- WhatsApp viene exigiendo desde 2019 acceso al código del spyware Pegasus de NSO Group, y un tribunal de EE. UU. determinó que debe revelarse información sobre toda la funcionalidad del spyware relacionado, más allá de la capa de instalación.
- El punto central de la demanda es la afirmación de WhatsApp de que Pegasus vigiló durante dos semanas a 1,400 usuarios de WhatsApp y accedió sin autorización a datos sensibles, incluidos mensajes cifrados.
- La jueza federal de distrito Phyllis Hamilton sostuvo que solo con la capa de instalación es difícil entender cómo se accede a los datos y se extraen, por lo que incluyó en el alcance de la divulgación también el spyware relacionado de NSO que haya apuntado a servidores de WhatsApp o haya usado WhatsApp.
- Sin embargo, el tribunal excluyó los detalles de la arquitectura de servidores de NSO y la exigencia de identificar clientes, y también rechazó la solicitud de NSO de obtener comunicaciones posteriores a la demanda entre WhatsApp y Citizen Lab.
- La divulgación de expertos de ambas partes está prevista para el 30 de agosto de 2024, y el inicio del juicio para el 3 de marzo de 2025, por lo que el alcance real de las capacidades de Pegasus probablemente será una prueba clave para la decisión de fondo.
Decisión del tribunal sobre la divulgación de las capacidades de Pegasus
- WhatsApp presentó una demanda alegando que Pegasus, de NSO Group, se usó durante dos semanas en 2019 para vigilar a 1,400 usuarios de WhatsApp.
- WhatsApp sostiene que Pegasus accedió sin autorización a datos sensibles, incluidos mensajes cifrados.
- En ese momento, la demanda fue considerada una acción legal sin precedentes contra una industria no regulada que vende servicios avanzados de malware a gobiernos de todo el mundo.
- NSO intentó bloquear todo el proceso de descubrimiento de pruebas alegando varias restricciones de EE. UU. e Israel, pero su solicitud de bloqueo general fue rechazada.
El tribunal consideró que la capa de instalación no era suficiente
- La jueza federal de distrito Phyllis Hamilton no aceptó el argumento de NSO de que bastaba con entregar información sobre la capa de instalación de Pegasus.
- El tribunal aceptó la solicitud de WhatsApp y ordenó entregar información sobre “toda la funcionalidad del spyware relacionado”.
- La decisión se basa en que, solo con la información de la capa de instalación, sería difícil para la parte demandante entender cómo el spyware ejecuta sus funciones de acceso y extracción de datos.
- La divulgación abarca el spyware relacionado de NSO que haya apuntado a servidores de WhatsApp o haya usado WhatsApp de cualquier manera para acceder a dispositivos objetivo.
- El período cubre desde un año antes hasta un año después del presunto ataque.
Capacidades de Pegasus alegadas por WhatsApp
- WhatsApp afirma que Pegasus puede interceptar las comunicaciones que entran y salen de un dispositivo.
- Los servicios afectados incluyen iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp, entre otros.
- También sostiene que Pegasus puede personalizarse según el objetivo.
- Interceptación de comunicaciones
- Captura de pantallas
- Filtración del historial del navegador
Información excluida de la divulgación
- La jueza Hamilton no aceptó todas las solicitudes de descubrimiento de pruebas de WhatsApp.
- Cierta información sobre la arquitectura de servidores de NSO quedó fuera del alcance de la divulgación.
- La razón fue que WhatsApp podría obtener esa misma información a partir de los datos sobre toda la funcionalidad del spyware relacionado.
- NSO no está obligada a identificar a sus clientes.
- NSO no revela públicamente qué gobiernos compraron su spyware.
- Según reportó The Guardian, hay informes de que Poland, Saudi Arabia, Rwanda, India, Hungary y United Arab Emirates usaron Pegasus para atacar a disidentes.
- En 2021, EE. UU. incluyó a NSO en una lista negra, bajo la acusación de haber difundido “herramientas digitales usadas para la represión”.
Rechazada la solicitud relacionada con Citizen Lab
- En la misma orden, la jueza Hamilton también rechazó la solicitud de NSO de que se revelaran las comunicaciones posteriores a la demanda entre WhatsApp y Citizen Lab.
- Citizen Lab participó en este caso como testigo tercero y respaldó el argumento de WhatsApp de que clientes de NSO habían usado indebidamente Pegasus contra la sociedad civil.
- NSO escribió en documentos presentados al tribunal que, si WhatsApp retiraba del expediente el sentido de la afirmación de Citizen Lab de que “Pegasus fue usado contra integrantes de la sociedad civil, y no para investigaciones de terrorismo y delitos graves”, la necesidad de ese descubrimiento de pruebas se reduciría de forma considerable.
- La jueza Hamilton no aceptó la solicitud de NSO, al considerar difícil ver la relevancia del descubrimiento de pruebas solicitado.
Procedimientos pendientes y reacciones
- NSO todavía no ha comentado sobre esta orden.
- Un portavoz de WhatsApp dijo a The Guardian que este fallo es un hito importante en su objetivo de largo plazo de proteger a los usuarios de WhatsApp contra ataques ilegales.
- El portavoz afirmó que las empresas de spyware y los actores maliciosos deben entender que pueden ser atrapados y que no pueden ignorar la ley.
- El tribunal tiene previsto recibir la divulgación de expertos de ambas partes el 30 de agosto de 2024.
- Se espera que el juicio comience el 3 de marzo de 2025.
1 comentarios
Opiniones en Hacker News
Es interesante el enfoque de NSO, que intentó bloquear todo el proceso de exhibición de pruebas alegando “diversas restricciones de Estados Unidos e Israel”, pero fue rechazado.
Es muy probable que un tribunal estadounidense no le dé demasiada importancia a las normas de Israel, que son restricciones de otro país.
El gobierno de Estados Unidos puso oficialmente a Pegasus en la lista negra, pero https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., no me sorprendería que algunas agencias de inteligencia estadounidenses todavía lo usen.
Si fuera así, Pegasus podría pedirle a alguna agencia de inteligencia de EE. UU. que bloquee la demanda con el argumento de que se revelaría información clasificada o se perjudicaría el interés nacional.
Sería interesante ver si un día, de pronto, “pasa algo” y el caso se desestima misteriosamente.
Sería mucho más fácil simplemente pedirles los resultados a agencias de inteligencia aliadas que usen Pegasus.
Un método de recolección a distancia, manteniendo cierta separación, es menos riesgoso legalmente.
Pero eso sería una desventaja para alegar seguridad nacional ante un tribunal estadounidense. Porque quedaría así: “¿Usan este software?” “Oficialmente, no.” “Entonces, ¿con qué fundamento alegan seguridad nacional?”
Ya pasó mucho tiempo desde las revelaciones de Snowden, y aun lo que vimos entonces era difícil de creer.
Ni me imagino qué estarán usando ahora las agencias de inteligencia.
Comparado con lo que esas agencias pueden tener y usar, ¿qué tiene de tan especial Pegasus?
No entiendo bien este caso.
No sé por qué un tribunal de EE. UU. tendría jurisdicción sobre una empresa extranjera israelí de spyware que ya fue puesta en la lista negra por el gobierno estadounidense.
Y aunque Israel pierda, tampoco entiendo por qué le enviaría a WhatsApp el código fuente del spyware.
Si no responde, pierde en rebeldía, y el tribunal puede ordenar el embargo de activos que Estados Unidos pueda alcanzar.
Aunque reciba pagos en shekels en países fuera de Israel, en el proceso de cambio el dólar entra como moneda intermediaria, y ahí está la rendija que aprovecha EE. UU.
En Francia también hubo un caso absurdo.
Estados Unidos llevó prácticamente a la quiebra a la enorme empresa francesa Alstom y la compró a precio de remate, y después también intentó tumbar a Airbus.
En ambos casos, Estados Unidos usó ese derecho que se atribuyó a sí mismo, la aplicación extraterritorial.
Esta historia está documentada en este documental: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
Antes también se podía ver en YouTube en https://youtu.be/Sa22eu1FWyo, pero parece que ahora está privado. Quizá fue una revelación incómoda.
FATCA también es posible por la misma razón.
Es eso que el gobierno siempre llama “orden liberal internacional”.
Israel firmó un tratado para reconocer y ejecutar sentencias de tribunales estadounidenses, y Estados Unidos firmó un tratado para reconocer y ejecutar sentencias de tribunales israelíes.
Por eso, si un juez estadounidense firma una orden y se la envía a un juez israelí, el juez israelí la ejecuta, y viceversa.
Claro que podrían ignorar la demanda, pero entonces a los involucrados les convendría no volver a entrar jamás a Estados Unidos.
Para empezar, su modo de operar parece tener un carácter bastante delictivo, así que hasta les recomendaría a todos los empleados y exempleados evitar entrar a Estados Unidos.
Me pregunto si una de las otras plataformas mencionadas es Signal.
Eso no significa que la vulnerabilidad estuviera en esa app, ni que la app tuviera la culpa.
Al final entiendo esto como un problema de la plataforma, en especial iOS y Apple, y de los desarrolladores y brokers de exploits.
Por eso Apple los detesta.
Para bien o para mal, presionar a Apple puede ser en general algo bueno para el resto de los usuarios.
A la inversa, también puede verse como que Apple debería atender mejor estos problemas y pagar recompensas más altas a los investigadores de seguridad.
Aunque la situación es mejor que hace 20 años, probablemente siga siendo más rentable vender exploits a estos actores turbios que esperar que una megacorporación pague migajas por un hallazgo.
Como referencia, existen https://grapheneos.org/ y https://signal.org/.
Si un spyware obtuvo acceso de nivel ring0 en el dispositivo, las propiedades de seguridad de una app como Signal significan muy poco.
Porque el spyware puede acceder con muchísima facilidad.
Israel no va a permitir la exportación del código fuente.
Aunque Pegasus pierda el caso, no entiendo por qué tendría que enviarle el código fuente real a WhatsApp.
¿No podrían simplemente mandar cualquier basura? ¿Me estoy perdiendo algo?
No entiendo por qué NSO Group, y más aún Israel, no han sido sancionados por este spyware.
Esta empresa es una compañía peligrosa que vende herramientas fáciles de abusar a los peores enemigos antidemocráticos de Occidente.
Es por política.
Guinea Ecuatorial fue un ejemplo de eso, relacionado con los contratos entre el dictador Obiang y ExxonMobil.
Steve Coll escribió esto en "Private Empire: ExxonMobil and American Power" (2012):
Es pésimo para los países objetivo, pero beneficia a Israel y a las agencias de inteligencia estadounidenses.
Por eso no quiero trabajar en ciberseguridad.
Porque hay que tratar con gente peligrosa.
Además, la ciberseguridad abarca un campo muy amplio.
Muchos roles se parecen más a capacitar al personal en principios y procedimientos de seguridad e implementar clasificación de datos.
No todo el mundo se ocupa directamente de ataques; la mayoría es trabajo preventivo.
En nuestra empresa, entre quienes técnicamente trabajan en ciberseguridad, probablemente menos del 20% se ocupa directamente de ataques. Aunque también influye que tenemos nuestro SOC tercerizado.