En el verano de 2019, mientras Paragon Solutions estaba construyendo una de las armas cibernéticas más potentes del mundo, la compañía tomó una decisión profética: antes de cortejar a un solo cliente, es mejor que los estadounidenses se unan.
La empresa emergente israelí había visto a su rival local NSO Group, creadores del controvertido software espía Pegasus, caer en desgracia con la administración Biden y ser incluido en la lista negra de los EE. UU. Por lo tanto, Paragon buscó la orientación de los principales asesores estadounidenses, obtuvo financiamiento de grupos de capital de riesgo de EE. UU. y, finalmente, obtuvo un cliente destacado que elude a su competencia: el gobierno de EE. UU.
Las entrevistas con media docena de figuras de la industria sobre los caminos divergentes de las dos compañías subrayan cómo la oscura industria del spyware se está reconfigurando en torno a aquellos que son amigos de los intereses estadounidenses.
Según cuatro de esas personas, la Agencia de Administración y Control de Drogas de EE. UU. se encuentra entre los principales clientes del producto característico de Paragon, apodado Graphite.
El malware penetra subrepticiamente las protecciones de los teléfonos inteligentes modernos y evade el cifrado de las aplicaciones de mensajería como Signal o WhatsApp, a veces recolectando los datos de las copias de seguridad en la nube, como lo hace Pegasus.
Paragon fue creado por Ehud Schneorson, el comandante retirado de la Unidad 8200, el brazo de inteligencia de señales de élite del ejército israelí. Según personas familiarizadas con la compañía, que incluye al ex primer ministro Ehud Barak en su directorio, ha asegurado la inversión de dos firmas de capital de riesgo con sede en EE. UU., Battery Ventures y Red Dot.
Paragon, Barak, Battery Ventures y Red Dot se negaron a comentar.
En 2019, incluso antes de que se completara el trabajo en Graphite, siguiendo el consejo de un alto funcionario retirado del Mossad, Paragon contrató a WestExec Advisors con sede en DC, el influyente grupo asesor integrado por ex funcionarios de la Casa Blanca de Obama, incluida Michele Flournoy, avril haines y Antony Blinken. También se consultó al ex embajador de Estados Unidos en Israel, Dan Shapiro, dijeron personas con conocimiento del esfuerzo de asesoramiento. Shapiro se negó a comentar.
WestExec dijo que «asesoró a Paragon en su enfoque estratégico para los mercados de EE. UU. y Europa, así como en la formulación de sus compromisos éticos líderes en la industria diseñados para garantizar el uso adecuado de su tecnología», y agregó que estaba «orgulloso de nuestras contribuciones en estos Areas criticas.»
Tras la elección del presidente demócrata Joe Biden en 2021, Blinken fue nombrado secretario de Estado, mientras que Haines es ahora director de inteligencia nacional. Ambos se habían ido de WestExec en el momento del contrato de Paragon, dijo la firma de cabildeo. Flournoy, una vez considerada como candidata para dirigir el departamento de defensa, sigue siendo una voz influyente de Estados Unidos en asuntos exteriores.
La aprobación estadounidense, aunque sea indirecta, ha estado en el centro de la estrategia de Paragon. La compañía buscó una lista de naciones aliadas a las que EE. UU. no se opondría a que desplegaran Graphite. Las personas con conocimiento del asunto sugirieron que 35 países están en esa lista, aunque no se pudo determinar las naciones exactas involucradas. La mayoría estaban en la UE y algunos en Asia, dijeron las personas.
“Todo lo que hicieron fue con la estrategia de que, al final del día, Estados Unidos debería verlos como los buenos”, dijo una persona familiarizada con las decisiones.
Eso contrasta con los problemas recientes de NSO. Para 2019, con la asistencia de la diplomacia regional del primer ministro Benjamin Netanyahu, NSO era una empresa de mil millones de dólares que vendía sus productos a Arabia Saudita, México y docenas de otros países.
Cuando la administración de Biden asumió el cargo, los lucrativos clientes de NSO estaban demostrando ser su talón de Aquiles, ya que muchos de esos regímenes continuaron desplegando el arma multimillonaria contra periodistas, disidentes y líderes de la oposición.
A medida que se difundió la evidencia del abuso, como la ataques contra diplomáticos estadounidenses en Uganda en 2021, NSO se ha encontrado en la mira tanto del gobierno estadounidense como de las empresas tecnológicas más grandes del mundo. Apple y el propietario de WhatsApp, Meta, lo están demandando.
“Existe una sensación creciente de que este tipo particular de malware es tan invasivo, tan subrepticio que su proliferación representa tanto un riesgo para los derechos humanos como un riesgo de contrainteligencia para EE. UU.”, dijo Stephen Feldstein, quien ha estudiado la propagación de spyware como Pegasus y Graphite para el Carnegie Endowment.
Durante casi una década, la única restricción para algunos de los mayores fabricantes de spyware fueron los controles de exportación israelíes, que regulan malware como Pegasus como armas. Feldstein dijo que los funcionarios israelíes “toman decisiones sobre soluciones geopolíticas, no sobre abusos a los derechos humanos”.
Los fundadores de Paragon, sin embargo, eran más sensibles a la visión cada vez más negativa que los EE. UU. estaban tomando de la proliferación de las armas cibernéticas.
Después de que el malware de NSO fuera rastreado hasta los teléfonos de los asociados del columnista saudí asesinado Jamal Khashoggi, Paragon rechazó las solicitudes del gobierno israelí de reemplazar Pegasus con Graphite en el arsenal saudí, según dos personas familiarizadas con el tema.
La decisión de Paragon de evitar un valioso contrato saudí finalmente valió la pena. Otras dos empresas israelíes, Quadream y Candiru, que vendieron capacidades de piratería similares al gobierno saudí, fueron denunciadas por Microsoft y el grupo de derechos Citizen Lab después de que su malware se usara contra periodistas y disidentes. Candiru fue incluido en la lista negra junto con NSO en noviembre de 2021. Quadream cerró recientemente sus operaciones, informó el periódico israelí Calcalist.
Estados Unidos ha intervenido aún más para remodelar el mercado de spyware para favorecer a quienes venden armas cibernéticas a Estados Unidos y sus aliados, al tiempo que frena a quienes persiguen contratos lucrativos con regímenes autoritarios.
El presidente Joe Biden firmó un orden ejecutivar en marzo prohibiendo a cualquier agencia de EE. UU. comprar software espía que “plantee riesgos para la seguridad nacional o haya sido mal utilizado por actores extranjeros para permitir abusos contra los derechos humanos en todo el mundo”.
Los expertos consideran que la redacción de la orden ejecutiva apunta a NSO, al tiempo que crea un espacio para que empresas como Paragon continúen vendiendo software espía similar, pero solo a los aliados más cercanos de EE. UU. La expectativa estadounidense, aún no probada, es que es menos probable que las naciones amigas abusen de ese arma contra la sociedad civil o espíen a los funcionarios del gobierno estadounidense desplegados en el extranjero.
“Realmente demuestra que EE. UU. cree que muchos de estos tipos de herramientas son ilegales”, dijo David Kaye, quien, como relator para la libertad de expresión de la ONU, pasó años tratando de responsabilizar a NSO Group por el abuso de sus clientes de su software espía “Y si la proliferación de estas herramientas es un problema de seguridad nacional, eso realmente cambia la conversación de ser un problema de derechos humanos”.
NSO dijo que “no cree que su colocación en el [US Commerce Department blacklist] alguna vez se ha justificado”, agregando: “irónicamente, otras empresas de inteligencia cibernética que no están sujetas a la lista venden a países sin ninguna estructura regulatoria y que NSO se niega a realizar ventas [to].”
Sin embargo, la compra de Graphite por parte de la DEA, supuestamente solo para uso de sus socios en México para ayudar a combatir los cárteles de la droga, ha comenzado a ser objeto de escrutinio. La DEA dijo que utiliza: “todas las herramientas de investigación legales disponibles para perseguir a los cárteles con sede en el extranjero y a las personas que operan en todo el mundo responsables de las muertes por envenenamiento por drogas de 107,735 estadounidenses el año pasado”.
El congresista Adam Schiff, presidente del Comité de Inteligencia de la Cámara de Representantes, escribió a la DEA en diciembre solicitando más detalles sobre la compra. México se encuentra entre los peores abusadores de Pegasus de NSO, que compró hace casi una década.
Schiff escribió: “tal uso [of spyware] podría tener implicaciones potenciales para la seguridad nacional de los EE. UU., así como ir en contra de los esfuerzos para disuadir la amplia proliferación de poderosas capacidades de vigilancia para los regímenes autocráticos y otros que puedan hacer un mal uso de ellas”.