Fondo
El 19 de julio, un consorcio de 17 organizaciones de medios internacionales publicó una investigación sobre una lista filtrada de números de teléfono de todo el mundo, denominada Proyecto Pegasus. Estos números son supuestamente una "lista de objetivos" de teléfonos pirateados / que serán pirateados por el producto de software espía Pegasus vendido por NSO Group de Israel. Aparentemente, la lista es notable por su gran tamaño, así como por contener el número de destacados periodistas, disidentes de varios países, políticos, jueces, empresarios, activistas de derechos y jefes de estado. Algunos de los objetivos enumerados han cooperado con el consorcio de medios de comunicación y Amnistía Internacional para un examen forense de sus dispositivos y han encontrado pruebas de piratería con la suite Pegasus.
Hack de WhatsApp: el escándalo de Pegasus destaca la autodestructiva falta de supervisión de la India sobre sus servicios de inteligencia – India News, Firstpost
¿Qué es Pegasus?
Pegasus es un paquete de software espía vendido por la empresa israelí NSO Group a "clientes gubernamentales examinados". Se utiliza para comprometer y realizar vigilancia en computadoras Windows, Mac específicas y también en teléfonos inteligentes Android e iOS. El software espía se puede entregar mediante enlaces enviados por correo electrónico o SMS, a través de WhatsApp o utilizando exploits de vulnerabilidad de "día cero" mucho más sofisticados, que son fallas de seguridad o errores desconocidos incluso para los fabricantes de dispositivos. Encontrar y explotar estas vulnerabilidades de "día cero" es una tarea altamente especializada, compleja y que requiere mucho tiempo. En un momento, ha podido infectar los teléfonos inteligentes objetivo simplemente haciendo una llamada de WhatsApp, independientemente de si la llamada fue respondida o no.
¿Quién ha visto estos datos?
Los datos fueron accedidos por una organización sin fines de lucro con sede en París llamada Forbidden Stories y Amnistía Internacional, que luego los compartió con 17 organizaciones de medios internacionales en todo el mundo como parte del Proyecto Pegasus, incluidos The Guardian, The Washington Post y, en India, El alambre. Forbidden Stories afirma que esta lista comprende los objetivos previstos para el paquete de software Pegasus del Grupo NSO. Sin embargo, se entiende que el hecho de que un número de teléfono aparezca en los datos no implica automáticamente que haya sido un objetivo exitoso o incluso un objetivo previsto para un intento de piratería.
¿Porque es esto importante?
Según el informe de The Wire, la lista de clientes del Grupo NSO incluye a los gobiernos de Azerbaiyán, Bahrein, Hungría, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita y los Emiratos Árabes Unidos, así como a la India. En la lista, informa The Wire, hay 300 números de ciudadanos indios, incluidos algunos políticos, activistas de derechos y periodistas. El Grupo NSO afirma vender la suite Pegasus solo a "gobiernos examinados" y no a entidades privadas, lo que sugiere que la lista de objetivos comprende personas bajo vigilancia del gobierno.
El costo de la suite también la pone fuera del alcance de la mayoría de las entidades privadas. Amnistía Internacional sometió a análisis forenses una pequeña muestra de 37 teléfonos, incluidos 10 teléfonos indios, y se descubrió que presentaban signos de infección por Pegaso. Estos dispositivos pertenecían a periodistas, políticos, empresarios, profesionales legales y de otro tipo: personas destacadas, no criminales ni terroristas. La correlación que se establece es que esta es de hecho una lista de objetivos de software espía de Pegasus.
La infiltración de teléfonos o computadoras que utilicen esos métodos comprende la "piratería", que es un delito punible en virtud de la Ley de tecnología de la información de 2000.
Lo que dice el gobierno indio
Como parte de su declaración oficial, que reproduciremos a continuación, el Gobierno Central ha calificado la historia como “desprovista de hechos pero también fundada en conclusiones preconcebidas”, y agregó que “parece que está tratando de desempeñar el papel de investigador, fiscal y jurado ".
El gobierno declaró categóricamente que: "Las acusaciones sobre la vigilancia gubernamental de personas específicas no tienen ninguna base concreta o verdad asociada".
La declaración también continúa:
“En la India existe un procedimiento bien establecido mediante el cual se lleva a cabo la interceptación legal de las comunicaciones electrónicas con el propósito de la seguridad nacional, particularmente en caso de que ocurra una emergencia pública o en interés de la seguridad pública, por parte de las agencias del Centro. y Estados. Las solicitudes para estas interceptaciones legales de comunicaciones electrónicas se realizan de acuerdo con las reglas pertinentes en virtud de las disposiciones de la sección 5 (2) de la Ley de Telégrafos de la India de 1885 y la sección 69 de la Ley de Tecnología de la Información (Enmienda) de 2000.
Cada caso de interceptación, monitoreo y descifrado es aprobado por la autoridad competente, es decir, el Secretario del Interior de la Unión. Estos poderes también están disponibles para la autoridad competente en los gobiernos estatales de acuerdo con las Reglas de TI (Procedimiento y salvaguardias para la interceptación, monitoreo y descifrado de información), 2009 ”.
En resumen, existe un protocolo establecido para la interceptación gubernamental de comunicaciones electrónicas, según la ley india con el propósito de "seguridad nacional", y aprobado por el Secretario del Interior de la Unión.
Hoy, en el Parlamento, el Ministro de Electrónica y Tecnología de la Información, Ashwani Vaishnaw dijo que “el informe en sí mismo aclara que la presencia de un número no equivale a fisgonear”, y agregó que “NSO también ha dicho que la lista de países que se muestra usando Pegasus es incorrecta y muchos países mencionados ni siquiera son nuestros clientes. También dijo que la mayoría de sus clientes son países occidentales ".
Lo que dice NSO Group
La firma israelí NSO Group habló con The Wire a través de sus abogados e insistió en que la lista filtrada no incluye una "lista de objetivos" para la piratería por parte de los gobiernos, pero "puede ser parte de una lista más grande de números que podrían haber sido utilizados por los clientes de NSO Group. para otros fines ”. Aquí, "clientes del Grupo NSO" se refiere a sus "gobiernos examinados". El análisis forense realizado por Amnistía Internacional parece confirmar que un conjunto de muestra de estos dispositivos incluidos en la lista fueron efectivamente blanco de Pegasus.
Pero yo uso Signal / Telegram / WhatsApp. ¿Alguien puede leer mis mensajes?
Respuesta corta: sí. La comunicación a través de plataformas de mensajería, incluidas Signal y WhatsApp, se considera "segura" debido a su uso de cifrado de extremo a extremo. Sin embargo, si su dispositivo está comprometido con software espía, no importa que su comunicación esté encriptada, porque alguien ya está mirando por encima de su hombro. Es como tener el mejor sistema de seguridad del mundo y candados para tu casa, excepto que el ladrón ya está adentro.
Respuesta larga: cualquier tecnología se puede solucionar o eludir si se dispone de tiempo y recursos suficientes. En el caso de Pegasus, los teléfonos inteligentes se infectan con software espía mediante una variedad de ataques sofisticados que explotan vulnerabilidades de seguridad que incluso los fabricantes de teléfonos pueden desconocer, las llamadas vulnerabilidades de "día 0". Estos no son recursos que estén disponibles para cualquier entidad, pero una con suficientes recursos y motivación ciertamente puede encontrar formas de espiar sus comunicaciones. Si la pregunta es "¿quién haría tal cosa?", La respuesta es "cualquiera con suficiente dinero y motivación".
TL; DR
Si hay verdad en las afirmaciones del Proyecto Pegasus, claramente demuestra que se necesita hacer más para regular y reformar la vigilancia. La ubicuidad de la tecnología y los dispositivos significa que ahora son posibles formas de vigilancia profundamente invasivas. Si bien la tecnología para tal vigilancia no está disponible para cualquiera que la pregunte (por lo que se nos dice), está disponible para "clientes gubernamentales examinados" que, en el caso de NSO, incluyen a los gobiernos de Azerbaiyán, Bahrein, Hungría, Kazajstán y México. , Marruecos, Ruanda, Arabia Saudita y los Emiratos Árabes Unidos, además de India. Y debemos recordar que Pegasus es solo una de las muchas suites de software disponibles a un costo.
O, como dijo hoy el ministro de Electrónica y Tecnología de la Información, Ashwani Vaishnaw en el Parlamento: "Cuando miramos este tema a través del prisma de la lógica, claramente surge que no hay sustancia detrás de este sensacionalismo".
Via: FirstPost
