¿Qué significa el escándalo de hackeo de la NSO para la ciberdiplomacia de Israel?

ASUNTOS DE SEGURIDAD: La lista de 50.000 teléfonos móviles en sí misma nunca tuvo ningún sentido, teniendo en cuenta que cada cliente suele limitarse a una docena o unas pocas docenas de objetivos y NSO sólo tiene 60 clientes.

NSO Group está acostumbrado a cazar terroristas, redes de narcotraficantes y delincuentes de la pornografía, pero ahora está siendo cazado y está, al menos por el momento, en fuga.

A mediados de julio, el Proyecto Pegasus, un grupo de 17 organizaciones de medios de comunicación -que han recibido información de una mezcla de Amnistía Internacional, el Citizen Lab de la Universidad de Toronto y Forbidden Stories- sacó a la luz la información más perjudicial que ha salido a la luz en relación con el hacker israelí de teléfonos móviles conocido como NSO.

¿Qué significó este gigantesco vertido de información, quién lo hizo, cómo hizo que NSO quedara tan descolocada y qué es lo siguiente en la batalla de media década entre el grupo de hackers y los grupos de derechos humanos?

Según los informes, el malware de piratería Pegasus de NSO se encontró en 37 teléfonos móviles de los 65 números que se comprobaron en una lista de más de 50.000 teléfonos móviles que eran objetivos.

Además, el consorcio de medios de comunicación que participó en la publicación del bombazo identificó a los propietarios de más de 1.000 números de la lista de 50.000.

Descubrió que entre esos 1.000 números había al menos 65 ejecutivos de empresas, 85 activistas de derechos humanos, 189 periodistas, varios miembros de la familia real árabe y más de 600 políticos y funcionarios del gobierno, incluidos ministros del gabinete, diplomáticos y agentes de seguridad.

Entre los altos cargos cuyos teléfonos móviles aparecen en la lista se encuentran el presidente francés Emmanuel Macron, el presidente iraquí Barham Salih, el presidente sudafricano Cyril Ramaphosa y líderes de Pakistán, Egipto y Marruecos.

Entre los países acusados de abusar de las tecnologías NSO por los informes figuran Hungría, India, México, Arabia Saudí, los Emiratos Árabes Unidos, Bahréin y Marruecos.

Todo esto suena horrible y, como NSO, es el Anticristo o, al menos, el azote de la antidemocracia cibernética del mundo.

Además de cómo suena, la propia NSO admite que ha cortado al menos cinco clientes gubernamentales que abusaron de su tecnología para perseguir exactamente el tipo de personas de la lista anterior, aunque no sean esas mismas personas.

Una fuente de NSO habría filtrado a NPR que, como resultado de la crisis actual, la empresa puso fin específicamente a sus contratos con los saudíes y los EAU.

Un representante de NSO no quiso hablar de países concretos, pero tampoco desmintió el informe de NPR (otra fuente puso en duda el informe) y The Jerusalem Post ha informado en el pasado sobre algunos de estos clientes de NSO.

Y sin embargo, cuando uno examina todas estas aterradoras revelaciones, no hay casi nada concreto a lo que agarrarse. Lo que hay no muestra realmente nada nuevo. A lo sumo da más color al hecho de que algunos de los clientes de NSO han abusado de Pegasus.

Algunos medios de comunicación directamente implicados en la publicación de la historia de NSO han admitido que no saben quién proporcionó la lista de 50.000 números y que no pueden garantizar su credibilidad, aparte de los 37 teléfonos móviles en los que se encontró malware. A medida que crecían las preguntas sobre la lista, Amnistía dio dos mensajes: no todos los números son de NSO, y los números son de clientes de NSO, lo que muestra el carácter de quien los clientes de NSO podrían perseguir.

La lista de 50.000 teléfonos móviles en sí misma nunca tuvo sentido para cualquiera que siga de cerca a NSO, teniendo en cuenta que cada cliente suele limitarse a una docena o unas pocas docenas de objetivos y NSO sólo tiene unos 60 clientes.

Así que tal vez haya apuntado a entre 600 y 1.800 teléfonos móviles -una demanda de 2019 de Facebook contra el grupo afirma que ha apuntado al menos a 1.400-, pero 50.000 nunca sonó bien.

Nada de esto demuestra que NSO sea inocente. Pero es fundamental diferenciar entre las acusaciones reales, más matizadas, y las de « amontonar todo ».

Esto es especialmente cierto cuando The New York Times, Reuters y otros han hecho exposiciones en los últimos años sobre ex personal de la NSA y otras empresas de hackers del sector privado de EE.UU. que llevan a cabo muchas de las mismas actividades de las que ahora se acusa a NSO.

También hay que recordar que la propia NSA estaba escuchando las llamadas telefónicas de muchos aliados europeos y otros jefes de Estado hasta que Edward Snowden destapó su tapadera en 2013, y algunos de los que habían participado se llevaron claramente las tecnologías al sector privado.

En cualquier caso, el Post se puso en contacto con Forbidden Stories, The Guardian y The Washington Post para obtener más información.

Ni Forbidden Stories ni The Guardian respondieron a pesar de los múltiples intentos de solicitar una respuesta.

En el caso de The Washington Post, la vicepresidenta de comunicaciones, Shani George, respondió a las preguntas sobre el número de personas hackeadas por la NSO remitiendo a The Jerusalem Post a un artículo de seguimiento de The Washington Post del 24 de julio y a un extracto específico.

En esa historia, el extracto específico decía: « En respuesta al Proyecto Pegasus, NSO dijo que la lista de más de 50.000 números de teléfono no estaba relacionada con NSO o Pegasus y que el número era « exagerado » en términos de clientes de NSO. Una fuente familiarizada con las operaciones de la empresa dijo que un cliente de NSO suele tener como objetivo 112 teléfonos al año. NSO ha dicho que tiene 60 clientes en 40 países ».

Basándose en este extracto, The Washington Post parece aceptar que la mayoría de los 50.000 números de la lista no están necesariamente relacionados con NSO o sus clientes, aunque algunos aspectos de la lista y de la información filtrada podrían exponer aún más las irregularidades de los clientes de NSO.

La propia NSO ha hecho numerosas declaraciones en entrevistas a Israel Hayom, The Times of India, y ha hecho ciertas implicaciones en conversaciones extraoficiales con The Jerusalem Post.

De todo lo anterior, la lista de quiénes pueden haber filtrado a Amnistía Internacional, Citizens Lab y el consorcio mediático los números de teléfono móvil, los problemas de malware y otra información de NSO incluye: Qatar, activistas del BDS y empresas tecnológicas de la competencia.

Algunos también han citado la ausencia de números de teléfono móvil iraníes en la lista como un indicio de que la República Islámica podría haber estado involucrada, pero la propia NSO no ha salido al paso de esta teoría.

La conclusión es que muy pocas empresas o incluso países tendrían la capacidad de hackear parte de la información filtrada de NSO, para sacar los números de teléfono de Macron y otros líderes nacionales (aunque no estén relacionados con NSO) y mezclar otra información de aspecto serio, posiblemente de otras empresas cibernéticas, para ayudar a acaparar titulares).

WhatsApp-Facebook y algunos competidores de NSO podrían estar en una lista corta de partes con la capacidad y la motivación para hackear y filtrar información de NSO (aunque otras fuentes indican que Qatar y los partidarios del BDS tienen mucho más que ganar con el enfoque actual en NSO).

WhatsApp está inmerso en una costosa demanda contra NSO. Esta demanda ya ha llegado a un tribunal federal de apelaciones y probablemente se prolongará de tres a diez años antes de llegar a ninguna parte.

Volviendo a la historia del Washington Post del 24 de julio (a su vez parcialmente basada en una historia de The Guardian), se centra sobre todo en un ataque abierto por parte del CEO de WhatsApp, Will Cathcart, de que el informe del Proyecto Pegasus « coincide con lo que vimos en el ataque que derrotamos hace dos años », incluyendo los tipos de objetivos « que no tenían por qué ser espiados de ninguna forma ».

Cathcart dijo que los desmentidos de Shalev Hulio « no coinciden todos con los hechos » que, según él, WhatsApp descubrió mientras investigaba el supuesto hackeo de su app en los últimos años por parte del software Pegasus de NSO.

El director general de WhatsApp se mostró dispuesto a diseccionar todos los argumentos que NSO esgrimió en su defensa.

Por ejemplo, respecto al concepto de que NSO no podía tener tantas víctimas, dijo: « Lo que vimos fue 1.400 víctimas en ese breve período » de dos semanas, dijo Cathcart en el informe de The Washington Post. « Lo que eso nos dice es que en un periodo de tiempo más largo, en un periodo de tiempo de varios años, el número de personas atacadas es muy alto ».

Recordando la demanda de 1.400 números también hace un punto crítico: WhatsApp puede tener más datos sobre NSO, cómo opera su malware y cómo contrarrestarlo que cualquier otra persona en el planeta, dado que ha tenido años para realizar análisis forenses en sus 1.400 dispositivos penetrados.

Cathcart también se enganchó a una incoherencia sobre la que The Jerusalem Post ha preguntado a NSO y nunca ha obtenido una respuesta completa: ¿Qué significa que NSO ofrece a sus clientes asistencia técnica? ¿Es realmente posible que cuando proporciona asistencia técnica en medio de una operación de piratería informática, nunca se entere de quiénes son los objetivos? El argumento de NSO de que ignora por completo (y no parcialmente) los objetivos de sus clientes podría parecerle a algunos una exageración.

El Tribunal del Distrito Norte de California que lleva la demanda contra Facebook también parecía pensar que NSO tiene cierto control sobre lo que hacen sus clientes. Esto se basaba en la propia explicación de NSO sobre el funcionamiento de su tecnología: los clientes sólo tienen que introducir un número de teléfono móvil y luego la tecnología de NSO hace todo lo demás automáticamente.

A continuación, Cathcart, de WhatsApp, señaló que el hecho de que hace cinco años NSO no pudiera obtener un mayor control en tiempo real para evitar los abusos de sus clientes (hasta la fecha parece que el corte de los contratos se produce cuando las personas externas se quejan), o que sus clientes no pudieran abusar de la tecnología de NSO y obtener un mayor control sobre ella de lo que NSO cree, no significa que esto no pueda cambiar.

En otras palabras, no hay ninguna razón por la que NSO o sus clientes no puedan haber mejorado en esto para 2021.

« Bueno, el software se puede cambiar muy fácilmente », dijo Cathcart a The Guardian. « Entonces, ¿cómo están seguros de que no se está cambiando? ¿O es que lo están manejando ellos mismos? ».

Cathcart también se preguntó cómo puede estar segura la NSO de que Pegasus no puede apuntar a los números +1, los que tienen el código de país de Estados Unidos.

« ¿La razón por la que están tan seguros de que los números de Estados Unidos no son el objetivo, es que lo están operando ellos mismos y tienen la lista [de objetivos]? » dijo Cathcart. « Y si ese es el caso, ¿por qué no son responsables de los casos de abuso que están ocurriendo? ».

Los estadounidenses « viajan al extranjero, tienen números de teléfono en el extranjero, embajadores, gente en todo el mundo. ¿Realmente la única protección es el código de país de su número de teléfono? Es una locura », dijo. « Es como decir que vas a fabricar un misil que estás seguro de que va a explotar sólo en ciertas partes del mundo. No es así como funcionan los misiles ».

La NSO ha dicho que apuntar a los estadounidenses es « tecnológicamente imposible ». Se podría hacer una analogía con la imposibilidad de cambiar un determinado tipo de reloj para que refleje un día de 25 horas.

Es menos lo que la NSO puede decir sobre el bloqueo de los objetivos de los estadounidenses con teléfonos móviles extranjeros, pero podría argumentar que nadie se ha presentado con tales reclamaciones.

A continuación, el artículo del Washington Post señala que muchas de las mayores empresas de Internet se han unido a la demanda de WhatsApp en un informe amicus en nombre de la empresa.

Cathart incluso proporcionó una declaración final para tratar de unir al mundo contra NSO y cristalizar cualquier ira contra ella a partir de este momento.

« Espero que no olvidemos este momento…. Espero que la conversación cambie. Creo que depende de que los gobiernos reconozcan la amenaza a la seguridad nacional », dijo.

No hay pruebas de que WhatsApp estuviera detrás del hackeo y quizás sí que empezó con Qatar o con miembros del movimiento BDS.

Además, la OSN no fue atacada únicamente por WhatsApp, sino por una alianza sostenida de gigantes tecnológicos, entre ellos Microsoft y posiblemente otros.

Microsoft, junto con Google, golpeó a la empresa cibernética ofensiva israelí Candiru la semana antes de que saliera a la luz la historia de NSO con acusaciones sobre la venta de capacidades para hackear Microsoft Windows.

WhatsApp se negó a hacer comentarios para esta historia, pero sí remitió varios enlaces a tuits y artículos de opinión escritos por Cathcart en los que criticaba a NSO.

LA ÚNICA buena noticia para NSO, después de haber sido criticada en todo el mundo y de haber sido sometida a un fuerte escrutinio por parte del Ministerio de Defensa y de haberse visto probablemente obligada a poner fin a algunos contratos, es que parece que el establishment de defensa no está preparado para acabar con su negocio todavía.

Alrededor de tres semanas después de que estallara el escándalo, la Comisión de Asuntos Exteriores de la Knesset se ha contentado con una declaración genérica sobre la investigación del asunto.

Sin embargo, The Jerusalem Post entiende que la Knesset se mantiene al margen de este asunto y confía en que el sistema de defensa lo maneje a su propio ritmo. Esto significa que no habrá audiencias públicas embarazosas para el asesinato político en breve.

El ministro de Defensa, Benny Gantz, ya fue a Francia para defender el caso de la NSO y responder por ella de que no estaba involucrada en ninguna conspiración contra Macron.

Aunque el ministerio visitó las oficinas de la NSO para indagar, junto con el Mossad, la inteligencia de las FDI y otros, todas las señales apuntan a que esto, y el recorte de algunos contratos, son para mostrar que el asunto se tomó en serio, no para acabar con la NSO.

Esto no debería ser una sorpresa después de que The Jerusalem Post informara en julio de 2020 que casi dos docenas de funcionarios del Ministerio de Defensa se presentaron en una audiencia para convencer al Tribunal de Distrito de Tel Aviv de que no interfiriera con la licencia de exportación de NSO, a pesar de todos sus inconvenientes (el tribunal falló a favor de NSO).

NSO también ha recibido un gran golpe estratégico en el plano económico. Existe un caos entre los tres principales inversores de NSO, Novalpina, lo que ha llevado a que inversores externos tomen el control del fondo y busquen una venta inmediata.

Todo esto podría acabar o ralentizar los planes de NSO de crecer hasta nuevas cotas saliendo a bolsa. Y todo ello después de que a mediados de julio se dedicaran dos años de trabajo a un informe de transparencia que supuestamente iba a allanar el camino hacia ese objetivo.

Todo esto se produce después de que NSO acabara de cambiar a Novalpina en 2019 tras tener una crisis similar con su inversor global original desde 2014, Francisco Partners.

Según se informa, NSO tiene nuevos inversores que quieren sustituir a Novalpina.

Así que sobrevivirá. Pero nada de esto era gratis, y está claro que NSO no estaba preparada para las heridas diplomáticas y económicas que recibió.

La gran pregunta sobre el futuro de la OSN es si Israel seguirá utilizándola como herramienta de política exterior para atraer a países no democráticos para que se normalicen y se asocien con el Estado judío; o si, con la normalización con cuatro países en la bolsa a partir de 2020 y una nueva administración estadounidense centrada en los derechos humanos, Jerusalén dirigirá a la OSN para que se ciña a clientes más democráticos y honrados.

Dicho de otra manera, The Jerusalem Post sabe que NSO fue una pieza, entre varias piezas, que ayudó a conducir a la normalización con los países del Golfo para 2020 en la era Netanyahu-Trump.

Pero tanto si ese fue el movimiento correcto o equivocado entonces, después de la normalización en 2021 en la era Bennett-Biden, Israel puede decidir que definitivamente no es la trayectoria correcta para el futuro. El Jerusalem Post ha recibido señales contradictorias de diferentes fuentes, de manera que la respuesta puede ser que el gobierno aún no está seguro de cuál es su movimiento final.

Haaretz ha informado de que Daniel Reisner, uno de los principales abogados de Herzog, Fox & Neeman, pero sobre todo el ex jefe del departamento de derecho internacional de las FDI y un veterano del establishment de defensa, organizó recientemente una reunión para NSO, Candiru y varias otras empresas cibernéticas israelíes.

El Jerusalem Post ha sabido que no hubo tal reunión. Pero incluso la discusión sobre tal reunión muestra el enfoque en la estrategia para la industria cibernética de Israel de cara al futuro en lugar de cerrar.

Si las nuevas reglas son una reorientación radical para alejarse de ciertos regímenes no democráticos o simplemente
una pausa y una advertencia para tener más cuidado hasta que la tormenta se calme, tendrá un fuerte impacto no sólo en la NSO sino en el futuro cibernético, de diplomacia pública y diplomático de Israel.

The Jerusalem Post, 05/08/2021