El software espía de grado militar vendido por una empresa israelí a los gobiernos para rastrear a terroristas y delincuentes, fue utilizado en intentos de hackeos y exitosos ataques cibernéticos de 37 teléfonos que le pertenecían a periodistas, activistas de derechos humanos, ejecutivos de empresas y dos mujeres cercanas al periodista saudí asesinado Jamal Khashoggi, según una investigación realizada por The Washington Post y 16 medios asociados.
La investigación reveló que los teléfonos aparecieron en una lista de más de 50,000 números que están concentrados en países conocidos por participar en la intrusión y vigilancia de sus ciudadanos, y que también son conocidos por haber sido clientes de la compañía israelí NSO Group, líder mundial en la creciente y en gran parte no regulada industria privada de los spyware.
La lista no identifica quién agregó los números, o por qué, y se desconoce cuántos de los teléfonos fueron atacados. Sin embargo, el análisis forense de los 37 teléfonos revela que muchos muestran una estrecha correlación entre las marcas de tiempo asociadas con un número en la lista y el inicio de la vigilancia, en algunos casos unos pocos segundos.
Advertisement
Forbidden Stories, una organización periodística sin fines de lucro con sede en París, y Amnistía Internacional, un grupo de derechos humanos, tuvieron acceso a la lista y la compartieron con medios de comunicación, las cuales realizaron una investigación y análisis más profundo. El Laboratorio sobre Seguridad de Amnistía Internacional realizó los análisis forenses en los teléfonos.
Los números en la lista no están atribuidos, pero los periodistas pudieron identificar a más de 1,000 personas en más de 50 países por medio de investigaciones y entrevistas en cuatro continentes: entre ellos estaban varios miembros de la familia real árabe, al menos 65 ejecutivos de empresas, 85 activistas de derechos humanos, 189 periodistas, y más de 600 políticos y funcionarios gubernamentales, incluyendo ministros, diplomáticos y oficiales militares y de seguridad. Los números de varios jefes de Estado y primeros ministros también aparecieron en la lista.
Entre los periodistas cuyos números aparecen en la lista, que data de 2016, se encuentran reporteros que trabajan en el extranjero para varias organizaciones de noticias importantes, incluido un pequeño número de CNN, The Associated Press, Voice of America, The New York Times, The Wall Street Journal, Bloomberg News, Le Monde en Francia, The Financial Times en Londres y Al Jazeera en Catar.
Advertisement
El ataque a esos 37 teléfonos parecería entrar en conflicto con el propósito declarado de la licencia del software espía Pegasus de NSO, que según la compañía está destinado únicamente para vigilar terroristas y delincuentes importantes. La evidencia extraída de estos teléfonos, revelada aquí por primera vez, cuestiona las promesas de la compañía israelí de que investiga a sus clientes en busca de abusos de derechos humanos.
La asociación de medios de comunicación, que adoptó el nombre de Proyecto Pegasus, analizó la lista mediante entrevistas y análisis forenses de los teléfonos, y a través de la comparación de detalles de información previamente proporcionada sobre NSO. El Laboratorio sobre Seguridad de Amnistía Internacional examinó 67 teléfonos sospechosos de haber recibido ataques cibernéticos. De ellos, 23 habían sido infectados con éxito y 14 mostraron señales de intento de intrusión.
Las pruebas no fueron concluyentes en los 30 restantes, en varios casos porque los teléfonos habían sido remplazados. 15 de los teléfonos eran dispositivos Android, ninguno de los cuales mostró evidencia de una intrusión exitosa. Sin embargo, a diferencia de los iPhone, los dispositivos Android no registran el tipo de información necesaria para el trabajo forense que realiza Amnistía Internacional. Tres teléfonos Android mostraron señales de haber sido objetivos para la intrusión, como mensajes SMS vinculados a Pegasus.
Advertisement
Amnistía Internacional compartió copias de respaldo de los datos de cuatro iPhone con Citizen Lab, que confirmó que mostraban señales de infección por Pegasus. Citizen Lab, un grupo de investigación de la Universidad de Toronto que se especializa en el estudio de Pegasus, también realizó una revisión de pares de los métodos forenses de Amnistía Internacional y concluyó que eran sólidos.
En largas respuestas antes de la publicación, NSO calificó los hallazgos de la investigación como exagerados y sin fundamento. También afirmó que no opera el software espía cuya licencia le venden a sus clientes y que “no tiene conocimiento” de las actividades de inteligencia específicas que sus compradores realizan.
Tras la publicación, el director ejecutivo de NSO, Shalev Hulio, expresó su preocupación en una entrevista telefónica con The Washington Post sobre algunos de los detalles que había leído en las historias del Proyecto Pegasus el domingo 18 de julio, mientras al mismo tiempo siguió cuestionando que la lista de más de 50,000 números telefónicos tuviera algo que ver con NSO o Pegasus.
Advertisement
“Nuestra compañía se preocupa por los periodistas, activistas y la sociedad civil en general”, dijo Hulio. “Entendemos que en algunas circunstancias nuestros clientes podrían hacer un uso indebido del sistema y, en algunos casos, como ya reportamos en el Informe de Transparencia y Responsabilidad de NSO, le hemos desactivado los sistemas a los clientes que han hecho un uso indebido del sistema”.
Hulio afirmó que en los últimos 12 meses NSO había rescindido dos contratos por acusaciones de abusos a los derechos humanos, pero se negó a nombrar los países involucrados.
“Cada denuncia sobre el uso indebido del sistema me preocupa”, dijo. “Viola la confianza que le damos a los clientes. Estamos investigando todas las acusaciones”.
NSO describe a sus clientes como 60 agencias de inteligencia, militares y policiales en 40 países, aunque se niega a confirmar las identidades de cualquiera de ellas, citando acuerdos de confidencialidad con los clientes. La asociación de medios encontró muchos de los números de teléfono en al menos 10 grupos de países, los cuales fueron sometidos a un análisis más profundo: Azerbaiyán, Baréin, Hungría, India, Kazajistán, México, Marruecos, Ruanda, Arabia Saudita y los Emiratos Árabes Unidos. Citizen Lab también ha encontrado evidencia de que los 10 países han sido clientes de NSO, según Bill Marczak, investigador principal.
Advertisement
Forbidden Stories organizó la investigación de la asociación de medios, y Amnistía Internacional proporcionó análisis y apoyo técnico, pero no tuvo aporte editorial. Amnistía Internacional ha criticado abiertamente el negocio de software espía de NSO y apoyó una demanda infructuosa contra la compañía en un tribunal israelí que buscaba revocar su licencia de exportación. Tras el inicio de la investigación, varios periodistas de la asociación de medios se enteraron de que ellos o sus familiares habían sido atacados exitosamente con el spyware Pegasus.
Más de 50,000 números de teléfonos celulares aparecen en una lista de teléfonos concentrada en países conocidos por participar en la intrusión y vigilancia de sus ciudadanos y también conocidos por haber sido clientes de NSO Group, una compañía israelí líder mundial en la industria de la cibervigilancia. Los números abarcan más de 50 países de todo el mundo.
La mayor cantidad estaba en México, donde más de 15,000 números de teléfono, incluyendo algunos pertenecientes a políticos, representantes sindicales, periodistas y otros críticos del gobierno, estaban en la lista.
Advertisement
Una gran parte de los números estaba en Oriente Medio, incluyendo Catar, los Emiratos Árabes Unidos, Baréin y Yemen. Se sabe que los Emiratos Árabes Unidos, Arabia Saudita y Baréin son clientes de NSO.
En la lista también se encontraban los números de teléfonos pertenecientes a cientos de periodistas, activistas, políticos opositores, funcionarios gubernamentales y ejecutivos de empresas de la India, así como en otros países de la región, incluyendo Azerbaiyán, Kazajistán y Pakistán.
Más de 1000 números franceses estaban en la lista. En Hungría, los números asociados con al menos dos magnates de los medios se encontraban entre los cientos de la lista, y los teléfonos de dos periodistas en funciones fueron atacados e infectados, según resultados de un análisis forense.
Más allá de las intrusiones personales habilitadas por la vigilancia de teléfonos celulares, el uso generalizado de software espía se ha convertido en una de las amenazas principales para las democracias en todo el mundo, según los críticos. Los periodistas que están bajo vigilancia no pueden recopilar datos confidenciales de forma segura sin poner en riesgo a sus fuentes y a ellos mismos. Los políticos de oposición no pueden trazar sus estrategias de campaña sin que los que están en el poder anticipen sus movimientos. Los activistas por los derechos humanos no pueden trabajar con personas vulnerables —algunas de las cuales son víctimas de sus propios gobiernos— sin exponerlas a nuevos abusos.
Advertisement
Por ejemplo, los análisis forenses de Amnistía Internacional encontraron pruebas de que Pegasus tuvo como objetivo a las dos mujeres más cercanas al columnista saudí Khashoggi, quien escribió para la sección de opinión de The Washington Post. El teléfono de su prometida, Hatice Cengiz, fue infectado con éxito durante los días posteriores a su asesinato en Turquía el 2 de octubre de 2018, según un análisis forense del Laboratorio sobre Seguridad de Amnistía Internacional. En la lista también estaban los números de dos funcionarios turcos involucrados en la investigación de su descuartizamiento por parte de un escuadrón saudí. Khashoggi también tenía una esposa, Hanan Elatr, cuyo teléfono tuvo intentos de intrusión por alguien que utilizaba Pegasus en los meses previos a su asesinato. Amnistía Internacional no pudo determinar si ese ataque cibernético tuvo éxito.
“Este es un software perverso, elocuentemente perverso”, aseguró Timothy Summers, exingeniero de seguridad cibernética de una agencia de inteligencia de Estados Unidos que en la actualidad se desempeña como director de Tecnología de la Información en la Universidad Estatal de Arizona. Con ese spyware “uno podría espiar a casi toda la población mundial… no hay nada de malo en crear tecnologías que te permitan recopilar datos; a veces es necesario. Pero la humanidad no está en un lugar en el que podamos tener tanto poder al alcance de cualquiera”.
En respuesta a varias preguntas detalladas realizadas por la asociación de medios antes de la publicación, NSO dijo en un comunicado que no operaba el software espía cuya licencia le vendía a los clientes y que no tenía acceso regular a los datos que sus clientes recopilaban. La compañía también afirmó que su tecnología ha ayudado a prevenir ataques y bombardeos, y a desmantelar redes que traficaban con drogas, sexo y niños. “En pocas palabras, NSO Group tiene como misión salvar vidas, y la compañía ejecutará fidedignamente esta misión sin inmutarse, a pesar de todos y cada uno de los constantes intentos de desacreditarla con cargos falsos”, dijo NSO. “Sus fuentes les han proporcionado información que no tiene base fáctica, como lo demuestra la falta de documentación que respalda muchas de las denuncias”.
La compañía negó que su tecnología haya sido utilizada contra Khashoggi o sus familiares o asociados.
Advertisement
“Como ya ha declarado NSO anteriormente, nuestra tecnología no está vinculada de ninguna manera con el atroz asesinato de Jamal Khashoggi. Esto incluye escuchar, monitorear, rastrear o recolectar información. Ya habíamos investigado esta acusación justo después del atroz asesinato. Una vez más, esta es una acusación sin validación alguna”.
Thomas Clare, un abogado contratado por NSO y especialista en casos de difamación, dijo que la asociación de medios “aparentemente malinterpretó y caracterizó de manera errónea datos de origen cruciales en los que se basó” y que sus informes contenían suposiciones incorrectas y errores fácticos.
“NSO Group tiene buenas razones para creer que esta lista de ‘miles de números de teléfono’ no es una lista de números que estén en la mira de los gobiernos que utilizan Pegasus, sino que quizás es parte de una lista más grande de números que podría haber sido utilizada por los clientes de NSO Group para otros fines”, escribió Clare.
En respuesta a las preguntas de seguimiento, NSO calificó la cantidad de 50,000 como “exagerada” y dijo que era demasiado grande como para representar los números que son objetivos de sus clientes. Basándose en las preguntas que le hicieron, dijo NSO, la compañía tenía razones para creer que la asociación de medios estaba basando sus hallazgos “en una interpretación engañosa de datos filtrados proveniente de información básica accesible y abierta, como los servicios de búsqueda HLR, que no tienen relación con la lista de los objetivos de Pegasus de los clientes o cualquier otro producto de NSO… todavía no vemos ninguna correlación de estas listas con algo relacionado al uso de las tecnologías de NSO Group”.
El término HLR (sigla en inglés de Registro de Ubicación Base), se refiere a una base de datos esencial para la operación de redes de telefonía celular. Dichos registros mantienen archivos de las redes de los usuarios de teléfonos celulares y sus ubicaciones generales, junto con otra información de identificación que se utiliza normalmente en el enrutamiento de llamadas y mensajes de texto. Los servicios de búsqueda HLR operan en el sistema SS7 que utilizan los operadores de telefonía celular para comunicarse entre sí. Los servicios pueden ser usados como un paso hacia el espionaje de objetivos.
El experto en seguridad de telecomunicaciones Karsten Nohl, científico jefe de Security Research Labs en Berlín, dijo que no tiene conocimiento directo sobre los sistemas de NSO, pero afirmó que las búsquedas HLR y otras consultas SS7 son utilizadas ampliamente y a bajo costo por la industria de la vigilancia, a menudo por solo decenas de miles de dólares al año.
“No es difícil conseguir ese acceso. Dados los recursos de NSO, sería una locura pensar que no tienen acceso por SS7 desde al menos una docena de países”, dijo Nohl. “Y desde una docena de países se puede espiar al resto del mundo”.
Pegasus fue diseñado hace una década por exespías cibernéticos israelíes con habilidades perfeccionadas por el gobierno. El Ministerio de Defensa de Israel debe aprobar cualquier licencia al gobierno que quiera comprarlo, según declaraciones previas de NSO.
“Como asunto político, el Estado de Israel aprueba la exportación de productos cibernéticos exclusivamente a entidades gubernamentales, para su uso legal, y solo con el propósito de prevenir e investigar delitos y realizar tareas contra el terrorismo, bajo certificados de uso final / usuario final proporcionados por el gobierno que hace la compra”, afirmó el domingo 18 de julio un portavoz de la clase dirigente de los organismos de defensa de Israel. “En los casos en los que los artículos exportados son utilizados violando las licencias de exportación o los certificados de uso final, se toman las medidas pertinentes”.
En la lista también estaban los números de alrededor de una docena de estadounidenses que trabajan en el extranjero, y en todos los casos menos en uno esos teléfonos estaban registrados en redes celulares extranjeras. La asociación de medios no pudo realizar análisis forenses en la mayoría de estos teléfonos. NSO ha dicho por años que su producto no se puede utilizar para vigilar teléfonos estadounidenses. La asociación de medios no encontró evidencia de intrusión exitosa de spyware en los teléfonos con el código del país estadounidense.
“También ratificamos nuestras declaraciones de que nuestros productos, vendidos a gobiernos extranjeros previamente investigados, no se pueden utilizar para realizar vigilancia cibernética dentro de Estados Unidos, y a ningún cliente se le ha otorgado tecnología que le permita acceder a teléfonos con números de Estados Unidos”, dijo la compañía en su comunicado. “Es tecnológicamente imposible y reafirma el hecho de que las denuncias de sus fuentes no tienen ningún mérito”.
Así funciona Pegasus:
Objetivo: Alguien envía lo que se conoce como un enlace trampa a un teléfono celular, para convencer a la víctima de presionarlo y activarlo. También se puede activar por sí solo, si el ataque cibernético es uno de los más sofisticados, conocidos como “cero clic”.
Infección: Según muestran los materiales de mercadeo de NSO, el spyware captura y copia las funciones más básicas del teléfono, graba usando las cámaras y el micrófono del dispositivo y recopila datos de ubicación, registros de llamadas y contactos.
Rastreo: El implante informa secretamente esa información a un operativo que puede utilizar esos datos para trazar detalles confidenciales de la vida de la víctima.
Apple y otros fabricantes de teléfonos celulares tienen años en un juego del gato y el ratón con NSO y otros creadores de software espía.
“Apple condena categóricamente los ataques cibernéticos contra periodistas, activistas de derechos humanos y otros que buscan hacer del mundo un lugar mejor”, declaró Ivan Krstić, director de Arquitectura e Ingeniería de Seguridad de Apple. “Por más de una década, Apple ha liderado la industria en innovación de seguridad y como resultado, los investigadores de seguridad coinciden en que iPhone es el dispositivo móvil más seguro para consumidores en el mercado. Ataques como los descritos son muy sofisticados, cuesta millones de dólares desarrollarlos, a menudo tienen una vida útil corta y se utilizan para atacar a individuos específicos. Si bien eso significa que no son una amenaza para la inmensa mayoría de nuestros usuarios, continuamos trabajando sin descanso para defender a todos nuestros clientes y constantemente estamos agregando nuevas protecciones para sus dispositivos y datos”.
Algunas técnicas de intrusión de Pegasus detalladas en un informe de 2016 fueron modificadas en cuestión de horas tras hacerse públicas, lo que recalca la capacidad de NSO para adaptarse a las medidas de defensa.
Pegasus está diseñado para evadir las defensas en dispositivos iPhone y Android y dejar pocos rastros de su ataque. Las medidas de privacidad conocidas, como contraseñas fuertes y cifrado, ofrecen poca ayuda contra Pegasus, que puede atacar teléfonos sin darle ningún aviso a los usuarios. Puede leer cualquier cosa que un usuario pueda leer en un dispositivo, y también robar fotos, grabaciones, registros de ubicación, comunicaciones, contraseñas, registros de llamadas y publicaciones de redes sociales. El spyware también puede activar cámaras y micrófonos para realizar vigilancia en tiempo real.
“Simplemente no hay nada desde el punto de vista del cifrado que nos permita protegernos contra esto”, dijo Claudio Guarnieri, también conocido como “Nex”, el investigador italiano de 33 años del Laboratorio sobre Seguridad de Amnistía Internacional que desarrolló y realizó el análisis forense digital en 37 teléfonos que mostraron evidencia de ataques de Pegasus.
Esa sensación de impotencia hace que Guarnieri, quien a menudo se viste de negro de pies a cabeza, se sienta igual de inútil que un médico del siglo XIV que se enfrenta a la peste negra sin ningún medicamento eficiente. “Básicamente estoy aquí solo para llevar el recuento de muertos”, dijo.
El ataque puede iniciar de diferentes formas. Puede provenir de un enlace malicioso en un mensaje de texto SMS o un iMessage. En algunos casos, un usuario debe hacer clic en el enlace para comenzar la infección. En los últimos años, las compañías de software espía han desarrollado lo que denominan ataques “cero clic”, los cuales propagan spyware simplemente enviando un mensaje al teléfono del usuario sin generar ninguna notificación. Los usuarios ni siquiera tienen que tocar sus teléfonos para que comiencen las infecciones.
Muchos países tienen leyes pertinentes a las escuchas telefónicas tradicionales y la intercepción de comunicaciones, pero pocos cuentan con mecanismos efectivos de defensa contra intrusiones más profundas habilitadas por ataques cibernéticos a teléfonos celulares. “Esto es más intrincado en cierto sentido porque en realidad ya no se trata de interceptar comunicaciones y escuchar conversaciones… esto cubre todo eso y va mucho más allá”, dijo Guarnieri. “Esto ha planteado muchas preguntas no solo sobre derechos humanos, sino incluso sobre leyes constitucionales nacionales acerca de si esto acaso es legal”.
Clare, el abogado de NSO, atacó los exámenes forenses y los calificó de “una compilación de suposiciones especulativas y sin fundamento” construida sobre suposiciones basadas en informes anteriores. “NSO no tiene conocimientos sobre las actividades de inteligencia específicas de sus clientes”.
Los hallazgos del Proyecto Pegasus son similares a los descubrimientos previos de Amnistía Internacional, Citizen Lab y otras organizaciones de noticias de todo el mundo, pero el nuevo informe ofrece una visión detallada de las consecuencias personales y la magnitud de la intrusión y vigilancia y sus abusos.
La asociación de medios analizó la lista y encontró grupos de números con códigos de países similares y un enfoque geográfico que coincide con informes anteriores e investigaciones adicionales sobre clientes de NSO en el extranjero. Por ejemplo, México ya había sido identificado como un cliente de NSO en informes y documentos publicados, y varias entradas en la lista están agrupadas por el código de país, códigos de área y geografía de México. En varios casos, los grupos también contenían números de otros países.
En respuesta a las preguntas de los periodistas, portavoces de los países con grupos de números negaron el uso de Pegasus o negaron que su país hubiera abusado de sus poderes de vigilancia.
El despacho del primer ministro de Hungría, Viktor Orbán, afirmó que cualquier labor de vigilancia realizada por esa nación se realiza conforme a la ley.
“En Hungría, los organismos del Estado autorizados para utilizar instrumentos de acciones encubiertas son supervisados regularmente por instituciones gubernamentales y no gubernamentales”, aseguró el despacho. “¿Le has hecho esas mismas preguntas a los gobiernos de Estados Unidos, Reino Unido, Alemania o Francia?”.
Las autoridades de Marruecos respondieron: “Cabe recordar que las acusaciones infundadas publicadas anteriormente por Amnistía Internacional y transmitidas por Forbidden Stories ya recibieron una respuesta oficial de las autoridades marroquíes, que han rechazado de forma categórica esas acusaciones”.
Vincent Biruta, ministro de Asuntos Exteriores de Ruanda, también negó el uso de Pegasus.
“Ruanda no utiliza este sistema de software, como se confirmó previamente en noviembre de 2019, y no posee esta capacidad técnica de ninguna forma”, dijo Biruta. “Estas acusaciones falsas forman parte de una campaña en curso para causar tensiones entre Ruanda y otros países, y para sembrar desinformación sobre Ruanda a nivel nacional e internacional”.
‘¡Vaya pregunta!’
Algunos expresaron indignación ante incluso la mera sugerencia de espiar a periodistas.
Un periodista del diario francés Le Monde que trabaja en el Proyecto Pegasus le planteó recientemente una pregunta de este tipo a la ministra de Justicia de Hungría, Judit Varga, durante una entrevista sobre los requisitos legales para las escuchas clandestinas:
—¿Si alguien le pidiera que grabara a un periodista o a un oponente, ¿aceptaría?
—¡Vaya pregunta! —respondió Varga—. ¡Esta es una provocación en sí misma!
Al día siguiente, su despacho solicitó que la pregunta y su respuesta “fueran borradas” de la entrevista.
En el pasado, NSO ha culpado a sus países clientes de cualquier presunto abuso. NSO publicó su primer “Informe de Transparencia y Responsabilidad” el mes pasado, en el que argumentó que sus servicios son esenciales para las agencias de inteligencia y fuerzas del orden que intentan mantenerse al día con el siglo XXI: “Las organizaciones terroristas, los cárteles de la droga, los traficantes de personas, las redes de pederastas y otros grupos criminales explotan hoy en día las capacidades de cifrado listas para usar que ofrecen las aplicaciones de mensajería y comunicaciones móviles".
“Estas tecnologías le proporcionan a los criminales y sus redes un refugio seguro, y les permiten ‘ocultarse’ y evitar ser detectados, mientras se comunican por medio de impenetrables sistemas de mensajería móvil", agregó. "Las agencias nacionales de seguridad y de lucha contra el terrorismo de todo el mundo han tenido dificultades para responder a esto”.
NSO también afirmó que realiza revisiones rigurosas del historial sobre derechos humanos de los potenciales clientes antes de firmar contratos con ellos e investiga los reportes de abusos, aunque no citó ningún caso en específico. Aseguró que ha rescindido contratos con cinco clientes tras violaciones documentadas y que la debida diligencia de la compañía le ha costado 100 millones de dólares en ingresos perdidos. Una persona familiarizada con las operaciones de NSO que habló bajo condición de anonimato para poder discutir asuntos internos de la compañía señaló que solo en el último año NSO había rescindido contratos con Arabia Saudita y Dubai en los Emiratos Árabes Unidos por preocupaciones sobre violaciones de derechos humanos.
“Pegasus es muy útil para combatir el crimen organizado”, dijo Guillermo Valdés Castellanos, exdirector del Centro de Investigación y Seguridad Nacional (CISEN) de México de 2006 a 2011. “Pero la falta total de controles y equilibrios (en las agencias mexicanas) hace que termine fácilmente en manos privadas y sea utilizado para beneficio político y personal”.
México fue el primer cliente de NSO en el extranjero en 2011, menos de un año después de la fundación de la compañía en el Silicon Valley de Israel, en el norte de Tel Aviv.
En 2016 y 2017, más de 15,000 mexicanos aparecieron en la lista examinada por la asociación de medios, entre ellos al menos 25 periodistas que trabajan para los principales medios de comunicación del país, según los registros y entrevistas.
Una de ellas fue Carmen Aristegui, una de las periodistas de investigación más destacadas del país y colaboradora habitual de CNN. Aristegui, quien recibe habitualmente amenazas por denunciar la corrupción de los políticos y los cárteles de México, ya había sido revelada como un objetivo de Pegasus en varios informes de los medios. En aquel momento, dijo en una entrevista reciente, su productor también había sido atacado. Los nuevos registros y análisis forenses revelaron enlaces de Pegasus en el teléfono de su asistente personal.
“Pegasus es algo que llega a tu oficina, tu casa, tu cama, a cada rincón de tu existencia”, dijo Aristegui. “Es una herramienta que destruye los códigos esenciales de la civilización”.
A diferencia de Aristegui, el periodista independiente Cecilio Pineda era un desconocido fuera de su estado sureño de Guerrero, azotado por la violencia. Su número aparece dos veces en la lista de 50,000. Un mes después de su segunda aparición en el listado, fue baleado en un lavado de autos, mientras esperaba por su auto acostado en una hamaca. No está claro qué papel, si es que lo hubo, jugó en su asesinato la capacidad de Pegasus de geolocalizar sus objetivos en tiempo real. México es uno de los países más letales para los periodistas; 11 fueron asesinados en 2017, según Reporteros sin Fronteras.
“Incluso si Forbidden Stories tuviera razón al afirmar que un cliente de NSO Group en México incluyó el número de teléfono del periodista como objetivo en febrero de 2017, eso no significa que el cliente de NSO Group o los datos recopilados por el software de NSO Group estén de alguna manera conectados con el asesinato del periodista el mes siguiente”, escribió Clare, el abogado de NSO, en su carta dirigida a Forbidden Stories. “La correlación no es lo mismo que causalidad, y los hombres armados que asesinaron al periodista pudieron haberse enterado de su ubicación en un lavado de autos público a través de muchas formas no relacionadas con NSO Group, su tecnología o sus clientes”.
La Secretaría de Seguridad y Protección Ciudadana de México reconoció el año pasado que el CISEN y la entonces Procuraduría General de la República adquirieron Pegasus en 2014 y abandonaron su uso en 2017, cuando expiró la licencia. Los medios de comunicación mexicanos también han reportado que la Secretaría de la Defensa Nacional utilizó el software espía.
El legado de Snowden
La hoy próspera industria internacional de spyware se remonta a varias décadas, pero recibió un impulso en 2013, tras la divulgación sin precedentes de documentos altamente clasificados de la Agencia de Seguridad Nacional (NSA por su sigla en inglés) por parte del contratista Edward Snowden. Los documentos revelaron que la NSA podía obtener las comunicaciones electrónicas de casi cualquier persona porque tenía acceso secreto a los cables transnacionales que transportan el tráfico de internet en todo el mundo, además de datos de empresas de internet como Google y compañías gigantes de telecomunicaciones como AT&T.
Incluso los aliados de Estados Unidos en Europa quedaron conmocionados por la magnitud tan global del espionaje digital estadounidense, y muchas agencias nacionales de inteligencia se propusieron mejorar sus propias capacidades de vigilancia. Las compañías comerciales conformadas por jubilados a mitad de carrera provenientes de agencias de inteligencia, vieron un lucrativo y naciente mercado libre de las regulaciones gubernamentales y la supervisión impuesta a otras industrias.
La dramática expansión del cifrado de extremo a extremo por parte de Google, Microsoft, Facebook, Apple y otras importantes empresas de tecnología también llevó a los funcionarios de inteligencia y de organismos de seguridad a quejarse de haber perdido el acceso a las comunicaciones de objetivos criminales reales. Eso, a su vez, provocó una mayor inversión en tecnologías, como Pegasus, que funcionan atacando dispositivos individuales.
“Cuando construyes un edificio, quieres asegurarte de que se mantenga firme, y por eso seguimos ciertos protocolos”, dijo Ido Sivan-Sevilla, experto en cibergestión de la Universidad de Maryland. Al promover la venta de herramientas de vigilancia privada no reguladas, “fomentamos la construcción de edificios que pueden ser invadidos. Estamos construyendo un monstruo. Necesitamos un tratado de normas internacionales que establezca que algunas cosas no están bien”.
Sin normas ni reglas internacionales, existen acuerdos secretos entre compañías como NSO y los países a los que le prestan servicios.
El uso ilimitado de un spyware de grado militar como Pegasus puede ayudar a los gobiernos a reprimir el activismo cívico en un momento en el que el autoritarismo está ganando espacios en todo el mundo. También le otorga a los países sin la sofisticación técnica de naciones líderes como Estados Unidos, Israel y China la capacidad de realizar un ciberespionaje digital mucho más profundo.
‘Tu cuerpo deja de funcionar’
Azerbaiyán, un viejo aliado de Israel, ha sido identificado como cliente de NSO por Citizen Lab y otros. El país está gobernado por una cleptocracia familiar que no tiene elecciones libres, ni un sistema judicial imparcial, ni medios de comunicación independientes. El antiguo territorio soviético ha sido gobernado por la familia Aliyev desde que la Unión Soviética colapsó hace 30 años. El robo de los Aliyev a la riqueza del país y sus planes de lavado de dinero en el extranjero han resultado en embargos extranjeros, sanciones internacionales y acusaciones penales.
A pesar de las dificultades, unas tres docenas de periodistas azerbaiyanos continúan documentando la corrupción de la familia. Algunos están escondidos dentro del país, pero la mayoría se vio obligada a exiliarse a lugares donde no sean tan fáciles de capturar. Algunos trabajan para Radio Free Europe/Radio Liberty, que fue expulsada del país en 2015 por su trabajo periodístico, cuya sede actual está en Praga y está financiada por Estados Unidos. Otros trabajan para una organización sin fines de lucro de periodismo de investigación llamada The Organized Crime and Corruption Reporting Project, cuya sede está en Sarajevo, la capital de Bosnia, y que forma parte del Proyecto Pegasus.
La periodista de investigación más importante de la región es Khadija Ismayilova. El régimen tiene una década intentando silenciarla: colocó una cámara secreta en la pared de su apartamento, tomó videos de ella teniendo relaciones sexuales con su novio y luego los publicó en internet en 2012; fue arrestada en 2014, juzgada y condenada por varios cargos, incluyendo un falso cargo de evasión de impuestos, y fue recluida en celdas junto a criminales peligrosos. Tras una oleada de indignación mundial y la intervención de alto perfil de la abogada de derechos humanos Amal Clooney, Ismayilova fue liberada en 2016 y se le prohibió viajar fuera del país.
“Es importante que la gente vea ejemplos de periodistas que no se detienen ante las amenazas”, dijo Ismayilova en una entrevista reciente. “Es como una guerra. Si abandonas tu trinchera, el atacante entra… tienes que mantener tu posición porque de lo contrario te la quitarán y entonces tendrás cada vez menos espacio hasta el punto de que te costará respirar”.
El mes pasado, debido a problemas de salud, se le permitió salir del país. Sus colegas planificaron analizar su teléfono celular de inmediato. El análisis forense de Security Lab determinó que Pegasus había atacado y penetrado su dispositivo en numerosas ocasiones desde marzo de 2019 hasta mayo de este año.
Ismayilova dijo haber asumido que estaba bajo algún tipo de vigilancia, pero que aún así se sorprendió ante la enorme cantidad de ataques cibernéticos. “Cuando llegas a pensar que tal vez haya una cámara en el inodoro, tu cuerpo deja de funcionar”, dijo. “Pasé por esto, y durante ocho o nueve días no pude usar un inodoro, en ningún lugar, ni siquiera en lugares públicos. Mi cuerpo dejó de funcionar”.
Ismayilova dejó de comunicarse con la gente porque cualquier persona con la que conversaba terminaba acosada por los organismos de seguridad. “No confías en nadie y luego intentas no tener ningún plan a largo plazo con tu vida porque no quieres que nadie se meta en problemas por tu culpa”.
La confirmación del ataque de Pegasus la indignó. “Mis familiares también han sido víctimas. Las fuentes han sido víctimas. Las personas con las que he estado trabajando, las personas que me contaron sus secretos privados también están siendo victimizados”, dijo Ismayilova. “Es despreciable… no sé quién más ha quedado vulnerable por mi culpa, quién más está en peligro por mi culpa”.
¿Es el ministro paranoico o sensato?
El miedo a una vigilancia generalizada obstaculiza la ya de por sí difícil mecánica del activismo cívico.
“A veces, ese miedo es precisamente el punto”, dijo John Scott-Railton, investigador líder en Citizen Lab, quien ha investigado a fondo el spyware Pegasus. “El sufrimiento psicológico y la autocensura que provoca son herramientas clave de los dictadores y líderes autoritarios de la era moderna”.
Cuando Siddharth Varadarajan, cofundador de The Wire, un medio digital independiente de la India, se enteró que el análisis de Security Lab había revelado que Pegasus había penetrado su teléfono, lo primero en lo que pensó fue en sus fuentes confidenciales. Pensó en un ministro del gobierno del primer ministro Narendra Modi que había mostrado una preocupación inusual de estar siendo vigilado cuando se reunieron.
El ministro primero cambió el sitio de reunión a última hora, luego apagó su teléfono y le dijo a Varadarajan que hiciera lo mismo.
Luego, “los dos teléfonos fueron puestos en una habitación, y luego pusieron música en esa habitación… y pensé: ‘Guao, este tipo es realmente paranoico’. Pero quizás estaba siendo sensato”, dijo Varadarajan en una entrevista reciente.
Cuando el análisis forense reveló que su teléfono había sido hackeado, conoció en carne propia la sensación. “Te sientes violado, sin duda alguna”, dijo. “Es una intrusión enorme, y los periodistas no deberían tener que lidiar con esto. Nadie debería tener que lidiar con esto”.
Leer más:
Lo que necesitas saber sobre el malware Pegasus
AMLO debe transparentar qué pasó con Pegasus y el espionaje de EPN
ncG1vNJzZmivp6x7uK3SoaCnn6Sku7G70q1lnKedZLK0e9aoqaWcX2d9c32OaW5oamFkvbO72J6araddpbKordKuqmalkaHEor7EZpysqJmWerGx0aKmnaGjqa60ecCcq6KumajBor%2BMppyxoZOkerS82LCYq51f