Clientes en todo el mundo, cenas con espías y secretismo total: viaje al interior de la industria de soluciones 'ciberofensivas' de la que nace Pegasus

El escándalo del espionaje que ha afectado a decenas de líderes independentistas catalanes y a miembros del Gobierno de España ha vuelto a poner en el foco una industria poco conocida. Decenas de compañías de todo el planeta desarrollan tecnología que dista de ser tecnología de consumo: en realidad están produciendo sofisticadas armas cibernéticas y herramientas de espionaje.

En el caso de España, los nombres de dos programas (Pegasus y Sourgum) y dos empresas (NSO Group y Candiru) han formado parte del debate público que desde hace semanas se sostiene tanto dentro como fuera de las Cortes Generales. La directora del CNI reconocía hace unos días en el Congreso que el servicio secreto espió con autorización judicial a varios ciudadanos catalanes.

El escándalo estalla en realidad varios días antes, cuando CitizenLab, un laboratorio interdisciplinar de expertos ligados a la Munk School de la Universidad de Toronto, publicó un exhaustivo análisis técnico sobre cómo Pegasus podría haberse inoculado en los dispositivos móviles de docenas de líderes y activistas por el independentismo de Cataluña.

Pero la historia del gato y el ratón que juegan este CitizenLab y NSO Group, la responsable de Pegasus, se remonta en realidad atrás varios años. Ya desde antes de 2019 el laboratorio canadiense ha denunciado cómo las herramientas de la compañía israelí se han licenciado para docenas de gobiernos y un extrabajador de la compañía israelí ya confirmó en 2020 que el de España estaba entre ellos.

La industria de los programas espías es más grande de lo que crees: las apps que usas diariamente y pueden ser tan peligrosas como Pegasus

Fue en ese año, 2020, cuando se supo que Pegasus habría espiado a líderes independentistas catalanes, como Roger Torrent, presidente del Parlament catalán y hoy conseller del Govern de la Generalitat. La televisión pública TV3 señaló también hace unos días que el espionaje habría afectado a Pere Aragonès, hoy presidente de la Administración catalana.

Hace apenas una semana, y a raíz del escándalo provocado por el análisis de CitizenLab sobre las víctimas del espionaje en Cataluña, el Gobierno reconoció que el propio presidente del Ejecutivo, Pedro Sánchez, así como algunas de sus ministras, también habían sido víctimas de este software espía. 

No está solo. Entre los posibles espiados también se ha mentado al presidente francés, Emmanuel Macron, o incluso a la oficina de Boris Johnson en Reino Unido.

Un sector opaco pero lucrativo

Agencias de inteligencia y gobiernos de todo el mundo han sido clientes de NSO Group. Aunque la compañía se ha convertido en la más conocida de la industria de soluciones ciberofensivas, no es la única. A su prevalencia hay que sumar otras tantas compañías que logran mantener un perfil más bajo y operan con suma discreción.

Todo en un lucrativo mercado. NSO reportó unas ventas de casi 250 millones de dólares (236 millones de euros en 2020) y, a pesar de estar restringida en determinados mercados como el estadounidense, ha suscitado el interés de posibles compradores.

Y también las herramientas de ciberespionaje que se venden en la dark web o que emplean milicias digitales independientes, bandas de ciberespías mercenarios que ofrecen al mejor postor su experiencia hackeando o interceptando escuchas.

El CNI reconoce el espionaje a independentistas y la brecha en el Gobierno continúa: así han reaccionado los distintos partidos en el Congreso

Con todo, el caso de NSO Group es interesante porque su operativa se ha descubierto prácticamente en su totalidad y ha revelado algunas de sus prácticas más explícitas. En enero de este año, The New York Times publicó un extenso reportaje en el que abundaba en cómo empleados de NSO Group viajaban a EEUU para instalar y licenciar Pegasus a agencias como la CIA.

En 2019, Meta (antes Facebook) ya había interpuesto una denuncia contra la israelí NSO Group, a la que acusó de haber explotado una vulnerabilidad en WhatsApp para inocular sus herramientas de espionaje en cientos de dispositivos. A pesar de que aquello ya era conocido, eso no impidió que más y más clientes se acercaran a conocer las soluciones de la empresa israelí, destaca The New York Times.

Tanto, que cuando a finales del año pasado se supo que la Administración Biden acababa de incluir a varias firmas de ciberespionaje —entre ellas, la propia NSO o Candiru— en una lista negra de compañías vetadas para hacer negocios con normalidad con empresas estadounidenses, altos cargos de Tel Aviv lamentaron la decisión. 

"Quienes apuntan sus arcos contra NSO están apuntando en realidad a la bandera blanquiazul que cuelga detrás", denunció Yigal Unna, director general hasta enero de este año del Ciberdirectorio Nacional Israelí, una de las principales agencias de ciberdefensa del país hebreo.

Quiénes vigilan a estos vigilantes

John Scott-Railton es una de las personas más conocidas del CitizenLab. Es investigador sénior en el laboratorio y ha realizado varias investigaciones sobre la amenaza que supone el auge de un mercado tan singular como es el del que se está hablando: el de soluciones ciberofensivas y ciberespionaje.

Uno de sus artículos académicos se detiene, de hecho, en aquellos ciberataques o campañas que se emprenden no tanto contra empresas o gobiernos —los más comunes—, sino contra colectivos de activistas. El propio Scott-Railton detalla que muchos de los responsables de esos incidentes son o bien las milicias de mercenarios digitales o bien grupos de hackers esponsorizados por gobiernos.

Pero una tercera variedad de atacantes en estos casos son los "compradores de programas maliciosos de escucha legítima; no todos los países pueden desarrollar malware en casa. CitizenLab ha informado ya del "auge de una problemática capacidad de gobiernos y agencias a la hora de ejecutar programas que se reivindican como herramientas de intercepción legítima".

Candiru, la empresa de ciberespionaje que consigue esquivar todos los radares aunque el escándalo en España sea ya un tsunami

Entre los países compradores de ese tipo de herramientas, Scott-Railton ya señalaba en 2016 a países como Etiopía, Bahréin o Marruecos como usuarios de esta tecnología.

El propio Scott-Railton atendió a Business Insider España en una entrevista telefónica que tuvo lugar en 2020, poco después de que se descubriera que varios líderes independentistas habían sido víctimas de Pegasus. Entonces, la posibilidad de que las autoridades españolas pudiesen estar detrás de un incidente como este era tan solo una sospecha.

En aquella entrevista, el experto detalló que el CitizenLab es un grupo de investigación que lleva más de dos décadas trabajando "con el foco puesto en rastrear las amenazas digitales que se ciernen sobre la sociedad civil; nuestro trabajo se centra en investigar riesgos contra políticos, periodistas, activistas...".

Hay empresas de este tipo más allá de Israel

Por eso, una de las principales estrategias de este colectivo es "trabajar y seguir muy de cerca" a los grupos que desarrollan este tipo tan peligroso de tecnología. "Hemos invertido mucho tiempo estudiando por ejemplo ataques originarios del Gobierno chino cuyos objetivos eran activistas del Tíbet", rememoraba el investigador entonces.

"Otras de nuestras estrategias es rastrear el mercado y el abuso que se puede cometer con estas herramientas comerciales de espionaje". También entonces Scott-Railton enumeró que, si bien en Israel hay una extraordinaria cantidad de firmas que se dedican al desarrollo de este tipo de programas espías, también hay empresas "en Alemania, Reino Unido, Italia y otros países".

Los creadores de Pegasus "colaborarán con cualquier investigación gubernamental" sobre el espionaje a Sánchez o a Robles, aunque desconocen el caso denunciado

"Hay un mercado global que se dedica a vender estas sofisticadas técnicas de hackeo a gobiernos. En CitizenLab nos centramos en entender qué ocurre cuando un gobierno adquiere estas tecnologías y cómo lo sufre la sociedad civil". Y agregó: "A no ser que estén supervisados de forma férrea, estos gobiernos suelen cometer abusos, con fines políticos y otros fines".

Se trata de un mercado "secreto", aunque "no tan oculto como la dark web". La mejor palabra para definirlo puede ser la de "discreto". "Se parece mucho al tráfico de armas, donde todo el mundo sabe quién las fabrica y luego se utiliza un complejo entramado societario con empresas fantasma para ocultar los actores reales de las transacciones", explicó entonces Scott-Railton.

Estas empresas conocen a sus 'enemigos'

Puede ser discreto, pero también amenazante. Toda vez que CitizenLab comenzó a denunciar a empresas como NSO Group a finales de la década pasada, el propio Scott-Railton comenzó a recibir correos electrónicos extraños de personas que aseguraban ser alguien que después no eran.

De hecho, una de las historias más rocambolescas de este sector la protagoniza el propio investigador y se relata en este artículo de Fast Company. Scott-Railton recibió una petición de reunión de un hombre que decía ser un empresario francés interesado en una tecnología muy concreta en la que Scott-Railton tenía experiencia.

El especialista intuyó que ese hombre no era quien decía ser y preparó una encerrona. Quedaron finalmente para cenar en Nueva York y Scott-Railton acudió acompañado de un equipo de redactores de la agencia AP que acabaron confrontando al supuesto empresario que tan interesado estaba en conocer a uno de los rostros visibles de CitizenLab.

El diálogo con Cataluña roto, encontronazos en el Gobierno, bronca en el Congreso y malestar en el CNI: las consecuencias políticas del espionaje a políticos independentistas

Durante la cena, este supuesto empresario preguntó a John Scott-Railton cómo se financiaba este laboratorio. En un momento del encuentro, los reporteros de AP irrumpieron en el restaurante preguntándole a ese empresario quién era en realidad, después de que con una investigación periodística descubriesen que la empresa que decía representar no era real.

En realidad, el hombre se llamaba Aharon Almog-Assourin y era un agente de la seguridad israelí retirado. No quedó claro para quién trabajaba, aunque entonces Scott-Railton señaló a Black Cube, una agencia de inteligencia privada que trabajó para el productor Harvey Weinstein investigando a las mujeres que denunciaron los episodios de acoso que ejerció.

Por qué no se regula con contundencia este tipo de herramientas

Jessica Cohen es directora de Ciberinteligencia y Riesgos Globales en Tarlogic, una empresa de ciberseguridad española. En una reciente entrevista con este medio destacaba que es "fácil de documentar" que este tipo de herramientas de espionaje no se han pretendido regular por parte de las distintas instancias políticas.

A menudo, porque detrás de ellas hay dinero de gobiernos. Como destacaba The New York Times, muchas de las voces israelís más furibundas con el señalamiento a NSO destacan la "hipocresía" de los estadounidenses: vetan a una empresa de la que han sido usuarios e incluso probadores de sus servicios.

Estas compañías de soluciones ofensivas no tienen un solo producto. Por ejemplo, NSO tiene, además de Pegasus, una herramienta llamada Phantom capaz de hackear cualquier número de teléfono que se ponga como objetivo. 

Maestro, también de NSO, es capaz de convertir cualquier patrón de comportamiento en un vector matemático para detectar de forma automática conductas que se salgan de lo usual en las personas que estén siendo vigiladas.

Cómo funciona Pegasus, el malvado programa espía usado contra los móviles de Pedro Sánchez y Margarita Robles

Muchas de estas herramientas no son reguladas o vetadas porque los gobiernos suelen invertir en ellas. Son parte de sus necesidades. Los sectores que más inversión han recibido por parte de diversos Estados tienden a ser el sector aeronáutico, el armamentístico y el tecnológico. Con la industria de estas ciberarmas, las barreras entre el segundo y el tercero se difuminan.

Son, en definitiva, compañías que se amparan en leyes locales a la hora de distribuir sus productos. "Como la venta de armas", destacó en una entrevista con Business Insider España Eusebio Nieva, director técnico de la compañía de ciberseguridad Check Point. "Desgraciadamente, son mercados muy similares. ¿La venta de armas está regulada?", se preguntaba.

"Al final, este tipo de productos son armas cibernéticas. El que vende micrófonos capaces de hacer escuchas a 200 o 300 metros, ¿hace algo ilegal? Dependerá del uso que se le dé a esa tecnología", apuntó. "Si estas tecnologías se emplean bajo la supervisión de la Justicia en un país democrático, obviamente hay garantías legales".

El responsable de Check Point para España consideraba que el problema se daría cuando "se exportan de manera indiscriminada" a países no democráticos. "Es lo mismo que cuando se exportan armas a una dictadura".