Informe: El software espía de Pegasus vendido a los gobiernos utiliza el exploit de iMessage sin hacer clic para infectar iPhones con iOS 14.6

Los gobiernos autoritarios han atacado a periodistas, abogados y activistas de derechos humanos de todo el mundo mediante el uso de malware telefónico creado por la firma de vigilancia israelí NSO Group, según varios informes de los medios.

Una investigación realizada por 17 medios de comunicación y el Laboratorio de seguridad de Amnistía Internacional descubrió un fuga masiva de datos, lo que indica un abuso generalizado y continuo del software espía de piratería comercial, Pegasus, que puede infectar dispositivos iPhone y Android y permitir a los atacantes extraer mensajes, correos electrónicos y medios, grabar llamadas y activar micrófonos en secreto.

La filtración contiene una lista de más de 50.000 números de teléfono que se cree que fueron identificados por clientes de NSO como posibles personas de interés. Forbidden Stories, una organización de medios sin fines de lucro con sede en París, y Amnistía Internacional tuvieron acceso a la lista filtrada y compartieron ese acceso con socios de los medios como parte del consorcio de informes del proyecto Pegasus. Las pruebas forenses en algunos de los teléfonos con números en la lista indicaron que más de la mitad tenían rastros del software espía.

La compañía detrás del software, NSO, niega cualquier irregularidad y afirma que su producto es estrictamente para uso contra criminales y terroristas, y está disponible solo para agencias militares, policiales y de inteligencia.

en un declaración entregado a los medios de comunicación en respuesta al proyecto Pegasus, NSO dijo que la investigación original que condujo a los informes estaba «llena de suposiciones erróneas y teorías no corroboradas».

NSO no opera los sistemas que vende a clientes gubernamentales examinados y no tiene acceso a los datos de los objetivos de sus clientes. NSO no opera su tecnología, no recopila, ni posee, ni tiene acceso a ningún tipo de datos de sus clientes. Debido a consideraciones contractuales y de seguridad nacional, NSO no puede confirmar ni negar la identidad de nuestros clientes gubernamentales, así como la identidad de los clientes cuyos sistemas hemos cerrado.

En una versión anterior del software espía, la actividad de vigilancia dependía de que el usuario del teléfono hiciera clic en un enlace malicioso que se le enviaba en un mensaje de texto o correo electrónico (el llamado «spear-phishing»). Sin embargo, la versión descubierta más recientemente no requiere la interacción del usuario y, en cambio, puede aprovechar las vulnerabilidades de «cero clic» (errores o fallas en el sistema operativo) para tener éxito.

Por ejemplo, el Laboratorio de seguridad de Amnistía y el Laboratorio de ciudadanos descubrieron que un iPhone con iOS 14.6 podría ser pirateado con un exploit de iMessage sin hacer clic para instalar Pegasus. Se ha contactado a Apple para hacer comentarios y actualizaremos este artículo si escuchamos algo.

Mientras tanto, las organizaciones de medios involucradas en el proyecto planean revelar las identidades de las personas cuyo número apareció en la lista en los próximos días. Se dice que incluyen a cientos de ejecutivos de empresas, figuras religiosas, académicos, empleados de ONG, dirigentes sindicales y funcionarios gubernamentales. Las revelaciones que comenzaron el domingo ya revelaron que ya se sabe que entre los datos se encuentran las cifras de más de 180 periodistas.

WhatsApp demandó a NSO en 2019 después de que alegó que la compañía estaba detrás de ataques cibernéticos a miles de teléfonos móviles que involucraban a Pegasus. NSO negó haber cometido un delito, pero a la empresa se le ha prohibido el uso de WhatsApp.

Nota: Debido a la naturaleza política o social de la discusión sobre este tema, el hilo de discusión se encuentra en nuestro Noticias políticas foro. Todos los miembros del foro y los visitantes del sitio pueden leer y seguir el hilo, pero la publicación está limitada a los miembros del foro con al menos 100 publicaciones.