El grupo israelí NSO puede saber mucho más sobre cómo sus clientes usan su software espía comercial Pegasus de lo que la compañía ha dejado entrever, sugieren documentos judiciales recientemente publicados relacionados con una disputa legal con WhatsApp de Meta.
De hecho, NSO Group instaló y operó el software espía en nombre de sus clientes, lo que hizo a la empresa directamente responsable del uso del software espía, dijeron los abogados de WhatsApp en un expediente judicial: lanzado el 14 de noviembre en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California.
Los documentos judiciales son parte de un demanda que WhatsApp presentó contra NSO Group en octubre de 2019 tras descubrir que la empresa israelí había utilizado servidores de WhatsApp para distribuir Pegasus a unos 1.400 teléfonos móviles, incluidos los de periodistas y activistas de derechos humanos.
Los abogados también afirmaron que NSO Group desarrolló y utilizó repetidamente exploits para abusar de los servidores de WhatsApp para instalar Pegasus en los dispositivos de destino, incluso al menos una vez después de que WhatsApp demandó a la empresa por este problema.
NSO “única responsable”
“NSO es el único responsable del acceso no autorizado de Pegasus a los servidores de WhatsApp”, señaló el gigante de las redes sociales en una sesión informativa. “A pesar de lo que afirmó NSO, sus clientes tenían un papel mínimo en cómo operaba o recopilaba información la herramienta de espionaje. Todo lo que los clientes de NSO Group normalmente tenían que hacer era ingresar el número de teléfono de su objetivo, presionar Instalar y esperar a que el malware se instalara en el dispositivo objetivo. sin ninguna interacción adicional”, señalaron.
“En otras palabras, el cliente simplemente realiza un pedido de datos desde un dispositivo de destino y NSO controla todos los aspectos del proceso de recuperación y entrega de datos a través de su diseño Pegasus”, abogados de WhatsApp. De hecho, la empresa era tan consciente de cómo sus clientes utilizaban su malware que cortó el servicio a 10 clientes por abuso excesivo, afirmaron los abogados.
Software de vigilancia controvertido
Pegasus es un controvertido software espía móvil diseñado para monitorear y extraer datos en secreto de teléfonos inteligentes iOS y Android. Una vez instalado, Pegasus puede interceptar mensajes, correos electrónicos, medios y contraseñas, así como rastrear datos de ubicación, todo ello evadiendo la detección del software antivirus. NSO Group afirma vender la tecnología sólo a agencias gubernamentales autorizadas con fines legítimos de aplicación de la ley, lucha contra el crimen y lucha contra el terrorismo. Pero los críticos dicen que esta herramienta ha sido mal utilizada, particularmente en regímenes autoritarios, para periodistas objetivo, activistas de derechos humanosdisidentes políticos y otros críticos del gobierno.
Una filtración de base de datos de 2021 reveló que los clientes de NSO Group, en ese momento, se habían dirigido a más de 50.000 números de teléfono para vigilancia en países como México, Hungría e India. El gobierno americano incluyó oficialmente a la empresa en la lista negra en 2021, lo que significa que su capacidad para operar en los Estados Unidos o hacer negocios con entidades estadounidenses en el extranjero está severamente restringida.
NSO Group intentó que los tribunales estadounidenses desestimaran la demanda de WhatsApp contra la empresa, alegando, entre otras cosas, falta de jurisdicción y el hecho de que sus clientes son en su mayoría gobiernos y, por tanto, no hacen nada ilegal. Los abogados de WhatsApp intentaron presentar a NSO Group como realmente responsable de Pegasus al intentar vincular más directamente al proveedor con el uso de la herramienta de software espía por parte del cliente.
En documentos judiciales recientemente publicados, WhatsApp alegó que NSO Group eludió repetida y deliberadamente los mecanismos que la compañía implementó para evitar el uso indebido de la plataforma de mensajería segura. Uno de ellos era una aplicación cliente de WhatsApp modificada llamada WhatsApp Installation Server (WIS) que podía acceder a los servidores principales de WhatsApp de una manera que su propio software cliente no podía. Luego, NSO Group desarrolló herramientas llamadas Heaven and Eden para interactuar con WIS de una manera que activaba las descargas de Pegasus en los teléfonos de destino a través de WhatsApp. La empresa desarrolló Eden después de que WhatsApp descubriera Heaven y lo bloqueara. Cuando los ingenieros de WhatsApp descubrieron Eden, NSO desarrolló y utilizó otra herramienta, llamada Erised, hasta 2020, o después de que WhatsApp presentara su denuncia.
La demanda de WhatsApp es uno entre varios que NSO Group está luchando actualmente en tribunales de todo el mundo contra organizaciones y personas afectadas por malware. En septiembre, Apple solicitó el despido voluntario de una demanda de 2021 que presentó contra NSO Group, citando preocupaciones de que la compañía tuviera que compartir información con el tribunal de la que otros fabricantes de software espía podrían abusar en el futuro.
En el momento en que se presentó la denuncia, NSO Group era uno de los pocos proveedores conocidos de software espía móvil de este tipo. Desde entonces, el número de proveedores comerciales de software espía ha aumentado considerablemente, impulsado en gran medida por la demanda de las agencias gubernamentales. A Informe de Google a principios de este año identificó a proveedores de software espía como NSO Group como responsables de casi la mitad de todos los exploits de día cero registrados entre mediados de 2014 y diciembre de 2023.