Productos y Servicios PRODUCTOS Y SERVICIOS

El Congreso quiere saber quién está usando spyware contra los EEUU

El 1 de mayo de 2018, el hombre más rico del mundo estaba teniendo una conversación aparentemente amigable de WhatsApp con el príncipe heredero de Arabia Saudita, Mohammed bin Salman, cuando se envió un archivo no solicitado desde el teléfono del príncipe heredero.

En cuestión de horas, se extrajo una gran cantidad de datos del teléfono del CEO de Amazon, Jeff Bezos: un robo de datos probablemente provocado por el famoso spyware móvil Pegasus del NSO Group, según un informe de las Naciones Unidas publicado a principios de este año.

Ese spyware comercial se ha relacionado con al menos un asesinato y múltiples abusos contra los derechos humanos, incluida la presunta participación en el asesinato del periodista del Washington Post Jamal Khashoggi en 2018; un ataque de spearphishing en junio de 2018 contra un miembro del personal de Amnistía Internacional; y el uso por parte del gobierno mexicano contra destacados abogados de derechos humanos, periodistas y activistas anticorrupción.

Finalmente, después de años de uso por parte de los estados de este poderoso spyware contra sus rivales y enemigos políticos, el Congreso de los Estados Unidos planea ordenar a su Director de Inteligencia Nacional (DNI) que haga un seguimiento de la amenaza que este malware representa para la nación, que gobiernos extranjeros lo están usando y para qué.

John Scott-Railton, investigador principal de Citizen Lab, vio la semana pasada un poderoso punto incorporado en un borrador del proyecto de ley de financiamiento de inteligencia para 2021. El proyecto de ley del Senado, que establece los fondos para las operaciones de inteligencia del gobierno para el próximo año, requeriría que el DNI presente un informe al Congreso sobre la amenaza que representa el spyware comercial. Scott-Railton lo calificó como una “señal clara de que el Senado se está tomando muy en serio la amenaza de seguridad nacional de los programas espía comerciales”.

Puedes leer la parte relevante en la Sección 503 de la versión borrador de la Ley de Autorización de Inteligencia para el año fiscal 2021.

Los investigadores de ciberseguridad del Citizen Lab de la Universidad de Toronto están íntimamente familiarizados con Pegasus y otros programas espía. Han estado rastreando a Pegasus durante años. De hecho, Citizen Lab detectó por primera vez a Pegasus en agosto de 2016. También consultaron en un informe del New York Times que encontró que “los abogados de derechos humanos, periodistas y activistas anticorrupción más destacados de México han sido el blanco de spyware avanzado vendido al gobierno mexicano” por NSO Group, una compañía israelí que afirma que hizo “un acuerdo explícito de que se use solo para combatir a los terroristas o los carteles de la droga y los grupos criminales que durante mucho tiempo han secuestrado y asesinado a mexicanos”.

Scott-Railton dijo que durante años, todas las principales compañías tecnológicas de EEUU han lidiado con las amenazas que representan los programas espía comerciales. Lo mismo ocurre con la comunidad de inteligencia de la nación y los funcionarios electos, incluido el Departamento de Estado. Ahora, en un impulso liderado por el senador Ron Wyden, “el tema está pasando por la agenda del Congreso”, dijo Scott-Railton.

La Sección 503 requeriría investigar e informar sobre las empresas que venden software espía comercial, incluso si proviene de empresas estadounidenses. También busca detalles sobre que compradores de software espía, ya sean gobiernos extranjeros u otras entidades, representan la mayor amenaza para los EEUU y sus empleados con sede en ese país o en el extranjero.

La Sección 503 requiere que el gobierno trabaje con empresas de tecnología y telecomunicaciones para descubrir cómo reforzar la seguridad del software y del hardware de consumo utilizado en los EEUU: tecnología que es el objetivo de software de intrusión y vigilancia. Sugiere bloquear activamente a los actores de amenazas mediante el uso de múltiples herramientas: controles de exportación, presión diplomática y acuerdos comerciales.

Scott-Railton lo resumió:

El spyware comercial siempre ha sido una amenaza NATSEC para los EEUU. Esta ley ayuda al gobierno a avanzar hacia la acción.

Son “muy malas noticias para los malos actores habituales como NSO Group y sus colegas más tranquilos de todo el mundo”, dijo.

Quizás sea así, pero esos “malos actores habituales” habitualmente ganan una enorme cantidad de dinero vendiendo este malware. No esperes que se den por vencidos sin pelear, Scott-Railton dijo:

¿Ese sonido que oyes? Esas son las empresas de software espía oscuras que intentan calcular cuánto dinero más deben gastar en lobbys de abogados y operaciones de influencia para mitigar el daño.

A principios de este mes, el borrador actual del proyecto de ley de financiación fue enviado por el Comité Selecto de Inteligencia del Senado con una votación de 14-1. Estará sujeto a una votación del Senado a finales de este verano.