Ya llevamos varios días hablando sobre la filtración de la contratación de 50.000 licencias del software de interceptación de comunicaciones móviles Pegasus, de la empresa privada NSO Group. Dicho software se puede adquirir únicamente por parte de gobiernos, fuerzas y cuerpos de seguridad y agencias de inteligencia de todo el mundo.
La noticia saltó a la luz pública porque algunos de los gobiernos, unidades policiales o agencias de inteligencia, han usado presuntamente dichas licencias para acceder al conocimiento de las comunicaciones que periodistas y personalidades de todo el mundo estaban teniendo.
No se conoce el origen de la fuente de información ni la validez de la misma, pero el presunto listado de los propietarios de los teléfonos que estaban intervenidos con las licencias adquiridas por parte de diferentes gobiernos, incluiría el nombre de la esposa y la prometida del periodista disidente saudí Yamal Jashogi, asesinado en el Consulado saudí en Estambul. También los de periodistas de la CNN, The Associated Press, Voice of America, The New York Times, The Wall Street Journal, Bloomberg, Le Monde, Financial Times.
¿Qué es un software de intervención de comunicaciones y cómo se usa?
La licencia de un software de estas características roza el millón de euros, precio bastante estándar para este tipo de soluciones. El objetivo de este tipo de software es acceder de forma silenciosa y no invasiva (no perceptible a los ojos del usuario final, el target) para que el comprador de la licencia de dicho software pueda visualizar de forma remota las informaciones y comunicaciones que pasan en este dispositivo (envía y recibe).
¿Cómo se infecta un dispositivo?
Hay multitud de formas de instalar un software de estas características, pero el más habitual, y el más económico también, es el que requiere de la interacción por parte del usuario, mediante el clic en un enlace, imagen, documento... desde el propio dispositivo. Hay otros software menos económicos, pero también menos escandalosos a la hora de alertar de la instalación de dicho software que cuentan con tecnología cero clic, es decir que no requiere de la interacción del usuario.
¿Qué dicen las empresas de desarrollo de software sobre estas noticias?
En el ámbito de la seguridad, igual que en el de la Medicina o en el de múltiples profesiones, es conocida la inestimable relación entre el sector público y privado. El sector público se beneficia del desarrollo I+D con el que cuentan empresas privadas que gracias a ello pueden dotar al sector público de mejores y más novedosas soluciones de software.
Como en cualquier empresa privada que opere en Europa, deben proteger los datos de sus clientes con el Reglamento Europeo de protección de Datos, y por tanto ninguna empresa, excepto con mandamiento judicial, deberán revelar ningún tipo de información.
Hay mucha fantasía tras las opiniones vertidas esta semana y un desconocimiento abismal sobre el ámbito de la ciberseguridad y la obtención de inteligencia. El desconocimiento en este ámbito es en parte comprensible, por tratarse de un ámbito técnico, por estar en un país en el que la cultura de inteligencia y de defensa ha quedado totalmente politizada y porque desde el auge de las redes sociales, cualquier persona, sin conocimiento ni experiencia puede ser en cambio un altavoz.
A estas alturas no me sorprende nada que haya quien se ha fijado más en el país de origen del software que en quién lo ha contratado, para qué y por qué una empresa privada no ha revelado los nombres de sus clientes, ni debe hacerlo nunca.
Por experiencia profesional propia, y por la relación de mi empresa y mi persona con tecnología proveniente de muchos países del mundo, debo reconocer que los desarrolladores y distribuidores de software se toman muy en serio la privacidad de sus clientes, viven de la confidencialidad y la profesionalidad, y están obligados al cumplimiento de Due Diligencies, por tanto no venden sus productos a cualquier empresa, y por supuesto este tipo de soluciones solo se venden a Gobiernos, y no a todos, por el coste y por no pertenecer a regímenes democráticos, para el trabajo de sus agencias de inteligencia y fuerzas y cuerpos de seguridad del Estado para trabajar en Counter Terrorism, Money Laundry y para el trabajo contra organizaciones criminales.
Selva Orejón es profesora de EAE Business School.