Estados Unidos incluyó a NSO Group, la compañía israelí de spyware militar que creó programas informáticos para rastrear los teléfonos de periodistas y activistas de derechos humanos de todo el mundo, en una lista negra comercial, ya que busca hacer frente a la creciente amenaza de vigilancia que suponen las compañías de piratería informática por encargo.
NSO y un competidor, Candiru, con sede en Tel Aviv, se encuentran entre las cuatro empresas que el Departamento de Comercio de EU añadió ayer a su denominada lista de entidades, que restringe las exportaciones de hardware y software de Estados Unidos a estas compañías.
Grupos como NSO utilizan versiones de desarrolladores de programas operativos populares para crear zero-click exploits (ataques de clic cero), que no requieren que el usuario abra un enlace malicioso para desplegarse, de acuerdo con una persona familiarizada con sus prácticas.
NSO señaló en un comunicado que están “consternados por la decisión, dado que nuestras tecnologías apoyan los intereses y las políticas de seguridad nacional de EU al prevenir el terrorismo y el crimen, y por tanto abogaremos para que se revierta esta decisión”.
“Esperamos presentar la información completa sobre cómo tenemos los programas de cumplimiento y derechos humanos más rigurosos del mundo que se basan (en) los valores estadunidenses que compartimos profundamente, algo que ya dio a lugar a múltiples ceses de contactos con agencias gubernamentales que hacían un mal uso de nuestros productos”, indicó la firma.
Estar en la lista negra de las exportaciones de EU puede significar que “están acabados”, dijo Eitay Mack, un abogado israelí de derechos humanos que ha hecho campaña por años para que el gobierno de su país revoque la licencia de exportación de NSO, con poco éxito.
“NSO ha intentado durante años estar en el ‘lado bueno’, para tratar de afirmar que sus actividades son irreprochables”, dijo John Scott-Railton, del Citizen Lab de la Universidad de Toronto. “Esta designación nos da la señal más fuerte de la opinión de Estados Unidos sobre NSO, lo que sugiere que tienen una opinión poco favorable… y ven las actividades de la empresa como potencialmente contrarias a la seguridad nacional de EU”.
El Departamento de Comercio de EU afirmó que la designación de las dos compañías se “basó en la evidencia de que estas entidades desarrollaron y suministraron spyware a gobiernos extranjeros que utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y empleados de embajadas”.
“Estas herramientas también han permitido a los gobiernos extranjeros llevar a cabo la represión transnacional, que es la práctica de los gobiernos autoritarios de atacar a los disidentes, periodistas y activistas fuera de sus fronteras soberanas para silenciar la disidencia”, indicó el departamento.
En el pasado, NSO alquiló espacio en servidores de empresas como Amazon Web Services y lo utilizó para entrar subrepticiamente en teléfonos y computadoras, según denunció Facebook en una demanda presentada contra la compañía en EU. Al parecer, Amazon cerró ese acceso en julio, después de que un informe de Amnistía Internacional detallara el supuesto uso de otros servicios de Amazon para realizar hackeos.
En la demanda de Facebook, se alega que NSO se aprovechó de una vulnerabilidad de WhatsApp para distribuir su software espía. NSO pidió que se desestime la demanda.
Aunque no está claro qué efecto tendrá esta medida en las capacidades técnicas de NSO, Candiru y las otras dos empresas incluidas en la lista negra, la decisión del Departamento de Comercio respalda las conclusiones del Citizen Lab de la Universidad de Toronto y de Amnistía Internacional de que los regímenes represivos abusan de manera regular de sus herramientas.
Danna Ingleton, subdirectora de Amnesty Tech de Amnistía Internacional, afirmó en un comunicado que, además de enviar un “mensaje contundente” a NSO, la medida también representa “un día de ajuste de cuentas para los inversionistas de NSO Group”.
NSO, la mayor de las empresas israelíes de guerra cibernética más grandes y conocidas, señaló en repetidas ocasiones que solo vende su arma a naciones para luchar contra el terrorismo y los delitos graves, y con la aprobación del gobierno israelí. No fue posible contactar con Candiru para que hiciera comentarios.
El año pasado se reveló que el software de grado militar con licencia de NSO, Pegasus, se utilizó para atacar los smartphones de 37 periodistas, activistas de derechos humanos y otras figuras prominentes. Los medios franceses informaron que Marruecos lo utilizó para espiar a altos funcionarios, incluido el teléfono personal del presidente Emmanuel Macron.
Según una investigación de Microsoft y el Citizen Lab de la Universidad de Toronto, Candiru aprovechó vulnerabilidades en productos de Microsoft y Google, lo que permitió a los gobiernos hackear las laptops de más de 100 periodistas, activistas y disidentes políticos en todo el mundo.
El Departamento de Comercio también agregó a su lista a una compañía rusa, Positive Technologies, y a Computer Security Initiative Consultancy, con sede en Singapur, alegando que “trafican con herramientas cibernéticas” utilizadas para obtener acceso no autorizado a sistemas informáticos.
Gina Raimondo, secretaria de Comercio, declaró que Estados Unidos está “comprometido a utilizar de manera agresiva los controles de exportación para que haya una rendición de cuentas por parte de las empresas que desarrollan, trafican o utilizan tecnologías para llevar a cabo actividades maliciosas que amenazan la ciberseguridad de los miembros de la sociedad civil, los disidentes, los funcionarios gubernamentales y organizaciones aquí y en el extranjero”.
Kevin Wolf, socio del bufete de abogados Akin Gump y antiguo alto funcionario de comercio, dijo que las compañías estadunidenses a menudo “optan por evitar por completo hacer negocios con las entidades que se incluyen en la lista para eliminar el riesgo de una violación involuntaria y los costos de realizar complejos análisis jurídicos”.