03/02/2022
Colocada em lista negra pelo governo americano, a empresa israelense de tecnologia NSO corre o risco de morrer asfixiada
David Cohen
Um espião, quando é descoberto, normalmente passa a correr sério risco de perder a vida. Os israelenses sabem bem disso. Seu agente mais celebrado, Eli Cohen, considerado um herói no país, atuou na Síria na década de 1960 e chegou a ser considerado a terceira pessoa mais importante do governo inimigo, como vice-ministro da Defesa do presidente Hafez Assad — até ser descoberto, em janeiro de 1965. Pouco menos de quatro meses depois, foi enforcado em praça pública.
Por isso Shalev Hulio, um israelense expansivo, um bocado acima do peso ideal e apaixonado tanto por tecnologia quanto pelos filmes do agente inglês 007, sempre achou que sua empresa, a NSO, não duraria muito, segundo pessoas próximas a ele. Seu principal produto, o Pegasus (inicialmente chamado de Q Suite, em homenagem à fictícia divisão de pesquisas do serviço secreto britânico nos filmes de James Bond), explora falhas dos sistemas operacionais iOS, da Apple, e Android, do Google. Seria questão de tempo, acreditava, até que as gigantes de tecnologia descobrissem e fechassem as janelas que permitiam ao software penetrar em seu ambiente.
É um jogo de gato e rato, e o rato leva mais vantagem enquanto o gato não desconfiar de sua presença. Era este, aliás, o ponto forte do Pegasus: ele conseguia invadir os aparelhos celulares sem que os usuários tivessem que clicar em links suspeitos ou baixar programas maliciosos. Estava fora do radar das equipes de segurança das operadoras. O próprio Hulio, em viagens pelo mundo para vender o Pegasus — autorizadas pelo governo israelense —, gostava de demonstrar em tempo real a eficiência de seu produto, invadindo um iPhone novinho em folha.
“Uau. Simplesmente uau”, foi o comentário de admiração do professor de ciências da computação israelense Yaniv Erlich, no Twitter, quando se descobriu o funcionamento do Pegasus. “Você pode contar nos dedos de uma mão o número de equipes, no mundo inteiro, capazes de criar algo assim”, disse ao jornal Financial Times John Scott Railton, pesquisador do Citizen Lab, da Universidade de Toronto, o centro que primeiro alertou a Apple para o malware (um software malicioso).
Uma vez invadido, o celular servia como fonte de informações para quem tivesse as rédeas do Pegasus. Era possível ler mensagens, ver fotos, monitorar sua localização, xeretar a conta bancária, bisbilhotar as mensagens de redes sociais e email. Dava até para ligar a câmera do celular da vítima ou ativar o microfone para ouvir em tempo real as ligações.
Demorou uma década, mas a previsão de Hulio finalmente parece estar se concretizando. Em novembro de 2021, as autoridades americanas incluíram a NSO e uma outra empresa israelense, sua rival Candiru, na lista negra de entidades. Isso significa que as companhias americanas precisam de aprovação federal para fazer negócios com elas, uma dificuldade capaz de paralisar a NSO — que usa servidores da Dell, chips da Intel, roteadores da Cisco e sistemas operacionais Windows, da Microsoft.
A Europa também pode seguir o exemplo americano. Cerca de 90 grupos de direitos humanos pediram à União Europeia a imposição de sanções contra a companhia israelense — embora seja mais difícil que os países europeus cheguem a um consenso sobre o assunto.
Ante os sinais de estrangulamento, o executivo-chefe da empresa, Itzik Benbenisti, pediu demissão com apenas duas semanas no posto. Ele havia assumido o comando numa tentativa de limpar o nome da empresa após os escândalos de espionagem; com a renúncia, Hulio voltou ao cargo.
Os danos à reputação também tornam mais complicado para a NSO recrutar os mais brilhantes profissionais, em geral saídos de unidades de inteligência militares de elite. Sem a contínua renovação de talentos, fica mais difícil encontrar e explorar as deficiências nas novas versões dos sistemas Android e iOS.
Pior que isso: a NSO corre o risco de não conseguir honrar as parcelas da dívida de 500 milhões de dólares que contraiu em 2019, quando foi recomprada por dois dos sócios fundadores e pela firma de private equity Novalpina Capital. Um ano e meio antes, ela havia sido posta à venda pelo fundo Francisco Partners, avaliada em 1 bilhão de dólares (uma valorização e tanto a partir dos 120 milhões de dólares que o fundo pagou por ela em 2014). Em 2020, antes dos escândalos, estimava-se que valesse 1,5 bilhão de dólares.
O problema, segundo a agência de avaliação de riscos Moody’s, é que a NSO tem pouca receita recorrente. Ou seja, seus produtos não implicam pagamentos contínuos, como por exemplo a assinatura de um serviço de streaming ou um contrato de manutenção de instalações. Sendo assim, ela depende da venda de novas licenças — algo mais difícil ante as restrições a seu principal produto.
A receita estimada pela Moody’s em 243 milhões de dólares em 2020 deve sofrer uma contração no ano fiscal de 2021… e além. Isso, por sua vez, colocará pressão no fluxo de caixa e, consequentemente, uma dependência maior de financiamentos externos. Mais dívidas, portanto, maiores riscos. Daí o rebaixamento da nota da NSO para Caa2, que basicamente significa: créditos de baixa qualidade e alto risco. De acordo com o Financial Times, uma parcela de 350 milhões de dólares de financiamentos da NSO com vencimento para 2025 foi vendida para novos credores com deságio de 30%.
Como se não bastasse, a Apple entrou com ação contra a NSO, pedindo ressarcimento por danos pela perseguição a usuários do iPhone. E as restrições do governo americano podem ficar ainda maiores: 18 senadores requereram que as sanções à NSO subam de grau, cortando a empresa do sistema bancário do país e barrando a entrada de seus funcionários em solo americano.
A NSO é, em alguns aspectos, uma empresa típica do ambiente empreendedor de Israel. Foi criada por três sócios em 2010, em um kibbutz no centro de Israel. Seguindo a informalidade comum no país, o nome da empresa vem das iniciais dos prenomes dos fundadores: N, de Niv Karmi; S, de Shalev Hulio; e O, de Omri Lavie. Acredita-se que os três tenham se conhecido na famosa unidade 8200, o braço de inteligência das forças armadas especializado na interceptação de sinais eletrônicos.
Hulio é a face pública da empresa. Karmi não se envolveu mais com ela depois da venda para a Francisco Partners, em 2014. Quanto a Lavie, pouco se sabe a não ser que se dedica a outros negócios. Ao jornalista Thomas Brewster, da revista Forbes, que tentou entrevistá-lo durante dois anos, ele apenas disse: “Não dou entrevistas”. A um correspondente do Financial Times, disse certa vez que não poderia falar sobre os clientes da NSO porque “não queria ser decapitado”.
A empresa, com sede em Herzliya, ao lado de Tel Aviv, conseguiu se manter fora dos holofotes durante vários anos, crescendo em boa parte graças aos contatos na comunidade de segurança israelense — e à qualidade de seu trabalho, impressionante. A receita, de 40 milhões de dólares em 2013, quadruplicou em dois anos. Nos anos seguintes, cresceu mais 50%.
Em tese, o trabalho da NSO é nobre. Sua missão é “trabalhar para salvar vidas e criar um mundo melhor, mais seguro”. Propõe-se a fazer isso facilitando a perseguição e captura de bandidos, especialmente pedófilos, terroristas e traficantes de drogas, que usam mensagens criptografadas para não serem pegos. O Pegasus é uma arma que permite desbaratar quadrilhas e prender maus elementos.
O problema é que muito cedo as colunas de bons e maus sujeitos começaram a ter fronteiras difusas. Especialmente quando o então primeiro-ministro israelense, Benjamin Netanyahu, começou a usar o Pegasus como uma ferramenta diplomática, oferecendo os serviços da NSO a diversos países, incluindo regimes populistas que enxergam opositores ou meros jornalistas como inimigos tão ou mais perigosos que os criminosos comuns.
Ao que tudo indica, Netanyahu facilitou a contratação dos serviços da NSO por países como os Emirados Árabes Unidos, Marrocos, Índia, Bahrain e Arábia Saudita. De acordo com o site de notícias UOL, o governo brasileiro considerou a compra do sistema, com intermediação do vereador Carlos Bolsonaro, filho do presidente Jair Bolsonaro. Ele nega.
O Pegasus acabou sendo descoberto em agosto de 2016, quando o ativista de direitos humanos Ahmed Mansoor, dos Emirados Árabes Unidos, alertou os pesquisadores do Citizen Lab, no Canadá, que seu iPhone havia sido invadido. A investigação levou à descoberta de como o Pegasus agia.
Quatro anos depois, a ONG de mídia Forbidden Stories apontou que aquilo estava longe de ser um caso isolado: tinha em mãos o vazamento de uma lista com 50.000 números de celulares, pertencentes a líderes de oposição política, ativistas de direitos humanos, jornalistas, advogados e dissidentes políticos de diversos países. Em julho de 2021, formou-se uma coalizão internacional de 17 jornais para analisar a lista. Entre os nomes aventados como alvos estavam o presidente francês, Emmanuel Macron, e outros 14 membros do governo; Rahul Gandhi, principal adversário político do primeiro-ministro indiano, Narendra Modi, e pelo menos outros cinco parlamentares de seu partido; vários ativistas do Azerbaijão, governado pelo presidente Ilham Aliyev, que está no cargo desde 2003, tendo sucedido a seu pai, e não é muito tolerante com seus opositores.
Além disso, milhares de opositores do governo mexicano, de países árabes e africanos e, não surpreendentemente, ativistas palestinos, estão na lista de supostos alvos do Pegasus, vendido a pelo menos dez governos mundo afora.
Em dezembro, noticiou-se também o que pode ter sido o estopim para as sanções dos Estados Unidos à NSO: a tentativa de invadir os celulares de 11 diplomatas americanos em Uganda.
A NSO reagiu a essa última notícia, comunicando que isso constitui uma quebra de contrato e que por isso encerrou os serviços com “todos os clientes potencialmente relevantes para o caso”, sem especificar quais eram.
Como parte de sua estratégia de defesa, a NSO buscou, segundo relatos, apoio do governo israelense. Afirma que está sendo vítima de uma campanha política lançada por organizações antipáticas a Israel.
A busca de proteção do governo faz sentido, dadas as ligações da empresa com a comunidade de segurança e com os políticos em geral. O atual primeiro-ministro, Naftali Bennett, é um grande apoiador da defesa cibernética, tendo ele próprio feito fortuna como fundador de uma companhia de segurança de dados para bancos. A ministra do Interior, tida como a segunda no comando do país, Ayeled Shaked, é uma ex-executiva da área de tecnologia que tem vários amigos na NSO. O ministro da Defesa, Benny Gantz, também era ligado a uma empresa de segurança de informações e contraterrorismo.
E o governo israelense já tomou algumas ações. A mais notória foi a imposição de novas restrições, pelo Ministério da Defesa, para a exportação de sistemas de guerra cibernética. A partir de agora, as empresas exportadoras desses sistemas devem preencher um formulário mais explícito, listando o que pode ou não pode ser considerado crime sério ou terrorismo — ou seja, o que é legítimo como objetivo a alcançar usando as ferramentas compradas.
A nova regra proíbe explicitamente que os sistemas israelenses sejam usados para prejudicar indivíduos ou grupos por causa de sua religião, sexo ou gênero, filiação política, idade ou status pessoal. É um avanço em relação ao formulário anterior, que apenas exigia levar em consideração os usos para os sistemas vendidos. Porém, o formulário em si, preenchido pelo vendedor, e não pelo comprador, não expressa uma garantia real de usos restritos ao combate ao crime.
Muito além disso na defesa da NSO, no entanto, é provável que o governo israelense não vá. O caso como um todo é uma enorme chateação para as relações diplomáticas do país. É um tópico contencioso, quando ao governo israelense interessa focar as conversas nos riscos oferecidos pelo Irã — cuja busca por capacidade nuclear é um perigo para o Estado de Israel e para os interesses ocidentais na região do Oriente Médio.
Por essas e outras, o Pegasus pode ser reconduzido ao reino dos seres mitológicos. Segundo a revista The Economist, a NSO contratou o banco de investimentos americano Moelis & Co para vender partes da companhia, de forma a levantar dinheiro para pagar dívidas. Estaria embutida nas negociações a ideia de transformar o Pegasus num sistema puramente defensivo — seja lá o que isso queira dizer.
Um sistema defensivo, aliás, a NSO já tem. Em 2013, criou a Kaymera, uma companhia especializada em resolver exatamente os problemas criados pelo Pegasus: ela desenvolve celulares mais seguros para autoridades do governo.
Outra linha de defesa é uma unidade nova da NSO, a Eclipse. Trata-se de drones, ou melhor, “uma plataforma contradrones desenhada para detectar, subjugar e aterrissar com segurança drones comerciais não autorizados em uma zona estabelecida”, de acordo com o site da empresa.
Em última análise, a NSO tem um conjunto de talentos capaz de redirecionar a companhia para outros produtos e sobreviver, apesar do golpe. Como disse Hulio a um amigo, segundo o Financial Times: “Nós sempre soubemos que essa coisa tinha uma data de validade”.