Un juez estadounidense ha ordenado a NSO Group que entregue su código fuente de Pegasus y otros productos a Meta como parte del litigio en curso entre el gigante de las redes sociales y el proveedor de software espía israelí. La decisión representa una importante victoria legal para Meta, que inició la demanda en octubre de 2019, alegando que NSO Group utilizó su infraestructura para distribuir el software espía a unos 1.400 dispositivos móviles entre abril y mayo. Entre los afectados se encontraban dos docenas de activistas y periodistas indios.

Estos ataques se valieron de una vulnerabilidad de día cero en la aplicación de mensajería instantánea (CVE-2019-3568, con una puntuación CVSS de 9.8), un error crítico de desbordamiento de búfer en la funcionalidad de llamadas de voz. Esto permitía la entrega de Pegasus simplemente realizando una llamada, incluso en situaciones en las que las llamadas quedaban sin respuesta.

Además, la cadena de ataque incluyó pasos para borrar la información de las llamadas entrantes de los registros, en un intento de eludir la detección.

Los documentos judiciales publicados a finales del mes pasado revelan que a NSO Group se le solicitó “producir información sobre la funcionalidad completa del software espía relevante”, específicamente desde un año antes hasta un año después del presunto ataque (es decir, desde el 29 de abril de 2018 hasta el 10 de mayo de 2020).

Sin embargo, la empresa no está obligada a “proporcionar información específica sobre la arquitectura del servidor en este momento”, ya que WhatsApp “podría obtener la misma información de la funcionalidad completa del presunto software espía”. Quizás lo más significativo es que se le ha eximido de compartir las identidades de sus clientes.

“Si bien la decisión del tribunal representa un avance positivo, es decepcionante que a NSO Group se le permita seguir manteniendo en secreto la identidad de sus clientes, quienes son responsables de estos ataques ilegales”, expresó Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional.

NSO Group fue sancionado por Estados Unidos en 2021 por desarrollar y suministrar armas cibernéticas a gobiernos extranjeros que “utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas”.

Por otro lado, Meta enfrenta un creciente escrutinio por parte de grupos de consumidores y de privacidad en la Unión Europea debido a su modelo de suscripción de “pagar o aceptar” (también conocido como pago o consentimiento), el cual consideran una elección restrictiva entre pagar una “tarifa de privacidad” y consentir a ser rastreado por la empresa.

“Esto impone un modelo de negocio en el que la privacidad se convierte en un lujo en lugar de un derecho fundamental, reforzando directamente la exclusión discriminatoria existente del acceso al ámbito digital y el control de los datos personales”, señalaron, añadiendo que esta práctica socavaría las regulaciones del GDPR.

Este desarrollo surge cuando Recorded Future reveló una nueva infraestructura de entrega de varios niveles asociada con Predator, un software espía móvil mercenario administrado por Intellexa Alliance.

Es muy probable que la red de infraestructura esté asociada con clientes de Predator, incluso en países como Angola, Armenia, Botswana, Egipto, Indonesia, Kazajstán, Mongolia, Omán, Filipinas, Arabia Saudita y Trinidad y Tobago. Sin embargo, cabe destacar que hasta ahora no se ha identificado ningún cliente de Predator en Botswana y Filipinas.

“Aunque los operadores de Predator responden a los informes públicos alterando ciertos aspectos de su infraestructura, parecen persistir con alteraciones mínimas en sus modos de operación; estas incluyen temas consistentes de suplantación de identidad y se centran en tipos de organizaciones, como medios de comunicación, mientras se adhieren a las normas establecidas. configuraciones de infraestructura”, dijo la compañía.

Sekoia, en su propio informe sobre el ecosistema de software espía Predator, dijo que encontró tres dominios relacionados con clientes en Botswana, Mongolia y Sudán, afirmando que detectó un “aumento significativo en el número de dominios maliciosos genéricos que no dan indicaciones sobre las entidades objetivo” y posibles clientes.