El profesor de historia de la Universidad Mohammed V en Rabat (Marruecos) Maâti Monjib habla despacio, como una persona que sabe que la están escuchando. El día que hablamos era su 58 cumpleaños, pero en su voz no se notaba demasiada celebración. Me dijo: "La vigilancia es infernal. Es realmente difícil. Controla todo lo que hago en mi vida".

Monjib recuerda vívidamente el día en que cambió su vida en 2017. Acusado de poner en peligro la seguridad del estado por el Gobierno que él había criticado intensa y públicamente, estaba sentado delante de la sala de audiencias cuando su iPhone se iluminó repentinamente por una serie de mensajes de texto de números que no conocía. Contenían enlaces a noticias provocativas, peticiones e incluso ofertas de compras del Black Friday. 

Un mes después, apareció un artículo acusándolo de traición en un popular sitio de noticias nacionales con estrechos vínculos con los gobernantes reales de Marruecos. Monjib estaba acostumbrado a estos ataques, pero ahora parecía que sus acosadores lo sabían todo sobre él: otro artículo incluía información sobre un evento a favor de la democracia al que estaba previsto que asistiera, pero del que casi nadie sabía. Un reportaje incluso decía : "[El profesor] no tiene secretos para nosotros".

Lo habían hackeado. Todos los mensajes llevaban a los sitios web que, según los investigadores, se crearon a modo de señuelo para infectar los dispositivos de los visitantes con Pegasus, el software espía más famoso del mundo. 

Pegasus es un exitoso producto de la misteriosa y multimillonaria empresa de vigilancia israelí NSO Group. Se vende a agencias policiales y de inteligencia de todo el mundo, que utilizan las herramientas de la empresa contra objetivos humanos. Infectan el teléfono de la persona con el software espía y luego controlan el dispositivo. Si Pegasus entra en un teléfono, el aparato deja de pertenecer a su propietario.

Foto: El profesor y activista por la libertad de expresión marroquí Maâti Monjib ha sido espiado por su Gobierno durante años. "La vigilancia es infernal", asegura. Créditos: GETTY

NSO promociona Pegasus igual que los traficantes de armas venden armas convencionales: presentándolo como una ayuda crucial en la búsqueda de terroristas y criminales. En la era de tecnología ubicua y fuertes cifrados, este tipo de "piratería legal" se ha convertido en una herramienta poderosa para la seguridad pública cuando las fuerzas del orden necesitan acceder a los datos. NSO insiste en que la gran mayoría de sus clientes son democracias europeas, aunque eso nunca se ha verificado porque no hace públicas las listas de clientes y los propios países guardan silencio. 

No obstante, el caso de Monjib forma parte de un largo historial de incidentes en los que Pegasus fue utilizado como herramienta de opresión. Se ha relacionado con el asesinato del periodista saudí Jamal Khashoggi, con el ataque a científicos y activistas que presionan por una reforma política en México y con la vigilancia de políticos separatistas catalanes por el Gobierno español. México y España han negado haber usado a Pegasus para espiar a los oponentes, pero las acusaciones de que sí lo hicieron están respaldadas por las pruebas técnicas sustanciales.

El argumento principal de NSO es que la empresa es la creadora de una tecnología que utilizan los gobiernos, pero que, dado que no ataca a nadie por sí misma, no puede ser considerada responsable.

Parte de esa evidencia se incluye en la demanda presentada por WhatsApp y su empresa matriz, Facebook, en octubre pasado en California (EE. UU.), en la que alega que Pegasus manipuló la infraestructura de WhatsApp para infectar más de 1.400 teléfonos móviles. Según los documentos judiciales, los investigadores de Facebook encontraron entre los objetivos a más de 100 defensores de los derechos humanos, periodistas y personas públicas. Han descubierto que cada llamada que contestaban enviaba un código malicioso a través de la infraestructura de WhatsApp y provocaba que el teléfono del destinatario descargara software espía de los servidores propiedad de NSO. WhatsApp argumentó que eso viola la ley estadounidense.

NSO lleva mucho tiempo enfrentándose a tales acusaciones en silencio. Al afirmar que gran parte de su negocio es un secreto de estado israelí, ha ofrecido muy pocos detalles públicos sobre sus operaciones, clientes o salvaguardias. 

Sin embargo, actualmente, la compañía sugiere que las cosas están cambiando. En 2019, NSO, que era propiedad de una empresa de capital privado, fue vendida a sus fundadores y a otra empresa de capital privado, Novalpina, por unos 835 millones de euros. Los nuevos propietarios decidieron una nueva estrategia: emerger de las sombras. La empresa contrató a varias compañías de relaciones públicas de élite, elaboró nuevas políticas de derechos humanos y desarrolló nuevos documentos de autogobierno. Incluso empezó a mostrar algunos de sus otros productos, como el sistema de seguimiento de COVID-19, Fleming, y Eclipse, capaz de piratear drones considerados amenaza para la seguridad.

Durante varios meses, he hablado con los líderes de NSO para comprender cómo funciona la empresa y qué afirman que hacen para prevenir los abusos de derechos humanos que se cometen con sus herramientas. He hablado con sus críticos, que lo ven como un peligro para los valores democráticos e instan a una mayor regulación del negocio de la piratería informática; y con los reguladores israelíes responsables de su actual funcionamiento.

Los directivos de la compañía hablaron sobre el futuro de NSO y de sus políticas y procedimientos para lidiar con los problemas, y compartieron algunos documentos que detallan su relación con las agencias a las que venden Pegasus y otras herramientas. Lo que descubrí fue un próspero traficante de armas (dentro de la empresa, los empleados reconocen que Pegasus es un arma genuina) que lucha con nuevos niveles de control que amenazan los cimientos de toda su industria.

"Una tarea difícil"

Desde el primer día que Shmuel Sunray se unió a NSO como Director Jurídico, se enfrentó con un incidente internacional tras otro. Contratado pocos días después de presentarse la demanda de WhatsApp, se topó con otros problemas legales nada más llegar. Todos se centraban en la misma acusación fundamental: las herramientas de piratería de NSO Group se venden a regímenes ricos y represivos que pueden usarlas para cometer abusos con poca o ninguna responsabilidad. 

Sunray tenía mucha experiencia en temas de confidencialidad y controversia: su anterior trabajo había sido el de vicepresidente de un importante fabricante de armas. Durante varias conversaciones, amablemente me contó que los propietarios de la empresa le habían solicitado que cambiara la cultura y las operaciones de NSO, para hacerlas más transparentes y evitar que se cometieran abusos contra los derechos humanos. Pero también estaba frustrado por el secretismo que le impedía responder a las críticas. 

Cuando hablé con él por teléfono desde la sede de la empresa en Herzliya, al norte de Tel Aviv (Israel), me dijo: "Es una tarea difícil. Entendemos el poder de la herramienta; comprendemos el impacto del mal uso de la herramienta. Intentamos hacer lo correcto. Tenemos verdaderos desafíos relacionados con el Gobierno, con las agencias de inteligencia, la confidencialidad, las necesidades operativas, las limitaciones operativas. No es un caso convencional de abuso de derechos humanos por parte de una empresa, porque no operamos los sistemas, no estamos involucrados en los usos reales de los sistemas, pero entendemos que existe un riesgo real de uso indebido por parte de los clientes. Estamos intentando encontrar el equilibrio adecuado".

Esto sustenta el argumento fundamental de NSO, y que es común entre los fabricantes de armas: la empresa es la creadora de una tecnología que usan los gobiernos, pero no ataca a nadie por sí misma, por lo que no puede ser considerada responsable. Aun así, según Sunray, existen varias capas de protección para intentar asegurarse de que las personas equivocadas no tengan acceso.

La venta

Como la mayoría de los demás países, Israel realiza controles de exportación que requieren que los fabricantes de armas tengan licencia y estén sujetos a la supervisión del Gobierno. Además, según Sunray, NSO lleva a cabo sus propios procesos de seguridad: su personal examina el país de origen de quien quiere comprar su producto, analiza su historial de derechos humanos y comprueba su relación con Israel, evalúan el pasado de la agencia en cuestión en materia de corrupción, seguridad, finanzas y abuso, además de calcular su interés particular de la herramienta. 

A veces, los puntos negativos se equilibran con los positivos. Marruecos, por ejemplo, tiene malos antecedentes en cuestiones de derechos humanos, pero un largo historial de cooperación con Israel y Occidente en materia de seguridad, así como un verdadero problema de terrorismo, por lo que, según los informes, la venta fue aprobada. En cambio, NSO afirma que China, Rusia, Irán, Cuba, Corea del Norte, Qatar y Turquía se encuentran entre los 21 países que nunca serán sus clientes.

Finalmente, antes de formalizar la venta, debe ser aprobada por el Comité de Dirección, Riesgos y Cumplimiento de NSO. La empresa asegura que este comité, compuesto por directivos y accionistas, puede rechazar alguna venta o añadir condiciones adicionales, como restricciones tecnológicas, que se deciden caso por caso. 

Prevenir el abuso

Si la venta acaba siendo aprobada, la compañía asegura que dispone de algunas medidas tecnológicas para prevenir ciertos tipos de abuso. Por ejemplo, Pegasus no permite que se infecten los números de teléfono estadounidenses, según NSO, y un teléfono infectado ni siquiera puede estar físicamente en Estados Unidos: si se encuentra dentro de las fronteras estadounidenses, se supone que el software de Pegasus se autodestruye. 

NSO afirma que los números de teléfono israelíes también están protegidos, entre otros, aunque no se sabe quién más obtiene esa protección y por qué.

Cuando les llega un informe de abuso, la empresa crea un equipo ad hoc de hasta 10 empleados de NSO para investigarlo. Ese grupo habla con el cliente sobre las acusaciones y solicita registros de datos de Pegasus. Estos registros no contienen el contenido que el software espía ha extraído, como chats o correos electrónicos (NSO insiste en que nunca ve esa información específica), sino metadatos como una lista de todos los teléfonos que el software espía intentó infectar y sus ubicaciones en ese momento. 

Según un contrato reciente al que pude acceder, los clientes deben "usar el sistema solo para la detección, prevención e investigación de delitos y terrorismo, y asegurarse de que no se utilice para violar los derechos humanos". Asimismo, deben informar a la empresa sobre el posible uso indebido. NSO afirma que en el pasado ha rescindido tres contratos por infracciones, incluido el abuso de Pegasus, pero se niega a concretar qué países o agencias estaban involucrados o quiénes fueron las víctimas.

"No somos ingenuos"

La falta de transparencia no es el único problema: las salvaguardas tienen límites. Si bien el Gobierno israelí puede revocar la licencia de NSO por violaciones de la ley de exportación, los reguladores no se encargan de buscar los abusos por parte de los posibles clientes y no participan en las investigaciones de abuso de la compañía. 

Muchos de los demás procedimientos también son puramente reactivos. NSO no tiene un equipo interno permanentemente dedicado a detectar abusos, a diferencia de casi cualquier otra empresa multimillonaria de tecnología, y la mayoría de sus investigaciones se inician solo cuando una fuente externa como Amnistía Internacional o Citizen Lab alerta de alguna irregularidad. El personal de NSO habla con las agencias y los clientes en cuestión, pero no habla con las presuntas víctimas, y aunque la empresa a menudo discute los informes técnicos ofrecidos como evidencia, también afirma que tanto el secreto de estado como la confidencialidad comercial le impiden compartir más información. 

Los registros de Pegasus, cruciales para cualquier investigación de abuso, también plantean muchas dudas. Los clientes de NSO Group son hackers que trabajan para las agencias de espionaje; ¿les costará mucho manipular los registros? En un comunicado, la empresa insistió en que esto no era posible, pero no quiso dar más detalles.

Si los registros no resultan cuestionables, NSO y sus clientes decidirán conjuntamente si los objetivos son legítimos, si se han cometido verdaderos crímenes y si la vigilancia se realizó bajo el debido proceso legal o si los regímenes autocráticos espiaron a los oponentes. 

Sunray, claramente exasperado, admite que siente como si la confidencialidad lo obligara a trabajar con las manos atadas. Me dijo: "Es frustrante. No somos ingenuos. Ha habido usos indebidos y habrá más. Vendemos a muchos gobiernos. Incluso al Gobierno de Estados Unidos, ningún gobierno es perfecto. El uso indebido puede ocurrir y debe abordarse".

Pero Sunray también vuelve a dar la respuesta habitual de la empresa, al argumento que sustenta su defensa en la demanda de WhatsApp: NSO es el fabricante, pero no es el operador del software espía. Nosotros lo construimos, pero ellos efectúan el hackeo, y son naciones soberanas.

Para muchos de sus críticos, esto no es suficiente. La política holandesa y antigua diputada del Parlamento Europeo Marietje Schaake afirma: "No me convence ninguna empresa que se crea capaz de ser el perro guardián independiente de sus propios productos. La idea de que tienen sus propios mecanismos y no tienen problemas para vender software espía comercial a quien quiera comprarlo, sabiendo que se usa contra los defensores de derechos humanos y periodistas, creo que muestra más que nada la falta de responsabilidad de esta empresa".

Entonces, ¿a qué se debe el nuevo impulso interno de la compañía a una mayor transparencia? A que la avalancha de informes técnicos de los grupos de derechos humanos, la demanda de WhatsApp y el creciente control gubernamental amenazan el statu quo de NSO. Y si va a haber un nuevo debate sobre cómo se regula este sector, quiere tener una voz potente. 

Cada vez más control

El negocio de la piratería legal y el ciberespionaje han crecido enormemente durante la última década, sin signos de retroceso. Los anteriores propietarios de NSO Group compraron la empresa en 2014 por 109 millones de euros, menos de una séptima parte del valor por el que se vendió el año pasado. El resto del sector también está creciendo, beneficiándose de la expansión de la tecnología de las comunicaciones y de la profunda inestabilidad global. 

La subdirectora de Amnistía Internacional, Danna Ingleton, subraya: "No hay duda de que cualquier estado tiene derecho a comprar esta tecnología para combatir el crimen y el terrorismo. Los gobiernos pueden utilizar estas herramientas de manera legítima y legal. Pero eso debe ir acompañado más de un sistema regulatorio que prevenga los abusos y proporcione un mecanismo de asumir las responsabilidades cuando ocurre un abuso". Cree que, si se arroja una luz mucho más fuerte sobre la industria del hackeo, se facilitará una mejor regulación y más responsabilidad.

A principios de este año, Amnistía Internacional argumentó en el tribunal de Israel que el Ministerio de Defensa israelí debería revocar la licencia de NSO debido a los abusos de Pegasus. Pero, justo cuando iba a comenzar el procedimiento judicial, se ordenó a los representantes de Amnistía y a otros 29 demandantes que abandonaran la sala del tribunal: se ha dictado el secreto de sumario en el proceso a instancias del ministerio. Luego, en julio, el juez desestimó este caso por completo. 

"No creo que sea una cuestión de principio ni de derecho que NSO pueda alegar una total falta de responsabilidad por el uso que sus clientes dan a sus herramientas. El derecho internacional no funciona así", opina la relatora especial de las Naciones Unidas, Agnès Callamard.

Callamard asesora a la ONU sobre ejecuciones extrajudiciales y ha hablado sobre NSO Group y la industria del software espía desde que se supo que Pegasus había sido utilizado para espiar a amigos y socios de Khashoggi poco antes de su asesinato. Para ella, el problema tiene consecuencias de vida y muerte. 

Un abogado cree que, si NSO pierde el caso contra WhatsApp, eso pondrá en duda a todas aquellas empresas que se ganan la vida buscando errores en el software y explotándolos.

Callamard añade: "No estamos pidiendo nada radicalmente nuevo. Creemos que lo que hay en este momento es insuficiente y, por lo tanto, los gobiernos y las agencias reguladoras deben cambiar rápidamente la velocidad de acción. Este sector se está expandiendo y debería hacerlo sobre la base del marco adecuado para regular el uso indebido. Es importante para la paz mundial".

Se ha pedido una moratoria temporal de las ventas de estos productos hasta que se promulgue una regulación más estricta, pero no está claro cómo sería ese marco legal. A diferencia de las armas convencionales, sujetas a diversas leyes internacionales, las ciberarmas no están reguladas por ningún acuerdo mundial de control. Y aunque se han sugerido tratados de no proliferación, sigue estando poco claro cómo se medirían las capacidades existentes, cómo funcionaría el control o el cumplimiento, o cómo las reglas se mantendrían al día con los rápidos avances tecnológicos. En cambio, la mayor parte del control actual se lleva a cabo a nivel jurídico nacional.

En EE. UU., tanto el FBI como el Congreso investigan los posibles ataques a objetivos estadounidenses, mientras que una investigación dirigida por la oficina del senador Ron Wyden quiere averiguar si algún estadounidense está involucrado en la exportación de la tecnología de vigilancia a gobiernos autoritarios. Un reciente proyecto de ley de inteligencia estadounidense requeriría un informe del Gobierno sobre la tecnología de vigilancia y del software espía comercial.

Mientras tanto, la demanda de WhatsApp, apunta al corazón del negocio de NSO. El gigante argumenta que al atacar a los residentes de California (EE. UU.), es decir, a WhatsApp y Facebook, NSO ha otorgado jurisdicción al tribunal en San Francisco (EE. UU.), y que el juez podría impedir que la compañía israelí intente usar de forma indebida las redes de WhatsApp y Facebook en el futuro. Eso abre la puerta a una gran cantidad de posibilidades: Apple, cuyo iPhone ha sido el objetivo primordial de NSO, podría preparar un posible ataque judicial similar. Google también ha detectado que NSO atacaba a dispositivos Android. 

Y los daños económicos no son la única espada que cuelga sobre la cabeza de NSO. Tales demandas también traen consigo la amenaza de lo que podría descubrirse en la sala del tribunal, con la posibilidad de que los detalles de los negocios y clientes de NSO salgan a la luz .

"Hay muchas cosas que dependen del fallo exacto del tribunal y de la considerada amplitud de la violación que NSO presuntamente cometió en este caso", explica el antiguo abogado del Departamento de Justicia estadounidense que ahora trabaja en la Facultad de Derecho de la Universidad de Minnesota (EE. UU.) Alan Rozenshtein.

Y añade: "Como mínimo, si NSO pierde este caso, eso pondría en duda a todas aquellas empresas que crean sus productos o que se ganan la vida buscando errores en el software de intercambio de mensajes y ofrecen sus servicios explotándolos. Me imagino que esto crearía suficiente inseguridad jurídica para que estos posibles clientes se lo piensen dos veces antes de contratarlos. No se sabe si la empresa seguiría operando, si acabaría en los tribunales, si se expondrían los secretos de esos clientes". NSO no ha querido comentar nada sobre el presunto hackeo de WhatsApp, ya que todavía sigue siendo un caso abierto. 

"Siempre nos espían"

En Marruecos, Maâti Monjib fue objeto de al menos cuatro más ataques de hackeo a lo largo de 2019, cada uno más avanzado que el anterior. En algún momento, el navegador de su teléfono fue redirigido de forma invisible a un dominio sospechoso que los investigadores creen que se utilizó para instalar malware de forma silenciosa. En vez de un mensaje de texto que puede crear la alarma y dejar un rastro visible, este fue un ataque de red mucho más silencioso, una táctica bastante valorada porque es casi imperceptible salvo para los investigadores expertos.

El 13 de septiembre de 2019, Monjib almorzó en su casa con su amigo y periodista marroquí Omar Radi, que es uno de los críticos más fuertes del régimen. Ese mismo día, según ha descubierto más tarde la investigación, Radi sufrió el mismo tipo de ataque de red que Monjib. La campaña de hackeo contra Radi duró al menos hasta enero de 2020, según los investigadores de Amnistía Internacional. Desde entonces ha sido objeto de acoso policial regular.

Al menos siete marroquíes más recibieron advertencias de WhatsApp sobre el uso de Pegasus para espiar sus teléfonos, incluidos activistas de derechos humanos, periodistas y políticos. ¿Son estos los tipos de objetivos de espionaje legítimo [terroristas y criminales] especificados en el contrato que firman Marruecos y los demás clientes de NSO? 

En diciembre, Monjib y las otras víctimas enviaron una carta a la autoridad de protección de datos de Marruecos solicitando una investigación y acción. No salió nada de eso formalmente, pero uno de los solicitantes, el economista prodemocrático Fouad Abdelmoumni, afirma que sus amigos de alto rango en la agencia le dijeron que la carta era inútil y lo instaron a dejar el tema. Además, el Gobierno marroquí ha respondido amenazando con expulsar a Amnistía Internacional del país.

Lo que está sucediendo en Marruecos es el gran ejemplo de lo que ocurre en todo el mundo. Si bien está claro que las democracias son las principales beneficiarias de la piratería legal, una larga y creciente lista de investigaciones públicas, técnicas y creíbles muestra que Pegasus se utiliza para cometer abusos por algunos regímenes autoritarios con largos antecedentes de violación de derechos humanos. 

Abdelmoumni concluye: "Marruecos es un país bajo un régimen autoritario que cree que las personas como Monjib y yo tenemos que ser destruidas. Para destruirnos, tener acceso a toda la información es clave. Consideramos que siempre nos espían. Toda nuestra información está en manos del palacio".