L’empresa NSO Group és una vella coneguda en l’àmbit de l’espionatge digital. Segons The Guardian i El País, la companyia israeliana seria responsable de la infecció amb programari espia dels telèfons del president del Parlament català, Roger Torrent; i de l’exdiputada de la CUP i ara exiliada Anna Gabriel durant l’any 2019 a través de WhatsApp. La informació desvetllada per aquests mitjans se suma a la llarga llista d’escàndols vinculats a NSO i que s’estenen per més de 45 països arreu del món.
La companyia va ser fundada l’any 2009 per part de Niv Carmi, Omri Lavie i Shalev Hulio, actual CEO. Sobre el paper, el seu objectiu és crear tecnologia “que ajuda a les agències governamentals a prevenir i investigar el terrorisme i el crim”, segons consta a la seva pàgina web. L’empresa diu tenir mecanismes per prevenir que es facin usos espuris de l’aplicació. No obstant això, l’ombra del dubte fa temps que recau a sobre seu. Així ho constaten els procediments judicials oberts en contra seva.
Orígens
La gènesi de l’empresa NSO Group està estretament vinculada amb l’aparell de l’Estat d’Israel. Segons la revista Forbes, els seus fundadors haurien aprofitat l’experiència de la Unitat 8200 del servei militar d’intel·ligència on haurien treballat un grup destacat dels seus treballadors. L’actual CEO, Shalev Hulio, havia ocupat càrrecs de responsabilitat a l’exèrcit d’Israel, igual que altres càrrecs com ara Daniel Raiser, que era cap del departament legal internacional i responsable de qüestions com ara la relació entre Israel i Palestina o el contraterrorisme en el seu àmbit. Al seu torn, l’analista Buky Carmeli va ser cap de la divisió de ciberdefensa del Ministeri de Defensa israelià.
Segons el mitjà especialitzat Motherboard, “per cada venda potencial, NSO ha d’obtenir un permís explícit -i una llicència d’exportació- del Ministeri de Defensa d’Israel”. Amb aquesta llum verda, l’empresa recorre a un comitè d’ètica que ha d’aprovar la venda.
Historial delicat
El seu salt a l’esfera pública va arribar l’any 2016. L’agost d’aquell any es va descobrir que NSO Group havia intentat prendre el control del telèfon del reputat activista pels drets humans Ahmed Mansoor, que treballava als Emirats Àrabs Units. El mecanisme que es volia utilitzar en aquella ocasió era un missatge SMS amb un enllaç on se li prometia informació sobre secrets entorn a la tortura en presons dels Emirats. Les sospites de l’activista li van fer enviar el missatge al Citizen Lab, el mateix grup de recerca que ha destapat l’actual cas, perquè ho investiguessin. Els experts d’aquest grup van determinar que l’enllaç estava vinculat a NSO i que era una manera de fer entrar al seu telèfon Pegasus, el programa espia que ara s’hauria fet servir per entrar als telèfons de Torrent i Gabriel.
Els investigadors van descobrir també que el virus era infiltrat als telèfons a través del que es coneix com a atac de dia zero, que és l’aprofitament de vulnerabilitats d’un programa per prendre’n el control. En aquest cas, del programari dels iPhone. De fet, durant un temps es va creure que l’empresa actuava només sobre iOS, més endavant es veuria que també era capaç de trobar aquestes vulnerabilitats en dispositius que treballen amb Android. En aquell moment, l’empresa de seguretat Lookout va arribar a afirmar que es tractava del “software espia més sofisticat que hem vist”, tal com recollia la BBC. Tan és així que, amb un senzill missatge, el programa Pegasus permetia prendre el control de la càmera i el micròfon del telèfon, accedir a l’emmagatzematge de dades, rastrejar la localització via GPS o intervenir trucades i aplicacions. És capaç, també, de registrar tots els tocs sobre la pantalla, esquivant així el xifrat d’extrem a extrem que incorporen alguns programes de missatgeria. El programari espia, a més, té la capacitat de mantenir-se en el dispositiu malgrat que aquest actualitzi el seu software i, fins i tot, d’actualitzar-se per adaptar-se a possibles canvis.
Arran dels diversos atacs detectats, Apple ha anat tapant els forats que es feien servir, però sembla clar que una de les habilitats de NSO és la de reinventar els seus programaris espies i fer-los resilients.
A partir d’aquell cas, Citizen Lab va iniciar una investigació de dos anys, culminada l’agost de 2018, que els va dur a determinar que Pegasus havia actuat a través de més d’una trentena d’operadors diferents a 45 països d’arreu del món.
Un dels països més afectats ha estat Mèxic. Entre 2017 i 2019, el conegut com a cas Reckless va destapar el seguiment de fins a 25 persones de diferents àmbits de la vida pública del país. Des de periodistes a activistes de tota mena, passant per membres del govern o de l’Institut Nacional de Salut Pública. Destaca, per exemple, el seguiment als membres del GIEI (Grup Interdisciplinari d’Experts Independents). Es tracta de l’equip responsable d’investigar la desaparició de 43 joves estudiants d’Ayotzinapa (Iguala) l’any 2014. Van exposar que la infiltració del sistema Pegasus als seus dispositius hauria obstaculitzat la seva investigació. La infiltració s’hauria fet a través de missatges SMS que advertien sobre qüestions familiars o informacions d’interès per a les persones que el rebien.
Des de llavors, el degoteig de casos vinculats ha afectat afers internacionals d’alta volada, com ara l’assassinat del periodista Jamal Kashoggi dins el consolat de l’Aràbia Saudita a Istanbul. Segons les informacions desvetllades, el seguiment del telèfon d’un activista amic del reporter col·laborador del The Whashington Post a través de Pegasus hauria estat clau per a l’homicidi.
Al Panamà, l’expresident del país entre 2009 i 2014, Ricardo Martinelli, va ser acusat de desviar més de 13 milions de dòlars per contractar Pegasus i espiar empreses rivals i periodistes.
Un altre cas destacat és el relacionat amb Jeff Bezos. Des del gener d’enguany l’FBI investiga si el govern saudita hauria infiltrat el dispositiu mòbil del magnat d’Amazon. De ser així, es posaria en contradicció una de les promeses de NSO, que assegura no operar ni tenir servidors als Estats Units. El cas ha estat denunciat per les Nacions Unides. Com en el cas de Torrent, en aquests dos darrers casos s’hauria entrat als telèfons a partir d’una videotrucada de WhatsApp que no calia fos contestada.
Tot plegat ha fet que WhatsApp i la seva empresa matriu, Facebook, hagin iniciat una campanya judicial en contra d’NSO Group i Pegasus. Aquestes empreses han detectat que s’haurien infiltrat fins a 1.400 telèfons mòbils a través de les seves aplicacions. Segons el mitjà especialitzat Tedcrunch, però, abans de lluitar contra Pegasus, “Facebook sembla que hauria volgut fer-lo servir pels seus propis propòsits, d’acord amb el testimoni del fundador d’NSO Shalev Hulio”.
Connexió Trump
Segons documents publicats pel mitjà Forensic News aquest mes de maig, David Zolet hauria treballat en un lloc destacat de l’administració Trump en qüestions com la xarxa nacional encriptada mentre era un dels dos directors de l’empresa Westbridge Technologies Inc, la branca nord-americana de NSO. Entre d’altres, aquesta empresa presta serveis a la policia de San Diego i va mantenir contactes amb la policia de Los Angeles, tot i que no van fructificar.
A més, segons publicava aquest mes de juny el mitjà Cyberscoop, l’ex fiscal general adjunt del Departament de Justícia nord-americà, Rod Rosenstein, havia estat fent d’assessor sobre seguretat cibernètica i seguretat nacional per a NSO.
Més recentment, a principis de juliol, Amnistia Internacional va veure com els tribunals d’Israel tombaven la seva sol·licitud per retirar a NSO la seva llicencia d’exportació per l’ús fraudulent que la companyia estaria fent del software Pegasus amb la finalitat d’espiar periodistes i dissidents arreu del món. Amnistia demanava, especialment, que es prohibís a l’empresa vendre a règims repressius.
Negoci
Tot plegat es fa a través d’un teixit empresarial que passa per diversos països d’arreu del món, algun d’ells coneguts pel seu mínim control fiscal. Així doncs, segons Forensic News, NSO tindria companyies vinculades a estats com les Illes Verges britàniques, Luxemburg, Hong Kong o Xipre. Dades publicades per la revista Forbes assenyalen que, a través de l’empresa Circles Bulgaria, establerta al país homònim, NSO cobraria entre cent cinquanta mil i tres milions de dòlars per prestar els seus serveis de seguiment.