No pasado mes de xullo estouraba o escándalo do software espía Pegasus, da firma israelita NSO Group, co que diversos países espiaron persoas que lles resultaban incómodas, desde rivais políticos, a xornalistas, activistas de Dereitos Humanos (DDHH), etc. Xa en 2017, Amnistía Internacional advertiu do uso deste spyware contra as liberdades civís máis esenciais, como fai Marrocos contra o pobo saharauí, xornalistas críticos ou, mesmo, contra o primeiro ministro francés. Agora esta organización publica un completo relatorio co que refuta os argumentos de NSO Group, que continúa agarrado ao argumento falaz da seguranza nacional.

 

Capa do relatorio forense de Amnistía Internacional.

 

Por David Bolero

Este documento forense, eminentemente técnico, é resultado dunha investigación colaborativa que involucra máis de 80 xornalistas de 17 organizacións de medios en 10 países, coordenada por Forbidden Stories co apoio técnico do Laboratorio de Seguranza de Amnistía Internacional (AI).

Despois de realizar análises forenses dos dispositivos de múltiplas vítimas da espionaxe (xornalistas e defensores de DDHH) entre 2014 e xullo de 2021, a conclusión do organismo é demolidora: foi levada a cabo unha vixilancia ilegal xeneralizada, persistente e continua, así como abusos dos DDHH co software espía Pegasus de NSO Group. As revelacións de (AI) a partir da espionaxe de Marrocos a diversos xornalistas marroquinos contrarios ao réxime de Mohamed VIN proban que os seus móbeis foron atacados através de dispositivos tácticos, como torres celulares non autorizadas, ou mediante equipamentos dedicados colocados na operadora de telefonía móbel.

O relatorio revela como Marrocos non só espiou os xornalistas cando estes utilizaban o navegador dos seus dispositivos móbeis, senón tamén cando usaban outras aplicacións, como Twitter. Se nun primeiro momento a maioría das infeccións eran producidas através de mensaxes SMS (sobre todo entre 2016 e 2018), posteriormente foi empregada a técnica de ataques de inxección web, que consiste en introducir código através dos campos de texto de determinadas aplicacións ou páxinas web para tomar o control do dispositivo.

Nos casos de dispositivos Apple, a investigación de AI demostra que os gobernos que espiaron dedicáronse á explotación de vulnerabilidades en iOS, nomeadamente en iMessage e FaceTime. Nesta liña, as sospeitas de AI pasan porque a aplicación Fotos de iOS ou o servizo Photostream foron utilizados como parte dunha cadea de exploits para implementar Pegasus. Así, estás aplicacións poderían ser explotadas, alterando a súa funcionalidade, para entregar un JavaScript co que romper a seguranza do dispositivo.

As técnicas de infección foron sendo perfeccionadas nos últimos anos e, desta feita, a análise forense detectou en dispositivos infectados con Pegasus que antes de este se  executar o tráfico de rede rexistrado para o servizo Apple Music podería ser determinante na infección. Segundo expón, é posíbel abusar das aplicacións integradas, como a aplicación iTunes Store, para executar un exploit do navegador.

A sofisticación de Pegasus era tal que, segundo puido comprobar a análise forense en múltiplos iPhones, o software comezou recentemente a manipular as bases de datos do sistema e os rexistros dos dispositivos infectados para ocultar o seu rastro, impedindo así investigacións como a de AI. Canto á infraestrutura utilizada para os ataques, o relatorio revela como a maior parte dos servidores de Pegasus eran aloxados en centros de datos situados en países europeos administrados por empresas de aloxamento estadunidenses, como a Alemaña, o Reino Unido, Suíza ou Francia, así como nos EUA.

Por último, é importante destacar que o feito de boa parte da investigación forense se centrar en dispositivos Apple non se debe a que estes sexan máis vulnerabeis que os que executan sistema operativo Android. O relatorio esclarece que a razón se debe a que hai moitos máis rastros forenses accesibeis para os investigadores en dispositivos Apple iOS que en dispositivos Android estándar, o que significa que Android non é en absoluto un escudo fiábel contra Pegasus.

A ONU pronúnciase
Hai uns días, facíase pública a declaración da Alta Comisionada das Nacións Unidas para os Dereitos Humanos, Michelle Bachelet, en que esta realizaba unha contundente reflexión: “O nivel sen precedentes de vixilancia actual en todo o mundo por parte de actores estatais e privados é incompatíbel cos dereitos humanos”. Neste sentido, Bachelet admite non sorprenderse por como Pegasus foi operado contra millares de persoas en 45 países de catro continentes.

A Alta Comisionada alerta sobre o modo en que creceu na sombra un mercado de tecnoloxía de espionaxe, lonxe da supervisión da xustiza e o escrutinio público, tanto en países autoritarios como en democracias, lamentando tanto esa opacidade como a falta de regulación que abren a porta a “novas medidas de represión”.

Por este motivo, Bachelet sostén que “os Estados non só teñen o deber de absterse destes abusos, senón tamén o deber de protexeren as persoas deles”, razón pola que apela a que se estableza “unha lexislación sólida e réximes institucionais para que os Estados cumpran coas súas obrigacións de dereitos humanos e as empresas cumpran coas súas propias responsabilidades en virtude dos Principios Reitores das Nacións Unidas para as Empresas e os Dereitos Humanos”.

Alén destes “marcos legais que aseguren a privacidade”, a declaración de Bachelet reclama unha maior “rendición de contas polos abusos”, con investigacións imparciais sobre os casos de vixilancia selectiva que permitan que as vítimas sexan informadas e apoiadas para buscar reparación, algo que até a data non aconteceu.

Público