Apple demanda a NSO Group por sus ataques con Pegasus
A raíz de un exploit de día cero que se implementó contra los usuarios de iPhone, Apple presentó una demanda contra NSO Group.
La denuncia alega que el fabricante del infame spyware móvil Pegasus es responsable de la vigilancia ilegal de los usuarios de Apple. El gigante de la informática está buscando que el tribunal emita una orden judicial permanente contra la compañía israelí, prohibiéndole el uso de cualquier software, servicio o dispositivo de Apple. Asimismo, la empresa está solicitando una cantidad no especificada en daños financieros.
“En una sociedad libre, es inaceptable utilizar como arma un poderoso spyware patrocinado por el estado contra aquellos que buscan hacer del mundo un lugar mejor”.
Ivan Krstić, jefe de ingeniería y arquitectura de seguridad de Apple, en un comunicado de Apple emitido el lunes.
NSO Group también enfrenta otras demandas, en particular una queja presentada por la subsidiaria de Facebook, WhatsApp. Está demanda tiene como objetivo responsabilizar a NSO Group por la distribución de Pegasus a través del servicio de mensajería a al menos 1.400 objetivos. Esa demanda ha provocado legiones de Amicus curiae de Cisco, Electronic Frontier Foundation (EFF), GitHub, Google, Internet Association, LinkedIn, Microsoft y VMware, entre otros.
A principios de este mes, un tribunal de apelaciones de Estados Unidos rechazó el argumento de NSO Group de que está protegido de la demanda bajo las leyes de inmunidad soberana. El rechazo permitirá que la demanda avance y hará necesario que la empresa responda a los esfuerzos de investigación.. Ese veredicto probablemente actuó como luz verde para la decisión de Apple de presentar su propia demanda.
Apple contraataca
La demanda de Apple no es particularmente sorprendente considerando que NSO recientemente perdió su argumento legal para defender la inmunidad soberana. Es probable que Apple haya estado considerando esta medida durante algún tiempo, pero estaba esperando que el caso de WhatsApp llegara a la corte federal de apelaciones.
Además de la orden judicial permanente, la demanda también busca una reparación por las “violaciones flagrantes de la ley federal y estatal de Estados Unidos por parte de NSO Group”. Estas violaciones son consecuencias de los esfuerzos por apuntar y atacar a Apple y sus usuarios. Apple afirma que donará el dinero a “organizaciones que realicen investigación y defensa de la cibervigilancia”. Además, aportará $10 millones adicionales de sus arcas corporativas.
Apple también dijo que apoyará a los investigadores que descubrieron Pegasus con asistencia técnica, inteligencia de amenazas e ingeniería gratuita en el futuro.
Impacto de Pegasus
Pegasus es una notoria herramienta de vigilancia de grado militar. Este spyware se ha relacionado con ciberataques altamente selectivos por parte de regímenes represivos contra disidentes, activistas y ONGs (sin mencionar los asesinatos de periodistas). Pegasus puede acceder al micrófono, la cámara, los mensajes y otros datos confidenciales en dispositivos Apple y Android.
NSO Group, por su parte, sostiene que vende Pegasus solo para actividades legítimas de aplicación de la ley y antiterroristas, a gobiernos que defienden los derechos civiles. Esa es una afirmación que los investigadores han rechazado en gran medida, incluso en un análisis reciente de Amnistía Internacional y Citizen Lab.
El gobierno de Estados Unidos también ha rechazado esa noción de inocencia. Por ello, a principios de este mes prohibió cualquier comercio con la empresa por parte de ciudadanos u organizaciones estadounidenses. El Departamento de Comercio de Estados Unidos agregó a NSO Group a su “lista de entidades”. Esta lista se utiliza principalmente para limitar el flujo de dinero a personas y organizaciones vinculadas a actividades terroristas.
Pegasus le dio un mordisco a la manzana
Apple tiene un problema legítimo: NSO Group no ha dudado en apuntar a los usuarios de Apple en el pasado. En agosto, Citizen Lab advirtió que Pegasus había agregado un exploit de Apple de día cero y cero clic denominado FORCEDENTRY a su arsenal de ataque. El spyware se implementó con éxito contra las versiones 14.4 y 14.6 de iOS, superando la nueva función de sandboxing BlastDoor. En este ataque los afectados fueron los iPhones de los activistas de Bahrein. Apple se apresuró a solucionar la vulnerabilidad de emergencia .
Y, en diciembre pasado, cuatro amenazas persistentes avanzadas (APT) respaldadas por estados nación hackearon a periodistas, productores, presentadores y ejecutivos de Al Jazeera. Este fue un ataque de espionaje de Pegasus que aprovechó otro exploit de día cero para el iPhone de Apple.
Los actores patrocinados por estados como NSO Group gastan millones de dólares en tecnologías de vigilancia sofisticadas sin una responsabilidad efectiva. Eso debe cambiar.
Los dispositivos de Apple son el hardware de consumo más seguro del mercado. No obstante, las empresas privadas que desarrollan spyware patrocinado por estados se han vuelto aún más peligrosas. Si bien estas amenazas de ciberseguridad solo afectan a un número muy pequeño de nuestros clientes, nos tomamos muy en serio cualquier ataque a nuestros usuarios. Por ello, trabajamos constantemente para fortalecer las protecciones de seguridad y privacidad en iOS”.
Craig Federighi, vicepresidente senior de ingeniería de software de Apple.
La demanda legal de Apple proporciona nueva información sobre FORCEDENTRY. Apple señaló: “Para enviar FORCEDENTRY a los dispositivos Apple, los atacantes crearon IDs de Apple para enviar datos maliciosos al dispositivo de la víctima. Esto le permitió que NSO Group o sus clientes envíen e instalen Pegasus sin el conocimiento de la víctima.”
Reacciones a la demanda
Los investigadores de ciberseguridad, por su parte, aplaudieron la decisión de Apple. Por ejemplo, Joseph Carson de ThycoticCentrify, lo ve como una victoria para la privacidad.
Sabemos que los gobiernos y otros utilizan y abusan de Pegasus para obtener acceso a los datos de los dispositivos móviles sin que la víctima lo sepa o necesite hacer clic en nada. Proteger la privacidad significa la necesidad de tener una buena seguridad. Cuando la seguridad se rompe, pone a todos en riesgo.
El equilibrio de la privacidad está en riesgo hoy más que nunca y parece que Apple ha decidido defender y luchar por la privacidad. Es importante proteger a los ciudadanos, ya que los gobiernos están aquí para servir y brindar servicios a los ciudadanos, no para controlarlos.
Esto significa que los gobiernos deben trabajar juntos para limitar los refugios seguros para aquellos que abusan de los derechos de los ciudadanos y cuando la diplomacia falla, parece que Apple ahora está tomando el camino de la acción legal.
Por otra parte, Williams de BreachQuest señaló que incluso si los ataques de NSO Group contra Apple no se puede evitar con ninguna medida técnica, la demanda se suma a los ya formidables vientos en contra que enfrenta la compañía.
Otros problemas de NSO Group
Obviamente, NSO podrá evadir esto desde un punto de vista técnico. Sin embargo, es probable que le dé a Apple un recurso legal adicional si NSO continúa ofreciendo exploits y puertas traseras que claramente dependen del acceso a los productos y servicios de Apple para la ingeniería y las pruebas.
Esto no es una buena noticia para NSO, que según sabemos está en peligro de incumplimiento con más de $500 millones en deuda. Además de una reciente reorganización de liderazgo con su CEO y Francia cancelando una compra planificada después de las sanciones de Estados Unidos.
Finalmente, el investigador John Bambenek dijo que NSO Group simplemente ha llevado las cosas demasiado lejos. Esta es la consecuencia natural del armamentismo de vulnerabilidades contra las grandes empresas y sus clientes. Hace años, estas herramientas legales se utilizaron contra los investigadores de seguridad hasta que se alcanzó la distensión de los programas de recompensas por errores. NSO Group y otros simplemente están ahora en el lado comercial de estas herramientas legales que han existido pero que han estado inactivas durante algún tiempo.