Este fin de semana, un grupo de medios de comunicación internacionales publicó los hallazgos de una investigación sobre el uso de Pegasus, el software espía más destacado de la misteriosa y multimillonaria empresa israelí de vigilancia NSO Group.

Los reportajes de The Guardian, The Washington Post y otros 15 medios de comunicación se basan en la filtración de decenas de miles de números de teléfono que parecen haber sido atacados por Pegasus. Si bien los dispositivos asociados con los números en la lista no estaban necesariamente infectados con el software espía, los medios pudieron usar los datos para concluir que los periodistas y activistas en muchos países fueron atacados y, en algunos casos, hackeados con éxito.

Las filtraciones indican el alcance de lo que los periodistas y expertos en ciberseguridad llevan avisando desde hace años: que mientras NSO Group afirma que su software espía está diseñado para atacar a criminales y terroristas, sus aplicaciones reales son mucho más amplias. (La empresa emitió una declaración en respuesta a la investigación, negando que sus datos se filtraran y que cualquiera de los informes resultantes fuera cierto).

Mi colega Patrick Howell O'Neill lleva tiempo informando sobre las denuncias contra la empresa NSO Group, que "ha sido relacionada con el asesinato del periodista saudí Jamal Khashoggi, con el ataque a los científicos y activistas que presionan por una reforma política en México, y con la vigilancia de políticos separatistas catalanes por el Gobierno español", escribió en agosto de 2020. En el pasado, NSO ha negado estas acusaciones, pero también ha argumentado que no se le puede responsabilizar si los gobiernos hacen un mal uso de la tecnología que les vende.

El argumento central de la empresa, escribimos en aquel momento, es "común entre los fabricantes de armas". Es decir: "La empresa es la creadora de una tecnología que utilizan los gobiernos, pero que, dado que no ataca a nadie por sí misma, no puede ser considerada responsable".

Las filtraciones son una herramienta importante para comprender cómo se usa Pegasus, en parte porque a los investigadores les cuesta mucho detectar el software cuando está en los dispositivos. En marzo, un investigador del organismo de control de ciberseguridad Citizen Lab, dedicado a analizar el software, explicó cómo las altas medidas de seguridad de Apple habían permitido a NSO violar la seguridad del iPhone, pero bloquear a los investigadores.

"Es un arma de doble filo. Mantiene alejada a una gran parte de la gente depravada dificultando el acceso a los iPhone. Pero el 1 % de los mejores hackers va a encontrar la forma de entrar y, una vez dentro, la impenetrable fortaleza del iPhone los protege", dijo el principal investigador de Citizen Lab, Bill Marczak. 

No es la primera vez que la empresa NSO se ve envuelta en un escándalo. Facebook ha denunciado a esta compañía por acusaciones de que Pegasus manipuló la infraestructura de WhatsApp para infectar a más de 1.400 teléfonos móviles. Facebook ha asegurado en los documentos judiciales que su propia investigación ha identificado a más de 100 defensores de derechos humanos, periodistas y otros miembros de la sociedad civil como blanco de Pegasus.

En agosto pasado, el director ejecutivo y cofundador de NSO Group, Shalev Hulio, dijo a MIT Technology Review que sabía que su empresa había sido "acusada, y con razón, de no ser lo suficientemente transparente" y que su industria debería ser más responsable de su secretismo, especialmente porque sus métodos se volvían más difíciles de detectar por los investigadores y agentes de seguridad externos.

Como señala The Washington Post, NSO Group no proporciona detalles sobre sus clientes, respetando la confidencialidad. Hace dos semanas, la empresa publicó su primer Informe de transparencia y rendición de cuentas, donde reveló que tiene 60 clientes en 40 países. La mayoría de los clientes son agencias de inteligencia o fuerzas del orden.