El año pasado en Hungría, seis personas descubrieron que sus teléfonos habían sido pirateados por Pegasus del grupo NSO, luego de que el Proyecto Pegasus, una investigación de 17 medios de comunicación en diferentes países, les informara. No hay evidencia directa de que el gobierno húngaro haya utilizado este software espía contra periodistas y activistas locales, dice Ádám Remport, oficial legal de la Unión de Libertades Civiles de Hungría, que representa a víctimas de piratería en un caso legal contra el estado. En cambio, es un caso de conectar los puntos. “Sabemos que Hungría compró Pegasus. Sabemos que estas personas estaban en campos que son incómodos para el gobierno”, dice, y agrega que las personas atacadas eran periodistas y activistas que descubrieron la corrupción y las conexiones de Hungría con Rusia. “Creo que no hay otros posibles sospechosos que pudieran haber llevado a cabo estos actos”.
Tras las revelaciones sobre el uso de spyware NSO en Hungría y Polonia, los miembros del Parlamento Europeo iniciaron una rara investigación en abril, cuyo enfoque en Pegasus fue tan marcado que se denominó comité PEGA.
Algunos en Israel creen que el enfoque en el Grupo NSO es desproporcionado. “Existe la sensación en Israel de que una buena parte de esto es solo un ataque a Israel, y si fuera cualquier otro país, no habría habido tanto ruido al respecto”, dice Chuck Freilich, exasesor adjunto de seguridad nacional. En Israel. “Hay empresas y otros países que hacen exactamente lo mismo o casi exactamente lo mismo. Simplemente no lo hacen tan bien”.
El grupo NSO no merece menos escrutinio, pero otras empresas de software espía merecen más, dice Albrecht de Lookout. Aunque las víctimas de otras firmas de spyware no son tan conocidas como Jamal Khashoggi, el El Correo de Washington columnista que fue asesinado después de que su teléfono fuera pirateado con Pegasus, hay indicios de que otras compañías permiten la piratería que se consideraría controvertida. “Hemos visto indicios de que el software espía RCS Lab se está utilizando en Siria, específicamente en lo que se conoce como la región de Rojava, el área donde se encuentra principalmente la población de la minoría kurda”, dice.
Para algunos, la situación en Grecia refuerza el argumento de que debe haber una regulación en toda la industria. “Incluso si NSO Group cierra mañana debido a todos los problemas que enfrenta hoy, la situación será la misma si no hay cambios en la regulación”, dice Etienne Maynier, tecnólogo del Laboratorio de Seguridad de Amnistía Internacional. “El problema no es una mala compañía. Es realmente la estructura legal la que hace que estas empresas tomen estas decisiones”.
Sophie in’t Veld, una eurodiputada holandesa que es la relatora a cargo del comité PEGA, espera cambiar eso una vez que se complete la investigación de la UE el próximo año. “Todo este sector debería estar fuertemente regulado”, dice, y agrega que quiere obligar al sector a ser más transparente. “Si tratas de averiguar quiénes son estas empresas, quiénes están detrás de ellas y dónde tienen su sede, es imposible”.
Lo que más le molesta es que Intellexa, la empresa que vende Cytrox, dice en su sitio web que está regulada por la UE. «¿Qué diablos significa eso de que está regulado por la UE?» ella dice. “¿Regulado por quién y por qué reglas?”