Por Danna Ingleton, directora adjunta de Amnesty Tech
En junio del año pasado, una persona miembro de mi equipo de Amnistía Internacional recibió un mensaje de WhatsApp de un número desconocido. Contenía detalles de una protesta que se estaba celebrando supuestamente en la embajada saudí en Washington DC; mi colega desconfió de inmediato. El mensaje llegó en un momento en el que Amnistía Internacional estaba haciendo campaña en favor de la libertad de seis activistas encarcelados en Arabia Saudí, y había algo raro.
El análisis de los enlaces que incluía el mensaje demostró que estas sospechas estaban fundadas. El equipo de Amnesty Tech descubrió que si se hubiera hecho clic en el enlace, se habría instalado en secreto en el teléfono un potente programa espía con acceso total a llamadas, mensajes, fotos y ubicación por GPS. Un examen más detenido nos permitió rastrear el ataque hasta una hermética empresa israelí: NSO Group.
NSO Group vende software de vigilancia a gobiernos y está vinculado a ataques digitales contra activistas de derechos humanos de todo el mundo. El intento de espiar a Amnistía fue la gota que colmó el vaso. Hoy he presentado pruebas para respaldar a 30 denunciantes que emprenden una acción judicial en Israel para pedir al Ministerio de Defensa que retire la licencia de exportación de NSO. Como he afirmado en una declaración jurada dirigida al tribunal, el software de NSO es una amenaza para activistas y periodistas de todo el mundo. El grupo de derechos digitales Citizen Lab ha relacionado la empresa con ataques contra la sociedad civil de Arabia Saudí, Bahréin, Emiratos Árabes Unidos, Kazajistán, México y Marruecos. No podemos quedarnos sentados mirando mientras NSO se convierte en la herramienta favorita de los gobiernos represivos.
Al igual que muchos ataques documentados previamente, el mensaje enviado a Amnistía tenía todas las características de Pegasus, un software de NSO que puede tomar el control del teclado, la cámara y el micrófono del teléfono. Pegasus fue la herramienta empleada para rastrear a Ahmed Mansoor, defensor emiratí de los derechos humanos que cumple actualmente diez años de prisión. Citizen Lab ha denunciado también el papel desempeñado por Pegasus en un plan de programas espía dirigido contra activistas y periodistas mexicanos, como los que investigan la corrupción y los cárteles de la droga.
Vale la pena reiterar aquí que la propia NSO afirma que solo vende a gobiernos. Pero los gobiernos, por supuesto, no son siempre más benignos que los ciberdelincuentes, y algunos son significativamente peores. Sin duda, NSO sabe ya, a estas alturas, en qué clase de manos terminan sus productos.
El año pasado, la empresa volvió a ser sometida a un minucioso examen tras las acusaciones de que se había usando su software para rastrear al periodista saudí asesinado Jamal Khashoggi, lo que la empresa ha desmentido. Pero, a pesar del creciente número de pruebas, el gobierno israelí continúa dando a NSO luz verde para exportar sus productos. Es difícil encontrar detalles específicos de cómo funciona la concesión de licencias de exportación y de qué tipo de controles de seguridad o éticos conlleva. Aunque el proceso está rodeado de hermetismo, está claro que no es lo bastante riguroso como para mantener los productos de NSO lejos de las manos de quienes cometen abusos contra los derechos humanos. No sabemos si el gobierno israelí ha utilizado a NSO en el contexto de la vigilancia de personas palestinas.
El Ministerio de Defensa Israelí ha hecho caso omiso de múltiples peticiones de Amnistía y otros para que retire la licencia de la empresa, y esta es la razón por la que aportamos pruebas en esta acción judicial.
Si se puede atacar a la mayor organización de derechos humanos del mundo, que cuenta en su plantilla con personas expertas en tecnología, esto es probablemente la punta del iceberg en lo que se refiere al alcance de NSO. Los ataques como el dirigido a Amnistía muestran también lo osada que se ha vuelto la industria de la vigilancia internacional. Este mismo año, los miembros de un equipo de Citizen Lab que estaba investigando a NSO fueron presuntamente atacados por operativos privados en un aparente intento de silenciarlos e intimidarlos.
Pero este caso también afecta a algo más que al trabajo por los derechos humanos: pone de relieve la amenaza a la privacidad de todas las personas. Hoy se ha sabido que una vulnerabilidad de WhatsApp podría exponer a miles de millones de usuarios y usuarias a ataques de programas espías de NSO. Amnistía no ha podido verificar aún esta información, pero, de ser cierta, ilustra totalmente nuestra demanda ante los tribunales israelíes. NSO está yendo por libre y el Ministerio de Defensa israelí no ejerce la supervisión, el control y la regulación debidos.
Al tiempo que se permite que NSO comercialice y venda sus productos sin la debida supervisión, la empresa se está convirtiendo en esencia en una agencia de inteligencia internacional privada guiada únicamente por el lucro que, al parecer, no tiene que rendir cuentas ante nadie. Sus programas espías son tan potentes que la mayoría de las personas nunca saben si su teléfono u ordenador han sido infectados.
NSO ha desmentido una y otra vez que se haya hecho un uso indebido de Pegasus para atacar a defensores y defensoras de los derechos humanos. Desde que se produjo el cambio de titularidad en febrero de este año, la empresa viene tratando de limpiar su imagen, comprando anuncios en el motor de búsqueda de Google y lanzando un nuevo sitio web donde dice adoptar “un enfoque pionero a la aplicación de normas éticas rigurosas a todo lo que hacemos”. No se facilitan más detalles, lo que difícilmente da credibilidad a la afirmación. Para las personas cuya seguridad está en peligro debido a las irresponsables ventas de NSO, esta clase de lugares comunes no son suficientes. La petición que hemos presentado hoy es un primer paso que, confiamos, pondrá fin, en última instancia, al entramado de vigilancia mundial de NSO.