Pegasus, el caballo de Troya que terminó derribando a sus propios jinetes
No se puede negar que las aspiraciones de los creadores de la empresa israelí NSO picaban muy alto. Decidieron llamar Pegasus a la joya de su sistema de espionaje telefónico por el caballo alado de la mitología griega. “Porque lo que construimos fue en realidad un caballo de Troya que enviábamos volando por el aire hasta llegar a los aparatos”, explicó en 2019 Shalev Hulio, su consejero delegado y uno de los tres fundadores de la compañía.
Cualquier método de espionaje informático plantea una duda razonable a sus clientes. Puedes utilizarlo para vigilar a tus enemigos, pero es posible que otros lo usen contra ti. El control de las riendas de ese caballo era un elemento esencial de la oferta que hacía NSO, a lo que se sumaba el hecho de que la empresa concedió al Gobierno israelí el derecho de veto sobre la lista de compradores de Pegasus.
Durante casi una década, poco o nada se supo de NSO en el extranjero hasta que las primeras revelaciones indicaban que había sido empleado por Arabia Saudí para espiar a personas cercanas a Jamal Khashoggi, el periodista asesinado en el consulado de Estambul. Shalev Hulio se vio obligado a dar sus primeras entrevistas. Periodistas israelíes le preguntaron si estaba en condiciones de garantizar que el sistema no podía caer en manos de enemigos del país, como Hizbolá o los servicios secretos iraníes, es decir, si podía ser utilizado contra el país de sus propios creadores.
Imposible, dijo Hulio: “El sistema se compone tanto de un hardware como de un software. La tecnología se instala sólo en la red del cliente aprobado y cuenta con los mecanismos de seguridad más avanzados y sofisticados del mundo. Las posibilidades de que esa tecnología caiga en manos de un operador no autorizado son cero, e incluso en ese caso tenemos la capacidad de desconectar inmediatamente el sistema en el momento en que nos enteremos”. Añadió que habían llevado a cabo esa desconexión en siete ocasiones.
Una segunda barrera de seguridad procedía del hecho de que NSO decía ser muy selectiva a la hora de elegir a sus clientes. Afirmaba que sólo vendía Pegasus a gobiernos que lo utilizarían en la lucha contra el terrorismo y organizaciones mafiosas. “Nos negamos a venderlo a noventa países. Hubo noventa países que vinieron y preguntaron, y les dijimos que no. Vendimos (Pegasus) a quizá unos cuarenta”.
Según un informe de la compañía conocido en junio de 2021, NSO cuenta con sesenta clientes en cuarenta países del mundo.
En esas entrevistas, Hulio no quiso identificar al primer cliente de NSO. Sólo dijo que era miembro de la OCDE. Es muy probable que fuera México, que decía necesitarlo para espiar a los cárteles del narcotráfico. Por eso, NSO presumía de que había servido para detener a El Chapo en 2017. Los gobiernos de Calderón y Peña Nieto también se sirvieron de él para espiar a decenas de periodistas y activistas de la oposición.
Otro cliente durante muchos años fue Arabia Saudí, un país que persigue con extrema dureza a todo aquel que se atreva a oponerse al Gobierno. Sólo durante unos meses posteriores al crimen de Khashoggi los saudíes vieron interrumpido el servicio hasta que el Gobierno israelí de Netanyahu presionó a NSO para que lo renovara. Frente a la versión que le gusta difundir a la empresa, la falta de respeto a los derechos humanos nunca fue un obstáculo para hacer negocios ni la compañía estaba en condiciones de vigilar cómo se espiaba con su sistema, más allá de conocer los números de teléfono.
Marruecos es otro país que compró Pegasus, con el que vigiló a medios de comunicación y disidentes: al menos 35 periodistas aparecieron como espiados por Rabat en la serie de artículos conocida como Forbidden Stories y publicada por un grupo de 17 medios de comunicación en colaboración con Amnistía Internacional gracias a una filtración interna. Entre ellos estuvo Edwy Plenel, director del medio francés Mediapart poco tiempo después de que asistiera a un seminario periodístico en Essaouira, Marruecos, organizado por un medio marroquí con el que mantiene relaciones y cuyo director también vio asaltado su teléfono móvil.
Rabat no sólo se sirvió de Pegasus en su país. En el verano de 2021, se supo que un teléfono empleado por Emmanuel Macron fue atacado dos años atrás, así como otros del entonces primer ministro, Edouard Philippe, y de catorce miembros del Gobierno. Desde el primer momento, la prensa francesa sospechó de los servicios de inteligencia marroquíes. La fuente de la revelación era el listado de 50.000 números a la que había tenido acceso la organización Forbidden Stories.
El Elíseo afirmó que si se probaban los hechos, se trataría de un acontecimiento de la máxima gravedad. Pero la repercusión terminó diluyéndose, porque el Gobierno francés no estaba muy interesado en poner en peligro sus relaciones estratégicas con Marruecos. Francia es su primer socio comercial y ha sido su principal sostén cuando se ha discutido sobre el Sahara en el Consejo de Seguridad de la ONU.
Marruecos negó ser la responsable del espionaje o haber comprado Pegasus. En el momento de la verdad, la realpolitik se impuso en París. A fin de cuentas, los franceses también espían a muchos de los gobiernos africanos con los que tienen relaciones muy estrechas. Un diplomático francés dijo al Financial Times que ambos gobiernos estarían muy satisfechos si el asunto se olvidaba rápidamente.
Con la confirmación de que los teléfonos personales de Pedro Sánchez y Margarita Robles también fueron infectados con Pegasus unos días después de que la policía marroquí permitiera la entrada masiva de inmigrantes en Ceuta en mayo de 2021, las miradas vuelven a centrarse en Marruecos. El Gobierno español lo tiene más difícil para adoptar la misma actitud que El Elíseo al haberse conocido la noticia en mitad del escándalo por la aparición de 65 nombres de políticos y activistas catalanes en las listas de teléfonos que pudieron haber sido espiados con el mismo sistema.
La sospecha de que el CNI utilizó ese sistema para investigar a los independentistas plantea dudas sobre su incapacidad para proteger al mismo tiempo la seguridad de las comunicaciones de Moncloa y de miembros del Gobierno. La portavoz del Gobierno no mostró mucha energía el martes para defender la posición de la directora del servicio de inteligencia.
Tampoco dio una explicación convincente al hecho de que se haya tardado casi un año en conocer que los teléfonos de Sánchez y Robles habían visto comprometida su seguridad. Como con muchos asuntos relacionados con el CNI, impera el más absoluto secretismo.
Países más importantes que España tienen ya claro que Pegasus es un error que puede tener consecuencias dañinas para la seguridad occidental. La actitud de EEUU hacia NSO cambió por completo al saberse que once de sus diplomáticos y empleados en la embajada en Uganda habían sufrido el mismo espionaje. Washington colocó a NSO en una lista negra de compañías que tienen prohibido tener relaciones comerciales con empresas norteamericanas, lo que supone una amenaza clara para su futuro.
Valorada en mil millones de dólares tras una venta de acciones a un fondo de inversiones en 2019, NSO tiene ahora problemas para refinanciar su deuda de 500 millones, por lo que su porvenir económico está en duda.
Shalev Hulio intenta ahora salvar a una empresa de la que han huido algunos de sus directivos y personal especializado. No tiene dudas sobre el futuro de instrumentos de espionaje como Pegasus. “Mientras no haya solución para el crimen y el terrorismo, estas tecnologías no tendrán fecha de caducidad. Nosotros, NSO, estamos aquí para quedarnos”.
21