Aunque desde hace años el nombre de NSO Group es más que conocido por su software espía, Pegasus, que ha afectado incluso al hombre más rico del planeta, Jeff Bezos, provocando su divorcio, una nueva investigación ha agigantado su impacto.

Esta arma de ciberguerra, contratada por todo tipo de gobiernos a nivel global, ha servido para espiar a miles de personalidades (hay hasta 50.000 móviles señalados) y ha hecho que incluso Amazon tome partido y corte las conexiones que tenía con la compañía. Pero ¿cómo una empresa así puede llegar a ofrecer una puerta a decenas de gobiernos para controlar a sus ciudadanos?

Así funciona el nuevo espionaje

Como explica el conglomerado de medios que ha hecho pública la investigación de Forbidden Stories, el sistema Pegasus es un software considerado como arma por su país natal, Israel, desde 2012, y esta etiqueta solo permite la venta del producto bajo permiso del país a gobiernos de otros Estados. Además, así lo aseguran sus creadores, está dirigido a luchar contra la delincuencia y el terrorismo.

Pero lo encontrado estos días muestra una realidad distinta a la presentada, una situación en la que esta herramienta ha sido utilizada por países de todos los continentes, muchos de ellos bajo regímenes autoritarios, para controlar a sus ciudadanos, y en especial para hacerlo con personas concretas de entornos delicados como el periodismo, el activismo o la política. Con una participación clave en casos como el de Bezos o el asesinato de Yamal Jashogyi.

Para el experto en ciberseguridad Román Ramírez, todas estas denominaciones no son otra cosa que gestos para la galería que esconden una realidad bien distinta. "Siempre en estos casos te venden que es para hacer el bien, que es para luchar contra delincuentes o para proteger a los niños de pederastas y demás, pero en el fondo aprovechan estas puertas para otras muchas cosas. Y se ha comprobado con NSO. Es un software que se puede pagar para usarlo de forma eficaz para luchar contra el narcotráfico o el abuso de menores, pero la línea entre un delincuente y un disidente o un opositor puede ser muy fina, y más en sistemas no democráticos. Además, no todo vale para perseguir a alguien que crees, o estás seguro de ello, que ha cometido un delito, o no debería valer", señala Ramírez al diario español El Confidencial.

El espionaje a Jeff Bezos derivó en su divorcio.

El ejemplo de México

 Desde 2016, se sabe que México contrató los servicios de NSO: aunque sus autoridades nunca lo han confirmado de forma oficial, hay rastros que así lo demuestran e incluso hay pruebas como grabaciones o declaraciones que indican que esa relación podría haber empezado mucho antes, en 2012.

El motivo de esa negociación habría sido añadir una nueva arma a la guerra contra la delincuencia organizada y el narcotráfico, y tan efectiva fue que Pegasus jugó un papel fundamental en la detención del Chapo Guzmán, en 2016 (así lo vende la propia compañía).

El problema es lo que vino después, pues la investigación publicada ahora muestra que la nación azteca usó ese mismo sistema para al menos señalar (no se sabe si espiar) otros 15.000 teléfonos, entre los que se encuentran los de políticos, periodistas y sindicalistas, entre otros.

"Parece que se justifica la vulneración de derechos de cientos de ciudadanos con la detención del Chapo Guzmán", comenta Ramírez. "Es el riesgo de jugar con este tipo de herramientas. Cualquier intromisión de este tipo necesita, cuanto menos, el permiso de un juez, pero, claro, empiezas viendo claro que un tío es un criminal aunque no consigues pruebas para que te acepten el espionaje. De ahí a saltarte la normativa para ponerlo en marcha sin orden judicial no hay nada".

Y a esto hay que añadir la venta del sistema a gobiernos con sistemas no democráticos. En total, este programa lo tendrían hasta 60 agencias militares, de Inteligencia o de seguridad en 40 países de todo el mundo. Es más, en las cifras de la empresa se indica que el 51% de los clientes son agencias, el 38% cuerpos de seguridad y el 11% ejércitos.

Aunque, como comenta Jorge Coronado, informático forense y experto en ciberseguridad, al mismo medio, este tipo de soluciones se usa en todos los países. "Quien más quien menos utiliza softwares de este tipo. Están a la orden del día y es raro el país que no los tiene contratados", afirmó. ¿Y cómo se hacen estas compras y ventas? Porque no es una adquisición al uso, no es barata, ni NSO es un agente al margen.

La empresa NSO es el fabricante de Pegasus.

Moviéndose en el todo vale

Como explica Ramírez, la compra se realiza a través de la empresa y es como si se contratara a un detective, no te haces con la licencia de un programa. Es decir, el cliente indica el objetivo a espiar y NSO se encarga de todo el proceso técnico.

"No es simplemente un software que explota vulnerabilidades e infecta teléfonos y les saca información, es una sofisticada arma que no deja huella, que permite un acceso total al dispositivo, con todo un sistema detrás para que el objetivo muerda el anzuelo... Su infraestructura va mucho más allá del virus", explica. La empresa, en principio sin mirar más allá ni pedir explicaciones, entrega la información solicitada por el cliente para que este la use como crea conveniente. Y así con cada caso. "El contrato se suele hacer con pagos mensuales y no es para nada barato".

La poca información que hay sobre los pagos viene de nuevo de México, uno de los clientes predilectos. Según varios medios, su Gobierno pudo llegar a pagar cerca de 20 millones de euros a NSO por sus servicios en 2012, unos números que cuadran con los cálculos rápidos que hace Ramírez.

"En Zerodium, una página de compraventa de fallos en sistemas, una vulneración Zero-Day para iPhone puede rondar los 2,5 millones de dólares, y a eso hay que sumarle todo el trabajo alrededor del software para convertirlo en un arma. Fácilmente puede rondar los 11 millones. Y eso para un solo agujero. Si ese lo cierran y debes buscar una nueva vía, tendrás que volver a hacer lo mismo y meter gastos". Un caro servicio que se paga como una herramienta en la zona gris del sistema, en el todo puede valer.

Es así como lo define Ramírez, que explica que es un producto creado para esas fuerzas o agencias que pueden o quieren moverse en entornos donde la legalidad vigente no es importante o permiten saltársela.

"Yo tengo mucho respeto por las fuerzas y cuerpos de seguridad del Estado, y la mayoría hace un trabajo excelente, pero basta con que uno quiera moverse más allá, en esa zona gris, para saltarte todo. Además, que puedes creer que lo haces por el bien, para pillar a un delincuente que sabes perfectamente que lo es, pero incluso él tiene sus derechos, para eso nos damos unas reglas básicas".

Jorge Coronado trae el ejemplo a España. Desde que se aprobó la Ley de Enjuiciamiento Criminal de 2015, el juez puede autorizar la interceptación de las comunicaciones de teléfonos u coimputadoras en estos supuestos: si el delito conlleva más de tres años de prisión, si está cometido por un grupo u organización criminal o si está relacionado con el terrorismo.

¿Cómo se realizan estas intervenciones? Con softwares como el de NSO o similares. "La mayoría de estas compras, eso sí, va por fondos reservados, por lo que no creo que puedan gastar muchísimo dinero en contratar estas herramientas. Pero sí, es algo que se da en casi todo el mundo, el punto es cómo lo utilizas", afirmó.

Coronado añade algo clave: la mayoría de estas herramientas viene de Israel, un país cuya inteligencia cubretodas las fuerzas de seguridad del mundo o gran parte de ellas. "Tienen laboratorios en todo el mundo y es fácil que a través de esos otros contratos te abras a hablar de otras herramientas".

Por ejemplo, los fundadores de NSO son exagentes de Inteligencia del Estado de Israel. "Son gente con muchos medios y desarrollo para probar vulnerabilidades y para trabajarlas una y otra vez".

No es el primero ni el último

Los dos expertos señalan que el trabajo de NSO no es el primer caso ni el único que desarrolla softwares similares, aunque sí puede ser el más famoso. Otra que llenó muchos titulares fue Hacking Team, una compañía de origen italiano que también vendió sus servicios a multitud de países. 

Hay incluso empresas de ese mismo país, como Black Cube, que tienen sede en Madrid desde 2018 y se dedican especialmente a este tipo de programas. "Van a seguir existiendo y habrá muchas más. Si las plataformas pagaran más por su seguridad y se lo tomaran más en serio, quizá sería algo más difícil, pero por ahora es algo muy lucrativo y con una demanda brutal por parte de los países. Mientras exista esa demanda, seguirá habiendo empresas que ofrezcan sus servicios, es así de básico", termina Coronado.