211service.com
Dentro de NSO, el gigante de software espía de miles de millones de dólares de Israel
La compañía de vigilancia más notoria del mundo dice que quiere limpiar su acto. Adelante, estamos escuchando. 19 de agosto de 2020
Ariel Davis
Maâti Monjib habla despacio, como un hombre que sabe que está siendo escuchado.
Es el día de su 58 cumpleaños cuando hablamos, pero hay poca celebración en su voz. La vigilancia es infernal, me dice Monjib. Es realmente difícil. Controla todo lo que hago en mi vida.
Esta historia fue parte de nuestra edición de septiembre de 2020
- Ver el resto del número
- Suscribir
Monjib, profesor de historia en la Universidad de Mohammed V en Rabat, Marruecos, recuerda vívidamente el día de 2017 en que su vida cambió. Acusado de poner en peligro la seguridad del estado por parte del gobierno al que ha criticado feroz y públicamente, estaba sentado afuera de la sala de un tribunal cuando su iPhone de repente se iluminó con una serie de mensajes de texto de números que no reconoció. Contenían enlaces a noticias lascivas, peticiones e incluso ofertas de compras del Black Friday.
Un mes después, apareció un artículo acusándolo de traición en un popular sitio de noticias nacional con estrechos vínculos con los gobernantes reales de Marruecos. Monjib estaba acostumbrado a los ataques, pero ahora parecía que sus acosadores sabían todo sobre él: otro artículo incluía información sobre un evento a favor de la democracia al que tenía previsto asistir pero del que no le había contado a casi nadie. Una historia incluso proclamó que el profesor no tiene secretos para nosotros.
Lo habían hackeado. Todos los mensajes condujeron a sitios web que, según los investigadores, se crearon como señuelos para infectar los dispositivos de los visitantes con Pegasus, el software espía más notorio del mundo.
Pegasus es el producto de gran éxito de NSO Group, una empresa secreta de vigilancia israelí de miles de millones de dólares. Se vende a las fuerzas del orden y las agencias de inteligencia de todo el mundo, que utilizan las herramientas de la empresa para elegir un objetivo humano, infectar el teléfono de la persona con el software espía y luego tomar el control del dispositivo. Una vez que Pegasus está en su teléfono, ya no es su teléfono.

El académico marroquí y activista por la libertad de expresión Maâti Monjib ha sido observado por su gobierno durante años. La vigilancia es infernal, dice.
NSO vende Pegasus con el mismo tono que usan los traficantes de armas para vender armas convencionales, posicionándolo como una ayuda crucial en la caza de terroristas y criminales. En una era de tecnología omnipresente y encriptación fuerte, este tipo de piratería legal se ha convertido en una herramienta poderosa para la seguridad pública cuando las fuerzas del orden necesitan acceder a los datos. NSO insiste en que la gran mayoría de sus clientes son democracias europeas, aunque como no publica listas de clientes y los propios países guardan silencio, eso nunca se ha verificado.
El caso de Monjib, sin embargo, es uno de una larga lista de incidentes en los que se ha utilizado a Pegasus como herramienta de opresión. Se ha relacionado con casos que incluyen el asesinato del periodista saudita Jamal Khashoggi, el ataque a científicos y activistas que presionan por reformas políticas en México y la vigilancia del gobierno español de políticos separatistas catalanes. México y España han negado el uso de Pegasus para espiar a los oponentes, pero las acusaciones de que lo han hecho están respaldadas por pruebas técnicas sustanciales.
El argumento básico de NSO es que es el creador de una tecnología que usan los gobiernos, pero que como no ataca a nadie, no se le puede responsabilizar.
Parte de esa evidencia está contenida en una demanda presentada en octubre pasado en California por WhatsApp y su empresa matriz, Facebook, alegando que Pegasus manipuló la infraestructura de WhatsApp para infectar más de 1400 teléfonos celulares. Los investigadores de Facebook encontraron a más de 100 defensores de los derechos humanos, periodistas y figuras públicas entre los objetivos, según documentos judiciales. Descubrieron que cada llamada que se atendía enviaba un código malicioso a través de la infraestructura de WhatsApp y provocaba que el teléfono del destinatario descargara spyware de los servidores propiedad de NSO. Esto, argumentó WhatsApp, fue una violación de la ley estadounidense.
Historia relacionada
Dentro de NSO, el gigante de software espía de miles de millones de dólares de Israel La compañía de vigilancia más notoria del mundo dice que quiere limpiar su acto. Adelante, estamos escuchando.NSO ha enfrentado durante mucho tiempo tales acusaciones con silencio. Afirmando que gran parte de su negocio es un secreto de Estado israelí, ha ofrecido muy pocos detalles públicos sobre sus operaciones, clientes o medidas de seguridad.
Ahora, sin embargo, la compañía sugiere que las cosas están cambiando. En 2019, NSO, que era propiedad de una firma de capital privado, fue vendida nuevamente a sus fundadores y a otra firma de capital privado, Novalpina, por mil millones de dólares. Los nuevos propietarios optaron por una nueva estrategia: emerger de las sombras. La empresa contrató firmas de relaciones públicas de élite, elaboró nuevas políticas de derechos humanos y desarrolló nuevos documentos de autogobierno. Incluso comenzó a mostrar algunos de sus otros productos, como un sistema de seguimiento de covid-19 llamado Fleming y Eclipse, que puede piratear drones considerados una amenaza para la seguridad.
Durante varios meses, he hablado con el liderazgo de NSO para comprender cómo funciona la empresa y qué dice que está haciendo para prevenir los abusos contra los derechos humanos que se cometen con sus herramientas. He hablado con sus críticos, que lo ven como un peligro para los valores democráticos; a los que urgen más regulación del negocio del hacking; ya los reguladores israelíes responsables de gobernarlo hoy. Los líderes de la empresa hablaron sobre el futuro de NSO y sus políticas y procedimientos para hacer frente a los problemas, y compartieron documentos que detallan su relación con las agencias a las que les vende Pegasus y otras herramientas. Lo que encontré fue un comerciante de armas próspero (dentro de la empresa, los empleados reconocen que Pegasus es un arma genuina) luchando con nuevos niveles de escrutinio que amenazan los cimientos de toda su industria.
una tarea dificil
Desde el primer día que Shmuel Sunray se unió a NSO como asesor general, enfrentó un incidente internacional tras otro. Contratado apenas unos días después de que se presentó la demanda de WhatsApp, encontró otros problemas legales esperando en su escritorio tan pronto como llegó. Todos se centraron en la misma acusación básica: las herramientas de piratería de NSO Group se venden a regímenes ricos y represivos con poca o ninguna responsabilidad, y pueden ser abusadas por ellos.
Sunray tenía mucha experiencia con el secreto y la controversia: su trabajo anterior fue como vicepresidente de un importante fabricante de armas. Durante varias conversaciones, fue amable y me dijo que los propietarios le habían indicado que cambiara la cultura y las operaciones de NSO, haciéndolas más transparentes y tratando de evitar que se cometieran abusos contra los derechos humanos. Pero obviamente también estaba frustrado por el secreto que sentía que le impedía responder a las críticas.
Es una tarea difícil, me dijo Sunray por teléfono desde la sede de la empresa en Herzliya, al norte de Tel Aviv. Entendemos el poder de la herramienta; entendemos el impacto del mal uso de la herramienta. Estamos tratando de hacer lo correcto. Tenemos desafíos reales relacionados con el gobierno, las agencias de inteligencia, la confidencialidad, las necesidades operativas, las limitaciones operativas. No es un caso clásico de abuso de los derechos humanos por parte de una empresa, porque no operamos los sistemas, no estamos involucrados en las operaciones reales de los sistemas, pero entendemos que existe un riesgo real de uso indebido por parte de los clientes. Estamos tratando de encontrar el equilibrio adecuado.
Esto sustenta el argumento básico de NSO, que es común entre los fabricantes de armas: la empresa es la creadora de una tecnología que usan los gobiernos, pero no ataca a nadie, por lo que no se la puede responsabilizar.
Aún así, según Sunray, existen varias capas de protección para tratar de asegurarse de que las personas equivocadas no tengan acceso.
hacer una venta
Como la mayoría de los demás países, Israel tiene controles de exportación que requieren que los fabricantes de armas tengan licencia y estén sujetos a la supervisión del gobierno. Además, NSO hace su propia diligencia debida, dice Sunray: su personal examina un país, observa su historial de derechos humanos y examina su relación con Israel. Evalúan el historial de la agencia específica en materia de corrupción, seguridad, finanzas y abuso, además de tener en cuenta cuánto necesita la herramienta.
A veces, los aspectos negativos se comparan con los positivos. Marruecos, por ejemplo, tiene un historial de derechos humanos cada vez peor, pero una larga historia de cooperación con Israel y Occidente en materia de seguridad, así como un verdadero problema de terrorismo, por lo que, según los informes, se aprobó una venta. Por el contrario, NSO ha dicho que China, Rusia, Irán, Cuba, Corea del Norte, Qatar y Turquía se encuentran entre las 21 naciones que nunca serán clientes.
Finalmente, antes de realizar una venta, el comité de gobierno, riesgo y cumplimiento de NSO tiene que firmar. La empresa dice que el comité, compuesto por gerentes y accionistas, puede rechazar las ventas o agregar condiciones, como restricciones tecnológicas, que se deciden caso por caso.
Prevención del abuso
Una vez que se acuerda una venta, dice la compañía, las barreras tecnológicas previenen ciertos tipos de abuso. Por ejemplo, Pegasus no permite que los números de teléfono estadounidenses se infecten, dice NSO, y los teléfonos infectados ni siquiera pueden ubicarse físicamente en los Estados Unidos: si uno se encuentra dentro de las fronteras estadounidenses, se supone que el software de Pegasus se autodestruirá.
NSO dice que los números de teléfono israelíes, entre otros, también están protegidos, aunque no está claro quién más recibe protección y por qué.
Cuando llega un informe de abuso, se reúne un equipo ad hoc de hasta 10 empleados de NSO para investigar. Entrevistan al cliente sobre las acusaciones y solicitan registros de datos de Pegasus. Estos registros no contienen el contenido que extrajo el spyware, como chats o correos electrónicos (NSO insiste en que nunca ve inteligencia específica), pero sí incluyen metadatos como una lista de todos los teléfonos que el spyware intentó infectar y sus ubicaciones en ese momento.
Según un contrato reciente que obtuve, los clientes deben usar el sistema solo para la detección, prevención e investigación de delitos y terrorismo y asegurarse de que el sistema no se use para violaciones de derechos humanos. Deben notificar a la empresa de un posible mal uso. NSO dice que ha rescindido tres contratos en el pasado por infracciones que incluyen abuso de Pegasus, pero se niega a decir qué países o agencias estuvieron involucradas o quiénes fueron las víctimas.
no somos ingenuos
La falta de transparencia no es el único problema: las salvaguardas tienen límites. Si bien el gobierno israelí puede revocar la licencia de NSO por violaciones de la ley de exportación, los reguladores no se encargan de buscar abusos por parte de clientes potenciales y no están involucrados en las investigaciones de abusos de la empresa.
Muchos de los otros procedimientos también son meramente reactivos. NSO no tiene un equipo de abuso interno permanente, a diferencia de casi cualquier otra empresa tecnológica de miles de millones de dólares, y la mayoría de sus investigaciones se activan solo cuando una fuente externa, como Amnistía Internacional o Citizen Lab, afirma que ha habido malversación. El personal de NSO entrevista a las agencias y clientes bajo escrutinio, pero no habla con las presuntas víctimas, y aunque la empresa a menudo cuestiona los informes técnicos ofrecidos como evidencia, también afirma que tanto el secreto de estado como la confidencialidad comercial le impiden compartir más información.
Los registros de Pegasus que son cruciales para cualquier investigación de abuso también plantean muchas preguntas. Los clientes de NSO Group son piratas informáticos que trabajan para agencias de espionaje; ¿Qué tan difícil sería para ellos manipular los registros? En un comunicado, la compañía insistió en que esto no es posible, pero se negó a ofrecer detalles.
Si los registros no se disputan, NSO y sus clientes decidirán juntos si los objetivos son legítimos, si se han cometido delitos genuinos y si la vigilancia se realizó bajo el debido proceso legal o si los regímenes autocráticos espiaron a los oponentes.
Sunray, audiblemente exasperado, dice que siente como si el secreto lo obligara a operar con las manos atadas a la espalda.
Es frustrante, me dijo. No somos ingenuos. Ha habido malos usos. Habrá malos usos. Vendemos a muchos gobiernos. Incluso el gobierno de los Estados Unidos, ningún gobierno es perfecto. El uso indebido puede ocurrir y debe abordarse.
ARIEL DAVISPero Sunray también vuelve a la respuesta estándar de la empresa, el argumento que sustenta su defensa en la demanda de WhatsApp: NSO es un fabricante, pero no es el operador del spyware. Nosotros lo construyó pero ellos hizo el hackeo, y son naciones soberanas.
Eso no es suficiente para muchos críticos. Ninguna empresa que crea que puede ser el organismo de control independiente de sus propios productos me convence nunca, dice Marietje Schaake, una política holandesa y ex miembro del Parlamento Europeo. Toda la idea de que tienen sus propios mecanismos mientras no tienen problema en vender software espía comercial a quien quiera comprarlo, sabiendo que se usa contra defensores de derechos humanos y periodistas, creo que muestra la falta de responsabilidad por parte de esta empresa más. que nada.
Entonces, ¿por qué el impulso interno para una mayor transparencia ahora? Porque la avalancha de informes técnicos de grupos de derechos humanos, la demanda de WhatsApp y el creciente escrutinio gubernamental amenazan el statu quo de NSO. Y si va a haber un nuevo debate sobre cómo se regula la industria, vale la pena tener una voz poderosa.
creciente escrutinio
La piratería informática y el espionaje cibernético han crecido enormemente como negocio durante la última década, sin signos de retirada. Los propietarios anteriores de NSO Group compraron la empresa en 2014 por 130 millones de dólares, menos de una séptima parte del valor por el que se vendió el año pasado. El resto de la industria también se está expandiendo, beneficiándose de la expansión de la tecnología de las comunicaciones y profundizando la inestabilidad global. No hay duda de que cualquier estado tiene derecho a comprar esta tecnología para combatir el crimen y el terrorismo, dice la directora adjunta de Amnistía Internacional, Danna Ingleton. Los estados tienen derecho y legalmente a usar estas herramientas. Pero eso debe ir más acompañado de un sistema regulatorio que prevenga los abusos y proporcione un mecanismo de rendición de cuentas cuando haya ocurrido un abuso. Ella argumenta que arrojar una luz mucho más brillante sobre la industria de la piratería permitirá una mejor regulación y una mayor responsabilidad.
A principios de este año, Amnistía Internacional compareció ante un tribunal en Israel argumentando que el Ministerio de Defensa debería revocar la licencia de NSO debido a los abusos de Pegasus. Pero justo cuando comenzaba el caso, se les dijo a los funcionarios de Amnistía y a otros 29 peticionarios que abandonaran la sala del tribunal: se estaba ordenando el secreto de sumario en el proceso a instancias del ministerio. Luego, en julio, un juez rechazó el caso por completo.
No creo, como cuestión de principio y de derecho, que NSO pueda reclamar una total falta de responsabilidad por la forma en que se utilizan sus herramientas, dice la relatora especial de las Naciones Unidas, Agnès Callamard. No es así como funciona según el derecho internacional.
Callamard asesora a la ONU sobre ejecuciones extrajudiciales y se ha pronunciado sobre NSO Group y la industria del spyware desde que se supo que Pegasus estaba siendo utilizado para espiar a amigos y asociados de Khashoggi poco antes de que lo asesinaran. Para ella, el asunto tiene consecuencias de vida o muerte.
Si NSO pierde el caso de WhatsApp, dice un abogado, se cuestionan todas aquellas empresas que se ganan la vida encontrando fallas en el software y explotándolas.
No estamos pidiendo algo radicalmente nuevo, dice Callamard. Estamos diciendo que lo que existe en este momento está demostrando ser insuficiente y, por lo tanto, los gobiernos o las agencias reguladoras deben cambiar rápidamente de marcha. La industria se está expandiendo y debería expandirse sobre la base del marco adecuado para regular el uso indebido. Es importante para la paz mundial.
Ha habido llamados para una moratoria temporal sobre las ventas hasta que se promulgue una regulación más estricta, pero no está claro cómo sería ese marco legal. A diferencia de las armas convencionales, que están sujetas a diversas leyes internacionales, las armas cibernéticas actualmente no están reguladas por ningún acuerdo mundial de control de armas. Y aunque se han sugerido tratados de no proliferación, hay poca claridad sobre cómo medirían las capacidades existentes, cómo funcionaría el monitoreo o la aplicación, o cómo las reglas se mantendrían al día con los rápidos desarrollos tecnológicos. En cambio, la mayor parte del escrutinio actual se realiza a nivel legal nacional.
En EE. UU., tanto el FBI como el Congreso están investigando posibles hackeos de objetivos estadounidenses, mientras que una investigación dirigida por la oficina del senador Ron Wyden quiere averiguar si algún estadounidense está involucrado en la exportación de tecnología de vigilancia a gobiernos autoritarios. Un reciente proyecto de ley de inteligencia de EE. UU. requeriría un informe del gobierno sobre spyware comercial y tecnología de vigilancia.
Mientras tanto, la demanda de WhatsApp ha apuntado cerca del corazón del negocio de NSO. El gigante de Silicon Valley argumenta que al apuntar a los residentes de California, es decir, WhatsApp y Facebook, NSO le ha otorgado jurisdicción al tribunal de San Francisco, y que el juez del caso puede impedir que la empresa israelí intente hacer un uso indebido de las redes de WhatsApp y Facebook en el futuro. Eso abre la puerta a una gran cantidad de posibilidades: Apple, cuyo iPhone ha sido un objetivo primordial de NSO, podría montar un ataque legal similar. Google también ha detectado que NSO apunta a dispositivos Android.
Y los daños financieros no son la única espada que pende sobre la cabeza de NSO. Tales demandas también traen consigo la amenaza del descubrimiento en la sala del tribunal, que tiene el potencial de traer a la luz pública los detalles de los acuerdos comerciales y los clientes de NSO.
Mucho depende exactamente de cómo dictamine el tribunal y qué tan ampliamente caracterice la violación que supuestamente cometió NSO aquí, dice Alan Rozenshtein, ex abogado del Departamento de Justicia ahora en la Facultad de Derecho de la Universidad de Minnesota. Como mínimo, si NSO pierde este caso, cuestiona a todas aquellas empresas que fabrican sus productos o se ganan la vida encontrando fallas en el software de mensajería y brindando servicios que explotan esas fallas. Esto creará suficiente inseguridad jurídica que me imagino que estos posibles clientes lo pensarían dos veces antes de contratarlos. No sabe si la empresa continuará operando, si serán llevados a juicio, si sus secretos serán expuestos. NSO se negó a comentar sobre el supuesto hackeo de WhatsApp, ya que todavía es un caso activo.
Siempre nos espían
En Marruecos, Maâti Monjib fue objeto de al menos cuatro ataques de piratería más a lo largo de 2019, cada uno más avanzado que el anterior. En algún momento, el navegador de su teléfono fue redirigido de forma invisible a un dominio sospechoso que los investigadores sospechan que se usó para instalar malware de forma silenciosa. En lugar de algo como un mensaje de texto que puede dar la alarma y dejar un rastro visible, este fue un ataque de inyección de red mucho más silencioso, una táctica valorada porque es casi imperceptible, excepto para investigadores expertos.
El 13 de septiembre de 2019, Monjib almorzó en casa con su amigo Omar Radi, un periodista marroquí que es uno de los más críticos del régimen. Ese mismo día, según descubrió más tarde una investigación, Radi fue atacada con el mismo tipo de ataques de inyección de red que habían atrapado a Monjib. La campaña de hackeo contra Radi duró al menos hasta enero de 2020, dijeron investigadores de Amnistía Internacional. Ha sido objeto de hostigamiento policial regular desde entonces.
Al menos siete marroquíes más recibieron advertencias de WhatsApp sobre el uso de Pegasus para espiar sus teléfonos, incluidos activistas de derechos humanos, periodistas y políticos. ¿Son estos los tipos de objetivos de espionaje legítimos, los terroristas y los delincuentes, establecidos en el contrato que firman Marruecos y todos los clientes de NSO?
En diciembre, Monjib y las otras víctimas enviaron una carta a la autoridad de protección de datos de Marruecos solicitando una investigación y acción. No salió nada formalmente de eso, pero uno de los hombres, el economista prodemocrático Fouad Abdelmoumni, dice que sus amigos en la agencia le dijeron que la carta no tenía remedio y lo instaron a dejar el asunto. Mientras tanto, el gobierno marroquí ha respondido amenazando con expulsar a Amnistía Internacional del país.
Lo que está pasando en Marruecos es emblemático de lo que está pasando en todo el mundo. Si bien está claro que las democracias son las principales beneficiarias de la piratería informática legal, una lista larga y creciente de investigaciones públicas, técnicas, detalladas y creíbles muestra que los regímenes autoritarios abusan de Pegasus con largos antecedentes de abusos contra los derechos humanos.
Marruecos es un país bajo un régimen autoritario que cree que las personas como Monjib y yo debemos ser destruidas, dice Abdelmoumni. Para destruirnos, tener acceso a toda la información es clave. Siempre consideramos que somos espiados. Toda nuestra información está en manos del palacio.
Lee mas
El hombre que construyó un imperio de software espía dice que es hora de salir de las sombras Shalev Hulio, cofundador y director ejecutivo de NSO, dice que su industria está llena de empresas que intentan evitar el escrutinio.
