Pegasus posibilita «comprar su propia NSA», ironiza, refiriéndose a la agencia estadounidense de inteligencia, Ron Deibert, director de Citizen Lab. Este laboratorio de la Universidad de Toronto desempeñó un papel clave en la exposición mediática actual de Pegasus.
«¿Usted no tiene las capacidades en casa? Gracias a empresas como NSO, usted puede salir y simplemente comprarlas!», insiste.
En marzo el centro de reflexión Atlantic Council ya había advertido sobre el papel peligroso desempeñado por NSO y otras empresas especializadas en la venta de instrumentos en los teléfonos móviles y otros sistemas informáticos.
Estas firmas «de intrusión a petición de (AaaS, Access as a service) crean y venden capacidades ciber-ofensivas a un ritmo alarmante», subrayaba el informe, que describe en particular el papel desempeñado por tres empresas: NSO, una sociedad rusa de la que Atlantic Council prefería no dar el nombre, y DarkMatter, con sede en Emiratos Árabes Unidos y creada con el apoyo de expertos estadounidenses.
Según el informe, la emergencia de esas empresas «contribuyó a comprometer infraestructuras nacionales críticas, y facilitó el desarrollo de nuevos instrumentos ofensivos para los Estados» que antes no tenían las condiciones técnicas para hacerlo.
Para los expertos de Atlantic Council, es tiempo de que los Estados regulen de manera más rigurosa esas empresas privadas.
Recomiendan especialmente imponerles obligaciones de transparencia sobre sus clientes y sus proveedores, así como restringir sus capacidades para reclutar especialistas que han trabajado con agencias estatales.
La canciller alemana Angela Merkel pidió el miércoles más restricciones a la venta de programas de tipo Pegasus. «Es importante» que tales programas «no lleguen a estar en malas manos», declaró.
– Un mercado de la falla informática –
Interrogado antes de la declaración de Merkel, Ron Deibert no ocultaba sin embargo su escepticismo sobre la voluntad de los Estados en actuar realmente para contrarrestar la proliferación del ciber-espionaje.
«La realidad es que casi todos los gobiernos tienen interés en conservar esta industria como es: secreta, no regulada», dijo a la AFP.
Sin embargo, estima, «requerimos una legislación que facilite a las víctimas procesar a las empresas y los gobiernos responsables» del espionaje.
El caso Pegasus revela un problema recurrente: ¿cómo descubrir y reparar las fallas y vulnerabilidades en los sistemas informáticos?
Estos son el combustible del que se alimentan empresas como NSO para construir sus armas cibernéticas.
Un informa de la OCDE señalaba en febrero los esfuerzos insuficientes de los Estados en la materia.
Subrayaba especialmente el papel a veces nefasto desempeñado por las agencias estatales: los servicios de inteligencia o de policía compran especialmente informaciones sobre esas fallas para sus propios instrumentos de espionaje, y alimentan así un verdadero mercado de la falla informática.
La OCDE preconizaba «un esfuerzo colectivo», que sugiere especialmente el desarrollo y compartir a gran escala bases de datos internacionales sobre las fallas descubiertas.
A falta de un abordaje coordinado, algunas empresas se especializaron en comprar las informaciones a los hackers que descubren la fallas, y las venden a servicios estatales o a empresas como NSO.
La estadounidense Zerodium, una de las estrellas de ese mercado, no duda en publicar en Twitter y en su sitio internet el tipo de vulnerabilidad que busca y el precio que está dispuesta a pagar.
AFP