NSO: ¿investigadores en ciberseguridad, o una panda de delincuentes?

IMAGE: NSO logo

La reciente denuncia de Apple a la compañía israelí NSO Group, muy conocida por desarrollar precisamente herramientas que vende a gobiernos que las utilizan específicamente para violar la seguridad de los iPhones, pone encima de la mesa la creciente preocupación por el crecimiento de toda una industria dedicada a la creación de herramientas de spyware, y la discusión sobre si los fabricantes de una herramienta deben o no tener responsabilidad sobre los usos que se hacen de ella.

Históricamente, la teoría que desliga la fabricación de herramientas de los usos que terceros hacen de ellas ha sido utilizada en múltiples ocasiones. Probablemente la más conocida sea el ejemplo del cuchillo, aplicado también en algunos países a las armas de fuego: una herramienta que sirve para numerosos usos, muchos de ellos perfectamente inofensivos o indispensables, pero que puede también ser utilizada como arma mortal, y cuyo uso, de hecho, está regulado en numerosos países. El caso de las armas de fuego ofrece más variaciones, pues si bien algunos países esgrimen su necesidad para la defensa y consagran el derecho a tenerlas y utilizarlas en su mismísima Constitución, algo que a los ciudadanos de otros países nos resulta simplemente alucinante, en otros se legitima, por ejemplo, su uso para la caza o la competición.

El caso de NSO Group, sin embargo, parece claramente diferente: todo el objeto social de la compañía está dedicado a la producción de herramientas de ciberespionaje, sus clientes suelen ser prácticamente siempre gobiernos que las utilizan para operaciones de espionaje sobre sus ciudadanos o a nivel internacional, como en el reciente escándalo Pegasus que alcanzaba incluso a varios jefes de estado, y la supuesta defensa de la compañía, esgrimiendo que su software es fundamental para detectar amenazas terroristas u otras actividades criminales, no parece especialmente justificada cuando resulta que sus herramientas han sino utilizadas incluso por cárteles de la droga mexicanos para vigilar e intimidar a periodistas.

Cuando la compañía, por tanto, esgrime que los culpables del mal uso no son ellos, fabricantes de las herramientas, sino sus clientes, los gobiernos extranjeros que las utilizan, la línea de defensa parece, como mínimo, más difícil de sostener que cuando hablamos de otro tipo de herramientas con, al menos, un propósito razonablemente adecuado o no delictivo. ¿Qué ocurre cuando una compañía se convierte en el sitio al que hay que ir, en el lugar de peregrinaje para gobiernos dictatoriales de todo el mundo, para llevar a cabo actividades de vigilancia que – como puede obviamente demostrarse – tienen poco que ver con el mantenimiento de la seguridad, y mucho más con el espionaje de opositores, de periodistas o de activistas? Pues que, lógicamente, esa compañía se gana muchos enemigos. Si además esas herramientas son utilizadas incluso para espiar las conversaciones de jefes de estado, lo lógico es pensar que algunos de ellos pidan algún tipo de explicaciones al gobierno israelí.

El caso de Apple es claro: una compañía que hace gala de su convencimiento de que la privacidad es un derecho fundamental e inalienable, y de que lo que ocurre en sus dispositivos se queda en sus dispositivos. Pero que se encuentra con que una compañía pone en marcha toda una maquinaria inequívocamente dedicada a violar los protocolos de seguridad de esos dispositivos, para que sean explotados por gobiernos. ¿Está denunciando simplemente a una serie de hackers que poseen una insana curiosidad por aprender a entrar en un sistema, o a una panda de delincuentes que se enriquecen vendiendo las herramientas que obtienen a cualquier cliente, sin ningún tipo de escrúpulos sobre el uso que estos les puedan dar? ¿Algún asomo de ética hacker, o de trabajo constructivo con la compañía para que esta, en último término, pueda mejorar sus planteamientos de seguridad? Obviamente, ninguno.

De hecho, lo que argument Apple parece, como tal, bastante razonable:

«El paso que Apple está dando hoy debería enviar un mensaje claro: en una sociedad libre, es inaceptable desarrollar un poderoso software espía patrocinado por el estado contra usuarios inocentes y contra aquellos que buscan hacer del mundo un lugar mejor».

Es NSO un grupo de investigadores en ciberseguridad que llevan al límite su especialización en el iPhone, o hablamos simplemente de una panda de delincuentes que deberían ser perseguidos? ¿Qué puede ocurrir, por otro lado, si Apple logra ganar el juicio, similar al iniciado por Facebook el pasado octubre contra la misma compañía por el uso de sus herramientas para violar la seguridad de WhatsApp? ¿Podría impedir que NSO siguiese desarrollando su software? ¿Podría, hipotéticamente, amenazar a sus directivos o demandar su persecución a nivel internacional? ¿Cuánto tardaría en aparecer una nueva NSO? ¿O estamos hablando simplemente de denuncias con un mero valor simbólico, en un mundo en el que este tipo de herramientas son desgraciadamente ubicuas?


This article is also available in English on my Medium page, «NSO: cybersecurity researchers or a criminal conspiracy?«

28 comentarios

  • #001
    Chipirón - 28 noviembre 2021 - 19:24

    Interesante dilema: Hasta que punto es el desarrollador de una nueva tecnología o herramienta responsable de su mal uso?

    Supongo que cada caso, cada invento u herramienta tiene su propio debate y no es generalizable…

    • Lua - 28 noviembre 2021 - 19:31

      Yo me imagino que es mas un dilema etico y halla cada cual con su conciencia…

      Tu puedes desarrollar un «algo» que te han pedido. Asi que de entrada ya puedes decidir hacerlo o no (por lo general pensaras que si no lo haces tu, lo hara otro, asi que cuartos a tu bolsillo)

      Otra cosa seran las finalidades. En el ejemplo del cuchillo… Si alguien lo usa para matar… Es culpa de los herreros?

      • meji yon - 28 noviembre 2021 - 19:49

        WARNING: ALERTA VIEJUNA

        Si haces navajas suizas lo lógico es que se usen en el camping

        Pero si haces cuchillos capacerdos

        ¿para qué se usarán?

        Y los cuchillos capa cerdos, ¿los piden los gobiernos? vaya como el programa de la tele: sorpresa, sorpresa

        • Lua - 28 noviembre 2021 - 21:47

          Calla coño…. que me meo… XDDD

      • Carlos Jerez - 28 noviembre 2021 - 20:50

        Sus clientes son mayormente gobiernos nacionales, entre ellos varios conocidos por violar los derechos humanos. Ya no entremos en que también lo utilicen organizaciones criminales. Para mi es claro que son corresponsables de los daños que ocasiona a personas inocentes.

        Por otro lado, estamos hablando de un software creada para servir al estado, Israel, más amigo de EEUU y sus aliados. Es decir, que uno tiene que confiar mucho en la independencia judicial para pensar que NSO será condenada y acabe pagando por sus acciones.

        • Javier - 28 noviembre 2021 - 21:35

          Los mismo pensaba yo. Dentro de un tiempo, esto «se resuelve» con una llamada del Departamento de Estado, y aquí no ha pasado nada señores, circulen, circulen…

  • #007
    Gorki - 28 noviembre 2021 - 19:26

    Quienes duplican llaves ¿Son responsable del uso que hacen con esas llaves duplicadas, los clientes que se las solicitan?

    La fabrica de armas de fuego ¿Es responsable del uso que hagan quienes legalmente compran las armas?

    Quien saca datos, (legalmente), de nuestra navegación por Internet para crear un perfil de usuario, ¿Es responsable del uso el cliente de a ese perfil?

    Este es un tema muy controvertido y de difícil respuesta genérica, pero hasta ahora, la norma general es que la culpa es de quien hace una fechoría, pero no del constructor de la herramienta necesaria para hacerla.

  • #008
    meji yon - 28 noviembre 2021 - 19:46

    He de reconocer lo primero que no conocia a este grupo de Israel, lo cual es bueno ya que si de dedican a espiar lo suyo es que sean conocido en el mundillo y no por el resto de mortales. He mirado un poco en internet, y he sacado las siguientes conclusiones

    1. Era conocido que Pegasus es un software espia de esta gente, y segun para investigar terrorismo y delincuentes
    2. Hay un informe de amnistia internacional desde julio sobre ellos, ( y parece que lo que
    https://www.amnesty.org/en/documents/doc10/4487/2021/en/
    3. Los que conocen la versión Kali Linux saben que está repleta de herramientas, si ahora hicieramos un «scaneado» sobre una IP de forma ilegal «sobre una dirección» el culpable no sería la distribución sino el que lo hace. Está demostrado que Pegasus inyecta código malicioso.
    4. A los IPHONEs tienen el mismo agujero de seguridad que cualquier hijo de vecino… además confirmado por la propia APPLE les han entrado a conciencia

    https://blog.css-engineering.com/en/news-fr-apple-corrige-un-bug-exploit-par-pegasus-un-simple-message-peut-infecter-liphone/

    Ojito en septiembre… iOS 148, WatchOS 762, iPad OS 148 and macOS 116

    Ahora va la interpretación, primer link de Enrique, APPLE dicen que tienen un agujero como un charco de patos, a fecha 23 nov.

    ¿Qué ha pasado desde julio(primera constancia en prensa) hasta hoy?

    Aparte del camarote de los Hnos. Marx que debe haber sido San APPLE, básicamente que hasta 3 nov Defensa USA no ha puesto en la blacklist a su aliado… y aqui se acaba todo el rollo

    Solo recordar que uno de los mejores y mayores fabricantes de Firewalls es israelí…. ¿Alguien duda que hay puertas traseras a los servicios secretos de los 14 eyes?

    No nos hagamos los tontos el resumen

    «LOS APPLE SON TAN CRACKEABLES COMO CUALQUIER SW»

    https://www.msn.com/en-us/news/politics/biden-administration-blacklists-nso-group-over-pegasus-spyware/ar-AAQh9iL

    • Chipirón - 28 noviembre 2021 - 23:02

      No estoy de acuerdo en lo último que has dicho: Si fuesen más fáciles de crackear no habría una sola empresa que cobra mogollón por su herramienta.

      Lógicamente el iPhone es hackeable, pero no creo que de forma tan fácil como un Androide. De ahí la fama de esta empresa israelita.

      • Meji yon - 28 noviembre 2021 - 23:57

        Que para que quieres un váter !!!

        • Chipirón - 29 noviembre 2021 - 23:31

          Ein?

  • #012
    Matt - 28 noviembre 2021 - 20:14

    Una panda de delincuentes.

    Ellos saben perfectamente para qué van a emplear el software los gobiernos a los que se lo venden. De hecho, lo crean para eso.

    • Gorki - 28 noviembre 2021 - 20:49

      Que yo sapa son gobiernos que mantenemos relaciones diplomáticas con multitud de países, posiblemente con España.

      ¿Tu crees que los gobiernos con los que tenemos relaciones diplomáticas no espían lo que les parece conveniente? ¿Has oído hablar de Carnivore y Echelon?

      https://es.wikipedia.org/wiki/Carnivore_(software)
      https://es.wikipedia.org/wiki/ECHELON

      • Matt - 28 noviembre 2021 - 21:00

        No es que lo crea, es que lo sé. Y ellos y cualquiera que esté mínimamente informado tambien.

        Si precisamente por eso digo que si que son responsables porque saben para que se va a utilizar.

        • Gorki - 29 noviembre 2021 - 13:23

          ¿Si unos (USA, Inglaterra, Canadá , Nueva Zelanda,…) lo hacen, es razonable, que otros porque nos caigan gordos a nosotros, (Rusia, Persia, Cuba, Cina,…), no lo puedan hacer?.

          Suena un poco a la Ley del Embudo.

  • #016
    JM - 28 noviembre 2021 - 21:31

    Yo no veo aquí ninguna confusión.

    Los investigadores de ciber seguridad, de los que conozco alguno personalmente se dedican a buscar fallos de seguridad y cuando encuentran alguno lo ponen en conocimiento de la entidad afectada, en la que a partir de ahí cae la responsabilidad de darle solución o no. A partir del conocimiento adquirido se pueden crear herramientas como Shodan o FOCA que también se pueden utilizar para actividades cuestionables pero que no pretenden ocultar vulnerabilidades en los sistemas, sino todo lo contrario.

    En cambio NSO group se dedica a buscar vulnerabilidades y a ocultarlas para construir herramientas que diversos gobiernos y entidades utilizarán para delinquir y vulnerar los derechos humanos.

    Sinceramente no veo dónde está la polémica.

    • meji yon - 28 noviembre 2021 - 21:40

      Y se publica en 2016 que existe, y ahora se hacen los enterados…. gato encerrado

  • #018
    meji yon - 28 noviembre 2021 - 21:39

    Mirar la pregunta que le hacían a Chema en enero 2020

    «Hola , disculpa que te moleste.. Pero tengo duda hace tiempo , puede ser posible que el proyecto pegasus (software o malaware.) este activo aca en donde vivo argentina. Si es asi y tienes un poco de tiempo me explicarias que es lo que hace y a que afecta.. Muchisimas gracias saludos»

    https://www.elladodelmal.com/2020/01/citas-para-tu-agenda-esta-semana-hc0n.html


    Por cierto Enrique ¿por qué ahora salta esto? ¿qué hay detrás? Tienen que pasar 5 añazps !!!

    https://blog.lookout.com/trident-pegasus

    Era público desde 2016
    Que nos cuenten una película de hace muuuuchos años ahora ¿No es sospechoso?

    Esta claro…

    ALERTA VIEJUNA

  • #019
    Angel - 29 noviembre 2021 - 03:55

    Es una denuncia con valor simbólico. Pero es necesaria, porque Apple de da valor a la privacidad y este grupo se dedica a violarla.
    Lo que me llama la atención es que no lo haya hecho antes.

  • #020
    FER - 29 noviembre 2021 - 09:37

    Yo creo que ni investigadores ni delincuentes. Son simplemente mercenarios. No creo que una consideración ética tenga mucho sentido, «solo son negocios» como diría don Vito Corleone.

    La denuncia de Apple, de una hipocresía manifiesta. Supongo que ellos pueden garantizar que sus aparatos jamás se usan con fines ilícitos …

  • #021
    meji yon - 29 noviembre 2021 - 11:04

    La anécdota en este caso es que Apple haya denunciado.

    Era algo parece que bastante conocido, y que tras meses de inactividad ahora se ponen finolis.

    ¿Hace años que se conoce el exploit y ahora nos sales con estas Mr Apple? Que curioso que haya tenido que venir la administración demócrata de Biden para que se destape esto. No creo que sea muy apresurado pensar que muerto el perro muerta la rabia (tapadera Trump)

    Lo de Apple vergonzoso, apoyo lo que dice Fer, son unos hipócritas. Persolnalmente no lo conocía hasta el artículo de Enrique, gracias por desenmascar a esta empresa y a Apple.

    Más datos:

    Hungria espiaba a sus ciufadano, mapa y nombres espiados en distintos paises, la UE denunciando…

    https://pace.coe.int/en/files/29415
    https://www.theguardian.com/commentisfree/2021/nov/27/notorious-pegasus-spyware-faces-its-day-of-reckoning
    https://www.theguardian.com/news/2021/sep/15/eu-poised-to-tighten-privacy-laws-after-pegasus-spyware-scandal
    https://www.rferl.org/a/hungary-admits-pegasus-spyware/31546293.html
    https://www.occrp.org/en/the-pegasus-project/

  • #022
    Javier Lux - 29 noviembre 2021 - 13:15

    Toda esta historia de privacidad tiene fácil solución en los estados democráticos, pero no lo harán.

    La base está en investigar y penar EFECTIVAMENTE los abusos de la información espiada. Es decir teniendo jueces neutrales e independientes y con equipos de investigación neutrales, justo exactamente lo contrario de lo que ocurre en el estado español.

    Si una información obtenida en la lucha antiterrorista o contra el narcotráfico o en cualquier otra investigación sale de su ámbito para meterse en política o chantaje/extorsión o lo que sea, INVESTIGADO y PENADO SEVEREAMENTE. Yo conozco dos casos palmarios de esos abusos, uno público/político y otro privado.

    Mas problemático es cuando esas herramientas las disponen dictadores. Es obvio que Al-Sisi es un dictador y no respeta mucho los DDHH, pero también es cierto que lucha contra Daesh y al-Qaida. ¿Que hacer? Complicado como todo.

  • #023
    Xaquín - 29 noviembre 2021 - 15:37

    Puede que se necesite algo más de espaciotiempo, para dilucidar hasta que punto JM (015) da en el clavo, pero no dudo firmar lo que dice , para acortar en parte mi comentario.

    Observando (lo observable) de una determinada mafia (Chicago, NY, Medellín, Tokio, Moscú…) crea un departamento especial para atender la subcontrata de sicarios, por ejemplo, para determinadas operaciones especiales de «desaparición de personas», no parece lógico tener dudas sobre el papel mafioso delictivo de sus operaciones.

    Y lo mismo vale el departamento ad hoc de la CIA (Jason Bourne), por ejemplo.

    El trabajo de esa «agencia privada» israelí, para apoyar la caza de disidentes, sean del gobierno o de otras mafias, donde antes «trabajaban», no parece muy diferente.

    Por estar sindicado, el sindicato del crimen no deja de favorecer el crimen. Y si es paralegal (e incluso legal, y aquí caen de repente algo como los GAL o los modernos paramilitares), sigue siendo una banda criminal, que poco se diferencia (en su esencia determinante) de las bandas terroristas de cualquier otro tipo.

    A fin de cuentas el Mossad, como la CIA, KGB remozada…) son ejemplos claros de delincuencia permitida. Incluso muy preciada, también por gente «normal» (esa que se dice «de la calle»).

    Además, si somos tecnólogos «de altura», seremos conscientes de que la tecnología no tiene bando, tanto funciona en el lado social claro (o falsamente claro) como en el oscuro. Como podría decir un ser verdoso, «la fuerza, intensa puede ser en cualquiera de sus lados».

  • #024
    F3r - 29 noviembre 2021 - 15:59

    No hay dilema alguno con este software, igual que no lo hay con las armas de fuego: solo sirven para cometer crímenes. A ver cuándo empezamos a prohibirlas y a sancionar a los países que las exportan. ¿Cuántas guerras, golpes de estado y migraciones masivas nos habríamos ahorrado? ¿Cuántos grupos armados, terroristas o países son capaces de proveerse de armas en cuanto cierras el grifo del comercio internacional?

    Este debate os vaticino que se convertirá en actualidad (dolorosa para nosotros) cuando empiece a ser un tema la migración masiva climática (y todos los conflictos armados que va a desencadenar)

  • #025
    21stCenturyMercenary - 29 noviembre 2021 - 18:29

    Pegasus is used by law enforcement agencies, homeland security and national security agencies.
    As such, these clients would want to keep quiet about their activities and tools – the only things you’ll hear are the cases flashed out by NGOs.
    This is to say that you’re not seeing the full picture, and probably never will.
    How do think you can stop crime and terror when all comms are encrypted? How do you think it was done before whatsapp and telegram and signal?

  • #026
    Gorki - 29 noviembre 2021 - 21:05

    N ay que ser ingenuo para creer cualquier buenismo

  • #027
    Gorki - 29 noviembre 2021 - 21:08

    Hay que ser ingenuo para creerse cualquier noticia que sale del Departamento de Marketing de un empresa, sobre todo si se dedica a la cosmética.

  • #028
    Dedo-en-la-llaga - 30 noviembre 2021 - 22:05

    «¿O estamos hablando simplemente de denuncias con un mero valor simbólico, en un mundo en el que este tipo de herramientas son desgraciadamente ubicuas?»

    Exactamente, de eso estamos hablando: ni de coña, ni de broma, ni pagando va a pasar otra cosa que todo siga exactamente en la misma línea pero empeorando. Of course!

Dejar un Comentario

Los comentarios están cerrados