Los gobiernos deben imponer una moratoria mundial al comercio internacional de software espía o enfrentarse a un mundo en el que ningún teléfono móvil esté a salvo de los piratas informáticos patrocinados por el Estado, ha advertido Edward Snowden a raíz de las revelaciones sobre los clientes de NSO Group.

Snowden, que en 2013 denunció los programas secretos de vigilancia masiva de la Agencia de Seguridad Nacional de Estados Unidos, describió a los desarrolladores de malware con fines de lucro como "una industria que no debería existir".

Hizo estos comentarios en una entrevista con The Guardian tras las primeras revelaciones del proyecto Pegasus, una investigación periodística realizada por un consorcio de medios de comunicación internacionales sobre NSO Group y sus clientes.

NSO Group fabrica y vende a los gobiernos un avanzado programa espía, denominado Pegasus, que puede infectar secretamente un teléfono móvil y recoger su información. Se pueden extraer correos electrónicos, textos, libretas de contactos, datos de localización, fotos y vídeos, y se pueden activar el micrófono y la cámara del teléfono para grabar de forma encubierta al usuario.

El consorcio analizó un conjunto de datos filtrados de 50.000 números de teléfono que, según se cree, pertenecían a personas de interés para los clientes de NSO. El análisis forense de una muestra de los teléfonos móviles encontró docenas de casos de infecciones exitosas e intentos de Pegasus.

NSO Group afirma que se toma muy en serio las consideraciones éticas, que está regulada por los regímenes de control de las exportaciones de Israel, Chipre y Bulgaria y que sólo vende a clientes gubernamentales previamente examinados. Pero entre sus clientes se encuentran regímenes represivos como Arabia Saudí, Emiratos Árabes Unidos y Azerbaiyán.

En una entrevista con The Guardian, Snowden dijo que los hallazgos del consorcio ilustraban cómo el malware comercial había hecho posible que los regímenes represivos sometieran a un número mucho mayor de personas a los tipos de vigilancia más invasivos.

Para que las operaciones policiales tradicionales coloquen micrófonos o intervengan el teléfono de un sospechoso, las fuerzas del orden tendrían que "entrar en la casa de alguien, o ir a su coche, o ir a su oficina, y nos gustaría pensar que probablemente obtendrían una orden", dijo.

Pero los programas de espionaje comerciales han hecho rentable la vigilancia selectiva contra un número mucho mayor de personas. "Si pueden hacer lo mismo a distancia, con poco coste y sin ningún riesgo, empiezan a hacerlo todo el tiempo, contra todos los que son mínimamente interesantes", dijo.

"Si no se hace nada para detener la venta de esta tecnología, no van a ser sólo 50.000 objetivos. Van a ser 50 millones de objetivos, y va a ocurrir mucho más rápido de lo que cualquiera de nosotros espera."

Parte del problema surge del hecho de que los teléfonos móviles de diferentes personas son funcionalmente idénticos entre sí, dijo. "Cuando hablamos de algo como un iPhone, todos ejecutan el mismo software en todo el mundo. Así que si encuentran una forma de hackear un iPhone, habrán encontrado una forma de hackearlos todos".

Comparó a las empresas que comercializan vulnerabilidades en modelos de teléfonos móviles de uso generalizado con una industria de "infectadores" que intentan deliberadamente desarrollar nuevas cepas de enfermedades.

"Es como una industria en la que lo único que hicieron fue crear variantes personalizadas de Covid para esquivar las vacunas", dijo. "Sus únicos productos son vectores de infección. No son productos de seguridad. No proporcionan ningún tipo de protección, ningún tipo de profilaxis. No fabrican vacunas: lo único que venden es el virus".

Snowden dijo que el malware comercial como Pegasus era tan poderoso que la gente común no podía hacer nada para detenerlo. Cuando se le preguntó cómo podía protegerse la gente, dijo: "¿Qué puede hacer la gente para protegerse? "¿Qué puede hacer la gente para protegerse de las armas nucleares?

"Hay ciertas industrias, ciertos sectores, de los que no hay protección, y por eso intentamos limitar la proliferación de estas tecnologías. No permitimos un mercado comercial de armas nucleares".

Dijo que la única solución viable a la amenaza del malware comercial era una moratoria internacional sobre su venta. "Lo que revela el proyecto Pegasus es que el NSO Group es realmente representativo de un nuevo mercado de malware, en el que se trata de un negocio con ánimo de lucro", dijo. "La única razón por la que NSO está haciendo esto no es para salvar el mundo, es para ganar dinero".