1 puntos por GN⁺ 2024-03-02 | 1 comentarios | Compartir por WhatsApp
  • WhatsApp viene exigiendo desde 2019 acceso al código del spyware Pegasus de NSO Group, y un tribunal de EE. UU. determinó que debe revelarse información sobre toda la funcionalidad del spyware relacionado, más allá de la capa de instalación.
  • El punto central de la demanda es la afirmación de WhatsApp de que Pegasus vigiló durante dos semanas a 1,400 usuarios de WhatsApp y accedió sin autorización a datos sensibles, incluidos mensajes cifrados.
  • La jueza federal de distrito Phyllis Hamilton sostuvo que solo con la capa de instalación es difícil entender cómo se accede a los datos y se extraen, por lo que incluyó en el alcance de la divulgación también el spyware relacionado de NSO que haya apuntado a servidores de WhatsApp o haya usado WhatsApp.
  • Sin embargo, el tribunal excluyó los detalles de la arquitectura de servidores de NSO y la exigencia de identificar clientes, y también rechazó la solicitud de NSO de obtener comunicaciones posteriores a la demanda entre WhatsApp y Citizen Lab.
  • La divulgación de expertos de ambas partes está prevista para el 30 de agosto de 2024, y el inicio del juicio para el 3 de marzo de 2025, por lo que el alcance real de las capacidades de Pegasus probablemente será una prueba clave para la decisión de fondo.

Decisión del tribunal sobre la divulgación de las capacidades de Pegasus

  • WhatsApp presentó una demanda alegando que Pegasus, de NSO Group, se usó durante dos semanas en 2019 para vigilar a 1,400 usuarios de WhatsApp.
  • WhatsApp sostiene que Pegasus accedió sin autorización a datos sensibles, incluidos mensajes cifrados.
  • En ese momento, la demanda fue considerada una acción legal sin precedentes contra una industria no regulada que vende servicios avanzados de malware a gobiernos de todo el mundo.
  • NSO intentó bloquear todo el proceso de descubrimiento de pruebas alegando varias restricciones de EE. UU. e Israel, pero su solicitud de bloqueo general fue rechazada.

El tribunal consideró que la capa de instalación no era suficiente

  • La jueza federal de distrito Phyllis Hamilton no aceptó el argumento de NSO de que bastaba con entregar información sobre la capa de instalación de Pegasus.
  • El tribunal aceptó la solicitud de WhatsApp y ordenó entregar información sobre “toda la funcionalidad del spyware relacionado”.
  • La decisión se basa en que, solo con la información de la capa de instalación, sería difícil para la parte demandante entender cómo el spyware ejecuta sus funciones de acceso y extracción de datos.
  • La divulgación abarca el spyware relacionado de NSO que haya apuntado a servidores de WhatsApp o haya usado WhatsApp de cualquier manera para acceder a dispositivos objetivo.
    • El período cubre desde un año antes hasta un año después del presunto ataque.

Capacidades de Pegasus alegadas por WhatsApp

  • WhatsApp afirma que Pegasus puede interceptar las comunicaciones que entran y salen de un dispositivo.
    • Los servicios afectados incluyen iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp, entre otros.
  • También sostiene que Pegasus puede personalizarse según el objetivo.
    • Interceptación de comunicaciones
    • Captura de pantallas
    • Filtración del historial del navegador

Información excluida de la divulgación

  • La jueza Hamilton no aceptó todas las solicitudes de descubrimiento de pruebas de WhatsApp.
  • Cierta información sobre la arquitectura de servidores de NSO quedó fuera del alcance de la divulgación.
    • La razón fue que WhatsApp podría obtener esa misma información a partir de los datos sobre toda la funcionalidad del spyware relacionado.
  • NSO no está obligada a identificar a sus clientes.
  • NSO no revela públicamente qué gobiernos compraron su spyware.
  • Según reportó The Guardian, hay informes de que Poland, Saudi Arabia, Rwanda, India, Hungary y United Arab Emirates usaron Pegasus para atacar a disidentes.
  • En 2021, EE. UU. incluyó a NSO en una lista negra, bajo la acusación de haber difundido “herramientas digitales usadas para la represión”.

Rechazada la solicitud relacionada con Citizen Lab

  • En la misma orden, la jueza Hamilton también rechazó la solicitud de NSO de que se revelaran las comunicaciones posteriores a la demanda entre WhatsApp y Citizen Lab.
  • Citizen Lab participó en este caso como testigo tercero y respaldó el argumento de WhatsApp de que clientes de NSO habían usado indebidamente Pegasus contra la sociedad civil.
  • NSO escribió en documentos presentados al tribunal que, si WhatsApp retiraba del expediente el sentido de la afirmación de Citizen Lab de que “Pegasus fue usado contra integrantes de la sociedad civil, y no para investigaciones de terrorismo y delitos graves”, la necesidad de ese descubrimiento de pruebas se reduciría de forma considerable.
  • La jueza Hamilton no aceptó la solicitud de NSO, al considerar difícil ver la relevancia del descubrimiento de pruebas solicitado.

Procedimientos pendientes y reacciones

  • NSO todavía no ha comentado sobre esta orden.
  • Un portavoz de WhatsApp dijo a The Guardian que este fallo es un hito importante en su objetivo de largo plazo de proteger a los usuarios de WhatsApp contra ataques ilegales.
  • El portavoz afirmó que las empresas de spyware y los actores maliciosos deben entender que pueden ser atrapados y que no pueden ignorar la ley.
  • El tribunal tiene previsto recibir la divulgación de expertos de ambas partes el 30 de agosto de 2024.
  • Se espera que el juicio comience el 3 de marzo de 2025.

1 comentarios

 
GN⁺ 2024-03-02
Opiniones en Hacker News
  • Es interesante el enfoque de NSO, que intentó bloquear todo el proceso de exhibición de pruebas alegando “diversas restricciones de Estados Unidos e Israel”, pero fue rechazado.
    Es muy probable que un tribunal estadounidense no le dé demasiada importancia a las normas de Israel, que son restricciones de otro país.
    El gobierno de Estados Unidos puso oficialmente a Pegasus en la lista negra, pero https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., no me sorprendería que algunas agencias de inteligencia estadounidenses todavía lo usen.
    Si fuera así, Pegasus podría pedirle a alguna agencia de inteligencia de EE. UU. que bloquee la demanda con el argumento de que se revelaría información clasificada o se perjudicaría el interés nacional.
    Sería interesante ver si un día, de pronto, “pasa algo” y el caso se desestima misteriosamente.

    • Parece poco probable que una agencia de inteligencia estadounidense lo siga usando oficialmente.
      Sería mucho más fácil simplemente pedirles los resultados a agencias de inteligencia aliadas que usen Pegasus.
      Un método de recolección a distancia, manteniendo cierta separación, es menos riesgoso legalmente.
      Pero eso sería una desventaja para alegar seguridad nacional ante un tribunal estadounidense. Porque quedaría así: “¿Usan este software?” “Oficialmente, no.” “Entonces, ¿con qué fundamento alegan seguridad nacional?”
    • Lo interesante es que NSO invoca protecciones otorgadas a los gobiernos, como si representara al gobierno y actuara en su nombre.
    • Dejando de lado las teorías conspirativas, en realidad no se vería “algo”, sino documentos judiciales presentados bajo confidencialidad.
    • Me sorprendería mucho que una agencia de inteligencia de EE. UU. usara Pegasus. Las sanciones no son ninguna broma, y hay muchas empresas del ecosistema Five Eyes con capacidades similares.
  • Ya pasó mucho tiempo desde las revelaciones de Snowden, y aun lo que vimos entonces era difícil de creer.
    Ni me imagino qué estarán usando ahora las agencias de inteligencia.
    Comparado con lo que esas agencias pueden tener y usar, ¿qué tiene de tan especial Pegasus?

  • No entiendo bien este caso.
    No sé por qué un tribunal de EE. UU. tendría jurisdicción sobre una empresa extranjera israelí de spyware que ya fue puesta en la lista negra por el gobierno estadounidense.
    Y aunque Israel pierda, tampoco entiendo por qué le enviaría a WhatsApp el código fuente del spyware.

    • Porque NSO Group maneja dólares.
      Si no responde, pierde en rebeldía, y el tribunal puede ordenar el embargo de activos que Estados Unidos pueda alcanzar.
      Aunque reciba pagos en shekels en países fuera de Israel, en el proceso de cambio el dólar entra como moneda intermediaria, y ahí está la rendija que aprovecha EE. UU.
    • A esto se le llama aplicación extraterritorial.
      En Francia también hubo un caso absurdo.
      Estados Unidos llevó prácticamente a la quiebra a la enorme empresa francesa Alstom y la compró a precio de remate, y después también intentó tumbar a Airbus.
      En ambos casos, Estados Unidos usó ese derecho que se atribuyó a sí mismo, la aplicación extraterritorial.
      Esta historia está documentada en este documental: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      Antes también se podía ver en YouTube en https://youtu.be/Sa22eu1FWyo, pero parece que ahora está privado. Quizá fue una revelación incómoda.
    • Porque es Estados Unidos.
      FATCA también es posible por la misma razón.
    • No hay mucho que explicar. Estados Unidos tiene tratados recíprocos con sus aliados.
      Es eso que el gobierno siempre llama “orden liberal internacional”.
      Israel firmó un tratado para reconocer y ejecutar sentencias de tribunales estadounidenses, y Estados Unidos firmó un tratado para reconocer y ejecutar sentencias de tribunales israelíes.
      Por eso, si un juez estadounidense firma una orden y se la envía a un juez israelí, el juez israelí la ejecuta, y viceversa.
    • Porque los están demandando en Estados Unidos por actos cometidos en Estados Unidos. No es algo tan difícil ni especial.
      Claro que podrían ignorar la demanda, pero entonces a los involucrados les convendría no volver a entrar jamás a Estados Unidos.
      Para empezar, su modo de operar parece tener un carácter bastante delictivo, así que hasta les recomendaría a todos los empleados y exempleados evitar entrar a Estados Unidos.
  • Me pregunto si una de las otras plataformas mencionadas es Signal.

    • Si el dispositivo está rooteado, se pueden extraer datos de cualquier app, así que parece que mencionan todas las plataformas por marketing.
      Eso no significa que la vulnerabilidad estuviera en esa app, ni que la app tuviera la culpa.
      Al final entiendo esto como un problema de la plataforma, en especial iOS y Apple, y de los desarrolladores y brokers de exploits.
      Por eso Apple los detesta.
      Para bien o para mal, presionar a Apple puede ser en general algo bueno para el resto de los usuarios.
      A la inversa, también puede verse como que Apple debería atender mejor estos problemas y pagar recompensas más altas a los investigadores de seguridad.
      Aunque la situación es mejor que hace 20 años, probablemente siga siendo más rentable vender exploits a estos actores turbios que esperar que una megacorporación pague migajas por un hallazgo.
  • Como referencia, existen https://grapheneos.org/ y https://signal.org/.

    • Creo que esto es salirse del tema.
      Si un spyware obtuvo acceso de nivel ring0 en el dispositivo, las propiedades de seguridad de una app como Signal significan muy poco.
      Porque el spyware puede acceder con muchísima facilidad.
  • Israel no va a permitir la exportación del código fuente.

    • Ese país es, en la práctica, un Estado canalla, pero por alguna razón siempre se lo trata con cuidado.
  • Aunque Pegasus pierda el caso, no entiendo por qué tendría que enviarle el código fuente real a WhatsApp.
    ¿No podrían simplemente mandar cualquier basura? ¿Me estoy perdiendo algo?

    • Te estás perdiendo el tribunal y su autoridad legal.
  • No entiendo por qué NSO Group, y más aún Israel, no han sido sancionados por este spyware.
    Esta empresa es una compañía peligrosa que vende herramientas fáciles de abusar a los peores enemigos antidemocráticos de Occidente.

    • NSO ya fue sancionada: https://www.state.gov/the-united-states-adds-foreign-compani...
    • Es por la misma razón por la que no se redujo la ayuda militar de 10 mil millones de dólares, pese a que actuaron en contra de numerosos intereses y valores de Estados Unidos.
      Es por política.
    • NSO Group ya fue sancionada: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • Desde hace mucho, Israel ha servido como canal alternativo para entregar armas a países que, según los estándares de los “valores occidentales”, son terribles, pero que se alinean con los intereses de las empresas estadounidenses.
      Guinea Ecuatorial fue un ejemplo de eso, relacionado con los contratos entre el dictador Obiang y ExxonMobil.
      Steve Coll escribió esto en "Private Empire: ExxonMobil and American Power" (2012):

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      Azerbaiyán es similar, porque la venta de armas estadounidenses estaba prohibida por problemas de represión de derechos humanos.
      Un cable del Departamento de Estado de EE. UU. de 2009 publicado en Wikileaks decía que “a través de sus estrechos vínculos con Israel, Azerbaiyán obtiene acceso a sistemas de armas de alta calidad a un nivel que no podría conseguir de Estados Unidos y Europa debido a varias restricciones legales”.
      Cuando los gobiernos dictatoriales canalizan dinero del petróleo hacia el sistema financiero occidental, Estados Unidos hace la vista gorda ante cosas como que Arabia Saudita y Emiratos Árabes Unidos usen Pegasus para reprimir a activistas prodemocracia.
      Si no, llega la hora de las sanciones y el cambio de régimen.

    • Poniéndome el sombrero conspiranoico, parece que hay un interés profundo en que no sea un competidor, sino un socio fuerte, quien venda estas cosas.
      Es pésimo para los países objetivo, pero beneficia a Israel y a las agencias de inteligencia estadounidenses.
  • Por eso no quiero trabajar en ciberseguridad.
    Porque hay que tratar con gente peligrosa.

    • Lo mismo pasa con el trabajo policial, y en el ejército es aún peor.
      Además, la ciberseguridad abarca un campo muy amplio.
      Muchos roles se parecen más a capacitar al personal en principios y procedimientos de seguridad e implementar clasificación de datos.
      No todo el mundo se ocupa directamente de ataques; la mayoría es trabajo preventivo.
      En nuestra empresa, entre quienes técnicamente trabajan en ciberseguridad, probablemente menos del 20% se ocupa directamente de ataques. Aunque también influye que tenemos nuestro SOC tercerizado.