Una coalición de empresas ha presentado un amicus brief en apoyo de un caso legal presentado por WhatsApp contra la empresa de inteligencia israelí NSO Group, acusando a la empresa de utilizar una vulnerabilidad no revelada
NSO desarrolla y vende a los gobiernos acceso a su software espía Pegasus, lo que permite a sus clientes de estado-nación apuntar y piratear sigilosamente los dispositivos de sus objetivos. El software espía como Pegasus puede rastrear la ubicación de una víctima, leer sus mensajes y escuchar sus llamadas, robar sus fotos y archivos y desviar información privada de su dispositivo. El software espía a menudo se instala engañando a un objetivo para que abra un enlace malicioso o, a veces, explotando vulnerabilidades nunca antes vistas en aplicaciones o teléfonos para infectar silenciosamente a las víctimas con el software espía. La compañía ha provocado ira por vender a regímenes autoritarios, como Arabia Saudita, Etiopía y los Emiratos Árabes Unidos.
El año pasado, WhatsApp encontró y parcheó una vulnerabilidad que decía estaba siendo abusado para entregar el software espía de grado gubernamental, en algunos casos sin que la víctima lo sepa. Meses después, WhatsApp demandó a NSO para comprender más sobre el incidente, incluido cuál de sus clientes gubernamentales estuvo detrás del ataque.
NSO ha disputado repetidamente las acusaciones, pero no pudo convencer a un tribunal estadounidense de dejar el caso a principios de este año. La principal defensa legal de NSO es que se le otorga inmunidad legal porque actúa en nombre de los gobiernos.
Pero una coalición de empresas de tecnología se ha puesto del lado de WhatsApp y ahora está pidiendo a la corte que no permita que NSO reclame o esté sujeta a inmunidad.
Microsoft (incluidas sus subsidiarias LinkedIn y GitHub), Google, Cisco, VMware y la Asociación de Internet, que representa a decenas de gigantes tecnológicos, incluidos Amazon, Facebook y Twitter, advirtieron que el desarrollo de software espía y herramientas de espionaje, incluido el acaparamiento de las vulnerabilidades utilizadas para entregarlos – hacer que la gente común esté menos segura y protegida, y también corre el riesgo de que estas herramientas caigan en las manos equivocadas.
En una publicación de blog, el jefe de confianza y seguridad del cliente de Microsoft, Tom Burt, dijo que NSO debería ser responsable de las herramientas que crea y las vulnerabilidades que explota.
“Las empresas privadas deben seguir estando sujetas a responsabilidad cuando utilizan sus herramientas de cibervigilancia para infringir la ley, o permiten a sabiendas su uso para tales fines, independientemente de quiénes sean sus clientes o qué estén tratando de lograr”, dijo Burt. “Esperamos que unirnos a nuestros competidores hoy a través de este amicus brief ayude a proteger a nuestros clientes colectivos y al ecosistema digital global de ataques más indiscriminados”.
Un portavoz de NSO no hizo comentarios de inmediato.