Una nueva investigación revela el uso del software espía Pegasus en el contexto de una guerra internacional.
El informe, publicado el 25 de mayo, es una investigación conjunta entre Acess Now, CyberHUB-AM, Citizen Lab de la Escuela Munk de Asuntos Globales de la Universidad de Toronto (conocido como Citizen Lab), el laboratorio de seguridad de Amnistía Internacional y el investigador de seguridad móvil independiente Ruben Muradyan. Según los hallazgos de la investigación, al menos 12 armenios fueron vigilados con un software espía entre octubre 2020 y diciembre 2022. La lista incluye al defensor del pueblo armenio (cargo estatal de defensor de los derechos humanos), dos periodistas armenios de Radio Free Europe (RFE) y de Radio Liberty (RL), un funcionario de Naciones Unidas y siete representantes de la sociedad civil armenia.
La evidencia recolectada y presentada en el informe demuestra que «los objetivos están relacionados con el conflicto militar en Nagorno-Karabaj».
🚨 BREAKING: We reveal how NSO Group’s Pegasus spyware is being used in the Azerbaijan-Armenia war — first time recorded in international armed conflict.
There are at least 12 civil society targets incl. journalists, human rights defenders + activists.https://t.co/U6d9PokUvN
— Access Now (@accessnow) May 25, 2023
Víctimas de software espía en Armenia. Vigilancia de Pegasus en una guerra.
Una investigación conjunta entre Access Now, CyberHUB-AM, Citizen Lab de la Escuela Munk de Asuntos Globales de la Universidad de Toronto, Security Lab de Amnistía Internacional y el investigador independiente de seguridad móvil Ruben Muradyan ha descubierto la vigilancia a víctimas de la sociedad civil en Armenia con el programa espía Pegasus de NSO Group.
————
🚨 Ultima Hora: Revelamos cómo se está utilizando el software espía Pegasus de NSO Group en la guerra entre Azerbaiyán y Armenia, registrado por primera vez en un conflicto armado internacional.Hay al menos 12 blancos de la sociedad civil, incluidos periodistas, defensores de derechos humanos y activistas.
La investigación forense de los dispositivos indicó que se utilizaron los siguientes software en Armenia: PWNYOURHOME, FINDMYPWN, FORCEDENTRY (también mencionado como Megalodon por Security Lab de Amnistía Internacional) y KISMET. Todos estos software fueron revelados y los está investigando Citizen Lab desde 2020, pero fueron los casos armenios los que ayudaron a Citizen Lab a identificar al software PWNYOURHOME, que fue el centro de la investigación más reciente publicada en abril de 2023
Según la reciente investigación conjunta publicada el 25 de mayo, el momento de las infecciones indica su relevancia para el conflicto entre Armenia y Azerbaiyán, y probablemente fue «la razón del ataque»
The backdrop of the first cluster of civil society Pegasus infections found in Armenia is the bloody 2020 Nagorno-Karabakh war with Azerbaijan, the associated peace talks in October 2020, and the November 9, 2020 ceasefire agreement. At the same time, the Karabakh conflict itself began to intensify again with the Azerbaijan May 12, 2021 offensive and more clashes in July and November 2021. The majority of the Armenia spyware victims were infected during this time period in 2020-2021; between them, there were over 30 successful Pegasus infections.
El primer grupo de infecciones de Pegasus en la sociedad civil armenia fue con el trasfondo de la sangrienta guerra entre Nagorno-Karabaj y Azerbaiyán en 2020 y el cese al fuego del 9 de noviembre 2020. Al mismo tiempo, el conflicto de Karabaj comenzó a intensificarse nuevamente con la ofensiva de Azerbaiyán el 12 de mayo 2021 y más enfrentamientos en julio y noviembre de 2021. La mayoría de las víctimas del software espía en Armenia fueron infectadas durante este período en 2020-2021; entre ellos, hubo más de 30 infecciones exitosas de Pegasus.
En total, las investigaciones forenses identificar a más de 40 infecciones y un intento fallido.
El informe ahonda en los casos identificados, presentado los hallazgos de la investigación. Cinco de los objetivos identificados prefirieron mantenerse anónimos al momento de la publicación del informe.
Los culpables
Los autores del informe señalan que no han podido «establecer de manera concluyente una conexión entre el hackeo de Pegasus y un operador gubernamental específico». Según las investigaciones publicadas hasta la fecha, Armenia no estaba en la lista de clientes identificados como compradores del software espía de NSO. En cambio, Azerbaiyán sí lo estaba. El uso de Pegasus y otras tecnologías de espionaje contra la sociedad civil en Azerbaiyán ha sido ampliamente documentado en los últimos años.
Según el proyecto de informes sobre Delincuencia Organizada y Corrupción (OCCRP por su nombre en inglés), uno de los 17 socios mediáticos involucrados en la investigación global de Pegasus, hasta ahora los investigadores del proyecto han logrado identificar 245 números de teléfono objetivo de los mil números de Azerbaiyán. De estos números, una quinta parte pertenecía a periodistas, editores o propietarios de compañías de medios. La lista también incluye a activistas y miembros de sus familias.
La nueva investigación también señala:
“The Citizen Lab's ongoing internet scanning and DNS cache probing has identified at least two suspected Pegasus operators in Azerbaijan that they call “BOZBASH” and “YANAR.” According to the Citizen Lab, The YANAR Pegasus operator appears to have exclusively domestic-focused targeting within Azerbaijan, while the BOZBASH operator has targets including a broad range of entities within Armenia.”
«La investigación en curso de Citizen Lab, que involucra el escaneo de internet y sondeo de caché DNS, ha identificado al menos dos presuntos operadores de Pegasus en Azerbaiyán que ellos llaman «BOZBASH» y «YANAR». Según Citizen Lab, el operador de Pegasus «YANAR» parece tener como objetivo exclusivamente el ámbito interno de Azerbaiyán, mientras que el operador «BOZBASH» tiene como objetivos una amplia gama de entidades en Armenia».
NSO Group
Niv Carmi, Shalev Hulio y Omri Lavie fundaron NSO Group en Israel en 2010. En su sitio web, la compañía afirma desarrollar tecnología «para evitar e investigar el terrorismo y el crimen». Sin embargo, la tecnología de vigilancia parece haberse utilizado contra disidentes, periodistas y activistas en todo el mundo.
«NSO Group insiste en que vende su software únicamente a Gobiernos, lo que sugiere que los clientes en estos países representan a servicios de inteligencia, fuerzas del orden u otras entidades oficiales», señala OCCRP. Las investigaciones de Citizen Lab revelan que Pegasus de NSO se ha usado contra disidentes, al menos desde 2016, en numerosos países.
En 2019, la empresa fue criticada cuando surgieron acusaciones de que estaba infectando dispositivos de los usuarios con malware mediante hackeo de WhatsApp. En respuesta, WhatsApp y su empresa matriz Facebook (ahora Meta) demandaron a NSO Group. En julio de 2020, un juez federal de Estados Unidos dictaminó que la demanda contra NSO Group podía continuar a pesar de la defensa de la empresa: «sus negocios con Gobiernos extranjeros le otorgaban inmunidad frente a demandas presentadas en los tribunales estadounidenses bajo la Ley de Inmunidad Soberana Extranjera (FSIA por su nombre en inglés)«. En diciembre de 2020, Microsoft, Google, Internet Association, GitHub y Linkedin se unieron como partes en la batalla legal de Facebook [Meta] contra NSO. La audiencia más reciente fue en abril de 2021 y según el sitio de noticias Politico, es poco probable que NSO Group triunfe.
Josh Gerstein, reportero principal de asuntos legales de Politico, señalo:
Even if the firm’s effort to head off the suit fails, it could continue to fight the case in the trial court, but will likely be forced to turn over documents about its development of Pegasus and make executives available for depositions.
Aunque los esfuerzos de la empresa por evitar la demanda fracasen, podría seguir luchando el caso en el tribunal de primera instancia, aunque probablemente se vea obligada a entregar documentos sobre el desarrollo de Pegasus y a disposición a sus ejecutivos para declarar.
En abril de 2023, nueve organizaciones internacionales de derechos humanos y libertad de prensa escribieron una carta a Chaim Gelfand, vicepresidente de Cumplimiento de NSO Group, y solicitó a la empresa «cumplir con sus compromisos de mejorar la transparencia sobre las ventas de su avanzado software espía y tener debida diligencia para proteger los derechos humanos». La carta también rechazo las afirmaciones de NSO Group sobre su supuesto cumplimiento no verificado de parámetros de derechos humanos.
Ron Deibert, director de Citizen Lab en la Universidad de Toronto, considera que las afirmaciones de NSO sobre su cumplimiento de los parámetros de derechos humanos son «mero teatro»
The spectacle might be a mildly entertaining farce were it not for the very real and gruesome way in which its spyware is abused by the world’s worst autocrats. NSO’s irresponsible actions have proven their words are nothing more than hand-waving distractions from the harsh reality of the unregulated marketplace in which they, and their owners, thrive and profit.
El espectáculo podría ser una farsa ligeramente entretenida si no fuera por la forma muy real y espeluznante en que su software de espionaje lo utilizan los peores autócratas del mundo. Las acciones irresponsables de NSO han demostrado que sus palabras no son más que distracciones para ocultar la cruda realidad del mercado no regulado en el que ellos y sus propietarios prosperan y obtienen ganancias.
Hace dos años, el entonces relator especial de Naciones Unidas sobre la libertad de expresión, David Kaye, solicito una moratoria en la venta de software de espionaje similar al vendido por NSO a Gobiernos hasta que se establecieran controles de exportación viables. A pesar de las advertencias de Kaye, la venta de software de vigilancia continuó sin transparencia ni responsabilidad alguna.
La investigación más reciente pone a la compañía en el centro de atención, y también destaca la importancia de los mecanismos de control impuestos a las empresas de software de espionaje. Los autores de la nueva investigación van más allá al concluir que, a pesar de los escándalos, demandas y sanciones, «NSO Group continúa ignorando cómo se utiliza su tecnología en la violación de los derechos humanos para atacar a la sociedad civil, incluidos periodistas y defensores de los derechos humanos.
En un comentario para Global Voices, Natalia Krapiva, asesora jurídica en tecnología de Access Now, expreso:
This investigation is key to understanding the full scope of harms of invasive Pegasus spyware and the entire industry which has been operating with little to no oversight for years. We have seen Pegasus used to intimidate the free press, destroy the civic space, silence dissidents, undermine democracy, suppress independence movements, and more. Now we have evidence of Pegasus being used against civil society and humanitarian actors in a major international military conflict between Azerbaijan and Armenia. I am confident that our report will lead to more research and investigations as well as legal cases to bring accountability to the NSO, the spyware industry, and states who use these invasive technologies to attack human rights and humanitarian actors, journalists, and regime critics.
Esta investigación es fundamental para comprender el alcance completo de daño causado por el intrusivo software espía Pegasus y toda la industria que ha estado operando sin supervisión durante años. Hemos presenciado el uso de Pegasus para intimidar a la prensa libre, destruir el espacio cívico, silenciar a los disidentes, socavar la democracia, suprimir movimientos de independencia y más. Ahora tenemos evidencian de que Pegasus ha sido utilizado contra la sociedad civil y actores humanitarios en un importante conflicto militar internacional entre Azerbaiyán y Armenia. Estoy seguro de que nuestro informe dará lugar a más investigaciones y casos legales para exigir responsabilidad a NSO, a la industria de software espía y a los Estados que emplean estas tecnologías invasivas para atacar a los actores de derechos humanos y humanitarios, periodistas y quienes critican regímenes totalitarios.
Hacia fines de mayo, no se habían hecho declaraciones oficiales sobre la investigación en Azerbaiyán. El 25 de mayo, los líderes de Armenia y Azerbaiyán se reunieron en Moscú para discutir un acuerdo de paz definitivo.