Por OCCRP (Organized Crime and Corruption Reporting Project) | 23 de julio de 2021
En Hungría, Szabolcs Panyi sacó a la luz intrigas relacionadas con el espionaje y turbios negocios relacionados con las armas. En India, Paranjoy Guha Thakurta investigó la relación existente entre los intereses empresariales y políticos. En Azerbaiyán, Sevinj Vaqifqizi grabó el fraude electoral.
Estos periodistas, a los que separan miles de kilómetros, tienen algo en común: sus gobiernos los consideraban una amenaza.
Los tres se encuentran entre las decenas de periodistas y activistas de todo el mundo cuyos móviles fueron infectados con Pegasus, un programa espía fabricado por la empresa israelí NSO Group, capaz de hacerse con datos personales, interceptar conversaciones y encender cámaras y micrófonos de forma autónoma.
Estos ataques han salido a la luz gracias a The Pegasus Project, una red internacional integrada por más de 80 periodistas, pertenecientes a 17 organizaciones periodísticas, incluida OCCRP, y coordinada por Forbidden Stories.
¿Qué significa "seleccionado como objetivo"?
Los teléfonos de Panyi, Thakurta y Vaqifqizi fueron analizados por el Laboratorio sobre Seguridad de Amnistía Internacional y se descubrió que estaban infectados después de que sus números aparecieran en una lista de más de 50.000 números, supuestamente objetivo de los gobiernos que recurrieron al software de NSO. Los analistas pudieron identificar a los propietarios de cientos de esos números y Amnistía realizó un análisis forense en todos los teléfonos que pudo, confirmando que habían sido hackeados en docenas de casos. El informe cuenta con el respaldo de entrevistas, documentos y otros materiales.
La empresa NSO Group ha negado el mal uso sistemático de su programa espía y ha puesto en duda la validez de los datos obtenidos por los analistas. Argumenta que Pegasus se vende a los gobiernos para perseguir a delincuentes y terroristas y que ha salvado muchas vidas. La empresa, estrechamente vinculada con los servicios de seguridad israelíes, afirma que aplica estrictos controles para evitar un uso indebido. NSO Group también niega específicamente que haya creado o pueda crear este tipo de listas.
Sin embargo, en lugar de tener como objetivo únicamente a delincuentes, los gobiernos de más de 10 países parecen haber seleccionado también a opositores políticos, profesores universitarios, periodistas, defensores de los derechos humanos, doctores y líderes religiosos. Es posible que los clientes de NSO también hayan utilizado el software de esta empresa para llevar a cabo actividades de espionaje dirigidas a funcionarios extranjeros, diplomáticos e incluso jefes de Estado.
Los clientes
Con base en la agrupación geográfica de los números en la lista filtrada, los reporteros identificaron clientes potenciales del Grupo NSO de más de 10 países, incluidos: Azerbaiyán, Bahrein, Hungría, India, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita, Togo y el Emiratos Árabes Unidos.
Periodistas y activistas en el punto de mira
En los próximos días, el OCCRP y otros socios del Proyecto Pegasus publicarán historias concretas que evidenciarán la amenaza del uso indebido del software de NSO Group en todo el mundo. Sirvan estos casos flagrantes como adelanto: el uso del programa de espionaje para vigilar, acosar e intimidar a periodistas y activistas y a personas de su entorno.
Entre quienes figuran en la lista, hay varias personas del entorno de Jamal Jashoggi, el columnista de The Washington Post que fue asesinado y descuartizado por agentes saudíes en el consulado del país en Estambul. Los análisis forenses muestran que la prometida turca de Jashoggi, Hatice Cengiz, algunos de sus seres queridos y colegas fueron víctimas del software de NSO Group, tanto antes como después del asesinato de Jashoggi, en 2018. (NSO Group asegura que ha investigado esta afirmación y niega que su software se emplease en relación con el caso Jashoggi).
Sandra Nogales, la asistente de la conocida periodista mexicana Carmen Aristegui, también fue un objetivo de Pegasus, en forma de mensaje de texto malicioso, según un análisis forense efectuado en su teléfono. Aristegui ya sabía que estaba en el punto de mira de Pegasus; en 2017, había aparecido en un informe de Citizen Lab, un laboratorio interdisciplinar de la Universidad de Toronto. Aun así, “supuso un gran shock ver a otras personas de mi entorno en la lista”, ha señalado Aristegui a The Pegasus Project.
Mi asistente, Sandra Nogales, que lo sabía todo sobre mí –que tenía acceso a mi agenda, a todos mis contactos, a mi día a día– también fue introducida en el sistema".
Varios reporteros de la red OCCRP figuraban entre los al menos 188 periodistas de la lista de objetivos potenciales. Entre ellos, se encuentra Khadija Ismayilova, periodista de investigación de la organización OCCRP, cuyos reportajes la han convertido en objetivo del régimen cleptocrático del presidente del país, Ilham Aliyev. El análisis forense independiente del iPhone de Apple de Ismayilova muestra que Pegasus se utilizó sistemáticamente entre 2019 y 2021 para penetrar en su dispositivo, a través de un fallo de seguridad en la aplicación iMessage.
Ismayilova ya sabe lo que es la vigilancia gubernamental. Hace ya aproximadamente una década, sus reportajes la llevaron a ser amenazada con vídeos comprometedores que, para su horror, supo que habían sido grabados con cámaras ocultas instaladas en su casa. Se negó a dar marcha atrás y, por ello, las imágenes se difundieron a través de internet.
“Es horroroso, porque piensas que esta herramienta está encriptada, que puedes usarla... pero luego te das cuenta de que no, de que cuando que estás en internet [pueden] observarte”, apunta Ismayilova. “Estoy enfadada con los gobiernos que producen todas estas herramientas y se las venden a los malos, como el régimen de Aliyev”.
Panyi y su colega András Szabó, ambos periodistas asociados al OCCRP en Hungría, también vieron cómo les pichaban sus teléfonos con Pegasus, lo que podía dar a sus atacantes acceso a datos sensibles como chats cifrados y borradores de artículos. Como periodistas de investigación de uno de los pocos medios independientes que quedan en el país, Direkt36, pasaron años investigando la corrupción y las intrigas, mientras su país se volvía cada vez más autoritario con el Gobierno del primer ministro Viktor Orban.
Ahora se han enterado de que ellos eran la historia.
A Panyi, descendiente de supervivientes judíos del Holocausto, había algo que le chirriaba especialmente: que el software hubiese sido desarrollado en Israel y exportado a un país cuyos dirigentes coquetean habitualmente con el antisemitismo.
“Según mi familia, después de sobrevivir a Auschwitz, el hermano de mi abuela se marchó a Israel, donde se hizo soldado y murió poco después durante la guerra árabe-israelí de 1948”, escribió Panyi en un relato en primera persona al enterarse de que había sido hackeado. “Sé que es una tontería y que no supone ninguna diferencia, pero probablemente me sentiría diferente si resultase que mi vigilancia contó con el apoyo de cualquier otro Estado, como Rusia o China”.
La supuesta lista de espiados incluye más de 15.000 objetivos potenciales en México durante el anterior gobierno del presidente Enrique Peña Nieto. Muchos eran periodistas, como Alejandro Sicairos, un reportero del estado de Sinaloa, cofundador del sitio web de periodismo RíoDoce. Los datos analizados por The Pegasus Project muestran que el teléfono de Sicairos fue seleccionado como objetivo del software de NSO Group en 2017, poco después de que su colega, el destacado periodista Javier Valdéz, fuera asesinado a tiros cerca de la oficina de RíoDoce.
Otros integrantes de la lista eran personas normales empujadas al activismo por el caos y la violencia de México. Cristina Bautista es una agricultora pobre cuyo hijo, Benjamín Ascencio Bautista, se encuentra entre los 43 estudiantes secuestrados en Iguala, en el estado mexicano de Guerrero, en 2014, y que a día de hoy sigue desaparecido. El caso conmocionó a la sociedad mexicana y llevó a Bautista, y a otros padres, a echarse a las calles a protestar y a ayudar a los expertos independientes en sus investigaciones.
Las declaraciones públicas de Bautista y de otros padres los puso directamente en el punto de mira de las autoridades mexicanas y de Peña Nieto, que denunció las protestas como desestabilizadoras del país.
"¡Sí, nos vigilaban! Donde quiera que fuéramos, una patrulla nos seguía”, declara.
"Nos perseguían".
Una "herramienta natural" para autócratas
Aunque The Pegasus Project expone casos claros de uso indebido del software de NSO Group, la empresa es sólo un actor en una industria mundial de software espía que mueve miles de millones de dólares.
El mercado del software espía para móviles, valorado en 12.000 millones de dólares por directivos de NSO, ha democratizado el acceso a la tecnología punta de agencias de inteligencia y fuerzas policiales que, años atrás, sólo podían soñar con tenerla.
“Se está dotando a muchos más regímenes de un servicio de inteligencia”, afirma John Scott-Railton, investigador jefe de Citizen Lab.“Como un servicio de inteligencia extranjero en una caja”, prosigue.
Al igual que muchas empresas privadas de software espía, la especialidad de NSO Group son los llamados “fallos de seguridad de cero días”, es decir, aquellos no descubiertos previamente en el software. Eso puede permitir a terceros acceder a dispositivos, como los teléfonos móviles. Pegasus y otras herramientas de primera línea gozan de una fortaleza particular; a menudo son capaces de infectar dispositivos de forma silenciosa, sin que el usuario tenga que hacer siquiera clic en ningún enlace.
Estas herramientas han dado ventaja a los gobiernos en plena adopción generalizada de aplicaciones de mensajería cifrada, como WhatsApp y Signal, que supuestamente permiten a los usuarios comunicarse fuera del alcance de la vigilancia estatal. Sin embargo, una vez que los dispositivos se ven comprometidos, el contenido de dichas aplicaciones queda fácilmente disponible, junto con otros datos sensibles como mensajes, fotografías y llamadas. Por otra parte, la omnipresencia de las cámaras y los micrófonos de los teléfonos móviles hace que los clientes de los programas espía puedan acceder fácilmente a ellos como dispositivos de grabación a distancia.
“Para sortear [la mensajería cifrada] basta con llegar al dispositivo que se encuentra en uno u otro extremo de esa comunicación”, afirma Claudio Guarnieri, director del Laboratorio sobre Seguridad de Amnistía Internacional. Pegasus hace exactamente eso. “Pegasus puede hacer más [con el dispositivo] que el propietario. Si Signal, por ejemplo, encripta el mensaje... [un atacante] puede grabar usando el micrófono, o hacer capturas de pantalla del teléfono para poder leer [la conversación]. No hay prácticamente nada, desde el punto de vista del cifrado, que proteja contra esto”.
De hecho, no hay mucho que se pueda hacer para protegerse de un ataque de Pegasus. Guarnieri se muestra escéptico ante las aplicaciones que afirman ser completamente seguras, y en su lugar recomienda mitigar los riesgos del spyware mediante una buena higiene de ciberseguridad. “Hay que asegurarse de compartimentar las cosas y dividir la información de tal manera que, incluso en caso de ataque, pueda minimizarse el daño”.
En el fondo, el Proyecto Pegasus revela una verdad inquietante; en un mundo en el que los teléfonos inteligentes están omnipresentes, los gobiernos tienen una solución sencilla y comercial que les permite espiar prácticamente a quien quieran, donde quieran.
“Creo que está muy claro, los autócratas temen la verdad y los autócratas temen las críticas”, señala Scott-Railton de Citizen Lab. “Ven a los periodistas como una amenaza y Pegasus es una herramienta natural para ponerlos en el punto de mira sus amenazas”, concluye.
Resultados forenses del análisis a los celulares
La prueba más contundente de que la lista representa realmente a los objetivos de Pegasus llegó mediante el análisis forense.
El Laboratorio sobre Seguridad de Amnistía Internacional examinó los datos de 67 teléfonos cuyos números figuraban en la lista. 37 teléfonos mostraron evidencias de actividad de Pegasus; 23 teléfonos habían resultado infectados con éxito y 14 presentaban signos de un intento de ataque. En los 30 teléfonos restantes, las pruebas no fueron concluyentes, en varios casos porque los teléfonos habían sido sustituidos.
15 de los teléfonos incluidos en la lista eran dispositivos Android. A diferencia de los iPhone, los Android no registran el tipo de información necesaria para el trabajo de investigación de Amnistía. Sin embargo, tres teléfonos Android mostraban indicios de haber sido objeto de ataques, como los mensajes sms vinculados a Pegasus.
En un subconjunto de 27 teléfonos analizados, los investigadores de Amnistía Internacional encontraron 84 rastros distintos de actividad de Pegasus que se correspondían estrechamente con la aparición de los números en la lista filtrada. En 59 de estos casos, los rastros de Pegasus aparecieron en los 20 minutos. En 15 casos, el rastro apareció un minuto después.
Imagen principal: Svetlana Tiourina
Artículo original en inglés: https://www.occrp.org/en/the-pegasus-project/israeli-made-spyware-used-to-monitor-journalists-and-activists-worldwide
Traducción: Mariola Moreno (Infolibre.es)