Decenas de países, en colaboración con empresas tecnológicas como Google, Microsoft, Meta y MDSec, han firmado un acuerdo para frenar el abuso del spyware comercial en los derechos humanos. La iniciativa, denominada el Pall Mall Process, tiene como objetivo abordar la proliferación y el uso irresponsable de herramientas de intrusión cibernética. Esto se logrará estableciendo principios rectores y opciones políticas para Estados, la industria y la sociedad civil en relación con el desarrollo, la facilitación, la compra y el uso de tales herramientas.
La declaración estableció que la «diseminación incontrolada» de ofertas de spyware contribuye a una «escalada no intencional» en el ciberespacio, lo que representa riesgos para la estabilidad cibernética, los derechos humanos, la seguridad nacional y la seguridad digital. La medida coincide con un anuncio del Departamento de Estado de EE. UU. de denegar visas a individuos que considere involucrados en el uso indebido de tecnología peligrosa de spyware.
Por un lado, el spyware como Chrysaor y Pegasus se licencia a clientes gubernamentales para su uso en la aplicación de la ley y la lucha contra el terrorismo. Por otro lado, también han sido rutinariamente abusados por regímenes opresivos para atacar a periodistas, activistas, abogados, defensores de los derechos humanos, disidentes, oponentes políticos y otros miembros de la sociedad civil.
Tales intrusiones suelen aprovechar exploits de clic cero (o de un solo clic) para entregar de manera subrepticia el software de vigilancia a los dispositivos Google Android y Apple iOS para recopilar información sensible. Sin embargo, los esfuerzos para combatir y contener el ecosistema de spyware han sido ineficaces debido a que los CSV continúan invirtiendo esfuerzos en desarrollar nuevas cadenas de exploits a medida que empresas como Apple, Google y otros descubren y corrigen las vulnerabilidades de día cero.
Este informe publicado por TAG revela que la compañía rastrea aproximadamente 40 compañías de spyware comerciales que venden sus productos a agencias gubernamentales, y 11 de ellas están vinculadas a la explotación de 74 vulnerabilidades de día cero en Google Chrome (24), Android (20), iOS (16), Windows (6) y Adobe (2), Mozilla Firefox (1) en la última década.
Las empresas del sector privado han estado involucradas en el descubrimiento y venta de exploits durante muchos años, pero el surgimiento de soluciones de espionaje listas para usar es un fenómeno más reciente. Los CSV operan con una profunda experiencia técnica para ofrecer herramientas «de pago» que incluyen una cadena de exploits diseñada para superar las defensas de un dispositivo seleccionado, el spyware y la infraestructura necesaria, todo para recopilar los datos deseados del dispositivo de una persona.
En resumen, la iniciativa del Pall Mall Process representa un importante paso adelante en la protección de los derechos humanos y la seguridad digital al abordar el abuso del spyware comercial. Sin embargo, los esfuerzos en curso para combatir y contener el ecosistema de spyware son ineficaces hasta la fecha debido a que los CSV continúan invirtiendo esfuerzos en desarrollar nuevas cadenas de exploits. Las empresas de tecnología como Google están tomando medidas para rastrear a los vendedores de herramientas de vigilancia peligrosas y limitar la capacidad de los CSV de operar en los EE. UU. Sin embargo, todavía queda un largo camino por recorrer antes de que puedan ser eliminados por completo.
Vía: The Hacker News
