Inside NSO, el gigante de software espía de mil millones de dólares de Israel


NSO enfrentó tales acusaciones en silencio durante mucho tiempo. Al afirmar que gran parte de su negocio es un secreto de estado israelí, apenas ha proporcionado detalles públicos sobre sus operaciones, clientes o salvaguardias.

Ahora, sin embargo, la empresa sugiere que las cosas cambien. En 2019, NSO, que era propiedad de una firma de capital privado, fue comprada a sus fundadores y a otra firma de capital privado, Novalpina, por mil millones de dólares. Los nuevos propietarios decidieron una nueva estrategia: salir de las sombras. La compañía contrató firmas de relaciones públicas de élite, redactó nuevas directrices de derechos humanos y desarrolló nuevos documentos de autogobierno. Incluso mostró algunos de sus otros productos, como un sistema de seguimiento Covid-19 llamado Fleming y Eclipse, que puede piratear drones, que se consideran una amenaza para la seguridad.

Durante varios meses he hablado con la dirección de la OSN para comprender cómo funciona la empresa y qué hace para prevenir los abusos a los derechos humanos que se cometen con sus herramientas. He hablado con sus críticos que lo ven como una amenaza a los valores democráticos. para aquellos que quieren una mayor regulación del negocio de la piratería informática; ya los reguladores israelíes que son responsables de ello hoy. Los ejecutivos de la compañía discutieron el futuro de NSO, sus políticas y procedimientos para solucionar problemas y compartieron documentos que detallan su relación con las agencias a las que se vende Pegasus y otras herramientas. Lo que encontré fue un próspero traficante de armas: los empleados de la empresa reconocen que Pegasus es un arma real, lidiando con nuevos estándares que amenazan los cimientos mismos de toda su industria.

“Una tarea difícil”

Desde el día en que Shmuel Sunray se unió a NSO como Consejero General, enfrentó un incidente internacional tras otro. Establecido pocos días después de presentar la demanda de WhatsApp, descubrió que había otros problemas legales esperando en su escritorio tan pronto como llegó. Todos se centraron en la misma acusación básica: las herramientas de piratería del Grupo NSO se venden y pueden ser utilizadas indebidamente por regímenes ricos y represivos con poca o ninguna responsabilidad.

Sunray tenía mucha experiencia con el secreto y la controversia: anteriormente fue vicepresidente de un gran fabricante de armas. En varias conversaciones se mostró amistoso cuando me dijo que los propietarios le habían dado instrucciones para cambiar la cultura y las operaciones de NSO, hacerlas más transparentes y tratar de prevenir abusos contra los derechos humanos. Pero obviamente también estaba frustrado con el secreto que le impedía responder a las críticas.

"Es una tarea difícil", me dijo Sunray por teléfono desde la sede de la empresa en Herzliya, al norte de Tel Aviv. “Entendemos el desempeño de la herramienta. Entendemos los efectos del mal uso de la herramienta. Estamos tratando de hacer lo correcto. Tenemos desafíos reales al tratar con el gobierno, la inteligencia, la confidencialidad, las necesidades operativas y las limitaciones operativas. No es un caso clásico de abusos a los derechos humanos corporativos porque no operamos los sistemas, en realidad no estamos involucrados en el funcionamiento real de los sistemas, pero entendemos que existe un riesgo real de abuso por parte del cliente. Intentamos encontrar el equilibrio adecuado. “

Esto sustenta el argumento fundamental de NSO que es común entre los fabricantes de armas: la empresa es la creadora de tecnología que utilizan los gobiernos, pero no ataca a nadie, no puede ser considerada responsable.

Sin embargo, según Sunray, existen varios niveles de protección para garantizar que las personas equivocadas no puedan acceder.

Make Selling

Como la mayoría de los otros países, Israel tiene controles de exportación que requieren que los fabricantes de armas tengan licencia y estén sujetos a la supervisión del gobierno. Además, NSO hace su propia diligencia debida, dice Sunray: sus empleados investigan un país, miran su historial de derechos humanos y revisan sus relaciones con Israel. Evalúan el historial de corrupción, seguridad, finanzas y abuso de la agencia respectiva y consideran cuánto necesitan para la herramienta.

A veces, los negativos se comparan con los positivos. Marruecos, por ejemplo, tiene un historial de derechos humanos en deterioro, pero una larga historia de trabajo con Israel y Occidente en materia de seguridad y un problema real de terrorismo. Como resultado, se informó que se aprobó una venta. Por el contrario, NSO ha dicho que China, Rusia, Irán, Cuba, Corea del Norte, Qatar y Turquía se encuentran entre las 21 naciones que nunca serán clientes.

Finalmente, antes de que se realice una venta, el Comité de Gobernanza, Riesgo y Cumplimiento Normativo por NSO debe darse de baja. La compañía dice que el comité formado por gerentes y accionistas puede rechazar las ventas o agregar condiciones como restricciones tecnológicas que se deciden caso por caso.

Prevención del abuso

Una vez que se ha acordado una venta, las barandillas tecnológicas previenen ciertos tipos de abuso. Por ejemplo, Pegasus no permite que los números de teléfono estadounidenses se infecten, dice NSO, y los teléfonos infectados ni siquiera pueden ubicarse físicamente en los Estados Unidos: si se encuentra dentro de las fronteras estadounidenses, se dice que el software de Pegasus se autodestruye.

Según la NSO, los números de teléfono israelíes, entre otras cosas, también están protegidos, pero no está claro quién más está protegido y por qué.

Cuando se recibe un informe de abuso, se reúne un equipo ad hoc de hasta 10 empleados de NSO para investigar. Preguntan al cliente sobre las acusaciones y solicitan registros de datos de Pegasus. Estos registros no contienen el contenido que extrajo el software espía, como chats o correos electrónicos (NSO insiste en que no se muestra información específica), sino metadatos como una lista de todos los teléfonos que el software espía intentó infectar y sus ubicaciones. en este momento.

Según un contrato reciente que recibí, a los clientes "sólo se les permite usar el sistema para detectar, prevenir e investigar delitos y terrorismo y asegurarse de que el sistema no se utilice para abusos de derechos humanos". Debe notificar a la empresa de cualquier posible abuso. NSO dice que ha rescindido tres contratos en el pasado por violaciones, incluido el abuso de Pegasus, pero se niega a decir qué países o autoridades estuvieron involucrados o quiénes fueron las víctimas.

"No somos ingenuos"

La falta de transparencia no es el único problema: las medidas de protección tienen límites. Si bien el gobierno israelí puede revocar la licencia de la NSO por violaciones de las leyes de exportación, los reguladores no buscan abusos por parte de clientes potenciales y no participan en las investigaciones de abuso de la empresa.

Muchos de los otros métodos también son solo reactivos. NSO no tiene un equipo de abuso interno permanente, a diferencia de casi todas las otras empresas de tecnología de mil millones de dólares, y la mayoría de sus investigaciones solo se llevan a cabo cuando una fuente externa como Amnistía Internacional o Citizen Lab afirma que ha habido irregularidades. El personal de NSO interrogó a las agencias y clientes investigados, pero no habló con las presuntas víctimas. La compañía a menudo niega los informes técnicos ofrecidos como prueba, pero también afirma que tanto el secreto de estado como el secreto comercial impiden que se comparta más información.

Los Protocolos de Pegasus, que son fundamentales para cualquier investigación de abuso, también plantean muchas preguntas. Los clientes de NSO Group son piratas informáticos que trabajan para agencias de espionaje. ¿Qué tan difícil sería para ellos manipular los registros? En un comunicado, la compañía insistió en que no era posible, pero se negó a ofrecer detalles.

Si no se disputan los registros, NSO y sus clientes decidirán conjuntamente si los objetivos son legítimos, si se han cometido delitos reales y si la vigilancia se llevó a cabo de acuerdo con la ley correspondiente o si los regímenes autocráticos estaban espiando a los oponentes.

Sunray, visiblemente molesto, dice que siente que el secreto lo obliga a operar con las manos detrás de la espalda.

"Es frustrante", me dijo. "No somos ingenuos. Ha habido abusos. Habrá abusos. Vendemos a muchos gobiernos. Incluso el gobierno de los Estados Unidos, ningún gobierno es perfecto. El abuso puede ocurrir y debe abordarse".

ARIEL DAVIS

Sunray Sin embargo, también vuelve a la respuesta estándar de la compañía, el argumento que respalda su defensa en la demanda de WhatsApp: NSO es un fabricante, pero no el operador, del software espía. Nosotros lo construimos, pero lo hicieron han pirateado – y son naciones soberanas.

Eso no es suficiente para muchos críticos. "Ninguna empresa que crea que puede ser el perro guardián independiente de sus propios productos me convence jamás", dice Marietje Schaake, política holandesa y Ex miembro del Parlamento Europeo "Toda la idea de que tienen sus propios mecanismos y no tienen problemas para vender software espía comercial a cualquiera que lo compre". öchte, sabiendo que se utilizará contra defensores de los derechos humanos y periodistas, creo que muestra la falta de responsabilidad de esta empresa más que nada. “

Entonces, ¿por qué el impulso interno de una mayor transparencia ahora? Debido a la avalancha de informes técnicos de grupos de derechos humanos, la demanda de WhatsApp y el creciente control del gobierno amenazan el status quo de NSO. Y si va a haber un nuevo debate sobre cómo se regula la industria, vale la pena tener una voz fuerte.

Control creciente

La piratería legal y el ciberespionaje han crecido enormemente como empresa durante la última década, sin signos de retroceso. Los dueños anteriores de NSO Group compraron la compañía por $ 130 millones en 2014, menos de una séptima parte de la valoración que vendió el año pasado. El resto de la industria también se está expandiendo, beneficiándose de la expansión de la tecnología de las comunicaciones y la profundización de la inestabilidad global. "No hay duda de que todo estado tiene derecho a comprar esta tecnología para combatir el crimen y el terrorismo", dice Danna Ingleton, subdirectora de Amnistía Internacional. “Los Estados pueden utilizar estos instrumentos de manera justa y legítima. Sin embargo, esto debe ir de la mano de un sistema regulador que prevenga el abuso y proporcione un mecanismo de rendición de cuentas cuando se ha producido un abuso. “Arrojar una luz mucho más brillante sobre la industria de la piratería permitirá una mejor regulación y responsabilidad.

A principios de este año, Amnistía Internacional acudió a los tribunales de Israel con el argumento de que el Departamento de Defensa debería revocar la licencia de NSO por abuso de Pegasus. Pero justo cuando comenzaba el caso, a los funcionarios de Amnistía ya otros 29 peticionarios se les pidió que abandonaran la sala del tribunal: se emitió una orden de silencio a instancias del Ministerio. Luego, en julio, un juez inmediatamente desestimó el caso.

"No creo en principio ni legalmente que NSO pueda reclamar una total falta de responsabilidad por la forma en que se utilizan sus herramientas", dice la Relatora Especial de Naciones Unidas Agnès Callamard. "No es así como funciona según el derecho internacional".

Callamard asesora a las Naciones Unidas sobre ejecuciones extrajudiciales y ha hablado sobre el NSO Group y la industria del software espía desde que se reveló que Pegasus se utilizó poco tiempo para espiar a amigos y asociados de Khashoggi antes de ser asesinado. Para ellos, el problema tiene consecuencias de vida o muerte.

Si NSO pierde el caso de WhatsApp, un abogado interroga a todas las empresas que se ganan la vida encontrando y explotando errores de software.

“No estamos pidiendo nada radicalmente nuevo”, le dice a Callamard. "Decimos que lo que existe actualmente está resultando insuficiente. Por lo tanto, los gobiernos o reguladores deben cambiar de marcha rápidamente". La industria se está expandiendo y debería expandirse sobre la base del marco apropiado para regular el abuso. Es importante para la paz mundial. “

Se ha pedido una moratoria temporal de ventas hasta que entre en vigor una regulación más estricta, pero no está claro cómo sería este marco legal. A diferencia de las armas convencionales, que están sujetas a diversas leyes internacionales, las armas cibernéticas no están actualmente reguladas por un acuerdo global de control de armas. Y aunque se han propuesto tratados de no proliferación, hay poca claridad sobre cómo medirían las capacidades existentes, cómo funcionaría la vigilancia o el cumplimiento, o cómo las reglas se mantendrían al día con los rápidos desarrollos tecnológicos. En cambio, la mayor parte del control ahora tiene lugar a nivel legal nacional.

En Estados Unidos, tanto el FBI como el Congreso están investigando un posible pirateo de objetivos estadounidenses, mientras que una investigación dirigida por la oficina del senador Ron Wyden busca averiguar si los estadounidenses están involucrados en la exportación de tecnología de vigilancia a gobiernos autoritarios. Un proyecto de ley de inteligencia de EE. UU. Publicado recientemente requeriría un informe del gobierno sobre tecnología de vigilancia y software espía comercial.

La demanda de WhatsApp ahora se ha centrado en el negocio principal de NSO. El gigante de Silicon Valley argumenta que al apuntar a los residentes de California, es decir, WhatsApp y Facebook, NSO ha hecho que la corte de San Francisco sea jurisdicción y que el juez en el caso puede evitar que la compañía israelí intente utilizar WhatsApp y Facebook en el futuro. Abusar de Facebook. Eso abre la puerta a una multitud de posibilidades: Apple, cuyo iPhone ha sido un objetivo principal de NSO, podría lanzar un ataque legal similar. Google también detectó NSO apuntando a dispositivos Android.

Y el daño financiero no es la única espada que pende sobre la cabeza de NSO. Tales demandas también conllevan el riesgo de que se descubran en la sala del tribunal, lo que tiene el potencial de revelar detalles de los acuerdos y clientes de NSO.

"Mucho depende de cómo decida exactamente el tribunal y cuán ampliamente caracterice la violación que se dice que NSO cometió aquí", dice Alan Rozenshtein, ex abogado del Departamento de Justicia de la Facultad de Derecho de la Universidad de Minnesota. “Si NSO pierde este caso, al menos desafiará a todas las empresas que fabrican sus productos o se ganan la vida al encontrar errores en el software de mensajería y brindar servicios que aprovechen esos errores. Esto crea suficiente inseguridad jurídica como para imaginar que estos prospectos se lo pensarían dos veces antes de firmar un contrato con ellos. No saben si la empresa seguirá funcionando, si será llevada a los tribunales o si se revelarán sus secretos. "NSO se negó a comentar sobre el presunto pirateo de WhatsApp, ya que todavía es un caso activo.

" Siempre nos están espiando "

En Marruecos, Maâti Monjib estuvo expuesto a al menos otros cuatro ataques de piratería en 2019 En un momento, el navegador de su teléfono fue redirigido de manera invisible a un dominio sospechoso que los investigadores sospechan que podría haber sido utilizado para no supervisar la instalación de malware en lugar de un mensaje de texto que activaría la alarma y dejaría un rastro visible. mayo, este fue un ataque de inyección en la red mucho más silencioso, una táctica valorada porque es casi imperceptible excepto para los expertos.

El 13 de septiembre de 2019, Monjib estaba almorzando en su casa con su amigo Omar Radi, un periodista marroquí, quien es uno de los críticos más feroces del régimen. Ese mismo día, una investigación descubrió más tarde, Radi tenía el mismo tipo de Ataques de inyección de red que capturaron a Monjib. La campaña de piratería contra Radi duró al menos hasta enero de 2020, dijeron investigadores de Amnistía Internacional. Desde entonces, ha sido acosado regularmente por la policía.

Al menos otros siete marroquíes recibieron advertencias de WhatsApp de que se estaba utilizando a Pegasus para espiar sus teléfonos, incluidos activistas de derechos humanos, periodistas y políticos. ¿Son estos los objetivos legítimos del espionaje – terroristas y criminales – establecidos en el contrato que firman Marruecos y todos los clientes de NSO?

En diciembre, Monjib y las otras víctimas enviaron una carta a la Agencia Marroquí de Protección de Datos solicitando una investigación y acción. Formalmente no salió nada de eso, pero uno de los hombres, el economista prodemocracia Fouad Abdelmoumni, dijo que sus amigos de alto rango en la agencia le habían dicho que la carta no tenía remedio y le dijeron que dejara el asunto. El gobierno marroquí ha amenazado con desalojar a Amnistía Internacional del país.

Lo que está sucediendo en Marruecos es un símbolo de lo que está sucediendo en todo el mundo. Si bien está claro que las democracias son los principales beneficiarios de la piratería legítima, una lista larga y creciente de investigaciones públicas, técnicas y creíbles muestra que Pegasus está siendo abusada por regímenes autoritarios con largos antecedentes de abusos a los derechos humanos.

"Marruecos es un país bajo un régimen autoritario que cree que la gente como Monjib y yo debemos ser destruidos", dice Abdelmoumni. “Para destruirnos, el acceso a toda la información es clave. Siempre pensamos que nos están espiando. Toda nuestra información está en manos del palacio. "

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *