Según fuentes de VICE, un empleado de la controvertida empresa de vigilancia NSO Group utilizó la potente tecnología de hackeo de la compañía para controlar a una persona de la que estaba enamorado.
La noticia, que hasta ahora no había salido a la luz, pone de manifiesto un grave caso de uso indebido de los productos de NSO, que suelen usar fuerzas de seguridad y agencias de información, y la facilidad con la que quienes tienen acceso a estas tecnologías pueden servirse de ellas para propósitos ilícitos.
Videos by VICE
“No hay forma alguna de protegerse de ella. Los especialistas siempre van a tener acceso”, señalaba un exempleado de NSO que tuvo noticia del incidente. Otro antiguo empleado corroboró lo dicho por el primero, una tercera fuente, conocedora de la empresa, constató varios aspectos de la noticia y una cuarta, también familiarizada, aseguró que un trabajador de NSO había hecho un uso indebido del sistema de la empresa. Desde VICE se ha querido conservar el anonimato de las fuentes entrevistadas a fin de evitar represalias por parte de NSO.
NSO comercializa un producto llamado Pegasus a los Gobiernos de varios países. Los usuarios de Pegasus pueden acceder de forma remota a cualquier dispositivo iPhone o Android mediante un ataque que requiere que el objetivo abra un enlace malicioso o, en ocasiones, incluso sin necesidad de que lo haga. Pegasus funciona mediante lo que se denominan ataques de día cero; se conocen así porque explotan vulnerabilidades de las que ni siquiera fabricantes como Apple son conscientes.
Tras infectar un dispositivo, Pegasus puede localizar al objetivo, leer sus SMS, emails, mensajes de redes sociales, desviar sus fotos y vídeos y activar la cámara y el micrófono de su dispositivo. En investigaciones anteriores se ha hecho el seguimiento de instalaciones de Pegasus en Arabia Saudí, los Emiratos Árabes Unidos, México y decenas de otros países. Desde NSO, señalan que su herramienta solo debería usarse para luchar contra el terrorismo o crímenes de gravedad. Sin embargo, investigadores, periodistas y empresas tecnológicas han revelado múltiples casos de clientes de NSO que contrataron el software para espiar a disidentes y rivales políticos. David Kaye, Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión de las Naciones Unidas, ha señalado el “legado de perjuicios” que ha causado Pegasus.
Sin embargo, este último incidente es distinto, puesto que el uso ilícito no ha sido obra de ninguna fuerza de seguridad o agencia de información gubernamental, sino de un empleado de la propia empresa y con un fin personal.
Según nos ha informado un extrabajador, el entonces empleado de NSO viajó a los Emiratos Árabes Unidos por motivos laborales. Un segundo exempleado señala que su labor era la de “prestar apoyo de campo”. Allí, el empleado entró en la oficina de su cliente sin autorización; el cliente recibió un aviso de que alguien se había conectado al sistema Pegasus fuera del horario de oficina e inició una investigación, según señala una de las fuentes conocedoras del incidente. Otras dos fuentes señalan que el empleado de NSO fue después detenido por las autoridades.
“El cliente estaba muy cabreado”, añadió el primer extrabajador.
“Usó el sistema cuando nadie miraba”, dijo el segundo. La interfaz del cliente de Pegasus es muy fácil de utilizar; en algunos casos, simplemente basta con introducir el número de teléfono del objetivo para iniciar el proceso de acceso a su dispositivo.
Las fuentes señalan que el objetivo del empleado era una mujer a la que conocía personalmente.
NSO despidió a empleado, según relatan. La dirección de NSO decidió celebrar una reunión para informar de lo sucedido a todos los trabajadores y asegurarse de que no volvería a ocurrir nada parecido.
“Son muy duros con las violaciones del sistema”, nos aseguró uno de los exempleados entrevistados.
“Usó el sistema cuando nadie miraba”
Dos de las fuentes indican que la infracción tuvo lugar en 2016, cuando la mayoría del capital de NSO estaba en manos de la inversora estadounidense Francisco Partners. En febrero de 2019, los fundadores de NSO volvieron a comprarle la empresa a la sociedad de inversión.
Ninguna de las fuentes reveló qué instalación de NSO en los EAU fue la que se usó para cometer los actos. Existen tres agencias de información en ese país: UAE State Security, la Signals Intelligence Agency y los Servicios de Seguridad de Inteligencia Militar.
La embajada de los EAU en Washington no ha respondido a nuestra petición para hacer comentarios y NSO no ha querido hacer declaraciones oficiales sobre el incidente.
Pese a ser una empresa que goza de notoriedad en el mundo de la seguridad desde hace años, NSO se dio a conocer al público general tras vender tecnología de hackeo a Arabia Saudí, cuyos dirigentes la usaron para acceder a los teléfonos de los disidentes políticos, entre los cuales había nombres de contactos del columnista del Washington Post, Jamal Khashoggi. Desde la CIA cree que Khashoggi fue asesinado por agentes saudíes en Estambul, en 2018, a instancias del príncipe heredero del país.
Eva Galperin es directora de ciberseguridad de Electronic Frontier Foundation y ha investigado en profundidad tanto campañas gubernamentales de hackeo como casos de socios que se han servido de malware para espiar a sus cónyuges. “Es positivo que dispongamos de pruebas que demuestren el compromiso de NSO Group de evitar un uso no autorizado de sus productos de seguridad. Y por “no autorizado” se entiende “no pagado”. Me gustaría tener pruebas de que se esfuerzan en la misma medida cuando se utilizan sus productos para violar los derechos humanos”, nos explicó.
“Uno ha de preguntarse quién más puede ser víctima de la NSO por un mal uso del equipo de sus clientes”, apuntó John Scott Railton, investigador del Citizen Lab, en la Universidad de Toronto, quien tiene una amplia experiencia investigando el crecimiento de la cartera de cliente de NSO. “Esto también sugiere que, como ocurre con cualquier otra empresa, NSO tiene empleados poco profesionales. Resulta aterrador pensar que este tipo de personas tienen acceso a herramientas de hackeo propias de la Agencia de Seguridad Nacional (ASN)”, dijo.
NSO ha querido dejar clara en repetidas ocasiones su desvinculación respecto al hackeo indiscriminado de teléfonos móviles, alegando que ellos se limitan a desarrollar una solución. Sin embargo, este caso “resulta un menoscabo tremendo para NSO porque demuestra que sus empleados han llevado a cabo acciones ilegales y no supervisadas”, dijo Railton. Desde VICE ya informamos anteriormente de que NSO colabora con sus clientes para crear mensajes de suplantación de identidad efectivos y ajustados a las víctimas para aumentar las posibilidades de éxito.
Kaye, el Relator Especial de las Naciones Unidas y partidario de que se ponga freno a la exportación de tecnología de hackeo hasta que se haya establecido un marco legal específico, nos contó que este incidente suscita muchas preguntas respecto a NSO.
“Para empezar, ¿cómo puede un empleado hacer algo así?”, preguntó, y añadió que desconocemos si existen más casos de uso indebido en la plataforma.
“El cliente está muy cabreado”
Después de este incidente, NSO introdujo “medidas de control más rigurosas respecto al cliente”, señaló uno de los exempleados. Entre ellas, se incluyen exámenes biométricos para garantizar que solo el personal autorizado pueda utilizar el sistema, según asegura una fuente conocedora del incidente.
Si bien en este caso se descubrió al empleado usando la herramienta, a nivel más técnico, “nada me impedía […] usar el sistema contra quien yo quisiera”, nos explicó el extrabajador.
Actualmente, NSO tiene un proceso judicial abierto con Facebook. El gigante tecnológico demandó a NSO por explotar una vulnerabilidad en WhatsApp y permitir a los clientes hackear móviles de forma remota con solo marcar su número. La empresa también desarrolló una tecnología diseñada para llevar un seguimiento de la propagación de la COVID-19, pero expertos en privacidad han mostrado su preocupación respecto al diseño del sistema.
También ha habido abusos de poder por parte de empleados de agencias gubernamentales con acceso a funciones de vigilancia. En 2013, el Wall Street Journal informaba de que varios funcionarios de la ASN se sirvieron de las funciones de espionaje de la agencia para controlar a personas por motivos sentimentales.
Los EAU también han sido objeto de controversia por usar su potente tecnología de hackeo. Reuters ha publicado varios artículos de investigación sobre el proyecto Raven, una operación en la que exempleados de la ASN inmigraron a los EAU y formaron un grupo de hackers de élite al servicio de la federación árabe. Según el informe, varios miembros de Raven acabaron usando su software contra objetivos estadounidenses. Reuters también informaba de que el FBI se había estado planteando el uso de malware de NSO para espiar a ciudadanos y empresas estadounidenses desde 2017, por lo menos.
El problema del uso indebido de datos o herramientas internas por parte de los empleados es extensible a todo tipo de empresas. En VICE documentamos que Facebook había despedido a trabajadores por acoso usando datos sensibles de los usuarios, que los empleados de MySpace usaban una herramienta llamada Overlord en su propio beneficio y que también en Snapchat se había producido un uso indebido de las herramientas internas.
Este artículo se publicó originalmente en VICE US.