Pasar al contenido principal

Así es el lucrativo negocio de las startups que venden a Gobiernos como el de Arabia Saudí herramientas para hackear tu móvil, tu router o tu altavoz inteligente

Armas ciberofensivas
Samantha Lee/Business Insider
  • La empresa israelí de ciberseguridad Grupo NSO ha sido acusada de vender tecnología de vigilancia digital avanzada a Arabia Saudí y a otros países que se sospecha podrían estar utilizándola para reprimir a periodistas y disidentes.
  • A pesar de la polémica, la empresa es extremadamente rentable, y el año pasado obtuvo unos 125 millones de dólares en ganancias, según una fuente que ha podido constatar sus cifras financieras.
  • Los fundadores y antiguos miembros del Grupo NSO han creado una red de más de una docena de startups parecidas, muchas de las cuales trabajan en secreto, y venden ataques contra routers, ordenadores, altavoces inteligentes y otros dispositivos digitales.
  • Por ahora, la mayoría de las empresas tradicionales de capital de riesgo se mantienen alejadas de las empresas que venden "capacidades ciberofensivas", alegando riesgos legales y de reputación. Para hacer frente a sus críticos, el Grupo NSO tiene previsto publicar un nuevo "código de derechos humanos" la semana que viene...
  • Descubre más historias en Business Insider España.

Si dedicas un tiempo al sombrío mundo de las empresas que venden "capacidades ciberofensivas" ─herramientas secretas que te permiten hackear teléfonos, ordenadores y otros dispositivos digitales para espiar a otros usuarios─ te darás cuenta de que una de ellas tiene mucho que ofrecer.

Se encuentra en el corazón de un bullicioso pero discreto ecosistema de startups establecidas en Israel que se especializan en eludir, socavar y neutralizar las funciones de seguridad de nuestro entorno digital, otorgando a sus clientes, en algunos casos, un acceso casi ilimitado a los textos, llamadas y conversaciones de casi cualquier persona que elijan.

Existe más de una docena de empresas de este tipo en Israel, según los inversores y empleados del sector, aunque muchas de ellas funcionan a escondidas gracias a sus fundadores, que han dejado milagrosamente muy pocos rastros de su existencia en Internet.

Y la principal de ellas es el Grupo NSO, la compañía en la vanguardia de la ciberseguridad ofensiva, según los inversores y trabajadores del sector.

Los fundadores del Grupo NSO dicen que su tecnología, que se centra en poner en peligro los smartphones, está diseñada con el noble propósito de ayudar a los gobiernos a combatir el terrorismo y la delincuencia.

Pero la startup se convirtió en el blanco de la indignación internacional este año después de las acusaciones de que su software, llamado Pegasus, fuera utilizado por un grupo selecto de países, entre los que se encuentran Arabia Saudí, Emiratos Árabes Unidos y México, para atacar a los periodistas, a los disidentes y a los objetivos políticos.

Una demanda contra el grupo NSO presentada en 2018 por el disidente saudí Omar Abdulaziz alega que Arabia Saudí utilizó Pegasus para rastrear sus comunicaciones con el columnista del Washington Post Jamal Khashoggi en los meses previos al brutal asesinato de Khashoggi por agentes saudíes.

Demandas similares en Israel y Chipre sostienen que Pegasus fue utilizada por los Emiratos Árabes Unidos y México para atacar a trabajadores defensores de los derechos humanos y periodistas. El New York Times publicó en 2017 que las autoridades mexicanas utilizaron la Pegasus para espiar a los miembros de una comisión internacional que intentaba resolver los notorios asesinatos de 43 estudiantes universitarios que desaparecieron en 2014.

Leer más: Así es cómo el Ejército español combate los ciberataques que amenazan la seguridad nacional

Quizás la acusación más llamativa sea la del pasado mes de mayo de que Pegasus tenía la capacidad de poner en peligro los dispositivos simplemente haciendo una llamada telefónica a su objetivo a través de WhatsApp, incluso si la llamada no era contestada. Según el Financial Times, que dio a conocer la historia, se intentó llevar a cabo la acción contra uno de los abogados que demandaba al Grupo NSO. El jefe de seguridad de Jeff Bezos incluso ha sugerido que Pegasus podría estar detrás del hackeo que estuvo a punto de provocar la publicación de fotografías del fundador de Amazon desnudo (una alegación que la compañía niega).

Pero como una startup, el Grupo NSO es un éxito. Ha sido valorada en 1.000 millones de dólares, una fortuna en el entorno tecnológico israelí, donde las empresas más exitosas son adquiridas por menos de 500 millones de dólares. Y es muy rentable, según Business Insider: el año pasado obtuvo 125 millones de dólares de beneficios.

Todo ese dinero ha generado una nueva red de startups sumamente especializadas que han sido financiadas por los fundadores e inversores del Grupo NSO, conocidos en los círculos tecnológicos como "la mafia NSO", que venden herramientas especializadas para infiltrarse en routers WiFi, altavoces inteligentes y otros aparatos.

Estas empresas a menudo describen sus productos como herramientas de "interceptación legal" o "inteligencia", aunque esto difícilmente ilustra toda la historia. Todas venden herramientas que se apropian de dispositivos y los vuelven contra sus usuarios para espiar en secreto sin dejar ningún rastro.

Independientemente de cómo llames a esta tecnología, el negocio está en auge. Los gobiernos y los organismos encargados de hacer cumplir la ley en todo el mundo están pagando millones de dólares. Y las startups, tanto dentro como fuera de Israel, están preparadas para su comercialización.

El Grupo NSO vendería su tecnología por número de objetivos a atacar

Cofundadores NSO
Los confudadores del Grupo NSO Shalev Hulio y Omri Lavie. Fotos de Jonathan Bloom y Vardi Kahana

El Grupo NSO fue fundado en Israel en 2010 por un grupo de amigos, Niv Carmi, Omri Lavie y Shalev Hulio. Carmi dejó la empresa poco después de su fundación y, por lo visto, se ha mantenido alejado desde entonces.

Lavie y Hulio, en cambio, permanecen en la empresa. Han alcanzado un nivel de notoriedad que es raro en la escena tecnológica de Herzliya, Israel, donde las empresas se mantienen en "modo sigiloso" durante años, e incluso los emprendedores locales más conocidos pueden ser sospechosamente difíciles de encontrar a través de Google. En las fotografías, parecen hermanos, con cabezas rapadas, barba y complexión robusta que contradicen sus carreras en el campo de la informática, y ambos han podido saltarse su tiempo de servicio obligatorio en las Fuerzas de Defensa de Israel.

Precisamente el funcionamiento de la tecnología del grupo NSO es un misterio. Sin embargo, en conversaciones con Business Insider, dos personas familiarizadas con la empresa han afirmado que los clientes pagan por utilizar las herramientas de Pegasus en función del número de personas a las que desean dirigirse. La mayoría de los clientes compran entre 15 y 30 objetivos, según una de las fuentes. La compañía no revela cuánto cuestan esos ataques. El periódico israelí Haaretz publicó en noviembre que Arabia Saudí pagó 55 millones de dólares por el acceso a Pegasus en 2017.

¿Tienes información sobre compañías de ciberseguridad? Llama al +1 (646) 768-4744, envíanos un mensaje de texto a través de la aplicación de mensajería encriptada Signal, un mensaje de correo electrónico a bpeterson@businessinsider.com, o a través de Twitter a @BeckPeterson.

El Grupo NSO no controla cómo se utiliza Pegasus ni desempeña un papel activo en la implementación de su software en nombre de sus clientes. Pero una de las personas familiarizadas con la compañía dice que sus contratos le dan el derecho de exigir una auditoría de los números de teléfono contra los que se dirigen sus clientes. La auditoría requiere la cooperación del cliente, comenta la persona, y si el cliente se niega a cooperar, el Grupo NSO puede usar un interruptor de apagado para desactivar la tecnología de forma remota.

Se ha apretado el interruptor de desconexión de los clientes un total de tres veces, según dice esta persona entrevistada.

Leer más: Esta es la misteriosa empresa de seguridad israelí cuya tecnología supuestamente se esconde en el corazón del reciente hackeo masivo de WhatsApp

El 10 de septiembre, se espera que la compañía responda a las preocupaciones sobre la forma en que se ha utilizado Pegasus anunciando un nuevo "código de derechos humanos", según personas familiarizadas con los plazos. Este código se espera que sirva de guía al Grupo NSO para determinar a qué países venderá sus productos en el futuro.

Hulio insiste en que su tecnología hace que el mundo sea más seguro.

"Estamos vendiendo Pegasus para prevenir el crimen y el terrorismo", dijo a Lesley Stahl en el programa "60 Minutos" en marzo, afirmando que decenas de miles de vidas se han salvado gracias a su tecnología. Cuando se le preguntó sobre el uso de su software espía para rastrear y matar a Khashoggi, Hulio insistió en que las manos del Grupo NSO estaban limpias. La compañía no tuvo nada que ver con su "horrible asesinato", dijo.

Cuando Stahl le pidió a Hulio que confirmara que había viajado a Arabia Saudí para asegurarse una venta, el CEO sonrió y evitó la pregunta. "No creas a los periódicos", dijo.

El Grupo NSO obtuvo 125 millones de dólares de beneficios el año pasado

A quien sea que Hulio le esté vendiendo, funciona.

Los ingresos del Grupo NSO se han duplicado en tres años, pasando de 100 millones de dólares en 2014 a 200 millones de dólares en 2017, según una persona que ha visto una oferta de deuda que fue puesta en circulación por la empresa a principios de este año. Tuvo más de 250 millones de dólares en ingresos en 2018, según esta persona, y es extremadamente rentable, al declarar un margen de ganancias antes de intereses, impuestos, depreciaciones y amortizaciones de más del 50%. Eso significa que la compañía obtuvo alrededor de 125 millones de dólares en beneficios en 2018.

Según la oferta de deuda, el Grupo NSO tenía 60 clientes activos en todo el mundo. De ellos, el 80% eran gubernamentales; y el 20% eran departamentos de policía, autoridades penitenciarias o militares.

Más del 60% de sus clientes se encontraban en Oriente Medio y Asia. Menos del 30% se encontraban en Europa. Sólo el 3% se encontraba en el Caribe y América Latina, y el 1% en América del Norte.

La mafia de NSO

A medida que el Grupo NSO ha ido creciendo, se ha desarrollado una maraña de nuevas empresas similares a su alrededor, en muchos casos fundadas, financiadas o con un equipo de antiguos empleados del Grupo NSO. Según la estimación de una persona, hay más de 20 startups fundadas por ex miembros del Grupo NSO.

La empresa está desarrollando una aceleradora interna para los fundadores, tanto dentro como fuera del espacio de ciberseguridad, con el objetivo de poner en contacto a las startups con tecnología como el reconocimiento facial y la inteligencia artificial con los grandes compradores gubernamentales, según una persona familiarizada con el proyecto.

Una de las empresas más visibles es Interionet, que desarrolla malware para routers de Internet. En su perfil en la base de datos del Centro de Investigación IVC, la compañía se describe a sí misma como una plataforma de ciberespionaje "que permite a las agencias de inteligencia de todo el mundo obtener grandes cantidades de información sensible y de alta calidad". Fue fundada por Yair Ceache, ex CEO del Grupo NSO, y Sharon Oknin, ex vicepresidenta de entregas del Grupo NSO. Joshua Lesher, ex miembro de la junta directiva del Grupo NSO, también forma parte de la junta directiva de Interionet.

También hay una startup ciberofensiva llamada Wayout, fundada por Gil Dolev, el hermano del presidente del Grupo NSO, Shiri Dolev. La startup ha recaudado fondos de los fundadores del Grupo NSO para construir herramientas de interceptación para dispositivos del "internet de las cosas", según personas que trabajan en el área. Dolev no ha respondido a la petición de comentarios al respecto.

PICSIX
Una de las empresas más orientadas al público es PICSIX, que promueve su tecnología, incluyendo este dispositivo de interceptación de llamadas, en su página web. PICSIX

Otra compañía secreta es Grindavik Solutions, también conocida como Candiru, una startup fundada por el ex ejecutivo de Gett Eitan Achlow y el ejecutivo del Grupo NSO Isaac Zack, y respaldada financieramente por Zack. En enero, la publicación israelí TheMarker informó que Candiru vende herramientas para piratear ordenadores y servidores, y citó a varias fuentes que afirmaron que la empresa también podría piratear dispositivos móviles. TheMarker sugirió que Candiru ─cuyo nombre se debe a un pez del Amazonas que, según la leyenda, se infiltra en la uretra de cualquiera que orine en el agua─ factura alrededor de 30 millones de dólares en ventas al año. Ni Achlow ni Zack respondieron a las solicitudes de entrevistas al respecto.

Luego está Intellexa, un consorcio internacional de empresas que venden tecnologías de interceptación y extracción, incluyendo herramientas de interceptación 2G, 3G y 4G de Nexa, con sede en París, herramientas de interceptación WiFi de largo alcance de WiSpear, con sede en Chipre, y un dispositivo de extracción de datos de Cytrox, que fue adquirido por WiSpear en 2018.

Hoy en día, el consorcio está compuesto por empresas separadas, pero el plan es fusionarse en una sola corporación, según una persona familiarizada con el caso.

Leer más: 34 expertos destacan las tendencias que definirán la evolución de la ciberseguridad en 2019

La conexión más profunda de Intellexa con el Grupo NSO se produce a través de Tal Dilian, el fundador israelí de WiSpear. La empresa de Dilian, Circles, que vendía tecnología de localización e interceptación, fue adquirida por 130 millones de dólares por la empresa de capital privado Francisco Partners antes de fusionarse con el Grupo NSO en 2014.

En primavera, Dilian le mostró al reportero de Forbes, Thomas Brewster, la sorprendente oferta de nuevos productos de Intellexa: una camioneta de vigilancia trucada que se vende por entre 3,5 y 9 millones de dólares y que supuestamente puede rastrear rostros, escuchar llamadas, localizar teléfonos y acceder a los mensajes de WhatsApp de forma remota.

Sin embargo, el cupo no se limita a los ex miembros de NSO. Existen múltiples empresas israelíes que desarrollan malware para routers WiFi o ataques a redes WiFi, que permiten a sus usuarios interceptar la información que se envía a través de Internet. Entre ellas se incluyen Merlinx, antes conocido como Equus Technologies; Wintego; Jenovice Cyber Labs; y PICSIX. También está Quadream, que desarrolla ataques contra el sistema operativo móvil de Apple. Una compañía llamada Rayzone Group y otra llamada Magen 100 venden herramientas para la interceptación de datos de smartphones. Luego están Toka e Incert Intelligence, que construyen herramientas para acceder de forma remota a dispositivos de Internet de las cosas. No está claro si alguna de estas empresas está conectada al Grupo NSO o si están financiadas por sus antiguos miembros.

Silicon Valley coquetea con el diablo

Una de las razones por las que muchas de estas compañías promueven las inversiones ángeles de Lavie, Hulio y otros antiguos miembros del Grupo NSO es que los inversores más tradicionales se están manteniendo al margen.

Los inversores de capital de riesgo tanto en Silicon Valley como en Tel Aviv dicen que reciben ocasionalmente ofertas de startups en el sector espacial; un inversor dice que ha oído hablar de entre 10 y 20 empresas diferentes en Tel Aviv, Israel, con tecnología ciberofensiva. Pero para la mayoría no vale la pena implicarse.

Algunos inversores de capital de riesgo cuestionan la lógica comercial de respaldar a una empresa como el Grupo NSO, que no tiene muchos compradores viables, y cuyas técnicas controvertidas pueden ser desaprobadas por parte del público. Si bien muchas de las empresas más grandes de Silicon Valley no tienen reglas explícitas en contra de poner su dinero en armas cibernéticas, los inversores lo comparan con invertir en cannabis o en armas, campos de riesgo que es mejor mantener a distancia.

Udi Doenyas, cofundador y ex director de tecnología del Grupo NSO, que abandonó la empresa en 2014, dijo que el mayor escrutinio sobre la legalidad de la tecnología ciberofensiva ha incrementado el coste de hacer negocios y ha asustado a las fuentes de financiación.

"Realmente tuvimos suerte", dijo sobre el éxito inicial del Grupo NSO. "Estuvimos presentes en el momento adecuado".

Yoav Leitersdorf, fundador de la firma de capital de riesgo israelí-estadounidense YL Ventures, ha dicho que su firma nunca había invertido en una compañía de ciberseguridad ofensiva y que nunca lo haría.

"La razón principal de esto es ética, ya que a menudo los clientes de estos vendedores terminan usando la tecnología de una manera que viola los derechos humanos, con o sin el conocimiento de los vendedores", asevera Leitersdorf en un correo electrónico. "La segunda razón es que estas inversiones son mucho más difíciles de amortizar que las inversiones en ciberseguridad tradicionales, ya que hay muchos menos compradores potenciales para los proveedores de ciberseguridad ofensiva: básicamente se trata de firmas de capital privado y contratistas de defensa y eso es prácticamente todo".

Leer más: Los influencers de Instagram están tan abrumados por los hackeos que están acudiendo ellos mismos a hackers para recuperar sus cuentas

Sin embargo, hay una reciente excepción: el competidor del Grupo NSO, Toka, consiguió 12,5 millones de dólares de Andreessen Horowitz, Dell Technologies Capital, LaunchCapital, Entrée Capital, y el inversor Ray Rothrock en una ronda de financiación durante el año pasado.

Toka construye herramientas de ciberseguridad bajo demanda con un enfoque especial en software espía para el Internet de las cosas. Su objetivo es dar a sus clientes acceso remoto a dispositivos como los Amazon Echo, electrodomésticos inteligentes y termostatos.

Su equipo fundador es un "quién es quién" en el mundo de la ciberseguridad israelí. El CEO de Toka es Yaron Rosen, el ex jefe del equipo de ciberseguridad de las Fuerzas de Defensa de Israel. Su director de operaciones es Kfir Waldman, un hombre de negocios y ex ejecutivo de Cisco. También está Alon Kanton, un ex ejecutivo de Check Point Security. Y su último cofundador y director es el ex primer ministro israelí Ehud Barak.

Tres inversores y dos especialistas en tecnología con conocimientos de Toka han declarado a Business Insider que la empresa tiene capacidades ofensivas, aunque la propia compañía no está de acuerdo con esta afirmación.

"Toka no construye armas, ni herramientas de ataques, ni software ciberofensivo", ha aseguridado Kenneth Baer, portavoz de la compañía, a Business Insider. "Toka sólo construirá herramientas de inteligencia, no armas ofensivas. Un ámbito en el que nos estamos centrando y que nos parece poco atendido es el sector del IoT. Presenta enormes oportunidades - y desafíos - para las agencias de seguridad y cumplimiento de la ley".

Toka, al igual que el Grupo NSO, está regulado por el Ministerio de Defensa israelí, que en última instancia aprueba todas las exportaciones de tecnologías de ciberseguridad que podrían ser herramientas catalogadas como de guerra cibernética. Al igual que el Grupo NSO, Toka constituirá un consejo asesor para "supervisar todas las actividades y operaciones de ventas", asevera Baer.

No hay una rendición de cuentas significativa

En la mayor parte del mundo, la venta de software ofensivo está regulada en gran medida como las armas. El Acuerdo de Wassenaar, firmado por 42 países, entre los que se encuentran toda América del Norte y la mayor parte de Europa, establece directrices para las exportaciones mundiales de armas, entre las que se incluyen las armas informáticas desde 2013.

Aunque Israel no es parte del acuerdo, el país dice que sigue las directrices y que todas las exportaciones de software deben ser aprobadas por el Ministerio de Defensa. Los expertos de la industria describen las leyes como opacas y dicen que las compañías a menudo no disponen de mucha información sobre los criterios para la aprobación. Hay poca información pública sobre las exportaciones que pasan la prueba. (Reuters informó el mes pasado que el Ministerio de Defensa israelí ha flexibilizado algunas de sus reglas para acelerar la venta de tecnología de armas ciberofensivas).

Los críticos de la industria argumentan que los controles nacionales no son suficientes y están tratando de establecer precedentes legales globales para hacer que las empresas de tecnología rindan cuentas cuando sus productos sean utilizados indebidamente por gobiernos extranjeros.

"En este momento no hay evidencia de que exista una rendición de cuentas significativa en torno a los abusos que ya han ocurrido", afirma John Scott-Railton, investigador principal del Citizen Lab de la Universidad de Toronto, que realiza un seguimiento del uso de Pegasus. "Nadie puede afirmar de forma razonable que la industria se esté controlando a sí misma o que sea responsable de lo que está haciendo".

Aparte de las tres demandas civiles en curso que el Grupo NSO tiene en curso en Israel y Chipre, algunos grupos han tratado de abordar la cuestión a nivel gubernamental. En mayo, un grupo de derechos humanos en Israel presentó una petición contra el Ministerio de Defensa, pidiendo a los tribunales que revocasen la licencia de exportación del Grupo NSO a la luz de las revelaciones sobre su tecnología.

"Algunos gobiernos están poco entusiasmados con la perspectiva de este tipo de demandas transfronterizas por abusos", agrega Scott-Railton. "Es más probable que esas demandas vengan de compañías que de víctimas en el futuro".

Las tensiones legales globales han hecho poco para disuadir a algunos empleados próximos al Grupo NSO, que se apresuran a resaltar el bien que puede aportar la tecnología, en particular en su uso para detener el narcotráfico y el tráfico sexual, así como los actos de terrorismo.

"En Israel, NSO ha sido pionero en este campo y ha realizado un trabajo increíble en el aspecto tecnológico, logrando estas capacidades. Esta tecnología realmente ha salvado muchas vidas", dice Amir Bar-El, ex gerente de ventas de NSO. "Hay una razón por la que esta tecnología es muy rentable. Hay muy pocas personas que son capaces de desarrollar este tipo de tecnología. Es única".

Doenyas, ex director de tecnología del Grupo NSO, piensa que es "hermoso" que los antiguos miembros de NSO estén creando sus propias empresas, siempre y cuando actúen de forma ética, comenta. Pero no se atrevía a hablar de empresas concretas. Prefieren la confidencialidad, dice, porque hace que sus productos sean más efectivos.

"Cuando quieres mantener la paz, es mejor que no asustes a toda la población", dice Doenyas. "Quieres mantener la información y la capacidad para ti mismo, y usarla cuando tengas que hacerlo".

Este artículo fue publicado originalmente en BI Prime.

Y además