Funcionarios aliados de EU, entre los objetivos de Pegasus, según el director de WhatsApp
Cathcart dijo que observó paralelismos entre el ataque a los usuarios de WhatsApp en 2019 y los reportes del Proyecto Pegasus. Foto: Dado Ruvić/Reuters

Altos funcionarios gubernamentales de todo el mundo, incluidos individuos en altos cargos de seguridad nacional que son “aliados de Estados Unidos”, fueron blanco de los gobiernos que utilizan el software espía de NSO Group en un ataque en 2019 contra mil 400 usuarios de WhatsApp, según el director ejecutivo de la aplicación de mensajería.

Will Cathcart reveló los nuevos detalles sobre los individuos que fueron blanco en el ataque después de las revelaciones de esta semana del Proyecto Pegasus, una colaboración de 17 organizaciones mediáticas las cuales investigaron a NSO, la empresa israelí que comercializa su poderoso software de vigilancia a clientes gubernamentales de todo el mundo.

Cathcart dijo que observó paralelismos entre los ataques contra usuarios de WhatsApp en 2019, que ahora es objetivo de una demanda por parte de WhatsApp contra NSO, y los informes sobre una fuga masiva de datos que están en el centro del Proyecto Pegasus.

Lee también: Cómo NSO se convirtió en la empresa cuyo software Pegasus puede espiar al mundo

La filtración contenía decenas de miles de números telefónicos de personas que se cree han sido seleccionadas como candidatas para una posible vigilancia por parte de los clientes de NSO, entre ellos jefes de Estado como el presidente francés, Emmanuel Macron, ministros de gobierno, diplomáticos, activistas, periodistas, defensores de los derechos humanos y abogados.

Incluye a algunas personas cuyos teléfonos mostraron haber sido infectados o tenían rastros del software de espionaje Pegasus de NSO, según los análisis de una muestra de los dispositivos que fue realizada por el laboratorio de seguridad de Amnistía Internacional.

Los informes coinciden con lo que vimos en el ataque que derrotamos hace dos años, es muy consistente con lo que expresamos en ese entonces”, dijo Cathcart en una entrevista con The Guardian. Además de los “altos funcionarios de gobierno”, WhatsApp descubrió que periodistas y activistas de derechos humanos fueron el objetivo del ataque contra sus usuarios en 2019. Varios de los objetivos en el caso de WhatsApp, detalló, “no tenían por qué estar bajo vigilancia de ninguna manera, forma o forma”.

“Esta debería ser una llamada de atención para la seguridad en internet… ya sea que los teléfonos celulares sean seguros para todos o que no sean seguros para nadie”.

Lee también: Edward Snowden pide la prohibición del comercio de software espía en medio de las revelaciones de Pegasus

Cuando el software de espionaje Pegasus de NSO infecta un celular, los clientes del gobierno que lo utilizan pueden obtener acceso a las conversaciones telefónicas, los mensajes, las fotos y la ubicación de la persona, así como convertir el teléfono en un dispositivo de escucha portátil manipulando su grabadora.

La filtración contiene una lista de más de 50 mil números telefónicos que, se cree, han sido identificados como personas de interés por parte de los clientes de NSO desde 2016.

La aparición de un número en la lista filtrada a la que pudo acceder el Proyecto Pegasus no significa que este fuera objeto de un intento o ataque exitoso. NSO explicó que Macron no era un “objetivo” de alguno de sus clientes, lo que significa que la empresa niega que hubiera cualquier intento o infección exitosa de Pegasus en su teléfono.

NSO también ha dicho que la información “no tiene relevancia” para la empresa, y ha rechazado la información del Proyecto Pegasus, calificándola como “llena de suposiciones erróneas y teorías sin corroborar”. Negó que los datos filtrados representaran a aquellos que eran objeto de vigilancia por parte del software Pegasus. NSO ha calificado el número de 50 mil como exagerado y dijo que era demasiado grande para representar a las personas objetivo de Pegasus.

Lee también: El círculo íntimo del Dalai Lama figura en la información del Proyecto Pegasus

Pero Cathcart cuestionó la afirmación de NSO de que la cifra en sí misma era “exagerada”, diciendo que WhatsApp había registrado un ataque contra mil 400 usuarios en un periodo de dos semanas en 2019.

“Eso nos dice que durante un largo periodo, durante un lapso de varios años, el número de personas atacadas es muy alto”, dijo. “Por esa razón sentimos que era muy importante plantear la preocupación en torno a esto”.

Cuando WhatsApp dice que cree que sus usuarios fueron “atacados”, significa que la empresa tiene evidencia de que un servidor de NSO intentó instalar el malware en el dispositivo de un usuario.

NSO se ha negado a dar detalles específicos sobre sus clientes y las personas que atacan. Sin embargo, una fuente ha afirmado que el número promedio de ataques anuales por cliente era de 112.

Cuando WhatsApp anunció hace dos años que sus usuarios habían sido atacados por el malware NSO, reveló que había descubierto que aproximadamente 100 de los mil 400 objetivos eran miembros de la sociedad civil: periodistas, defensores de derechos humanos y activistas. Los usuarios fueron atacados a través de una vulnerabilidad de WhatsApp que fue reparada posteriormente.

Lee también: Fundador de Telegram aparece en la lista de objetivos de Pegasus

Cathcart dijo que había discutido el ataque contra los usuarios de WhatsApp de 2019 con las autoridades alrededor del mundo. Elogió los movimientos recientes de Microsoft y otros en la industria de la tecnología que están hablando sobre los peligros del malware, y exhortó a Apple, cuyos celulares son vulnerables a infecciones de softwares maliciosos, que adoptara ese enfoque.

Espero que Apple también comience a adoptar ese enfoque. Habla fuerte, únete. No es suficiente decir, la mayoría de nuestros usuarios no tienen que preocuparse por esto. No es suficiente decir: ‘oh, esto son solo miles o decenas de miles de víctimas’”, comentó.

Si esto está afectando a los periodistas alrededor del mundo, esto está afectando a los defensores de derechos humanos de todo el mundo, eso nos afecta a todos nosotros. Y si el celular de alguien no está protegido, significa que el teléfono de todos no es seguro”.

También instó a las autoridades a que ayudaran a generar responsabilidad para los fabricantes del software de espionaje.

“NSO Group afirma que un gran número de autoridades están comprando su software, eso significa que esos gobiernos, incluso si su uso es más controlado, esos gobiernos están financiando esto. ¿Deberían detenerse? ¿Debería haber una discusión sobre qué autoridades estaban pagando por el software?

WhatsApp presentó su demanda contra NSO a finales de 2019, afirmando que la empresa israelí era responsable de enviar el malware a los celulares de los usuarios de WhatsApp. Un juez señaló que los hechos principales en el caso, que el código malicioso poseído por NSO fue enviado a través del servicio de WhatsApp, no parecen ser discutidos. En cambio, la demanda ha girado en torno a si los “clientes soberanos” de NSO eran culpables, o la empresa en sí misma.

NSO ha argumentado que debería ser inmune a la demanda debido a que sus clientes eran autoridades extranjeras. Ha dicho que sus clientes están obligados por contrato a usar Pegasus para atacar a delincuentes y que investiga las acusaciones de abuso. Dijo que no tiene información sobre cómo los clientes del gobierno usan el software de espionaje o a quien atacan, a menos que la empresa solicite una investigación sobre las acusaciones de irregularidades.

Un vocero de NSO dijo: “Estamos haciendo todo lo posible para ayudar a crear un mundo más seguro. ¿Tiene el señor Cathcart otras alternativas que permitan a las agencias policiales y de inteligencia detectar de forma legar y prevenir actos maliciosos de pedófilos, terroristas y delincuentes que utilizan plataformas de cifrado de extremo a extremo? Si es así, estaríamos contentos a escucharlo”.

Un portavoz de NSO dijo: “Estamos haciendo todo lo posible para ayudar a crear un mundo más seguro. ¿Tiene el señor Cathcart otras alternativas que permitan a las agencias policiales y de inteligencia detectar y prevenir legalmente actos maliciosos de pedófilos, terroristas y delincuentes utilizando plataformas de cifrado de extremo a extremo? Si es así, estaríamos contentos a escucharlo”.