Si hay que definir rápido y a grandes rasgos qué es un malware, se puede decir que es un programa que permite a quien lo utiliza, de forma intencionada, generar daños en un sistema ajeno, sin que el propietario del sistema lo sepa. Dentro de los distintos tipos de malware que existen, está el spyware, que infecta un dispositivo (celular, tablet, computadora) y recopila información sobre la actividad de su dueño. Dicho de esta manera, parece bastante claro que estamos hablando de una forma de ciberdelito. Sin embargo, desde hace años existe una industria del spyware que no sólo funciona de forma perfectamente legal, sino que además firma contratos con gobiernos para que estos lo utilicen, supuestamente, para vigilar a presuntos delincuentes o terroristas.
Es el caso de NSO Group, una empresa de ciberseguridad israelí que hace algunos años desarrolló un spyware llamado Pegasus, que explota las vulnerabilidades de los sistemas Android e iOS para infiltrarse en celulares. La compañía y su software están en el ojo de la tormenta desde la semana pasada, tras la publicación de Pegasus Project, una serie de informes periodísticos elaborados por 17 medios de comunicación de distintas partes del mundo, coordinado por la organización francesa Forbidden Stories y con apoyo de Amnistía Internacional (AI), que reveló que desde 2016 los gobiernos de al menos diez países pagaron por utilizar Pegasus para infiltrarse en los teléfonos de 50.000 “personas de interés”, en su mayoría activistas, periodistas y políticos.
En la lista de víctimas figuran el presidente de Francia, Emmanuel Macron; el de Irak, Barham Salih; el de Sudáfrica, Cyril Ramaphosa; el primer ministro de Pakistán, Imran Khan; el de Egipto, Mostafa Madbouly; el de Marruecos, Saad-Eddine el Othmani, además del rey marroquí, Mohammed VI; periodistas de Agence France-Presse, The Wall Street Journal, CNN, The New York Times, Al Jazeera, France 24, Radio Free Europe, Associated Press, Le Monde, Bloomberg, Proceso, The Economist, Reuters y Voice of America, según confirmó The Washington Post. La pata latinoamericana de este caso es México, donde durante el mandato de Enrique Peña Nieto se espió a más de 15.000 personas, incluido casi todo el círculo del actual presidente, Andrés Manuel López Obrador, y a 25 periodistas mexicanos, entre ellos Carmen Aristegui, Jenaro Villamil, Marcela Turati y Cecilio Pineda Birto, asesinado en marzo de 2017.
Los informes fueron publicados en el marco de una campaña llevada adelante por AI, en la que se exige el “fin de la vigilancia selectiva de los defensores y defensoras de los derechos humanos”. En un comunicado, la organización afirmó que “pronunciarse en favor de los derechos humanos y poner al descubierto la verdad es peligroso y arriesgado” en varios países, debido a que “los gobiernos suelen intimidar, acosar y detener a la gente, y cada vez se apoyan más en la vigilancia digital para hacerlo”. Para ello, “compran y permiten la venta de tecnología de vigilancia invasiva y sofisticada que puede poner en riesgo los dispositivos digitales de cualquier persona y hacer un seguimiento de sus actividades”, herramientas elaboradas por “empresas privadas que en ocasiones obtienen ganancias de los abusos contra los derechos humanos”.
Entre los hallazgos también se destaca que al menos los dispositivos de dos personas cercanas a Jamal Khassoggi ‒el periodista saudí que en 2018 fue asesinado por el gobierno de su país dentro de la Embajada en Turquía‒ habían sido infectados con Pegasus. Arabia Saudita es uno de los países que utilizó el software de NSO Group. Edward Snowden, el especialista en ciberseguridad que en 2013 dio a conocer una serie de programas secretos de espionaje encabezados por el gobierno de Estados Unidos, ya había adelantado en noviembre de 2018 que Arabia Saudita había contratado el spyware a la firma israelí.
El propio Snowden dio una entrevista a The Guardian esta semana a raíz de la publicación del Pegasus Project. Allí dijo que las compañías como NSO Group son como una industria de “infectadores” que intentan deliberadamente desarrollar nuevas cepas de una enfermedad. “Es como una industria que lo único que hiciera fuera crear variantes personalizadas de covid-19 para esquivar las vacunas”, sostuvo. “Sus únicos productos son los vectores de infección. No son productos de seguridad. No brindan ningún tipo de protección, ningún tipo de profiláctico. No fabrican vacunas, lo único que venden es el virus”.
Durante la entrevista, el especialista estadounidense planteó que los gobiernos deberán ponerse de acuerdo para imponer una moratoria global al comercio internacional de software espía o, de lo contrario, enfrentarse a un futuro en el que ningún teléfono móvil estará a salvo de los hackers patrocinados por los estados.
En una línea de pensamiento similar se encuentra AI, que en su comunicado reclamó que “se ponga fin a las exportaciones de tecnología de vigilancia a estados tales como Marruecos, donde existe un peligro considerable de que la exportación en cuestión pueda ser utilizada para violar los derechos humanos”, y que “todos los gobiernos de todo el mundo apoyen el llamamiento en favor de la interrupción temporal de la venta, transferencia y uso general de la tecnología de vigilancia”.
Pegasus fantasy
Si bien NSO Group hace referencia en su página web al uso del programa para combatir el delito y el terrorismo, la primera vez que se supo de la existencia de Pegasus no fue por haber evitado un ataque yihadista, sino porque en agosto de 2016, el activista y bloguero emiratí Ahmed Mansoor recibió un mensaje con un link que prometía revelarle los secretos sobre las torturas en las cárceles de Emiratos Árabes Unidos.
En lugar de seleccionar el enlace, Mansoor reenvió el mensaje a Citizen Lab, un grupo interdisciplinario conformado por investigadores de la Universidad de Toronto, enfocado en la guerra de la información y el ciberespionaje. Este grupo investigó el origen del mensaje junto a la compañía de ciberseguridad Lookout y concluyeron que, si Mansoor hubiera accedido al link, su teléfono habría sido infectado con Pegasus.
Tras conocerse el caso, The New York Times y The Times of Israel revelaron que el gobierno emiratí estaba en poder del spyware al menos desde 2013, lo que coincide con el estudio de Lookout que en el código encontró una tabla de mapeo con valores desde iOS 7, una versión del sistema operativo de Apple lanzada en setiembre de ese año.
NSO Group lleva años desmarcándose de las acusaciones de colaborar con gobiernos autoritarios en el espionaje de la disidencia y respondiendo a la prensa con respuestas ambiguas. Sin embargo, algo cambió en la estrategia de la compañía israelí tras la divulgación del Pegasus Project.
En un correo electrónico divulgado a distintos medios de prensa y recogido por Vice, un vocero de NSO Group afirmó que los datos publicados por Pegasus Project eran “afirmaciones falsas” que correspondían a una “campaña mediática planificada y bien orquestada, liderada por Forbidden Stories e impulsada por grupos con intereses especiales”. El comunicado añade que la empresa tiene “total desconocimiento de los hechos” y por ese motivo “no responderá a las preguntas de los medios sobre este asunto y no jugará con la campaña viciosa y calumniosa”.
El 22 de julio, la Knéset israelí anunció que se conformaría una comisión especial, dependiente de la Comisión de Defensa, para investigar lo sucedido con Pegasus. Sin embargo, hay escepticismo en la comunidad internacional sobre los resultados que pueda arrojar esta investigación, especialmente luego de que el CEO de NSO Group, Shalev Hulio, afirmara en declaraciones recogidas por AFP que una investigación parlamentaria servirá “para poder limpiar” el nombre de la compañía ante un supuesto esfuerzo “para desprestigiar a toda la industria cibernética israelí”.
Tampoco cayeron bien las declaraciones del legislador liberal Ram Ben-Barak, exsubdirector del Mossad y exdirector general del Ministerio de Servicios de Inteligencia y del Ministerio de Asuntos Estratégicos. Ben-Barak dijo que “Pegasus desenmascaró a muchas células terroristas, pero si se utilizó mal o se vendió a organismos irresponsables, es algo que tenemos que comprobar”, por lo que la prioridad sería “revisar todo este asunto de licencias”, según informó AFP.
Los vínculos entre el NSO Group y el gobierno irsraelí son claros. La compañía exporta servicios de ciberseguridad a 45 países con el aval gubernamental y puede vender los servicios de Pegasus sólo a instituciones gubernamentales. Los ciberespías marroquíes, que según la investigación del Pegasus Project infiltraron los teléfonos de 10.000 personas (Macron entre ellos), empezaron a usar Pegasus en 2019, luego de la apertura de las relaciones comerciales entre Marruecos e Israel. Lo mismo sucedió con Hungría e India: el inicio de las actividades del spyware en estos países coincide con viajes diplomáticos hechos por el ex primer ministro israelí, Benjamin Netanyahu, a esos países.
Según el diario Haaretz, la firma del contrato entre Arabia Saudita y NSO Group se produjo en medio del acuerdo de normalización de relaciones con el gobierno israelí. En esta línea, el Financial Times señaló que la sospecha de los investigadores es que Pegasus funciona como una de las herramientas de negociación de la diplomacia israelí con gobiernos autoritarios.
En declaraciones a France 24, el investigador Lior Tabansky, del Centro de Investigación Interdisciplinario en Cibernética Blavatnik de la universidad de Tel Aviv, dijo que cada venta de Pegasus a un Estado extranjero “está supervisada por el ministro israelí de Defensa” y que Netanyahu “ha seguido una estrategia que consiste en tratar de aprovechar la relativa ventaja de Israel en los sectores de innovación para alcanzar objetivos políticos y diplomáticos”
El vínculo estadounidense
NSO Group también tiene relación con el actual gobierno estadounidense. A mediados de 2017, la compañía liderada por Hulio y Omri Lavie comenzó a trabajar con Dan Shapiro, exembajador de Estados Unidos en Israel durante el gobierno de Barack Obama y consultor en Israel de WexEc Advisors, una consultora fundada por Anthony Blinken, el actual secretario de Estado de Joe Biden.
Según informó The American Prospect, luego de los reiterados escándalos que vinculaban a NSO Group con el espionaje para gobiernos autoritarios, solicitaron ayuda a WexEc. Si bien la empresa de Blinken rechazó los pedidos inicialmente, la empresa israelí insistió hasta contratar los servicios de Shapiro, quien los asesoraba de manera independiente.
Uno de los consejos de Shapiro a NSO Group fue que dejara de vender tecnología a Arabia Saudita. Si bien hicieron caso en un principio, con la normalización de las relaciones en 2019 volvieron a venderla, según indicó The New York Times. En la actualidad, Shapiro es una de las personas consideradas por Biden para ser su enviado especial en Medio Oriente y 15 miembros de WexEc integran actualmente el gobierno.
Se prohibió el uso del software para empresas privadas, se realiza un monitoreo estatal y supuestamente se permite usar Pegasus sólo contra presuntos terroristas o criminales. Así y todo, nada evitó que se convierta en una herramienta más para reforzar el espionaje. Quizás el problema no sea el control, sino que algo que cuando hay que explicarlo suena como un delito, esté demasiado cerca de serlo.