Aunque hay quien dice que hasta la mala publicidad es buena, dudo que los responsables de NSO Group estén de acuerdo ahora mismo. Tras años operando casi en la sombra, esta multimillonaria compañía israelí de ciberespionaje ha acaparado titulares esta semana al filtrarse una lista con más de 50.000 números de teléfonos que podrían haber sido víctimas de su famoso software espía (spyware), Pegasus.
Si se acaba de enterar de que existe, debería saber que NSO Group lleva en funcionamiento desde 2010, que es la compañía más importante del mundo de productos de ciberespionaje y que sus sofisticadas herramientas se han visto envueltas en algunos de los asuntos geopolíticos más importantes de la historia reciente, incluso dentro de nuestras propias fronteras.
Aunque el Gobierno de España lo niega, el software Pegasus ha sido vinculado al espionaje de algunos políticos independentistas catalanes, así como con el asesinato del periodista saudí Jamal Khashoggi, con el encarcelamiento del activista pro derechos humanos Maâti Monjib por el Gobierno de Marruecos y con la detención del narcotraficante mexicano conocido como 'El Chapo' Guzmán, entre otros muchos escándalos.
El software Pegasus ha sido vinculado al espionaje de algunos políticos independentistas catalanes
En el de esta semana, aunque no se sabe con certeza cuántos de los más de 50.000 teléfonos de la lista han sido realmente hackeados por los productos de NSO Group, todos serían propiedad de sujetos de interés para los clientes de la compañía. Y ahí reside el quid de la polémica: aunque NSO es el fabricante del software espía, su razonamiento para librarse de culpas consiste en que son sus compradores quienes realizan los ataques.
Es decir, que, aunque NSO produzca algunas de las armas digitales más poderosas del mundo, solo se limita a venderlas, por lo que son sus clientes los responsables del uso que les dan. La empresa también asegura que realiza un análisis concienzudo de antes de proceder a la venta de sus productos. Y que, en caso de que reciba alguna denuncia como la de esta semana, activa su mecanismo interno para comprobar si el comprador en cuestión ha violado sus términos de uso.
Sin embargo, a pesar de esta aparente transparencia, NSO Group no divulga prácticamente nada de su actividad: ni su lista de clientes, ni los resultados de sus auditorías internas, ni nada. Solo se limita a afirmar que sus productos se destinan a labores de inteligencia y seguridad, como la búsqueda de terroristas y criminales, y que tiene una lista de 21 países con los que nunca hará negocios, entre los que figuran China, Rusia, Irán, Cuba, Corea del Norte, Qatar y Turquía.
No solo es imposible comprobar todo esto, sino que, a diferencia de lo que afirma, algunos de los presuntos usos de Pegasus se han dirigido a personas ajenas al mundo del crimen, como periodistas, diplomáticos, políticos y activistas, como sugiere la actual filtración de números telefónicos y otros escándalos previos. Aunque, por supuesto, también tiene argumentos para defenderse de esto.
Por ejemplo, en el caso de la detención del Chapo, el teléfono hackeado fue el de su abogado. "El abogado por sí solo no es sospechoso de actividad delictiva, pero El Chapo, que es un delincuente, va a llamar a su abogado y la única forma de atraparlo es interceptando a su abogado", explicó el año pasado el CEO de NSO Grop, Shalev Hulio, en una de sus escasísimas entrevistas con la prensa.
Daño colateral
La compañía sigue negando su vinculación con el arresto del narcotraficante, pero, con este razonamiento justificaría el uso de su spyware contra un civil inocente para lograr el bien mayor de detener al capo de la droga. Un simple daño colateral, que dirían los profesionales del arte de la guerra.
Afortunadamente, el depurado argumentario de la compañía empieza a tambalearse a medida que los escándalos internacionales nos obligan a ponen el foco sobre ella. De la misma manera que "no permitimos un mercado comercial de armas nucleares, este es un sector que no debería existir", ha afirmado el antiguo trabajador de la CIA Edward Snowden tras descubrirse la lista de 50.000 teléfonos.
Además, el año pasado un tribunal de EE. UU. rechazó la petición NSO Group de desestimar una demanda interpuesta por WhatsApp en 2019 en la que alega que el gigante israelí estuvo involucrado en la explotación de una vulnerabilidad de su software con la que consiguió acceder a más de 1.400 teléfonos de sus usuarios. El fallo asume que, aunque NSO no lanzara el ataque directamente, sí es responsable de toda la parte técnica subyacente.
Parece que el mundo empieza a ser consciente de la gravedad del ciberespionaje, pero lo cierto es que el sector no para de crecer. De forma un tanto irónica, el propio Hulio ha criticado la falta de transparencia de sus rivales y ha pedido una mayor regulación para su industria. Sin embargo, como hemos visto esta semana, su compañía ha seguido operando en la sombra y espiando a la gente sin miramientos. Demos gracias a la mala publicidad, porque, aunque no podamos hacer nada para evitarlo, por lo menos nos enteramos.