Amazon ‘corta el grifo’ a NSO Group tras el escándalo del software espía Pegasus

Amazon ha desactivado las cuentas de computación en la nube asociadas con NSO Group ante las graves denuncias de un grupo de organizaciones y medios que han destapado como su software espía Pegasus se está usando ilegalmente contra periodistas, organizaciones, disidentes, políticos o académicos.

El alcance del ‘Proyecto Pegasus‘ no ha hecho más que comenzar y ya tiene consecuencias. Se trata de un estudio realizado en colaboración de más de 80 periodistas de 17 organizaciones de grandes medios en 10 países coordinada por Forbidden Stories, una organización sin fines de lucro con sede en París, que con el apoyo técnico de Amnistía Internacional ha realizado pruebas forenses de vanguardia para identificar rastros del software espía y destapar un funcionamiento alejado de su objetivo original: «contra el terrorismo y la gran delincuencia».

Según la investigación, cuyos resultados se irán publicando en medios como The Guardian, Le Monde, Süddeutsche Zeitung y The Washington Post, «ponemos al descubierto cómo el software espía de NSO es un arma preferida por los gobiernos represivos que buscan silenciar a los periodistas, atacar a los activistas y aplastar la disidencia, poniendo en peligro innumerables vidas”, ha comentado Agnès Callamard, secretaria general de Amnistía Internacional.

La investigación ha identificado 50.000 objetivos, incluyendo al menos 180 periodistas en 20 países que fueron seleccionados para posibles ataques con software espía de NSO entre 2016 y junio de 2021. A partir de los datos filtrados y sus investigaciones, Forbidden Stories y sus socios de medios identificaron clientes potenciales de NSO en 11 países: Azerbaiyán, Bahrein, Hungría, India, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita, Togo y los Emiratos Árabes Unidos.

Amazon cierra la infraestructura de NSO

«Cuando nos enteramos de esta actividad, actuamos rápidamente para cerrar la infraestructura y las cuentas relevantes», dijo un portavoz de AWS a Motherboard en un correo electrónico. Los investigadores forenses de Citizen Lab, que analizaron el software espía en la Universidad de Toronto, confirmaron de forma independiente el descubrimiento de Amnistía Internacional de que las herramientas de piratería estaban operando en Amazon Web Services.

En concreto en CloudFront, un servicio de red de contenido rápido (CDN) que entrega de forma segura datos, vídeos, aplicaciones y APIs a clientes de todo el mundo con baja latencia y altas velocidades de transferencia. Hasta aquí todo correcto. El problema que denuncia Amnistía es que CloudFront se utilizó en implementaciones de malware de NSO para ciberespionaje contra objetivos como un abogado francés de derechos humanos. Y muchos otros…

Pegasus, la solución más conocida de NSO Group, es una poderosa herramienta de acceso remoto (RAT) con capacidades de spyware y capaz de actuar sobre apps de mensajería, correo electrónico y navegadores, con especial incidencia en sus versiones para Android y también iPhones.

Una vez instalado en el móvil de la víctima permite al atacante tener acceso completo a los mensajes, correos electrónicos, medios, micrófono, cámara, llamadas y contactos del dispositivo. También ha sido polémico por el uso de exploits para introducirse, en productos de Microsoft o Facebook como WhatsApp. Obviamente, el uso de servicios en la nube como los de AWS protege a NSO Group (y sus clientes) de algunas técnicas de escaneo de Internet.

Es natural que el líder en computación Cloud no quiera verse mezclado en un escándalo que ha dado la vuelta al mundo y que debe tener consecuencias. De lo que se ha anunciado hasta ahora, lo más impactante entre lo descubierto son evidencias de que miembros de la familia del periodista saudí Jamal Khashoggi fueron atacados con el software Pegasus antes y después de su asesinato en Estambul el 2 de octubre de 2018 por agentes saudíes.

Pegasus, un viejo y lamentable conocido

La controversia con este software espía viene de lejos y ha sido denunciada en numerosas ocasiones por los grupos de derechos.  NSO Group, valorada en 1.000 millones de dólares, dice ser una empresa especializada en el desarrollo de «soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia». El problema son otros usos tan ilegales como inmorales.

“Estas revelaciones destruirán cualquier afirmación de NSO de que tales ataques son raros y se deben al uso deshonesto de su tecnología. Si bien la empresa afirma que su software espía solo se utiliza para investigaciones legítimas delictivas y terroristas, está claro que su tecnología facilita el abuso sistémico. Ellos pintan un cuadro de legitimidad, mientras se benefician de las violaciones generalizadas de los derechos humanos«, aseguran.

NSO Group ha desmentido la información relativa al Proyecto Pegasus . En una respuesta escrita, NSO Group dijo «negar firmemente … afirmaciones falsas». Según la firma, los informes de esta investigación se han basado en «suposiciones erróneas» y «teorías no corroboradas» y reiteró que la empresa tenía la «misión de salvar vidas».

Pocos pueden creerlo. Hay pruebas documentadas de los otros usos y el ‘Proyecto Pegasus’ aporta las definitivas para concluir como se ha utilizado contra periodistas, organizaciones, disidentes, políticos o académicos. Todo apunta a que NSO Group ha vendido sus soluciones a todo aquel que pueda pagarlo, aunque a través de su software se hayan violado sistemáticamente derechos a personas u organizaciones que nada tienen que ver con el ‘terrorismo’ y la ‘gran delincuencia’.

Según Amnistía Internacional, “claramente, el uso de Pegasus plantea preguntas importantes sobre la falta total de regulación que ha creado un salvaje oeste de ataques abusivos y desenfrenados contra activistas y periodistas. Hasta que esta empresa y la industria en su conjunto puedan demostrar que es capaz de respetar los derechos humanos, debe haber una moratoria inmediata sobre la exportación, venta, transferencia y uso de tecnología de vigilancia«.

Los responsables de la investigación piden a NSO Group como primer paso, apagar inmediatamente los sistemas de los clientes cuando exista evidencia creíble de mal uso. El resto de empresas que dotan de infraestructura a estas actividades también deben ‘cortar el grifo’ si no quieren ser cómplices de unas actividades ilegales que se realizan bajo el cada vez menos socorrido paraguas de la ‘seguridad’.