Lea aquí traducido el polémico artículo de 'The New Yorker' sobre el espionaje con Pegasus
En THE OBJECTIVE te dejamos todo el texto en castellano, que profundiza en el origen de la empresa israelí NSO y sus vínculos en algunos de los escándalos de espionaje más sonados
El caso Pegasus ha agitado la política española en las últimas semanas tras conocerse el espionaje a varios políticos catalanes. Desde estas formaciones, de corte independentista, se ha responsabilizado al Gobierno de España y al Centro Nacional de Inteligencia (CNI) de haber iniciado estos ataques contra sus dispositivos móviles, orientados a realizar escuchas de sus conversaciones privadas, acceder a sus mensajes o pinchar las llamadas y comunicaciones internas entre ellos para vulnerar sus derechos y coartar su libertad.
En THE OBJECTIVE te hemos contado varias exclusivas relacionadas al respecto, aunque la más importante señala que el futuro de Esteban se encuentra fuera de su oficina en la sede de la inteligencia española tras la desconfianza del presidente Pedro Sánchez, una de las víctimas de este espionaje junto con la ministra de Defensa, Margarita Robles, y supuestamente el ministro del Interior, Fernando Grande Marlaska.
El origen de estas investigaciones no proviene del azar, sino de una investigación de la organización CitizenLab y que ha sido desvelada por el diario estadounidense The New Yorker, escrito por el periodista Ronan Farrow. En este medio te hemos contado los vínculos de la compañía con el independentismo y con el medio en concreto, en especial tras las subvenciones recibidas por parte del Gobierno de la Generalitat en los últimos años. A pesar de ello, el texto (que puedes leer aquí abajo) señala varios puntos de interés, como las múltiples causas judiciales que mantienen abiertas varias empresas de comunicación contra la israelí NSO (propietaria de Pegasus) y sus propietarios.
A lo largo del texto encontrará varios detalles que le resultarán, cuanto menos, curiosos. El primero de ellos será la poca veracidad del relato que realiza el periodista acerca de la historia de Cataluña y el referéndum independentista de 2017, declarado inconstitucional y que es tratado como un acto injusto por parte de la Justicia española. La segunda es el uso de la primera persona, algo tradicional en el periodismo estadounidense.
Puede leer el texto íntegro en castellano
El Parlamento de Cataluña, región autónoma de España, se encuentra situado en las afueras de la Casco Antiguo de Barcelona, en los restos de una ciudadela fortificada construida por el rey Felipe V para vigilar a la inquieta población local. La ciudadela fue construida con el trabajo forzado de cientos de catalanes, y sus estructuras y jardines son, para muchos, un recordatorio de la opresión. A día de hoy, la mayoría de los parlamentarios apoyan la independencia de la región, declarada inconstitucional por el Gobierno de España. En 2017, mientras Cataluña preparaba para un referéndum para decidir sobre la independencia, la Policía arrestó a doce políticos separatistas. En el día del referéndum, que recibió el apoyo del 90% de los votantes a pesar de la baja participación, las redadas policiales en los colegios electorales hirieron a cientos de civiles. Los líderes del movimiento (algunos de los cuales viven exiliados en toda Europa) se reúnen en privado y se comunican a través de plataformas de mensajería encriptada.
El mes pasado, Jordi Solé (miembro independentista del Parlamento Europeo) se reunió con un investigador de seguridad digital, Elies Campo, en una de las cámaras del Parlamento de Cataluña. Solé, de cuarenta y cinco años y vestido con un traje holgado, le entregó su celular, un iPhone 8 Plus plateado. Había estado recibiendo mensajes de texto sospechosos y quería que analizaran el dispositivo. Campo —un hombre de treinta y ocho años de voz suave y cabello oscuro alborotado—, nació y se crió en Cataluña y apoya la independencia. Pasó años trabajando para WhatsApp y Telegram en San Francisco, pero hace poco tiempo regresó a la que fue su casa. «Siento que en cierto modo es una especie de deber», me dijo Campo [al autor del texto]. Ahora trabaja como miembro en Citizen Lab, un grupo de investigación con sede en la Universidad de Toronto que se centra en investigar los abusos de los derechos humanos a través de la alta tecnología.
Campo recopiló los registros de la actividad del teléfono de Solé (incluidos los fallos que había experimentado). Luego ejecutó un software especializado en buscar programas espías creados para funcionar de manera invisible. Mientras esperaban, Campo revisó el teléfono en busca de evidencias de ataques que se producen de diferentes maneras: algunos llegan a través de WhatsApp, otros a través de sms que parecen provenir de contactos conocidos, algunos solo necesitan un clic en un enlace y otros funcionan sin que el usuario realice ninguna acción. Campo identificó una aparente notificación de la Seguridad Social española que usaba el mismo formato que los enlaces a malignos que Citizen Lab había encontrado en otros teléfonos. «Con este mensaje tenemos la prueba de que en algún momento fuiste atacado», explicó Campo. Pronto, el móvil vibró. «Este teléfono dio positivo», podía leerse en la pantalla. Campo le dijo a Solé: «Hay dos infecciones confirmadas», fechadas en junio de 2020. «En esos días, tu dispositivo estaba infectado, tomaron el control y probablemente estuvieron en él durante algunas horas. Descargando, escuchando, grabando».
El teléfono de Solé había sido infectado con Pegasus, un software espía diseñado por NSO Group —una empresa israelí—, que puede robar contenido de un teléfono, dando acceso a sus mensajes y fotografías o activar la cámara y el micrófono para brindar vigilancia en tiempo real y exponer, por ejemplo, reuniones confidenciales. Pegasus es útil para las fuerzas del orden que buscan criminales o para los autoritarios que buscan sofocar la disidencia. Solé había sido hackeado en las semanas previas a su incorporación al Parlamento Europeo, reemplazando a un colega que había sido encarcelado por actividades independentistas. «Ha habido una clara persecución política y judicial de personas y representantes electos al usar estas metodologías sucias», me explicó Solé.
En Cataluña, más de sesenta teléfonos propiedad de políticos, abogados y activistas catalanes en España y en toda Europa han sido atacados con Pegasus. Este es el grupo más grande registrado por los forenses especializados en este tipo de ataques e infecciones. Entre las víctimas, se encuentran tres diputados al Parlamento Europeo, entre ellos Solé. Los políticos catalanes creen que los posibles responsables de esta campaña de piratería son funcionarios españoles, y el análisis de Citizen Lab sugiere que el Gobierno español ha utilizado Pegasus. Un ex empleado de NSO ha confirmado que la empresa tiene una cuenta en España, aunque al ser cuestionados, las agencias gubernamentales no han querido responder. Los resultados de la investigación de Citizen Lab se divulgan por primera vez en este artículo. Hablé con más de cuarenta de las personas afectadas y las conversaciones han revelado una atmósfera de paranoia y desconfianza. Solé se mostró sorprendido: «Ese tipo de vigilancia en países democráticos y estados democráticos, quiero decir, es increíble».
La comercialización de este tipo de programas espía se ha convertido en una industria con un valor estimado de 12.000 millones de dólares. En gran medida, este mercado no está regulado y es cada vez más controvertido. En los últimos años, las investigaciones de Citizen Lab y Amnistía Internacional han revelado la presencia de Pegasus en teléfonos de políticos, activistas y disidentes que viven bajo regímenes represivos. Un análisis de Forensic Architecture —un grupo de investigación de la Universidad de Londres— ha vinculado a Pegasus con trescientos actos de violencia física. Se ha utilizado para atacar a miembros opositores al Régimen de Ruanda o a periodistas que denuncian la corrupción en El Salvador. En México, el programa ha sido detectado en los teléfonos de varias personas cercanas al reportero Javier Valdez Cárdenas, asesinado por investigar a los cárteles de la droga. Alrededor de la época en que el príncipe Mohammed bin Salman, de Arabia Saudita, ordenó el asesinato del periodista Jamal Khashoggi —un antiguo crítico con la monarquía del país—, el habría sido utilizado para monitorear los teléfonos de varias personas cercanas a Khashoggi, posiblemente facilitando su asesinato en 2018. Bin Salman ha negado su participación en los hechos, mientras que la empresa NSO aseguró en el momento a través de un comunicado que su tecnología «no se asoció de ninguna manera con el atroz asesinato». La colaboración de varios medios de comunicación ha destapado el conocido como Proyecto Pegasus, que ha reforzado los vínculos entre el. Grupo NSO y los estados antidemocráticos. Hay evidencias de que el programa espía se está utilizando en al menos cuarenta y cinco países y que las agencias policiales de los Estados Unidos y en tras tantas en toda Europa han comprado herramientas similares. Cristin Flynn Goodwin, ejecutivo de Microsoft que ha liderado los esfuerzos de la empresa para luchar contra los sistemas de espionaje, me explicó el papel de los ejecutivos en este proceso: «El gran y sucio secreto es que los gobiernos están comprando estas cosas, y no solo los gobiernos autoritarios, sino de todo tipo».
NSO es quizás la empresa más exitosa, controvertida e influyente de una generación de nuevas compañías israelíes que han convertido al país en el epicentro de la industria del espionaje digital. Entrevisté por primera vez a Shalev Hulio, director ejecutivo de NSO Group, en 2019 y, desde entonces he tenido acceso a su personal, a sus oficinas y a su tecnología. La empresa se encuentra en un estado de contradicción y crisis. Sus programadores hablan con orgullo del uso de su software en investigaciones criminales (NSO afirma que Pegasus solo se vende a las fuerzas de seguridad y las agencias de inteligencia), pero también sobre la emoción de comprometer ilícitamente las plataformas tecnológicas. La empresa ha sido valorada en más de 1.000 millones de dólares, aunque ahora lidia con la deuda que pesa sobre ella y por la que mantiene disputas con varios miembros de la corporación. Además, según varios observadores de la industria, los esfuerzos se centran por el momento en vender sus productos a las fuerzas de Seguridad de Estados Unidos, en parte a través de una sucursal en el país, Westbridge Technologies. También enfrenta numerosas demandas en muchos países presentadas por Meta (anteriormente Facebook), por Apple y por individuos atacados por los programas de NSO. La compañía afirmó en un comunicado que había sido «atacada por una serie de organizaciones de defensa con motivaciones políticas, muchas con sesgos anti israelíes muy claros», y agregaron que habían «cooperado repetidamente con las investigaciones gubernamentales, donde hemos aprendido de cada uno de estos hallazgos e informes para mejorar la protección en nuestras tecnologías». Hulio me dijo: «Nunca imaginé en mi vida que esta empresa sería tan famosa. . . . Nunca imaginé que tendríamos tanto éxito». Y tras una pausa, añadió: «Y nunca imaginé que sería tan controvertido».
A Hulio —de cuarenta años y con un andar pesado y facciones regordetas y que por lo general usa camisetas sueltas y vaqueros, con el cabello en un corte de zumbido utilitario— le visité el mes pasado en su dúplex en un rascacielos de lujo en Park Tzameret, el barrio más elegante de Tel Aviv. Vive con sus tres hijos pequeños y su mujer, Avital, que está embarazada a la espera del cuarto. Hay una piscina en la azotea apartamento de su apartamento, y abajo —en una sala de estar de doble altura— hay una sala de juegos personalizada, repleta de máquinas retro y con un retrato de estilo dibujos animados de él, con gafas de sol, junto a la palabra ‘Hulio’ en un enorme tamaño y a ocho bits. Avital atiende a los niños mientras una gran cantidad de mascotas se van sucediendo en la sala: los conejos permanecen, un loro se marcha. La familia tiene un diminuto caniche llamado Marshmallow Rainbow Sprinkle [Nube de Azúcar con Chispas de Arcoíris].
Hulio, Omri Lavie y Niv Karmi fundaron NSO Group en 2010, crearon su nombre a partir de las primeras letras de sus nombresSu primera oficina fue un gallinero reformado en un kibutz. La empresa cuenta ahora con unos ochocientos empleados y su tecnología se ha convertido en una herramienta líder de piratería ejercida por los estados, fundamental en la lucha entre las grandes potencias.
Los investigadores de Citizen Lab han concluido que el 26 y 27 de julio de 2020 se utilizó Pegasus para infectar un dispositivo conectado a la red del número 10 de Downing Street, la oficina del primer ministro de Reino Unido, Boris Johnson. Un funcionario del Gobierno me confirmó que la red quedó comprometida, sin especificar qué spyware fue utilizado. «Cuando encontramos el caso en el No. 10, me quedé boquiabierto», recuerda John Scott-Railton, investigador principal del Citizen Lab. «Sospechamos que esto incluyó la exfiltración de datos», apunta Bill Marczak, otro investigador de la plataforma. El funcionario me dijo que el Centro Nacional de Seguridad Cibernética —una rama de la inteligencia británica— chequeó varios teléfonos en Downing Street, incluido el de Johnson. Fue complejo realizar una búsqueda exhaustiva de los teléfonos: «Es un trabajo muy duro», me explicó el funcionario, y la agencia no pudo localizar qué dispositivo estaba infectado. Nunca se pudo determinar qué tipo de datos fueron sustraídos.
Citizen Lab sospecha, basándose en sus servidores, que los Emiratos Árabes Unidos probablemente estaban detrás del ataque. «Pensé que EEUU, el Reino Unido y otras potencias cibernéticas de primer nivel se estaban moviendo lentamente con Pegasus porque no era una amenaza directa para su seguridad nacional», explica Scott-Railton. «Me di cuenta de que estaba equivocado: incluso el Reino Unido estaba subestimando la amenaza de Pegasus y acababa de sufrir un golpe espectacular». Los Emiratos Árabes Unidos no han respondido a las múltiples preguntas realizadas, y los empleados de NSO me han explicado que la empresa no estaba al tanto del ataque. Uno de ellos me dijo: «Sobre cada llamada telefónica que es pirateada en todo el mundo, recibimos un informe de inmediato», una declaración que contradice los argumentos de la compañía, que sostiene que tiene poca información sobre las actividades de sus clientes. En su respuesta, la compañía ha explicado que «la información planteada en la investigación señala que estas acusaciones son, una vez más, falsas y que no pueden relacionarse con los productos de NSO por razones tecnológicas y contractuales».
Según un análisis del Citizen Lab, los teléfonos conectados a la Oficina de Asuntos Exteriores fueron pirateados utilizando Pegasus en al menos cinco ocasiones entre julio de 2020 hasta junio de 2021. El funcionario del Gobierno confirma que se habían descubierto indicios de piratería. Según Citizen Lab, los servidores de destino sugirieron que los ataques fueron iniciados por estados como los Emiratos Árabes Unidos, India y Chipre —mientras que los funcionarios de los dos últimos estados no han respondido a las cuestiones planteadas—. Aproximadamente un año después del hackeo de Downing Street, un tribunal británico reveló que EAU había utilizado a Pegasus para espiar a la princesa Haya, la exesposa del jeque Mohammed bin Rashid al-Maktoum, gobernante de Dubai. Maktoum estaba en medio en una disputa de custodia con Haya, quien había huido con sus dos hijos al Reino Unido. Sus abogados, de origen británicos, también fueron atacados. Una fuente directamente involucrada me dijo que un denunciante contactó a NSO para alertarle sobre el ciberataque en Haya. La compañía reclutó a Cherie Blair, la esposa del ex primer ministro Tony Blair y asesora de NSO, para advertir a los abogados de Haya. «Avisamos a todos a tiempo», me explicó Hulio. Poco después, los E.A.U. desconectó su sistema Pegasus y NSO anunció que evitaría que su software atacara a números de teléfono del Reino Unido, como lo ha hecho durante mucho tiempo con los números de Estados Unidos.
En otras partes de Europa, Pegasus ha satisfecho las necesidades de organismos encargados de hacer cumplir la ley que tenían una capacidad limitada en cuestiones de ciberinteligencia. «Casi todos los gobiernos de Europa están utilizando nuestras herramientas», me dijo Hulio. Un ex alto funcionario de inteligencia israelí agregó a estas explicaciones: «NSO tiene el monopolio en Europa». Las autoridades alemanas, polacas y húngaras han admitido haber utilizado Pegasus. La policía belga también lo usa, aunque no lo admitirá. Un portavoz de la policía federal belga me dijo que su uso se hace respetando «un marco legal en cuanto al uso de métodos intrusivos en la vida privada». Un alto funcionario policial europeo cuya agencia usa Pegasus dijo que echó un vistazo a la sala de máquinas de las organizaciones criminales para conocer detalles concretos : «Cuándo quieren almacenar el gas, ir al lugar, poner el explosivo». Explicó que su agencia usa Pegasus solo como último recurso, con la aprobación de la corte, pero admitió que es {como un arma. . . . Siempre puede ocurrir que alguien lo use de manera incorrecta».
Estados Unidos ha sido a la vez consumidor y víctima de esta tecnología. Aunque la Agencia de Seguridad Nacional y la C.I.A. tienen sus propias herramientas de vigilancia, otras oficinas gubernamentales, incluyendo las militares y el Departamento de Justicia, han comprado sistemas de espionaje a empresas privadas, según cuentan personas involucradas en esas transacciones. El Times ha informado que el F.B.I. compró y probó un sistema Pegasus en 2019, pero la agencia negó haber implementado la tecnología.
Establecer reglas estrictas sobre quién puede usar un spyware comercial es complicado por el hecho de que este tipo de tecnología se ofrece como una herramienta de la diplomacia. Los resultados pueden ser caóticos. El Times ha informado que la C.I.A. pagó a Djibouti para adquirir Pegasus como una forma de luchar contra el terrorismo. Según una investigación de WhatsApp de la que no se conocía nada anteriormente, la tecnología también se usó contra miembros del propio Gobierno de Djibouti, incluido su primer ministro, Abdoulkadar Kamil Mohamed, y su ministro del Interior, Hassan Omar.
El año pasado, según desvelaron las informaciones del Washington Post y tal y como Apple desclasificó, los iPhone de once personas que trabajaban para el gobierno de EEUU en el extranjero, muchos de ellos en su embajada en Uganda, fueron pirateados con Pegasus. NSO Group señaló que, «después de una consulta de los medios» sobre el incidente, la compañía «desconectó de inmediato a todos los clientes potencialmente relevantes para este caso debido a la gravedad de las acusaciones, incluso antes de que comenzara la investigación». La Administración Biden está investigando ataques adicionales contra funcionarios estadounidenses y ha iniciado una revisión de las amenazas que plantean las herramientas de piratería comerciales extranjeras. Los funcionarios de la administración me desvelaron que los nuevos planes pasan por tomar medidas nuevas y más agresivas. La más importante es «la prohibición de la compra o el uso por parte del gobierno de EEUU de programas de espionaje comercial extranjero que plantee riesgos para la contrainteligencia y la seguridad del Gobierno de Estados Unidos o que se haya utilizado indebidamente en el extranjero», según explicó Adrienne Watson, portavoz de la Casa Blanca.
En noviembre, el Departamento de Comercio agregó a NSO Group, junto con varios otros fabricantes de spywares, a una lista de entidades bloqueadas para la compra de tecnología por parte de empresas estadounidenses sin licencia.
Estuve con Hulio en Nueva York al día siguiente. NSO ya no podía comprar legalmente sistemas operativos Windows, iPhones, servidores en la nube de Amazon —el tipo de productos que utiliza para administrar su negocio y crear su programa espía—. «Es escandaloso», me dijo. «Nunca vendimos a ningún país que no sea aliado de Estados Unidos o de Israel. Nunca hemos vendido a ningún país con el que EEUU no haga negocios». Los acuerdos con clientes extranjeros requieren «la aprobación directa por escrito del Gobierno de Israel», cuenta Hulio.
«Creo que los líderes estadounidenses no lo entienden bien», valoró la directora de ciberseguridad del grupo de vigilancia Electronic Frontier Foundation, Eva Galperin.«Siguen esperando que el Gobierno israelí cierre NSO por esto, mientras que en realidad están cumpliendo las órdenes del Gobierno israelí». El mes pasado, el Washington Post informó que Israel había bloqueado la compra de Pegasus por parte de Ucrania, ya que no quería enfadar a Rusia. «Para todo lo que estamos haciendo, hemos obtenido el permiso de Israel», me indica Hulio. «Todo el mecanismo de regulación de estos procesos en Israel fue construido por los estadounidenses».
NSO se ve a sí mismo como una especie de traficante de armas, que opera en un campo sin normas establecidas. Hulio explica: «Están las Convenciones de Ginebra para el uso de un arma. Realmente creo que debería haber una convención de países que deberían ponerse de acuerdo entre ellos sobre el uso adecuado de tales herramientas» para la guerra cibernética. Ante la ausencia de regulación internacional, se está dando una batalla entre empresas privadas: por un lado, firmas como NSO; por otro, las grandes plataformas tecnológicas a través de las cuales dichas firmas implementan sus spyware.
El jueves 2 de mayo de 2019, Claudiu Dan Gheorghe, ingeniero de software, estaba trabajando en el Edificio 10 del campus de Facebook en Menlo Park, donde dirigía un equipo de siete personas responsables de la infraestructura de llamadas de voz y videollamadas de WhatsApp. Gheorghe —que nació en Rumania, tiene treinta y cinco años, es delgado y tiene el cabello oscuro y muy corto. En su mesa tiene una fotografía que utilizó como un retrato profesional durante sus nueve años en Facebook en la que lleva una sudadera con capucha negra y se parece un poco a Elliot Alderson, el protagonista del drama de piratería Mr. Robot—. El edificio 10 es una estructura de dos pisos con espacios de trabajo abiertos, paredes decoradas con colores brillantes y pizarras blancas. Los ingenieros —la mayoría de entre los veinte y los treinta años— se inclinan sobre los teclados. La palabra ‘concéntrate’ está escrita en una pared y estampada en imanes repartidos por la oficina. «A menudo se sentía como una iglesia», recordó Gheorghe. WhatsApp, que fue adquirida por Facebook por diecinueve mil millones de dólares en 2014, es la aplicación de mensajería más popular del mundo, con cerca de dos mil millones de usuarios mensuales.
Facebook había presentado la plataforma, que utiliza el cifrado de extremo a extremo, como el ideal para las comunicaciones sensibles; ahora el equipo de seguridad de la empresa llevaba más de dos años esforzándose por reforzar la seguridad de sus productos. Una de las tareas asignadas consistía en examinar los «mensajes de señalización» enviados automáticamente por los usuarios de WhatsApp a los servidores de la empresa para iniciar las llamadas. Esa tarde, Gheorghe fue alertado de un mensaje de señalización inusual. Un fragmento de código que debía dictar el tono de llamada contenía, en cambio, un código con extrañas instrucciones para el teléfono del destinatario.
En un sistema tan vasto como el de Facebook, las anomalías son rutinarias y normalmente inocuas. El código desconocido puede provenir de una versión antigua del software, o puede ser una prueba de estrés del Equipo Rojo de Facebook, que realiza ataques simulados. Pero cuando los ingenieros de las oficinas internacionales de Facebook se despertaron y empezaron a analizar el código, se preocuparon. Otto Ebeling, que trabajaba en el equipo de seguridad de Facebook en Londres, me contó que el código parecía «pulido, hábil, lo que era alarmante». A primera hora de la mañana siguiente al descubrimiento, Joaquín Moreno Garijo, otro miembro del equipo de seguridad de Londres, escribió en el sistema de mensajería interno de la compañía que, debido a lo sofisticado del código, «creemos que el atacante puede haber encontrado una vulnerabilidad». Los programadores que trabajan en temas de seguridad suelen describir su trabajo en términos de vulnerabilidades y exploits [ataques concretos sobre las debilidades]. Ivan Krstić, ingeniero de Apple, compara el concepto con una escena de atraco de la película Ocean’s Twelve, en la que un personaje baila por un pasillo lleno de láseres que activan las alarmas. «En esa escena, la vulnerabilidad es que existe un camino a través de todos los láseres, donde es posible atravesar la sala», cuenta Krstić. «Pero el exploit es que alguien tuvo que ser un bailarín lo suficientemente preciso como para poder realmente hacer estos pasos».
A última hora del domingo, el grupo de ingenieros que trabajaba en el problema se había convencido de que el código era un exploit activo, que atacaba las vulnerabilidades de su infraestructura mientras ellos observaban. Pudieron comprobar que se estaban copiando datos de los teléfonos de los usuarios. «Fue aterrador», recuerda Gheorghe. «Era como si el mundo estuviera temblando debajo de ti, porque construiste esta cosa y es usada por tanta gente, pero tiene esta falla masiva».
Los ingenieros identificaron rápidamente formas de bloquear el código infractor, pero debatieron si hacerlo. Bloquear el acceso pondría en evidencia a los atacantes y quizás les permitiría borrar su rastro antes de que los ingenieros pudieran asegurarse de que cualquier solución cerrara todas las posibles vías de ataque futuras. «Eso sería como perseguir fantasmas», explicó Ebeling. «Tomamos la decisión de no desplegar la solución en el servidor», escribió Andrey Labunets, un ingeniero de seguridad de WhatsApp, en un mensaje interno, «porque no entendemos la raíz y el impacto para los usuarios y otros posibles números o técnicas de los atacantes».
El lunes, en las reuniones de crisis con el máximo responsable de WhatsApp, Will Cathcart, y el jefe de seguridad de Facebook, la compañía indicó a sus ingenieros de todo el mundo que tenían cuarenta y ocho horas para investigar el problema. «¿Cuál sería la cantidad de afectados?» recuerda Cathcart con preocupación. «¿A cuántas personas afectó esto?». La dirección de la empresa decidió no avisar inmediatamente a las fuerzas de seguridad por temor a que los funcionarios estadounidenses pudieran advertir a los hackers. «Existe el riesgo de que se dirijan a alguien que sea cliente», me explicó. Sus preocupaciones eran válidas: semanas después, según ha contado el Times, el FBI recibió a ingenieros de NSO en unas instalaciones de Nueva Jersey, donde la agencia probó el software Pegasus que había comprado. Cathcart alertó a Mark Zuckerberg, que lo valoró el problema «horrible», recuerda Cathcart, y presionó al equipo para que trabajara rápidamente. Para Gheorghe, «fue un lunes aterrador. Me desperté como a las 6 de la mañana y trabajé hasta que no pude seguir despierto».
La sede de NSO se encuentra en un edificio de oficinas de cristal y acero en Herzliya, un suburbio a las afueras de Tel Aviv. La zona alberga un grupo de empresas tecnológicas del próspero sector de las startups israelíes. La playa está a veinte minutos a pie. La empresa de hacking comercial más conocida del mundo está notablemente desprotegida: a veces, un solo guardia de seguridad me hacía señas para que pasara.
En la decimocuarta planta del edificio, los programadores vestidos en sudadera se reúnen en una cafetería equipada con una máquina de café expreso y un exprimidor para zumos, o se sientan en una terraza con vistas al Mediterráneo. Un cartel dice «la vida era mucho más fácil cuando la manzana y la mora eran solo frutas» [un juego de palabras con los nombres en inglés de los dispositivos de Apple y Blackberry, que se traduce ambos términos]. Las escaleras bajan a los distintos grupos de programación, cada uno de los cuales tiene su propio espacio de recreo, con sofás y PlayStation 5. Al equipo de Pegasus le gusta jugar al juego de fútbol de Electronic Arts, FIFA.
Los empleados me contaron que la empresa mantiene su tecnología encubierta a través de un departamento de seguridad compuesta por varias docenas de expertos. «Hay un departamento muy grande en la empresa que se encarga de blanquear, yo diría, toda la conexión de red entre el cliente y la NSO», cuenta un antiguo empleado. «Compran servidores de V.P.N. en todo el mundo. Tienen toda esta infraestructura montada para que no se pueda rastrear ninguna de las comunicaciones».
A pesar de estas precauciones, los ingenieros de WhatsApp consiguieron rastrear los datos del hackeo hasta direcciones IP vinculadas a propiedades y servicios web utilizados por NSO. «Ahora sabíamos que uno de los mayores actores de amenazas del mundo mantenía un ataque en vivo contra WhatsApp», recuerda Gheorghe. «Fue emocionante, porque es muy raro atrapar algunas de estas cosas. Pero, al mismo tiempo, también daba mucho miedo». Empezó a surgir una imagen de las víctimas. «Es probable que haya periodistas activistas de derechos humanos y otros en la lista», escribió Labunets, el ingeniero de seguridad, en el sistema de mensajería de la empresa. Finalmente, el equipo identificó a unos mil cuatrocientos usuarios de WhatsApp que habían sido objeto de ataques.
A mediados de la semana, una treintena de personas estaban trabajando en el problema, operando en un relevo de veinticuatro horas con un grupo que se iba a dormir mientras otro se conectaba. Facebook amplió el plazo de entrega para el equipo y comenzaron a aplicar la ingeniería inversa al código malicioso. «Para ser sincero, es brillante. Cuando lo ves, parece magia», explica Gheorghe. «Esta gente es muy inteligente», añade. «No estoy de acuerdo con lo que hacen, pero, hombre, es algo muy complicado lo que han construido». El exploit desencadenó dos videollamadas muy seguidas, una uniéndose a la otra, con el código malicioso escondido en sus ajustes. El proceso duraba sólo unos segundos, y borraba cualquier notificación inmediatamente después. El código utilizaba una técnica conocida como «desbordamiento del búfer», en la que una zona de la memoria de un dispositivo se sobrecarga con más datos de los que puede albergar. «Es como si estuvieras escribiendo en un papel y te pasaras de los límites», desarrolla Gheorghe. «Empiezas a escribir sobre cualquier superficie, ¿no? Empiezas a escribir en el escritorio». El desbordamiento permite al software sobrescribir libremente las secciones de memoria circundantes. «Puedes hacer que haga lo que quieras».
Hablé con un vicepresidente de desarrollo de productos de NSO, al que la empresa me pidió que identificara sólo por su nombre de pila, Omer, alegando sin ironía aparente problemas de privacidad. «Encuentras los recovecos que te permiten hacer algo que el diseñador del producto no pretendía», me explicó Omer. Una vez en el control, el exploit cargaba más software, permitiendo al atacante extraer datos o activar una cámara o un micrófono. Todo el proceso era de «clic cero», sin requerir ninguna acción por parte del propietario del teléfono.
El software fue diseñado por el Core Research Group de NSO, formado por varias docenas de desarrolladores de software. «Se busca una bala de plata, un exploit sencillo que pueda cubrir la mayor cantidad de dispositivos móviles en todo el mundo», me dijo Omer. Gheorghe explica la materia: «Mucha gente piensa que los piratas informáticos son una sola persona en una habitación oscura, escribiendo en un teclado, ¿verdad? Esa no es la realidad: esa gente son una empresa tecnológica más». Es habitual que las empresas tecnológicas contraten a personas con experiencia en piratería informática y ofrezcan recompensas a los programadores externos que identifiquen vulnerabilidades en sus sistemas. La sede de Facebook tiene la vanidosa dirección del número 1 en el Hacker Way. Tanto en NSO como en WhatsApp, los ingenieros más cercanos a la codificación suelen ser descritos por sus colegas como introvertidos extravagantes, parecidos a los arquetipos de hackers de la ficción. «Son personas especiales. No todos pueden comunicarse claramente con otros seres humanos», me explicó Omer, sobre los programadores que trabajan en Pegasus, me contó que «algunos de ellos no duermen durante dos días, y se vuelven locos cuando no duermen».
A finales de la semana, el equipo de seguridad de Facebook ideó un acto de subterfugio: simular un dispositivo infectado para conseguir que los servidores de NSO les enviaran una copia del código. «Pero su software era lo suficientemente inteligente como para no dejarse engañar por esto», lamenta Gheorghe. «Nunca fuimos capaces de ponerle las manos encima».
Omer me dijo que esto «es como el juego del gato y el ratón». Aunque NSO dice que sus clientes controlan el uso de Pegasus, no discute su papel directo en estos intercambios. «Todos los días se parchean cosas», me explica Hulio. «Este es el trabajo rutinario aquí».
En ocasiones, los usuarios de WhatsApp recibían repetidas llamadas perdidas, pero el malware no se instalaba con éxito. Una vez que los ingenieros se enteraron de estos incidentes, pudieron estudiar cómo qué sucedía cuando Pegasus fallaba. Hacia el final de la semana, Gheorghe me explicó sus conclusiones: «Dijimos, vale, no tenemos una comprensión completa en este momento, pero creo que hemos captado lo suficiente». El viernes por la mañana, Facebook notificó el problema y el posible delito al Departamento de Justicia, que está desarrollando un caso contra NSO. A continuación, la empresa actualizó sus servidores para bloquear el código malicioso. «Listo para rodar», escribió Gheorghe en el servicio de mensajería interna esa tarde. La corrección se construyó para que pareciera un mantenimiento rutinario del servidor, de modo que NSO pudiera seguir intentando ataques exitosos, proporcionando a Facebook más datos.
Al día siguiente, según los ingenieros de WhatsApp, NSO empezó a enviar lo que parecían paquetes de datos señuelo, que especulaban que eran una forma de determinar si las actividades de la empresa de espionaje estaban siendo vigiladas. «En uno de los paquetes maliciosos, en realidad enviaron un enlace de YouTube», me dijo Gheorghe. «Nos reímos como locos cuando vimos lo que era«. El enlace era al vídeo musical de la canción de Rick Astley Never Gonna Give You Up, de 1987. Engañar a la gente con un enlace a la canción es una táctica popular de trolling conocida como ‘Rickrolling’. Otto Ebeling recuerda este momento: «El rickrolling es, no sé, algo que me haría mi colega, no una especie de gente semiprofesional». Cathcart me indicó las conversaciones en ese momento: «Había un mensaje en ello. Decían: ‘Sabemos lo que hiciste, te vemos’». Hulio y otros empleados de la NSO han asegurado que no recordaban el WhatsApp de Rickrolling.
En los meses siguientes, WhatsApp comenzó a notificar a los usuarios que habían sido atacados. La lista incluía a numerosos funcionarios públicos, entre ellos al menos un embajador francés y el primer ministro de Djibouti. «No había, ya sabes, solapamiento entre esta lista y, por ejemplo, la divulgación legítima de las fuerzas del orden», explica Cathcart. «Se podía ver que hay un montón de países en todo el mundo metidas en ello. No se trata de una sola agencia u organización en un solo país que se dirigía solo a la gente». WhatsApp también comenzó a trabajar con el Citizen Lab, que advirtió a las víctimas del riesgo de que pudieran ser hackeadas de nuevo, y les ayudó a asegurar sus dispositivos. John Scott-Railton cuenta el proceso en ese tiempo: «Fue realmente interesante la cantidad de gente que estaba molesta y triste, pero de una manera profunda, no sorprendida, casi aliviada, como si estuvieran recibiendo un diagnóstico para una dolencia misteriosa que habían sufrido durante muchos años».
Cinco personas del grupo inicial identificado por WhatsApp eran catalanes, entre ellos legisladores electos y un activista. Campo, el investigador de seguridad catalán, se dio cuenta de que los casos «eran probablemente sólo la punta del iceberg», a lo que añade: «Fue entonces cuando me encontré en la intersección entre la tecnología —un producto que contribuí a construir— y mi país de origen».
WhatsApp siguió compartiendo información con el Departamento de Justicia y ese otoño la empresa demandó a NSO en un tribunal federal. NSO Group «violó nuestros sistemas, intentó perjudicarnos», lamenta Cathcart. «Quiero decir, ¿se puede no hacer nada al respecto? No. Tiene que haber consecuencias».
En nuestro encuentro, Hulio me transmite la experiencia: «Sólo recuerdo que un día se produjo la demanda y cerraron la cuenta de Facebook de nuestros empleados, lo que fue una medida muy abusiva por su parte». Y añadió, refiriéndose a los escándalos sobre el papel de Facebook en el mundo: «Creo que es una gran hipocresía». La NSO ha presionado para que se desestime la demanda, argumentando que el trabajo de la empresa en nombre de los gobiernos debería concederle la misma inmunidad frente a las demandas que tienen esos mismos organismos. Hasta ahora, los tribunales estadounidenses han rechazado este argumento.
La postura agresiva de WhatsApp era inusual entre las grandes empresas tecnológicas, que suelen ser reacias a llamar la atención sobre los casos en que sus sistemas se han visto comprometidos. La demanda supuso un cambio. Las empresas tecnológicas se han alineado abiertamente contra los vendedores de programas espía. Gheorghe lo describe como «el momento en que todo explotó».
Microsoft, Google, Cisco y otras empresas presentaron un escrito legal en apoyo de la demanda de WhatsApp. Goodwin, el ejecutivo de Microsoft, ayudó a reunir la coalición de empresas. «No podíamos dejar que NSO Group prevaleciera con el argumento de que, simplemente porque un Gobierno está usando tus productos y servicios, obtienes inmunidad soberana», me ha explicado. «El efecto dominó de eso habría sido muy peligroso». Hulio sostiene que cuando los gobiernos utilizan Pegasus es menos probable que se apoyen en los titulares de las plataformas para ampliar el acceso «por la puerta trasera» a los datos de los usuarios. Expresó su exasperación con la demanda. «En lugar de que digan: ‘De acuerdo, gracias’», me dijo, «nos van a demandar. Bien, pues nos veremos en los tribunales».
También Microsoft tiene un equipo de seguridad que lucha contra los hackers. Aunque Pegasus no está diseñado para atacar a los usuarios a través de las plataformas de Microsoft, al menos cuatro personas en Cataluña que utilizan Windows en sus ordenadores han sido atacadas por un software espía fabricado por Candiru, una empresa fundada por antiguos empleados de NSO. Un portavoz de Candiru ha especificado que exige que sus productos se utilicen con el «único propósito de prevenir el crimen y el terror». En febrero de 2021, el Citizen Lab identificó pruebas de una infección activa —una rareza para un software espía de este calibre— en un ordenador portátil perteneciente a Joan Matamala, un activista estrechamente relacionado con los políticos separatistas catalanes. Campo llamó a Matamala y le indicó que envolviera el portátil en papel de aluminio, una forma improvisada de bloquear la comunicación del malware con los servidores. De esta forma, Citizen Lab pudo extraer una copia del software espía, que Microsoft bautizó como DevilsTongue [La Lengua del Diablo]. Varios meses después, Microsoft publicó actualizaciones que bloqueaban DevilsTongue y evitaban futuros ataques. Para entonces, la lista de activistas y periodistas atacados «nos ponía los pelos de punta», cuenta Goodwin. Matamala ha sido objeto de más de dieciséis ataques. «Todavía tengo el papel de aluminio guardado aquí, por si alguna vez tenemos la sospecha de tener otra infección», explica.
El pasado mes de noviembre, después de que los usuarios de iPhone fueran supuestamente objetivo de NSO, Apple presentó su propia demanda. NSO ha presentado una moción de desestimación. «Apple es una empresa que no cree en las demandas teatrales», señala Ivan Krstić, el ingeniero. «Hemos estado todo este tiempo esperando una pistola humeante que nos permita ir a presentar una demanda que se pueda ganar».
Apple creó un equipo de inteligencia de amenazas hace casi cuatro años. Dos empleados de Apple implicados en el trabajo me dijeron que era una respuesta a la propagación del software espía, ejemplificada por NSO Group. «NSO es un gran dolor de cabeza», me dijo uno de los empleados. «Incluso antes de lo que salió en las noticias, habíamos interrumpido NSO varias veces». En 2020, con el lanzamiento de su software iOS 14, Apple había introducido un sistema llamado BlastDoor, que trasladaba el procesamiento de los iMessages —incluyendo cualquier código potencialmente malicioso— a una cámara conectada al resto del sistema operativo por una única y estrecha canalización de datos. Pero Omer, el vicepresidente de NSO, me contó que «las funciones más nuevas suelen tener algunos agujeros en su armadura», lo que las hace «más fáciles de atacar». Krstić admite que entonces aún quedaba «una especie de ojo de la aguja de una abertura».
En marzo de 2021, el equipo de seguridad de Apple recibió un aviso de que un hacker había logrado enhebrar esa aguja. Incluso la guerra cibernética tiene agentes dobles. Una persona familiarizada con las capacidades de inteligencia de amenazas de Apple dijo que el equipo de la compañía a veces recibe pistas de informantes relacionados con empresas de software espía: «Hemos dedicado mucho tiempo y esfuerzo a tratar de llegar a un lugar en el que realmente podamos aprender algo sobre lo que está sucediendo entre bastidores en algunas de estas empresas». Un portavoz de Apple explica que Apple no «maneja fuentes» dentro de las empresas de software espía. Los vendedores de programas espía también se basan en la recopilación de información, como la obtención de versiones preliminares de software, que utilizan para diseñar sus próximos ataques. «Seguimos las publicaciones, seguimos las versiones beta de las aplicaciones a las que nos dirigimos», me dijo Omer.
Ese mes, los investigadores del Citizen Lab se pusieron en contacto con Apple: el teléfono de una activista saudí por los derechos de las mujeres, Loujain al-Hathloul, había sido hackeado a través de iMessage. Más tarde, el Citizen Lab pudo enviar a Apple una copia de un exploit, que el investigador Bill Marczak descubrió, tras meses de escudriñar el teléfono de Hathloul, enterrado en un archivo de imagen. La persona familiarizada con las capacidades de inteligencia de amenazas de Apple dijo que recibir el archivo a través de un canal digital encriptado era «algo así como recibir una cosa en una bolsa de riesgo biológico en la que pone: ‘No abrir excepto en un laboratorio de nivel de bioseguridad 4’».
La investigación de Apple duró una semana y en ella participaron varias docenas de ingenieros con sede en Estados Unidos y Europa. La empresa llegó a la conclusión de que NSO había inyectado código malicioso en archivos en formato PDF de Adobe. Luego engañó a un sistema de iMessage para que aceptara y procesara los PDF fuera de BlastDoor. «Es algo que roza la ciencia ficción», rememora la persona familiarizada con las capacidades de inteligencia de amenazas de Apple. «Cuando lees el análisis, es difícil de creer». El equipo de investigación de seguridad de Google, Project Zero, también estudió una copia del exploit, y más tarde escribió en un blog sus conclusiones: «Evaluamos que se trata de uno de los exploits técnicamente más sofisticados que hemos visto nunca, lo que demuestra aún más que las capacidades que proporciona la NSO rivalizan con las que antes se creía que sólo eran accesibles para un puñado de estados nacionales». En las oficinas de la NSO, los programadores del Core Research Group imprimieron una copia del post y la colgaron en la pared.
Apple envió actualizaciones para sus plataformas, que inutilizaron el exploit. Krstić valora que esto era «un enorme punto de orgullo» para el equipo. Pero Omer me dijo: «Lo veíamos venir. Sólo contábamos los días hasta que ocurriera». Tanto él como otros miembros de la empresa afirmaron que la próxima hazaña es inevitable. «Podría haber algunas lagunas. Podríamos tardar dos semanas en idear una mitigación por nuestra parte, alguna solución».
Durante las entrevistas realizadas en las oficinas de la NSO durante el mes pasado, los empleados intercambiaron miradas nerviosas con los encargados de las relaciones públicas mientras respondían a las preguntas sobre el estado de ánimo en medio de los escándalos, las demandas y las listas negras. «Para ser sincero, no siempre el ánimo es bueno», dijo Omer. Otros afirmaron su lealtad a la empresa y su creencia en el poder de sus herramientas para atrapar a los delincuentes. «La empresa tiene una narrativa muy fuerte que intenta vender internamente a los empleados», me dijo el exempleado. «O estás con ellos o estás contra ellos».
Israel se ha convertido en la fuente más importante del mundo de tecnología de vigilancia privada en parte por la calidad del talento y la experiencia de sus militares. «Debido al servicio obligatorio, podemos reclutar lo mejor de lo mejor», me indica un exalto funcionario de inteligencia. «El sueño americano es pasar del M.I.T. a Google. El sueño israelí es ir al 8200», la unidad de inteligencia militar israelí de la que suelen reclutar los vendedores de software espía. Hulio, que se describe a sí mismo como un estudiante mediocre cuya educación no fue «nada del otro mundo», suele recalcar durante nuestra conversación que no sirvió en esta unidas. La NSO ha sido considerada históricamente como una perspectiva laboral atractiva para los jóvenes veteranos, pero el ex empleado de la NSO que renunció después de preocuparse de que Pegasus hubiera facilitado el asesinato de Jamal Khashoggi me dijo que otros también se habían desilusionado. «Muchos de mis compañeros decidieron abandonar la empresa en ese momento», cuenta el ex empleado. «Este fue uno de los principales acontecimientos que creo que hizo que muchos de los empleados despertaran y entendieran lo que estaba pasando». En los últimos años, las salidas han sido «como una bola de nieve». Hulio, en respuesta a las preguntas sobre los problemas de la empresa, me indica que sus preocupaciones pasaban por: el estado de ánimo de los empleados».
En 2019, NSO asumió una deuda de cientos de millones de dólares como parte de un acuerdo de compra de la empresa de capital privado con sede en Londres, Novalpina, de la que adquirió una participación del 70%. Recientemente, la empresa de servicios financieros Moody’s rebajó la calificación crediticia de NSO a «pobre», y Bloomberg la describió como un activo en dificultades, rechazado por los operadores de Wall Street. Dos altos ejecutivos de NSO se han marchado y las relaciones entre la empresa y sus patrocinadores se han deteriorado. Las luchas internas entre los socios de Novalpina han llevado a transferir el control de sus activos, incluida NSO, a una consultora, Berkeley Research Group, que se comprometió a aumentar la supervisión. Pero un ejecutivo de BRG ha afirmado recientemente que la cooperación con Hulio se ha vuelto «prácticamente inexistente». La Agencia France-Presse ha informado de que las tensiones surgieron porque los acreedores de NSO han presionado para que se sigan realizando ventas a países con un historial dudoso en materia de derechos humanos, mientras que BRG ha tratado de ponerlas en pausa. «Efectivamente, tenemos algunas disputas con ellos», me admite Hulio, en referencia a BRG. «Se trata de cómo llevar el negocio».
Los problemas de NSO han complicado su estrecha alianza con el Estado israelí. El ex alto funcionario de inteligencia recordó que, en el pasado, cuando su unidad rechazaba a los países europeos que buscaban colaboración en materia de inteligencia, «el Mossad decía: Aquí está la siguiente mejor opción, NSO Group». Varias personas familiarizadas con esos tratos han indicado que las autoridades israelíes proporcionaron poca orientación ética o restricción. El exfuncionario añade: «El control de exportaciones israelí no se ocupaba de la ética. Se trataba de dos cosas. Una, el interés nacional israelí. Dos, la reputación». El ex empleado de la NSO dijo que el Estado «era muy consciente de su mal uso, e incluso lo utilizaba como parte de sus propias relaciones diplomáticas». El Ministerio de Defensa de Israel emitió un comunicado en el que explicaba que «cada evaluación de licencias se hace a la luz de varias consideraciones, incluyendo la autorización de seguridad del producto y la evaluación del país hacia el que se comercializará el producto. Se tienen en cuenta los derechos humanos, la política y las cuestiones de seguridad». Tras la inclusión de NSO en la lista negra, Hulio trató de conseguir la colaboración de funcionarios israelíes, entre ellos el Primer Ministro Naftali Bennett y el Ministro de Defensa Benny Gantz. «Envié una carta», me contó. «Dije que como empresa regulada, ya sabes, todo lo que hemos pedido fue con el permiso, y con la autoridad, del gobierno de Israel». Pero un alto funcionario de la Administración Biden dijo que los israelíes sólo plantearon «quejas bastante leves» sobre la lista negra. «No les gustó, pero no tuvimos un enfrentamiento».
En la política israelí, los políticos árabes están liderando un modesto movimiento para examinar la relación del Estado con NSO. El líder del partido árabe, Sami Abou Shahadeh, me ha explicado el proceso: «Intentamos debatir esto en la Knesset dos veces… para decirles a los políticos israelíes: ‘Estáis vendiendo la muerte a sociedades muy débiles que están en conflicto, y lo habéis estado haciendo durante demasiado tiempo». Y esto, añade, «nunca funcionó, porque, en primer lugar y moralmente no ven ningún problema en ello». El otoño pasado, una investigación del grupo de vigilancia Front Line Defenders identificó infecciones de Pegasus en los teléfonos de seis activistas palestinos, entre ellos uno al que se le había revocado la condición de residente en Jerusalén. Abou Shahadeh argumentó que la historia de la tecnología de software espía de Israel está vinculada a la vigilancia de las comunidades palestinas en Cisjordania, Jerusalén Este y Gaza. «Tienen un enorme laboratorio», me cuenta. «Cuando utilizaron todas las mismas herramientas durante mucho tiempo para espiar a los ciudadanos palestinos, a nadie le importó». Al preguntarle sobre la selección de palestinos, Hulio indica: «Si Israel está utilizando nuestras herramientas para luchar contra la delincuencia y el terror, yo estaría muy orgulloso de ello».
«Sé que ha habido usos indebidos», explica Hulio. «Es difícil para mí vivir con eso. Y, obviamente, lo lamento. De verdad, no lo digo por decir. Nunca lo he dicho, pero lo digo ahora». Hulio afirma que la empresa ha rechazado a noventa clientes y cientos de millones de dólares de negocio por la preocupación de que se produzcan abusos. Pero tales afirmaciones son difíciles de verificar. «NSO quería entrar en Europa Occidental para poder decir a tipos como tú: ‘aquí tienes un ejemplo europeo’», explica el exfuncionario de inteligencia israelí, que ahora trabaja en el sector del software espía. «Pero la mayor parte de su negocio está subvencionado por las Árabes Saudíes del mundo». El exempleado, que tenía conocimiento de los esfuerzos de venta de NSO, puntualiza: «Para un país europeo, cobrarían diez millones de dólares. Y para un país de Oriente Medio podrían cobrar como doscientos cincuenta millones por el mismo producto». Esto parecía crear incentivos perversos: «Cuando comprendieron que había un mal uso en esos países a los que vendían por enormes cantidades de dinero, entonces la decisión de cerrar el servicio para ese país específico se hizo mucho, mucho más difícil».
Preguntado por los abusos extremos que se atribuyen a su tecnología, Hulio invocó un argumento que está en el centro de la defensa de su empresa contra WhatsApp y Apple. «No tenemos acceso a los datos del sistema», me dijo. «No participamos en la operación, no vemos lo que hacen los clientes. No tenemos forma de controlarlo». Cuando un cliente compra Pegasus, explican los responsables de la empresa, un equipo de NSO se desplaza para instalar dos bastidores, uno dedicado al almacenamiento y otro al funcionamiento del software. El sistema funciona entonces con una conexión limitada a NSO en Israel.
Pero los ingenieros de NSO admiten que hay una cierta supervisión en tiempo real de los sistemas para evitar la manipulación no autorizada o el robo de su tecnología. Y el exempleado corrige, sobre las garantías de Hulio de que la NSO está técnicamente impedida de supervisar el sistema, que «eso es mentira». El exempleado recuerda las labores de apoyo y mantenimiento que implicaban el acceso remoto de NSO, con el permiso del cliente y la supervisión en vivo. «Hay acceso remoto», añade el exempleado. «Pueden ver todo lo que ocurre. Tienen acceso a la base de datos, tienen acceso a todos los datos». El alto funcionario europeo de las fuerzas del orden admite que «pueden tener acceso remoto al sistema cuando les autorizamos a acceder al sistema».
Los ejecutivos de NSO argumentan que, en un campo no regulado, están intentando construir barandillas. Han promocionado el nombramiento de un comité de cumplimiento y me explican que ahora mantienen una lista de países clasificados por riesgo de uso indebido, basada en indicadores de derechos humanos de Freedom House y otros grupos. NSO también dice que los sistemas Pegasus de los clientes mantienen un archivo que registra los números que han sido objeto de ataques; los clientes están obligados por contrato a entregar el archivo si NSO inicia una investigación. «Nunca hemos tenido un cliente que diga que no», celebra Hulio. La empresa dice que puede dar de baja los sistemas a distancia, y lo ha hecho siete veces en los últimos años.
La competencia, según Hulio, es mucho más temible. «Las empresas se encuentran en Singapur, en Chipre, en otros lugares que no tienen una verdadera regulación», me cuenta. «Y pueden vender a quien quieran». La industria del software espía también está llena de piratas informáticos sin escrúpulos dispuestos a descifrar los dispositivos para cualquiera que pague. «Se llevarán tus ordenadores, se llevarán tu teléfono, tu Gmail», enumera. «Obviamente es ilegal. Pero ahora es muy común. No es tan caro». Parte de la tecnología con la que compite NSO, dice, proviene de actores estatales, como China y Rusia. «Puedo decirte que hoy en China, hoy en África, ves al Gobierno chino dando capacidades casi similares a NSO». Según un informe de la Fundación Carnegie para la Paz Internacional, China suministra herramientas de vigilancia a sesenta y tres países, a menudo a través de empresas privadas vinculadas al Estado chino. «La NSO no existirá mañana, digamos», predice Hulio. «No va a haber un vacío. ¿Qué crees que pasará?».
NSO también compite con empresas israelíes. Las campañas de hacking a gran escala, como la de Cataluña, suelen utilizar herramientas de varias empresas, varias de ellas fundadas por exalumnos de NSO. Candiru fue creada en 2014 por los ex empleados de NSO Eran Shorer y Yaakov Weizman. La empresa ha estado supuestamente vinculada a los recientes ataques a sitios web en el Reino Unido y Oriente Medio (aunque Candiru niega la conexión), y su software ha sido identificado en los dispositivos de los ciudadanos turcos y palestinos. Candiru no tiene sitio web. La empresa comparte su nombre con un pez parásito, originario de la cuenca del río Amazonas, que drena la sangre de los peces más grandes.
QuaDream fue fundada dos años después por un grupo que incluye a otros dos antiguos empleados de NSO, Guy Geva y Nimrod Reznik. Al igual que NSO, se centra en los teléfonos inteligentes. A principios de este año, Reuters informó de que QuaDream había explotado la misma vulnerabilidad que NSO utilizó para acceder a iMessage de Apple. QuaDream, cuyas oficinas se encuentran detrás de una puerta sin marcar en el suburbio de Ramat Gan, en Tel Aviv, parece compartir con muchos de sus competidores la dependencia de los paraísos fiscales: su malware estrella, Reign, es supuestamente propiedad de una entidad con sede en Chipre, InReach. Según Haaretz, esta empresa se encuentra entre las que ahora emplea Arabia Saudí. No fue posible contactar con QuaDream para que hiciera comentarios.
Otras firmas israelíes se colocan a sí mismas como menos conflictivas desde el punto de vista de la reputación. Paragon, que fue fundada en 2018 por exfuncionarios de inteligencia israelíes e incluye al ex primer ministro Ehud Barak en su junta directiva, comercializa su tecnología a oficinas dentro del Gobierno de Estados Unidos. La tecnología principal de Paragon no se centra en tomar el control total de los teléfonos, sino en hackear sistemas de mensajería encriptada como Telegram y Signal. Un ejecutivo me dijo que se ha comprometido a vender sólo a una estrecha lista de países con un historial de derechos humanos relativamente poco controvertido: «Nuestra estrategia es tener valores, lo que es interesante para el mercado estadounidense».
En Cataluña, Gonzalo Boye, un abogado que representa a diecinueve personas que están en el punto de mira de Pegasus, está preparando denuncias penales ante los tribunales de España y otros países europeos acusando a NSO —así como a Hulio y sus cofundadores— de infringir las leyes nacionales y de la UE. Boye ha representado a políticos catalanes exiliados, incluido el expresidente Carles Puigdemont. Entre marzo y octubre de 2020, según el análisis del Citizen Lab, Boye fue objeto de dieciocho ataques con mensajes de texto que se hacían pasar por actualizaciones de Twitter y sitios de noticias. Al menos un intento resultó en una infección exitosa de Pegasus. Boye dice que ahora pasa todo el tiempo posible fuera de España. En una entrevista reciente, se preguntó: «¿Cómo puedo defender a alguien, si la otra parte sabe exactamente todo lo que he dicho a mi cliente?» Hulio se ha negado siempre a identificar a clientes concretos, pero ha sugerido que el uso que hace España de la tecnología es legítimo. «Definitivamente, España tiene un estado de derecho», asegura. «Y si todo fue legal, con la aprobación del Tribunal Supremo, o con la aprobación de todos los mecanismos legales, entonces no se puede hacer un mal uso». Pere Aragonès, el actual presidente de Cataluña, asegura que los separatistas «no somos delincuentes». Él es una de las tres personas que han ocupado la máxima autoridad de la comunidad cuyos teléfonos han sido infectados. «Lo que queremos de las autoridades españolas es transparencia».
El mes pasado, el Parlamento Europeo formó una comisión para investigar el uso de Pegasus en Europa. La semana pasada, Reuters informó de que altos funcionarios de la Comisión Europea habían sido objeto del programa espía de NSO. La comisión de investigación, entre cuyos miembros se encuentra Puigdemont, celebrará su primera sesión el 19 de abril. Puigdemont calificó entonces las actividades de NSO como «una amenaza no sólo para la credibilidad de la democracia española, sino para la credibilidad de la propia democracia europea».
NSO Group también se enfrenta a consecuencias legales en el Reino Unido: tres activistas notificaron recientemente a la empresa, así como a los gobiernos de Arabia Saudí y de los Emiratos Árabes Unidos, que planean demandar por los supuestos abusos de Pegasus. La empresa ha asegurado que «no existe base» para sus reclamaciones.
NSO sigue defendiéndose en la demanda de WhatsApp. Este mes, presentó un recurso ante el Tribunal Supremo de Estados Unidos. «Si tenemos que ir a luchar, lo haremos», sostiene Shmuel Sunray, consejero general de NSO. Los abogados de WhatsApp han indicado que en su lucha con NSO se han encontrado con tácticas solapadas, incluida una aparente campaña de espionaje privado.
El 20 de diciembre de 2019, Joe Mornin, un asociado de Cooley L.L.P., un bufete de abogados de Palo Alto que estaba representando a WhatsApp en su demanda contra NSO, recibió un correo electrónico de una mujer que se identificó como Linnea Nilsson, una productora de una empresa con sede en Estocolmo que estaba desarrollando una serie documental sobre ciberseguridad. Nilsson era reservada en cuanto a su identidad, pero tenía tantas ganas de conocer a Mornin que le compró un billete de avión en primera clase de San Francisco a Nueva York. El billete se pagó en efectivo, a través de World Express Travel, una agencia especializada en viajes a Israel. Mornin nunca utilizó el billete. El sitio web de la empresa de documentales, lleno de fotos de otros lugares de Internet, desapareció de pronto. También lo hizo el perfil de LinkedIn de Nilsson.
Varios meses después, una mujer que afirmaba ser Anastasia Chistyakova, fiduciaria de un individuo adinerado con sede en Moscú, se puso en contacto con Travis LeBlanc, un socio de Cooley que trabajaba en el caso de WhatsApp, en busca de asesoramiento jurídico. La mujer envió mensajes de voz, correos electrónicos y mensajes a través de Facebook y LinkedIn. Mornin identificó que su voz era la de Nilsson, y el bufete de abogados concluyó más tarde que su correo electrónico procedía del mismo bloque de direcciones IP que las enviadas por Nilsson. Los abogados denunciaron los incidentes al Departamento de Justicia.
Las tácticas eran similares a las utilizadas por la empresa de inteligencia privada Black Cube, dirigida en gran parte por antiguos oficiales del Mossad y otras agencias de inteligencia israelíes, y conocida por utilizar operativos con identidades falsas. La empresa trabajó en nombre del productor Harvey Weinstein para rastrear a mujeres que le habían acusado de abusos sexuales, y el mes pasado tres de sus funcionarios recibieron penas de prisión por piratear e intimidar al fiscal jefe anticorrupción de Rumanía.
Black Cube ha sido relacionado con al menos otro caso que involucra a NSO Group. En febrero de 2019, la A.P. informó de que los agentes de Black Cube habían atacado a tres abogados implicados en otra demanda contra NSO Group, así como a un periodista residente en Londres que cubría el caso. Los abogados —Mazen Masri, Alaa Mahajna y Christiana Markou—, que representaban a periodistas y activistas hackeados, habían demandado a NSO y a una entidad afiliada en Israel y Chipre. A finales de 2018, los tres recibieron mensajes de personas que decían estar asociadas a una firma o individuo rico, sugiriendo repetidamente reuniones en Londres. NSO Group ha negado haber contratado a Black Cube para atacar a opositores. Sin embargo, Hulio reconoció la conexión ante mí, diciendo: «Para la demanda en Chipre, hubo una participación de Black Cube», porque la demanda «vino de la nada, y necesitábamos comprenderla». Dijo que no había contratado a Black Cube para otros pleitos. Black Cube dijo que no haría comentarios sobre los casos, aunque una fuente familiarizada con la empresa ha negado que hubiera apuntado a los abogados de Cooley.
«La gente puede sobrevivir y adaptarse a casi cualquier situación», me dijo una vez Hulio. El Grupo NSO debe adaptarse ahora a una situación en la que su producto estrella se ha convertido en un símbolo de opresión. «No sé si ganaremos, pero lucharemos», contó. Una de las soluciones es ampliar la línea de productos. La empresa me hizo una demostración de una herramienta de inteligencia artificial llamada Maestro que examina los datos de vigilancia, construye modelos de las relaciones y los horarios de las personas y alerta a las fuerzas del orden de las variaciones de la rutina que podrían ser precursoras de delitos. «Estoy seguro de que esta será la próxima gran novedad de la NSO», me explicó Leoz Michaelson, uno de sus diseñadores. «Convertir cada patrón de vida en un vector matemático».
El producto ya es utilizado por un puñado de países, y Hulio dijo que había contribuido a una detención después de que un sospechoso en una investigación sobre terrorismo alterara sutilmente su rutina. La empresa no parece haber tenido en cuenta la idea de que esta herramienta también podría suscitar polémica. Cuando pregunté qué pasaría si las fuerzas del orden arrestaran a alguien basándose, por ejemplo, en un inocente viaje a la tienda en mitad de la noche, Michaelson dijo: «Podría haber falsos positivos». Pero, añadió, «ese tipo que va a comprar leche en mitad de la noche está en el sistema por una razón».
Sin embargo, el riesgo para los transeúntes no es una abstracción. La semana pasada, Elies Campo decidió revisar los teléfonos de sus padres, científicos que no se dedican a actividades políticas, en busca de software espía. Descubrió que ambos habían sido infectados con Pegasus cuando los visitó durante las vacaciones de Navidad de 2019. Campo me dijo: «La idea de que cualquiera podría estar en riesgo de Pegasus ya no era solo un concepto: eran mis padres sentados frente a mí». En el teléfono de su madre, que había sido hackeado ocho veces, los investigadores encontraron un nuevo tipo de exploit de clic cero, que atacaba iMessage y el motor de navegación web de iOS. No hay pruebas de que los iPhones sigan siendo vulnerables al exploit, al que el Citizen Lab ha dado el nombre de trabajo de Homage. Cuando se encontraron las pruebas, Scott-Railton le dijo a Campo: «No te lo vas a creer, pero tu madre es el paciente cero de un exploit no descubierto anteriormente».
Durante una reciente visita a las oficinas de NSO, las ventanas y las pizarras blancas de todo el espacio estaban repletas de diagramas de flujo y gráficos, en texto hebreo e inglés, que recogían ideas para productos y explotaciones. En una pizarra, garabateada en grandes caracteres hebreos rojos y firmemente subrayada, había una sola palabra: «¡Guerra!».