(c) 2021, The Washington Post - Dana Priest, Craig Timberg, Souad Mekhennet
Un spyware (programa de computación/software espía) de grado militar producido por una firma israelí y otorgado bajo licencia a los gobiernos para rastrear a terroristas y criminales fue usado en intentos exitosos de hackeo a 37 celulares pertenecientes a periodistas, activistas de derechos humanos, ejecutivos empresariales y a dos mujeres cercanas al periodista asesinado saudí Jamal Khashoggi, de acuerdo a una investigación del Washington Post y 16 de sus socios de los medios de comunicación.
Los números de los celulares aparecían en una lista con más de 50.000 números concentrados en países que llevan a cabo supervisión de sus ciudadanos y los cuales además han sido clientes de la firma israelí NSO Group, un líder mundial en la creciente y no-regulada industria privada de spyware, según arrojó la investigación.
La lista no identifica quién le añadió los números, ni por qué, y no se sabe cuántos de los números fueron solamente objetivos o fueron de hecho rastreados. Pero un análisis forense de los 37 celulares inteligentes muestra que muchos presentan una correlación cercana entre los registros de tiempo asociados con el número en la lista y el inicio de la vigilancia, en algunos casos tan breve como un par de segundos.
Forbidden Stories (Historias Prohibidas), una organización periodística sin fines de lucro basada en París, y Amnistía Internacional, un grupo de derechos humanos, tuvieron acceso a la lista y la compartieron con las organizaciones de noticias, las cuales llevaron a cabo aún más investigaciones y análisis. El Laboratorio de Seguridad de Amnistía Internacional realizó el análisis forense de los celulares inteligentes.
Los números en la lista no tenían nombres asociados a ellos en la propia lista, pero los reporteros han podido identificar a más de 1.000 personas abarcando más de 50 países, a través de investigaciones y entrevistas en cuatro continentes: varios miembros de familias reales árabes, al menos 54 ejecutivos empresariales, 85 activistas de derechos humanos, 189 periodistas, y más de 600 políticos y oficiales de gobierno – incluyendo a ministros de gabinetes, diplomáticos, y oficiales militares y de seguridad. Los números de varios primeros ministros y jefes de Estado también aparecían en la lista.
Entre los periodistas cuyos números aparecían en la lista, la cual data de 2016, se encuentran reporteros trabajando internacionalmente para varias organizaciones de noticias de gran prestigio, incluyendo un pequeño número para CNN, Associated Press, Voice of America, el New York Times, el Wall Street Journal, Bloomberg News, Le Monde de Francia, el Financial Times de Londres y Al Jazeera en Qatar.
El hecho de que estos 37 celulares inteligentes hayan sido designados como objetivos parece estar en conflicto con el propósito de la licencia que otorga NSO para el uso del spyware Pegasus, el cual según la compañía fue diseñado con la intención de vigilar a terroristas y peligrosos criminales. La evidencia extraída de estos celulares inteligentes, reveladas aquí por primera vez, pone en duda las promesas de la compañía israelí de supervisar que sus clientes no estuvieran cometiendo abusos a los derechos humanos.
El consorcio mediático analizó la lista a través de entrevistas y análisis forenses de los celulares, y comparó esos detalles con información previamente reportada sobre NSO. El Laboratorio de Seguridad de Amnistía Internacional examinó 67 celulares inteligentes que se sospechaban habían sido atacados. De ésos, se encontró que 23 habían sido infectados con éxito y 14 presentaban evidencias de intentos de penetración. Las pruebas de los 30 celulares restantes arrojaron resultados inconclusos, en muchos casos porque los celulares habían sido reemplazados. 15 de esos celulares eran dispositivos Android, de los cuales ninguno presentó evidencia de infiltración exitosa. Sin embargo, a diferencia de los iPhones, los Android no registran el tipo de información requerida para el trabajo de rastreo de Amnistía Internacional. Tres celulares Android presentaban evidencia de haber sufrido intentos de infiltración vía modalidades como mensajes SMS relacionados a Pegasus.
Amnistía Internacional compartió las copias de respaldo de la data de cuatro iPhones con Citizen Lab, el cual confirmó que los dispositivos presentaban evidencias de infección por Pegasus. Citizen Lab, un equipo de investigación en la Universidad de Toronto que se especializa en estudiar a Pegasus, también llevó a cabo una evaluación independiente de los métodos forenses de Amnistía Internacional y los confirmó como acertados.
En un largo comunicado respondiendo a las preguntas del consorcio, NSO se refirió a las conclusiones de la investigación como exageradas y sin base. También dijo que ellos no operan el spyware que le vende bajo licencia a sus clientes y que “no tienen información” sobre las características específicas de sus actividades de inteligencia.
NSO describió a sus clientes como 60 agencias de inteligencia, cuerpos de orden públicos y fuerzas armadas en 40 países, aunque no confirmó la identidad de ninguno de ellos, citando sus obligaciones de confidencialidad para con sus clientes. El consorcio mediático que lleva a cabo la investigación encontró que muchos de los números provenían de un grupo de al menos 10 países, los cuales fueron sometidos a mayores investigaciones: Azerbaiyán, Bahréin, Hungría, India, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita y los Emiratos Árabes Unidos. Citizen Lab también encontró evidencia de que todos estos 10 países han sido clientes de NSO, según Bill Marczak, jefe de investigación.
Forbidden Stories organizó la investigación llevada a cabo colectivamente por el consorcio mediático, titulado “Proyecto Pegasus” (Pegasus Project), y Amnistía Internacional suministró el análisis y apoyo técnico, pero no tuvo incidencia editorial. Amnistía Internacional ha criticado abiertamente el negocio de spyware de NSO y promovió un litigio, sin éxito, contra la compañía en una corte israelí que buscaba revocar su licencia de exportación. Después de que iniciaron las investigaciones, muchos periodistas del consorcio se enteraron de que ellos mismos o miembros de sus familias habían sido también atacados por el spyware Pegasus.
Además de la intromisión personal posibilitada por la vigilancia a través de los celulares inteligentes, el uso generalizado de spyware ha surgido como una de las principales amenazas contra la democracia en el mundo entero, dicen los críticos. Los periodistas bajo vigilancia no pueden recopilar información delicada de manera segura sin ponerse en peligro a sí mismos o a sus fuentes. Políticos de oposición no pueden diseñar sus estrategias de campaña sin que aquellos en el poder anticipen sus decisiones. Los defensores de derechos humanos no pueden trabajar con personas vulnerables – algunas de ellas víctimas de sus propios gobiernos—sin exponerlas a nuevos abusos.
Por ejemplo, los forenses de Amnistía Internacional encontraron evidencia de que Pegasus tomó como objetivo a las dos mujeres más cercanas al columnista saudí Khashoggi, quien escribía para la sección de Opinión del Post. El celular de su prometida, Hatice Cengiz, fue infectado con éxito durante los días posteriores a su asesinato en Turquía el 2 de octubre de 2018, de acuerdo al análisis forense del Laboratorio de Seguridad de Amnistía Internacional. También en la lista estaban los números de dos oficiales turcos que investigaban su asesinato y desmembramiento a manos de un equipo saudí de sicarios. Khashoggi también tenía una esposa, Henan Elatr, cuyo celular fue atacado por alguien usando Pegasus en los meses anteriores a su asesinato. Amnistía Internacional no pudo determinar si el ataque de hackeo había sido exitoso.
“Éste es un software repugnante – elocuentemente repugnante”, dijo Timothy Summers, ex-ingeniero de ciber-seguridad en la agencia de inteligencia de EEUU y ahora director de Informática en la Universidad de Arizona State. Con él “uno pudiera espiar a prácticamente toda la población mundial. ... No hay nada de malo en construir tecnología que te permita recopilar data; algunas veces es necesario. Pero la humanidad no está en una posición en la que simplemente le podamos dar tanto poder a alguien”.
En respuesta a las preguntas específicas del consorcio, NSO dijo en una declaración que ellos no operaban el spyware que vendía bajo licencia a sus clientes y que ellos no tenían acceso regular a la data que ellos compilan. La compañía también dijo que su tecnología había ayudado a prevenir ataques y activación de bombas, así como ayudado a desarticular círculos que traficaban con drogas, sexo y niños. “En esencia, NSO Group está en una misión para salvar vidas, y la compañía llevará a cabo esta misión de manera fidedigna, a pesar de cualquier o de todos los continuos intentos por desacreditarla bajo falsas premisas”, dijo NSO. “Sus fuentes les han suministrado información que no tiene base en los hechos, como lo evidencia la falta de documentación de muchas de las acusaciones”.
La compañía negó que su tecnología fuera utilizada contra Khashoggi, o sus familiares o colaboradores.
“Como NSO ha dicho previamente, nuestra tecnología no estuvo asociada de ninguna manera con el horrendo asesinato de Jamal Khashoggi. Esto incluye escuchar, monitorear, rastrear o recolectar información. Previamente investigamos esta acusación, inmediatamente después del horrendo crimen, la cual esta vez también está siendo diseminada sin ninguna validación”.
La compañía agregó: “NSO Group continuará investigando cualquier acusación creíble de utilización indebida y tomará las acciones apropiadas basándose en los resultados de dichas investigaciones. Esto incluye deshabilitar el sistema de un cliente, algo que NSO ha probado que puede y está dispuesta a hacer si se confirma que han utilizado mal el sistema ya que lo hemos hecho en múltiples ocasiones en el pasado, y no dudaremos en hacerlo nuevamente si la situación lo amerita”.
Thomas Clare, abogado especialista en casos de difamación, contratado por NSO, dijo que el consorcio había “aparentemente malinterpretado o mal caracterizado la data proveniente de las fuentes en las que confiaba” y que sus reportajes contenían suposiciones equivocadas y errores fácticos.
“NSO Group tiene buenas razones para creer que esta lista de “miles de números telefónicos” no es una lista de números designados como objetivos por los gobiernos que usan Pegasus, pero en cambio, puede ser parte de una lista más grande de números que clientes de NSO Group hayan usado para otros propósitos”, escribió Clare.
En respuesta a nuevas preguntas, NSO describió el número de 50.000 como “exagerado” y dijo que era demasiado grande como pare representar la cifra de objetivos de sus clientes. Basándose en las preguntas que se le hacían, NSO dijo que tenía razones para creer que el consorcio estaba basando sus investigaciones en “interpretación engañosa de datos filtrados proveniente de información básica accesible y pública, como los servicios de búsqueda tipo HLR Lookup, lo cual no tiene ninguna relación con la lista de objetivos de Pegasus elegida por nuestros clientes ni con ningún otro producto de NSO... todavía no vemos una correlación entre estas listas y el uso de las tecnologías de NSO Group.”
El término HLR, o “Home Location Register” (Registro de Localización del Hogar), se refiere a una base de datos que es esencial para la operación de redes de telefonía celular. Dichos registros acumulan data sobre las redes de los usuarios de celulares y sus ubicaciones generales, junto a otros datos de identificación que son usados cotidianamente en la interconexión de llamadas y mensajes de texto. Los servicios de búsqueda HLR operan en el sistema SS7 que las operadoras de celulares utilizan para comunicarse entre ellas. Estos servicios pueden ser utilizados para iniciar el espionaje de los objetivos.
El experto en seguridad en telecomunicaciones, Karsten Nohl, jefe científico para Security Research Labs en Berlín, dijo que él no tiene conocimiento directo del sistema de NSO, pero que los servicios de búsqueda HLR y otras aplicaciones que usan SS7 son ampliamente usadas, y sin mucho costo, por la industria de vigilancia – muchas veces por tan sólo decenas de miles de dólares al año.
“No es difícil tener ese acceso. Dados los recursos de NSO, sería una locura pensar que ellos no tienen acceso al SS7 de al menos una docena de países”, dijo Nohl. “Desde una docena de países, uno puede espiar al resto del mundo”.
Pegasus fue diseñado hace más de una década por antiguos espías cibernéticos israelís con adiestramiento del gobierno de ese país. El Ministerio de Defensa de Israel debe aprobar cualquier licencia que un gobierno quiera comprar, de acuerdo a declaraciones previas de NSO.
Los números de alrededor de una docena de estadounidenses que trabajan internacionalmente fueron descubiertos en la lista, en todos los casos, con excepción de uno, mientras usaban celulares registrados a redes extranjeras de telefonía celular. El consorcio no pudo llevar a cabo el análisis forense de la mayoría de estos celulares. NSO ha dicho por años que sus productos no pueden ser utilizados para espiar teléfonos estadounidenses. El consorcio no consiguió evidencia de instalación exitosa de spyware en celulares con el código telefónico de EEUU.
“También reafirmamos nuestras declaraciones anteriores que nuestros productos, vendidos a gobiernos extranjeros después de ser evaluados, no pueden ser utilizados para prácticas de vigilancia cibernética dentro de los Estados Unidos, y ningún cliente ha recibido tecnología que le permita acceso a teléfonos con números estadounidenses”, dijo la compañía en una declaración. “Es tecnológicamente imposible y reafirma el hecho de que las acusaciones de sus fuentes no tienen mérito”.
Apple y otros fabricantes de celulares inteligentes llevan años en un juego de gatos y ratones con NSO y otros proveedores de spyware.
“Apple condena inequívocamente los ciberataques contra periodistas, activistas de derechos humanos y otras personas que buscan hacer del mundo un mejor lugar”, dijo Ivan Krstić, jefe de Ingeniería de Seguridad y Arquitectura para Apple. “Por más de una década, Apple ha liderado la industria en innovaciones de seguridad y, como resultado, los investigadores de seguridad concuerdan que el iPhone es el dispositivo de telefonía móvil más seguro en el mercado de consumidores. Los ataques como los descritos son altamente sofisticados, cuestan millones de dólares para desarrollar, a menudo tienen una vida útil muy corta y son usados para atacar a individuos en específico. Aunque eso significa que no son una amenaza para la vasta mayoría de nuestros usuarios, continuamos trabajando sin descanso para defender a todos nuestros clientes, y estamos constantemente agregando nuevas protecciones a sus dispositivos y data”.
Algunas técnicas de intrusión de Pegasus detalladas en un reporte de 2016 fueron cambiadas en cuestión de horas después de que fueron reveladas públicamente, lo cual habla de la habilidad de NSO para adaptarse a las contramedidas que enfrenta.
Pegasus fue diseñado para evadir las defensas de los dispositivos iPhones y Android y dejar pocas evidencias de su ataque. Medidas comunes de seguridad como contraseñas fuertes y cifrado por encriptación son de poca ayuda frente a Pegasus, el cual puede atacar a los celulares sin ningún tipo de alerta a sus usuarios. Puede leer todo lo que un usuario puede leer en su celular, y al mismo tiempo robar fotos, grabaciones, registros de ubicación, comunicaciones, contraseñas, registros de llamadas y publicaciones en redes sociales. El spyware también puede activar las cámaras y micrófonos para vigilancia en tiempo real.
“Simplemente no hay nada desde el punto de vista de encriptación que puedas hacer para protegerte de él”, dijo Claudio Guarnieri, a.k.a. “Nex”, el investigador italiano de 33 años de edad que trabaja para el Laboratorio de Seguridad de Amnistía Internacional, quien llevó a cabo el análisis forense digital de los 37 celulares inteligentes que mostraron evidencia de ataques por Pegasus.
Esa sensación de desamparo hace que Guarnieri, quien ha menudo viste de negro de pies a cabeza, se sienta como un solitario médico del siglo XIV confrontando la Peste Negra sin ningún tipo de medicación útil. “En esencia, yo estoy aquí es para básicamente llevar el conteo de las muertes”, dijo él.
El ataque puede comenzar de diferentes maneras. Puede llegar a través de un enlace maligno en un mensaje de texto SMS o un iMessage. En algunos casos, un usuario debe darle clic en el enlace para comenzar la infección. En años recientes, las compañías de spyware han desarrollado lo que ellos llaman ataques de “cero clics”, los cuales son capaces de infectar con spyware simplemente enviando al celular del usuario un mensaje que no produce ninguna notificación. Los usuarios no tienen ni que tocar sus celulares para que la infección comience.
Muchos países tienen leyes concernientes al monitoreo de llamadas y a la intercepción de comunicaciones, pero pocos tienen resguardos efectivos contra las formas más profundas de entromisión llevadas a cabo a través del hackeo a los celulares inteligentes. “Esto es más astuto en el sentido que ya incluso no se trata de interceptar las comunicaciones y escuchar las conversaciones. ... Esto incluye todas aquellas prácticas y va muchos más allá”, dijo Guarnieri. “Ha hecho que nos hagamos muchas preguntas no sólo sobre los derechos humanos, pero incluso sobre las leyes constitucionales de las naciones hasta el punto de preguntarnos, ¿es esto siquiera legal?”
Clare, el abogado de NSO, criticó las evaluaciones forenses como “una compilación de suposiciones especulativas y sin base” construidas sobre las bases de reportes previos. También dijo que “NSO no tiene acceso a la información específica sobre las actividades de inteligencia de sus clientes”.
Los hallazgos del Proyecto Pegasus son similares a descubrimientos previos realizados por Amnistía Internacional, Citizen Labs y organizaciones de noticias del mundo entero, pero el nuevo reportaje ofrece una mirada detallada de las consecuencias personales y de la escala de la vigilancia y sus abusos.
El consorcio analizó la lista y encontró grupos de números con códigos telefónicos nacionales similares y geográficamente específicos que concuerdan con reportajes previos e investigaciones adicionales sobre los clientes extranjeros de NSO. Por ejemplo, México ha sido previamente identificado en reportes y documentos publicados como un cliente de NSO, y muchos números en la lista están organizados por el código telefónico nacional de México, código de área y geografía. En muchos casos, los grupos también contenían números de otros países.
En respuesta a las preguntas de la prensa, los voceros de los países en estos grupos negaron la utilización de Pegasus o negaron que sus países hayan abusado de sus poderes de vigilancia.
La oficina del primer ministro de Hungría, Viktor Orban, dijo que cualquier práctica de vigilancia llevada a cabo dentro de la nación es realizada en concordancia con la ley.
“En Hungría, los organismos del Estado autorizados para usar instrumentos encubiertos son monitoreados regularmente por instituciones gubernamentales y no-gubernamentales”, dijo la oficina. “Les ha hecho esa pregunta a los gobiernos de Estados Unidos de Norteamérica, al Reino Unido, Alemania o Francia?”
Las autoridades de Marruecos respondieron: “Debe recordarse que ya las autoridades marroquíes dieron respuesta a las acusaciones sin fundamento previamente publicadas por Amnistía Internacional y difundidas por Forbidden Stories, las cuales son rechazadas categóricamente”.
Vincent Biruta, ministro de relaciones exteriores de Ruanda, también negó el uso de Pegasus. “Ruanda no usa este sistema de software, como previamente fue confirmado en noviembre de 2019, y de ninguna manera posee esa capacidad tecnológica”, dijo Biruta. “Estas falsas acusaciones son parte de una continua campaña para causar tensiones entre Ruanda y otros países, y para sembrar desinformación sobre Ruanda tanto domésticamente en el país como internacionalmente”.
Algunos expresaron indignación ante la insinuación de espionaje a los periodistas.
Un reportero del diario francés Le Monde trabajando en el Proyecto Pegasus recientemente le hizo dicha pregunta a la ministra de justicia húngara Judit Varga durante una entrevista sobre los requerimientos legales para escuchar secretamente las conversaciones de las personas:
“Si alguien te pidiera que espiaras a un periodista o a un oponente, ¿tú aceptarías?” “¡Qué pregunta!” respondió Varga. “¡Esto es una provocación en sí misma!” Un día después, su oficina pidió que esta pregunta y su respuesta “fueran borradas” de la entrevista
En el pasado, NSO ha culpado a sus países clientes de cualquier supuesto abuso. NSO divulgó su primer “Reporte de Transparencia y Responsabilidad” el mes pasado, argumentando que sus servicios son esenciales para las agencias de inteligencia y orden público que tratan de mantenerse a la par del siglo XXI.
“Organizaciones terroristas, carteles de droga, traficantes de personas, círculos de pedofilia y otros grupos criminales de hoy explotan diariamente las capacidades de encriptación de las aplicaciones de mensajería y comunicaciones móviles”.
“Estas tecnologías proveen a estos criminales y a sus redes con un lugar seguro, que les permite “esconderse en la oscuridad’ y evitar ser detectados, comunicándose a través de sistemas impenetrables de mensajería. Los cuerpos de orden público y las agencias estatales de contraterrorismo alrededor del mundo han tenido dificultad para mantenerse a la par”.
NSO también dijo que ellos llevan a cabo rigurosas evaluaciones de los registros de derechos humanos de sus potenciales clientes antes de firmar un contrato con ellos e investiga los reportes de abusos, aunque no citó ningún caso en específico. Aseguró que había terminado los contratos de cinco clientes por violaciones documentadas y que este correcto proceder de la compañía le costó $100 millones en ganancias no percibidas.
“Pegasus es muy útil para combatir el crimen organizado”, dijo Guillermo Valdes Castellanos, director de la agencia de inteligencia mexicana CISEN entre 2006 y 2011. “Pero la falta de chequeos y contra-chequeos [en las agencias mexicanas] conllevan a que muchas veces termine en manos privadas y sea utilizado con fines políticos o personales”.
México fue el primer cliente internacional de NSO en 2011, menos de un año después de que la firma fuera fundada en el Silicon Valley de Israel, al norte de Tel Aviv.
En 2016 y 2017, más de 15.000 mexicanos aparecían en la lista examinada por el consorcio mediático, entre ellos al menos 25 reporteros que trabajaban para los mayores medios de comunicación del país, de acuerdo a los registros y entrevistas.
Una de ellas fue Carmen Aristegui, una de las más prominentes periodistas de investigación en el país y una colaboradora regular de CNN. Aristegui, quien es cotidianamente amenazada por exponer la corrupción de los políticos mexicanos y los carteles de droga, fue previamente identificada como un objetivo de Pegasus en varios reportes de los medios. En ese momento, su productor también fue atacado, dijo ella en una entrevista reciente. Los nuevos registros y análisis forenses encontraron enlaces de Pegasus en el celular de su asistente.
“Pegasus es algo que llega a tu oficina, a tu hogar, a tu cama, a cada rincón de tu existencia”, dijo Aristegui. “Es una herramienta para destruir los códigos esenciales de la civilización”.
A diferencia de Aristegui, el reportero independiente Cecilio Pineda era desconocido fuera de su estado sureño de Guerrero, el cual es azotado por la violencia. Su número telefónico aparece dos veces en la lista de 50.000 números. Un mes después de la aparición de la segunda lista, fue asesinado a tiros mientras descansaba en una hamaca dentro de un auto lavado donde esperaba su coche. No está claro qué papel tuvo en su asesinato, si alguno, la habilidad de Pegasus para geolocalizar a sus objetivos en tiempo real. México está entre los países más letales para periodistas; 11 fueron asesinados en 2017, de acuerdo a Reporteros Sin Fronteras.
“Incluso si Forbidden Stories estuviera en lo correcto al asegurar que un cliente de NSO Group en México definió como objetivo el número telefónico del periodista en febrero de 2017, eso no quiere decir que el cliente de NSO Group o que la data recopilada por el software de NSO Group estuvieran conectados con el asesinato del periodista el mes siguiente”, escribió Clare, el abogado de NSO, en su carta a Forbidden Stories. “La correlación no equivale a la causalidad, y los asesinos del periodista pudieron haber sabido de su ubicación en un autolavado público a través de una serie de medios no relacionados con NSO Group, sus tecnologías, o sus clientes”.
El Ministerio de Seguridad Pública de México admitió el año pasado que la agencia de inteligencia doméstica, CISEN, y la oficina del fiscal general adquirieron Pegasus en 2014 y descontinuaron su uso en 2017 cuando la licencia expiró. Medios de comunicación mexicanos también reportaron que el Ministerio de Defensa utilizó el spyware.
La floreciente industria internacional de spyware tuvo sus inicios hace décadas pero encontró un gran impulso después de la divulgación sin precedentes, en 2013, de documentos altamente clasificados de la Agencia de Seguridad Nacional de EEUU (National Security Agency, NSA por sus siglas en inglés) por el contratista Edward Snowden. Esto reveló que la NSA podía obtener la comunicación electrónica de prácticamente cualquiera en el mundo porque tenía acceso secreto a los cables trasnacionales que distribuyen el tráfico de internet a nivel mundial y la data de compañías de internet como Google y gigantescas compañías de telecomunicaciones como AT&T.
Incluso los aliados de EEUU en Europa estuvieron sorprendidos por el desarrollo y escala del espionaje digital estadounidense, y muchas agencias nacionales de inteligencia se propusieron mejorar sus propias capacidades de vigilancia. Firmas con fines de lucro, las cuales contrataron a ex-funcionarios retirados de las agencias de inteligencia, vieron un lucrativo mercado en construcción libre de la supervisión del gobierno y otras regulaciones impuestas a otras industrias.
La expansión dramática de la encriptación de extremo a extremo por Google, Microsoft, Facebook, Apple y otras grandes firmas de tecnología también llevó a los cuerpos de orden público y oficiales de inteligencia a quejarse de que habían perdido acceso a las comunicaciones de criminales peligrosos. Eso en sí promovió aún más inversión en tecnologías, como Pegasus, que se enfocan en atacar específicamente a dispositivos individuales.
“Cuando uno construye un edificio, uno quiere asegurarse de que el edificio sea seguro, así que seguimos ciertos protocolos”, dijo Ido Sivan-Sevilla, un experto en legalidad cibernética de la Universidad de Maryland. Al promover la venta de herramientas privadas de vigilancia sin regulación, “estamos promoviendo la construcción de edificios a los cuales pueden entrar los ladrones. Estamos construyendo un monstruo. Necesitamos un tratado de normas internacionales que diga que hay ciertas cosas prohibidas”.
Sin estándares internacionales y reglas, hay entonces acuerdos secretos entre las compañías como NSO y los países a los que brindan sus servicios.
El uso irrestricto de spyware de grado militar como Pegasus puede ayudar a los gobiernos a suprimir el activismo cívico en tiempos en los que el autoritarismo está en aumento a nivel mundial. También le da a los países que no poseen la sofisticada tecnología de los Estados Unidos, Israel o China, la habilidad para llevar a cabo un espionaje tecnológico mucho más extenso que en el pasado..
Azerbaiyán, un aliado de Israel desde hace muchos años, ha sido identificado por Citizen Labs y otros como uno de los clientes de NSO. El país es una cleptocracia familiar sin elecciones libres, sin un sistema de cortes imparciales y sin agencias de noticias independientes. El antiguo territorio soviético ha sido gobernado, desde que colapsó la Unión Soviética hace 30 años, por la familia Aliyev, cuyos robos de la riqueza nacional y tramas de lavado de dinero fuera del país, han resultado en embargos extranjeros, sanciones internacionales y acusaciones criminales.
A pesar de las dificultades, alrededor de tres docenas de reporteros azerbaiyanos continúan documentando la corrupción de la familia gobernante. Algunos están escondidos dentro del país, pero la mayoría fueron obligados a huir al exilio donde no es tan sencillo capturarlos. Algunos trabajan para la reconocida Radio Free Europe / Radio Liberty, que opera desde Praga con financiamiento de EEUU, la cual fue expulsada del Azerbaiyán en 2015 por sus reportajes. Los otros trabajan en una organización sin fines de lucro dedicada a reportajes de investigación, llamada Organized Crime and Corruption Reporting Project (Proyecto de Reportaje sobre el Crimen Organizado y la Corrupción), la cual está basada en Sarajevo, la capital de Bosnia, y es uno de los colaboradores en el Proyecto Pegasus.
La periodista de investigación más prominente en la región es Khadija Ismayilova, a la cual el gobierno ha tratado de silenciar por más de una década. Plantaron una cámara secreta en una pared de su apartamento, grabaron videos de ella mientras tenía relaciones sexuales con su novio y luego las publicaron en internet en 2012; fue arrestada en 2014, enjuiciada y hallada culpable por una supuesta evasión de impuestos y otros cargos, y fue recluida en calabozos con un alto número criminales endurecidas. Después de una campaña global de repudio y la intervención de la reconocida abogada de derechos humanos Amal Clooney, fue liberada en 2016, aunque con prohibición de salida del país.
“Es importante que las personas vean ejemplos de periodistas que no se detuvieron después de haber sido amenazados”, dijo Ismayilova en una entrevista reciente. “Es como una guerra. Si dejas tu trinchera, entonces entra el atacante... debes mantener tu posición, de otra manera va a ser tomada y tendrás menos espacio, y el espacio se irá reduciendo hasta que ya no tengas espacio para respirar”.
El mes pasado, con su salud deteriorándose, se le permitió salir del país. Sus colegas organizaron para analizar su celular inteligente inmediatamente. Los forenses del Laboratorio de Seguridad determinaron que Pegasus había atacado e infiltrado su dispositivo muchas veces desde marzo 2019 hasta incluso mayo de este año.
Ella había asumido que estaba bajo algún tipo de vigilancia, dijo Ismayilova, pero estaba incluso sorprendida por el número de ataques. “Cuando piensas que quizá hay una cámara en el baño, tu cuerpo deja de funcionar”, dijo ella. “Yo pasé por esto, y por ocho o nueve días no podía usar el baño, en ningún lado, ni siquiera en lugares públicos. Mi cuerpo dejó de funcionar”.
Ella se dejó de comunicar con los demás porque cualquier persona con la que hablaba terminaba siendo perseguida por los servicios de seguridad. “No confías en nadie, y luego tratas de no tener ningún plan a largo plazo con tu propia vida porque no quieres que otras personas tengan problemas por tu culpa”.
La confirmación de que había sido atacada por Pegasus la enfadó. “Mis familiares también han sido víctimas. Mis fuentes son víctimas. Las personas con las que he trabajado, las personas que me contaron sus secretos personales son víctimas”, dijo ella. “Es despreciable... yo no sé quién más ha sido expuesto a través de mí, quién más está en peligro por mí”.
Los miedos de una vigilancia amplia impide los mecanismos ya de por sí difíciles del activismo ciudadano.
“A veces, crear miedo es precisamente el objetivo”, dijo John Scott-Railton, un investigador de alto rango en Citizen Lab, quien ha examinado a Pegasus extensamente. “Las dificultades psicológicas y la autocensura que causa son herramientas cruciales de los dictadores y autoritarios de hoy en día”.
Cuando Siddharth Varadarajan, cofundador de The Wire, una página de noticias independientes en la India, se enteró de que el análisis de los Laboratorios de Seguridad había encontrado que su celular había sido atacado por Pegasus, su mente inmediatamente pensó en la vulnerabilidad de sus fuentes. Pensó en un ministro en el gabinete del gobierno del primer ministro Narendra Modi que había demostrado una preocupación inusual por ser vigilado cuando nos reunimos.
El ministro primero cambió el lugar de la reunión al último momento, luego apagó su celular y le dijo a Varadarajan que hiciera lo mismo.
Luego “los dos celulares fueron colocados en una habitación y se puso música en esa habitación... y yo pensé: “¡Increíble!, este hombre es demasiado paranoico. Pero quizá sólo estaba siendo precavido”, dijo Varadarajan en una entrevista reciente.
Cuando los estudios forenses mostraron que su celular había sido infiltrado, él mismo sintió esa sensación. “Te sientes violado, no hay duda de ello”, comentó. “Esto es una intrusión increíble, y los periodistas no deberían tener que lidiar con esto. Nadie debería tener que lidiar con esto”.
Información de los Autores:
Dana Priest, reportera del Washington Post por 30 años, cubre asuntos de seguridad nacional. Recientemente, ella ha investigado sobre las operaciones rusas de desinformación, censura alrededor del mundo, el masivo estado de seguridad nacional, operaciones de la CIA y asuntos de veteranos. Ella es la presidenta de Periodismo de Asuntos Públicos en la Universidad de Maryland.
Craig Timberg es reportero de tecnología nacional para el Washington Post. Desde que se unió al Post en 1998, él ha estado reportando, editando, sirviendo como corresponsal extranjero, y contribuyendo con la cobertura del Post, ganadora del premio Pulitzer, sobre la Agencia de Seguridad Nacional (NSA por sus siglas en inglés).
Souad Mekhennet es corresponsal en el equipo de seguridad nacional. Ella es la autora de “Se Me Dijo Que Viniera Sola: Mi Viaje Detrás de las Líneas del Jihad”, y ha reportado sobre el terrorismo para el New York Times, el International Herald Tribune y NPR.
Priest reportó desde Ankara, Estambul y Washington; Timber desde Washington y Mekhennet desde Berlín. Michael Birnbaum en Budapest, Mary Beth Sheridan en Ciudad de México, Joanna Slater en Nuevo Delhi, Drew Harwell y Julie Tate en Washington y Miranda Patrucic, desde el Proyecto de Reportaje sobre el Crimen Organizado y la Corrupción en Sarajevo, contribuyeron con este reportaje.
Lea el artículo original aquí.
