Esta semana la empresa de tecnología israelí, NSO Group confirmó que los servicios de su "spyware Pegasus" han sido contratado por al menos cinco países europeos. Esto ha generado que la compañía esté en el ojo del huracán y por el momento se está llevando a cabo una investigación de parte de la Unión Europea sobre el impacto que ha ocasionado el software.
El consejero general y director de cumplimiento de la empresa, Chaim Gelfand aseguró que la empresa “cometió errores” y, además, indicó que se debe imponer una norma internacional para regular el uso gubernamental del software espía.
"Estamos tratando de hacer lo correcto y eso es más que otras empresas que trabajan en el sector", aseguró Gelfand.
Pegasus es vendido a diversos a gobiernos y entes gubernamentales, entre ellos la Interpol y el FBI. Lo que hace este software tan popular ante estas organizaciones es que, la empresa compra las vulnerabilidades de seguridad conocidas como "día cero" a los hackers para crear su software.
Hace aproximadamente dos meses atrás se reportó que Pegasus había hackeado algunos celulares iPhone pertenecientes a miembros de la Unión Europea y fue gracias a las alertas emitidas por Apple que pudieron detectar el ataque. Debido a ello salió a la luz que las víctimas del software espía fueron políticos, diplomáticos y miembros de la sociedad civil.
La comisión de leyes se comprometió en el mes de marzo a estudiar si el programa fue usado con fines políticos para espiar a periodistas, políticos y abogados.
Por otro lado, a principios de febrero, el Supervisor Europeo de Protección de Datos (SEPD) pidió que se prohibiera el desarrollo y el uso de programas espía comerciales en la región, afirmando que el "nivel de intrusión sin precedentes" de esta tecnología podría poner en peligro el derecho a la intimidad de los usuarios.
Pegasus y sus homólogos como FinFisher y Cytrox, están diseñados para instalarse sigilosamente en un teléfono inteligente aprovechando vulnerabilidades desconocidas en el software conocidas como día-cero para hacerse con el control remoto del dispositivo y recoger datos sensibles.
Las infecciones se consiguen normalmente mediante ataques de un solo clic en los que se engaña a los objetivos para que hagan clic en un enlace enviado a través de mensajes de iMessage o WhatsApp, o bien utilizando exploits de cero clic que no requieren ninguna interacción.
Una vez instalado, el programa espía es compatible con una amplia gama de funciones que permiten al operador rastrear el paradero de la víctima, espiar las conversaciones y extraer mensajes incluso de aplicaciones cifradas como WhatsApp.
NSO Group, fundada en 2010, ha mantenido durante mucho tiempo que sólo suministra el software a clientes gubernamentales para lo que dice que es la lucha contra el terrorismo, el narcotráfico y la delincuencia grave, pero las pruebas han demostrado el uso indebido generalizado del software para vigilar a opositores políticos, críticos, activistas, periodistas y abogados en todo el mundo.
"El uso de Pegasus no requiere la cooperación con las empresas de telecomunicaciones y puede superar fácilmente la encriptación, el SSL, los protocolos propietarios y cualquier obstáculo introducido por las complejas comunicaciones en todo el mundo", señaló el Consejo de Europa en un informe provisional.
"Proporciona un acceso remoto, encubierto e ilimitado a los dispositivos móviles del objetivo. Este modus operandi del Pegasus revela claramente su capacidad para ser utilizado tanto para la vigilancia selectiva como para la indiscriminada."
Es cuestión de tiempo para poder conocer el "veredicto" de la Unión Europea ante estos ataques y si además, compartirán cuales fueron los países implicados en este proceso.