¿Qué harías si descubrieras que tu teléfono probablemente ha sido hackeado por un gobierno extranjero en un intento de evitar que informaras de sus abusos sobre los derechos humanos?
Esa es precisamente la situación en la que el jefe de la oficina del New York Times Beirut, Ben Hubbard, se encontró recientemente después de que se hiciera evidente que su iPhone se había visto comprometido. Hubbard no está solo. Muchos otros reporteros, defensores de los derechos humanos y funcionarios de alto rango en todo el mundo se están convirtiendo cada vez más en los objetivos del notorio programa espía Pegasus, que puede infiltrarse incluso en algunos de los servidores y programas de software comerciales más seguros sin necesidad de ni siquiera un clic.
Una vez que el spyware está en el teléfono de una persona, los hackers pueden acceder a las fotos, mensajes de texto, videos, contactos y otros archivos del usuario. Los hackers también pueden utilizar la cámara y el micrófono del teléfono para grabar conversaciones.
Para combatir el uso y la difusión de Pegasus, Apple Inc. ha presentado una demanda la semana pasada contra los creadores del spyware, NSO Group Technologies y Q Cyber Technologies, por motivos relacionados con los daños supuestamente causados por el programa malicioso en dispositivos Apple.
Pegasus fue desarrollado por el Grupo NSO con sede en Israel, que se formó en 2010, es una subsidiaria de Q Cyber y anteriormente estaba valorado en mil millones de dólares. Durante años, gran parte de las operaciones de NSO estuvieron envueltas en secreto. Sin embargo, informes y demandas recientes han comenzado a arrojar luz sobre sus operaciones. Ahora, la demanda de Apple puede ser la mejor oportunidad para cerrar Pegasus para siempre.
Y ya es hora. Pegasus se utilizó para atacar al editor árabe Abdulaziz Alkami hace ocho años. El mismo spyware también se empleó para vigilar al defensor de los derechos humanos emiratí Ahmed Mansoor y al disidente saudí-estadounidense Jamal Khashoggi. El viernes incluso surgieron informes de que al menos nueve funcionarios del Departamento de Estado que trabajan en temas relacionados con África Oriental fueron hackeados usando Pegasus en los últimos meses, lo que representa los hacks más amplios conocidos de funcionarios estadounidenses que utilizan tecnología de NSO hasta la fecha.
Y ya era hora. Pegasus se utilizó para atacar al editor árabe Abdulaziz Alkami hace ocho años. El mismo spyware también se empleó para vigilar al defensor de los derechos humanos emiratí Ahmed Mansoor y al disidente saudí-estadounidense Jamal Khashoggi.
El viernes incluso surgieron informes de que al menos nueve funcionarios del Departamento de Estado que trabajan en temas relacionados con África Oriental fueron hackeados usando Pegasus en los últimos meses, lo que representa los hacks más amplios conocidos de funcionarios estadounidenses que utilizan tecnología de NSO hasta la fecha.
Un grupo de académicos y periodistas de todo el mundo han pasado innumerables horas documentando el daño que Pegasus causó a los defensores de los derechos humanos y otros. Un grupo de investigadores formó el Proyecto Pegasus, una colaboración de más de 80 periodistas internacionales que examinó los registros de clientes de NSO en más de 50 países que se remontan a 2016.
Del mismo modo, el Laboratorio de Seguridad de Amnistía Internacional publicó un informe detallado en julio de 2021 que establece el método preciso por el cual Pegasus ataca a sus objetivos. Finalmente, el Laboratorio Ciudadano de la Escuela Munk de la Universidad de Toronto narra el reportaje sobre este programa masivo de spyware.
Algunas de las presuntas víctimas de Pegasus han buscado reparación recurriendo al sistema judicial.
Por ejemplo, los objetivos mexicanos, qataríes y otros de Pegasus presentaron una demanda contra el Grupo NSO en o alrededor de 2018 en Israel, Chipre y Panamá.*
El 29 de octubre de 2019, WhatsApp presentó la primera demanda estadounidense notable contra NSO y Q Cyber, alegando: 1) violación de la Ley de Fraude y Abuso Informático; 2) violación de la Ley de Acceso Integral y Fraude a los Datos Computerizados de California; 3) incumplimiento de contrato; y 4) intrusión en los bienes muebles, que en este contexto se refiere al acceso ilegal al sistema.
Este caso sigue pendiente de una decisión por parte del Tribunal de Distrito del Distrito Norte de California. Mientras tanto, el Departamento de Comercio ha agregado al Grupo NSO a su Lista de Entidades, restringiendo la capacidad de la empresa israelí para realizar ciertas transacciones sin la aprobación federal.
La demanda de Apple el 23 de noviembre marca el último intento, y quizás el más agresivo, de acorralar a Pegasus. La denuncia muestra la prosa legal en su máxima expresión:
“Los acusados son hackers notorios, mercenarios amorales del siglo XXI que han creado una maquinaria de vigilancia cibernética altamente sofisticada que invita a abusos rutinarios y flagrantes”.
El equipo de WilmerHale presenta hábil y repetidamente la ventaja competitiva de Apple en la protección de la seguridad de sus usuarios, señalando que “Apple es sinónimo de seguridad” y “los investigadores de seguridad están de acuerdo en que el iPhone es el dispositivo móvil de consumo más seguro y protegido del mercado”.
La demanda prosigue apoyando estas declaraciones con hechos, cifras y fuentes legales verificables. También reparten golpes de pasada a los competidores. En un caso, los autores incluso contrastan brillantemente a Apple con los PC, volviendo a la famosa campaña de marketing de la compañía y haciendo referencia a su lema [Think Different]. (“Apple sabía que el iPhone tenía que ser altamente confiable y estar protegido del malware; no podía ser víctima del destino de los PC, tenía que ser diferente”). Este enfoque cargado de narrativa contrasta marcadamente con la queja utilitaria de WhatsApp, que puede ser técnicamente suficiente, pero carece de empaque.
Después de enfatizar la importancia de la seguridad para Apple lo antes posible, el equipo legal de WilmerHale describe a NSO exactamente en el lenguaje opuesto:
“NSO es la antítesis de lo que Apple representa en términos de seguridad y privacidad. Mientras Apple crea productos para servir y proteger a sus usuarios, NSO apunta e intenta explotar esos productos para dañar a Apple y a sus usuarios”.
Las reclamaciones de reparación de daños para Apple son similares, aunque no idénticas, a las presentadas en la demanda de WhatsApp, aún pendiente desde 2019.
Ambas demandas alegan violaciones de la Ley de Fraude y Abuso Informático. El segundo argumento en cada queja también es una reclamación legal de California, aunque WhatsApp alega una violación de la ley estatal de datos, mientras que Apple alega una violación del código estatal de negocios y profesiones. El tercer argumento en cada queja es una reclamación por incumplimiento de contrato basada en el incumplimiento de los términos de la empresa. En particular, la queja de Apple enumera cinco disposiciones específicas de los Términos de iCloud que alega que fueron violadas por la creación por parte de los demandados de más de 100 ID de Apple y ataques de spyware.
Las demandas [de WhatsApp y Apple] difieren más entre sí en sus cuartos argumentos. Mientras WhatsApp alega intrusión en los bienes muebles, Apple alega un enriquecimiento injusto basado en que los demandados concedan acceso a terceros al servidor de Apple sin compensar a Apple por sus costos para investigar y remediar esos agujeros.
Apple ofrece este argumento como alternativa a su reclamación por incumplimiento de contrato. En general, sin embargo, las reclamaciones de reparación son notablemente similares y se distinguen más por su calidad de escritura que por sus hechos o argumentos legales.
Cuando se trata de compensación de daños, Apple quiere morder tanto como los tribunales le permitan masticar. La compañía busca ocho formas de compensación. Las tres primeras son órdenes permanentes que prohíban a los demandados usar los productos y servicios de Apple, ordenando que los demandados identificar y eliminar toda la información obtenida a través de sus actividades de piratería informática, y que dejen de desarrollar software malicioso de cualquier tipo.
Las siguientes dos peticiones de compensación son por daños compensatorios en una cantidad que se probará en el juicio y daños punitivos. Apple también busca conocer la contabilidad de los demandados, que se les quiten dichas ganancias y cualquier otra reparación que el tribunal considere justa y adecuada.
Los demandados ahora tendrán la oportunidad de responder a la queja de Apple. Sin embargo, si la historia es una guía, este caso podría continuar durante años con abogados que usan mociones para retrasar su resultado y castigarse mutuamente por cualquier paso en falso. Si bien el caso de WhatsApp es el primero en el tiempo y también parece prometedor, la fuerza de la queja de Apple me lleva a creer que es más probable que prevalezca sobre los méritos independientemente del resultado del caso de WhatsApp. Apple también se beneficiará de una ventaja de segundo cambio, al poder ver cómo los tribunales ven las afirmaciones de WhatsApp y ajustar sus argumentos en consecuencia.
Los demandados ahora tendrán la oportunidad de responder a la queja de Apple. Sin embargo, si la historia es una guía, este caso podría continuar durante años con abogados que usan diferentes mociones para retrasar su resultado y castigarse mutuamente por cualquier paso en falso.
Si bien el caso de WhatsApp es el primero en el tiempo y también parece prometedor, la fuerza de la queja de Apple me lleva a creer que es más probable que prevalezca [con una sentencia favorable] independientemente del resultado del caso de WhatsApp.
Apple también se beneficiará de la ventaja de ser la segunda en demandar, al poder ver cómo los tribunales valoran las afirmaciones de WhatsApp y poder ajustar sus argumentos en consecuencia.
Tampoco sería ninguna sorpresa que el caso de Apple terminara ante la Corte Suprema de los EE.UU., dado que involucra espionaje patrocinado por el estado, nuevas tecnologías, la Primera Enmienda y una de las principales empresas tecnológicas de nuestra era.
Además, partes del caso relacionado con WhatsApp ya se han visto ante el Tribunal de Apelaciones del Noveno Circuito. En esa apelación, el Noveno Circuito confirmó la decisión del tribunal de distrito de que los acusados no estaban en condiciones de hacer valer la inmunidad soberana como medio para desestimar el caso.
Por lo tanto, no es irrazonable suponer que los acusados continuarán luchando contra las decisiones desfavorables ante el tribunal superior que esté dispuesto a escuchar sus quejas.
Si Apple ganara este caso, asestaría un duro golpe contra los operadores maliciosos de spyware, la piratería patrocinada por el estado y la opresión global de los activistas por la democracia.
Sin embargo, si los acusados prevalecieran de alguna manera, podría enviar una señal de que hemos entrado en una nueva era en la que los piratas tecnológicos son libres de campar a sus anchas sin temor a la intervención judicial.
Por el bien de nuestra libertad y seguridad, espero que Pegasus sea acorralado.
Traducción literal de un artículo de Slate, por su interés. Si quieres que lo eliminemos, envía un correo a redaccion@faq-mac.com
Escucha nuestros podcasts para entender mejor qué es Pegasus y cómo nos afecta.
