La congresista demócrata Summer Lee ha puesto el foco sobre el Departamento de Comercio de Estados Unidos. Exige una comparecencia urgente para que explique por qué el Servicio de Control de Inmigración y Aduanas (ICE) utiliza el spyware Graphite de Paragon y qué implicaciones tiene que un aliado de Donald Trump haya asumido el control de NSO Group, la empresa israelí sancionada por la Administración Biden tras numerosos abusos con Pegasus. La petición de Lee, con rango de carta formal enviada este jueves, reabre un debate que en Moncloa.com seguimos de cerca por sus ramificaciones directas en la comunidad de inteligencia europea.
Friedman al timón de NSO: el regreso del caballo de Troya
David Friedman, exembajador de Trump en Israel y su abogado de quiebras, es ahora presidente ejecutivo de NSO Group. Su nombramiento coincide con la compra de una participación de control por parte de una compañía estadounidense. Pegasus, la herramienta insignia de NSO, fue vetada por Biden tras años de investigaciones de Citizen Lab que destaparon cómo se usó para espiar a activistas, periodistas y jefes de Estado. Sin embargo, la nueva cúpula de la empresa considera que la actual Administración será «receptiva» a sus productos, y ya ha empezado a moverse en los tribunales para levantar las sanciones.
La carta de Lee deja claro que NSO Group ve al Gobierno de Trump como un aliado. En sus escritos judiciales la compañía sostiene que es «razonablemente previsible» que una agencia de inteligencia o policía estadounidense utilice Pegasus. Ese optimismo, unido a la confirmación de que ICE ya emplea Graphite —un spyware de Paragon con capacidades similares—, dibuja un panorama donde el espionaje digital de alta intensidad se convierte en una herramienta más del aparato de seguridad nacional. La Casa Blanca aún no ha respondido a las preguntas de Lee sobre qué otros departamentos podrían estar negociando contratos con NSO o con Paragon.
La carta que reabre un frente delicado
En la misiva, a la que ha tenido acceso CyberScoop, Lee solicita un briefing para el personal del Comité de Supervisión y Reforma Gubernamental. Pide detalles sobre las deliberaciones internas del Departamento de Comercio, sus comunicaciones con la Casa Blanca y cualquier conversación externa, incluidas las que haya podido mantener con Friedman. También reclama claridad sobre la inversión estadounidense en NSO Group, una operación que se cerró pese a que el propio Departamento de Comercio, bajo la Administración Trump, había rechazado meses antes retirar a la empresa de la lista negra.
Lee recuerda que el FBI reconoció haber adquirido una licencia de Pegasus, aunque no llegó a desplegarla. Ahora, el diario The Times de Londres ha informado que la CIA podría haber usado Pegasus en una misión de rescate de un aviador derribado en Irán. Si ese extremo se confirma, estaríamos ante el primer uso operativo de un spyware comercial estadounidense en una acción encubierta de alto perfil. Y eso, lector, nos mete de lleno en un territorio pantanoso donde el derecho internacional y el espionaje se cruzan sin semáforos.
Dossier Moncloa: Ojos en la Sombra
La irrupción del spyware comercial en las tripas del Estado norteamericano no es un debate técnico. Es un movimiento de doctrina que puede alterar el equilibrio de la cibervigilancia global. Veo tres vectores que se solapan y que analizo desde la óptica del oficio.
El vector de amenaza es claro: el spyware gubernamental se ha convertido en la opción favorita de los servicios de inteligencia que no quieren —o no pueden— desarrollar sus propios exploits. Herramientas como Graphite o Pegasus entran en los dispositivos a través de vulnerabilidades de día cero, a menudo sin que la víctima haga clic en nada. El payload se instala y ya está: micrófono, cámara, ubicación, mensajes, todo expuesto. Hablamos de SIGINT puro, pero con una capa de externalización que dificulta la atribución y diluye la responsabilidad. Si Washington normaliza su uso, el mercado de los zero-days se disparará y el resto de agencias —las aliadas y las hostiles— correrán a equiparse.
En cuanto a las agencias implicadas, el ataque no proviene de un Estado concreto, sino de un ecosistema privado que sirve a múltiples clientes. NSO Group y Paragon son, a efectos prácticos, extensiones armadas de la inteligencia israelí, pero ahora con mandos estadounidenses. Las víctimas potenciales son los propios ciudadanos y, en el plano institucional, cualquier gobierno que pueda ser objetivo de una operación encubierta. Y luego están los terceros que observan: la Unión Europea, que ya ha incluido a NSO en sus listas de sanciones; España, cuyo CNI tuvo que lidiar con el escándalo del espionaje a independentistas y al propio presidente del Gobierno con Pegasus; y el resto de miembros del Club de los Cinco Ojos, que verán cómo su principal socio coquetea con herramientas que ellos mismos han condenado.
El próximo 11S no se anunciará con un avión, sino con un clic, y puede que el arma la haya comprado legalmente un departamento de inmigración.
El nivel de clasificación estimado del material que manejan estas empresas es, como mínimo, Sensible. En el caso de Graphite, hablamos de un spyware que puede extraer el contenido completo de un dispositivo, incluidas comunicaciones cifradas. Si la CIA lo ha probado, el tradecraft de la operación quedaría bajo paraguas de alto secreto. Lo que sí sabemos es que el CNI está siguiendo estos movimientos con una lupa de aumento, porque cualquier guiño de Washington al spyware comercial reabrirá la caja de Pandora en el Mediterráneo. Ya advertí en El quinto elemento que los primeros que atacamos nuestra intimidad somos nosotros mismos; ahora, el Estado la ataca con herramientas compradas en un mercado cada vez más opaco.
El precedente más turbio lo tenemos en el caso de Khashoggi, donde el software espía israelí se utilizó para vigilar a disidentes. Normalizar estas armas digitales en las democracias liberales es abrir la puerta a que otros regímenes las usen con cero controles. De hecho, la compra de NSO por capital estadounidense no elimina el veto moral, solo cambia al propietario. Si el Pentágono o el ICE empiezan a espiar con Pegasus, a Rabat o a Moscú les bastará decir: «Vosotros también lo hacéis». Y el argumento se desmorona.
El reloj corre. La carta de Lee es un tiro de salida, pero el verdadero duelo se librará en los próximos meses en el Comité de Supervisión. Mientras, en La Moncloa, fuentes del área de seguridad nacional reconocen que el CNI ya ha elevado un informe preliminar sobre el riesgo de que el spyware comercial se convierta en estándar. Le prometo que este medio seguirá el rastro, oficina por oficina, hasta el último dead drop digital.
