El informe de que la unidad de Amazon AWS desconectó a la empresa israelí de software espía NSO de sus servidores en la nube se difundió ayer rápidamente en los medios de comunicación israelíes y mundiales. La fuente del informe fue un único artículo publicado en el sitio web de tecnología Motherboard de la red Vice que se basaba en una respuesta bastante vaga que el sitio web recibió de AWS.
Un portavoz de AWS escribió en respuesta a una pregunta de Motherboard “Cuando nos enteramos de esta actividad, actuamos rápidamente para cerrar la infraestructura y las cuentas pertinentes”. Esta respuesta no menciona de qué cuentas se trataba, y las preguntas de seguimiento a AWS por parte de los medios de comunicación no obtuvieron respuesta.
NSO desmintió ayer el informe y dijo que la afirmación de que Amazon había cerrado sus cuentas era incorrecta. La única conclusión que puede extraerse es que AWS retiró la actividad relacionada con el informe de investigación sobre el uso del producto de espionaje Pegasus de NSO publicado esta semana, pero no está claro de quién era la actividad.
El informe de investigación, realizado por las organizaciones Forbidden Stories y Amnistía Internacional, volvió a relacionar a NSO con el espionaje a periodistas, activistas de derechos humanos y políticos. Se basaba en una filtración de 50.000 números de teléfono que, al parecer, representaban un conjunto de objetivos potenciales para los gobiernos que compraron el programa Pegasus a NSO.
NSO negó los informes y calificó la investigación de “divorciada de la realidad”. La empresa subrayó que no había pruebas de ninguna conexión entre los números de teléfono y el uso de su software cibernético ofensivo.
Como parte del proyecto, Amnistía publicó los resultados de una investigación técnica que descubrió que la tecnología de NSO aprovechaba un punto débil de las aplicaciones de Apple, como iMessage y FaceTime, para introducir Pegasus en un teléfono sin necesidad de que el usuario pulsara ningún enlace.
Amnistía afirmó que, en un caso, el de un abogado francés de derechos humanos, su iPhone hackeado envió información al servicio CloudFront de Amazon. Se trata de un servicio de distribución rápida de datos, vídeos y aplicaciones. Según Amnistía, esto indica que la NSO ha pasado a utilizar los servicios de AWS en los últimos meses.
La organización Citizen Lab, que comprobó los hallazgos de Amnistía, también informó de que había detectado que NSO Group había empezado a hacer un uso extensivo de los servicios CloudFront de Amazon en 2021.
No obstante, a partir de los resultados de Amnistía y Citizen Lab no queda claro a quién pertenecían las cuentas de Amazon a las que el iPhone enviaba información, y si eran operadas por NSO o por alguno de sus clientes, o por algún tercero.
De hecho, es probable que NSO, que ha estado bajo escrutinio durante años, camufle bien su actividad. El informe de Amnistía descubrió que la actividad relacionada con Pegasus utilizaba otros servicios de alojamiento en la nube de empresas como OVH, DigitalOcean y Linode.