Pegasus and NSO Group

Lectura en audio de esta entrada.

Los antecedentes

NSO Group Technologies fue fundada en Herzliya, Israel, en 2010 por Niv Karmi (también traducido como Carmi), Shalev Hulio y Omri Lavie. El nombre de la empresa era un acrónimo de los nombres de los fundadores. NSO, a lo largo de su existencia, ha sido licenciado por el Ministerio de Defensa israelí como una entidad de exportación de defensa, lo que significa que todas las ventas a gobiernos extranjeros requieren la aprobación de exportaciones del Gobierno israelí. El producto insignia de la firma, Pegasus, se ha desarrollado progresivamente durante más de una década como una herramienta de acceso remoto capaz de comprometer de manera integral los dispositivos móviles, incluidos los iPhones y los teléfonos Android.

La capacidad técnica sustancial de Pegasus se ha expandido a través de versiones sucesivas. Las primeras versiones requieren la interacción del usuario típicamente un enlace malicioso entregado por SMS o mensajería para instalar la herramienta. Las versiones posteriores, incluyendo el KISMET (2020) y FORCEDENTRY (2021) exploits de iMessage de cero clic, lograron una instalación exitosa sin ninguna acción del usuario: el teléfono objetivo podría verse comprometido mediante la recepción de un mensaje especialmente diseñado.

El modelo de negocio declarado de NSO repetido en sucesivas comunicaciones corporativas y litigios ha sido la concesión de licencias de Pegasus exclusivamente a clientes gubernamentales, para su uso contra el terrorismo y el crimen organizado, con restricciones contractuales de uso contra periodistas, activistas y figuras de la oposición. El patrón de divulgaciones de registros públicos a lo largo de 20162024 ha socavado progresivamente esta caracterización.[1]

La Operación

El primer despliegue de Pegasus documentado públicamente fue el intento de compromiso de agosto de 2016 del iPhone de Ahmed Mansoor, un defensor de los derechos humanos de los Emiratos Árabes Unidos.

Las divulgaciones posteriores a lo largo de 2017-2024 documentaron progresivamente los despliegues de Pegasus en varios países:

• México(2017+): Despliegos contra periodistas, investigadores anticorrupción, abogados que representan a las familias de las víctimas de Ayotzinapa y figuras destacadas de la campaña de López Obrador el despliegue más extenso de Pegasus fuera de Arabia Saudita y los Emiratos Árabes Unidos.Arabia Saudita(2018+): Despliegues contra disidentes saudíes en el extranjero, incluidos Omar Abdulaziz, Ghanem Almasarir y otras categorías sucesivas. El informe de octubre de 2018 de Citizen Lab sobre el ataque a Abdula Aziz precedió al asesinato de Khashoggi por aproximadamente un mes.Marruecos (2017): Despliegos contra los periodistas marroquíes Omar y Majib Monati, y más prominentemente en el Proyecto de divulgaciones de julio de 2021 GLOX X066 contra funcionarios del gobierno francés, incluyendo los teléfonos móviles personales del presidente Emmanuel Macron.

El momento más consecuente de la divulgación pública fue el Proyecto Pegasus de julio de 2021 una investigación del consorcio de Forbidden Stories y Amnistía Internacional, que trabaja con diecisiete medios de comunicación, incluidos el Washington Post, The Guardian, Le Monde, Süddeutsche Zeitung y The Wire, basado en una lista filtrada de aproximadamente 50,000 números de teléfono identificados como seleccionados por operadores de Pegasus en varios países. Los informes sostenidos del Proyectos XG LO066 X a lo largo de julio del 2021 produjeron el conjunto único más extenso de divulgaciones.[1]

Divulgación

La respuesta institucional a las divulgaciones ha sido más sustancial que para cualquier otro caso de spyware comercial. La acción individual más consecuente fue la decisión del Departamento de Comercio de los Estados Unidos en noviembre de 2021 de agregar al Grupo NSO a la Lista de Entidades de la Oficina de Industria y Seguridad, una designación que impone restricciones sustanciales de control de exportación a la tecnología de origen estadounidense a NSO. La demanda de Apple en noviembre 2021 contra NSO (posteriormente desestimada después de la presentación de Apple para despido voluntario el 13 de septiembre de 2024) y la demanda de WhatsApp de Meta en 2019 (en la que el Tribunal de Distrito para el Distrito Norte de California emitió un fallo sumario de 20 de diciembre de 2024 que determinó la responsabilidad de NSO) constituyeron una acción legal paralela del sector privado.[1]

La respuesta del gobierno israelí ha sido sustancialmente más limitada. La revisión de 2022 del Consejo de Seguridad Nacional israelí supuestamente produjo criterios de licencia de exportación estrechados; las decisiones específicas no se han divulgado públicamente. Las cancelaciones de licencias de importación del Ministerio de Defensa a clientes extranjeros específicos - según los informes, incluidos Hungría, Polonia y México - han sido objeto de confirmación parcial de la prensa.

La respuesta institucional europea ha incluido el Comité PEGA del Parlamento Europeo un comité especial sobre el uso de Pegasus y spyware de vigilancia equivalente establecido en marzo de 2022 y que informó en mayo de 2023 que produjo extensos hallazgos sobre la utilización por parte de los estados miembros de Pegasus y herramientas equivalentes.

El legado

Las revelaciones de Pegasus han producido la documentación de registro público más extensa de vigilancia estatal contra la sociedad civil en cualquier período contemporáneo. El trabajo combinado de Citizen Lab, el Laboratorio de Seguridad de Amnistía Internacional, Forensic Architecture, Access Now y sucesivos periodistas asociados al consorcio ha establecido una metodología para la atribución técnica de compromiso de dispositivos móviles que ha sido adoptada sustancialmente por los servicios de inteligencia y medios periodísticos occidentales. La aparición posterior a 2021 de actores adicionales de spyware comercial Cytrox / Predator, Quiru, Quadream y entidades sucesivas ha seguido ampliamente el marco de documentación establecido para XG LO066x.

Para la cuestión institucional de cómo las jurisdicciones occidentales deben responder a dichas herramientas, el caso ha producido un trabajo legislativo y regulatorio sostenido en curso. La Orden Ejecutiva de los Estados Unidos 14093 de marzo de 2023 prohíbe el uso operativo de spyware comercial que represente un riesgo para la seguridad nacional de los EE.UU. o que ha sido mal utilizado; la orden ejecutiva es la acción única más sustancial del gobierno de Estados Unidos que se dirige específicamente a los proveedores de software espía comercial.

Para la cuestión de la práctica del servicio de inteligencia estatal específicamente, el caso ha documentado progresivamente el uso de spyware comercial como sustituto o complemento de la capacidad de recopilación técnica interna, particularmente por parte de servicios que carecen de la profundidad técnica de organizaciones de señales occidentales comparables. El patrón ha sido particularmente pronunciado para el GIP saudí, la SIA de los EAU, la DGED / DGST marroquí y el aparato de Inteligencia y Seguridad mexicano.

Agencias relacionadas

Este expediente se relaciona con múltiples agencias, entre ellas la Presidencia General de Inteligencia de Arabia Saudita/saudi-arabia/saudia-gip, la Agencia de Intelegencia de Señales de los Emiratos Árabes Unidos/uae-sia, la marroquí DGED/marrocco/dged) y la DgST/morocco/dgst, y a través de despliegues documentados de Pegasus específicamente nombrados para la Oficina de Inteligencias de la India/india/indiia-ib (presunto operador de Pegasus) y otros servicios. El contexto a nivel de país se encuentra en las páginas de Israel/israel] (el país en el que NSO tiene licencia), Arabia Saudita/saudí Arabia, Emiratos Árabes Unidas/emiratos árabes Unidos) y Marruecos/Marrueco. Los principales servicios técnicos y de inteligencia de Amnistía Internacional y el Laboratorio de Seguridad Ciudadana no se encuentran en estas páginas.

Fuentes y lecturas adicionales

1. Ministerio de Defensa de Israel, marco de licencias de exportación de defensa; declaraciones corporativas del Grupo NSO y presentaciones equivalentes a la SEC.
2. Citizen Lab, "FORCEDENTRY: NSO Group iMessage Zero-Click Exploit Captured in the Wild, 13 de septiembre de 2021"; <a Href="span class="0" /> <li>Proyecto de seguridad contra el ciberataque cero-clic-explotado capturado en el medio silvestre", 13 de setiembre de 2021</a >; <b>Defensores de seguridad de los Estados Unidos y México</b> <a><li>Reporte técnico del Proyecto NSOG contra el 31 de agosto de 2017