Cómo NSO se convirtió en la empresa cuyo software puede espiar al mundo | Vigilancia


En 2019, cuando NSO Group se enfrentaba a un intenso escrutinio, los nuevos inversores de la empresa de vigilancia israelí estaban en una ofensiva de relaciones públicas para tranquilizar a los grupos de derechos humanos.

En un intercambio de cartas publicas En 2019, dijeron a Amnistía Internacional y a otros activistas que harían "todo lo que fuera necesario" para garantizar que el software de NSO para armas solo se utilizara para combatir el crimen y el terrorismo.

Pero la afirmación, parece ahora, era hueca.

Desconocido para los activistas, NSO más tarde tramaría un acuerdo que ayudaría a un cliente del gobierno desde hace mucho tiempo con un historial terrible de derechos humanos. Dubai, una monarquía en los Emiratos Árabes Unidos, quería que NSO le diera permiso para expandir su uso potencial del software espía para que pudiera apuntar a teléfonos móviles en el Reino Unido.

Guía rápida

¿Qué hay en los datos del proyecto Pegasus?

Espectáculo

¿Qué hay en la fuga de datos?

La filtración de datos es una lista de más de 50.000 números de teléfono que, desde 2016, se cree que han sido seleccionados como personas de interés por clientes gubernamentales de NSO Group, que vende software de vigilancia. Los datos también contienen la hora y la fecha en que se seleccionaron los números o se ingresaron en un sistema. Forbidden Stories, una organización periodística sin fines de lucro con sede en París, y Amnistía Internacional inicialmente tuvieron acceso a la lista y acceso compartido con 16 organizaciones de medios, incluido The Guardian. Más de 80 periodistas han trabajado juntos durante varios meses como parte del proyecto Pegasus. El laboratorio de seguridad de Amnistía, socio técnico del proyecto, realizó los análisis forenses.

¿Qué indica la fuga?

El consorcio cree que los datos indican los objetivos potenciales que los clientes gubernamentales de NSO identificaron antes de una posible vigilancia. Si bien los datos son una indicación de la intención, la presencia de un número en los datos no revela si hubo un intento de infectar el teléfono con software espía como Pegasus, la herramienta de vigilancia de firmas de la compañía, o si algún intento tuvo éxito. La presencia en los datos de un número muy pequeño de teléfonos fijos y números de EE. UU., A los que NSO dice que son "técnicamente imposibles" de acceder con sus herramientas, revela que algunos objetivos fueron seleccionados por clientes de NSO a pesar de que no podían estar infectados con Pegasus. Sin embargo, los exámenes forenses de una pequeña muestra de teléfonos móviles con números en la lista encontraron correlaciones estrechas entre la hora y la fecha de un número en los datos y el inicio de la actividad de Pegasus, en algunos casos tan solo unos segundos.

¿Qué reveló el análisis forense?

Amnistía examinó 67 teléfonos inteligentes donde se sospechaba de ataques. De ellos, 23 se infectaron con éxito y 14 mostraron signos de intento de penetración. Para los 30 restantes, las pruebas no fueron concluyentes, en varios casos porque los teléfonos habían sido reemplazados. Quince de los teléfonos eran dispositivos Android, ninguno de los cuales mostró evidencia de infección exitosa. Sin embargo, a diferencia de los iPhones, los teléfonos que utilizan Android no registran el tipo de información necesaria para el trabajo de detective de Amnistía. Tres teléfonos Android mostraron signos de focalización, como los mensajes SMS vinculados a Pegasus.

Amnistía compartió "copias de seguridad" de cuatro iPhones con Citizen Lab, un grupo de investigación de la Universidad de Toronto que se especializa en el estudio de Pegasus, que confirmó que mostraban signos de infección por Pegasus. Citizen Lab también llevó a cabo una revisión por pares de los métodos forenses de Amnistía y descubrió que eran sólidos.

¿Qué clientes de NSO estaban seleccionando números?

Si bien los datos están organizados en grupos, indicativos de clientes NSO individuales, no dice qué cliente NSO fue responsable de seleccionar un número determinado. NSO afirma vender sus herramientas a 60 clientes en 40 países, pero se niega a identificarlos. Al examinar de cerca el patrón de focalización de clientes individuales en los datos filtrados, los socios de medios pudieron identificar 10 gobiernos que se cree son responsables de seleccionar los objetivos: Azerbaiyán, Bahrein, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita, Hungría, India. y los Emiratos Árabes Unidos. Citizen Lab también ha encontrado evidencia de que los 10 son clientes de NSO.

¿Qué dice NSO Group?

Puede leer la declaración completa de NSO Group aquí. La empresa siempre ha dicho que no tiene acceso a los datos de los objetivos de sus clientes. A través de sus abogados, NSO dijo que el consorcio había hecho "suposiciones incorrectas" sobre qué clientes utilizan la tecnología de la empresa. Dijo que el número de 50.000 era "exagerado" y que la lista no podía ser una lista de números "objetivo de los gobiernos que utilizan Pegasus". Los abogados dijeron que NSO tenía motivos para creer que la lista a la que accedió el consorcio "no es una lista de números a los que apuntan los gobiernos que usan Pegasus, sino que puede ser parte de una lista más grande de números que podrían haber sido utilizados por los clientes del Grupo NSO para otros fines". propósitos ”. Dijeron que era una lista de números que cualquiera podía buscar en un sistema de código abierto. Después de más preguntas, los abogados dijeron que el consorcio estaba basando sus hallazgos “en una interpretación engañosa de los datos filtrados a partir de información básica accesible y abierta, como los servicios de búsqueda de HLR, que no tienen relación con la lista de objetivos de los clientes de Pegasus o cualquier otro Productos NSO … todavía no vemos ninguna correlación de estas listas con nada relacionado con el uso de tecnologías del Grupo NSO ”. Después de la publicación, explicaron que consideraban un "objetivo" ser un teléfono que fue objeto de una infección exitosa o intentada (pero fallida) por parte de Pegasus, y reiteraron que la lista de 50.000 teléfonos era demasiado grande para representar "objetivos". "de Pegaso. Dijeron que el hecho de que apareciera un número en la lista no indicaba de ninguna manera si había sido seleccionado para vigilancia utilizando Pegasus.

¿Qué son los datos de búsqueda de HLR?

El término HLR, o registro de ubicación de origen, se refiere a una base de datos que es esencial para operar redes de telefonía móvil. Dichos registros mantienen registros de las redes de los usuarios de teléfonos y sus ubicaciones generales, junto con otra información de identificación que se utiliza de forma rutinaria para enrutar llamadas y mensajes de texto. Los expertos en telecomunicaciones y vigilancia dicen que los datos de HLR a veces se pueden usar en la fase inicial de un intento de vigilancia, al identificar si es posible conectarse a un teléfono. El consorcio entiende que los clientes de NSO tienen la capacidad a través de una interfaz en el sistema Pegasus para realizar consultas de búsqueda de HLR. No está claro si los operadores de Pegasus deben realizar consultas de búsqueda de HRL a través de su interfaz para utilizar su software; Una fuente de NSO enfatizó que sus clientes pueden tener diferentes razones, no relacionadas con Pegasus, para realizar búsquedas de HLR a través de un sistema de NSO.

Gracias por tus comentarios.

Tenía que hacerlo, argumentó, para rastrear a los traficantes de drogas utilizando tarjetas SIM extranjeras para evadir la vigilancia.

Los conocedores de la compañía dudaban, dijo una persona familiarizada con el asunto. Fue una propuesta arriesgada dado el historial de clientes como los Emiratos Árabes Unidos. En 2016, había intentado utilizar el software espía NSO para piratear el teléfono de uno de los activistas de derechos humanos emiratíes más francos y respetados, Ahmed Mansoor. Fue encarcelado por las autoridades emiratíes un año después y todavía está en la cárcel.

Ahmed Mansoor.
Ahmed Mansoor pasó años en una celda de aislamiento después de su arresto, descubrió Human Rights Watch. Fotografía: Nikhil Monteiro / Reuters

Pero se le ha dicho a The Guardian que un comité de la NSO que revisa el acuerdo acordó la solicitud de Dubai. Potencialmente, significaba que las autoridades de Dubai podrían eludir las leyes de privacidad y anti-piratería que generalmente protegerían a las personas que viven en democracias de ser espiadas sin una orden judicial y de que un gobierno extranjero piratee sus teléfonos.

Algunas de las personas en las que las autoridades mostraron un posible interés, según indican ahora los registros filtrados, no eran narcotraficantes. Eran activistas de derechos humanos y disidentes que vivían en el exilio.

Usando el software exclusivo de NSO, Pegasus, los gobernantes de Dubai podrían intentar infiltrarse en cualquier teléfono móvil que quisieran en el Reino Unido, escuchar llamadas, mirar fotos, leer mensajes de texto e incluso encender el micrófono o la cámara de un teléfono de forma remota. En la mayoría de los casos, podrían hacerlo sin dejar una huella digital.

Este es el poder del software espía de NSO, y la razón por la que países desde México hasta Arabia Saudita, Ruanda e India parecen haber estado dispuestos a pagar un alto precio por sus capacidades.

Esta semana, el proyecto Pegasus, una colaboración mediática que incluyó a The Guardian y fue coordinada por el grupo de medios francés Forbidden Stories, reveló nuevas denuncias de abuso, con registros filtrados que muestran los números de teléfono de periodistas, disidentes y activistas políticos.

Preguntas y respuestas

¿Qué es el proyecto Pegasus?

Espectáculo

El proyecto Pegasus es una investigación periodística colaborativa sobre el Grupo NSO y sus clientes. La empresa vende tecnología de vigilancia a gobiernos de todo el mundo. Su producto estrella es Pegasus, un software de espionaje, o software espía, que se dirige a los dispositivos iPhone y Android. Una vez que un teléfono está infectado, un operador de Pegasus puede extraer en secreto chats, fotos, correos electrónicos y datos de ubicación, o activar micrófonos y cámaras sin que el usuario lo sepa.

Forbidden Stories, una organización periodística sin fines de lucro con sede en París, y Amnistía Internacional tuvieron acceso a una filtración de más de 50.000 números de teléfono seleccionados como objetivos por clientes de NSO desde 2016. El acceso a los datos se compartió con The Guardian y otras 16 organizaciones de noticias. , incluidos el Washington Post, Le Monde, Die Zeit y Süddeutsche Zeitung. Más de 80 periodistas han trabajado en colaboración durante varios meses en la investigación, que fue coordinada por Forbidden Stories.

Gracias por tus comentarios.

La base de datos, que fue el corazón de la investigación del proyecto Pegasus, incluía los detalles telefónicos de 13 jefes de estado, así como diplomáticos, jefes militares y políticos de alto rango de 34 países.

Otros cuyos números aparecen en la lista filtrada incluyen al presidente francés, la mayor parte de su gabinete, periodistas en Hungría y México, 400 personas en el Reino Unido, incluido un miembro de la Cámara de los Lores, dos princesas y un entrenador de caballos.

El análisis forense de una pequeña muestra de la base de datos mostró que algunos teléfonos de la lista estaban infectados.

Pero la presencia de un número de teléfono en los datos no revela si un dispositivo fue infectado con Pegasus o fue objeto de un intento de pirateo.

NSO ha negado que la base de datos de números tenga algo que ver con ella o sus clientes. Dice que no tiene visibilidad de las actividades de sus clientes y dijo que el consorcio de informes había hecho "suposiciones incorrectas" sobre qué clientes usaban la tecnología de la empresa.

NSO dijo que el hecho de que un número apareciera en la lista filtrada no indicaba de ninguna manera si un número fue objeto de vigilancia mediante Pegasus. NSO también dice que la base de datos "no tiene relevancia" para la empresa.

Dijo que puede ser parte de una lista más grande de números que podrían haber sido utilizados por los clientes de NSO Group "para otros fines".

Ningún país ha admitido ser cliente de la tecnología de NSO.

Bajo vigilancia: la empresa y sus clientes

Desde sus humildes comienzos en 2010, NSO se ha convertido de hecho en una empresa que ayuda a sus clientes a espiar el mundo. Esta semana, el proyecto Pegasus ha generado nuevas preocupaciones sobre la escala y la profundidad de las campañas de vigilancia realizadas por los clientes gubernamentales de la empresa y, en general, la falta de regulaciones en torno a las muchas empresas que ahora venden software espía de grado militar.

Con sede en Herzliya, NSO Group ha recorrido un largo camino en poco tiempo. El nombre se deriva de las iniciales de los hombres que lo lanzaron: los amigos Niv Carmi, Shalev Hulio y Omri Lavie.

Hulio, que sirvió en las Fuerzas de Defensa de Israel (FDI), ha dicho que la idea de la empresa surgió después de que él y Lavie recibieron una llamada telefónica de un servicio de inteligencia europeo, que se enteró de que la pareja tenía los conocimientos necesarios para acceder a los teléfonos de las personas.

"¿Por qué no usas esto para recopilar inteligencia?" Se dice que la agencia preguntó.

La proliferación de teléfonos inteligentes y tecnología de comunicaciones encriptadas, desde Signal hasta WhatsApp y Telegram, significó que las agencias de inteligencia y aplicación de la ley se habían "oscurecido", incapaces de monitorear las actividades de terroristas, pedófilos y otros criminales.

“Dijeron que realmente no entendíamos, que la situación era grave”, recordó Hulio. Tan grave, de hecho, que cuando NSO comenzó a vender su tecnología, se expandió rápidamente y actualmente emplea a unas 750 personas.

La compañía es líder mundial en un nicho de mercado: brinda a los estados capacidades cibernéticas "listas para usar" que les permiten competir con la Agencia de Seguridad Nacional (NSA) en los EE. UU. Y la GCHQ del Reino Unido.

Desde el principio, NSO cultivó una imagen de luchador contra el crimen de vanguardia cuyas herramientas de vigilancia se utilizaron para detener a los terroristas. "Esto es realmente para los Bin Ladens del mundo", dijo Tami Mazel Shachar, entonces copresidente de NSO Group, a 60 Minutes en 2019.

La firma también ha dicho que es la antítesis de una empresa de vigilancia masiva, con clientes supuestamente manejando menos de 100 objetivos en un momento dado. Una fuente familiarizada con el asunto dijo que el número promedio de objetivos anuales por cliente era 112.

Los incidentes de abuso, ha sugerido la compañía, son raros y son investigados por funcionarios de cumplimiento. Cuando han surgido acusaciones de abuso, la compañía ha dicho que no puede revelar las identidades de sus clientes gubernamentales. Una persona familiarizada con las operaciones de NSO que habló bajo condición de anonimato dijo que solo en el último año, había rescindido los contratos con Arabia Saudita y Dubai en los Emiratos Árabes Unidos por preocupaciones de derechos humanos.

‘Espía digital en tu bolsillo"

El proyecto Pegasus ha planteado nuevas preguntas sobre esta narrativa. También ha destacado los estrechos vínculos del gobierno israelí con la empresa.

"Las regulaciones (de la empresa) son un secreto de estado", dijo una fuente. Pero, en última instancia, el grupo se guía por una regla de oro: "Hay tres jurisdicciones con las que no se jode: Estados Unidos, Israel y los rusos".

Su primer cliente, en 2011, fue México, un país que sigue siendo un importante importador de software espía.

Andrés Manuel López Obrador, en la foto con su esposa, Beatriz Gutiérrez Müller
Los números de teléfono de 50 personas vinculadas a Andrés Manuel López Obrador, fotografiadas con su esposa, Beatriz Gutiérrez Müller, estaban en la lista filtrada. Fotografía: Alfredo Estrella / AFP / Getty Images

Durante un período de 18 meses en 2016-17, las cifras de más de 15,000 personas en México aparecieron en la base de datos filtrada. Incluían los números de teléfono de decenas de periodistas, editores y al menos 50 personas cercanas al actual presidente del país, Andrés Manuel López Obrador.

Esto no significa que estuvieran sujetos a un intento de pirateo con Pegasus o que estuvieran infectados con él. Sí sugiere que algunos clientes gubernamentales de NSO Group tenían un grupo de mexicanos en los que estaban interesados.

México ha sido acusado antes. En 2020, comenzaron a surgir informes de los medios que documentaban graves abusos de la tecnología de NSO, incluida la focalización de expertos internacionales quienes estaban examinando el caso de 43 estudiantes que desaparecieron luego de ser secuestrados por la policía.

Casi al mismo tiempo, al otro lado del mundo, otro cliente de NSO estaba enviando mensajes de texto sospechosos a Mansoor en su iPhone. Cuando envió los enlaces a los investigadores de Citizen Lab, que está afiliado a la Universidad de Toronto, descubrió que el enlace estaba infectado con malware creado por la empresa israelí. Hacer clic en él habría convertido el teléfono de Mansoor en un "espía digital en su bolsillo", rastreando sus movimientos y escuchando sus llamadas.

Un año después del descubrimiento, las fuerzas de seguridad allanaron la casa de Mansoor y lo arrestaron. Un informe de Human Rights Watch encontró que Mansoor, padre de cuatro hijos que ha sido descrito como poeta e ingeniero, pasó años en una celda de aislamiento después de su arresto. Sus "crímenes" incluyeron intercambios de WhatsApp con organizaciones de derechos humanos.

En octubre de 2018, NSO se enfrentó a una avalancha de críticas después de que Citizen Lab anunciara que había descubierto que un dispositivo perteneciente a otro disidente, un saudí llamado Omar Abdulaziz, que vivía exiliado en Canadá, había sido infectado por malware.

Omar Abdulaziz, estrecho colaborador del periodista saudí Jamal Khashoggi
Omar Abdulaziz, colaborador cercano del periodista saudí asesinado Jamal Khashoggi. Fotografía: The Washington Post a través de Getty Images

Solo unos días después, tras el asesinato del periodista Jamal Khashoggi en el consulado saudí en Estambul, se hizo evidente la importancia de los ataques contra Abdulaziz.

Khashoggi y Abdulaziz se habían puesto en contacto. En entrevistas y en un expediente judicial, Abdulaziz dijo que creía que el objetivo había sido un "factor crucial" en el asesinato del periodista del Washington Post y el acoso y encarcelamiento de su propia familia en el reino.

Un exfuncionario le dijo a The Guardian que Estados Unidos descubrió señales de que la vigilancia fue un factor en el asesinato. “Nos dimos cuenta de que (Arabia Saudita) se habían centrado en él. No lo supimos hasta después del asesinato, pero encontramos intercepciones de personas que hablaban de vigilar a periodistas. No sé si fue NSO ”, dijo Kirsten Fontenrose, un alto funcionario del Consejo de Seguridad Nacional de Estados Unidos que cubría Arabia Saudita en ese momento.

La prometida de Khashoggi, Hatice Cengiz, fue pirateada con Pegasus por un cliente de NSO, que se cree que es Arabia Saudita, cuatro días después de que la periodista fuera asesinada, según un examen de su teléfono realizado por el laboratorio de seguridad de Amnistía Internacional. Otros amigos y asociados del periodista también fueron pirateados o atacados por los clientes de la empresa. A los pocos meses del asesinato, Arabia Saudita fue desconectada de NSO, aunque su acceso se restablecería en seis meses.

En un comunicado, NSO dijo: “Nuestra tecnología no se asoció de ninguna manera con el atroz asesinato de Jamal Khashoggi. Podemos confirmar que nuestra tecnología no se utilizó para escuchar, monitorear, rastrear o recopilar información sobre él o los miembros de su familia mencionados en su consulta ".

Nuevos propietarios, nuevas preocupaciones

En 2019, el fondo de capital privado con sede en EE. UU. Francisco Partners decidió vender NSO Group a un nuevo grupo de inversores. El acuerdo fue liderado por una firma con sede en Londres llamada Novalpina Capital, cuyo fondo compró una participación mayoritaria de la empresa junto con los fundadores de NSO en una adquisición valorada en alrededor de mil millones de dólares.

En Novalpina Capital, se produjo un debate interno sobre cómo la firma de capital privado debería abordar su nueva inversión, según una persona familiarizada con el tema. NSO no era un nombre familiar, pero a pesar de sus afirmaciones de que su software espía estaba salvando vidas al prevenir ataques terroristas, las organizaciones de derechos humanos estaban haciendo preguntas inquisitivas al grupo.

Yahya Assiri, activista de derechos humanos de Arabia Saudita y ex miembro de la Real Fuerza Aérea de Arabia Saudita
Yahya Assiri, activista de derechos humanos de Arabia Saudita y ex miembro de la Real Fuerza Aérea de Arabia Saudita. Fotografía: Martin Godwin / The Guardian

En abril, Amnistía Internacional, entre otros, firmó una carta dirigida a Novalpina exigiendo rendición de cuentas por atacar a "una amplia franja de la sociedad civil", incluidos dos docenas de defensores de los derechos humanos en México, uno de sus propios empleados, Abdulaziz, Mansoor, Ghanem Almasarir, un satírico saudí radicado en Londres, y Yahya Assiri, otro activista saudí.

Amnistía dijo: “Estas personas y organizaciones parecen haber sido blanco de ataques únicamente como resultado de sus críticas a los gobiernos que utilizaron el software espía o por su trabajo relacionado con cuestiones de derechos humanos de sensibilidad política para esos gobiernos. Por lo tanto, este objetivo es una violación de los derechos humanos reconocidos internacionalmente ”.

Stephen Peel, un financiero británico y cofundador de Novalpina, dirigió un esfuerzo de la firma de capital privado para comprometerse con los grupos de derechos humanos y los investigadores que habían hecho sonar las alarmas sobre sus prácticas durante años. en un prolongado intercambio de cartas con Amnistía firmado por Novalpina, Peel prometió abordar sus preocupaciones.

Financiero y cofundador de Novalpina, Stephen Peel
Stephen Peel, financiero y cofundador de Novalpina. Fotografía: Daniella Zalcman

A los pocos meses de hacer esa promesa, dijeron dos fuentes familiarizadas con el asunto, a Dubai se le permitió expandir su uso del software espía en el Reino Unido. En septiembre de 2019, la empresa también dio a conocer una nueva política de derechos humanos y adoptó “principios rectores” para proteger a las poblaciones vulnerables, incluidos periodistas y activistas. Mientras tanto, las acusaciones de abuso por parte de los clientes de NSO seguían llegando.

WhatsApp entra en acción

Entonces, otro gigante tecnológico entró en la refriega.

En octubre de 2019, WhatsApp reveló que 1.400 de sus usuarios habían sido atacados con Pegasus a través de una vulnerabilidad en su aplicación. Las personas que fueron afectadas por el ataque, y fueron alertados por WhatsApp, incluyeron miembros del clero en Togo y decenas de periodistas en India, Ruanda y Marruecos.

“El cambio tectónico realmente grande en nuestra comprensión de las capacidades de NSO ocurrió alrededor del ataque de WhatsApp cuando obviamente vimos una serie de ataques sin clic. Y eso es como otro orden de magnitud de sofisticación ”, dijo John Scott-Railton, investigador principal de Citizen Lab.

En una batalla legal continua sobre el caso, NSO argumentó ante un tribunal de EE. UU. Que se le debería otorgar inmunidad en el caso porque el software de la empresa se había utilizado en nombre de clientes de gobiernos extranjeros sin su conocimiento o aprobación.

Ser cliente de NSO, dijo una persona que anteriormente se desempeñaba como corredor en la industria, era un poco como tener armas en los EE. UU.

"Se supone que debes usar un arma para protegerte, pero ¿quién te impedirá robar un banco?" ellos dijeron. “Usted me pregunta si NSO sabía que Pegasus sería utilizado para perseguir a periodistas, activistas de derechos humanos, les diría que por supuesto que lo sabían. Esa es mi opinión. Por supuesto que todo el mundo lo entiende. Pero, ¿se ha dicho? ¿Dijeron "lo usaremos para los opositores al régimen"? No, no dijeron eso ".

The Guardian planteó una serie de preguntas a NSO y Novalpina sobre sus tratos con los Emiratos Árabes Unidos. Se negaron a comentar.



Enlace a la noticia original