WhatsApp ha iniciado una demanda contra el NSO Group en Estados Unidos, después de que su plataforma fuera utilizada por atacantes durante un período de dos semanas, de abril a mayo de 2019, para intervenir los smartphones de 1.400 de sus usuarios. La herramienta de hackeo utilizada fue el spyware ‘Pegasus’, creado y distribuido por NSO Group. WhatsApp contó con la ayuda de investigadores de Citizen Lab, entidad adscrita a la Universidad de Toronto Munk School.
NSO Group, con base en Israel, rechaza cualquier responsabilidad e insiste en que su software espía sólo se vende a clientes gubernamentales “con el fin de rastrear a terroristas y otros criminales”.
En su investigación conjunta, The Guardian y El País revelan que el presidente del Parlamento catalán, Roger Torrent, y al menos otros dos partidarios de la independencia fueron informados de que el año pasado fueron objeto de lo que los expertos consideraron un “posible caso de espionaje político interno” en Europa.
De acuerdo con la demanda estadounidense, el spyware explotó una vulnerabilidad del software de WhatsApp que dio al operador acceso potencial a todo lo que había en el teléfono móvil de la víctima, incluyendo correos electrónicos, mensajes de texto y fotografías. Pegasus también hace posible encender el micrófono y cámara del teléfono, convirtiéndolo en un dispositivo de escucha.
Torrent, que fue notificado de la situación por los investigadores de Citizen Lab, dijo que parecía claro que el “Estado español” estaba detrás del supuesto ataque a su teléfono, y que creía que muy probablemente había ocurrido sin ninguna autorización judicial. Torrent expresó su consternación por el hecho de que pudiera haber sido vigilado por el gobierno central.
“Parece una injusticia que se espíe a los políticos en una democracia con un estado de derecho”, dijo Torrent. “También me parece inmoral que se gaste una gran cantidad de dinero público en la compra de software que puede ser usado como herramienta para la persecución de disidentes políticos”.
Torrent dijo que pediría una investigación. También confirmó que observó “comportamientos sospechosos” en su teléfono móvil en 2019 y antes, incluida la desaparición de los mensajes de WhatsApp. Una de estas anomalías habría ocurrido en mayo de 2019 en una reunión en Estrasburgo con la comisaria de Derechos Humanos del Consejo de Europa, Dunja Mijatvic.
Citizen Lab dijo en un memorándum a Torrent que esta actividad sospechosa sugería que su teléfono había sido infectado con éxito.
Además de Torrent, los ataques afectaron a otros dos individuos pro-independentistas, Anna Gabriel, ex diputada, y Jordi Domingo, que cree que no era el verdadero objetivo del ataque, sino un político con el mismo nombre.
El Centro Nacional de Inteligencia (CNI) de España dijo en un comunicado que actúa “de plena conformidad con el ordenamiento jurídico y con absoluto respeto a las leyes aplicables” y que su labor es supervisada por el Tribunal Supremo de España. No respondió a preguntas específicas sobre el presunto uso de programas espía del Grupo NSO.
En un comunicado, la oficina del presidente del gobierno español dijo: “El gobierno no tiene constancia de que el presidente del Parlament de Cataluña, Roger Torrent, haya sido objeto de un hackeo”. En el comunicado se agrega, en líneas generales, que cualquier operación con un teléfono móvil se realiza siempre de acuerdo con la autorización judicial correspondiente.
En los tribunales de los Estados Unidos, en respuesta a las demandas de WhatsApp, el NSO Group ha negado las acusaciones de que tenga alguna responsabilidad en el ataque a los individuos y ha dicho que no operaba la tecnología en sí misma. “Los clientes del gobierno hacen eso, tomando todas las decisiones sobre cómo usar la tecnología. Si alguien instaló Pegasus en cualquiera de los supuestos ‘dispositivos objetivo’ no fue el NSO Group. Habrá sido una agencia de un gobierno soberano”.
The Guardian y El País solicitaron un comentario a NSO Group, que respondió que la empresa opera bajo “políticas de gobernanza líderes en la industria” y que no podía confirmar ni negar qué autoridades utilizan su tecnología debido a las limitaciones de confidencialidad. “Una vez más, los comentarios especulativos de CitizenLab sólo sirven para poner de relieve su agenda continua, ingenua y encubierta, que no aborda de manera competente los desafíos que enfrentan los organismos de orden público”, dijo un portavoz del Grupo NSO.
Mathias Vermeulen, director de políticas públicas de AWO, un organismo especializado en derechos de datos con sede en Bruselas, dijo que la noticia resonaría en Bruselas, donde la privacidad ha estado en el centro de la agenda política durante un decenio. “Aunque hay bastante vacilación por parte de las instituciones europeas y los estados miembros para involucrarse en las luchas internas sobre el poder político, si estas alegaciones apuntan en dirección al estado español, entonces creo que estamos entrando en un nivel completamente nuevo de controversia dentro de Bruselas”, dijo. “Algunos estados miembros con un pasado más autoritario – como Alemania – son sensibles a cualquier acusación de vigilancia de los oponentes políticos. Esto trae de vuelta algunos de los períodos más oscuros de la historia de Europa”.
Ilustración: fotograma, YouTube, entrevista a Roger Torrent por El HuffPost