Una videollamada y están dentro: así hackeó WhatsApp la empresa israelí más temida por periodistas y activistas
“Proteger la privacidad permite a los criminales y terroristas esconderse en la oscuridad”. Es la explicación que ha dado la presidenta de la empresa israelí NSO ante la denuncia de WhatsApp, que acusa a su compañía de dedicarse profesionalmente a agujerear su plataforma para vender a sus clientes la posibilidad de entrar por esas brechas de seguridad. NSO lo niega todo y dice que la imagen negativa que se tiene de ella a raíz de sus vínculos con el software espía Pegasus, usado contra activistas y periodistas de todo el mundo, se debe a “falsos mitos”: “Si pudiéramos informar sobre los pedófilos capturados o los actos terroristas prevenidos...”
Todo empezó en abril con la pantalla de un smarphone iluminada para mostrar una videollamada de WhatsApp, aparentemente como todas las demás. Pero no lo era: se trataba de un hackeo con el que el ciberatacante podía introducir código malicioso en el móvil de la víctima para espiarlo. No hacía falta ni siquiera que el usuario aceptara la llamada para lograr un acceso casi completo a casi todos los rincones de su dispositivo.
WhatsApp cerró el agujero de seguridad en mayo. Estuvo abierto tan solo dos semanas, pero según la app de mensajería, en ese período la brecha fue usada por ciberatacantes de todo el mundo para espiar los teléfonos de unos 1.400 diplomáticos, fiscales, periodistas y activistas. Tras meses de investigación, WhatsApp denunció el 29 de octubre que había descubierto quién había abierto el agujero. Señaló a una vieja conocida de la industria del espionaje: la israelí NSO Group.
Esta compañía, conocida también como Q Cyber Technologies, está vinculada con el desarrollo y actualización de Pegasus, el malware más temido por activistas y periodistas que trabajan e informan sobre la situación de los derechos humanos en zonas calientes como Arabia Saudí o México. Pegasus es el espía definitivo contra los smartphones: una vez llega al dispositivo permite leer en tiempo real qué está escribiendo su usuario, conectar el micrófono y oír las conversaciones, rastrear su ubicación o ver qué archivos contiene, como las fotografías.
En su denuncia, WhatsApp acusa a NSO de abrir el agujero de seguridad en sus videollamadas para que sus clientes, oficialmente gobiernos y agencias de inteligencia, pudieran colar a Pegasus por él.
“¿Cómo podemos decir esto con confianza? A medida que reunimos la información que presentamos en nuestra demanda, descubrimos que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados con NSO”, reveló Will Cathcart, el director ejecutivo de WhatsApp. “Además, hemos vinculado ciertas cuentas de WhatsApp utilizadas durante los ataques a NSO. Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, afirmó.
Pegasus fue descubierto por primera vez en 2016 en el teléfono de un activista de Emiratos Árabes Unidos, Ahmed Mansoor. Entonces los ciberatacantes intentaban colarlo en los dispositivos de sus vítimas de forma más rudimentaria, como a través de enlaces a la víctima enviados por SMS. Tras varios mensajes sospechosos que le invitaban a pinchar en los enlaces, Mansoor informó a Citizen Lab, laboratorio de la Universidad de Toronto especializado en investigar sistemas de cibervigilancia utilizados contra ciudadanos.
Dos años después, los investigadores de la Universidad Canadiense publicaron un extenso estudio sobre el rastro de Pegasus. Su investigación documentó el empleo de Pegasus en 45 países del mundo y su uso extensivo contra activistas, periodistas y otros miembros de la sociedad civil. Estaba muy presente en las redes de los países de América Latina y Oriente Medio, pero también se detectó en Europa. El estudio no localizó focos de infección en España, pero sí en Francia, Reino Unido, Polonia, Suiza, Países Bajos, Letonia y Turquía.
El mayor escándalo donde se ha hallado el rastro de Pegasus estalló en el verano 2017 en México. Numerosos periodistas, activistas e incluso prominentes académicos denunciaron haber sido infectados. “Este tipo de tecnología se está utilizando [por el Gobierno de México] en contra de ciudadanos que dan la batalla, periodistas, en contra de quienes pelean por los derechos humanos”, acusó en entrevista con eldiario.es Pablo X. Gonzalez Laporte, fundador de “Mexicanos Contra la Corrupción y la Impunidad”.
En Panamá, la vigilancia ha tenido consecuencias legales en el peldaño más alto de la pirámide gubernamental. Ricardo Martinelli, expresidente del país de 2009 a 2014, tuvo que exiliarse a EEUU tras perder el poder para evitar ser arrestado cuando se destaparon sus practicas de espionaje digital. En junio de este año las autoridades estadounidenses lo detuvieron y lo extraditaron a Panamá, donde está siendo juzgado. Desvió presuntamente 13,4 millones de dólares para comprar Pegasus y vigilar a empresarios rivales y periodistas.
Citizen Lab colaboró con WhatsApp en la investigación del uso que se hizo del agujero de seguridad descubierto en mayo. Sus pistas también apuntan directamente a NSO. “Se ofrecieron como voluntarios para ayudarnos a comprender quién fue afectado por el ataque y se comprometieron con periodistas y defensores de derechos humanos para ayudarlos a protegerse mejor frente a estas amenazas”, refleja Cathcart.
NSO: “Proteger la privacidad permite a los criminales y terroristas esconderse en la oscuridad”
Oficialmente, los software espía desarrollados por NSO, como Pegasus, solo se venden a Gobiernos y agencias de inteligencia para que combatan la delincuencia. No obstante, las pruebas recopiladas a lo largo de los años por Citizen Lab y otras organizaciones como Amnistía Internacional o la Electronic Frontier Foundation apuntan a que no siempre es así y su uso contra la sociedad civil está extendido.
Desde la denuncia de WhatsApp contra la empresa israelí, esta se esfuerza en defender que su trabajo ayuda a los Gobiernos a capturar a criminales y terroristas. “Los terroristas y los delincuentes usan las plataformas y aplicaciones sociales que todos usamos todos los días como vehículo para el terrorismo y la delincuencia”, ha afirmado recientemente su presidenta, Shiri Dolev. La privacidad de los activistas, periodistas o diplomáticos es una víctima colateral de esa seguridad.
Dolev, caracterizada por su actitud esquiva con la prensa y los actos públicos, apareció en un foro público para dar personalmente la versión de la compañía, que desde el principio negó las acusaciones de WhatsApp. “Desearíamos poder responder a lo que se publica sobre nosotros en los medios, pero no podemos revelar quiénes son nuestros clientes o lo que hacen”, dijo.
No solo WhatsApp, la NSO o espacios académicos como Citizen Lab han entrado en el debate. “Hay pocos ejemplos más claros del lado oscuro de la era digital que el de la industria de la vigilancia”, denunció el relator especial de la ONU para la libertad de expresión y opinión, David Kaye, en una tribuna publicada en The Guardian y eldiario.es. La presidenta de la NSO, por su parte, se queja del cifrado de extremo a extremo que asegura la privacidad de las conversaciones en las apps de mensajería como WhatsApp: “Hay información crítica que está oculta en aplicaciones seguras”.