Mark Mazzetti, Ronen Bergman y
Tras un reportaje del Times, la agencia canceló su contrato con un contratista del gobierno. Pero sigue habiendo interrogantes.
Cuando The New York Times informó en abril que un contratista había comprado y utilizado una herramienta de espionaje creada por NSO, la polémica firma de hackeo, para uso del gobierno estadounidense, funcionarios de la Casa Blanca indicaron que desconocían la existencia del contrato y le encomendaron al FBI la tarea de descubrir quién había usado esa tecnología.
Después de realizar la investigación correspondiente, el FBI descubrió al menos una parte de la respuesta: fue el FBI.
Esta herramienta en particular, conocida como Landmark, les permitió a agentes del gobierno rastrear a algunas personas en México sin su conocimiento o consentimiento.
Ahora, el FBI afirma que no sabía nada acerca del uso de la herramienta y que Riva Networks los engañó. En cuanto la agencia descubrió a finales de abril que Riva había utilizado la herramienta en su representación, el director del FBI, Christopher Wray, dio por terminado el contrato, según algunos funcionarios estadounidenses.
Sin embargo, falta responder muchas preguntas. ¿Por qué el FBI contrató a esta empresa (a la que en una ocasión anterior había autorizado a comprar otra herramienta de NSO con un nombre ficticio) para recabar información delicada fuera de Estados Unidos? ¿Por qué, al parecer, hubo tan poca supervisión?
Tampoco se sabe a ciencia cierta si otras agencias del gobierno (y cuáles) además del FBI trabajaron con Riva Networks para aplicar la herramienta de espionaje en México. Dos personas con conocimiento directo del contrato explicaron que se les dio seguimiento a algunos números de teléfono celular en México en 2021, 2022 y este mismo año, que es mucho más tiempo del que el FBI dice haber utilizado la herramienta.
Este episodio ilustra, además, que NSO encontró opciones para generar dinero gracias a sus herramientas a pesar de las medidas enérgicas que la Casa Blanca ha tomado en contra de las empresas extranjeras de programas espías.
Ni Riva Networks ni su director ejecutivo, Robin Gamble, respondieron a varias solicitudes de comentarios sobre las acusaciones del FBI. Cuando un periodista del Times fue a una dirección de la empresa registrada en documentos públicos, la persona que le abrió dijo que nunca ha oído nada de Gamble y se negó a darle su nombre antes de cerrar la puerta.
El FBI, según dijeron varios funcionarios estadounidenses, contrató a Riva Networks, empresa con oficinas en Nueva Jersey, para que le ayudara a localizar a sospechosos de contrabando de drogas y fugitivos en México, pues esa empresa podía explotar vulnerabilidades de las redes celulares del país para rastrear teléfonos celulares en secreto.
Un funcionario de alto rango del FBI comentó que, a principios de 2021, la agencia le dio a Riva Networks varios números de teléfono de México para rastrearlos, como parte de su programa de aprehensión de fugitivos. El funcionario, que, al igual que otros mencionados en este artículo, habló con la condición de permanecer en el anonimato porque la información es delicada, indicó que la agencia creía que Riva Networks estaba utilizando una herramienta de geolocalización propia.
Gracias a la investigación que inició después de la publicación del artículo del Times, el FBI descubrió que, en cierto momento en 2021, Riva comenzó a utilizar Landmark, la herramienta de NSO, sin informárselo, relató el funcionario. Riva renovó su contrato con NSO en noviembre de 2021 y omitió mencionárselo al FBI, según el funcionario.
El FBI les notificó a sus contratistas, incluida Riva, que tenían prohibido utilizar productos de NSO en 2021, según el oficial, quien añadió que el FBI nunca recibió ningún dato de Landmark… o al menos eso le dijo Riva Networks a la agencia.
“Como parte de nuestra misión, el FBI tiene la tarea de localizar a fugitivos en todo el mundo que están acusados en los tribunales de Estados Unidos, incluso por crímenes violentos y tráfico de drogas”, dijo la agencia en un comunicado. “Para lograrlo, el FBI contrata regularmente a empresas que pueden proporcionar asistencia tecnológica para localizar a estos fugitivos que se esconden en el extranjero”.
El comunicado añadió: “El FBI no ha empleado programas espía comerciales extranjeros en estos ni en ningún otro empeño operativo”. Esta herramienta de geolocalización no proporcionó al FBI acceso a un dispositivo, teléfono o computadora real. Seguiremos utilizando legalmente las herramientas autorizadas para proteger a los estadounidenses y llevar a los delincuentes ante la justicia”.
Un funcionario de alto rango en la Casa Blanca le explicó al Times que, al ser Landmark un producto de NSO, el gobierno no está autorizado a usarlo en virtud de una orden ejecutiva nueva que impide que las agencias federales usen herramientas de espionaje producidas por empresas extranjeras de hackeo. No obstante, varios funcionarios estadounidenses aclararon que el gobierno puede emplear herramientas de geolocalización en general, lo cual no constituye una violación de tal orden ejecutiva.
Es común que el FBI, al igual que otras agencias del orden, establezcan convenios con contratistas para el suministro de tecnologías como algunas capaces de infiltrarse en teléfonos tras un ataque terrorista. La comunidad de inteligencia también recurre a contratistas para obtener ciertas habilidades.
Con fundamento en la Ley de Libertad de Información, el Times interpuso un procedimiento contra el FBI para obtener documentos relacionados con la compra de herramientas de NSO, además de documentos sobre la relación de esa agencia con Riva Networks. En documentos enviados al tribunal esta semana, los abogados del gobierno argumentaron que el FBI no tiene ninguna obligación de entregar información sobre Riva Networks porque “los proveedores en cuestión ya ofrecen otros productos que se emplean para efectos de investigación o podrían hacerlo en el futuro”.
El gobierno de Biden incluyó a NSO en la lista negra tras años de escándalos asociados con su principal herramienta de hackeo, Pegasus, utilizada por gobiernos autoritarios y democracias por igual para espiar a periodistas, activistas de derechos humanos y disidentes políticos.
La Casa Blanca se negó a comentar si solicitaría sanciones contra Riva Networks.
Algunas bases de datos del gobierno muestran que Riva Networks ha tenido numerosos contratos lucrativos con agencias de gobierno, como el Departamento de Defensa, el FBI y la Administración de Control de Drogas. Apenas en octubre, se le otorgó a la empresa un contrato para trabajar con el Laboratorio de Investigación de la Fuerza Aérea.
Marc DeNofio, vocero del laboratorio, indicó que el trabajo está casi completo, pero “Riva todavía se encuentra activa porque restan algunas horas de apoyo en su proyecto”.
El FBI también ha estado relacionado con la empresa desde hace varios años. De hecho, la agencia compró a través de Riva Networks el sistema Pegasus, que penetra teléfonos y extrae su contenido sin conocimiento del usuario. La agencia pagó más de 5 millones de dólares para obtener el programa espía entre 2019 y 2021; algunos funcionarios debatieron la posibilidad de utilizarlo en sus investigaciones, aunque a fin de cuentas decidieron no hacerlo.
Las pruebas se realizaron en una de las instalaciones de Riva en Nueva Jersey, donde permanece el sistema Pegasus. El funcionario del FBI señaló que Pegasus estaba inactivo porque la agencia no renovó la licencia de su software.
Cuando compró Pegasus, el FBI usó un nombre ficticio para Riva Networks, Cleopatra Holdings, según dos personas familiarizadas con el contrato. El mismo nombre se empleó en un contrato suscrito en noviembre de 2021 por Riva Networks y NSO con el objeto de comprar Landmark, según una copia vista por el Times.
Gamble, director ejecutivo de Riva, incluso firmó el contrato de adquisición de Landmark con el seudónimo William Malone, según esas personas.
A diferencia de Pegasus, Landmark no penetra teléfonos celulares para extraer información. Más bien, identifica la ubicación de personas individuales a partir de la torre de celular con la que se comunica su teléfono.
El seguimiento de una sola persona puede dar lugar a cientos o miles de consultas individuales de Landmark, o intentos de determinar la ubicación en un momento dado.
En 2017, Saud al-Qahtani, un alto asesor del príncipe heredero de Arabia Saudita, utilizó Landmark para rastrear a disidentes como parte de la brutal campaña del reino para acabar con quienes percibe como sus enemigos. Qahtani también ha sido identificado como la persona que orquestó el asesinato del columnista del Washington Post Jamal Khashoggi en 2018.
En marzo, la Casa Blanca emitió una orden ejecutiva que restringía a las agencias federales el uso de herramientas de software espía de las que han abusado los gobiernos. Días después, un grupo de países en la Cumbre para la Democracia firmó una declaración conjunta de su compromiso para frenar los abusos de las herramientas de piratería informática.
Después, hace unas semanas, el gobierno de Biden incluyó en su lista negra a dos empresas que están en el centro de un escándalo político en Atenas por el uso de programas espía contra políticos y periodistas. Ambas empresas están controladas por un ex general israelí que las ha promocionado como competidoras de NSO.
A pesar de la creciente atención prestada por los gobiernos occidentales a los peligros del software espía comercial, las herramientas siguen proliferando con nuevas empresas —que emplean a veteranos de la ciberinteligencia israelí, algunos de los cuales trabajaron para NSO— que intervienen para llenar el vacío de la lista negra de NSO.
Una investigación de Microsoft y Citizen Lab, una organización de investigación con sede en la Universidad de Toronto, vinculó recientemente el malware producido por QuaDream, una empresa israelí, con el hackeo de periodistas, figuras de la oposición política y al menos un trabajador de una organización no gubernamental en numerosos países.
QuaDream, al igual que NSO y otras empresas comerciales de software espía, “emplea prácticas empresariales complicadas y opacas que pueden estar diseñadas para eludir el escrutinio público y la rendición de cuentas”, según la investigación.
Fuente: nytimes.com