Pegasus es la emergencia de una industria privada del arma informática
La empresa israelí NSO y su controvertido programa Pegasus, en medio de un escándalo mundial de espionaje, encarna la emergencia de empresas especializadas en la producción de armas informáticas, una tendencia que preocupa a muchos expertos y organizaciones internacionales.
Pegasus posibilita “comprar su propia NSA”, ironiza, refiriéndose a la agencia estadounidense de inteligencia, Ron Deibert, director de Citizen Lab. Este laboratorio de la Universidad de Toronto desempeñó un papel clave en la exposición mediática actual de Pegasus.
“¿Usted no tiene las capacidades en casa? Gracias a empresas como NSO, usted puede salir y simplemente comprarlas!”, insiste.
En marzo el centro de reflexión Atlantic Council ya había advertido sobre el papel peligroso desempeñado por NSO y otras empresas especializadas en la venta de instrumentos en los teléfonos móviles y otros sistemas informáticos.
Estas firmas “de intrusión a petición de (AaaS, Access as a service) crean y venden capacidades ciberofensivas a un ritmo alarmante”, subrayaba el informe, que describe en particular el papel desempeñado por tres empresas: NSO, una sociedad rusa de la que Atlantic Council prefería no dar el nombre, y DarkMatter, con sede en Emiratos Árabes Unidos y creada con el apoyo de expertos estadounidenses.
Según el informe, la emergencia de esas empresas “contribuyó a comprometer infraestructuras nacionales críticas, y facilitó el desarrollo de nuevos instrumentos ofensivos para los Estados” que antes no tenían las condiciones técnicas para hacerlo.
Para los expertos de Atlantic Council, es tiempo de que los Estados regulen de manera más rigurosa esas empresas privadas.
Recomiendan especialmente imponerles obligaciones de transparencia sobre sus clientes y sus proveedores, así como restringir sus capacidades para reclutar especialistas que han trabajado con agencias estatales.
La canciller alemana Angela Merkel pidió el miércoles más restricciones a la venta de programas de tipo Pegasus. “Es importante” que tales programas “no lleguen a estar en malas manos”, declaró.
Un mercado de la falla informática
Interrogado antes de la declaración de Merkel, Ron Deibert no ocultaba sin embargo su escepticismo sobre la voluntad de los Estados en actuar realmente para contrarrestar la proliferación del ciberespionaje.
“La realidad es que casi todos los gobiernos tienen interés en conservar esta industria como es: secreta, no regulada”, dijo a la AFP.
Sin embargo, estima, “requerimos una legislación que facilite a las víctimas procesar a las empresas y los gobiernos responsables” del espionaje.
El caso Pegasus revela un problema recurrente: ¿como descubrir y reparar las fallas y vulnerabilidades en los sistemas informáticos?
Estos son el combustible del que se alimentan empresas como NSO para construir sus armas cibernéticas.
Un informa de la OCDE señalaba en febrero los esfuerzos insuficientes de los Estados en la materia.
Subrayaba especialmente el papel a veces nefasto desempeñado por las agencias estatales: los servicios de inteligencia o de policía compran especialmente informaciones sobre esas fallas para sus propios instrumentos de espionaje, y alimentan así un verdadero mercado de la falla informática.
La OCDE preconizaba “un esfuerzo colectivo”, que sugiere especialmente el desarrollo y compartir a gran escala bases de datos internacionales sobre las fallas descubiertas.
A falta de un abordaje coordinado, algunas empresas se especializaron en comprar las informaciones a los hackers que descubren la fallas, y las venden a servicios estatales o a empresas como NSO.
La estadounidense Zerodium, una de las estrellas de ese mercado, no duda en publicar en Twitter y en su sitio internet el tipo de vulnerabilidad que busca y el precio que está dispuesta a pagar.
Un exdiplomático y exconsejero de NSO vio “las derivas posibles” de Pegasus
Pocas personas tienen acceso al mundo ultrasecreto del Grupo NSO, fabricante israelí del programa espía Pegasus, en el centro de un escándalo mundial de piratería telefónica. Gérard Araud, exembajador de Francia, es uno de ellos.
El diplomático recientemente jubilado asumió un cargo de consultor en NSO en 2019, para aconsejar sobre asuntos relacionados con los derechos humanos, poco después de dejar su puesto de embajador de Francia en Washington durante los tumultuosos años de la presidencia de Donald Trump.
“Me decidí porque me interesaba. Era un mundo nuevo (para mi)”, dijo a la AFP por teléfono Araud, quien también fue embajador de Francia en Israel a comienzos de los años 2000.
En las oficinas de NSO, descubre el medio ambiente típico de una start-up tecnológica: equipos de programadores “todos de entre 25 y 30 años, en tongs, t-shirts negros, y poseedores de un doctorado en ciencias informáticas. Votan todos a la izquierda por supuesto…”
Su misión de un año a partir de septiembre de 2019, en compañía de otros dos consultores externos estadounidenses, consistía en examinar como la empresa podía mejorar su balance en materia de derechos humanos.
La empresa fue comprada en 2019 por el grupo con sede en Londres, Novalpina, que contrató a Araud para que diera recomendaciones para hacer los procedimientos de seguridad “más rigurosos y un poco más sistemáticos”, según él.
“El Mosad y la CIA están detrás”
Desde el lunes, un consorcio de medios de prensa, entre ellos The Washington Post, The Guardian y Le Monde, reveló las fallas presuntas en esos procedimientos.
Las organizaciones Forbidden Stories y Amnesty International obtuvieron una lista de 50.000 números telefónicos, seleccionados por los clientes de NSO desde 2016 para ser potencialemnte vigilados, y lo compartieron con ese consorcio de 17 medios.
El Grupo NSO negó la existencia de la lista, que comprendería a militantes de derechos humanos, periodistas, políticos de opositores e inclusive dirigentes mundiales.
Pegasus es considerado como uno de los más poderosos instrumentos de espionaje de teléfonos celulares disponibles, lo que facilita a los clientes leer secretamente todos los mensajes de un objetivo, seguir su localización e inclusive utilizar su cámara y su micrófono a distancia.
Su exportación está reglamentada “como una venta de armas”, explica Araud. NSO debe entonces pedir la aprobaciónn del gobierno israelí para venderlo, y los estados clientes deben firmar un contrato comercial que estipula como será utilizado el producto.
Solo deben desplegar Pegasus para luchar contra el crimen organizado o el terrorismo, argumento comercial de la empresa, pero “veíamos bien todas las derivas posibles, de las que la empresa no era de antemano responsable”, subraya.
Araud no cree que disponía de medios para verificar el despliegue real de su programa. Para él, el único instrumento que tenía la empresa tras vender Pegasus era no proponer las actualizaciones del programa a los clientes si se probaba que violaban los términos del contrato.
Y dice tener la convicción de que el Grupo NSO trabajaba con los servicios secretos israelíes del Mossad, y tal vez de la CIA.
Según él, tres estadounidenses que estaban en el consejo consultivo del grupo tenían relaciones con la agencia de inteligencia estadounidense, y la empresa declaró que su tecnología no podía ser utilizada para intervenir números telefónicos en Estados Unidos.
“Había ese interrogante sobre la presencia del Mosad o la CIA. Pensaba que eran los dos, pero no tenía ninguna prueba. Pero pienso que el Mosad y la CIA están detrás” y que los servicios de seguridad “podían vigilar el despliegue de Pegasus y eventualmente los datos recopilados”.
Israel negó tener acceso a las informaciones de Pegasus.