tome instrucciones gubernamentales con respecto a los clientes".

Las revelaciones derivadas de esta investigación colaborativa internacional cuestionan las medidas de seguridad implementadas para evitar el uso indebido de armas cibernéticas como Pegasus y, más específicamente, el compromiso de NSO Group de crear "un mundo mejor y más seguro".

Socios de medios del Proyecto Pegasus:
The Guardian, Le Monde, The Washington Post, Süddeutsche Zeitung, Die Zeit, Aristegui Noticias, Radio France, Proceso, OCCRP, Knack, Le Soir, Haaretz/TheMarker, The Wire, Daraj, Direkt36, PBS Frontline .

Fuente: Forbidden Stories