Decenas de empresas de vigilancia proporcionan tecnología de software espía utilizada por gobiernos de todo el mundo para espiar los teléfonos móviles de periodistas, defensores de los derechos humanos, disidentes y opositores políticos. El Grupo de Análisis de Amenazas de Google ha identificado y está rastreando activamente hasta 40 empresas involucradas en la venta de vulnerabilidades de seguridad y capacidades de vigilancia a gobiernos con malos antecedentes en materia de derechos humanos. El comercio se extiende más allá de las conocidas empresas de software espía, como NSO Group de Israel, Cy4Gate de Italia e Intellexa en Grecia, e incluye una cadena de suministro extendida de empresas más pequeñas que brindan capacidades de vigilancia. La publicación del informe por parte de Google coincidió con una iniciativa conjunta francesa y británica, conocida como Proceso Pall Mall, acordada en una conferencia internacional en Lancaster House en Londres, que aspira a introducir salvaguardias al uso de software espía comercial. Según Google, las empresas del sector privado, conocidas como proveedores de vigilancia comercial (CSV), en lugar de las agencias gubernamentales de inteligencia y aplicación de la ley, son responsables de la mayoría de las herramientas de vigilancia y piratería más sofisticadas detectadas por el Grupo de Análisis de Amenazas (TAG) de Google. De las 25 vulnerabilidades de día cero (debilidades de seguridad no públicas que pueden permitir que el software espía acceda a datos privados en teléfonos o computadoras portátiles) identificadas por los investigadores de Google el año pasado, 20 estaban siendo explotadas por proveedores de vigilancia, encontró. Actualmente, Google está rastreando a 40 empresas involucradas en el suministro de servicios comerciales de vigilancia al gobierno, aunque reconoce que es imposible identificar o contar todas las organizaciones involucradas en el comercio. Impacto paralizador en la democracia y las elecciones La capacidad de los gobiernos para comprar servicios de espionaje electrónico disponibles en el mercado desplaza los riesgos de la vigilancia de los gobiernos a los propios CSV y aumenta la probabilidad de que se implemente software espía contra personas de alto riesgo. El informe, que cuenta las historias personales de activistas y activistas que han sido atacados por software espía patrocinado por el gobierno, concluye que el comercio de software espía ha tenido un efecto paralizador sobre la libertad de expresión y representa una amenaza para elecciones libres y justas. El año pasado, por ejemplo, el TAG descubrió que las herramientas de vigilancia proporcionadas por Intellexa, una alianza de proveedores comerciales de vigilancia con sede en Grecia, habían explotado elecciones y candidatos políticos para atrapar objetivos en Indonesia y Madagascar. El software espía ‘Predator’ de la empresa también se utilizó en Egipto contra políticos de la oposición. Las demandas gubernamentales de software espía han dado lugar a contratos lucrativos para empresas e individuos que forman las cadenas de suministro de proveedores comerciales de vigilancia, como lo han demostrado documentos previamente filtrados citados por Google. Un documento publicado en un foro sobre ciberdelincuencia, por ejemplo, reveló que Intellexa ofreció implantes ‘Nova’ a clientes gubernamentales para infectar 10 teléfonos Android o iOS simultáneamente en el país anfitrión por 8 millones de euros. Por 1,2 millones de euros adicionales, los clientes podrían optar por infectar teléfonos de cinco países adicionales fuera del país anfitrión. La mayoría de los clientes pagan para reinfectar periódicamente sus teléfonos objetivo con software espía para evitar el riesgo de que se detecte si permanecen en el teléfono. Pero Intellexa también ofrecía la opción de instalar infecciones persistentes, que permanecen en el teléfono una vez que se apaga, para realizar pagos mayores. Otros CSV han trabajado con proveedores de servicios de Internet para convencer a los usuarios de que instalen aplicaciones falsas para obtener acceso a los datos de los clientes. Una campaña identificada por TAG en 2021 descubrió que a las víctimas en Italia y Kazajstán se les enviaban mensajes SMS animándolas a descargar aplicaciones falsas de Vodafone que daban a los atacantes acceso al contenido de sus teléfonos móviles. Juegos del gato y el ratón Google y otros investigadores de seguridad han alterado los modelos de negocio de los proveedores comerciales de vigilancia al descubrir, revelar y parchear vulnerabilidades de seguridad utilizadas por los proveedores de software espía. En abril de 2023, por ejemplo, Google interrumpió las operaciones de Intellexa durante 40 días después de que lanzó parches para corregir las vulnerabilidades de día cero utilizadas por su exploit de software espía. Aunque Intellexa desarrolló un exploit de día cero de reemplazo, sobrevivió solo una semana antes de que Google solucionara la vulnerabilidad. Apple lanzó un parche conocido como ‘BlastDoor’ en la actualización de su sistema operativo iOS 14 para dificultar que los atacantes desarrollen exploits sin clic contra su servicio de mensajes de texto iMessage. El grupo israelí de software espía NSO encontró una forma de eludir la protección entregando cargas útiles en forma de archivos PDF disfrazados de archivos gráficos. Apple solucionó el problema en actualizaciones posteriores. Los CSV han continuado en el negocio a pesar de los esfuerzos por frenar sus actividades por parte de gobiernos y empresas de tecnología que han emprendido acciones legales directas contra ellos. El Grupo NSO, por ejemplo, sigue funcionando a pesar de las sanciones del gobierno estadounidense y de las demandas de Meta y Apple. Google sostiene que se necesitan más medidas para frenar la propagación de tecnologías de vigilancia comercial e insta al gobierno de Estados Unidos a liderar un esfuerzo diplomático con los países donde operan proveedores de vigilancia comercial y con aquellos gobiernos que utilizan su servicio. 27 países respaldan el proceso Pall Mall Google, junto con Meta, Microsoft y BAE Systems Digital Intelligence, se encontraban entre un grupo dispar de 14 empresas que apoyaron el proceso Pall Mall, una iniciativa del Reino Unido y Francia para desarrollar salvaguardias y directrices para el uso de vigilancia comercial. servicios. El Proceso Pall Mall, acordado durante una conferencia de dos días en Lancaster House el 6 de febrero de 2023, a la que asistieron 27 países, exige que los gobiernos y las organizaciones del sector privado involucrados en la vigilancia rindan cuentas si sus actividades no son compatibles con las leyes de derechos humanos. El documento afirma que las capacidades de vigilancia deben utilizarse con “precisión” para mitigar “consecuencias no deseadas, ilegales o irresponsables”. Los gobiernos y los proveedores de la industria deben llevar a cabo evaluaciones de diligencia debida para garantizar que la tecnología de vigilancia se utilice de manera legal y responsable. Su uso debe ser lícito, necesario y proporcionado, según el documento de Pall Mall. Sostiene que el suministro de capacidades de vigilancia debe realizarse de manera transparente para que los usuarios y proveedores comprendan las cadenas de suministro involucradas en la provisión de vigilancia comercial y software espía. Grupos de derechos digitales excluidos. Entre los partidarios notablemente ausentes estuvieron varios países que presuntamente habían desplegado software espía comercial, entre ellos España, México, Serbia, Egipto y Jordania. Israel, sede de NSO y otros desarrolladores de software espía, tampoco asistió a la conferencia. Los grupos de derechos digitales, incluidos Amnistía Internacional, Big Brother Watch y otros que han hecho campaña e investigado software espía tampoco figuraron entre la lista de asistentes. El profesor visitante y especialista en privacidad, Ian Brown, comentó sobre X: «Este proceso realmente está perdiendo a una gran parte de las partes interesadas: los grupos de derechos digitales que han estado trabajando estrechamente en este tema durante más de una década». Está previsto que Francia celebre una conferencia de seguimiento en 2024.

Source link