Volver
';

Pegasus Así nació el polémico software espía Todo empezó en una granja de pollos israelí

Es la ciberarma más poderosa y que más se extiende por el planeta. Pegasus es un ‘software’ de vigilancia creado, en teoría, para combatir el terrorismo y el crimen. Hoy es ya el mayor espía del mundo. Y no nació en un garaje...

Por Carlos Manuel Sánchez | Ilustración: Mekakushi

Sábado, 30 de Abril 2022

Tiempo de lectura: 8 min

Los israelíes Shalev Hulio y Omri Lavie son los creadores del virus de espionaje más potente de la historia. Pero lo que empezó siendo una herramienta que vendían a los gobiernos para infiltrarse en redes de narcotraficantes y terroristas se ha convertido en una pesadilla orwelliana para vigilar a políticos, activistas y periodistas en 19 países; entre ellos, España. La firma israelí NSO, que fundaron para comercializar este software indetectable, está ahora contra las cuerdas. Denunciada por Meta (la matriz de Facebook y WhatsApp) y Apple por infectar miles de teléfonos, y en la lista negra de Estados Unidos y el Reino Unido, sus inversores aseguran que se han quedado sin negocio debido a la exposición pública de sus actividades. Y ha pasado de ser una mina de oro a que nadie quiera contratar sus servicios, según Financial Times. Son las reglas del juego de una industria opaca que aporta a Israel, el país que la lidera, más de 7500 millones de euros anuales. Y que tiene un impacto profundo en las relaciones internacionales y diplomáticas.

Hulio y Lavie son inseparables desde niños. Ahora rondan los 40 y han sido amigos del barrio, compañeros de universidad y camaradas del servicio militar, que en Israel es obligatorio. Juntos probaron fortuna en el negocio de las tecnológicas, pero la crisis de 2008 se llevó por delante su empresa. Dicen que cada crisis trae una oportunidad. Y ese mismo año se agenciaron uno de los primeros iPhones que salieron al mercado. Lo destriparon... y encontraron algo interesante. Una manera de hacerse con el control del terminal a distancia. Desarrollaron entonces un producto que ofrecía a los empleados de soporte técnico de las empresas de telefonía el acceso remoto a los dispositivos de sus clientes (con el permiso de estos). Pero no consiguieron vendérselo a nadie. Un día, sin embargo, les contactó un tipo misterioso. «Una agencia de inteligencia europea descubrió lo que hacía nuestro producto y enviaron a alguien a hablar conmigo», recuerda Hulio.

alternative text
El 'ejército' detrás de Pegasus. Shalev Hulio es uno de los creadores de Pegasus y NSO.©Ziv Koren / Polaris / Contacto

Ahora sí que tenían algo serio entre manos. Y peligroso. Tardaron tres años en desarrollar Pegasus y ponerlo en el mercado. Durante una década, ese software ha servido para hackear 50.000 teléfonos. Pegasus se ha apuntado tantos espectaculares, como la detención del Chapo Guzmán, el desmantelamiento de una red internacional de pederastas y el seguimiento de células yihadistas... Pero los abusos también están documentados. México también desplegó el software contra periodistas y disidentes políticos. Arabia Saudí lo utilizó contra activistas de los derechos de la mujer y, según una denuncia, para espiar las comunicaciones de Yamal Jashogyi, un columnista de The Washington Post al que agentes saudíes descuartizaron en Estambul en 2018. Incluso el teléfono del presidente francés, Emmanuel Macron, fue espiado.

Un nido de espías

Pero volvamos a los comienzos. Hulio y Lavie captaron a un tercer socio, Niv Karmi, que venía del Mossad, el espionaje exterior israelí. Y llamaron a su nueva empresa NSO. Se instalaron en una antigua granja de pollos a las afueras de Tel Aviv. Y empezaron a contratar a ingenieros que provenían del Mossad; del Shin Bet, el servicio de seguridad interior; y del Aman, el espionaje militar. De este último se nutrirían, sobre todo, de la mítica Unidad 8200, dedicada a la guerra cibernética. Muy pocas personas tienen una formación tan avanzada en criptografía en el mundo como sus miembros. De hecho, Israel incentiva a sus mejores ciberguerreros para que monten start-ups relacionadas con la defensa cuando vuelven a la vida civil.

Durante años se han dedicado a buscar a cada nueva generación de móvil sus 'vulnerabilidades de Día Cero': puertas traseras en el 'software' que no conocen nilos fabricantes

NSO acabaría empleando a más de 700 personas en oficinas repartidas por varios países. Y amplió sus laboratorios en los suburbios de Tel Aviv, la sede central. Allí se han dedicado durante años a adquirir cada nueva generación de móviles Apple y Android que salía al mercado y buscarles 'vulnerabilidades de día cero', es decir, puertas traseras en el software de las que todavía no se han enterado los fabricantes.

El fichaje estrella: un general

Pero el fichaje estrella fue el del general de División Avigdor Ben-Gal, con excelentes relaciones con el Ejecutivo israelí. Es el presidente de la compañía. Ben-Gal decidió que solo venderían Pegasus a gobiernos, ni a empresas ni a particulares. Y que se sometería al control de la agencia gubernamental de exportación de armas para autorizar las ventas. Siempre, por tanto, tendría el visto bueno del Gobierno.

En 2011, los ingenieros terminaron la primera versión de Pegasus. Era de 'clic cero'; esto quiere decir que no requería que los usuarios pulsaran un archivo adjunto o un enlace malicioso, a diferencia de los programas de piratería más comunes. Discretamente, la compañía empezó a ofrecerlo a países europeos, pero muchos desconfiaban de las compañías israelíes cuyos empleados son veteranos de inteligencia. Temían que el programa de espionaje contuviese, a modo de muñeca rusa, otro programa más profundo que permitiese al Mossad acceder a sus sistemas.

alternative text
El comandante. Avigdor Ben-Gal, el presidente de NSO, en una imagen de archivo, cuando era general de División.

La venta de armas ha sido durante mucho tiempo una herramienta de la diplomacia. E Israel es una potencia armamentística. Está en el puesto 12 entre los mayores exportadores (España ocupa el quinto lugar). Pero ha ido cambiando el producto que vende. Se percató antes que nadie de que la ciberguerra sería clave y se convirtió en el mayor exportador de software de espionaje. Su gran éxito, el equivalente al mítico AK-47, el fusil más vendido, es precisamente Pegasus. Y de sus ventas Israel no solo recibiría divisas, sino también el compromiso de los países clientes de votar a su favor en la Asamblea General de la ONU y otros foros; eso afirman al menos las investigaciones de Forbidden Stories, un consorcio internacional de medios de comunicación en el que participan más de 180 periodistas y que ha ido siguiendo el rastro de Pegasus. En un burofax enviado por la compañía israelí al consorcio esta puntualiza: «NSO no tiene conocimiento de las actividades específicas de inteligencia de sus clientes».

Las ciberarmas están cambiando las relaciones internacionales. Son baratas y se distribuyen con facilidad. En México surgió la primera oportunidad de comprobarlo. El Gobierno mexicano buscaba la manera de piratear el servicio de mensajería de BlackBerry, por entonces el preferido de los cárteles de la droga. Hulio y Ben-Gal se reunieron con el presidente Felipe Calderón y le ofrecieron Pegasus. El Ministerio de Defensa israelí dio permiso para la venta y se cerró el trato. Piratearon el móvil de un lugarteniente del cártel de Sinaloa. El Chapo cayó. Y México, que solía votar en contra de Israel en las conferencias de la ONU, empezó a votar a favor. ¿Coincidencia? No hay pruebas de que el cambio en la política exterior estuviera relacionado con la colaboración contra el narco.

alternative text
Una antigua granja de pollos. La sede oficial de NSO en Israel, una antigua granja convertida en oficinas.

Pero México también mostró el lado oscuro de Pegasus. En 2017, investigadores de la Universidad de Toronto informaron de que las autoridades mexicanas habían usado el programa para hackear las cuentas de activistas de los derechos humanos, opositores y periodistas. Presuntamente, se utilizó también para espiar a los abogados que investigaban la masacre de 43 estudiantes en Iguala en 2014. Más tarde, Israel autorizó la venta de Pegasus al primer ministro húngaro, Viktor Orbán, que lo utilizó contra sus opositores. Y Hungría fue el único país de la Unión Europea que en 2020 no condenó ni pidió un alto el fuego entre Israel y el grupo palestino Hamás, enzarzados tras una nueva anexión de territorio por parte de colonos israelíes en Cisjordania.

México y Hungría, según diversas investigaciones, han usado Pegasus contra opositores. Casualmente, esos países empezaron a votar a favor de Israel en organismos donde no solían hacerlo

¿El mal menor?

Pero lo más sorprendente ha sido la nueva relación de entendimiento que se ha producido entre Israel y algunas monarquías árabes del Golfo, sus tradicionales enemigos. Arabia Saudí, a partir de la llegada al poder del príncipe Mohamed Bin Salmán, y Emiratos Árabes compraron los servicios de Pegasus. Estos países, de tradición suní, lo habrían utilizado sobre todo contra Irán, una nación chiíta. Pero una investigación del Washington Post señala que también fue espiado el teléfono del periodista Jamal Khashoggi, que acabaría siendo asesinado, así como el de su mujer. NSO lo niega. Y asegura que lleva un registro de actividades del software y que el teléfono de Khashoggi no aparece en él. Pero un comité ético, dentro de la empresa, recomendó dejar de dar servicio a Arabia Saudí. Y así se hizo. Sin embargo, el veto apenas duró un año. En círculos diplomáticos, que los clientes de Pegasus se extralimiten se considera un mal menor. Si NSO desaparece, Rusia y China ocuparán ese vacío, alegan. Manda la política. Coincidiendo con el restablecimiento de las actividades de Pegasus, Israel recibió permiso del príncipe Bin Salman para que sus aviones sobrevuelen el espacio aéreo saudí. Y Emiratos Árabes le compró cazas F-35 y drones a Estados Unidos.

El penúltimo capítulo de esta guerra en la sombra lo protagonizan Meta (Facebook) y la compañía israelí, a la que la tecnológica estadounidense ha demandado por infiltrarse en 1400 teléfonos que usaban WhatsApp, su servicio de mensajería. Y el último se escribió en noviembre: Estados Unidos, en un giro inesperado, incluyó a NSO en la lista negra de entidades contrarias a la seguridad nacional. Esto significa que no podrá suministrar software al FBI o a la CIA. Según The New York Times, la compañía israelí le había ofrecido a estas y otras agencias norteamericanas una nueva versión de Pegasus, llamada Phantom, aún más sigilosa. Pero el sistema no se ha activado. Según los analistas, Estados Unidos aún no ha superado el trauma del espionaje a sus propios ciudadanos por parte de la Agencia Nacional de Seguridad (NSA), que destapó Edward Snowden. Si quiere hacerlo, tendrá que decidir cuáles son los límites éticos a la hora de poner en la balanza seguridad y privacidad. Un debate que las democracias occidentales no pueden permitirse cerrar en falso.