El hombre que construyó un imperio de software espía dice que es hora de salir de las sombras

sede de la OSN

Sra. Tecnología | Fuente: AP Photo/Daniella Cheslow, Archivo





Shalev Hulio quiere explicarse.

Normalmente, el silencio y el secreto son inherentes al negocio del espionaje. Durante nueve años completos, Hulio nunca habló públicamente sobre su empresa de piratería multimillonaria, incluso cuando sus herramientas de piratería estaban vinculadas a escándalos o se le acusaba de ser cómplice de abusos contra los derechos humanos en todo el mundo. Últimamente, sin embargo, está hablando.

La gente no entiende cómo funciona la inteligencia, me dice Hulio a través de una videollamada desde Tel Aviv. No es fácil. No es agradable. La inteligencia es un negocio de mierda lleno de dilemas éticos.



El negocio que dirige, NSO Group, es la compañía de spyware más notoria del mundo . Está en el centro de una industria internacional en auge en la que las empresas de alta tecnología encuentran vulnerabilidades de software, desarrollan exploits y venden malware a los gobiernos. La empresa con sede en Israel ha sido vinculada a incidentes de alto perfil, incluido el asesinato de Jamal Khashoggi y el espionaje contra politicos en España.

Dentro de NSO, el gigante de software espía de miles de millones de dólares de Israel La compañía de vigilancia más notoria del mundo dice que quiere limpiar su acto. Adelante, estamos escuchando.

Diez años después de fundar la empresa, tomó la rara decisión de hablar sobre NSO Group, la industria de la inteligencia y cómo podría ser la transparencia para las empresas de spyware. Esto, dice, es lo más importante que la industria puede hacer ahora: nos han acusado, con razón, de no ser lo suficientemente transparentes.

cultura del silencio

Anteriormente comandante de búsqueda y rescate en el ejército de Israel y luego empresario centrado en tecnología que accedía remotamente a teléfonos inteligentes, Hulio dijo que fundó NSO Group en 2010 a instancias de las agencias de inteligencia europeas. En ese entonces, NSO se promocionaba a sí misma como una empresa de guerra cibernética de última generación.



Entró en el centro de atención mundial en 2016 cuando Ahmed Mansoor, un activista de derechos humanos en los Emiratos Árabes Unidos, recibió lo que se ha llamado el mensaje de texto más famoso de todos los tiempos . Los investigadores dicen que fue un sofisticado señuelo de phishing enviado por un gobierno; Contenía un enlace que, si se hacía clic, se habría apoderado del teléfono de Mansoor con software espía. Los expertos de Citizen Lab, un grupo de investigación de la Universidad de Toronto, analizaron el enlace y señalaron a Pegasus, el producto estrella de NSO. La revelación provocó un gran escrutinio de la empresa, pero NSO permaneció en silencio. (Mansoor actualmente cumple una sentencia de prisión de una década por insultar a la monarquía, la descripción de un dictador de su trabajo para promover los derechos humanos).

Esa respuesta fue en parte una función de la propiedad de la empresa en ese momento. En 2014, NSO había sido comprada por alrededor de $ 100 millones por la firma estadounidense de capital privado Francisco Partners, que tenía una estricta política de no prensa que, según Hulio, condujo a una cultura dañina del silencio.

Sin entrevistas: no podíamos hablar con los periodistas excepto para decir sin comentarios, sin comentarios, sin comentarios, dice. Creó muchas cosas malas para nosotros, porque cada vez que nos acusaban de abuso, no teníamos ningún comentario.



Esto, dice, fue un error que compañías como NSO deben evitar en el futuro, que el año pasado se vendió por $ 1 mil millones a la firma europea de capital privado Novalpina y los fundadores originales, incluido el propio Hulio.

La industria debería ser más transparente, dice Hulio. Cada empresa debería ser mucho más responsable de a quién vende, quiénes son los clientes, cuál es el uso final para cada cliente.

De hecho, el texto enviado a Mansoor resultó ser una bendición disfrazada para los investigadores. Mansoor, que ya había sido objeto de vigilancia durante muchos años, sospechó y no hizo clic en el enlace envenenado. En cambio, lo compartió con expertos. Pero en estos días, la industria de la piratería utiliza cada vez más técnicas más avanzadas que mantienen sus actividades lo más discretas posible, incluidas las llamadas técnicas de clic cero que infectan a los objetivos sin que tomen ninguna medida. WhatsApp está demandando a NSO Group por piratear la aplicación para infectar teléfonos de forma silenciosa. Según los informes, los objetivos en Marruecos han experimentado hacks de inyección de red que no generan alarma, no requieren la cooperación de la víctima y dejan poco rastro.



Cada empresa [de spyware] debería ser mucho más responsable de a quién vende, quiénes son los clientes, cuál es el uso final de cada cliente.

El tono de las empresas de piratería es que los delincuentes y los terroristas se están volviendo oscuros debido al cifrado y los estados necesitan la capacidad de perseguirlos por su agujero oscuro, dice John Scott-Railton, investigador principal de Citizen Lab. Cada vez más, en el extremo superior, las empresas que venden estas técnicas son las que se quedan en la oscuridad. no es solo WhatsApp . Hemos visto ventas de vulnerabilidades contra iMessage , [software telefónico] SS7 como entrega para vulnerabilidades de cero clics , y un montón de inyección de red . Debido a esto, es casi imposible para nosotros obtener visibilidad de la escala del problema. Solo podemos adivinar a escala. Solo conocemos a algunos jugadores. El mercado está creciendo, pero nos falta mucha información sobre los abusos.

Nunca fue un trabajo fácil comprender el alcance completo de la industria de los piratas informáticos a sueldo. Ahora, las técnicas y los indicadores en los que los investigadores han confiado durante mucho tiempo como pistas se están volviendo más raros, más silenciosos y más difíciles de detectar. El nuevo y sigiloso arsenal hace que sea extraordinariamente difícil responsabilizar a las empresas de piratería y las agencias de inteligencia cuando se producen abusos contra los derechos humanos.

Quizás sorprendentemente, Hulio está de acuerdo enfáticamente en que la industria de la piratería se está apagando. Cuando le pregunto si la industria está dando suficientes pasos hacia la transparencia y la rendición de cuentas, niega con la cabeza y señala con el dedo a sus competidores:

En realidad, creo que es al revés. La industria se está alejando de la regulación. Veo empresas tratando de ocultar la actividad y ocultar lo que están haciendo. Está dañando la industria.

Esquivando la transparencia

Por el contrario, afirma Hulio, NSO está tratando de revertir el rumbo bajo su nueva propiedad. Aunque enfrenta la demanda de alto perfil de WhatsApp y docenas de denuncias de abuso de Pegasus, Hulio insiste en que la empresa está evolucionando. El hecho de que esté hablando con los periodistas es un cambio obvio, dice, al igual que las nuevas políticas de autogobierno y el compromiso público de adherirse a las Directrices de derechos humanos de las Naciones Unidas. Hasta qué punto la conversación se traduce en realidad sigue siendo una pregunta abierta: tres días después de que la empresa anunciara una nueva política de derechos humanos en 2019, investigadores de Amnistía Internacional dicen que Pegasus fue utilizado para hackear al periodista marroquí Omar Radi.

Pero Hulio sugiere que sus rivales eluden la transparencia y la rendición de cuentas al mudar sus negocios o encontrar refugios desde donde operar.

Están abriendo empresas en países donde no hay mecanismos de regulación, en América Latina, Europa, la región de Asia Pacífico, donde la regulación es muy débil, para que puedas exportar a países a los que no puedes exportar desde Israel u otros lugares en Europa, explica. Veo empresas que tratan de ocultar la actividad cambiando el nombre de la empresa una y otra vez. O a través de mecanismos como la investigación y el desarrollo de la construcción en un sitio, el ciclo de ventas a una empresa diferente, la implementación a través de una tercera empresa, por lo que no puede rastrear quién está haciendo qué.

'Al igual que hay países que actúan como refugios fiscales, hay países que actúan como refugios de regulación de exportaciones. Esos países necesitan mecanismos globales de regulación.'

Eso puede ser cierto, pero NSO Group tiene una serie de otros nombres, incluidos Q Cyber ​​Technologies en Israel y OSY Technologies en Luxemburgo. Tiene un ala norteamericana llamada Westbridge. Sus empleados están repartidos internacionalmente. Los medios israelíes han informado sobre los vínculos de la empresa con empresas ficticias y bizantino ofertas A lo largo de los años, ha operado una red confusa de otras empresas en todo el mundo, y este laberinto corporativo ha hecho que sea casi imposible comprender sus tratos y acciones, una tarea crucial cuando los gobiernos autoritarios pueden abusar de las herramientas de piratería con consecuencias devastadoras.

Entonces, ¿cómo sería la rendición de cuentas? Cuando NSO Group apareció por primera vez, el Acuerdo de Wassenaar, un acuerdo crucial de control de exportación de armas entre 42 países, no tenía una dimensión cibernética. Israel no tenía una ley de exportación cibernética. Ahora el Ministerio de Defensa de Israel se rige por la Ley de Control de Exportaciones de Defensa del país: NSO Group ha según se informa nunca se le ha negado una licencia de exportación, pero a escala global, la industria de la piratería permanece en gran medida oculta, opaca y sin rendir cuentas a pesar de su creciente poder y capacidades.

Hay lagunas, dice Hulio. No todos los países son parte del acuerdo de Wassenaar. Realmente creo que es muy difícil hacer algo internacional. Obviamente internacional es una gran idea, pero al igual que hay países que actúan como refugios fiscales, hay países que actúan como refugios de regulación de exportaciones. Esos países necesitan mecanismos globales de regulación.

¿Quién está en la mira?

Se han denunciado docenas de abusos por parte de los usuarios de la tecnología de NSO desde que el incidente de Mansoor apuntó por primera vez a la empresa. Cuando se hacen tales acusaciones, NSO inicia una investigación. Si las cuentas entran en conflicto, NSO puede exigir registros que revelen los objetivos. La mayoría de las veces, dice Hulio, el cliente dirá que las acusaciones en su contra son ciertas, que el objetivo es real, pero que sus acciones fueron legales según la ley local y el contrato que firmaron. Eso deja a NSO y al cliente decidir si la orientación es realmente legítima.

Cómo un régimen autoritario interceptará todo el tráfico de Internet dentro de su país

Gran parte de las críticas dirigidas a NSO Group surgen cuando los investigadores dicen que Pegasus se usa contra abogados, activistas de derechos humanos, periodistas y políticos. Pero Hulio dice que el contexto puede justificar tales acciones: que estas personas pueden ser objetivos legítimos de vigilancia siempre que se cumpla la ley. Señala los hechos que rodearon la captura en 2014 del narcotraficante mexicano Joaquín El Chapo Guzmán. Aunque nunca lo ha confirmado públicamente, NSO Group ha promocionado en privado su papel en la operación durante años.

El Chapo se escapó de la cárcel, dice Hulio. Personas como El Chapo o [el líder de ISIS, Omar Bakr] al-Baghdadi no llevan teléfonos inteligentes. Cuando el Chapo escapó, pensaron que probablemente eventualmente llamaría a su abogado, así que tratemos de interceptar al abogado. El abogado no es una mala persona, y no digo que estuviéramos involucrados. El abogado por sí solo no es sospechoso de actividad delictiva, pero El Chapo, que es un delincuente, va a llamar a su abogado, y la única forma de atraparlo es interceptando a su abogado.

Es el tipo de caso que es fácil de hacer. Señor de la droga asesino, acción policial extrema, fotos policiales de primera plana. Pero la mayoría de las denuncias de mal uso no se parecen al caso de El Chapo. Las naciones del Golfo han sido acusadas repetidamente de usar Pegasus para atacar a la oposición política, lo que más tarde resultó en cargos falsos por ofender a familias reales o similares.

Hulio dice que a menudo se acusa a NSO de realizar trabajos del que son responsables otras empresas de spyware.

Hacemos preguntas muy difíciles cuando vendemos un sistema, pero no estoy seguro de que todos estén haciendo eso, dice. No tengo ningún problema en sentarme frente al ministro de defensa de un país, o al jefe de policía, o del servicio secreto, y preguntar: ¿De qué sirve? ¿Cuál es el objetivo? ¿Cuál es la misión? ¿Cuáles son las investigaciones? ¿Cuál es el proceso que utiliza? ¿Cómo analizas los datos? ¿Quién debe aprobar cada objetivo? ¿Cuál es la ley en su país específico? ¿Cómo funciona? Preguntas que a muchas empresas realmente no les importan. Tienen un trato: quieren vender. Lo venderán porque es buen dinero para ellos.

Hemos dado un giro completo, regresando en una espesa maraña de secretos. El dinero fluye, los abusos siguen ocurriendo y las herramientas de piratería están proliferando: nadie lo discute.

Pero, ¿quién es responsable cuando los autoritarios brutales obtienen software espía de última generación para usarlo contra sus oponentes? Un mundo ya sombrío se está volviendo más oscuro y las respuestas son cada vez más difíciles de encontrar.

esconder