NSO Group, empresa israeliana que comercialitza la seva tecnologia per a la lluita contra la COVID-19, va contribuir a una campanya continuada del govern del Marroc per espiar el periodista marroquí Omar Radi, segons ha revelat una nova investigació d'Amnistia Internacional.

L'organització va concloure que el telèfon d'Omar Radi havia estat objecte de diversos atacs mitjançant l'ús d'una sofisticada nova tècnica que havia instal·lat de manera silenciosa el tristament cèlebre programari espia Pegasus, de l'empresa NSO Group. Els atacs es van produir durant un període en el qual les autoritats marroquines estaven assetjant reiteradament Radi, i un dels atacs va tenir lloc només dies després que NSO Group es comprometés al fet que els seus productes no es tornarien a emprar per perpetrar abusos contra els drets humans i va continuar almenys fins a gener de 2020.

"És evident que no es pot confiar en NSO Group. Al mateix temps que duia a terme una campanya de relacions públiques per netejar la seva imatge, les seves eines estaven permetent la vigilància il·legítima d'Omar Radi, un guardonat periodista i activista", ha declarat Danna Ingleton, directora adjunta d'Amnesty Tech.

"Fins i tot després de mostrar a NSO Group proves inquietants que el seu programari espia s'estava utilitzant per vigilar activistes al Marroc, pel que sembla l'empresa va decidir conservar al govern marroquí com a client. Si NSO no posa fi a l'ús de la seva tecnologia en la comissió d'abusos, se li ha de prohibir vendre-la a governs que probablement la utilitzin per perpetrar abusos contra els drets humans".

Encara que les autoritats marroquines tenen la responsabilitat última de les accions il·legítimes contra activistes i periodistes, com Omar Radi, NSO Group ha contribuït a aquests abusos en mantenir el govern del Marroc com a client actiu almenys fins a gener de 2020, fet que, pel que sembla ha donat a les autoritats d'aquest país accés constant al programari espia de l'empresa.

Omar Radi ha estat sistemàticament objecte d'atacs per part de les autoritats marroquines per la seva feina periodística i activisme. Omar Radi ha criticat obertament l'historial del govern en matèria de drets humans i ha denunciat la corrupció i els vincles entre interessos empresarials i polítics al país. El 17 de març de 2020, es va dictar contra ell una condemna condicional de quatre mesos de presó per una piulada que havia publicat a l'abril de 2019 en el qual criticava el judici injust d'un grup d'activistes.

"Les autoritats marroquines utilitzen cada vegada més la vigilància digital per reprimir la dissidència. L'espionatge il·legítim, i la constant més àmplia de fustigació a activistes i periodistes ha de cessar", ha afirmat Danna Ingleton.

Mètode d'atac silenciós

Amnesty Tech va dur a terme una anàlisi forense de l'iPhone d'Omar Radi al febrer de 2020 que va revelar que el dispositiu era objecte d'una sèrie d'atacs de "injecció de xarxa".

Mitjançant la injecció de xarxa, els atacants poden vigilar, interceptar i manipular el tràfic d'Internet de l'objectiu. El navegador web del telèfon es redirigeix a un lloc web maliciós, sense que sigui necessària cap acció per part de l'objectiu. Tot seguit, el lloc web maliciós instal·la de manera silenciosa el programari espia Pegasus en el telèfon de l'objectiu.

Per a les injeccions de xarxa, l'atacant necessita proximitat física amb els objectius o accés a les xarxes mòbils del país, acció que només pot autoritzar el govern, un senyal més que les autoritats marroquines eren responsables de l'atac contra Omar Radi. NSO va comercialitzar aquesta sofisticada tecnologia d'intercepció en data molt recent: gener de 2020.

Una vegada instal·lat el programari Pegasus, l'atacant té accés total a missatges, correus electrònics, mitjans de comunicació, micròfon, càmera, trucades i contactes del telèfon. Els atacs d'injecció de xarxa són summament difícils de detectar per a la víctima, ja que deixen pocs senyals.

Les dades forenses extrets del telèfon d'Omar Radi indiquen que els atacs d'injecció de xarxa van tenir lloc els dies 27 de gener, 11 de febrer, i 13 de setembre de 2019. NSO Group es va comprometre públicament a complir els Principis rectors sobre les empreses i els drets humans de l'ONU el 10 de setembre de 2019.

El navegador del telèfon d'Omar Radi es va dirigir al mateix lloc web maliciós que Amnistia Internacional havia trobat en l'atac contra l'intel·lectual i activista marroquí Maati Monjib, com va revelar l'informe "Morocco: Human Rights Defenders Targeted with NSO Group´s Spyware" publicat el 10 d'octubre de 2019.

El 2 d'octubre de 2019 es va proporcionar per endavant a NSO Group una còpia de l'informe. El lloc web maliciós es va tancar el 6 d'octubre, dies abans que Amnistia Internacional fes públiques les seves conclusions. No obstant això, noves proves demostren que atacs similars d'injecció de xarxa del telèfon d'Omar Radi van continuar fins al 29 de gener de 2020, a través d'un lloc web diferent.

NSO Group afirma que només ven els seus programes espia a serveis d'intel·ligència governamentals i organismes encarregats de fer complir la llei, i les dades revelades per Amnistia Internacional indiquen que el govern marroquí va continuar sent client actiu de l'empresa i va poder seguir utilitzant la seva tecnologia per vigilar, intimidar i silenciar activistes, periodistes i detractors.

Quan Amnistia Internacional va compartir les seves noves conclusions amb NSO Group, l'empresa ni va confirmar ni va desmentir que les autoritats marroquines estiguessin utilitzant la seva tecnologia i va declarar que examinaria la informació proporcionada.

"NSO Group ha de respondre a preguntes molt importants relatives a les accions que va prendre quan se li van mostrar proves que la seva tecnologia s'estava emprant per cometre violacions de drets humans al Marroc. Per què no va rescindir el contracte amb les autoritats marroquines? Sotmetre periodistes i activistes a intimidació mitjançant vigilància digital invasiva vulnera el dret a la privacitat i el dret a la llibertat d'expressió d'aquestes persones", ha sostingut Danna Ingleton.

NSO Group assegura que duu a terme un rigorós procés de verificació per identificar drets humans abans de vendre els seus productes a tercers, però no ofereix detalls sobre tal procés, que, tenint en compte el nombre d'atacs contra la societat civil, sembla haver estat ineficaç en nombrosos casos.

Constant d'abusos

Amnistia Internacional i altres persones i entitats han documentat una constant utilització del programari espia Pegasus de NSO Group contra la societat civil. Aquest programari espia s'ha utilitzat en atacs contra periodistes i membres del Parlament de Mèxic; els activistes saudites Omar Abdulaziz, Yahya Assiri i Ghanem Al-Masarir; el guardonat activista de drets humans emiratí Ahmed Mansoor; un membre del personal d'Amnistia Internacional; i, pel que sembla, la seva utilització guarda relació amb l'assassinat del dissident saudita Jamal Khashoggi.

Segons als Principis rectors sobre les empreses i els drets humans de l'ONU, NSO Group i el seu principal inversor, l'empresa britànica de capital privat Novalpina, tenen l'obligació clara de prendre mesures urgents per garantir que no estan causant abusos contra els drets humans a tot el món ni contribuint a ells.

Acció Jurídica

Amnistia Internacional dona suport a una demanda judicial a Israel per tractar d'obligar al Ministeri de Defensa israeliana a revocar la llicència d'exportació de NSO Group. L'organització al·lega que el Ministeri de Defensa posa en perill els drets humans en permetre a NSO que segueixi exportant els seus productes a governs de tot el món. S'espera que es dicti sentència en breu.

Facebook també ha demandat NSO davant dels tribunals a Califòrnia després que aquesta empresa de programari espia aprofités una vulnerabilitat de Whatsapp per actuar contra almenys un centenar de defensors i defensores dels drets humans.

"Les batalles judicials contra NSO Group continuen perquè l'empresa es nega a acceptar la seva responsabilitat pel paper que ha exercit en abusos contra els drets humans. Les noves proves constitueixen un nou senyal d'advertiment de per què s'ha d'impedir a NSO vendre la seva tecnologia de vigilància, fins i tot per abordar la pandèmia de COVID-19", ha declarat Danna Ingleton.