El origen de NSO Group, creador del software espía Pegasus y por qué es solo la punta del iceberg

Khadija Ismayilova aprendió hace mucho tiempo a ser paranoica.

Según un reporte de Ilya Lozovsky para el Proyecto de denuncia de la corrupción y el crimen organizado (Organized Crime and Corruption Reporting Project; OCCRP por sus siglas en inglés), La periodista de investigación azerbaiyana ha sido acosada, amenazada y encarcelada por sus galardonadas denuncias de corrupción oficial. Se han filtrado videos íntimos, grabados en secreto en su habitación, en un intento de desacreditarla. Aprendió a usar aplicaciones de mensajería encriptada y se mantuvo al día con la última tecnología para mantenerla a ella y a sus fuentes seguras.

«Es como una guerra», dijo sobre sus esfuerzos por mantenerse un paso por delante del régimen autoritario de su país.

“Nos hemos estado recomendando mutuamente esta o aquella herramienta, cómo mantenerla cada vez más segura de los ojos del gobierno”.

Pero a finales de mayo, Ismayilova se enteró de que había perdido la carrera armamentista por un arma que ni siquiera había imaginado. La evidencia forense mostró que su teléfono había sido infectado en secreto con un software espía, llamado Pegasus, que podía acceder a todos y cada uno de sus documentos, fotografías, mensajes y contactos. Su vida entera había quedado al descubierto desde hacía mucho tiempo.

“Me di cuenta de que no hay forma”, dijo con resignación. “A menos que te encierres en una tienda de hierro, no hay forma de que no interfieran en tus comunicaciones. Es horrible «.

Una vez más, Ismayilova cree que ha sido víctima del gobierno de Azerbaiyán, pero esta vez, tuvo algo de ayuda para llegar a ella. Pegasus, el software que violó su teléfono, está hecho por NSO Group, una empresa israelí de la que el régimen de Bakú es casi con certeza un cliente.

(Ni Azerbaiyán ni NSO Group han reconocido que el gobierno autocrático está utilizando el controvertido software espía, aunque un análisis forense del teléfono de otro periodista azerbaiyano mostró que también estaba infectado por Pegasus).

Co-fundado por dos amigos de la escuela secundaria en 2010, NSO Group se especializó en irrumpir en teléfonos móviles desde el principio. A medida que los dispositivos se extendieron por todo el planeta, los gobiernos, ansiosos por escuchar, llegaron llamando. La compañía se convirtió en un actor importante en el mercado de software espía, con docenas de clientes, más de 700 empleados e ingresos de 250 millones de dólares a partir de 2018.

La compañía dice que otorga licencias de su software Pegasus solo a los gobiernos, y solo para ayudarlos a combatir el terrorismo y el crimen. Pero periodistas y expertos en privacidad digital han descubierto repetidamente que regímenes autoritarios utilizan a Pegasus para espiar a reporteros, disidentes y defensores de los derechos humanos.

Y aunque NSO Group está cerca de la cima de la pirámide, no está solo. La compañía es solo un actor en un ecosistema de firmas privadas de “inteligencia cibernética”, muchas de ellas basadas en el Israel militarizado, emprendedor y conocedor de la tecnología.

Estas empresas insisten en que su tecnología es fundamental en la batalla contra el crimen y que sus productos salvan vidas . Pero su éxito ha llevado a lo que los expertos llaman una «democratización» del acceso a software espía sofisticado. Una vez disponible solo para los pocos servicios de inteligencia de élite que podían desarrollarlo ellos mismos, ahora puede ser comprado por las agencias de seguridad y las fuerzas del orden desde Azerbaiyán hasta Kazajstán, de México a Togo.

Las empresas de software espía también alimentan un lucrativo mercado de los «exploits» o errores que utiliza su software para penetrar en los sistemas de las víctimas. Dado que las empresas de tecnología como Apple y Google las arreglan tan pronto como se descubren, existe una demanda constante de nuevas vulnerabilidades que los piratas informáticos independientes están dispuestos a ofrecer, por un precio. Los expertos dicen que las enormes sumas que gastan las empresas de software espía en nuevas vulnerabilidades eclipsan los recursos que gastan las empresas de tecnología para parchearlas.

“Debido a que existe ese incentivo económico muy atractivo, siempre habrá más personas que encuentren estas cosas”, dijo Claudio Guarnieri, director del Laboratorio de Seguridad de Amnistía Internacional. «Los fabricantes siempre estarán en … una posición perdedora».

“Es solo un juego del gato y el ratón”, dijo. «Y en esta situación, el gato siempre está por delante».

El sitio web de NSO Group, orientado al público, utiliza un lenguaje tranquilizador, publicita los valores de la empresa («responsabilidad» e «integridad») y presenta una declaración de misión sencilla: «Trabajamos para salvar vidas y crear un mundo mejor y más seguro».

Solo una frase, que NSO Group ayuda a sus clientes a «enfrentar los desafíos del cifrado», revela cualquier indicio de lo que realmente hace su tecnología. (Pegasus, el producto principal de la compañía, ni siquiera se menciona por su nombre).

De hecho, aunque NSO Group ha existido durante más de una década, su sitio web apareció hace solo dos años, según se informa, como parte de una nueva estrategia de relaciones públicas. Molesta por las repetidas denuncias negativas sobre el uso indebido de su software, la empresa decidió que su silencio anterior no estaba funcionando.

El cofundador y director ejecutivo Shalev Hulio ha comenzado a estar disponible para entrevistas, en las que ha argumentado que la narrativa en torno a la empresa sería diferente si solo pudiera divulgar su historia completa.

«Puedo decir con toda modestia que miles de personas en Europa le deben la vida a cientos de empleados de nuestra empresa», dijo al medio israelí Ynetnews en 2019.

Pero la nueva apertura solo llega hasta cierto punto. Hulio se niega a hablar sobre los clientes de NSO Group, o incluso a confirmar quiénes son. Cuando se le preguntó sobre casos específicos por parte del periódico alemán Die Zeit el año pasado, dijo que los clientes que compran su software son los que deben determinar quién es un objetivo legítimo. “¿Es un abogado un objetivo legítimo? Un activista de derechos humanos, ¿es un objetivo legítimo? … ¿Sí o no? ¿Un chico de dieciséis años? La respuesta es, depende.»

Pero aunque reconoció que el trabajo de inteligencia puede ser un negocio moralmente ambiguo – «eso es lo que se necesita para atrapar a los malos a veces» – Hulio insistió al periódico que NSO Group era una fuerza para el bien.

“Si supiera que, debido a nuestra empresa, los derechos humanos fueron violados dramáticamente, entregaría mis llaves y me iría”, dijo. “No encontré esta empresa para violar los derechos humanos. Fundamos NSO para ayudar a las agencias policiales y de inteligencia «.

Esta es una historia de origen que ha contado en varias ocasiones. Después de dejar las Fuerzas de Defensa de Israel, comenzó a vender productos israelíes en los centros comerciales de Estados Unidos. Luego se reunió con un amigo de la escuela secundaria, Omri Lavie, para fundar una empresa que ayudaba a los operadores móviles a solucionar los problemas de los teléfonos de los clientes de forma remota.

En algún momento alrededor de 2009, dijo Hulio, una agencia de inteligencia europea anónima se acercó a ellos y les dijo que necesitaban ayuda.

En ese momento, los servicios de seguridad y los encargados de hacer cumplir la ley estaban desesperados por resolver lo que algunos llamaron el problema de «oscurecimiento»: el uso creciente del cifrado para proteger los mensajes mientras viajaban entre dispositivos. La tendencia se aceleró después de que las revelaciones de Edward Snowden en 2013 dejaran en claro que las agencias de inteligencia estadounidenses estaban llevando a cabo una vigilancia masiva en línea.

“Fue entonces cuando empezaste a ver que casi todo el mundo lo hacía”, dijo Guarnieri, el investigador de seguridad. «Las aplicaciones [con cifrado de extremo a extremo] comenzaron a aparecer por todas partes».

Como resultado, explicó, piratear los dispositivos en sí se convirtió en la única forma de interceptar las comunicaciones.

Aquí es exactamente donde sobresalió NSO Group. Un documento que detalla las características del sistema Pegasus de la compañía, filtrado en 2015, deja en claro sus capacidades: «El cifrado … y otros métodos de ocultación de comunicaciones ya no son relevantes cuando se instala un agente en el dispositivo».

Pero Pegasus va mucho más allá de la lectura de mensajes. Una vez implantado en el teléfono de un usuario, el sistema puede recopilar una impresionante variedad de información, incluidas fotos, correos electrónicos, contactos y datos transmitidos a través de otras aplicaciones, como Facebook y WhatsApp. Incluso puede grabar audio y video en vivo.

Durante años, una forma común de instalar Pegasus en el teléfono de alguien fue engañarlo para que hiciera clic en un enlace malicioso. Las tácticas utilizadas para hacerlo alcanzaron niveles asombrosos de manipulación: dos periodistas mexicanos fueron objeto de burlas con supuestas fotos comprometedoras de sus parejas; otro recibió una petición de ayuda para encontrar una hija desaparecida con un vínculo a un supuesto retrato. Con solo un clic, Pegasus habría sido implantado, listo para extraer cualquier cosa y todo.

Estas capacidades se publicitaron ampliamente por primera vez en un informe de 2016 de Citizen Lab, un centro de investigación de la Universidad de Toronto que se centra en los derechos humanos y la tecnología. La publicación, llamada «El disidente del millón de dólares», utilizó análisis forenses detallados para mostrar cómo Pegasus había infectado el teléfono de un destacado activista de derechos humanos de los Emiratos Árabes Unidos.

En ese momento, dijeron los investigadores de Citizen Lab, la tecnología de NSO Group ya era impresionante.

«Creo que fue la primera vez que vimos un software espía que podría infectar el último teléfono actualizado con solo tocar el enlace», dijo Bill Marczak, investigador principal.

“Por eso elegimos el nombre ‘Disidente de un millón de dólares’”, dijo John Scott-Railton, investigador principal. “Queremos resaltar el hecho de que se estaban poniendo recursos reales en apuntar a los disidentes, no solo que fue una ocurrencia tardía”, dijo. «NSO nos permitió hacer ese argumento».

Más recientemente, Pegasus ha ganado la capacidad de infiltrarse en teléfonos sin recurrir a enlaces sospechosos, ni a ninguna interacción. En 2019, WhatsApp demandó a NSO Group por explotar una vulnerabilidad en la que una simple llamada al dispositivo de la víctima podría instalar el software espía. La víctima ni siquiera necesitó responder.

“Uno de los mayores problemas es que no sabemos qué es lo último que Pegasus puede y no puede hacer”, dijo Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation. “En realidad, esta es una de las cosas que dificultan mucho la formación de activistas y periodistas sobre cómo defenderse. … Siempre escuchan consejos obsoletos o consejos incorrectos «.

Hay mucha necesidad de buenos consejos. Grupos como Citizen Lab y Amnistía Internacional se han centrado en NSO Group en parte porque el software de la empresa ha aparecido en tantos casos de alto perfil que involucran a periodistas y activistas.

En México, supuestamente el primer cliente en adquirir Pegasus, el software se ha utilizado contra periodistas y abogados de derechos humanos. Incluso los nutricionistas y los formuladores de políticas que apoyaban un impuesto a los refrescos fueron atacados por enlaces de explotación de Pegasus .

Amnistía Internacional descubrió que se utilizaba software de NSO Group contra un miembro del personal que trabajaba en cuestiones de derechos humanos en Arabia Saudí . El expresidente de Panamá, Ricardo Martinelli, ha sido acusado de utilizar a Pegasus para vigilar y hacer escuchas telefónicas ilegalmente a sus oponentes políticos.

Para 2018, Citizen Lab había documentado que el software de NSO Group se usaba potencialmente en 45 países. Según el reciente “informe de transparencia” de la compañía, tiene 60 clientes en todo el mundo.

Pero aunque NSO Group puede ser uno de los proveedores de software espía más destacados, no está solo. Ha surgido todo un ecosistema de empresas de vigilancia para satisfacer la creciente demanda de herramientas de inteligencia listas para usar.

“Cuando sucedió Snowden, la gente dijo que todavía no tenemos esa tecnología”, dijo Scott-Railton de Citizen Lab, refiriéndose a las revelaciones del ex contratista de la NSA de que la agencia se había involucrado en una vigilancia masiva. «Muchos países decían, ¿cómo obtenemos las cosas buenas?»

Debido a que los profesionales de la industria del software espía tienden a ser reservados, y llevan a cabo sus negocios a puerta cerrada y en ferias comerciales solo por invitación, ha correspondido a las organizaciones de defensa estudiar el campo. Un informe de 2016 del grupo de derechos sin fines de lucro Privacy International encontró 528 empresas de vigilancia que ejercen su comercio en todo el mundo, principalmente con sede en los Estados Unidos y Europa, con Israel entre los cinco principales exportadores.

Ron Deibert, director de Citizen Lab, describió los productos que se ofrecen como una «NSA estándar para países que no pueden permitírselo».

“Piénselo de esta manera”, dijo, refiriéndose a un caso de 2017 que involucró a Etiopía y otra compañía de software espía israelí . «Uno de los países más pobres del mundo, con menos del … 15 por ciento de conectividad a Internet, puede sin embargo … salir y emprender una operación global de ciberespionaje masiva».

“Vivimos en una época en la que el mundo está descendiendo hacia el autoritarismo”, dijo. “Hay muy pocos países que cuentan con salvaguardas sólidas para prevenir el abuso de esta poderosa e invasiva tecnología”.

Existen algunos mecanismos para prevenir abusos. La mayoría de los países que albergan empresas de software espía son parte del Acuerdo de Wassenaar, un acuerdo internacional que promueve la transparencia en la exportación de armas y tecnología que tiene usos militares. Aunque Wassenaar inicialmente se centró en tarifas militares estándar como tanques de batalla y helicópteros de ataque, el «software de intrusión» se agregó a la lista en 2013.

Los grupos de derechos humanos señalan que se desconoce hasta qué punto los países restringen realmente la venta de software espía, o tratan las cuestiones de derechos humanos como un factor relevante. Como ha señalado Citizen Lab, las ventas a países con «antecedentes notorios de ataques abusivos a defensores de los derechos humanos» se producen «a pesar de la existencia de controles de exportación aplicables».

Israel no es parte del Acuerdo de Wassenaar, pero sus reglas de exportación utilizan las listas que establece. Como resultado, las ventas de NSO Group a sus clientes extranjeros están sujetas a la aprobación del Ministerio de Defensa del país.

Pero como principal exportador de armas, el gobierno israelí está influenciado por consideraciones comerciales y estratégicas.

«Las exportaciones [israelíes] de equipos de inteligencia pueden desempeñar un papel particularmente importante en el fortalecimiento de la cooperación de inteligencia [con otros países]», dice Privacy International, advirtiendo que «no está claro qué tan alta prioridad se asigna a la consideración de los derechos humanos».

“El problema real es que la regulación israelí es un secreto de estado”, dijo una persona familiarizada con NSO Group que habló con The Guardian bajo condición de anonimato. “No hay supervisión parlamentaria. Todo está controlado por el Ministerio de Defensa israelí «.

En respuesta a las preguntas de los reporteros, el Ministerio de Defensa israelí dijo que «aprueba la exportación de productos cibernéticos exclusivamente a entidades gubernamentales, para uso legal, y solo con el propósito de prevenir e investigar el crimen y la lucha contra el terrorismo». En caso de violaciones, dijo el ministerio, «se toman las medidas adecuadas».

El segmento israelí de la industria de la vigilancia es especialmente significativo porque el país supera con creces su peso. El Financial Times ha informado que, en 2015, las empresas israelíes representaron alrededor del 10 por ciento del mercado mundial de seguridad cibernética . Y según Privacy International, la medida de Israel de «empresas de vigilancia per cápita» es más de 10 veces mayor que la de Estados Unidos.

Entre las razones se encuentra la enorme reserva de talentos del país, con reclutamiento militar obligatorio, una población altamente educada y conocedora de la tecnología, y unidades de inteligencia de élite ansiosas por entrenar reclutas prometedores.

«Había una gran cantidad de talento que salía del ejército cada año», dijo Gadi Aviran, quien fundó la firma de inteligencia Terrogence, al New Yorker en 2019 . «Todo lo que tenía que hacer una empresa como la mía era pararse en la puerta y decir: ‘Te ves interesante'».

Como era de esperar, NSO Group no es una excepción.

Se sabe que los veteranos de la Unidad 8200 de las Fuerzas de Defensa de Israel, que es responsable de la inteligencia de comunicaciones y ha sido descrita como » la agencia de inteligencia técnica más importante del mundo «, han ayudado a desarrollar su tecnología. Incluso la portavoz de la compañía, Ariella Ben-Avraham, es un ex general de brigada que alguna vez ocupó el cargo de «Censor en Jefe del Estado».

NSO Group ha brindado muchas oportunidades de trabajo para los jóvenes veteranos de Israel, y la fuerza laboral de la compañía ha aumentado a más de 700 en los últimos años. Pero eso no significa que todos los exploits que utiliza su software provengan del interior.

“Imagino que hay una buena parte que ellos mismos descubren y desarrollan”, dijo Guarnieri, investigadora de seguridad de Amnistía Internacional. “Y probablemente también hay una buena parte por adquirir de investigadores y corredores externos. Por lo general, así es como funciona esa industria «.

Para ser claros, aunque hay rumores, no ha surgido evidencia de que NSO Group haya comprado exploits a piratas informáticos independientes. Pero las empresas de software espía necesitan un flujo constante de nuevas vulnerabilidades porque las empresas de tecnología como Apple y Google están constantemente parcheando las vulnerabilidades existentes. Sus actualizaciones son parte de una carrera armamentista contra los piratas informáticos independientes que pueden ganar sumas asombrosas descubriendo errores nuevos, aún sin parchear, conocidos como «días cero».

A principios de la década de 2000, las empresas privadas ya se estaban acercando a los trabajadores autónomos en busca de ayuda, ofreciéndoles «recompensas» por nuevos exploits que podían empaquetar para sus clientes.

Nicole Perlroth, una reportera del New York Times que cubre la seguridad cibernética y el espionaje digital, exploró el auge de este mercado en su libro más vendido, «Así es como me dicen que termina el mundo». Sus fuentes le informaron sobre empresas que enviaron intermediarios a Europa del Este con bolsas de lona llenas de dinero en efectivo para comprar nuevas hazañas.

Para 2013, escribe Perlroth, el fundador de una feria comercial anual de vigilancia estimó que el mercado de exploits había «superado los $ 5 mil millones de ‘nada hace 10 años'».

Con tanto dinero por hacer, los jugadores desagradables acudieron en masa. Uno era «el Grugq», un hombre sudafricano que Forbes fotografió con una bolsa de dinero en efectivo y que se ganaba la vida como corredor, conectando a los piratas informáticos y sus hazañas con agencias gubernamentales dispuestas a pagar cientos de miles de dólares para adquirirlos. (Dijo que el 80 por ciento de sus ingresos provienen de clientes en los Estados Unidos, lo que ilustra cómo, como escribe Perlroth, las agencias estadounidenses estaban «ayudando a impulsar una carrera de ciberamas lucrativa y no regulada»).

Y cuando Hacking Team, un competidor italiano de NSO Group, fue pirateado en 2015, los correos electrónicos filtrados mostraron “cómo se cotizaban, intercambiaban e incorporaban los exploits de día cero en software espía cada vez más poderoso y vendido. a los gobiernos con el más abismal de los derechos humanos ”.

Hoy en día, se informa que algunas hazañas poderosas se venden por $ 2 millones o incluso $ 2,5 millones , lo que demuestra los vientos en contra que enfrentan las empresas de tecnología en sus esfuerzos por superar a los autónomos.

Galperin de Electronic Frontier Foundation señaló que tanto Apple como Google tienen equipos dedicados a la búsqueda de «actores a nivel estatal».

«Pero también están en una posición en la que están jugando al whack-a-mole», dijo.

Guarnieri también elogió a Apple por su capacidad de respuesta, pero lamentó que «siempre van a quedarse atrás».

Scott-Railton de Citizen Lab dijo que los gobiernos, la sociedad civil y las empresas de tecnología deben trabajar juntos para abordar el problema. «Creo que no es realista suponer que cualquiera de esos sectores va a resolver el problema por sí solo», dijo.

Señaló que el litigio, como la reciente demanda de WhatsApp contra NSO Group, fue un paso adelante. Pero al final, dijo Deibert, director de Citizen Lab, lo que se necesitaba era presión pública. Las cosas solo cambiarían, dijo, «una vez que la gente comience a darse cuenta de que esta es una industria que inherentemente causa daño».

Cuando se contactó para comentar sobre este proyecto, un bufete de abogados que respondía por NSO Group dijo que los datos utilizados por los periodistas para señalar posibles infecciones de Pegasus habían sido malinterpretados y reiteró la posición de la compañía de que su software no es mal utilizado por los gobiernos clientes. ( Haga clic aquí para leer más de la respuesta de NSO Group ).

Con informes de los socios del Proyecto Pegasus, incluidos Die Zeit, The Washington Post, The Guardian y Forbidden Stories.

Lea aquí

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *