QuaDream, según las fuentes, es una empresa israelí más pequeña y de menor perfil que también desarrolla herramientas de pirateo de teléfonos inteligentes destinadas a clientes gubernamentales.

Según las cinco fuentes, las dos empresas rivales obtuvieron el año pasado la misma capacidad para introducirse a distancia en los iPhones, lo que significa que ambas firmas podían comprometer los teléfonos de Apple sin que el propietario tuviera que abrir un enlace malicioso. El hecho de que las dos firmas emplearan la misma sofisticada técnica de pirateo -conocida como "clic cero"- demuestra que los teléfonos son más vulnerables a las potentes herramientas de espionaje digital de lo que la industria admite, dijo un experto.

"La gente quiere creer que está segura, y las compañías telefónicas quieren que se crea que están seguras. Lo que hemos aprendido es que no lo son", dijo Dave Aitel, socio de Cordyceps Systems, una empresa de ciberseguridad.

Los expertos que analizan las intrusiones diseñadas por NSO Group y QuaDream desde el año pasado creen que las dos empresas utilizaron exploits de software muy similares, conocidos como ForcedEntry, para secuestrar iPhones.

Un exploit es un código informático diseñado para aprovechar un conjunto de vulnerabilidades específicas del software, dando a un hacker acceso no autorizado a los datos.

Los analistas creían que los exploits de NSO y QuaDream eran similares porque aprovechaban muchas de las mismas vulnerabilidades ocultas en las profundidades de la plataforma de mensajería instantánea de Apple y utilizaban un enfoque comparable para plantar software malicioso en los dispositivos objetivo, según tres de las fuentes.

Bill Marczak, un investigador de seguridad del organismo de vigilancia digital Citizen Lab que ha estado estudiando las herramientas de pirateo de ambas empresas, dijo a Reuters que la capacidad de QuaDream de no hacer clic parecía "a la par" de la de NSO.

Reuters hizo repetidos intentos de ponerse en contacto con QuaDream para obtener comentarios, enviando mensajes a ejecutivos y socios comerciales. Un periodista de Reuters visitó la semana pasada la oficina de QuaDream, en el suburbio de Ramat Gan, en Tel Aviv, pero nadie respondió a la puerta. La abogada israelí Vibeke Dank, cuyo correo electrónico figuraba en el formulario de registro corporativo de QuaDream, tampoco devolvió los repetidos mensajes.

Un portavoz de Apple se negó a hacer comentarios sobre QuaDream o a decir qué medidas, si es que hay alguna, planean tomar con respecto a la empresa.

ForcedEntry está considerado como "uno de los exploits técnicamente más sofisticados" jamás capturados por los investigadores de seguridad.

Tan similares eran las dos versiones de ForcedEntry que cuando Apple corrigió los fallos subyacentes en septiembre de 2021 dejó sin efecto tanto el software espía de NSO como el de QuaDream, según dos personas familiarizadas con el asunto.

En una declaración escrita, una portavoz de NSO dijo que la empresa "no cooperó" con QuaDream pero que "la industria de la ciberinteligencia sigue creciendo rápidamente a nivel mundial".

Apple demandó a NSO Group por ForcedEntry en noviembre, alegando que NSO había violado las condiciones de uso y el acuerdo de servicios de Apple. El caso se encuentra todavía en su fase inicial.

En su demanda, Apple dijo que "continuamente y con éxito se defiende de una variedad de intentos de hackeo". NSO ha negado haber cometido ninguna infracción.

Las empresas de software espía han argumentado durante mucho tiempo que venden tecnología de alta potencia para ayudar a los gobiernos a frustrar las amenazas a la seguridad nacional. Pero los grupos de derechos humanos y los periodistas han documentado repetidamente el uso de programas espía para atacar a la sociedad civil, socavar la oposición política e interferir en las elecciones.

Apple notificó a miles de objetivos de ForcedEntry en noviembre, lo que hizo que funcionarios electos, periodistas y trabajadores de derechos humanos de todo el mundo se dieran cuenta de que habían sido puestos bajo vigilancia.

En Uganda, por ejemplo, el ForcedEntry de NSO se utilizó para espiar a diplomáticos estadounidenses, informó Reuters .

Además de la demanda de Apple, WhatsApp, de Meta, también está litigando por el supuesto abuso de su plataforma. En noviembre, el Departamento de Comercio de Estados Unidos incluyó a NSO en una lista negra comercial por motivos de derechos humanos.

A diferencia de NSO, QuaDream ha mantenido un perfil más bajo a pesar de servir a algunos de los mismos clientes gubernamentales. La empresa no tiene un sitio web que promocione su negocio y se ha dicho a los empleados que mantengan cualquier referencia a su empleador fuera de los medios sociales, según una persona familiarizada con la empresa.

REINO

QuaDream fue fundada en 2016 por Ilan Dabelstein, un ex funcionario militar israelí, y por dos ex empleados de la NSO, Guy Geva y Nimrod Reznik, según los registros corporativos israelíes y dos personas familiarizadas con el negocio. Reuters no pudo contactar con los tres ejecutivos para que hicieran comentarios.

Al igual que el programa espía Pegasus de NSO, el producto estrella de QuaDream -llamado REIGN- podía tomar el control de un teléfono inteligente, recogiendo mensajes instantáneos de servicios como WhatsApp, Telegram y Signal, así como correos electrónicos, fotos, textos y contactos, según dos folletos del producto de 2019 y 2020 que fueron revisados por Reuters.

Las capacidades de la "Colección Premium" de REIGN incluían la "grabación de llamadas en tiempo real", la "activación de la cámara - frontal y trasera" y la "activación del micrófono", decía uno de los folletos.

Los precios parecían variar. Un sistema QuaDream, que habría dado a los clientes la posibilidad de lanzar 50 robos de smartphones al año, se ofrecía por 2,2 millones de dólares, sin incluir los costes de mantenimiento, según el folleto de 2019. Dos personas familiarizadas con las ventas del software dijeron que el precio de REIGN era normalmente más alto.

A lo largo de los años, QuaDream y NSO Group emplearon a algunos de los mismos ingenieros, según tres personas familiarizadas con el asunto. Dos de esas fuentes dijeron que las empresas no colaboraron en sus hackeos del iPhone, ideando sus propias formas de aprovechar las vulnerabilidades.

Varios de los compradores de QuaDream también han coincidido con los de NSO, dijeron cuatro de las fuentes, entre ellos Arabia Saudí y México, ambos acusados de utilizar indebidamente el software de espionaje para atacar a opositores políticos.

Uno de los primeros clientes de QuaDream fue el gobierno de Singapur, dijeron dos de las fuentes, y la documentación revisada por Reuters muestra que la tecnología de vigilancia de la compañía fue presentada también al gobierno de Indonesia. Reuters no pudo determinar si Indonesia se convirtió en cliente.

Los funcionarios mexicanos, singapurenses, indonesios y saudíes no devolvieron los mensajes en busca de comentarios sobre QuaDream.