El Gran Hermano sobrevuela México a lomos de Pegasus; cobra millones

El malware desarrollado por NSO Group hizo metástasis en el país durante el sexenio de Peña Nieto. Periodistas, activistas e investigadores del caso Ayotzinapa fueron los principales afectados. La FGR se niega a desinstalar el programa; hay una investigación en curso, aduce

Ataque, control y medidas de protección

Espiar enemigos es un ejercicio tan viejo como la humanidad y se ha practicado en todas las épocas y a todos los niveles. ¿Acaso no le encontraron al presidente Nixon un sistema de grabación en su oficina durante el escándalo Watergate? Sin embargo, hasta el mítico James Bond quedaría asombrado frente a los sofisticados sistemas de espionaje que se emplean en la actualidad.

Ya no se trata de tomar fotos a escondidas o las intervenciones telefónicas tradicionales. La tecnología moderna permite activar cámaras, compartir llamadas en tiempo real, transferir archivos automáticamente, incluso registrar la ubicación de una persona y seguir sus movimientos, sin que esta jamás se percate.

«El Proyecto Pegasus pone al descubierto que el software espía de NSO es el arma preferida de los gobiernos represivos que intentan silenciar a periodistas, atacar a activistas y aplastar la disidencia, poniendo en peligro innumerables vidas».

Amnistía Internacional

Basta tener un teléfono celular para convertirnos en víctimas potenciales de un sistema de control remoto tan desarrollado como Pegasus, perteneciente a la empresa israelí NSO Group, especializada en la elaboración de softwares espías, los cuales vende a quienquiera que sea capaz de pagarlo, no importa si se trata de una agencia gubernamental o una entidad privada.

Amnistía Internacional (AI) y Forbidden Stories, organización sin ánimo de lucro, compartieron con medios de comunicación una lista de más de 50 mil números de teléfono atacados por Pegasus. Muchos de ellos vinculados a periodistas, funcionarios, sindicalistas, empresarios y un largo etcétera que se aleja del perfil delincuencial, motivo por el cual fue supuestamente creado el programa.

«Consideramos grave el uso sistemático y generalizado del Gobierno de Enrique Peña Nieto para espiar a periodistas, activistas, víctimas de la violencia y opositores políticos».

Leopoldo Maldonado, director regional de Artículo 19

A partir de este descubrimiento AI demandó la suspensión inmediata de la exportación, venta, transferencia y uso de tecnología de vigilancia. «Estamos ante una peligrosa industria que ha actuado al margen de la legalidad durante demasiado tiempo y esta situación no puede continuar. Lo que necesitamos urgentemente es una mayor regulación de la industria de la cibervigilancia, la obligación de rendir cuentas… y una mayor supervisión de esta oscura industria», ha manifestado la organización.

Lobo con piel de oveja

NSO Group insiste en que su sistema se diseñó con el objetivo de perseguir a criminales y terroristas. Para demostrarlo presume entre sus mayores logros la aprehensión de Joaquín «el Chapo» Guzmán, en 2014. Según Shalev Hulio, presidente de la empresa israelí, la captura se produjo gracias a que, desde tres años antes, Pegasus estaba siendo operado por el Ejército Mexicano. También se instaló en los celulares que utilizó el capo durante su reclusión en el penal de alta seguridad de El Altiplano. La estrategia, a la postre, permitió recapturarlo en 2016 tras su segunda fuga.

No obstante, NSO guarda silencio sobre el empleo de este programa para seguir los movimientos de activistas, defensores de derechos humanos, comunicadores y políticos alrededor del mundo, como lo ha demostrado el Proyecto Pegasus, investigación en la que participaron más de 80 periodistas de 17 organizaciones de medios de comunicación de 10 países, bajo la coordinación de Forbidden Stories y el apoyo técnico de AI.

«El Proyecto Pegasus pone al descubierto que el software espía de NSO es el arma preferida de los gobiernos represivos que intentan silenciar a periodistas, atacar a activistas y aplastar la disidencia, poniendo en peligro innumerables vidas», manifestó Agnès Callamard, secretaria general de AI.

A partir de los datos filtrados, Forbidden Stories y sus asociados localizaron posibles clientes de NSO en 11 países: Arabia Saudí, Azerbaiyán, Bahréin, Emiratos Árabes Unidos, Hungría, India, Kazajistán, Marruecos, México, Ruanda y Togo. Asimismo, se demostró que el programa se ha vendido, al menos, a 60 agencias militares, de inteligencia o seguridad.

A la fecha, la investigación ya identificó 180 periodistas de 20 países que fueron seleccionados como posibles blancos de ataques con el software espía entre 2016 y junio de 2021. Uno de los casos más polémicos se relaciona con la muerte de Jamal Khashoggi en Estambul, el 2 de octubre de 2018, a manos de agentes saudíes. Los teléfonos móviles de familiares del exdirector general y redactor jefe del canal de noticias Al-Arab News Channel habían sido portadores de Pegasus.

«Estas revelaciones echan por tierra cualquier afirmación de NSO de que tales ataques son poco frecuentes y obedecen a un uso fraudulento de su tecnología. Aunque la empresa afirma que su software espía sólo se utiliza en investigaciones penales y de terrorismo legítimas, está claro que su tecnología facilita la comisión de abusos sistemáticos. NSO dibuja una imagen de legitimidad mientras saca provecho de violaciones de derechos humanos generalizadas», advierte AI.

El grupo israelí, por su parte, no solo se niega a poner fin al uso de sus herramientas para la vigilancia selectiva, sino que rechaza categóricamente las denuncias y asegura que «muchas de ellas son teorías no corroboradas que suscitan serias dudas sobre la fiabilidad de sus fuentes, además de la base de sus historias». En su opinión se trata de «una campaña despiadada y calumniosa» planificada por el consorcio de medios Forbidden Stories y «debido al total menosprecio de los hechos, NSO anuncia que ya no responderá a las preguntas de los medios sobre esta cuestión», (Proceso, 21.07.21)

México, cliente favorito

De los 50 mil números de teléfonos celulares obtenidos por Forbidden Stories, 15 mil corresponden a teléfonos mexicanos. La Secretaría de Seguridad y Protección Ciudadana (SSPC) de México reveló el 28 de julio que se encontraron 31 contratos del Gobierno con empresas vinculadas a NSO para la adquisición de software, hardware, bases de datos, plataformas, licencias y operaciones de mantenimiento por un monto de mil 970 millones 063 mil 967 pesos, además de 61.3 millones de dólares.

Pegasus se consolidó en México entre 2011 y 2018, al término de la administración de Felipe Calderón y durante todo el sexenio de Enrique Peña Nieto. Fue adquirido por la entonces Procuraduría General de la República (PGR) al Grupo Tech Bull, distribuidor de NSO.

«No obstante, para sus transacciones, la empresa israelí usó otras compañías fachada, llevando a cabo así una simulación de contratos relacionados con el software Pegasus en diferentes instancias del Gobierno federal por conceptos distintos al uso de tecnología de inteligencia», señaló Rosa Icela Rodríguez, titular de la SSPC.

Durante ese período fueron vigilados con el malware los periodistas Carmen Aristegui y Cecilio Pineda Brito, asesinado en 2017, semanas después de que el número de su teléfono celular apareciera en la lista filtrada. También se encontraron a miembros del Grupo Interdisciplinario de Expertos independientes que investigaban el Caso Ayotzinapa y no menos de 50 personas cercanas al presidente Andrés Manuel López Obrador, desde su esposa e hijos hasta su cardiólogo.

«Consideramos grave el uso sistemático y generalizado del Gobierno de Enrique Peña Nieto para espiar a periodistas, activistas, víctimas de la violencia y opositores políticos», expresó Leopoldo Maldonado, director regional de Artículo 19 (La Jornada, 21.07.21).

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) señaló que en varias ocasiones ha requerido a la Fiscalía General de la República (FGR) que «acreditara de manera formal que el sistema denominado Pegasus hubiese sido desinstalado del hardware en posesión de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas de la Agencia de Investigación Criminal y que dicho software no se encontrara instalado en algún equipo en posesión de la FGR».

Sin embargo, la FGR respondió que no es posible desinstalar Pegasus porque sigue abierta la carpeta de investigación que la Fiscalía Especializada para la Atención de Delitos Cometidos contra la Libertad de Expresión inició en 2017 por el espionaje contra periodistas y defensores de derechos humanos.

Coahuila: cámaras sin control

Tras los elevados índices de violencia que sufrió Coahuila durante las administraciones continuas de los hermanos Humberto y Rubén Moreira, el gobernador Miguel Ángel Riquelme se propuso reforzar la seguridad en el estado.

Como parte de su estrategia, presentó el 1 de abril de 2019 un proyecto de videovigilancia. Lo hizo acompañado de Zhijie Li, CEO de Dahua Technology, empresa subsidiada por el Gobierno chino que desarrolla tecnologías de vigilancia, a la que se le compraron por adjudicación directa cerca de mil 300 cámaras, buena parte de ellas capacitadas para hacer reconocimiento facial.

Aún no terminaba el proceso de instalación de los equipos en Saltillo y Torreón cuando en octubre de ese mismo año el Departamento de Comercio de Estados Unidos agregó a Dahua a su «Entity List» —una especie de lista negra con restricciones comerciales— por su participación en la represión, detenciones arbitrarias y vigilancia de grupos minoritarios musulmanes perpetradas desde Pekín.

Otro estudio elaborado por la compañía de ciberseguridad ReFirm Labs ya había encontrado vulnerabilidades técnicas. En 2017, detectó «puertas traseras» en una red de equipos Dahua que enviaban información a direcciones IP desconocidas en China y permitían acceder de manera remota a los datos de los usuarios.

A pesar de ello, el proyecto estatal siguió adelante y el Gobierno asegura que más del 70% de los delitos que se cometen en Coahuila se han resuelto por la vinculación de la Policía Cibernética de la Fiscalía General del Estado con el Sistema de Videovigilancia.

«La estrategia va más allá de ver pantallas que monitorean la información de las videocámaras instaladas por el Gobierno del Estado. Es el cruce de información con los softwares lectores de placas, de reconocimiento facial, de comando y vigilancia lo que arroja los buenos resultados», señaló Riquelme (Milenio, 09.07.21).

La nueva técnica no está exenta de riesgos y complicaciones. Coahuila carece de regulaciones sobre el monitoreo de personas, ubicaciones de los dispositivos y el manejo que se hace de la información obtenida.

Para evitar la falta de transparencia o el aprovechamiento de la videovigilancia con fines distintos al combate a la delincuencia, el diputado local Rodolfo Walss anunció la presentación de una ley que permita supervisar el sistema a partir de la creación de un Comité Técnico que vele por los derechos humanos de los ciudadanos monitoreados. También debe contar con la facultad de delinear y hacer cumplir los criterios para decidir dónde instalar las cámaras, sistematizar el manejo de la información obtenida e incluso determinar un plazo para eliminar el material grabado si ya no hay un delito que investigar.

«Es un tema que ha generado mucha polémica a nivel mundial y hay una tendencia de regular esta cuestión, pues si bien se reconocen como algo válido, la Suprema Corte ha expuesto la necesidad de que se regulen», enfatizó Walss (Milenio, 26.04.21). E4


Ataque, control y medidas de protección

Las primeras referencias sobre Pegasus se remontan a 2016, cuando investigadores de Lookout y Citizen Lab —laboratorios interdisciplinarios que estudian controles de información, como la vigilancia de la red y el filtrado de contenido— descubrieron una «amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple» (Xataka, 01.05.19).

A diferencia de los virus —softwares diseñados para ejecutarse y propagarse independientemente— las vulnerabilidades zero-day no son más que errores cometidos por un programador al crear un sistema, y que pueden ser explotados para que un código malicioso afecte el rendimiento del equipo.

Se conoce que Pegasus es capaz de instalarse en los celulares aprovechando estas brechas y afecta tanto a equipos con sistema operativo iOS como Android. Sin embargo, también puede ser activado si el usuario hace clic en un enlace malicioso que recibe vía correo electrónico o mensajería instantánea. El analista de amenazas móviles de Avast, Jakub Vavra, no descarta que esta herramienta de acceso remoto también utilice el mecanismo de ataque conocido como zero-click, por el que no se requiere ninguna acción del usuario.

Una vez instalado, Pegasus tiene acceso a casi todas las aplicaciones instaladas en el teléfono, al igual que a los documentos archivados. Está diseñado para recopilar correos electrónicos, publicaciones en redes sociales, registros de llamadas e incluso mensajes en aplicaciones de chat encriptadas como WhatsApp o Signal.

Pero no solo eso, tiene la facultad de activar micrófonos y cámaras, sin encender luces o cualquier otro indicador que informe que hay una grabación en curso. Además, transmite en tiempo real la ubicación de un usuario y si este se encuentra detenido o en movimiento —y hacia qué dirección lo hace—. Por si no bastara, puede enviar archivos a otros dispositivos sin requerir autorización y es capaz de actualizarse a sí mismo o persistir ante la actualización del sistema operativo en que se encuentra. Todo ello ocurre en un segundo plano y es transparente para el dueño del equipo infectado.

¿Cómo evitarlo?

Resulta prácticamente imposible para un usuario común descubrir si Pegasus se ha instalado en su teléfono móvil y, hasta la fecha, no existe un método público y seguro para detectarlo, mucho menos eliminarlo.

Al tratarse de un programa diseñado con el propósito exclusivo de espiar y no de dañar o impedir el funcionamiento del sistema operativo ni de propagarse a otros equipos, se complican las labores de localización. Súmese a ello una peculiaridad de este software que lo convierte en poco menos que un fantasma. Según la empresa de ciberseguridad global Kaspersky Lab, Pegasus se autodestruye si en un lapsus de 60 días no recibe órdenes del servidor que lo controla.

No obstante, existen algunas medidas que los usuarios pueden tomar para dificultar la instalación de este malware en sus dispositivos. La primera de ella es mantener el equipo al día con las actualizaciones de su sistema operativo. Apple y Google, responsables mayoritarios de iOS y Android, respectivamente, se preocupan por remediar las vulnerabilidades zero-day. Para ello recurren a mejoras que incluyen en sus actualizaciones periódicas. Otra opción preventiva es no hacer clic en vínculos desconocidos, especialmente cuando nos llegan desde cuentas de correo o usuarios que no integran nuestros contactos.

No se trata de acciones infalibles ante el acoso de un software tan desarrollado como Pegasus, pero bien puede obstaculizar su desempeño hasta que surjan mejores herramientas de prevención. E4

La Habana, 1975. Escritor, editor y periodista. Es autor de los libros El nieto del lobo, (Pen)últimas palabras, A escondidas de la memoria e Historias de la corte sana. Textos suyos han aparecido en diferentes medios de comunicación nacionales e internacionales. Actualmente es columnista de Espacio 4 y de la revista hispanoamericana de cultura Otrolunes.