Una coalición de docenas de países, incluidos Francia, el Reino Unido y Estados Unidos, junto con empresas tecnológicas como Google, MDSec, Meta y Microsoft, han firmado un acuerdo conjunto para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.
La iniciativa, denominada Proceso de Pall Malltiene como objetivo abordar la proliferación y el uso irresponsable de herramientas comerciales de ciberintrusión estableciendo principios rectores y opciones de políticas para los Estados, la industria y la sociedad civil en relación con el desarrollo, la facilitación, la compra y el uso de dichas herramientas.
La declaración afirma que la «diseminación incontrolada» de ofertas de software espía contribuye a una «escalada involuntaria en el ciberespacio», y señala que plantea riesgos para la estabilidad cibernética, los derechos humanos, la seguridad nacional y la seguridad digital.
«Cuando estas herramientas se utilizan de forma maliciosa, los ataques pueden acceder a los dispositivos de las víctimas, escuchar llamadas, obtener fotografías y operar de forma remota una cámara y un micrófono mediante software espía de ‘clic cero’, lo que significa que no se necesita interacción del usuario», dijo el gobierno del Reino Unido. dicho en un comunicado de prensa.
Según el Centro Nacional de Seguridad Cibernética (NCSC), se estima que cada año miles de personas han sido blanco de campañas de software espía en todo el mundo.
«Y a medida que crezca el mercado comercial de estas herramientas, también crecerá el número y la gravedad de los ataques cibernéticos que comprometen nuestros dispositivos y nuestros sistemas digitales, causando daños cada vez más costosos y haciendo que sea más difícil que nunca para nuestras defensas cibernéticas proteger las instituciones y servicios públicos. «, el Viceprimer Ministro Oliver Dowden dicho en la conferencia sobre proliferación cibernética entre el Reino Unido y Francia.
Cabe destacar que en la lista de países que participaron en el evento falta Israel, que alberga una serie de actores ofensivos del sector privado (PSOA) o proveedores de vigilancia comercial (CSV) como Candiru, Intellexa (Cytrox), NSO Group y QuaDream. .
Noticias futuras grabadas reportado que Hungría, México, España y Tailandia –que han sido vinculados a abusos de software espía en el pasado– no firmaron el compromiso.
La acción de múltiples partes interesadas coincide con una anuncio por el Departamento de Estado de EE.UU. para negar visas a personas que considere involucradas en el uso indebido de tecnología de software espía peligrosa.
«Hasta hace poco, la falta de responsabilidad ha permitido que la industria del software espía prolifere herramientas de vigilancia peligrosas en todo el mundo», dijo Google en un comunicado compartido con The Hacker News. «Limitar la capacidad de los proveedores de software espía para operar en Estados Unidos ayuda a cambiar la estructura de incentivos que ha permitido su crecimiento continuo».
Por un lado, el software espía como Crisaor y Pegaso tienen licencia a clientes gubernamentales para su uso en la aplicación de la ley y la lucha contra el terrorismo. Por otra parte, también han sido abusado rutinariamente por regímenes opresivos contra periodistas, activistas, abogados, defensores de los derechos humanos, disidentes, opositores políticos y otros miembros de la sociedad civil.
Estas intrusiones generalmente aprovechan exploits sin hacer clic (o con un solo clic) para enviar subrepticiamente el software de vigilancia a los dispositivos Google Android y Apple iOS de los objetivos con el objetivo de recopilar información confidencial.
Dicho esto, los esfuerzos en curso para combatir y contener el ecosistema de software espía han sido una especie de golpe al topo, lo que subraya el desafío de defenderse de jugadores recurrentes y menos conocidos que proporcionan o crean armas cibernéticas similares.
Esto también se extiende al hecho de que los CSV continúan esforzándose en desarrollar nuevas cadenas de exploits a medida que empresas como Apple, Google y otras descubren y solucionan las vulnerabilidades de día cero.
Fuente: Grupo de análisis de amenazas (TAG) de Google |
«Mientras exista una demanda de capacidades de vigilancia, habrá incentivos para que los CSV continúen desarrollando y vendiendo herramientas, perpetrando una industria que perjudica a los usuarios de alto riesgo y a la sociedad en general», dijo el Grupo de Análisis de Amenazas (TAG) de Google.
Un informe extenso publicado por TAG esta semana reveló que la compañía está rastreando aproximadamente 40 empresas comerciales de software espía que venden sus productos a agencias gubernamentales, 11 de ellas vinculadas a la explotación de 74 días cero en Google Chrome (24), Android (20), iOS. (16), Windows (6), Adobe (2) y Mozilla Firefox (1).
Actores desconocidos patrocinados por el Estado, por ejemplo, explotaron tres fallos en iOS (CVE-2023-28205, CVE-2023-28206y CVE-2023-32409) como método de día cero el año pasado para infectar a las víctimas con software espía desarrollado por la empresa con sede en Barcelona. Varistón. Apple solucionó los fallos en abril y mayo de 2023.
La campaña, descubierta en marzo de 2023, entregó un enlace a través de SMS y se dirigió a iPhones ubicados en Indonesia con las versiones de iOS 16.3.0 y 16.3.1 con el objetivo de implementar el implante de software espía BridgeHead a través de Marco de explotación de Heliconia. La utilización de armas por parte de Variston es una deficiencia de seguridad de alta gravedad en los chips de Qualcomm (CVE-2023-33063) que salió a la luz por primera vez en octubre de 2023.
La lista completa de vulnerabilidades de día cero en Apple iOS y Google Chrome que se descubrieron en 2023 y se han vinculado a proveedores de software espía específicos es la siguiente:
«Las empresas del sector privado han estado involucradas en el descubrimiento y venta de exploits durante muchos años, pero el aumento de las soluciones de espionaje llave en mano es un fenómeno más reciente», afirmó el gigante tecnológico.
«Los CSV operan con una profunda experiencia técnica para ofrecer herramientas de ‘pago por uso’ que agrupan una cadena de exploits diseñada para superar las defensas de un dispositivo seleccionado, el software espía y la infraestructura necesaria, todo para recopilar los datos deseados de la computadora de un individuo. dispositivo.»