Los creadores de la herramienta de ciberespionaje Pegasus están obstaculizando el trabajo de uno de sus auditores: las preguntas son "ignoradas"

Shalev Hulio, CEO y fundador de NSO Group.
Shalev Hulio, CEO y fundador de NSO Group.

REUTERS/Ammar Awad

Cuanto más se sabe de la herramienta de ciberespionaje Pegasus, desarrollada por la compañía israelí NSO Group, más preguntas aparecen.

De ello son bien conscientes los abogados y especialistas del Berkeley Research Group (BSG), que fueron los consultores designados el año pasado para auditar al fondo privado que posee el 70% de esta empresa de soluciones ciberofensivas. En un escrito dirigido a eurodiputados, el BSG reconoce que los creadores de Pegasus están torpedeando sus investigaciones.

Esta consultora estadounidense comenzó a indagar sobre la operativa de NSO después de que la compañía fuese incluida en una lista negra estadounidense (la Entity List) que le impide hacer negocios con compañías norteamericanas. Sus trabajos y preguntas, sin embargo, han sido "ignorados y/o frustrados por el equipo gerente de NSO Group".

Los hechos concernientes a "la gerencia histórica de NSO Group" y "las posibles operaciones en activo continúan salvaguardándose en la oscuridad", remarca la consultora en una escrita dirigida a varios parlamentarios europeos. NSO Group fue incluida en la Entity List después de que las dudas sobre sus clientes crecieran y Meta (Facebook) o Apple demandaran a la compañía.

Las dos multinacionales tecnológicas emprendieron acciones legales al entender que un proveedor de herramientas de ciberespionaje como NSO Group estaban explotando vulnerabilidades de día cero (desconocidas y, por lo tanto, sin resolver) en aplicaciones como la propia WhatsApp, que fue hackeada a nivel global en 2019. Entonces las miradas se posaron sobre NSO.

Clientes en todo el mundo, cenas con espías y secretismo total: viaje al interior de la industria de soluciones 'ciberofensivas' de la que nace Pegasus

En las últimas semanas, además, NSO Group protagoniza un escándalo político en España. The Citizen Lab, un laboratorio de la Munk School de la Universidad de Toronto (Canadá) publicó un exhaustivo análisis técnico en el que pormenorizaban qué métodos pudieron seguir Pegasus o Sourgum (una herramienta similar) para inocularse en los teléfonos móviles de líderes independentistas en Cataluña.

Las primeras denuncias de que ciudadanos catalanes habían sido espiados con esta herramienta trascendieron a mediados del año 2020, con una exclusiva de El País y el diario británico The Guardian. La publicación del análisis técnico en 2022 ha reavivado la polémica.

Semanas después de que la misma comenzase, se supo que líderes como Pedro Sánchez o algunas de sus ministras también fueron víctimas de este programa espía, con lo que junto con NSO Group y empresas del estilo, como Candiru, han sido los propios servicios secretos españoles los que se han visto en mitad del huracán, tanto por posible acción como omisión.

Fuentes del Centro Nacional de Inteligencia confirmaron a El País que adquirieron la herramienta por 6 millones de euros para actuar con ella en el extranjero. Después, la propia directora del CNI, Paz Esteban, reconoció al menos una veintena de escuchas en la Comisión de Secretos Oficiales del Congreso de los Diputados. The Citizen Lab elevaba esas escuchas a 64 víctimas.

Esas escuchas reconocidas, además, estuvieron autorizadas por el Tribunal Supremo.

La industria de los programas espías es más grande de lo que crees: las apps que usas diariamente y pueden ser tan peligrosas como Pegasus

La carta a los eurodiputados por parte de BRG está fechada del mes pasado, y los miembros de la consultora reconocen que el proceso está estancado dado que la directiva de la compañía no está cooperando todo lo que debiera. "Basta decir que lo investigado hasta la fecha levanta más preguntas que respuestas", indican.

Los consultores también se ofrecían a los eurodiputados a compartir toda información que fuesen reuniendo conforme descubriesen cómo opera y cómo se vende Pegasus. NSO Group, por su parte, en declaraciones al Financial Times, que es el medio que ha revelado la existencia de esta carta, asegura que la compañía cumple "estrictamente" con todos los marcos legales en su operativa.

La semana pasada anunciaron que colaborarían con el Gobierno de España de ser necesario.

El Parlamento Europeo comenzó su investigación sobre NSO el pasado mes de marzo, a fin de depurar hasta qué punto el uso de Pegasus habría vulnerado derechos fundamentales de ciudadanos en el Viejo Continente. Sophia in't Veld, la parlamentaria neerlandesa que lidera la investigación, ha asegurado que la carta recibida destaca muchas de las cosas que quieren conocer en Bruselas.

Mucha de esa información será compartida con el resto de parlamentarios, pero "necesitamos saber cómo operan, qué políticas siguen a la hora de vender sus productos a gobiernos y a agencias no gubernamentales". "No hay mucha claridad sobre a cuánta información podemos acceder. No lo sabemos", destacaba.

Mientras esta investigación continúa, la consultora que opera el fondo propietario de NSO recibe cada vez más presión. El Financial Times recuerda que BRG comenzó a dirigir el fondo Novalpina Capital después de que el año pasado los inversores del mismo exigieran a los tres cofundadores a que se marcharan del proyecto por una disputa entre los mismos.

Pero BRG todavía tiene una disputa legal abierta en Luxemburgo, donde se dirime si efectivamente este equipo de la consultora podrá seguir dirigiendo Novalpina y, por extensión, investigando la operativa de NSO Group.

Otros artículos interesantes:

La guerra obliga al Gobierno a agilizar la creación del Centro de Operaciones de Ciberseguridad que se lleva prometiendo desde 2017

Las otras víctimas de Pegasus, el programa espía que se utilizó contra ciudadanos catalanes

Cómo funciona Pegasus, el malvado programa espía usado contra los móviles de Pedro Sánchez y Margarita Robles

Te recomendamos