¿Qué sabe el creador de Pegasus sobre el espionaje a Sánchez y Robles?

NSO Group, la firma que comercializa el programa espía Pegasus, no es una más de las 27 empresas punteras que operan en la opaca industria de la ciberseguridad israelí. Desde su fundación en 2010 por tres ingenieros, esta compañía que, teóricamente, solo exporta sus sistemas a gobiernos con permiso del Ministerio de Defensa de Israel, no ha parado de encadenar polémicas.

La mayoría de los fuegos están ligados al uso inadecuado que los clientes de la empresa —siempre organismos como policías, ejércitos y servicios secretos, según sostiene NSO— hacen de un virus que pasa por ser el más potente e indetectable del mundo para infiltrar teléfonos. Y que, una vez ha conquistado el corazón de su objetivo, puede escuchar conversaciones, leer mensajes encriptados y hacer fotos y vídeos con la cámara del terminal sin levantar la liebre.

La compañía se defiende afirmando que, siempre que llega a su conocimiento —por ejemplo, por una investigación periodística— el posible empleo inadecuado de Pegasus, la empresa trata de averiguar —a posteriori— si efectivamente sus clientes lo han empleado para su fin legal (perseguir delitos como el crimen y el terrorismo) o han recurrido a él para husmear en las tripas de teléfonos de opositores, activistas, periodistas y disidentes. “Es un mal grave de cualquier tecnología y va en contra del uso deseable de estas herramientas”, indicó el lunes a EL PAÍS un portavoz de la empresa, una hora después de conocerse el espionaje a los teléfonos oficiales del presidente del Gobierno español, Pedro Sánchez, y la ministra de Defensa, Margarita Robles.

No está claro qué tipo de información recopila la compañía israelí de sus clientes. ¿Sabe la empresa qué organismo público intervino los teléfonos oficiales de Sánchez y Robles? ¿Puede almacenar esta firma radicada en una zona próxima a Tel Aviv conversaciones, archivos, mensajes de WhatsApp o Telegram rastreados por sus clientes? “NSO es un proveedor de software, la empresa no opera la tecnología ni accede a los datos recopilados. No sabe ni puede saber quiénes son los objetivos de sus clientes”, responde el portavoz.

Citizen Lab, el grupo de ciberseguridad de la Universidad de Toronto (Canadá) que analizó el supuesto espionaje con Pegasus a 63 personas vinculadas al procés independentista catalán, no cree en estas teorías de compartimentos estancos: sospecha que la firma israelí puede llegar a conocer la identidad de los objetivos rastreados por sus clientes. “Para operar y dirigir el ataque se necesitan estos datos, y todo queda registrado en la plataforma de NSO”, apunta el ingeniero Elies Campo, coautor del informe CatalanGate y, a la vez, una de las personas que figura en la lista de supuestos espiados. “Incluso puede que tengan una copia de los datos extraídos de los terminales”, prosigue. A su juicio, ningún móvil es invulnerable. “No hay nada superseguro, y este tipo de programas espía están hechos a medida para poder hacer exactamente esto”, responde al ser preguntado por la agresión a terminales encriptados de los altos cargos del Ejecutivo.

Félix Muñoz, director de la compañía de ciberseguridad Entelgy Innotec Security, también cree que el fabricante de Pegasus tiene acceso a la información sobre los teléfonos que espían sus clientes. “Al fin y al cabo, NSO Group proporciona la tecnología”, indica el experto, que califica al creador del virus que husmeó los móviles de Sánchez y Robles de “muy eficiente”. “NSO podría recibir los números, pero no los datos que roba Pegasus”, matiza José Miguel Esparza, jefe de seguridad de Blueliv.

Desgranar la sensibilidad y volumen de datos que maneja NSO sobre sus clientes puede llegar a convertirse en un asunto de alto voltaje. En primer lugar, por la posibilidad de que la compañía se empape de los secretos de los Estados a los que vende su programa. Pegasus planeaba en 2018 por 45 países como Ruanda, Kazajistán o Emiratos Árabes Unidos, según Citizen Lab. Y, en segundo, por la conexión de la firma con Israel. El Ministerio de Defensa de este país es el encargado de autorizar la exportación de los programas. Y el organismo no informa al Parlamento sobre la nómina de países a los que está prohibido vender armamento o tecnología de seguridad. El Departamento del Tesoro de Estados Unidos incluyó el pasado año a NSO en la lista negra de firmas vetadas en contratos públicos por exportar sus productos a regímenes autoritarios.

El Ejército de Israel ha formado al 80% de los fundadores de las firmas de ciberseguridad del país. Una hermética industria que en 2021 exportó sistemas por valor de 10.472 millones de euros, según la Dirección Nacional de Ciberseguridad de Israel.