NSO es una de las compañías más polémicas en lo que seguridad informática respecta, por ser la desarrolladora del spyware Pegasus, capaz de infectar un iPhone sin jailbreak en la era de iOS 9, de supuestamente hackear a Jeff Bezos o de aprovechar una vulnerabilidad de WhatsApp para instalar software espía en iOS y Android.
Gracias a una información del Financial Times, nos enteramos de que la compañía israelí está promocionando en documentos que ofrece a clientes la posibilidad de obtener todos los datos de una persona almacenados en servidores de Apple, Google, Facebook, Amazon y Microsoft, y no solo la contenida en un smartphone físicamente. Esta capacidad, de ser cierta, va más allá de lo que han hecho hasta ahora.
La compañía nunca ha admitido abiertamente las prácticas en las que se utiliza Pegasus, y al contrario, ha defendido que sus desarrollos van enfocados a la lucha contra el terrorismo. Sin embargo, según analistas de seguridad, se han acabado usando para hackear a periodistas y activistas opositores a regímenes dictatoriales.
NSO sería capaz de hacerse con llaves de acceso de tus servicios sin que te enteres
El Financial Times cita un documento de ventas como la fuente de la información que ha publicado. En él se detalla cómo, gracias a hacerse con las llaves de autenticación de servicios como Google Drive o iCloud infectado terminales, son capaces de hacerse pasar por estos terminales como si de un clon se tratase con incluso su ubicación, lo que les abre acceso a los datos de la nube de sus usuarios, sin que haya aviso de mail por acceso potencialmente malicioso o necesidad de recibir códigos de 2FA.
De la noticia, eso sí, no se extrae que Pegasus pueda hackear servidores de los grandes de Internet, pero sí acceder a los datos que contienen hackeando con suma facilidad smartphones donde se encuentran claves de acceso de dichas plataformas. La clave es que el ataque se haría usuario a usuario, no mediante un hackeo masivo, pues hacen falta llaves individuales. Aun así, la explicación del Financial Times tampoco es detallada. Las posibilidades de la herramienta que han podido conocer por el documento son estas:
"Tener acceso a un 'punto final de la nube' significa que los espías pueden llegar al 'contenido del smartphone y más allá', lo que permite que la información sobre un objetivo se 'recoja' desde múltiples aplicaciones y servicios"
Frente a ello, la respuesta oficial de NSO al Financial Times:
No proporcionamos ni comercializamos ningún tipo de capacidad de piratería o recolección masiva a ninguna aplicación, servicio o infraestructura en la nube.
La noticia no detalla hasta qué punto se ha utilizado la herramienta para acceder a datos privados de personas, pero sí que Q-Cyber, compañía a la que pertenece NSO, la habría ofrecido al Gobierno de Uganda. No está, claro, sin embargo, si el país africano se hizo finalmente con los servicios de la polémica empresa.
Al ser preguntados por el periódico, Amazon ha mencionado no haber encontrado pruebas de estos accesos a sus sistemas, Facebook afirma estar analizando el caso, y Apple afirma que no creen que exista una herramienta para ataques amplios contra usuarios, y sí para atacar a números reducidos de dispositivos. Google no ha respondido al Financial Times, y Microsoft solo ha instado a los usuarios a mantener un dispositivo "sano".