Cómo NSO se convirtió en la empresa cuyo software Pegasus puede espiar al mundo
Melitón Ortega, padre de uno de los estudiantes desaparecidos de la Escuela Normal de Ayotzinapa, habla en la Ciudad de México en 2015. Foto compuesta: Guardian Design/Reuters/Alamy

En 2019, cuando NSO Group enfrentaba una intensa auditoría, los nuevos inversionistas de la empresa de vigilancia israelí estaban en una ofensiva de relaciones públicas para tranquilizar a los grupos de derechos humanos.

En un intercambio de cartas públicas en 2019, le dijeron a Amnistía Internacional y a otros activistas que ellos harían “lo que fuera necesario” para asegurar que el programa de NSO fuera únicamente utilizado para combatir el crimen y el terrorismo.

Pero ahora parece que la afirmación era falsa.

Sin que los activistas supieran, NSO más tarde tramaría un acuerdo que ayudaría a un cliente gubernamental de mucho tiempo con un terrible historial de derechos humanos. Dubái, una monarquía en los Emiratos Árabes Unidos, quiso que NSO le diera permiso para expandir su uso potencial del software espía para que pudiera apuntar a teléfonos en Reino Unido.

Necesitaba hacer eso, argumentó, para rastrear a traficantes de drogas que utilizaban tarjetas SIM extranjeras para evitar ser vigilados.

Lee también: 50 personas cercanas a AMLO, entre los blancos potenciales de Pegasus

Las personas dentro en la empresa estaban indecisas, dijo una persona familiarizada con el tema. Era una propuesta riesgosa debido al historial de clientes como los Emiratos Árabes Unidos. En 2016 había intentado utilizar el programa de espionaje de NSO para atacar el celular de uno de los activistas de derechos humanos emiratíes más francos y respetados, Ahmed Mansoor. Fue encarcelado por las autoridades emiratíes un año después y aún sigue en la cárcel.

Pero le comentaron a The Guardian que un comité de NSO que estaba revisando el acuerdo accedió a la petición de Dubái. Potencialmente, significaba que las autoridades de Dubái podrían eludir las leyes de privacidad y antipiratería informática que generalmente protegerían a los individuos que viven en democracias de ser espiadas sin una orden judicial y de que un gobierno extranjero espíe sus teléfonos.

Algunas de las personas en quienes las autoridades mostraron un posible interés, según los registros filtrados, no eran traficantes de droga en absoluto. Eran activistas de derechos humanos y disidentes que vivían en exilio.

Utilizando el característico programa de espionaje de NSO, Pegasus, los gobernantes de Dubái podrían intentar infiltrarse en cualquier celular que quisieran en Reino Unido, escuchar a escondidas las llamadas, ver las fotografías, leer los mensajes de texto e incluso encender de forma remota el micrófono o cámara de un celular. En la mayoría de los casos, podían hacerlo sin dejar una huella digital.

Este es el poder del programa de espionaje de NSO, y la razón por la que países desde México hasta Arabia Saudita, Ruanda e India parecen haber estado dispuestos a pagar un alto precio por sus capacidades.

Esta semana, el Proyecto Pegasus, una colaboración mediática que incluye a The Guardian y fue coordinada por el grupo de medios francés Forbidden Stories, reveló nuevas acusaciones de abuso, con registros filtrados que muestran los números telefónicos de periodistas, opositores y activistas políticos.

La base de datos, que fue el corazón de la investigación del Proyecto Pegasus, incluyó los detalles telefónicos de 13 primeros mandatarios, así como diplomáticos, jefes militares y políticos de alto rango de 34 países.

Otras personas cuyos números aparecen en la lista filtrada incluyen al presidente francés, la mayoría de su gabinete, periodistas en Hungría y México, 400 personas en Reino Unido, incluyendo un integrante de la Cámara de Lores, dos princesas y un entrenador de caballos.

El análisis forense en un pequeño muestreo de la base de datos ha mostrado que infectaron algunos celulares en la lista.

Lee también: El círculo íntimo del Dalai Lama figura en la información del Proyecto Pegasus

Pero la presencia de un número telefónico en los registros no revela si infectaron un dispositivo con Pegasus o fue objeto de un intento de ataque.

NSO ha negado que la base de datos de los números telefónicos está relacionada con la empresa o sus clientes. Dice que no puede ver las actividades de sus clientes y que el consorcio de medios había hecho “suposiciones equivocadas” sobre qué clientes usaron la tecnología de la empresa.

NSO afirmó que el hecho de que un número telefónico apareciera en la lista filtrada de ninguna manera era un indicativo de que fuera un objetivo de vigilancia a través de Pegasus. Agregó que la base de datos “no tiene relevancia” para la empresa.

Dijo que podía ser parte de una lista mayor de números que pudieron haber sido usados por los clientes de NSO Group “para otros propósitos”.

Ningún país ha admitido ser un usuario de la tecnología de la empresa

Lee también: Fundador de Telegram aparece en la lista de objetivos de Pegasus

Bajo vigilancia: la empresa y sus clientes

Desde sus inicios humildes en 2010, NSO se ha convertido en efecto en una empresa que ayuda a sus clientes a espiar al mundo. Esta semana, el Proyecto Pegasus ha generado nuevas inquietudes sobre la escala y profundidad de las campañas de vigilancia aplicadas por los clientes gubernamentales de la empresa, y en general, la falta de regulaciones alrededor de las muchas empresas que ahora venden programas de espionaje de grado militar.

Ubicados en Herzliya, NSO Group ha recorrido un largo camino en poco tiempo. El nombre deriva de las iniciales de los hombres que la lanzaron: los amigos Niv Carmi, Shalev Hulio y Omri Lavie.

Hulio, quien sirvió en las Fuerzas de Defensa de Israel (IDF por sus siglas en inglés), ha dicho que la idea sobre la empresa llegó después de que él y Lavie recibieran una llamada telefónica de un servicio de inteligencia europeo, que se enteró que la pareja tenía los conocimientos necesarios para acceder a los teléfonos de las personas.

¿Por qué no están utilizando esto para recopilar información?”, se dice que la agencia preguntó.

La proliferación de los teléfonos inteligentes y la tecnología de cifrado de las comunicaciones, desde Signal hasta WhatsApp y Telegram, significó que las agencias de inteligencia y los organismos de seguridad se habían “oscurecido”, incapaces de monitorear las actividades de terroristas, pedófilos y otros criminales.

Dijeron que no entendíamos realmente, que la situación era grave”, recordó Hulio. Tan grave, de hecho, que cuando NSO comenzó a vender su tecnología, rápidamente creció, y actualmente emplea aproximadamente a 750 personas.

La empresa es la líder mundial en el mercado especializado: proporcionando a los Estados capacidades cibernéticas “listas para usar” que les permiten competir con la Agencia de Seguridad Nacional en Estados Unidos (NSA por sus siglas en inglés) y el Cuartel General de Comunicaciones del Gobierno de Reino Unido (GCHQ).

Lee también: Amnistía Internacional pide a Israel impedir que NSO Group exporte Pegasus

Desde el inicio, NSO cultivó una imagen como un luchador de vanguardia contra el crimen cuyas herramientas de vigilancia eran utilizadas para detener a terroristas. “Esto es realmente para los Bin Ladens del mundo”, dijo a 60 Minutes Tami Mazel Shachar, uno de los copresidentes en ese entonces de NSO Group, en 2019.

La empresa también ha dicho que es la antítesis de una empresa de vigilancia masiva, con clientes supuestamente manejando menos de 100 objetivos en cualquier momento. Una fuente familiarizada con el tema dijo que el número promedio de ataques anuales por cliente era de 112.

Incidentes sobre abuso, ha sugerido la empresa, son raros e investigados por los funcionarios encargados. Cuando surgieron las acusaciones de abuso, la empresa ha dicho que no puede revelar las identidades de sus clientes gubernamentales. Una persona familiarizada con las operaciones de NSO que habló en condición de anonimato detalló que solo durante el año pasado, la empresa había finalizado contratos con Arabia Saudita y Dubái en los Emiratos Árabes Unidos por asuntos de derechos humanos.

Lee también: El Proyecto Pegasus descubre los vínculos entre la empresa de software espía NSO y el Estado israelí

‘Espía digital en tu bolsillo’

El Proyecto Pegasus ha creado nuevas preguntas sobre esta narrativa. También ha destacado los vínculos cercanos del gobierno israelí con la empresa.

“Las regulaciones (de la empresa) son un secreto de Estado”, afirmó un informante. Pero, en última instancia, el grupo se guía firmemente por una regla de oro: “Hay tres jurisdicciones con las que no te metes: Estados Unidos, Israel y Rusia”.

Su primer cliente, en 2011, fue México, un país que sigue siendo un importante importador de software espía.

Durante un lapso de 18 meses entre 2016 y 2017, los números telefónicos de más de 15 mil personas en México aparecieron en la base de datos filtrada. Incluían los números telefónicos de decenas de periodistas, editores y al menos 50 personas cercanas al actual presidente del país, Andrés Manuel López Obrador.

Lee también: La-Lista de personajes del círculo de AMLO que eran objetivos de Pegasus

Esto no significa que fueron objetos de un intento de ataque utilizando Pegasus o infectados por el mismo. Sugiere que algunos clientes gubernamentales de NSO Group tenían un grupo de mexicanos en los que estaban interesados.

México había sido acusado anteriormente. En 2020 comenzaron a surgir informes periodísticos documentando serios abusos de la tecnología de NSO, incluyendo la focalización sobre expertos internacionales que estaban investigando el caso de los 43 estudiantes de la Normal Rural de Ayotzinapa que desaparecieron después de que fueran secuestrados por la policía.

Aproximadamente en ese mismo tiempo, al otro lado del mundo, otro cliente de NSO estaba enviando mensajes de texto sospechosos a Mansoor en su iPhone. Cuando envió los enlaces a los investigadores del Citizen Lab, el cual está afiliado a la Universidad de Toronto, encontró que la liga estaba infectada con un programa malicioso creado por la empresa israelí. Dar clic en ella hubiera convertido el celular de Mansoor en un “espía digital en su bolsillo”, rastreando sus movimientos y escuchando sus llamadas.

Un año del descubrimiento, fuerzas de seguridad allanaron la casa de Mansoor y lo arrestaron. Un reporte de Human Rights Watch descubrió que Mansoor, padre de cuatro hijos que había sido descrito como un poeta e ingeniero, pasó años en una celda de aislamiento después de su arresto. Sus “delitos” incluyeron intercambios de WhatsApp con organizaciones de derechos humanos.

En octubre de 2018, NSO enfrentó una avalancha de críticas después de que el Citizen Lab anunció que había descubierto que el dispositivo que pertenecía a otro disidente, un saudí llamado Omar Abdulaziz que había estado viviendo en exilio en Canadá, había sido infectado con el programa malicioso.

Lee también: Emmanuel Macron, presidente de Francia, aparece en la lista de objetivos de Pegasus

Algunos días después, tras el asesinato del periodista Jamal Khashoggi en el consulado saudí en Estambul, se hizo evidente la importancia de los ataques contra Abdulaziz.

Khashoggi y Abdulaziz habían estado en contacto el uno con el otro. En entrevistas y en una presentación judicial, Abdulaziz dijo que creía que el ataque había sido el “factor crucial” en el asesinato del periodista del Washington Post y en el acoso y encarcelamiento de su propia familia en el reino.

Un ex funcionario le dijo a The Guardian que Estados Unidos descubrió indicios de que la vigilancia fue un factor en su asesinato. “Nos dimos cuenta de que ellos (Arabia Saudita) se habían enfocado en él. No lo supimos hasta después del asesinato, pero sí encontramos intercepciones de personas hablando sobre la vigilancia en periodistas. No sé si eso fue de parte de NSO”, dijo Kirsten Fontenrose, una alta funcionaria del Consejo de Seguridad Nacional de Estados Unidos que cubría a Arabia Saudita en ese tiempo.

La prometida de Kashoggi, Hatice Cengiz, fue atacada con Pegasus por parte de un cliente de NSO, que se cree es Arabia Saudita, cuatro días después de que asesinaran al periodista, de acuerdo con un análisis a su celular por parte del laboratorio de seguridad de Amnistía Internacional. Otros amigos y asociados del periodista también fueron atacados u objetivos de los clientes de la empresa. A los pocos meses del asesinato, NSO bloqueó a Arabia Saudita, aunque dentro de seis meses se restableció su acceso.

En un comunicado, NSO aseguró: “Nuestra tecnología no estuvo asociada de ninguna manera con el atroz asesinato de Jamal Khashoggi. Podemos confirmar que nuestra tecnología no fue utilizada para escuchar, monitorear, rastrear o recolectar información sobre él o sus familiares mencionados en su investigación”.

Nuevos dueños, nuevas preocupaciones

En 2019, Francisco Partners –un fondo de capital privado ubicado en Estados Unidos– decidió vender NSO Group a un nuevo grupo de inversionistas. El acuerdo fue dirigido por una empresa ubicada en Londres llamada Novalpina Capital, cuyo fondo compró la mayor parte de la empresa junto con los fundadores de NSO en una adquisición valuada aproximadamente mil millones de dólares.

En Novalpina Capital surgió un debate interno sobre cómo la empresa de capital privado debería enfocar su nueva inversión, de acuerdo con una persona familiarizada con el tema. NSO no era un nombre muy conocido, pero a pesar de sus afirmaciones de que su programa de espionaje estaba salvando vidas al prevenir ataques terroristas, las organizaciones de derechos humanos estaban pidiendo que se interrogara al grupo.

En abril, Amnistía Internacional, entre otros, firmó una carta dirigida a Novalpina eexigiendo rendición de cuentas por atacar a “una amplia franja de la sociedad civil”, incluyendo dos docenas de defensores de derechos humanos en México, uno de sus propios trabajadores, Abdulaziz, Mansoor, Ghanem, Almasarir, un escritor satírico ubicado en Londres, y Yahya Assiri, otro activista saudí.

La Amnistía Internacional dijo: “Estos individuos y organizaciones parecen haber sido atacados únicamente como resultado de sus críticas a los gobiernos que utilizaron el programa de espionaje o porque su trabajo está relacionado con temas de derechos humanos de sensibilidad política para esos gobiernos. Por lo tanto, esta focalización es una violación de los derechos humanos reconocidos internacionalmente”.

Stephen Peel, un financiero británico y cofundador de Novalpina, dirigió un esfuerzo de la firma de capital privado para comprometerse con los grupos de derechos humanos e investigadores quienes habían estado alertando sobre las prácticas durante años. En un extenso intercambio de cartas con Amnistía Internacional firmadas por Novalpina, Peel prometió abordar sus preocupaciones.

A pocos meses de realizar la promesa, dos fuentes familiarizadas con el tema dijeron que a Dubái se le permitió expandir su uso del programa de espionaje hacia Reino Unido. En septiembre de 2019, la empresa también reveló una nueva política de derechos humanos y adoptó una “guía de principios” para proteger a las poblaciones vulnerables, incluyendo periodistas y activistas. Mientras tanto, las acusaciones de abuso por parte de los clientes de NSO seguían llegando.

Lee también: Amazon suspende servicios a NSO Group tras el escándalo de Pegasus

WhatsApp toma acción

Después, otro gigante de la tecnología se unió a la batalla.

En octubre de 2019, WhatsApp reveló que mil 400 de sus usuarios habían sido atacados con Pegasus a través de una vulnerabilidad en su aplicación. Entre los individuos afectados por el ataque, y alertados por WhatsApp, se incluyeron integrantes del clero en Togo y decenas de periodistas en India, Ruanda y Marruecos.

“El cambio realmente grande en nuestra comprensión de las capacidades de NSO ocurrió alrededor del ataque a WhatsApp, cuando vimos de forma obvia un conjunto de ataques de cero clic. Y ese es como otro orden de magnitud de sofisticación”, explicó John Scott-Railton, un investigador senior en Citizen Lab.

En una continua batalla legal sobre el caso, NSO argumentó ante un tribunal de Estados Unidos que debería otorgársele inmunidad en el caso porque el programa de la empresa había sido utilizado en nombre de clientes gubernamentales extranjeros sin su conocimiento o aprobación.

Ser un cliente de NSO, dijo una persona que previamente trabajó como agente en la industria, era como la posesión de armas en Estados Unidos.

“Se supone que debes usar una pistola para protegerte a ti mismo, ¿pero quién te impedirá robar un banco?”, dijeron. “Me preguntas si NSO sabía que Pegasus sería utilizado para atacar a periodistas, activistas de derechos humanos, les diría que claro que lo sabía. Esa es mi opinión. Por supuesto todos entienden eso. Pero ¿se ha dicho? ¿Dijeron ‘lo usaremos para los opositores al régimen’?’ No, ellos no dijeron eso”.

The Guardian le presentó una serie de preguntas a NSO y a Novalpina sobre sus acuerdos con los Emiratos Árabes Unidos. Se negaron a comentar.