El cofundador y CEO de NSO, Shalev Hulio, considera que ha llegado el momento de dar explicaciones.

Normalmente, el silencio y el secretismo son características al inherentes al negocio del espionaje. En los últimos nueve años, Hulio nunca había hablado públicamente sobre su empresa de hackeo valorada en miles de millones de dólares, ni siquiera cuando sus herramientas fueron vinculadas a algún escándalo o lo acusaban de cómplice de abusos contra los derechos humanos en todo el mundo. Pero, últimamente ha empezado a hablar.

"La gente no entiende cómo funciona la inteligencia. No es fácil. No es agradable. La inteligencia es un negocio de mierda lleno de dilemas éticos", me asegura en una videollamada desde Tel Aviv (Israel).

El negocio que dirige, NSO Group, es la empresa de software espía más famosa del mundo. Está en el centro de una industria internacional en auge en la que las compañías de alta tecnología encuentran vulnerabilidades de software, desarrollan exploits (piezas de software para explotar errores informáticos) y venden malware a los gobiernos. Esta empresa con sede en Israel ha sido asociada con distintos incidentes de alto perfil, incluido el asesinato de Jamal Khashoggi y el espionaje contra políticos en España.

Diez años después de fundar NSO Group, su CEO ha tomado la curiosa decisión de hablar sobre su empresa, sobre la industria de la inteligencia y sobre cómo podría funcionar la transparencia para las empresas de software espía. Según él, es lo más importante que puede hacer esta industria en la actualidad: "Nos han acusado, con razón, de no ser suficientemente transparentes".

Cultura del silencio

Hulio, que fue comandante de búsqueda y captura del ejército de Israel y luego se recicló como empresario centrado en la tecnología de acceso a los teléfonos inteligentes de forma remota, afirma que fundó NSO Group en 2010 a instancias de las agencias de inteligencia europeas. En aquel entonces, NSO se comercializaba como una empresa puntera de ciberguerra.

La compañía se convirtió en centro de atención mundial en 2016 cuando el activista de derechos humanos de los Emiratos Árabes Unidos Ahmed Mansoor recibió lo que se ha denominado como el mensaje de texto más famoso de todos los tiempos. Los investigadores afirman que fue un señuelo sofisticado de phishing enviado por su Gobierno. El SMS contenía un enlace que, al ser pinchado, se apoderó del teléfono de Mansoor con software espía. Los expertos del grupo de investigación de la Universidad de Toronto (Canadá), Citizen Lab, analizaron el enlace y señalaron a Pegasus, el producto estrella de NSO. Esa revelación generó un gran debate sobre la empresa, pero NSO permaneció en silencio. (Mansoor está cumpliendo una sentencia de prisión de una década por insultar a la monarquía, según la descripción del dictador sobre su trabajo para promover los derechos humanos).

El silencio de Hulio se debió, en parte, a los entonces propietarios de la empresa. En 2014, NSO había sido comprada por alrededor de 85 millones de euros por la empresa estadounidense de capital privado Francisco Partners, que tenía una estricta política de cero prensa que, según Hulio, condujo a una dañina cultura del silencio.

El fundador recuerda: "Nada de entrevistas, no podíamos hablar con los periodistas excepto para decirles: 'Sin comentarios, sin comentarios, sin comentarios'. Nos creó muchas situaciones desagradables, porque cada vez que nos acusaban de abuso, no respondíamos".

Esto, en su opinión, fue un error que debería evitar cualquier otra empresa como NSO, que el año pasado se vendió por 850 millones de euros a la compañía europea de capital privado Novalpina y a los fundadores originales, incluido Hulio.

"La industria debería ser más transparente. Cada empresa tendría que asumir mucha más responsabilidad de a quién vende, quiénes son sus clientes, cuál es el uso final de cada cliente", afirma.

De hecho, el mensaje de texto enviado a Mansoor resultó una bendición encubierta para los investigadores. Mansoor, que ya había sido objeto de vigilancia durante muchos años, sospechaba del mensaje, por lo que no hizo clic en el enlace. En lugar de eso, lo compartió con algunos expertos.

Pero la industria de los hackeos utiliza técnicas cada vez más avanzadas que mantienen sus actividades lo más discretas posible, incluidas las denominadas de "cero clic", capaces de infectar objetivos sin que estos tengan que hacer nada. WhatsApp ha demandado a NSO Group por hackear su aplicación para infectar teléfonos de forma oculta. Según los informes, algunos objetivos en Marruecos han sufrido ataques de "inyección de red" que no dan ninguna alerta, no requieren ninguna cooperación por parte de la víctima y casi no dejan rastro.

"Cada empresa [de software espía] debería asumir mucha más responsabilidad de a quién vende, quiénes son los clientes, cuál es el uso final de cada cliente".

El investigador principal de Citizen Lab John Scott-Railton, detalla: "El argumento de las empresas de hackeo es que los delincuentes y terroristas se están volviendo más indetectables debido al cifrado, y los estados necesitan capacidades para perseguirlos hacia sus escondites. Pero, en lugar de eso, son las empresas que venden estas técnicas las que se ocultan cada vez más. No se trata solo de WhatsApp. Hemos visto ventas de vulnerabilidades contra iMessage, [software telefónico] SS7 con vulnerabilidades sin necesidad de hacer clic y mucha inyección de red. Debido a esto, resulta casi imposible hacerse una idea de la escala del problema. Solo podemos adivinarla. Conocemos únicamente a algunos jugadores. Ese mercado crece, pero nos falta más información sobre abuso".

Nunca fue fácil comprender el alcance total de la industria de los piratas informáticos a sueldo. Actualmente, las técnicas y los indicadores en los que los investigadores han confiado durante mucho tiempo como pistas, son cada vez más raros, silenciosos y difíciles de detectar. El nuevo y sigiloso arsenal dificulta extraordinariamente la posibilidad de responsabilizar a las empresas de hackeo y las agencias de inteligencia cuando se producen abusos contra los derechos humanos.

Quizás de forma inesperada, Hulio está rotundamente de acuerdo con que la industria de hackeo se está volviendo más oscura. Cuando le pregunto si el sector está tomando suficientes medidas para la transparencia y para asumir la responsabilidad, niega con la cabeza y señala con el dedo a sus rivales: "En realidad, creo que es al revés. La industria se está alejando de la regulación. Veo empresas que intentan ocultar su actividad y esconder lo que hacen. Eso está perjudicando nuestro sector".

Esquivar la transparencia

Hulio afirma que, por el contrario, los nuevos dueños de NSO intentan revertir el rumbo. A pesar de que se enfrenta a la demanda de WhatsApp de alto perfil y a decenas de acusaciones de abuso de Pegasus, Hulio insiste en que la compañía está evolucionando.

El hecho de que esté hablando con periodistas supone un cambio obvio, destaca, al igual que las nuevas políticas de autogobierno y el compromiso público de adherirse a las Directrices de las Naciones Unidas sobre los derechos humanos. Hasta qué punto eso se traducirá en realidad sigue siendo una pregunta abierta: tres días después de que la empresa anunciara su nueva política de derechos humanos en 2019, investigadores de Amnistía Internacional aseguraron que Pegasus se había utilizado para hackear al periodista marroquí Omar Radi.

Pero Hulio sugiere que sus rivales siguen eludiendo la transparencia y la responsabilidad trasladando sus negocios a paraísos fiscales desde donde pueden operar.

"Están abriendo sus empresas en países donde no hay mecanismos de regulación o es muy débil, en América Latina, Europa, la región de Asia Pacífico, por lo que es posible exportar a otros países a los que no se puede desde Israel u otros lugares en Europa. Veo empresas que intentan ocultar su actividad cambiando de nombre una y otra vez. O a través de mecanismos como la creación de investigación y desarrollo en un sitio, el sistema de ventas en una empresa diferente, la implementación a través de una tercera empresa, para no poder rastrear quién realiza qué parte del trabajo".

"Al igual que hay países que actúan como paraísos fiscales, existen países que sirven como paraísos de regulación de exportaciones. Esos países necesitan mecanismos globales de regulación".

Eso puede ser cierto, pero el propio NSO Group tiene una serie de otros nombres, incluidos Q Cyber Technologies en Israel y OSY Technologies en Luxemburgo. Tiene un ala norteamericana llamada Westbridge. Sus empleados están distribuidos por todo el planeta. Los medios israelíes han informado sobre los vínculos de la compañía con algunas empresas ficticias y acuerdos bizantinos.

A lo largo de los años, ha operado una red confusa de distintas empresas en todo el mundo, y este laberinto corporativo ha hecho que sea casi imposible comprender sus negocios y acciones, una tarea crucial cuando las herramientas de hackeo pueden ser explotadas por gobiernos autoritarios con consecuencias devastadoras.

Entonces, ¿cómo se asumiría la responsabilidad? Cuando el Grupo NSO apareció por primera vez, el pacto crucial de control de la exportación de armas entre 42 países, el Acuerdo de Wassenaar, no tenía ninguna dimensión cibernética. Israel no tenía ninguna ley sobre la ciberexportación. Ahora, el Ministerio de Defensa de Israel se rige por la Ley de Control de Exportaciones de Defensa del país (según los informes, a NSO Group nunca se le ha negado una licencia de exportación), pero a escala global, el sector de hackeo permanece en gran parte oculto, opaco e inexplicable a pesar de su creciente poder y capacidades.

Hulio admite: "Hay lagunas. No todos los países forman parte del Acuerdo de Wassenaar. Realmente creo que es muy difícil trabajar a nivel internacional. Obviamente, es una gran idea, pero al igual que hay países que actúan como paraísos fiscales, existen países que sirven como paraísos de regulación de exportaciones. Esos países necesitan mecanismos globales de regulación".

¿Quién está en el punto de mira?

Desde el incidente de Mansoor, se han denunciado decenas de abusos por parte de los usuarios de la tecnología de NSO. Cuando se producen tales acusaciones, NSO inicia una investigación. Si los informes no coinciden, NSO puede exigir registros que revelen objetivos. La mayoría de las veces, Hulio afirma el cliente admitirá que las acusaciones en su contra son ciertas, que el objetivo es real, pero que sus acciones eran legales según la ley local y el contrato que firmaron. Eso deja en manos de NSO y del cliente determinar si sus acciones realmente eran legítimas.

Gran parte de las críticas dirigidas a NSO Group se producen cuando los investigadores aseguran que Pegasus se utiliza contra abogados, activistas de derechos humanos, periodistas y políticos. Pero Hulio explica que el contexto puede justificar tales acciones: estas personas pueden ser objetivos legítimos de vigilancia siempre que se cumpla la ley. Señala los hechos relacionados con la captura en 2014 del narcotraficante mexicano Joaquín "El Chapo" Guzmán. Aunque nunca lo ha confirmado públicamente, NSO Group lleva años promocionando en privado su papel en esta operación.

Hulio cuenta: "El Chapo se escapó de la cárcel. Las personas como el Chapo o [el líder de ISIS, Omar Bakr] al-Baghdadi no llevan teléfonos inteligentes. Cuando el Chapo se escapó, pensaron que probablemente a su abogado en algún momento llamaría, así que había que intentar interceptar al abogado. El abogado no es una mala persona, y no digo que estuvimos involucrados. El abogado por sí solo no es sospechoso de actividad delictiva, pero El Chapo, que es un delincuente, va a llamar a su abogado y la única forma de atraparlo es interceptando a su abogado".

Es el tipo de caso fácil de justificar. Un capo de la droga asesino, la acción policial extrema, los principales sospechosos. Pero la mayoría de las acusaciones de mal uso no se parecen al caso de El Chapo. Los países del Golfo han sido acusados en repetidas ocasiones de usar Pegasus para atacar a la oposición política, lo que luego resultaba en cargos falsos por ofender a las familias reales o similares.

Hulio asegura que a menudo se acusa a NSO de un trabajo del que son responsables otras empresas de software espía. Y añade: "Cuando vendemos un sistema hacemos preguntas muy difíciles, pero no estoy seguro de que todo los demás hagan lo mismo. No tengo ningún problema en sentarme frente al ministro de Defensa de un país, o al jefe de Policía, o con el servicio secreto y preguntarles: ¿Para qué se usa? ¿Cuál es el objetivo? ¿Cuál es la misión? ¿Cuáles son las investigaciones? ¿Cuál es el proceso que se utiliza? ¿Cómo se analizan los datos? ¿Quién debe aprobar cada objetivo? ¿Cuál es la ley específica en su país? ¿Cómo funciona? Pero a muchas empresas no le interesan estas preguntas. Tienen un objetivo: vender. Lo venderán porque ganarán un buen dinero para ellos".

Hemos completado el círculo y regresamos a una densa maraña de secretos. El dinero fluye, los abusos siguen ocurriendo y las herramientas de hackeo están proliferando: nadie lo discute.

Pero, ¿quién es responsable cuando unos brutales autoritarios acceden a un software espía de última generación para usarlo contra sus oponentes? Este oscuro mundo se está volviendo más negro y las respuestas son cada vez más difíciles de encontrar.