Conocido desde alrededor del 2017, Pegasus es un software malicioso que ha sido utilizado por entes gubernamentales alrededor del mundo para espiar los teléfonos de todo tipo de personas, en específico periodistas. Ahora, a 4 años de su hallazgo, se ha encontrado que más de 50 mil activistas y periodistas han sido espiados con el uso de Pegasus.
En una investigación llamada Pegasus Project que involucró a más de 80 periodistas de 17 medios importantes en 10 países y coordinados por Forbidden Stories y con la ayuda técnica del Laboratorio sobre Seguridad de Amnistía Internacional, se reveló la filtración de 50 mil números telefónicos infectados por Pegasus y los clientes que habían utilizado este malware para espiar no sólo a periodistas, sino activistas, oponentes políticos, empresarios, abogados, diplomáticos y en algunos casos mandatarios, y en casi todos los casos a familiares y personas cercanas a estas personas; incluso, en México, es conocido que Pegasus fue utilizado para la captura de El Chapo Guzmán al vigilar los múltiples teléfonos que él o sus colaboradores utilizaban.
Para entender la historia detrás del Pegasus Project primero hay que entender…
Qué es Pegasus
Pegasus es un software espía (spyware) desarrollado por NSO Group, una empresa israelita, este spyware al alojarse en el teléfono de su objetivo es capaz de extraer todo tipo de información desde mensajes (incluso aquellos encriptados como los de aplicaciones como WhatsApp, Telegram o Signal), los datos en el calendario, ubicaciones GPS, contraseñas, correos, fotos y videos, la agenda de contactos, códigos de autenticación, es decir, toda la información que cruza por el dispositivo e incluso hacer grabaciones de audio y video de forma imperceptible por los usuarios del teléfono infectado.
Sin embargo, con el paso de los años Pegasus ha evolucionado y el spyware que necesitaba que el objetivo diera clic sobre un link, desde 2018 ha pasado al “zero-click”, es decir, el blanco del ataque ni siquiera tiene que interactuar para que el spyware se instale en su teléfono. Por ejemplo, The Guardian reportó que en 2019 WhatsApp reveló que el spyware había sido enviado a más de 1 400 teléfonos tan sólo realizando una llamada de WhatsApp al dispositivo a infectar.
La evolución del espionaje cibernético y la postura de NSO Group
Se trata de una evolución en el espionaje cibernético, que pasó de mails con spywares diseñados para infectar la computadora a spywares que se alojan en los celulares y que acompañan al objetivo en todo momento, es decir, no sólo Pegasus es más sofisticado dado que es imperceptible para los usuarios, sino que es un espionaje mucho más sofisticado dado que los móviles se han convertido en un accesorio que nos sigue a todos los lugares en todo momento.
Por otro lado, NSO Group alega que Pegasus es utilizado sólo para “investigar el terrorirsmo y el crímen” y “no deja rastros”, sin embargo, de acuerdo con el Reporte de metodología forense de Amnistía Internacional esto no es cierto. Del mismo modo, NSO Group ha declarado incluso a través de sus reportes internos que toma acciones proactivas para asegurar que el spyware no contribuye al abuso de los derechos humanos e incluso, según la información de Forbidden Stories, NSO no venderá a 55 países dados sus problemas en materia de derechos humanos… aunque la lista de 55 países es desconocida.
Asimismo, NSO ha alegado que ha rechazado más de 330 millones de dólares en contratos de clientes potenciales que no siguen los estándares de derechos humanos internacionales y que incluso han terminado 5 contratos, después de todo NSO mantiene un “switch” que puede “apagar” el uso de su tecnología en cualquiera de sus contratos.
Sin embargo, en entrevista con Luis Fernando García, director ejecutivo de la Red de Defensa de los Derechos Digitales (R3D) que en el pasado investigó el uso de Pegasus en México indica que el motivo detrás de la creación de un software de vigilancia como éste pasa a un segundo plano.
Creo que cuando se ha demostrado que tu herramienta es abusada de manera sistemática por múltiples gobiernos y tú [es decir, NSO Group] no eres capaz de hacer algo al respecto, es cuestionable. Aún asumiendo las buenas intenciones de los fabricantes de Pegasus, lo cierto es que su producto está siendo y ha sido abusado, y se le ha demostrado… y no ha hecho nada al respecto para evitarlo y además para contribuir a las investigaciones.
En otras palabras, a pesar de que los creadores de esta herramienta han intentado limpiar su imagen en repetidas ocasiones, lo cierto es que sus acciones han sido mucho más claras y hasta cierto punto evidencian el interés económico sobre cualquier interés social o de prevención del mal uso de su tecnología.
Yo pensaría que si no tienen nada que esconder, serían los primeros en querer aportar toda la evidencia técnica que ellos tienen para que los operadores, los clientes, es decir los funcionarios de gobierno que operaron Pegasus pues se enfrentaran a la justicia, pero no lo están haciendo, no están siendo transparentes, no están siendo colaborativos en las investigaciones. - Luis Fernando García.
Por otro lado, en el reporte de Amnistía Internacional, encontraron rastros forenses del uso de Pegasus en dispositivos iOS y Android, y cómo el spyware incluso en julio 2021 puede infectar un celular completamente actualizado. De esta forma es que encontraron que NSO utilizaba servidores de Amazon –Amazon Web Services, una rama del gigante de las ventas en línea que ofrece todo tipo de servicios web a empresas–, razón por la cual, el 19 de julio la empresa ha decidido dejar de operar la infraestructura y cuentas asociadas a NSO Group.
Y es que el desarrollo y venta de Pegasus sin duda alguna es parte de un proceso que ha revolucionado el espionaje cibernético. Lo que en algún momento se realizaba con herramientas propias de cada gobierno, ahora está a la venta al mejor postor, dándole el potencial de espionaje a virtualmente cualquier persona (en este caso en una agencia gubernamental), que, de acuerdo con el hallazgo del Pegasus Project involucró a por lo menos 10 países, algunos de ellos autoritarios otros democráticos y la vigilancia de miles de teléfonos.
Pensar en el desarrollo de una herramienta de vigilancia en contra del terrorismo y el crímen que no sea abusada por actores gubernamentales con determinados intereses fuera de la búsqueda de criminales tampoco es un imposible, pero se requiere de controles que ayuden a regular su uso, García también explica, tanto de la necesidad de un diseño del software mismo que ayude a la rendición de cuentas, lo cual en el caso de Pegasus es difícil dado que ha sido diseñado para ser indetectable. Además, de que
Es evidente que claramente se requiere reformas y un marco regulatorio que imponga controles a la adquisición y el uso, y que garantice la rendición de cuentas de este tipo de herramientas en las que también es un negocio corrupto donde todos estos servicios son por adjudicación directa, a precios inflados, en donde también hay muchos indicios de corrupción.
Por eso nosotros insistimos que no es suficiente prometer que no te van a espiar, eso no es serio, tiene que haber manera de verificar y de garantizar que habrá rendición de cuentas por el uso de estas herramientas. Si tu le das a cualquier persona herramientas poderosas y le das la oportunidad de usarlas sin tener que rendir cuentas a nadie, es una garantía que van a ser abusadas y eso es que lo que está sucediendo hoy, y es lo que hay que modificar, no con promesas, ni con palabras, sino con una regulación estricta de la adquisición y uso y la rendición de cuentas de este tipo de herramientas tecnológicas.
Pegasus y el asesinato de periodistas en el mundo
La rendición de cuentas y control sobre su uso cobra especial relevancia ya que el uso de Pegasus ha sido vinculado a por lo menos dos asesinatos de periodistas: el del mexicano Cecilio Pineda, en 2017, quien conducía una investigación del nexo entre la policía local, el gobierno de Guerrero y el narco cuando fue asesinado, así como de Jamal Khashoggi, un columnista saudí del Washington Post, que a lo largo de su carrera mantuvo una postura crítica contra el gobierno de Arabia Saudita.
En ambos casos, los periodistas o sus familiares habían sido blancos del uso de Pegasus por agencias aparentemente gubernamentales y sus allegados como la prometida de Khashoggi o la esposa de Pineda también habían sido espiadas con el uso de este spyware, aunque cabe destacar que en el caso de Pineda no fue posible confirmar el uso de Pegasus en su celular, ya que según la investigación éste desapareció; mientras que NSO Group no comentó si su celular había sido blanco del spyware, de acuerdo con The Guardian. Por otro lado, NSO Group negó que su tecnología fuera utilizada para escuchar, monitorear o recabar información de Khashoggi y sus familiares en una carta a Forbidden Stories.
Pegasus en México: una historia de corrupción e injusticias
Además del caso de Cecilio Pineda, esta última investigación de Forbidden Stories no sólo develó que Pegasus ha sido utilizado en países de los que se desconocía como Azerbaiyán, sino que México encabeza la lista de la red de espionaje cibernético con 15 mil teléfonos infectados, siendo secundado por Marruecos y los Emiratos Árabes Unidos con 10 mil teléfonos intervenidos cada uno.
De acuerdo con la Red en Defensa de los Derechos Digitales (R3D), entre los teléfonos infectados se encuentran los de defensores de derechos humanos, familiares de los 43 estudiantes de Ayotzinapa, periodistas y opositores políticos. La R3D, años antes, precisamente en 2017 publicó el informe “Gobierno espía” con los hallazgos de las investigaciones conjuntas de Citizen Lab, Article 19 y SocialTIC, en los que precisamente se detalla cómo existió “un patrón generalizado de uso de los sistemas de vigilancia gubernamentales en contra de periodistas, defensores de derechos humanos, activistas y opositores políticos que no debe quedar en la impunidad”.
Precisamente Luis García de R3D explica que la escala y dimensión del uso de Pegasus destaca sobre todo en México.
El hecho de que México sea el país con más objetivos, 15 mil de los 50 mil, ni de cerca supera a dictaduras como Arabia Saudita, Emiratos Árabes Unidos, Marruecos, etcétera y es impactante.
En México, el espionaje cibernético no es nada nuevo y lamentablemente el asesinato de periodistas tampoco lo es –después de todo es uno de los sitios más peligrosos para serlo en el mundo, a pesar de que no es una región en guerra–, tan sólo en 2016, Bloomberg Businessweek publicó “Cómo Hackear una Elección”, una entrevista a Andrés Sepúlveda, un hombre que construyó una carrera realizando espionaje cibernético y otros delitos en el mundo digital que según lograron alterar campañas electorales a lo largo y ancho de Latinoamérica. Este tan sólo sería un vistazo al poder detrás de la obtención de datos privados de opositores que podría definir una campaña electoral… o el rumbo de las políticas públicas de cualquier gobierno.
En ese sentido, R3D apunta a que entidades gubernamentales en México han contratado y utilizado Pegasus como la Procuraduría General de la República (PGR), el Centro de Investigación y Seguridad Nacional (Cisen) y la Secretaría de la Defensa Nacional (Sedena), y entre los blancos vigilados que se encontraron en la investigación de 2017 se incluían periodistas relevantes para la escena nacional como Carmen Aristegui –en el contexto de la investigación de la ahora afamada Casa Blanca de Enrique Peña Nieto– y sus allegados como su hijo Emilio Aristegui que en su momento tenía 16 años, su hermana y hasta su asistente, o Carlos Loret de Mola –que recibió el primer intento de infección en 2015 después de publicar sobre lo acontecido en Tanhuato, Michoacán el 22 de mayo de ese mismo año.
Ambos tan sólo serían la punta del iceberg de los periodistas y activistas vigilados, por ejemplo, Marcela Turati, periodista que investigó el caso de los 43 normalistas de Ayotzinapa, pero también sobre otras desapariciones de personas y la masacre de migrantes. Junto a Marcela, también serían vigilados Alejandra Xanic e Ignacio Rodríguez Reyna, los tres fundadores de Quinto Elemento Lab. Así en el 2017 se confirmaron hasta 25 personas cuyos teléfonos habían sido infectados con Pegasus.
Antier fui informada que mi teléfono, junto con los de 24 colegas, está en la lista de aparatos que el @cisenmx infectó (o lo intentó) con el malware espía #Pegasus; hecho que desde 2017 @FGRMexico sigue sin investigar y sancionar y por el que no se ha hecho limpia en gobierno🧵 pic.twitter.com/VvwnTFAeXC
— marcelaturati (@marcelaturati) July 19, 2021
Siempre dijimos desde ese momento [2017] que estábamos convencidos de que era la punta del iceberg y muy probablemente había muchos casos y pues bueno, el tiempo nos ha ido dando la razón y ha ido revelando más casos graves de espionaje. –Luis Fernando García
Pero al mismo tiempo, entre 2016 y 2017 otras figuras importantes de la política mexicana también serían blancos, en “The Rise and Fall of NSO Group” explican que “Entre los números había docenas de personas cercanas al entonces candidato Andres Manuel López Obrador, el actual presidente mexicano. Los teléfonos de por lo menos tres de sus hijos, su esposa, varios de sus hermanos, su manager de campaña, su chofer y, sí, su cardiólogo fueron seleccionados para la vigilancia”.
La vigilancia y espionaje sobre personajes de la vida política mexicana que hoy desempeñan cargos en el gobierno también es una cuestión destacable y muy delicada para García, quien explica:
Que todos ellos hayan sido espiados y que hoy no sepamos quién los espió y cómo utilizó esa inteligencia es sinceramente grave.
[…] En el caso de quien desempeña una función de gobierno es sumamente delicado que tantas figuras públicas, tantas figuras que tienen un poder tan amplio que toman decisiones que impactan a millones de mexicanos estén vulnerables a la extorsión, al chantaje derivado de la inteligencia que alguien podría tener.
En ese sentido, mientras no se esclarezca a cabalidad y no enfrenten la justicia los perpetradores intelectuales y materiales del espionaje con Pegasus, hay una amenaza a la democracia, a las instituciones y a la integridad de esas instituciones, porque, insisto, mientras sigan en la impunidad quienes perpetraron este espionaje, bien podrían estar utilizando inteligencia obtenida con Pegasus para extorsionar, conseguir impunidad, para alterar las decisiones de las instituciones democráticas; eso es sumamente delicado es una cuestión hasta de seguridad nacional.
Y es que en el caso de Pegasus –y incontables softwares de vigilancia que han sido desarrollados– el delito está presente en todo su funcionamiento. Es decir, aunque podría parecer que el fin justifica los medios en el caso de luchar contra el terrorismo y el crímen, la realidad es que NSO Group al vender Pegasus no deja de incurrir en un delito cibernético al explotar los puntos vulnerables de otras empresas y servicios.
Tal es el caso de WhatsApp, que en 2019 interpuso una demanda contra NSO Group en California… y ellos no son los únicos. En el caso mexicano, algunos de las personas que fueron víctimas del espionaje que se descubrió entre 2017 y 2018 interpusieron demandas en Israel contra los creadores de Pegasus, además de que de manera interna en diversos países existen investigaciones abiertas, como en México, para esclarecer quienes han sido los operadores.
Precisamente en ese punto, así como en el espionaje en el caso de los periodistas y activistas (y sus cercanos) cuando se dilucida algunos de los aspectos más preocupantes para la población en general: cualquiera está sujeto a la violación de su derecho a la privacidad y a ser víctima del espionaje sin conocimiento, pero a su vez sin los mecanismos que puedan demostrar el acto y responsabilizar a sus perpetradores.
García lo expone así:
No debe trivializarse, debería ser una urgencia del Estado mexicano en abocarse a esclarecer de manera absoluta los perpetradores, las víctimas y las consecuencias de este espionaje, adicionales al espionaje porque como vimos en el caso de Cecilio y muchos otros casos este espionaje no es nada más para saber y ahí quedarte con esa información, es para utilizarla de alguna manera y eso tiene implicaciones muy graves para la vida, la integridad física y emocional de las víctimas, incluso para toda la sociedad sobretodo cuando se trata de altos funcionarios de gobierno.
Si bien el uso de Pegasus puede parecer reservado para sólo personajes “disidentes” a la retórica de quien esté en el poder y en los gobiernos que han contratado y usado el spyware, lo cierto es que la afectación a la vida del resto de los ciudadanos es clara, aunque a veces considerada poco relevante.
«Nunca sabemos en qué momento nosotros vamos a tener que convertirnos en periodistas, en defensores de derechos humanos, en personas de interés. Muchas personas que buscan a sus hijos desaparecidos nunca pensaron que iban a ser personas que iban a afectar los intereses de alguien y sobretodo dado el contexto en México de infiltración y colusión frecuente entre autoridades y la delincuencia organizada, el no poner control sobre este tipo de sistemas repercute también en la dificultad y la posibilidad de desmontar la mafia y, digamos, esta macrocriminalidad que existe en México y estos contubernios y esas alianzas entre delincuencia organizada y funcionarios públicos que oprimen el desarrollo de la sociedad libre y democrática. Entonces nos afecta a todos.
La capacidad de monitorear y silenciar a estos periodistas, activistas, abogados y diplomáticos implica un importante sesgo en el acceso a periodismo independiente y al derecho al acceso a la información que todos los ciudadanos tenemos, más en una era en el que la tecnología si bien se ha convertido en un fuerte aliada para la libertad de expresión, también está siendo utilizada en su detrimento.
Uno de los aspectos más preocupantes detrás de Pegasus y su funcionamiento es que es virtualmente imposible saber quién está siendo vigilado actualmente, por lo cual, las medidas individuales tienen poco peso para conseguir un cambio. Luis Fernando García así lo explica, en realidad se trata de un esfuerzo que sólo se conseguirá mediante la colectividad.
Es urgente que la sociedad exija, que no nos traguemos el cuento que nos repiten –inclusive en este gobierno– de que es para la seguridad, que “para tu seguridad renuncia a tu privacidad, renuncia a tus derechos”, rechazar eso y más bien exigir que haya controles.
Hoy por hoy, no se puede confirmar ni descartar si Pegasus –u otro spyware– sigue operativo en México, o si la lista de 15 mil teléfonos intervenidos ha incrementado con el paso de los años. Lo que sí es posible es dejar de minimizar la importancia del derecho a la privacidad que todos gozamos y exigir que éste sea garantizado, además de que existan los marcos legales para responsabilizar a cualquiera que los vulnere, y esa, quizá sea la mayor tarea que Pegasus le ha legado a las sociedades del mundo.
Encuentra la lista de periodistas bajo la vigilancia de Pegasus aquí.
Conoce más sobre la labor de la Red de Defensa de los Derechos Digitales (R3D) visitando su página web.
Te podría interesar: Día de los Derechos Humanos: Los derechos que aún nos falta respetar
Suscríbete aquí a nuestro Newsletter para que estés al día con nuestros contenidos.