Pegasus

Lectura en audio de esta entrada.

Perspectivas generales

Pegasus es la principal plataforma comercial de software espía móvil documentada en el registro publicado posterior a 2010. Las características operativas de la plataforma la combinación de la capacidad de instalación de cero clics contra dispositivos objetivo iOS y Android, el alcance operativo en el contenido de mensajería encriptada y base de datos de contactos del dispositivo objetivo, y el patrón institucional de implementación de clientes estatales bajo licencia de exportación regulada han convertido a la plataforma en el producto de spyware comercial definitorio de los años 2010 y 2020.

La evaluación posterior establecida de la posición institucional de NSO Group ha producido el cuerpo de literatura académica y política, registro de litigios civiles y propuestas de reforma institucional que constituyen el principal compromiso posterior a 2018 con la regulación de spyware comercial. La pregunta institucional sin resolver si el patrón operativo de la industria de spywares comerciales puede ser restringido a través de regulaciones de control de exportaciones, rendición de cuentas de litigio civil o mecanismos institucionales alternativos sigue siendo un hilo continuo en el entorno posterior a 2021.

La fundación y el contexto de la industria israelí

NSO Group Technologies Ltd. fue fundada en 2010 en Herzliya, Israel por Niv Karmi (un ex oficial de las Fuerzas de Defensa de Israel signales-inteligencia), Shalev Hulio (un antiguo oficial de IDF, que sirvió en Búsqueda y Rescate), y Omri Lavie (un empresario de tecnología). El patrón de la cohorte fundadora Veteranos de inteligencia de señales israelíes que hacen la transición a la ciberseguridad comercial después del servicio de las FDI fue el patrón más amplio de la industria de spyware comercial israelí del período posterior a 2005, que también produjo Candiru, Cellebrite, Quadream, Paragon Solutions y empresas adyacentes.

El contexto institucional de la aparición de NSO Group fue la maduración posterior a 2008 de la explotación de plataformas móviles como una disciplina de ciberseguridad. La introducción en 2007 del Apple iPhone y la posterior expansión de la plataforma móvil de consumo a lo largo de 2008-2010 habían producido un nuevo entorno operativo de destino dispositivos celulares que consolidaban la comunicación, la identificación, la ubicación y los datos personales en una sola plataforma en red para la cual las herramientas de explotación comercial tenían una existencia previa limitada.

Evolución del producto

La ruta documentada de desarrollo institucional a lo largo de 2011-2016 produjo versiones sucesivas de Pegasus. La primera versión desplegada comercialmente documentada en la divulgación de Citizen Lab de 2016 de la orientación operativa del activista de derechos humanos de los Emiratos Árabes Unidos Ahmed Mansoor fue la plataforma Pegasos 1.x dirigida a iOS con entrega de un clic a través de la ingeniería social de mensajes SMS.

El desarrollo a lo largo de 2017 2019 produjo la capacidad de entrega de cero clics implementaciones iniciales a través de las cadenas de explotación de iMessage y FaceTime, la posterior expansión mediante WhatsApp (el vector de mayo de 2019 en el corazón del litigio civil WhatsApp Inc. v. NSO Group), y la cadena de exploración de renderización de FORCEDENTRY IMessage documentada en la divulgación de Citizen Lab Apple de septiembre de 2021. [1]

El marco israelí de licencias de exportación

El marco regulatorio israelí para las operaciones de exportación de NSO Group es la Ley de Control de Exportaciones de Defensa de 2007 el marco estatutario posterior a 2007 en virtud del cual los productos de ciberseguridad de doble uso se regulan como exportaciones de defensa que requieren la licencia del Ministerio de Depresión israelí de exportar a clientes gubernamentales específicos. El MOD revisa cada venta del Grupo NSO a nivel de país-cliente y aprueba o rechaza la exportación propuesta.

El patrón operativo documentado es que el Ministerio de Defensa israelí ha aprobado las exportaciones de Pegasus a aproximadamente cincuenta clientes de países a lo largo del período posterior a 2011; rechazó exportaciones a ciertos clientes (los ejemplos citados públicamente son Irán, la República Popular de China y la Federación de Rusia); y volvió a autorizar exportaciones después de la divulgación adversa de registros públicos (la revisión de licencias relacionada con Khashoggi posterior a 2018 y la revisión relacionada a la revelación de "Historias Prohibidas" posterior a 2021).

Vectores de entrega

El vector de entrega de cero clics es la característica operativa definidora de Pegasus 2.x y versiones posteriores.El vector no requiere interacción con el usuario objetivo el despliegue operativo del implante se desencadena mediante la recepción de un mensaje especialmente diseñado en el dispositivo objetivo.Las variantes documentadas en el período posterior a 2018 incluyen la entrega de llamadas de voz de WhatsApp (el vector en mayo de 2019 que produjo la demanda de WhatsApp Inc. contra NSO Group); iMessage entrega de renderizado de archivos adjuntos (la cadena FORCEDENTRY documentada en septiembre de 2021, explotando un componente de análisis de imágenes de iOS CoreGraphics); y vectores de vulnerabilidad de plataforma adyacentes.

El vector de entrega con un solo clic operativo a lo largo de 20112016 y en uso operativo continuo como un respaldo contra objetivos resistentes a cero clics requiere la interacción del usuario objetivo con un enlace entregado.

Capacidad operativa en el dispositivo de destino

La capacidad operativa documentada en los dispositivos objetivo instalados con Pegasus incluye la extracción de contenido de SMS (archivo completo de historial de mensajes); extracción en la lista de contactos; extracción del histórico de llamadas; seguimiento de geolocalización en tiempo real; activación de micrófono en caliente con captura de audio; activación de la cámara con captación de fotografía y video; acceso al contenido de mensajería cifrada (Signal, WhatsApp, Telegram, Wickr, iMessage) a través de la interceptación del estado de punto final no cifrado en el dispositivo objetivo; acceso a contenido de aplicaciones de correo electrónico; extración de contraseñas y credenciales; historial y extracción y cookies de navegadores web; y capacidad operacional adyacente en el panorama más amplio de la aplicación del dispositivo objetivo.

Persistencia y exfiltración

El patrón institucional de persistencia de Pegasus en el dispositivo objetivo es limitado en lugar de indefinido. El implante está diseñado para un despliegue operativo finito en vez de una persistencia indefinida. El modelo documentado es que la implementación operativa se inicia para un propósito institucional específico; la persistencia en el aparato objetivo se extiende a lo largo de días a semanas en lugar del año; y el implante se auto-borra al completar el requisito operativo. La justificación institucional para el diseño de persistencia limitada es la seguridad operativa: la huella forense del implante en el equipo objetivo se reduce por la duración limitada del despliego. Exfiltración / [Lexicon / Exfiltration] de los datos recopilados ocurre a través del canal de comando y control operativo a una pila de infraestructura controlada por el cliente de NSO.

Despliegues documentados

La revelación del 24 de agosto de 2016 de Citizen Lab sobre el ataque al activista de derechos humanos de los Emiratos Árabes Unidos, Ahmed Mansoor, fue el primer despliegue documentado de Pegasus en el registro público.

El despliegue documentado de Pegasus en México a lo largo de los períodos presidenciales de Calderón, Peña Nieto y López Obrador ha tenido como objetivo a aproximadamente cincuenta periodistas, activistas de la sociedad civil, investigadores anticorrupción y figuras de la oposición política. Los episodios más documentados han incluido la revelación de Citizen Lab de 2017 de la orientación de los periodistas Carmen Aristegui, Carlos Loret de Mola y la cohorte periodística más amplia afiliada a Aristtegui; la serie de 2017 Reckless Exploit de Citizens Lab que revelaba a los familiares de los 43 estudiantes desaparecidos de Ayotzinapa; y revelaciones posteriores en el período posterior a 2018.

El despliegue documentado de Pegasus contra miembros del círculo institucional del periodista saudí Jamal Khashoggi, en el período anterior a su asesinato el 2 de octubre de 2018 en el consulado saudí en Estambul, ha sido objeto de comentarios académicos y políticos posteriores. Los objetivos documentados incluyeron al cónyuge del periodista Saudí Omar Abdulaziz (un asociado cercano de Khashogji); el ataque fue llevado a cabo por el NSO-cliente del gobierno saudí.

El despliegue documentado de Pegasus contra miembros del movimiento de independencia catalán en el período posterior a 2017 fue objeto de la divulgación de Citizen Lab CatalanGate de abril de 2022, que documentó el ataque contra aproximadamente sesenta y cinco figuras políticas y de la sociedad civil catalanas, incluidos los miembros del Parlamento Europeo Diana Riba y Jordi Solé; los presidentes catalanes Pere Aragonès y Quim Torra; y casos adicionales.

Confirmado Periodistas húngaros y figuras de la sociedad civil (201821). El despliegue documentado de Pegasus en Hungría durante el período posterior a 2018 bajo el gobierno de Orbán se ha dirigido a periodistas de Direkt36 y Telex.hu, abogados de la sociedade civil, investigadores anticorrupción y cohortes institucionales adyacentes.

Las figuras de la oposición india y los periodistas (2019 presente). La revelación de 2021 Forbidden Stories documentó el despliegue de Pegasus en la India contra figuras políticas de oposición (Rahul Gandhi), periodistas (Paranjoy Guha Thakurta), funcionarios de la Comisión Electoral y miembros de la cohorte más amplia de la sociedad civil india.

La posición institucional de NSO Group sobre estas implementaciones documentadas ha sido el no reconocimiento de la confidencialidad de los clientes combinado con la posición de que las implementaciones relacionadas con el abuso por parte de los gobiernos clientes han sido responsabilidad de los Gobiernos clientes en lugar de del Grupo NSO. La posterior reforma institucional del grupo NSO en el período posterior a 2018 ha incluido el establecimiento de un Comité interno de Cumplimiento de Derechos Humanos y la terminación de una serie de relaciones país-cliente en el periodo posterior a 2021. [1] [2] [3]

Designación de la lista de entidades de los Estados Unidos

La designación del 3 de noviembre de 2021 de NSO Group en la Lista de Entidades del Departamento de Comercio de los Estados Unidos restringió la capacidad institucional de las transacciones relacionadas con la exportación de los EE.UU. que involucran productos del Grupo NSO.[1]

Contenciosos civiles

El principal litigio civil contra el Grupo NSO en el período posterior a 2019 comprende tres pistas principales. WhatsApp Inc. contra NSO Group (presentado en octubre de 2019, en curso a partir de 2026) alcanzó un veredicto del jurado federal de mayo de 2025 de $ 168 millones contra el grupo NSO bajo la Ley de Fraude y Abuso de Computadoras de 1986. Apple Inc. vs. NSO Grou (presentada en noviembre de 2021, desestimada en septiembre de 2024 por razones jurisdiccionales después de la preocupación institucional de Apple de que el litigio continuado expondría la metodología de investigación de seguridad de Apple) cerrado sin juicio.

Propuestas de reforma institucional

Las propuestas de reforma institucional posteriores a 2021 para la industria de software espía comercial han incluido la Orden Ejecutiva 14093 de Biden de marzo de 2023 que prohíbe el uso operativo del gobierno de los Estados Unidos de spyware comercial que se ha desplegado contra personal del gobierno estadounidense o contra objetivos de la sociedad civil; la Declaración Conjunta sobre los esfuerzos para contrarrestar la proliferación y el uso indebido de Spyware Comercial, emitida el 30 de marzo 2023 en la segunda Cumbre por la Democracia; el marco diplomático del Proceso Pall Mall lanzado en febrero de 2024; y el posterior compromiso institucional multilateral. [1]

Fuentes y lecturas adicionales

1. Bill Marczak y John Scott-Railton, El disidente de un millón de dólares: el iPhone Zero-Days del Grupo NSO utilizado contra un defensor de los derechos humanos de los Emiratos Árabes Unidos, Citizen Lab Research Report 78, 24 de agosto de 2016 el primer despliegue documentado de Pegasus.
2. forbiddenstories.org/case/the-pegasus-project/*vc v/ps v/a> Proyecto Pegasos, Forbidden Stories y Amnistía Internacional, comenzando el 18 de julio de 2021 la colaboración de periodismo de investigación sobre el registro integral de PEGAS en el Tribunal de Justicia de los Estados Unidos 04-08 de octubre de 2019 03-07 de octubre del Grupo de Investigación del Distrito Norte de California, Inc.