Incidentes Asociados
El fabricante israelí de software espía Paragon ha cancelado sus acuerdos con Italia, incluyendo la desconexión de su acceso a Graphite, una tecnología de vigilancia de grado militar capaz de hackear smartphones cifrados.
La decisión se produce tras las acusaciones de WhatsApp del viernes de que el software se utilizó para vulnerar las cuentas de casi 100 periodistas y activistas de la sociedad civil, tres de las cuales son posibles víctimas y críticas activas del actual régimen italiano de la primera ministra de extrema derecha Giorgia Meloni.
Paragon trabaja exclusivamente con entidades estatales, incluyendo el sistema de seguridad israelí, el FBI y otras en EE. UU., proporcionándoles capacidades de piratería informática mediante el software espía Graphite. También cuenta con varios clientes en Europa, concretamente en la UE, entre ellos Italia, donde colabora con dos organismos diferentes: una agencia del orden público y una organización de inteligencia.
Esta es la primera vez que la empresa, recientemente vendida a un contratista de defensa estadounidense, ha sido vinculada a casos de posible abuso de la tecnología.
Fuentes con conocimiento del incidente informaron a Haaretz que, tras las revelaciones, Paragon exigió a Italia que respondiera a las acusaciones y les proporcionara detalles sobre el presunto hackeo. A principios de esta semana, los dos clientes italianos fueron desconectados de Graphite y perdieron el acceso al software espía.
El miércoles, el gobierno italiano respondió a las acusaciones sobre la supuesta vulneración, desmintiéndolas a Paragon y posteriormente al público mediante un comunicado de la Oficina del Primer Ministro.
El comunicado desmintió dirigido a periodistas e incluso pareció culpar a otros países europeos: "Los usuarios involucrados hasta el momento pertenecen a números con prefijos telefónicos atribuibles, además de a Italia, a los siguientes países: Bélgica, Grecia, Letonia, Lituania, Austria, Chipre, República Checa, Dinamarca, Alemania, Países Bajos, Portugal, España y Suecia", declaró Italia, proporcionando de facto una lista de clientes de Paragon en la UE, excepto Letonia y Grecia, con los que no se sabe que la firma trabaje. La autoridad de privacidad griega confirmó que varios ciudadanos griegos recibieron notificaciones de que ellos también podrían haber sido hackeados.
Al parecer, Paragon no aceptó la explicación italiana. El jueves por la mañana, se supo —inicialmente en The Guardian y posteriormente confirmado por Haaretz— que los propietarios estadounidenses de Paragon y la dirección israelí habían decidido no restablecer el acceso a los clientes italianos y romper todos los vínculos con el país con efecto inmediato. Una posible explicación es que Paragon cree que los italianos mienten, ya que la empresa puede revisar el uso que los clientes hacen de su sistema cuando existen sospechas creíbles de uso indebido o incumplimiento de su supuesto "acuerdo de usuario final", como supuestamente ocurrió en este caso.
Graphite y Pegasus, fabricados por NSO, el competidor más famoso de Paragon, (https://www.haaretz.com/israel-news/security-aviation/2024-12-21/ty-article/.premium/whatsapp-wins-lawsuit-against-israels-nso-group-accused-of-phone-hacking/00000193-e96a-d17a-a193-f96be1c20000), se desarrollaron para la lucha contra el terrorismo y la prevención de delitos graves, delitos que, según las leyes israelíes de exportación de defensa, conllevan una pena mínima de seis años. Fuentes familiarizadas con las exportaciones cibernéticas ofensivas afirman que si uno de los dos clientes italianos de Paragon efectivamente utilizó el software espía para piratear los dispositivos de un periodista y un activista político, habría violado tanto las regulaciones de exportación israelíes como los términos contractuales de la empresa.
Como resultado, se esperaba que Paragon exigiera una explicación al cliente, quien tendría que justificar las infracciones o se arriesgaría a perder su licencia y ser desconectado del sistema.
NSO ha bloqueado previamente a sus clientes en Polonia, Hungría y Arabia Saudita tras revelarse públicamente que habían hecho un uso indebido de Pegasus, incluso atacando a periodistas y disidentes políticos.
Las últimas noticias desafían la imagen que Paragon ha cultivado durante mucho tiempo como una empresa "limpia" y "responsable". El caso italiano es la primera prueba real para la empresa, que desde hace tiempo se ha presentado como comprometida con los derechos humanos y se ha comprometido a romper vínculos con los clientes que utilizan su software espía contra periodistas.
Si alguno de los clientes italianos de Paragon utilizaba Graphite contra objetivos de la sociedad civil, especialmente periodistas, Paragon estaría obligado a rescindir el contrato y desconectarlos de su sistema. En casos anteriores de abuso de Pegasus, se cortó el acceso a clientes en Polonia, Hungría y Arabia Saudita, aunque esto se hizo por iniciativa de NSO. Paragon ha declarado anteriormente que rechazó las ofertas de estos países y de otros con los que NSO seguía trabajando, como México. Un caso particularmente polémico es el llamado escándalo CatalanGate, relacionado con el uso de Pegasus de NSO por parte de España. (https://www.haaretz.com/israel-news/tech-news/2022-04-24/ty-article/.premium/democracies-dont-spy-on-citizens-catalan-leader-infected-with-pegasus-speaks-out/00000180-6563-d5ca-a986-7f6f2b560000) Como expuso The New Yorker, el gobierno español —irónicamente, blanco del ciberespionaje marroquí— utilizó Pegasus para espiar a los líderes catalanes. El caso se consideró dudoso porque, si bien el movimiento nacionalista catalán es no violento y aboga por la independencia por la vía democrática, las autoridades de seguridad españolas podrían haber considerado justificada dicha vigilancia. Como resultado, España no quedó aislada. En términos más generales, Israel nunca ha obligado a ninguna empresa de ciberseguridad a romper vínculos con ningún cliente. En el caso de Arabia Saudita, después de que NSO cortara el acceso al reino de Pegasus, las autoridades israelíes incluso presionaron a la empresa para que la restableciera, una solicitud que NSO rechazó.
En agosto de 2022, Haaretz reveló que, a pesar de las fuertes críticas de los países europeos contra la industria cibernética israelí, este sigue siendo su principal cliente. Representantes de la comisión de investigación del Parlamento Europeo sobre el software espía Pegasus visitaron Israel, donde funcionarios de NSO revelaron que la empresa tenía contratos activos con 12 de los 27 Estados miembros de la UE. Las respuestas internas de la empresa a las preguntas de la comisión, obtenidas por Haaretz en aquel momento, mostraron que NSO colaboraba con 22 agencias europeas de seguridad y aplicación de la ley.
La delegación de la comisión llegó a Israel durante el verano de 2022 para estudiar la industria cibernética ofensiva del país y mantuvo conversaciones con representantes de NSO, funcionarios del Ministerio de Defensa israelí y expertos locales. Entre los miembros de la comisión se encontraba un diputado catalán cuyo teléfono había sido pirateado por un cliente de NSO.
La comisión se creó en respuesta a la investigación del Proyecto Pegasus en 2021, con el objetivo de elaborar normativas a nivel de la UE sobre la compra, importación y uso de herramientas cibernéticas ofensivas como Pegasus. Sin embargo, durante la estancia de los miembros de la comisión en Israel, y aún más tras su regreso a Bruselas, se hizo evidente que Europa también cuenta con una industria cibernética ofensiva bien desarrollada, cuyos clientes son muchos de ellos gobiernos europeos. Ahora, con el ascenso de gobiernos como el de Meloni en Italia y el regreso de Donald Trump a la Casa Blanca, se está reavivando el debate tanto en Europa como en Estados Unidos sobre la tecnología de vigilancia y la suposición de que las democracias occidentales son menos propensas a abusar de ella. Es probable que esta última revelación reavive las demandas para prohibir la venta de estas tecnologías en todas partes.
El investigador de Citizen Lab, John Scott-Railton, declaró a Haaretz el miércoles que el descubrimiento del software espía Paragon dirigido a usuarios de WhatsApp "es un recordatorio de que el software espía mercenario continúa proliferando y, a medida que lo hace, seguimos observando patrones familiares de uso problemático".
Scott-Railton añadió: «Italia tiene un problema con Paragon, y ahora Paragon tiene un problema con Italia. El modelo de negocio de software espía mercenario es defectuoso y ninguna estrategia de marketing eficaz sobrevivirá a la confrontación con casos reales. Las democracias también sufren abusos de vigilancia, e ignorar ese hecho histórico fundamental es una excusa. Estamos en 2025, y una empresa de software espía que no sea constantemente escéptica con todos sus clientes está actuando deliberadamente ciegamente».