Amazon, Pegasus y su discreta relación

¿Qué pasó?
Amazon Web Services (AWS) -subsidiaria de Amazon Inc. que provee servicios de almacenamiento en la nube a gran escala- cerró las cuentas e infraestructura ligadas a la empresa israelí de espionaje, NSO Group, que albergaba en sus servidores, informó Amazon en un comunicado.

¿Por qué importa?
La acción sucede al mismo tiempo que surgen nuevas revelaciones sobre el profundo -y altamente preocupante- alcance que ha tenido el software de espionaje Pegasus, de NSO Group, el cual ha sido utilizado para intervenir las comunicaciones privadas de decenas de miles de personas alrededor del mundo, entre ellos activistas, periodistas, jefes de Estado, políticos opositores, empresarios, y más.

De estas revelaciones, destaca que México ha sido el país donde más se ha utilizado el controversial malware.

Detalles:

• Este domingo, el Laboratorio de Seguridad de Amnistía Internacional publicó una investigación forense digital en la cual se descubrió que, entre otras cosas, clientes de NSO Group habían podido utilizar “ataques de cero-clics” al servicio de iMessage de Apple, reportó Vice News este lunes .

• Como parte de la investigación, Amnistía Internacional publicó que un teléfono infectado con el malware Pegasus envió información “a un servicio albergado en Amazon CloudFront, lo cual sugiere que NSO Group ha optado por utilizar los servicios de AWS en meses recientes”.

• “Cuando nos dimos cuenta de esta actividad actuamos rápidamente para cerrar la infraestructura y las cuentas relevantes”, dijo AWS en un comunicado.

• Los ataques de “zero-clics”, conocidos en inglés como “cero-click attacks” o “zero day attacks”, aprovechan la vulnerabilidad de los sistemas operativos para intervenir un dispositivo, sin la necesidad de que el usuario tome alguna acción.

• En una revisión de expertos realizada por el grupo de ciberseguridad CitizenLab a los descubrimientos de Amnistía Internacional, el colectivo informó que de manera independiente ya habían observado que NSO Group había comenzado a hacer “uso extensivo” de los servicios de Amazon, incluyendo CloudFront, en 2021.

• CloudFront es una red de entrega de contenido que le permite a sus usuarios, en este caso a NSO, a traspasar contenido de manera rápida y segura a sus usuarios.

• La infraestructura de CloudFront fue utilizada en el despliegue del malware Pegasus en contra de objetivos, entre ellos un abogado francés de derechos humanos, refiere el reporte de Amnistía Internacional.

Contexto:

• En mayo de 2020, Vice tuvo acceso a evidencia la cual apuntaba a que NSO había utilizado infraestructura de Amazon para traspasar malware, algo que contraviene las políticas de la empresa estadounidense. En esa ocasión Amazon no respondió a los señalamientos.

• Este domingo, la organización periodística Forbidden Stories, así como una decena de medios asociados, publicaron una serie de reportajes basados en parte en una filtración de más de 50 mil números telefónicos que fueron presuntamente seleccionados por clientes de NSO para posible monitoreo, entre ellos se encontraban los números del ahora presidente Andrés Manuel López Obrador, decenas de individuos pertenecientes a su círculo cercano, así como empresarios, periodistas, activistas y más.