Demandas y cooperaciones: lecciones de Pegasus

El martes, Apple anunció que presentó una demanda en contra de NSO Group, creadora del software espía Pegasus, “para exigir responsabilidades por vigilancia y ataque selectivo a usuarios de dispositivos Apple”. Pero más allá de la acción legal, el anuncio de Apple también tiene más matices que nos dan una pista sobre un cambio en las políticas de cooperación en materia de seguridad tecnológica.

En un comunicado de prensa, la compañía aseguró que destinará 10 millones de dólares y las posibles indemnizaciones derivadas de la demanda a investigación y defensa frente a la cibervigilancia. Además, dijo, “facilitará a los excelentes investigadores de Citizen Lab servicios de asistencia, inteligencia frente a amenazas e ingeniería para contribuir a su misión de investigación independiente por el bien público y, según corresponda, ofrecerá el mismo apoyo a otras organizaciones que desempeñen una labor clave en este ámbito”.

Esto puede suponer un giro en las formas de combatir los abusos en las herramientas de ciberespionaje. Cuando el proyecto periodístico Pegasus Project salió a la luz, la prensa consignó que Apple restringe el acceso de los investigadores al sistema operativo de sus iPhones y iPads, dificultando la investigación y limitando las capacidades para detectar cuando los dispositivos fueron vulnerados. Incluso un exempleado de Apple dijo al Washington Post que el área de mercadotecnia les limitaba la comunicación con los investigadores que reportaban algún fallo o vulnerabilidad en los sistemas.

Ahora, la firma que dirige Tim Cook parece dispuesta a colaborar en las investigaciones independientes de una forma proactiva, no solo con recursos económicos sino con herramientas técnicas. Y no es para menos. Una de las grandes lecciones que nos han dejado las investigaciones y revelaciones sobre los abusos en el espionaje gubernamental es que, para deslindar responsabilidades y defender los derechos humanos de las personas, se requiere de colaboración.

Desde el punto de vista de los negocios, esta apertura será clave para que Apple pueda seguir publicitando sus teléfonos inteligentes y tabletas como los dispositivos más seguros en el mercado. Puede que la mercadotecnia sea el principal motivo para unir fuerzas con los centros de investigación, pues ya nadie cree que los dispositivos de Apple no sean inmunes a las amenazas cibernéticas, pero será un punto crucial para fortalecer la integridad de los dispositivos.

Esto incluso puede ser un ejemplo para el resto de la industria de la electrónica de consumo que no se limita a los teléfonos inteligentes: ahora debemos pensar en vehículos, electrodomésticos y hasta máquinas con capacidades de cómputo y conectadas a internet: colaborar para fortalecer la seguridad.

Suena fácil, pero habrá que tener cuidado con quién colaborar sin debilitar la seguridad de los sistemas. Tenemos un antecedente en 2016, cuando el FBI pidió a Apple su cooperación para crear una puerta trasera que le permitiera acceder al contenido del iPhone de uno de los atacantes en el atentado de San Bernardino. De haberlo hecho, habría puesto en riesgo a todas las personas usuarias del iPhone.

Con esta demanda, Apple se une a Meta (antes, Facebook), para llevar a la justicia a la firma israelí por utilizar WhatsApp para infectar los dispositivos de sus usuarios y fueran blanco del espionaje gubernamental, afectando a periodistas, activistas, opositores políticos y personas defensoras de los derechos humanos.

Recapitulemos un poco este caso. En octubre de 2019, la entonces Facebook presentó una demanda en contra de NSO Group por atacar sus servidores en California con malware para obtener acceso sin autorización a mil 400 dispositivos móviles, violando la legislación estadounidense. NSO Group pidió desestimar la demanda bajo el argumento de que tenía inmunidad soberana dado que los gobiernos fuera de Estados Unidos han sido quienes han utilizado sus herramientas para espiar a sus objetivos. 

El sector tecnológico cerró filas en la defensa de WhatsApp y Microsoft, Cisco, Google, GitHub, LinkedIn, VMware y la Asociación de Internet enviaron un documento a la Corte pidiendo que “aquellas entidades que accedan a sus productos, servicios y sistemas, violando las leyes estadounidenses, deben rendir cuentas los tribunales de Estados Unidos”. El 8 de noviembre, la Corte estadounidense rechazó la solicitud de NSO Group.

A esto se suma la acción del 3 de noviembre, cuando el Departamento de Comercio de Estados Unidos puso en la lista negra al fabricante israelí por “desarrollar y proporcionar software espía a gobiernos extranjeros que utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas”. Tan solo en México se detectaron 15 mil posibles blancos del espionaje gubernamental a través de Pegasus.

En este contexto llega el movimiento legal de Apple. Tras la decisión de la Corte estadounidense para permitir que NSO Group fuera juzgada en esa jurisdicción, la demanda de la fabricante de los iPhone navegará con vientos a su favor. Esta, sin duda, es una buena noticia para deslindar responsabilidades en todas las partes involucradas en el espionaje gubernamental ilegal.

Y no perdamos de vista que esta nueva demanda será un golpe para NSO Group que, a raíz de las revelaciones periodísticas sobre el abuso en el uso de sus herramientas de vigilancia, ha sufrido un golpe en sus finanzas con la cancelación de contratos y bloqueos como el impuesto por el gobierno estadounidense. La agencia calificadora Moody’s advirtió que NSO está en riesgo de incumplir sus obligaciones de deuda por 500 millones de dólares, según reportó Bloomberg.

Es innegable que el caso de Pegasus ha tenido un impacto global y la lucha en contra de la cibervigilancia estatal abusiva se debe combatir desde distintos frentes y en diversas jurisdicciones. Si bien NSO Group no es la única mercenaria que atenta contra las libertades de la ciudadanía, lo cierto es que estas acciones están sentando precedentes para combatir abusos que, no tengo duda, seguirán saliendo a la luz.