El uso de herramientas de espionaje en dispositivos móviles es algo que ya no nos sorprende a estas alturas; desde hace años se sabe de la existencia de herramientas y de empresas que se dedican a desarrollarlas. Tal es el caso de NSO Group con sede en Israel, la cual recientemente creó un dominio web que pertenecía al equipo de seguridad de Facebook para atraer objetivos que hicieran clic en enlaces que tendrían como finalidad la instalación de malware de espionaje en teléfonos celulares, según la firma Motherboard.

Actualmente NSO Group se encuentra en proceso de demanda por parte de Facebook, debido a que explotó una vulnerabilidad en la aplicación WhatsApp que le permite hacer espionaje de forma remota en teléfonos móviles.

Asimismo, Motherboard mostró evidencia que NSO utilizó la infraestructura de Amazon con sede en EE. UU., para hacer la entrega del malware conocido como Pegasus.

Cabe recordar que Pegasus vio la luz en agosto 2016, y basa su eficacia en aprovechar vulnerabilidades que no han sido solucionadas, permaneciendo el mayor tiempo posible en equipos comprometidos sin ser detectado. Este malware ha sido utilizado principalmente por gobiernos y fuerzas policiales, y sus objetivos principales han sido: periodistas, políticos disidentes o activistas que incomodan a gobiernos autoritarios o a algún régimen. Pegasus puede apuntar a ciertas versiones de dispositivos iPhone y Android, y una vez instalado puede intervenir mensajes de texto y redes sociales, rastrear la ubicación GPS del móvil y encender de forma remota la cámara y el micrófono.

Por otro lado, un ex empleado de NSO proporcionó a la firma Motherboard la dirección IP de una configuración de servidor para infectar dispositivos móviles con la herramienta de espionaje Pegasus de NSO. Durante 2015 y 2016, la dirección IP se encontraba ligada a 10 dominios, los cuales se presume fueron diseñados para permanecer inocuos. Unos de ellos como un enlace en el que una persona podría hacer clic para darse de baja de correos electrónicos o mensajes de texto. Otros se hicieron pasar por el equipo de seguridad de Facebook y por enlaces de seguimiento de paquetes de FedEx.

Como parte de la demanda, Facebook tiene como principal argumento las conexiones de NSO con EE. UU. que le otorgan la capacidad de responsabilizar a la empresa israelí bajo la Ley de Abuso y Fraude Informático, según las leyes de la Unión Americana. El servidor descubierto por Motherboard está ubicado físicamente en Virginia, según los registros en línea.

Referencias:
https://www.vice.com/en_us/article/qj4p3w/nso-group-hack-fake-facebook-domain
https://www.vice.com/en_us/article/pke9k9/facebook-wanted-nso-spyware-to-monitor-users
https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
https://blog.lookout.com/blog/2016/08/25/trident-pegasus/