La compañía estadounidense Apple anunció una demanda en contra de la firma israelí NSO Group, responsable del malware Pegasus. De acuerdo a su comunicado, Apple busca evitar más daños y perjuicios contra las personas usuarias de sus productos, además de prohibir que NSO Group pueda utilizar cualquier tipo de servicio, software o dispositivo de la marca.
Para atacar a los teléfonos iPhone, Pegasus explotó una vulnerabilidad inédita para ingresar sin autorización al dispositivo y tomar control. Los atacantes crearon identificadores de Apple para entregar e instalar el código malicioso de forma inadvertida. La vulnerabilidad fue corregida en septiembre de 2021 con una actualización del sistema operativo iOS.
“Las actividades maliciosas de NSO han explotado los productos de Apple, afectado a los usuarios de Apple y dañado la buena voluntad y el negocio de Apple. Los productos y servicios maliciosos de NSO también han requerido miles de horas de trabajo de Apple para investigar los ataques, identificar el daño, diagnosticar el alcance del impacto y desarrollar e implementar las reparaciones y parches necesarios”, se puede leer en la demanda.
La acción legal de Apple se suma a la que emprendió WhatsApp en 2019, cuando se reveló que NSO Group utilizó la infraestructura del servicio de mensajería para atacar dispositivos de activistas, periodistas y personas defensoras de derechos humanos. La compañía israelí también fue sancionada recientemente por el gobierno de Estados Unidos, al ser incluida en un listado de entidades con ciberactividades maliciosas.
John Scott-Railton, investigador de Citizen Lab y parte del equipo que expuso Pegasus por primera vez, destaca que la acción de Apple también golpea el modelo de negocios de NSO Group y su clientela, ya que la compañía anunció que notificará a las personas afectadas por el malware cuando descubra “actividad consistente con un ataque financiado por un Estado”.
Scott-Railton también señala que la demanda de Apple tendrá efectos inmediatos para NSO Group, como asustar a gobiernos que prefieran evitar el riesgo de ser descubiertos, mostrar a los inversionistas de la firma “no solo como amorales, sino tontos”, y crear un efecto inhibidor dentro de la industria de la vigilancia.
Así mismo, Apple se ha comprometido a destinar 10 millones de dólares, más el pago por daños obtenido en el juicio, para las organizaciones que investiguen y hagan incidencia en temas de cibervigilancia.