NSO, la empresa israelí que creó el polémico espía Pegasus
Dos amigos que hicieron juntos el servicio militar crearon un software para combatir el crimen que, según una investigación coordinada por Forbidden Stories, ha sido usado para jaquear a periodistas y políticos. «La inteligencia es un negocio de mierda lleno de dilemas éticos», se defiende uno de sus fundadores
No empezaron en un garaje de Silicon Valley, sino en Herzliya, un barrio de Tel Aviv. Pero Omri Lavie y Shalev Hulio, fundadores del gigante tecnológico israelí NSO Group, especializado en software de vigilancia, también son emprendedores de éxito. Su firma cuenta con más de 750 empleados y una valoración cercana a los 1.500 millones de dólares, según ‘The Washington Post’ . Aunque su producto estrella, el programa espía Pegasus –capaz de extraer cantidades masivas de información de cualquier teléfono móvil con un simple mensaje de texto– está estos días en el centro de la polémica. Una investigación periodística coordinada por la organización francesa Forbidden Stories ha desvelado que esta herramienta habría sido utilizada con el objetivo de vigilar a periodistas, activistas, políticos y empresarios usando métodos reservados a asuntos de defensa nacional para atacar la libertad de prensa y los derechos humanos.
La filtración se centra en una lista con cerca de 50.000 números de teléfono de ciudadanos de hasta 45 países. Según publican ‘The Guardian’ y ‘Le Monde’, estos serían potenciales objetivos desde 2016 de algunos clientes de NSO Group: Arabia Saudí, Azerbaiyán, Bahréin, EAU, Hungría, India, Kazajistán, Marruecos, México, Ruanda y Togo, siempre según los autores del estudio elaborado con Amnistía Internacional.
NSO Group, por su parte, afirma en un comunicado que esta investigación «está llena de afirmaciones erróneas y no confirmadas». «Somos un proveedor tecnológico que no opera el sistema ni tiene acceso a los datos de sus clientes», añaden. Aunque la empresa ha guardado silencio sobre la identidad de sus clientes, recalca que «solo vende tecnología a fuerzas de seguridad y agencias de inteligencia gubernamentales con el objetivo de salvar vidas y evitar actos criminales y terroristas». Dos días más tarde endurecieron el tono de su defensa: «No vamos a responder preguntas que alimenten esta campaña mediática despiadada y difamatoria», subrayaron antes de recordar, de nuevo, que su Pegasus –nombre que tomaron prestado del caballo de Zeus porque su herramienta es como un troyano que vuela sigilosamente hasta los móviles de los vigilados– se usa cada día para «combatir la pedofilia, el narcotráfico, el comercio de seres humanos, localizar a supervivientes tras un desastre y proteger el espacio de drones peligrosos».
«La gente no entiende cómo funciona la inteligencia. No es fácil. No es agradable. La inteligencia es un negocio de mierda lleno de dilemas éticos», aseguraba el propio Hulio en una entrevista a ‘MIT Technology Review’, la revista del Instituto Tecnológico de Massachussets. «Es horrible», declaraba su socio Lavie a ‘The Washington Post’ tras conocer los ataques denunciados contra periodistas. «No quiero restarle importancia. Pero es el precio de hacer negocio. Esta tecnología se usa para lidiar literalmente con lo peor del planeta. Alguien tiene que hacer el trabajo sucio».
En contacto con D
Omri Lavie y Shalev Hulio conocen bien las tripas del negocio desde 2010, cuando fundaron NSO Group. El tercer socio, Niv Carmi –experto en inteligencia y seguridad del Mossad, según Forbidden Stories– dejó la empresa pronto. No era la primera aventura empresarial de Lavie y Hulio, amigos de la infancia y más tarde compañeros en el servicio militar. A principios de los 2000 fundaron MediAnd, una empresa que comercializó un software para comprar productos que los clientes veían en series de televisión.
En 2008, la crisis se llevó a esta ‘startup’ por delante, así que ambos amigos fundaron CommuniTake. una firma especializada en móviles que permitía a los operadores controlar en remoto los dispositivos de sus clientes, previa autorización de estos, para mejorar sus servicios de atención al cliente. De ahí dieron el salto a la ciberinteligencia con NSO, un sector en el que Israel es potencia mundial. Muchos emprendedores digitales del país, de hecho, proceden de la famosa Unidad 8200, la división informática de las Fuerzas de Defensa de Israel (IDF). Buky Carmelo, consultor de NSO Group, trabajó durante 17 años en ese área. Otro asesor, Daniel Reisner, sirvió también en el departamento legal del Ejército. El propio Hulio cuenta en su biografía corporativa que colabora con la IDF. «Por su situación histórica y geopolítica Israel siempre ha tenido un desarrollo tecnológico militar muy avanzado, que han sabido llevar a la esfera civil», explica Margarita Robles, profesora de la Universidad de Granada y cofundadora de la Red de Excelencia Nacional de Investigación en Ciberseguridad. «Casi todos los forenses de móviles a nivel mundial usan Cellebrite, otro software israelí», apunta Manuel Martínez, experto en seguridad informática y profesor de la UNIR.
«Las empresas de ciberseguridad como NSO Group explotan las vulnerabilidades que encuentran en los móviles para que sus herramientas consigan el control de los teléfonos, que en general son muy seguros. A los Gobiernos les sale más económico contratar a compañías de este tipo que dedicar recursos a buscar ellos mismos los fallos. El tema es que la búsqueda de estas vulnerabilidades es un área un poco gris, porque quienes descubren estas brechas pueden usarlas para el bien o para el mal. Hay páginas web en las que se puede llegar a ofrecer hasta un millón de euros por estas vulnerabilidades. Te arregla la vida», señala este especialista.
En un intento por arrojar luz en una industria tremendamente opaca, NSO Group publicó el mes pasado un informe en el que afirma que tienen 60 clientes en 40 países: un 51% son agencias de inteligencia, un 38% son fuerzas de seguridad y un 11% militares. Presumen de ser selectivos con sus socios y afirman que la última palabra para permitir cada exportación de Pegasus la tiene el Ministerio de Defensa de Israel. Como ocurre con cualquier arma. Tras la venta, no siguen lo que sus usuarios finales hacen con el software. Se dice también que, gracias a Pegasus, México logró capturar al Chapo. Con todo, desde 2016 se han visto obligados a desconectar de sus sistemas a cinco clientes por un uso indebido y cancelar el contrato con otros cinco por asuntos relacionados con recursos humanos. En total, «esto nos ha llevado a perder unos 100 millones de dólares». El año pasado, investigaron doce denuncias, una de las cuales acabó en una extinción de contrato. Sus estándares éticos les han llevado a rechazar un 15% de las ofertas por Pegasus (unos 300 millones de dólares).
Eso sí, no aportan ni un nombre propio. «No voy a hablar de ningún cliente concreto», afirmó en 2019 en un reportaje del prestigioso programa ‘ 60 minutos ’, de la cadena CBS. «¿Puedes decir que nunca habéis vendido ni venderéis Pegasus a un país que se sepa que viola los derechos humanos, encarcela periodistas o persigue activistas?», preguntó la periodista. «Solo digo que vendemos Pegasus para combatir el crimen y el terror», sentenció Hulio.
Papel mojado
No obstante, esta investigación no es la única que pone el foco en NSOGroup, con base de exportación también en Chipre y Bulgaria. En 2016, Citizen Lab, un equipo de investigadores digitales dependiente de la Universidad de Toronto, ya alertó de que Pegasus se había utilizado para seguir al activista Ahmed Mansoor. Después, continuaron denunciando su uso en lugares como México, el país que más teléfonos apuntó a la ‘lista’: 15.000. Uno de ellos era el del periodista Cecilio Pineda, asesinado en 2017, relata Forbidden Stories. Durante la investigación también aparecieron como objetivo familiares del periodista saudí asesinado Jamal Khashoggi; vinculación que NSOGroup ha negado tajantemente. Políticos catalanes vinculados al independentismo, como Roger Torrent y Anna Gabriel, también estuvieron bajo el radar de los compradores de Pegasus.
En 2019, WhatsApp y su matriz Facebook denunciaron a NSO y Q Cyber Technologies (otro de los nombres bajo los que opera la compañía adquirida en 2019 por la empresa europea Novalpina y sus fundadores originales) por usar su aplicación para el espionaje. Hasta 1.400 usuarios, afirmó la compañía de Zuckerberg, se vieron afectados. En España, según el Instituto Nacional de Ciberseguridad, «no tienen incidentes asociados al uso de esta herramienta con finalidad de espionaje».
«Hay que valorar hasta qué punto es lícito usar este tipo de programas», destaca Robles. En España, por ejemplo, el CNI necesita autorización judicial para operar. «El espionaje antes era una actividad limitada, no existía el problema de la vigilancia masiva. Tratar los desafíos actuales con los instrumentos del mundo físico no es operativo. Hay que plantearse muchas cosas, el problema que supone la vigilancia a la que estamos sometidos por el Estado, las empresas... Quizás haría falta un acuerdo global, pero es difícil, porque el poder de espiar es muy atractivo».