Es noticia
El millonario israelí que vende software espía a medio mundo para colarse en tu móvil
  1. Tecnología
juzgado en EEUU y señalado en otros países

El millonario israelí que vende software espía a medio mundo para colarse en tu móvil

Su empresa vale más de 1.000 millones de dólares y se ha visto involucrada en supuestos espionajes en más de una decena de países. Este es Shalev Hulio y esta es la historia de NSO Group

Foto: Shalev Hulio, CEO de NSO Group, entrevistado en el programa '60 Minutes'.
Shalev Hulio, CEO de NSO Group, entrevistado en el programa '60 Minutes'.

No es una persona que acostumbre a salir en los medios de comunicación ni en la escena pública. Puede andar tranquilamente por la calle sin que el 99,9% de la población sepa quién es. Sin embargo, ahora mismo es apuntado como uno de los mayores responsables de la ciberguerra que se está librando en todo el mundo. Una ciberguerra que no tiene armas convencionales, sino que se dirige y se ejecuta tras la pantalla de un ordenador.

Shalev Hulio es el CEO de NSO Group, una compañía israelí de ciberinteligencia que actualmente está de actualidad en España: según Citizen Lab, NSO vendió un 'software' (Pegasus) con el que se espió el teléfono móvil del presidente del Parlament de Cataluña, Roger Torrent, así como el de Ernest Maragall y otras personalidades del independentismo catalán. Desde el Govern, de hecho, se acusa al CNI de haber comprado ese 'software' y ejecutado el espionaje.

Foto: Roger Torrent, presidente del Parlament. (Reuters)

Pero lo cierto es que a Shalev Hulio lo está señalando medio mundo: Estados Unidos lo acusa de espiar 1.400 móviles, mientras que su empresa ha sido relacionada con el 'hackeo' al móvil de Jeff Bezos, CEO de Amazon, con un ciberataque a WhatsApp e incluso con más de una decena de ciberespionajes a personalidades públicas y activistas de los derechos humanos en países como Arabia Saudí, Israel, Estados Unidos, Turquía, Tailandia, Qatar, Kenia, Uzbekistán, Mozambique, Marruecos,Yemen y Hungría. Esta es la larga y (muy) polémica historia de Shalev Hulio y NSO Group.

Una empresa de espionaje de 1.000M$

NSO Group nació en 2010 en Herzliya, una ciudad de 93.000 habitantes situada cerca de Tel Aviv. Lo hizo de mano de Shalev Hulio, Niv Carmi y Omri Lavie, tres antiguos agentes del cuerpo de ciberinteligencia del ejército de Israel. Lo hizo, según sus propias palabras, para permitir a los gobiernos "monitorizar y capturar a terroristas, traficantes de droga, pedófilos y otros criminales con acceso a tecnología avanzada". Para el inicio de sus operaciones, la empresa contó con un fondo de inversión, Genesis Partners, que invirtió 1,8 millones de dólares para hacerse con el 30% de sus acciones.

El primer gran contrato conocido de NSO llegó en 2012, cuando el Gobierno de México le pagó 20 millones de dólares para luchar contra el narcotráfico. Una de sus mayores víctimas fue el Chapo Guzmán, atrapado precisamente gracias a la tecnología israelí. La popularidad de NSO subió tanto que en 2014 el fondo Francisco Partners decidió comprarla por 130 millones de dólares... y apenas un año después, con cerca de 500 empleados, la puso en venta por 1.000 millones de dólares, casi 10 veces lo que había pagado por ella en 2014. La 'oferta' no tuvo mucho éxito, pero en 2019 Hulio y Lavie consiguieron recomprar su propia empresa gracias a la ayuda del fondo londinense Novalpina Capital.

placeholder El Chapo Guzman fue capturado gracias a la tecnología de NSO. (Reuters)
El Chapo Guzman fue capturado gracias a la tecnología de NSO. (Reuters)

¿Por qué los fundadores vendieron su empresa para después recomprarla? Fácil: en aquellos años, NSO Group explotó sus operaciones en todo el mundo y tenía cada vez a más Estados de todos los rincones del mundo en su lista de clientes. La lista de polémicas es larga: en 2015, NSO Group habría vendido su 'software' espía al Gobierno de Panamá, en 2016, habría infectado y espiado el móvil del activista Ahmed Mansoor en Emiratos Árabes Unidos, en 2017, los de varios periodistas mexicanos, y en 2018, un empleado fue condenado por intentar vender su 'software' por 50 millones de dólares en criptomonedas. Además, la investigación de 2018 en México reveló que NSO podría estar tras diversos espionajes en otros países como Turquía, Tailandia, Qatar, Kenia, Uzbekistán, Mozambique, Marruecos, Yemen y Hungría.

No acaban aquí los conflictos. En 2019, Amnistía Internacional acusó a la empresa de ayudar a Arabia Saudí a espiar a un miembro de su organización que defendía los derechos humanos en su país. La relación de NSO con dicho Estado acabó poco después, cuando se especuló con la posibilidad de que la empresa hubiese espiado al periodista Jamal Khashoggi pocos meses antes de ser asesinado.

NSO Group ha sido acusada de vender 'software' espía a gobiernos de más de una decena de países en todo el mundo

En mayo de 2019, WhatsApp denunció a NSO Group, acusándola de aprovechar una vulnerabilidad de sus sistemas para infectar los teléfonos móviles a través de su función de videollamada. La compañía de Facebook aseguró en su denuncia que las víctimas de estos ataques fueron 1.400 usuarios en 20 países, incluidos "al menos 100 defensores de los derechos humanos, periodistas y otros miembros de la sociedad civil".

El presunto espionaje a Roger Torrent y a diversas personalidades del independentismo catalán, por tanto, es una más de las infinitas operaciones de supuesto espionaje en que se ha visto envuelto Shalev Hulio, al frente de una empresa que ronda una valoración de 1.000 millones de dólares merced a un modelo de negocio tan polémico como lucrativo.

placeholder Foto: Reuters.
Foto: Reuters.

¿Qué es Pegasus y cómo funciona?

Todas las polémicas de NSO Group giran en torno a Pegasus, su 'software' de vigilancia y espionaje. Hay un detalle llamativo en toda esta historia: en octubre de 2012, el estado de Israel lo catalogó oficialmente como un arma, con lo que se arrogó la autoridad para decidir a quién podía vendérsela NSO y en qué condiciones. Finalmente autorizó su venta, pero solo a los gobiernos que Israel le autorizase, en ningún caso a empresas privadas. Esa es precisamente la condición a la que se agarra el Govern de Torra para acusar al CNI de estar tras el espionaje a Torrent.

Pegasus puede llegar al teléfono móvil de sus víctimas mediante dos vías:

  1. Videollamada de WhatsApp. A raíz del fallo de seguridad detectado en 2019, el 'software' puede instalarse en el móvil a través de una videollamada. Lo más alarmante es que ni siquiera hace falta que la víctima la responda: una videollamada 'perdida' es suficiente para contagiar el teléfono. Según Citizen Lab, esa fue la forma empleada por NSO Group para entrar en el móvil de Roger Torrent.
  2. SMS con enlace malicioso. El 'software' también puede llegar a través de un SMS. La víctima recibirá un mensaje de texto incitándole a pinchar en un enlace. Si lo hace, automáticamente Pegasus se instalará en su teléfono.

Una vez instalado, el poder de Pegasus es casi infinito. Según un informe de Citizen Lab al que accedió 'El País', este 'software' puede escuchar las llamadas de teléfono, acceder a su historial de navegación, activar la cámara y el micrófono o acceder de manera impune a todo el contenido de conversaciones en aplicaciones como Gmail, Facebook, WhatsApp, Telegram y Skype. También, según el 'Financial Times', puede acceder a los datos de la nube del usuario e incluso suplantar su identidad a la hora de acceder al correo electrónico. Se trata, en definitiva, de un control total sobre el dispositivo, que quedará a merced de los ciberespías sin que la víctima llegue siquiera a percatarse de lo que está pasando.

placeholder Foto: Reuters.
Foto: Reuters.

Shalev Hulio, ¿un villano o un simple vendedor?

Llegados a este punto cabe preguntarse por el papel y la responsabilidad de Shalev Hulio y NSO Group en este sinfín de polémicas. ¿Son los villanos del cuento por desarrollar 'software' que saben que puede utilizarse de manera cuestionable? ¿O se trata de una empresa que comercializa 'software' de ciberdefensa y las culpas hay que echárselas a los gobiernos que lo emplean con fines ilícitos?

Para Javier Rodríguez, un experto en ciberguerra de la empresa española Tarlogic, "NSO Group es una empresa que desarrolla tecnología al igual que otras empresas fabrican fusiles. Cuando hay una guerra, ¿a quién culpa la gente, al fabricante de armas o al Gobierno que las usa? Infectar un móvil es muy complicado, descubrir una vulnerabilidad en los iPhone igual puede valer un millón de euros. NSO encontró un foco de infección en el que, además, no hace falta que el usuario haga nada, basta con que responda una videollamada".

"NSO hace tecnología como otras empresas hacen fusiles. En una guerra, ¿a quién culpamos, al fabricante de armas o al Gobierno que las usa?"

La moralidad de todo esto ya es otro asunto. "La gente se está fijando en la empresa, pero debería fijarse en quién usa esa tecnología. Vender y comprar este tipo de herramientas es lícito, lo hacen todos los países. El debate es a quién debes vendérselas y a quién no, porque el uso de estas herramientas tiene que estar delimitado por las leyes de cada país. Cada país tiene una serie de 'amenazas' y usa esta tecnología contra ellas, pero claro, lo que en un país puede ser una amenaza, como los activistas políticos, para nosotros claramente no lo es. El problema es esa doble moral, porque esto es un debate no solo tecnológico, sino también geopolítico".

Rodríguez, eso sí, no tiene dudas a la hora de asegurar que NSO Group difícilmente podría no saber para qué se iba a usar su herramienta: "Cuando una empresa hace una tecnología así la hace muy a medida de cada cliente. No se trata de venderle un 'software' y ya está, sino que se suele también dar un periodo de mantenimiento, de actualizaciones, de dudas y consultas, de aprender a utilizarlo... La empresa debe de tener conocimiento de cómo se está usando".

Para Yolanda Quintana, periodista y autora del libro 'Ciberguerra', que en 2017 ya denunció públicamente las prácticas de NSO Group y el supuesto uso de 'spyware' por parte del CNI en España, "el uso de estas herramientas se puede justificar con un control judicial motivado y de manera proporcionada, pero esos son casos contadísimos: hasta la lucha contra el terrorismo se debe hacer dentro los límites legales y con herramientas legales".

"Lo venden a regímenes autoritarios para controlar a disidentes sin autorización judicial, es un uso ilegítimo y contrario a los derechos humanos"

En este caso, además, "esta herramienta se está vendiendo a regímenes autoritarios para controlar a disidentes o a activistas sin autorización judicial y con el fin de desacreditarlos o perseguirlos, es un uso ilegítimo y contrario a los derechos humanos más fundamentales". Ella tiene claro que "cuando se hace un uso ilegítimo la responsabilidad última es del Gobierno en cuestión, pero la empresa también es responsable, sobre todo si tiene constancia del uso que se le está dando. Y cuando tratas con ciertos regímenes ya sabes qué uso se le va a dar".

Al final todo gira en torno a un cruce de acusaciones por parte de estados, empresas, cargos políticos y organizaciones dedicadas al ciberespionaje. Y en el centro de todo el debate, como casi siempre en los últimos años, están Shalev Hulio y la industria milmillonaria que ha creado en torno a un negocio tan lucrativo como cuestionado: el espionaje y la ciberguerra.

No es una persona que acostumbre a salir en los medios de comunicación ni en la escena pública. Puede andar tranquilamente por la calle sin que el 99,9% de la población sepa quién es. Sin embargo, ahora mismo es apuntado como uno de los mayores responsables de la ciberguerra que se está librando en todo el mundo. Una ciberguerra que no tiene armas convencionales, sino que se dirige y se ejecuta tras la pantalla de un ordenador.

Ciberespionaje Jeff Bezos
El redactor recomienda