En 2019, cuando NSO Group se enfrentaba a un intenso escrutinio, los nuevos inversores de la empresa de vigilancia israelí estaban en una ofensiva de relaciones públicas para tranquilizar a los grupos de derechos humanos.
En un intercambio de cartas públicas en 2019, dijeron a Amnistía Internacional y a otros activistas que harían “todo lo necesario” para garantizar que el software de NSO para armas solo se utilice para combatir el crimen y el terrorismo.
Pero la afirmación, parece ahora, era hueca.
Desconocido para los activistas, NSO más tarde tramaría un acuerdo que ayudaría a un cliente del gobierno desde hace mucho tiempo con un historial terrible de derechos humanos. Dubai, una monarquía en los Emiratos Árabes Unidos, quería que NSO le diera permiso para expandir su uso potencial del software espía para que pudiera apuntar a teléfonos móviles en el Reino Unido.
Tenía que hacerlo, argumentó, para rastrear a los traficantes de drogas utilizando tarjetas SIM extranjeras para evadir la vigilancia.
Los conocedores de la compañía dudaban, dijo una persona familiarizada con el asunto. Fue una propuesta arriesgada dado el historial de clientes como los Emiratos Árabes Unidos. En 2016, había intentado utilizar el software espía NSO para piratear el teléfono de uno de los activistas de derechos humanos emiratíes más francos y respetados, Ahmed Mansoor. Fue encarcelado por las autoridades emiratíes un año después y todavía está en la cárcel.
Pero se le ha dicho al diario británico The Guardian que un comité de la NSO que revisa el acuerdo estuvo de acuerdo con la solicitud de Dubai. Potencialmente, significaba que las autoridades de Dubai podrían eludir las leyes de privacidad y anti-piratería que generalmente protegerían a las personas que viven en democracias de ser espiadas sin una orden judicial y de que un gobierno extranjero piratee sus teléfonos.
Algunas de las personas en las que las autoridades mostraron un posible interés, según indican ahora los registros filtrados, no eran narcotraficantes. Eran activistas de derechos humanos y disidentes que vivían en el exilio.
Usando el software exclusivo de NSO, Pegasus, los gobernantes de Dubai podrían intentar infiltrarse en cualquier teléfono móvil que quisieran en el Reino Unido, escuchar llamadas, mirar fotos, leer mensajes de texto e incluso encender el micrófono o la cámara de un teléfono de forma remota. En la mayoría de los casos, podrían hacerlo sin dejar una huella digital.
Este es el poder del software espía de NSO, y la razón por la que países desde México hasta Arabia Saudita, Ruanda e India parecen haber estado dispuestos a pagar un alto precio por sus capacidades.
Esta semana, el proyecto Pegasus, una colaboración mediática que incluyó a The Guardian y fue coordinada por el grupo de medios francés Forbidden Stories, reveló nuevas denuncias de abuso, con registros filtrados que muestran los números de teléfono de periodistas, disidentes y activistas políticos.
La base de datos, que fue el corazón de la investigación del proyecto Pegasus, incluía los detalles telefónicos de 13 jefes de estado, así como diplomáticos, jefes militares y políticos de alto rango de 34 países.
Otros cuyos números aparecen en la lista filtrada incluyen al presidente francés, la mayor parte de su gabinete, periodistas en Hungría y México, 400 personas en el Reino Unido, incluido un miembro de la Cámara de los Lores, dos princesas y un entrenador de caballos.
El análisis forense de una pequeña muestra de la base de datos mostró que algunos teléfonos de la lista estaban infectados.
Pero la presencia de un número de teléfono en los datos no revela si un dispositivo fue infectado con Pegasus o fue objeto de un intento de pirateo.
NSO ha negado que la base de datos de números tenga algo que ver con ella o sus clientes. Dice que no tiene visibilidad de las actividades de sus clientes y dijo que el consorcio de informes había hecho "suposiciones incorrectas" sobre qué clientes usaban la tecnología de la empresa.
NSO dijo que el hecho de que un número apareciera en la lista filtrada no indicaba de ninguna manera si un número fue objeto de vigilancia mediante Pegasus. NSO también dice que la base de datos "no tiene relevancia" para la empresa.
Dijo que puede ser parte de una lista más grande de números que podrían haber sido utilizados por los clientes de NSO Group "para otros fines".
Ningún país ha admitido ser cliente de la tecnología de NSO.
Bajo vigilancia: la empresa y sus clientes
Desde sus humildes comienzos en 2010, NSO se ha convertido de hecho en una empresa que ayuda a sus clientes a espiar el mundo. Esta semana, el proyecto Pegasus ha generado nuevas preocupaciones sobre la escala y la profundidad de las campañas de vigilancia de los clientes gubernamentales de la empresa y, en general, la falta de regulaciones en torno a las muchas empresas que ahora venden software espía de grado militar.
Con sede en Herzliya, NSO Group ha recorrido un largo camino en poco tiempo. El nombre se deriva de las iniciales de los hombres que lo lanzaron: los amigos Niv Carmi, Shalev Hulio y Omri Lavie.
Hulio, que sirvió en las Fuerzas de Defensa de Israel (FDI), ha dicho que la idea de la empresa surgió después de que él y Lavie recibieron una llamada telefónica de un servicio de inteligencia europeo, que se enteró de que la pareja tenía los conocimientos necesarios para acceder a los teléfonos de las personas.
"¿Por qué no estás usando esto para recopilar inteligencia?" Se dice que la agencia preguntó.
La proliferación de teléfonos inteligentes y tecnología de comunicaciones encriptadas, desde Signal hasta WhatsApp y Telegram , significó que las agencias de inteligencia y aplicación de la ley se habían "oscurecido", incapaces de monitorear las actividades de terroristas, pedófilos y otros criminales.
“Dijeron que realmente no entendíamos, que la situación era grave”, recordó Hulio. Tan grave, de hecho, que cuando NSO comenzó a vender su tecnología, se expandió rápidamente y actualmente emplea a unas 750 personas.
La compañía es líder mundial en un nicho de mercado: brinda a los estados capacidades cibernéticas “ listas para usar ” que les permiten competir con la Agencia de Seguridad Nacional (NSA) en los EE. UU. Y la GCHQ del Reino Unido.
Desde el principio, NSO cultivó una imagen de luchador contra el crimen de vanguardia cuyas herramientas de vigilancia se utilizaron para detener a los terroristas. "Esto es realmente para los Bin Ladens del mundo", dijo Tami Mazel Shachar, entonces copresidente de NSO Group, a 60 Minutes en 2019.
La firma también ha dicho que es la antítesis de una empresa de vigilancia masiva, con clientes supuestamente manejando menos de 100 objetivos en un momento dado. Una fuente familiarizada con el asunto dijo que el número promedio de objetivos anuales por cliente era 112.
Los incidentes de abuso, ha sugerido la compañía, son raros y son investigados por funcionarios de cumplimiento. Cuando han surgido acusaciones de abuso, la compañía ha dicho que no puede revelar las identidades de sus clientes gubernamentales. Una persona familiarizada con las operaciones de NSO que habló bajo condición de anonimato dijo que solo en el último año, había rescindido los contratos con Arabia Saudita y Dubai en los Emiratos Árabes Unidos por preocupaciones de derechos humanos.
'Espía digital en tu bolsillo'
El proyecto Pegasus ha planteado nuevas preguntas sobre esta narrativa. También ha destacado los estrechos vínculos del gobierno israelí con la empresa.
"Las regulaciones [de la empresa] son un secreto de estado", dijo una fuente. Pero, en última instancia, el grupo se guía por una regla de oro: "Hay tres jurisdicciones con las que no se jode: Estados Unidos, Israel y Rusia".
Su primer cliente, en 2011, fue México, un país que sigue siendo un importante importador de software espía.
Durante un período de 18 meses en 2016-17, las cifras de más de 15,000 personas en México aparecieron en la base de datos filtrada. Incluían los números de teléfono de decenas de periodistas, editores y al menos 50 personas cercanas al actual presidente del país, Andrés Manuel López Obrador.
Esto no significa que estuvieran sujetos a un intento de pirateo con Pegasus o que estuvieran infectados con él. Sí sugiere que algunos clientes gubernamentales de NSO Group tenían un grupo de mexicanos en los que estaban interesados.
México ha sido acusado antes. En 2020, comenzaron a surgir informes de los medios que documentaban graves abusos de la tecnología de NSO , incluido el ataque a expertos internacionales que estaban examinando el caso de 43 estudiantes que desaparecieron después de que fueron secuestrados por la policía.
Casi al mismo tiempo, al otro lado del mundo, otro cliente de NSO estaba enviando mensajes de texto sospechosos a Mansoor en su iPhone. Cuando envió los enlaces a los investigadores de Citizen Lab, que está afiliado a la Universidad de Toronto, descubrió que el enlace estaba infectado con malware creado por la empresa israelí. Hacer clic en él habría convertido el teléfono de Mansoor en un “espía digital en su bolsillo”, rastreando sus movimientos y escuchando sus llamadas.
Un año después del descubrimiento, las fuerzas de seguridad allanaron la casa de Mansoor y lo arrestaron. Un informe de Human Rights Watch encontró que Mansoor, padre de cuatro hijos que ha sido descrito como poeta e ingeniero, pasó años en una celda de aislamiento después de su arresto. Sus "crímenes" incluyeron intercambios de WhatsApp con organizaciones de derechos humanos.
En octubre de 2018, NSO se enfrentó a una avalancha de críticas después de que Citizen Lab anunciara que había descubierto que un dispositivo perteneciente a otro disidente, un saudí llamado Omar Abdulaziz que vivía exiliado en Canadá, había sido infectado por malware.
Solo unos días después, tras el asesinato del periodista Jamal Khashoggi en el consulado saudí en Estambul, se hizo evidente la importancia de los ataques contra Abdulaziz.
Khashoggi y Abdulaziz se habían puesto en contacto. En entrevistas y en un expediente judicial, Abdulaziz dijo que creía que el objetivo había sido un "factor crucial" en el asesinato del periodista del Washington Post y el acoso y encarcelamiento de su propia familia en el reino.
Un exfuncionario le dijo a The Guardian que Estados Unidos descubrió señales de que la vigilancia fue un factor en el asesinato. “Nos dimos cuenta de que [Arabia Saudita] se había centrado en él. No lo supimos hasta después del asesinato, pero encontramos intercepciones de personas que hablaban de vigilar a periodistas. No sé si fue NSO”, dijo Kirsten Fontenrose, un alto funcionario del Consejo de Seguridad Nacional de Estados Unidos que cubría Arabia Saudita en ese momento.
La prometida de Khashoggi, Hatice Cengiz , fue pirateada con Pegasus por un cliente de NSO, que se cree que es Arabia Saudita, cuatro días después de que la periodista fuera asesinada, según un examen de su teléfono realizado por el laboratorio de seguridad de Amnistía Internacional. Otros amigos y asociados del periodista también fueron pirateados o atacados por los clientes de la empresa. A los pocos meses del asesinato, Arabia Saudita fue desconectada de NSO, aunque su acceso se restablecería en seis meses.
En un comunicado , NSO dijo: “Nuestra tecnología no se asoció de ninguna manera con el atroz asesinato de Jamal Khashoggi. Podemos confirmar que nuestra tecnología no se utilizó para escuchar, monitorear, rastrear o recopilar información sobre él o los miembros de su familia mencionados en su consulta ".
Nuevos propietarios, nuevas preocupaciones
En 2019, el fondo de capital privado con sede en EE. UU. Francisco Partners decidió vender NSO Group a un nuevo grupo de inversores. El acuerdo fue liderado por una firma con sede en Londres llamada Novalpina Capital , cuyo fondo compró una participación mayoritaria de la empresa junto con los fundadores de NSO en una adquisición valorada en alrededor de mil millones de dólares.
En Novalpina Capital, se produjo un debate interno sobre cómo la firma de capital privado debería abordar su nueva inversión, según una persona familiarizada con el tema. NSO no era un nombre familiar, pero a pesar de sus afirmaciones de que su software espía estaba salvando vidas al prevenir ataques terroristas, las organizaciones de derechos humanos estaban haciendo preguntas inquisitivas al grupo.
En abril, Amnistía Internacional, entre otros, firmó una carta dirigida a Novalpina exigiendo rendición de cuentas por atacar a "una amplia franja de la sociedad civil", incluidos dos docenas de defensores de los derechos humanos en México, uno de sus propios empleados, Abdulaziz, Mansoor, Ghanem Almasarir, un satírico saudí radicado en Londres , y Yahya Assiri, otro activista saudí.
Amnistía dijo: “Estas personas y organizaciones parecen haber sido blanco de ataques únicamente como resultado de sus críticas a los gobiernos que utilizaron el software espía o por su trabajo relacionado con cuestiones de derechos humanos de sensibilidad política para esos gobiernos. Por lo tanto, esta focalización es una violación de los derechos humanos reconocidos internacionalmente ”.
Stephen Peel, un financiero británico y cofundador de Novalpina, dirigió un esfuerzo de la firma de capital privado para comprometerse con los grupos de derechos humanos y los investigadores que habían hecho sonar las alarmas sobre sus prácticas durante años. En un largo intercambio de cartas con Amnistía firmado por Novalpina , Peel prometió abordar sus preocupaciones.
A los pocos meses de hacer esa promesa, dijeron dos fuentes familiarizadas con el asunto, a Dubai se le permitió expandir su uso del software espía en el Reino Unido. En septiembre de 2019, la compañía también dio a conocer una nueva política de derechos humanos y adoptó "principios rectores" para proteger a las poblaciones vulnerables, incluidos periodistas y activistas. Mientras tanto, las acusaciones de abuso por parte de los clientes de NSO seguían llegando.
WhatsApp entra en acción
Entonces, otro gigante tecnológico entró en la refriega.
En octubre de 2019, WhatsApp reveló que 1.400 de sus usuarios habían sido atacados con Pegasus a través de una vulnerabilidad en su aplicación. Las personas que fueron afectadas por el ataque, y fueron alertados por WhatsApp, incluyeron miembros del clero en Togo y decenas de periodistas en India, Ruanda y Marruecos.
“El cambio tectónico realmente grande en nuestra comprensión de las capacidades de NSO ocurrió alrededor del ataque de WhatsApp cuando obviamente vimos una serie de ataques sin clic. Y eso es como otro orden de magnitud de sofisticación ”, dijo John Scott-Railton, investigador principal de Citizen Lab.
En una batalla legal continua sobre el caso, NSO argumentó ante un tribunal de EE. UU. Que se le debería otorgar inmunidad en el caso porque el software de la compañía se había utilizado en nombre de clientes de gobiernos extranjeros sin su conocimiento o aprobación.
Ser cliente de NSO, dijo una persona que anteriormente se desempeñaba como corredor en la industria, era un poco como tener armas en los EE. UU.
"Se supone que debes usar un arma para protegerte, pero ¿quién te impedirá robar un banco?" ellos dijeron. “Usted me pregunta si NSO sabía que Pegasus sería utilizado para perseguir a periodistas, activistas de derechos humanos, les diría que por supuesto que lo sabían. Esa es mi opinión. Por supuesto que todo el mundo lo entiende. Pero, ¿se ha dicho? ¿Dijeron 'lo usaremos para los opositores al régimen'? No, no dijeron eso".
Fuente: The Guardian