No se puede negar que las aspiraciones de los creadores de la empresa israelí NSO picaban muy alto. Decidieron llamar Pegasus a la joya de su sistema de espionaje telefónico por el caballo alado de la mitología griega. “Porque lo que construimos fue en realidad un caballo de Troya que enviábamos volando por el aire hasta llegar a los aparatos”, explicó en 2019 Shalev Hulio, su consejero delegado y uno de los tres fundadores de la compañía.

Cualquier método de espionaje informático plantea una duda razonable a sus clientes. Puedes utilizarlo para vigilar a tus enemigos, pero es posible que otros lo usen contra ti. El control de las riendas de ese caballo era un elemento esencial de la oferta que hacía NSO, a lo que se sumaba el hecho de que la empresa concedió al Gobierno israelí el derecho de veto sobre la lista de compradores de Pegasus.

Durante casi una década, poco o nada se supo de NSO en el extranjero hasta que las primeras revelaciones indicaban que había sido empleado por Arabia Saudí para espiar a personas cercanas a Jamal Khashoggi, el periodista asesinado en el consulado de Estambul. Shalev Hulio se vio obligado a dar sus primeras entrevistas. Periodistas israelíes le preguntaron si estaba en condiciones de garantizar que el sistema no podía caer en manos de enemigos del país, como Hizbolá o los servicios secretos iraníes, es decir, si podía ser utilizado contra el país de sus propios creadores.

Imposible, dijo Hulio: “El sistema se compone tanto de un hardware como de un software. La tecnología se instala sólo en la red del cliente aprobado y cuenta con los mecanismos de seguridad más avanzados y sofisticados del mundo. Las posibilidades de que esa tecnología caiga en manos de un operador no autorizado son cero, e incluso en ese caso tenemos la capacidad de desconectar inmediatamente el sistema en el momento en que nos enteremos”. Añadió que habían llevado a cabo esa desconexión en siete ocasiones.

Una segunda barrera de seguridad procedía del hecho de que NSO decía ser muy selectiva a la hora de elegir a sus clientes. Afirmaba que sólo vendía Pegasus a gobiernos que lo utilizarían en la lucha contra el terrorismo y organizaciones mafiosas. “Nos negamos a venderlo a noventa países. Hubo noventa países que vinieron y preguntaron, y les dijimos que no. Vendimos (Pegasus) a quizá unos cuarenta”.

Según un informe de la compañía conocido en junio de 2021, NSO cuenta con sesenta clientes en cuarenta países del mundo.

En esas entrevistas, Hulio no quiso identificar al primer cliente de NSO. Sólo dijo que era miembro de la OCDE. Es muy probable que fuera México, que decía necesitarlo para espiar a los cárteles del narcotráfico. Por eso, NSO presumía de que había servido para detener a El Chapo en 2017. Los gobiernos de Calderón y Peña Nieto también se sirvieron de él para espiar a decenas de periodistas y activistas de la oposición.

Otro cliente durante muchos años fue Arabia Saudí, un país que persigue con extrema dureza a todo aquel que se atreva a oponerse al Gobierno. Sólo durante unos meses posteriores al crimen de Khashoggi los saudíes vieron interrumpido el servicio hasta que el Gobierno israelí de Netanyahu presionó a NSO para que lo renovara. Frente a la versión que le gusta difundir a la empresa, la falta de respeto a los derechos humanos nunca fue un obstáculo para hacer negocios ni la compañía estaba en condiciones de vigilar cómo se espiaba con su sistema, más allá de conocer los números de teléfono.

Marruecos es otro país que compró Pegasus, con el que vigiló a medios de comunicación y disidentes: al menos 35 periodistas aparecieron como espiados por Rabat en la serie de artículos conocida como Forbidden Stories y publicada por un grupo de 17 medios de comunicación en colaboración con Amnistía Internacional gracias a una filtración interna. Entre ellos estuvo Edwy Plenel, director del medio francés Mediapart poco tiempo después de que asistiera a un seminario periodístico en Essaouira, Marruecos, organizado por un medio marroquí con el que mantiene relaciones y cuyo director también vio asaltado su teléfono móvil.

Rabat no sólo se sirvió de Pegasus en su país. En el verano de 2021, se supo que un teléfono empleado por Emmanuel Macron fue atacado dos años atrás, así como otros del entonces primer ministro, Edouard Philippe, y de catorce miembros del Gobierno. Desde el primer momento, la prensa francesa sospechó de los servicios de inteligencia marroquíes. La fuente de la revelación era el listado de 50.000 números a la que había tenido acceso la organización Forbidden Stories.

El Elíseo afirmó que si se probaban los hechos, se trataría de un acontecimiento de la máxima gravedad. Pero la repercusión terminó diluyéndose, porque el Gobierno francés no estaba muy interesado en poner en peligro sus relaciones estratégicas con Marruecos. Francia es su primer socio comercial y ha sido su principal sostén cuando se ha discutido sobre el Sahara en el Consejo de Seguridad de la ONU.

Marruecos negó ser la responsable del espionaje o haber comprado Pegasus. En el momento de la verdad, la realpolitik se impuso en París. A fin de cuentas, los franceses también espían a muchos de los gobiernos africanos con los que tienen relaciones muy estrechas. Un diplomático francés dijo al Financial Times que ambos gobiernos estarían muy satisfechos si el asunto se olvidaba rápidamente.

Con la confirmación de que los teléfonos personales de Pedro Sánchez y Margarita Robles también fueron infectados con Pegasus unos días después de que la policía marroquí permitiera la entrada masiva de inmigrantes en Ceuta en mayo de 2021, las miradas vuelven a centrarse en Marruecos. El Gobierno español lo tiene más difícil para adoptar la misma actitud que El Elíseo al haberse conocido la noticia en mitad del escándalo por la aparición de 65 nombres de políticos y activistas catalanes en las listas de teléfonos que pudieron haber sido espiados con el mismo sistema.

La sospecha de que el CNI utilizó ese sistema para investigar a los independentistas plantea dudas sobre su incapacidad para proteger al mismo tiempo la seguridad de las comunicaciones de Moncloa y de miembros del Gobierno. La portavoz del Gobierno no mostró mucha energía el martes para defender la posición de la directora del servicio de inteligencia.

Tampoco dio una explicación convincente al hecho de que se haya tardado casi un año en conocer que los teléfonos de Sánchez y Robles habían visto comprometida su seguridad. Como con muchos asuntos relacionados con el CNI, impera el más absoluto secretismo.

Países más importantes que España tienen ya claro que Pegasus es un error que puede tener consecuencias dañinas para la seguridad occidental. La actitud de EEUU hacia NSO cambió por completo al saberse que once de sus diplomáticos y empleados en la embajada en Uganda habían sufrido el mismo espionaje. Washington colocó a NSO en una lista negra de compañías que tienen prohibido tener relaciones comerciales con empresas norteamericanas, lo que supone una amenaza clara para su futuro.

Valorada en mil millones de dólares tras una venta de acciones a un fondo de inversiones en 2019, NSO tiene ahora problemas para refinanciar su deuda de 500 millones, por lo que su porvenir económico está en duda.

Shalev Hulio intenta ahora salvar a una empresa de la que han huido algunos de sus directivos y personal especializado. No tiene dudas sobre el futuro de instrumentos de espionaje como Pegasus. “Mientras no haya solución para el crimen y el terrorismo, estas tecnologías no tendrán fecha de caducidad. Nosotros, NSO, estamos aquí para quedarnos”.

Un tema al día, el podcast de elDiario.es

Pegasus escaló otro nivel en España. Después de que un informe del Citizen Lab alertara de que este software de espionaje se usó para hackear los móviles de al menos 65 políticos, activistas y abogados del entorno independentista catalán y vasco, el Gobierno informó que los teléfonos de Pedro Sánchez y la ministra de Defensa, Margarita Robles, también fueron atacados. ¿Cómo actúa Pegasus? ¿Quién está detrás de la empresa israelí que lo desarrolla? ¿Qué es el Citizen Lab? ¿Es posible saber si un teléfono fue infectado? Estas son algunas de las claves que rodean al opaco y polémico Pegasus:

¿Qué es Pegasus?

Pegasus es un potente software de espionaje desarrollado por la compañía israelí NSO Group. Su principal característica es que puede tomar el control total del dispositivo de la víctima si consigue infectarlo: el atacante podrá leer los emails, SMS, mensajes de WhatsApp, Telegram o cualquier otra aplicación, escuchar las llamadas en curso, hacer pantallazos de lo que muestre el teléfono en cada momento, acceder al historial de navegación, a la lista de contactos o a la geolocalización. En la práctica, el teléfono infectado por Pegasus se convierte en un dispositivo espía controlado por los atacantes, puesto que estos pueden activar a voluntad la cámara o el micrófono y vigilar reuniones o encuentros. Esto hace que Pegasus no solo comprometa la seguridad de la víctima sino la de todos los que le rodean.

¿Cómo entra en el celular?

La vía de infección de Pegasus cambia con cada ataque. NSO Group analizó durante años los principales servicios tecnológicos para encontrar agujeros de seguridad y enseñar a Pegasus a aprovecharlos para infectar el móvil del objetivo. Estas brechas se conocen como zero day y se caracterizan por ser desconocidas para el servicio que las sufre. En la campaña de espionaje a los independentistas Pegasus usó un zero day en iMessage, un servicio de mensajería instantánea desarrollado por Apple para sus propios dispositivos. En el pasado había usado otro en WhatsApp. Las dos compañías estadounidenses parchearon de inmediato estos agujeros cuando tuvieron constancia de ellos y han llevado a los tribunales a NSO al conocer que Pegasus los ha utilizado de este forma.

Un zero day permite a Pegasus colarse en el móvil de la víctima sin dejar apenas rastro. Cuando no hay uno disponible, los atacantes también pueden recurrir a métodos tradicionales de infección como el phishing. En el hackeo contra los políticos, abogados y activistas del entorno independentista catalán y vasco se suplantó la identidad de instituciones públicas como Hacienda o la Seguridad Social, ONG o medios de comunicación. El Gobierno no ha confirmado cómo se produjo el ataque contra los móviles de Pedro Sánchez y Margarita Robles.

¿Quién puede utilizar Pegasus?

NSO defiende que solo vende Pegasus a Gobiernos legítimos para que lo utilicen para combatir el crimen. “NSO vende sus productos bajo licencia y regulación a los organismos de inteligencia y policiales. Estas herramientas críticas se utilizan para prevenir el terrorismo y la delincuencia en virtud de órdenes judiciales y de las leyes locales de sus países. Las tecnologías de NSO Group ayudaron a sus clientes a salvar miles de vidas en los últimos años”, contestó la empresa a elDiario.es al ser preguntada por el hackeo a los independentistas. La empresa con base en Herzliya, cercana a Tel Aviv, alude a que no puede facilitar su lista de clientes por motivos de seguridad.

Sin embargo, hay indicios que apuntan a que Pegasus no solo está en manos de gobiernos. La Fiscalía mexicana ha documentado que al menos una empresa privada lo usó para espiar a activistas y periodistas del país. Citizen Lab tampoco descarta que pueda estar en manos de actores privados.

¿A quién más atacó Pegasus?

Los hechos ponen en cuestión la versión que ofrece NSO también en lo referente a sus objetivos. El rastro de Pegasus ha sido encontrado en los teléfonos de activistas y periodistas que no estaban acusados de ningún delito desde hace años. Primero empezaron a evidenciarse casos de personas espiadas por regímenes autoritarios o conocidos por violar los derechos humanos de sus ciudadanos. Pegasus se encontró en los teléfonos de colaboradores y de la pareja de Yamal Kashogyi, el periodista presuntamente asesinado y descuartizado por agentes de Arabia Saudí en el embajada del país en Turquía en 2021.

Pero desde verano de 2021 el espectro de los infectados por Pegasus se ha multiplicado exponencialmente. El pasado julio una investigación liderada por el Citizen Lab de la Universidad de Toronto, Amnistía Internacional y varios medios internacionales destapó que el software de espionaje se había usado contra 50.000 personas. Había intentado atacar a los presidente francés Emmanuel Macron, a los máximos mandatarios sudafricano y al paquistaní, así como jefes militares y altos cargos políticos de 34 países. También se vieron afectados un gran número de activistas, abogados y periodistas.

Desde entonces ha habido un goteo constante de afectados. En abril el Gobierno británico comunicó que había hallado evidencias de que varios de sus miembros habían sido objetivos del programa, mientras que Bruselas admitió que los móviles del comisario europeo de Justicia y su equipo también fueron atacados.

La campaña de espionaje descubierta en España, que abarca los móviles de al menos 65 personas del entorno independentista, a los que ahora se suman los de Pedro Sánchez y Margarita Robles, es la más numerosa descubierta hasta ahora.

¿Quién controla que Pegasus no se use para el espionaje masivo?

Nadie. No hay una convención internacional para el control del software de espionaje. Tampoco un organismo supranacional que vigile que se use de manera responsable, ni con la capacidad de castigar a aquellos que lo lanzan de manera masiva, injustificada o indiscriminada.

Esta es la principal crítica ante cada escándalo de espionaje que rodea a Pegasus. Naciones Unidas y decenas de ONG han denunciado esta ausencia de una regulación internacional para el uso de programas de espionaje, así como de métodos para exigir responsabilidades tanto a NSO Group como al resto de empresas que los diseñan cuando se usa de forma indiscriminada. Porque ese es otro de los problemas: Pegasus se ha hecho muy conocido por sus múltiples ataques contra miembros de la sociedad civil, pero NSO es solo una de las firmas que se dedican a este negocio. Hay muchas más, buena parte provienen de Israel y todas se caracterizan por su opacidad.

En el espionaje contra los independentistas se usó también Candiru, desarrollado por otra compañía israelí del mismo nombre. Candiru utilizaba un zero day en Microsoft. Cuando lo descubrió, la multinacional detectó que este programa estaba espiando a un centenar de personas de 10 países. “Si no se hace nada para detener la venta de esta tecnología, no serán sólo 50.000 objetivos. Serán 50 millones de objetivos y va a ocurrir mucho más rápidamente de lo que creemos”, avisó Edward Snowden.

¿Cuál es el papel de Israel?

El Gobierno de Israel califica este tipo de software como un arma. No permite que sus empresas lo vendan al exterior sin su visto bueno. No obstante, este control tiene en cuenta motivos diplomáticos y de política exterior y no tanto los planes que el usuario final piensa darle al software.

¿Qué dice NSO ante estos escándalos?

NSO asegura que lleva a cabo una auditoría interna de cómo se usa Pegasus y que ha mejorado sus controles internos desde los primeros escándalos. En su memoria de transparencia relativa a 2021 explica que en 2021 tuvo 60 clientes en 40 países, más de la mitad agencias estatales de espionaje, detectando una decena de casos de mal uso de su programa. No da más detalles.

Sobre los repetidos informes del Citizen Lab y otras ONG sobre el espionaje indiscriminado a través de Pegasus, la firma dice que están movidos por propósitos anti-israelíes. “En los últimos años, NSO ha sido objeto de una serie de ataques de organizaciones con motivaciones políticas, muchas de ellas con conocidos sesgos antiisraelíes, para producir informes inexactos, incompletos y sin fundamento con el objetivo de presentar al público una visión distorsionada de la ciberinteligencia y revocar las necesarias herramientas de inteligencia tecnológica con las que agencias gubernamentales luchan contra el terrorismo y el crimen organizado”, dice un portavoz a elDiario.es.

¿Alguien actuó contra Pegasus?

Hasta ahora las únicas acciones contra Pegasus han derivado de decisiones unilaterales de diferentes gobiernos a raíz del impacto de los escándalos que lo rodean. EEUU ha puesto a NSO en su lista negra e impide a sus empresas e instituciones tener cualquier relación con ella o con su tecnología. Pero la UE no ha tomado una decisión similar, a pesar de que se han detectado ataques contra europarlamentarios o el comisario de Justicia.

El pasado diciembre, 82 organizaciones de la sociedad civil instaron a la UE a reconsiderar esa postura. Piden “incluir urgentemente a NSO en su lista de sanciones globales y tomar todas las medidas apropiadas para prohibir la venta, la transferencia, la exportación, la importación y el uso de las tecnologías del Grupo NSO, así como la prestación de servicios de productos de NSO, hasta que se establezcan las salvaguardias adecuadas en materia de derechos humanos”.

¿Cómo comprobar si un teléfono celular está infectado?

Pegasus y el resto de software de espionaje que desarrollan las empresas de esta industria se caracterizan por ser extremadamente avanzados e indetectables. Una de sus capacidades es autodestruirse si detectan que han infectado por error un dispositivo que no pertenecía a la lista de objetivos, o cuando el atacante ha concluido el espionaje sobre la víctima. Todo para dificultar que un tercero los detecte y borrar sus huellas.

Tras las revelaciones sobre el uso masivo de Pegasus contra políticos, activistas y abogados del pasado verano, Amnistía Internacional publicó un conjunto de herramientas para analizar un dispositivo en busca rastros de Pegasus. El paquete se llama Mobile Verification Toolkit y está disponible para su descarga en Github. La ONG recuerda en cualquier caso que no se trata de una aplicación pensada para el usuario medio sino “una herramienta de investigación forense destinada a tecnólogos e investigadores”.

“Su uso requiere comprender los fundamentos del análisis forense y utilizar herramientas de línea de comandos. No está pensada para la autoevaluación del usuario final. Si le preocupa la seguridad de su dispositivo, busque la ayuda de un experto”, recomienda Amnistía Internacional en la página de descarga.

¿Qué es el Citizen Lab?

El Citizen Lab es un departamento de investigación de la Universidad de Toronto. Sus investigadores se han especializado en el análisis forense digital necesario para rastrear las infecciones por Pegasus. Además de sus investigaciones sobre espionaje, el Citizen Lab ha entrado en otros campos. Durante la pandemia, por ejemplo, elaboró informes sobre la ciberseguridad de las aplicaciones de rastreo de contagios de coronavirus.

¿Por qué el Citizen Lab lleva la voz cantante en las investigaciones de Pegasus?

Los investigadores del Citizen Lab adquirieron experiencia en el análisis de Pegasus y las prácticas de la industria del ciberespionaje durante los años en los que parecía que este era un problema exclusivo de activistas y periodistas de estados autoritarios, colaborando con ellos para trazar los ataques de este software. Fruto de este trabajo y de la ausencia de un organismo internacional que ejerza algún tipo de control sobre la industria del espionaje digital, el Citizen Lab se ha convertido en la fuente de referencia en la investigación de Pegasus y del software de ciberespionaje en general.

NSO ha intentado torpedear el trabajo de este centro. Como reveló recientemente The Guardian, la firma estuvo recopilando información sobre ellos y contactó con las instituciones y donantes que lo financian para que dejaran de hacerlo. Novalpina, el fondo de inversión propietario de NSO, llegó a contratar a un estudiante que colaboraba con su director para supuestamente intentar extraerle información sobre él, aunque el fondo y el contratado lo niegan.

¿Quién financia el Citizen Lab?

El Citizen Lab recibe o ha recibido apoyo financiero del Centro Canadiense de Estudios de Seguridad Global, la Fundación Donner Canadian, la Fundación Hewlett, HIVOS, The Hopewell Fund, el Centro Internacional de Investigación para el Desarrollo (IDRC), la Fundación John D. y Catherine T. MacArthur, la Fundación Oak, Open Society Foundations, Psiphon Inc., The Sigrid Rausing Trust, el Consejo de Investigación de Ciencias Sociales y Humanidades de Canadá y la Fundación Walter y Duncan Gordon, refleja en su página web.

¿Quién está detrás de NSO?

NSO fue fundada Niv Karmi, Omri Lavie, and Shalev Hulio en 2010. Durante la siguiente década sus productos la convirtieron en una de las principales empresas del sector de la ciberseguridad israelí y llegó a tener más de 500 empleados. En 2019, cuando ya se habían destapado algunos casos del uso de Pegasus contra miembros de la sociedad civil, NSO fue vendida al fondo de inversión británico Novalpina por 1.000 millones de dólares.

Tan solo unos meses después de la compra empezaron los problemas de verdad para NSO. Un informe del Citizen Lab mostró que había diseñado Pegasus para aprovechar un agujero de diseño en WhatsApp y hackear a sus usuarios. WhatsApp y Facebook, su empresa matriz (renombrada a Meta) llevaron a la firma israelí a los tribunales en septiembre de 2019. Esta intentó evitar ser juzgada en EEUU alegando una supuesta inmunidad diplomática por sus acuerdos con gobiernos de todo el mundo. La justicia estadounidense ha rechazado recientemente este recurso, por lo que el proceso comenzará en breve. A él se unirá el litigio abierto por Apple, que denunció en 2021 a NSO al descubrir que estaba aprovechándose de una brecha en iMessage para su negocio de espionaje.

Estas denuncias, la exposición mundial de su negocio y la inclusión en la lista negra de EEUU ha provocado que Novalpina afirme que “ha perdido prácticamente toda su inversión en NSO”. En un litigio por el control de la empresa ante los tribunales británicos, los abogados del fondo de Capital riesgo han afirmando que no se han producidio nuevas contrataciones de Pegasus desde julio de 2021 y que está “absolutamente claro” que NSO ha quedado “sin valor”.

De poco sirve tomar precauciones si uno está en la lista de objetivos de Pegasus, el software israelí utilizado para espiar a más de 60 políticos, abogados y periodistas catalanes durante los últimos años. El programa es tan potente que no se puede hacer nada para evitar ser espiado.

Esta es una de las principales conclusiones de Joe Devanny, director adjunto del Centro de Estudios de Defensa del King's College de Londres y profesor e investigador en ciberseguridad y seguridad nacional en esta universidad británica. En esta entrevista señala los riesgos que tiene la pujanza de la industria del ciberespionaje y su falta de regulación. También considera que los países que utilizaron este software podrían ser más que los que se conocieron.

De los programas conocidos hasta ahora, ¿es Pegasus el más potente y avanzado?

Pegasus es sin duda uno de los programas espía más avanzados que conocemos y que están disponibles en el mercado, pero no es en absoluto el único producto. Una característica especialmente llamativa de Pegasus, que la distingue de otras herramientas menos avanzadas, es que ofrece el llamado acceso de “clic cero”, lo que significa que la aplicación exitosa no requiere que sus víctimas hagan clic en los enlaces infectados por el malware.

¿Es posible protegerse de una infección con este malware?

Probablemente la gran mayoría de la gente no haya sido objeto de este tipo de ataques, pero para aquellos que están dentro del conjunto de objetivos, es cierto que se puede hacer muy poco para proteger tu dispositivo de este tipo de software. Principalmente, deben confiar en los esfuerzos de seguridad de sus proveedores de telefonía móvil y en los esfuerzos de los investigadores de entidades independientes para identificar y remediar dicha actividad. En términos más generales, los usuarios individuales deben estar atentos y tener criterio para no hacer clic en enlaces sospechosos y, por ejemplo, no conectarse a redes WiFi inseguras.

¿Cómo se puede saber si tu teléfono está infectado?

Con la advertencia de que es improbable que la mayoría de las personas hayan sido víctimas de la vigilancia que permite Pegasus, los ciudadanos que creyeran estar en peligro podrían buscar si sus dispositivos han sido comprometidos utilizando herramientas forenses como las desarrolladas por Amnistía Internacional.

Los programas de espionaje disponibles podrían permitir a un Estado represivo localizar, detener y perjudicar a personas inocentes

Algunos de los líderes catalanes espiados recibieron mensajes en los que les invitaban a acceder a un enlace. ¿Si no los hubieran abierto habrían logrado frenar el ataque o el software es capaz de entrar en el teléfono de todas maneras?

Los programas espía menos avanzados podrían no funcionar sin que el usuario objetivo haga clic en un enlace cargado de malware. Pero las herramientas más avanzadas, de “clic cero”, no se detendrían con una precaución del usuario de este tipo.

Pegasus es también muy costoso. ¿Cuánto dinero puede suponer espiar a más de 60 personas?

En 2016, el New York Times informó de que una operación de Pegasus de ese tamaño podría costar más de 1,5 millones de dólares.

El comercio de armas tiene cierta regulación (aunque insuficiente) pero la venta de este tipo de programas está completamente desregulada y va en aumento ¿Qué riesgos implica para los derechos humanos que un negocio como este no cuente con ninguna normativa internacional?

Los riesgos son claros y potencialmente muy graves si se abusa de estas capacidades –que tienen usos legítimos– para atacar a personas inocentes. Los programas de espionaje disponibles en el mercado pueden permitir la persecución de disidentes y, por ejemplo, al proporcionar información sobre la geolocalización y el patrón de vida, podrían permitir a un Estado represivo localizar, detener y perjudicar a personas inocentes. Pero la prohibición reglamentaria internacional de estas herramientas no resolvería este problema sin un cumplimiento, una aplicación y una verificación sólidos. No creo que esto ocurra pronto.

Hay evidencias de que Pegasus se ha usado hasta en 45 países. ¿Cree que podrían ser más?

Sin duda, podrían ser más. Está claro que muchos estados consideraban esta herramienta como algo muy deseable. Es probable que más de 45 estados tuvieran la motivación y los medios financieros para adquirirla.

¿Hasta qué punto cree que la compañía está vinculada con el Gobierno israelí? ¿El Ejecutivo de ese país utiliza las licencias para exportar este software como arma diplomática?

Se informó ampliamente de la relación de la empresa con el gobierno israelí, así como del papel del gobierno israelí en la concesión o denegación de licencias de exportación. No creo que Pegasus se utilizara como “arma diplomática”, pero probablemente fue instrumentalmente útil para la diplomacia israelí al poder facilitar el suministro de dicha tecnología a los gobiernos con los que deseaba consolidar o mejorar sus relaciones diplomáticas. Cualquier otro Estado en la posición de Israel también estaría dispuesto a explorar la gama de posibles usos instrumentales de las industrias nacionales innovadoras para ayudar a promover los objetivos estratégicos nacionales.

Muchos Estados se han fijado en cómo Israel ha incubado con éxito su industria de tecnología digital. A muchos países les gustaría emular ese éxito.

Son varias las compañías israelíes dedicadas al ciberespionaje. ¿Qué ha convertido al país en el epicentro de esta industria?

Creo que muchos Estados se fijaron en cómo Israel ha incubado con éxito su industria de tecnología digital. A muchos países les gustaría emular ese éxito. A menudo se destaca la calidad de la “escuela cibernética” de las Fuerzas de Defensa israelíes y su unidad operativa 8200 [un cuerpo de élite especializado en ciberseguridad e inteligencia].

Oficialmente Pegasus se vende para combatir el terrorismo y el crimen organizado. ¿Casos como el de los catalanes, El Salvador, el presidente Macron o Al Jazeera ponen de manifiesto que se usa más allá del terrorismo para espiar a rivales o disidentes políticos?

Esto es lo que parece desprenderse de los informes, y es un riesgo claro con los programas espía disponibles en el mercado. Para gestionar este riesgo sería necesario actuar con la debida diligencia a la hora de decidir la concesión de licencias de exportación, pero también un seguimiento posterior y continuo de la forma en que los clientes utilizan las herramientas, para garantizar que no se abusa de sus capacidades.

La compañía israelí NSO Group ha aprovechado una brecha de seguridad presente en los dispositivos de Apple como vía para infectarlos con su programa espía Pegasus. El agujero fue descubierto por el Citizen Lab de la Universidad de Toronto, que estudia los ataques con este malware que se han detectado en teléfonos de políticos, activistas y periodistas de todo el mundo. Los investigadores notificaron la brecha a Apple, que a última hora de este lunes lanzó una actualización de emergencia para cerrarla.

El agujero estaba presente en la aplicación iMessage y podía ser explotada en los teléfonos iPhone, ordenadores Mac y relojes Apple Watch. Un atacante podía este fallo de seguridad para inocular Pegasus en el dispositivo de la víctima sin necesidad de que esta clicara en ningún archivo o realizara acción alguna. Una vez dentro, el programa espía de NSO Group puede encender la cámara o el micrófono sin el conocimiento de su propietario, grabar sus mensajes, llamadas de teléfono o correos electrónicos y transmitir al atacante su localización en tiempo real.

El Citizen Lab ha descubierto esta nueva vía de entrada para Pegasus investigando el teléfono de un activista saudí que temía haber sido infectado. “NSO Group dice que su software espía es sólo para atacar a criminales y terroristas. Pero aquí estamos otra vez: hemos descubierto sus ataques porque fueron utilizados contra un activista”, ha manifestado John Scott-Ralton, investigador principal del Citizen Lab, que recomienda a todos los propietarios actualizar de inmediato sus dispositivos.

Los investigadores comenzaron a analizar el teléfono del activista en marzo. No fue hasta el 7 de septiembre cuando desentrañaron por completo la ruta de infección que había seguido el programa y se lo comunizaron finalmente a Apple, que una semana después ha completado la actualización de seguridad para bloquearla.

Para actualizar los dispositivos Apple hay que acceder a Ajustes, clicar en General, a continuación en Actualización de software y seleccionar Descargar e Instalar iOS 14.8, la versión de su sistema operativo que la marca ha publicado a última hora de este lunes.

Una epidemia que también afecta a España

El pasado julio, una investigación de varios medios de comunicación internacionales destapó que gobiernos autoritarios de todo el mundo han atacado a activistas de derechos humanos, periodistas y abogados con Pegasus. El presidente francés Emmanuel Macron y otros trece jefes de Estado y de Gobierno estaban en la lista de objetivos del programa espía de la compañía israelí.

En España, El País, The Guardian y elDiario.es también confirmaron en 2020 que había políticos catalanes infectados con este programa. Entre ellos se encontraban el entonces president del Parlament de Catalunya, Roger Torrennt; el diputado de ERC, Ernest Maragall; la exdiputada de la CUP, Anna Gabriel o del activista de la Asamblea Nacional Catalana Jordi Domingo. Jordi Puigneró, hoy vicepresident de la Generalitat, también informó que fue atacado, pero aseguró que en su caso Pegasus no consiguió introducirse en su dispositivo.

Después de las filtraciones que destaparon el uso indiscriminado de Pegasus como método de espionaje contra miembros de la sociedad civil, NSO Group aseguró que iba a endurecer sus políticas de venta para evitar que su programa cayera en manos de gobiernos autoritarios u organizaciones de ciberespionaje. Sin embargo, un gran número de expertos, como el ex analista de la NSA Edward Snowden o el relator de la ONU David Kaye aseguran que esto no es suficiente y piden una moratoria completa en la venta de este tipo de tecnología.

Hay un nombre que destaca con particular ironía entre el diverso elenco de personajes marcados por los gobiernos que contrataron a NSO Group. Es el de Pavel Durov, el multimillonario informático nacido en Rusia que se alzó a la fama por haber creado una aplicación de mensajería inviolable.

Durov, de 36 años, es el fundador de Telegram, que dice tener más de quinientos mil millones de usuarios, y ofrece un servicio de mensajería encriptado de punto a punto y la posibilidad de crear “canales” para distribuir información rápidamente a seguidores. Es particularmente popular entre aquellos interesados por evadir la vigilancia gubernamental, ya sean criminales, terroristas o manifestantes que luchan contra regímenes autoritarios.

En los últimos años, Durov ha denostado los estándares de seguridad de sus competidores, de WhatsApp en particular, cuyo uso califica de “peligroso”. Por contraste, ha posicionado a Telegram como una valiente empresa novedosa enfocada en resguardar la privacidad de sus usuarios a cualquier costo.

Sin un análisis forense del teléfono de Durov no es posible determinar si hubo un intento de infectarlo con programas maliciosos.

Una fuente de NSO señaló que Durov no fue un objetivo, es decir, la fuente niega que fuera seleccionado para ser vigilado mediante Pegasus, el programa de espionaje de NSO. La compañía insiste en que el hecho de que un número aparezca en la lista no indica de modo alguno que fuera vigilado mediante Pegasus.

Cuando le preguntaron si el teléfono de Durov había sido objetivo de Pegasus o cualquier otra actividad vinculada al espionaje informático, un portavoz de NSO no contestó. Dijo: “Cualquier afirmación de que un nombre en esa lista está necesariamente vinculado a un objetivo real o potencial de Pegasus es errónea y falsa”. Los abogados de NSO dijeron que su decisión de no responder a ciertas afirmaciones no debería ser tomada como una confirmación.

Pero se cree que la lista, puesta a disposición de The Guardian y otros medios a través del proyecto de colaboración internacional Pegasus, identifica a los individuos como personas de interés para los clientes gubernamentales de NSO. Incluye personas que más tarde estuvieron sujetas a la vigilancia, según el análisis forense de sus teléfonos.

Los expertos en seguridad informática que examinaron el funcionamiento del programa de espionaje Pegasus de NSO dicen que la encriptación de los programas de mensajería no hace diferencia alguna, y que puede acceder a prácticamente todo el contenido del teléfono infectado. Telegram, así como WhatsApp, Signal y otras aplicaciones de mensajería que prometen encriptación de punto a punto no tendrían de hecho ningún poder si el dispositivo en el cual están instaladas es infectado por un programa pirata tan poderoso como Pegasus.

El número de Durov, que apareció en la lista a comienzos de 2018, ha estado asociado a su cuenta personal de Telegram desde hace años.

Ni Durov, reacio a la publicidad, ni el departamento de prensa de Telegram han contestado a las solicitudes de comentarios enviadas a sus cuentas de Telegram.

Es larga la lista de gobiernos y servicios de inteligencia que se alegrarían por inspeccionar los contenidos del teléfono móvil de Durov, que se fue de Rusia en 2013 y ha tenido varios conflictos con los servicios de seguridad del país. Telegram también ha tenido un papel importante en la conducción de los movimientos de protesta de Bielorrusia, Hong Kong e Irán.

Sin embargo, los análisis de las listas filtradas sugieren que Durov puede haber sido una persona de interés para el gobierno de los Emiratos Árabes Unidos (EAU).

Durov tiene un pasaporte del país caribeño de St. Kitts y Nevis y lleva una vida peripatética desde que salió de Rusia. Pero unos documentos archivados en Companies House en Londres muestran que en febrero de 2018 cambió su domicilio oficial de Finalndia a los EAU. El momento coincide con la aparición del teléfono de Durov entre los datos filtrados, y sugiere que sus nuevos anfitriones pueden haber querido vigilar a su nuevo y controversial residente.

A pesar de su rechazo explícito del concepto del Estado nacional, desde su mudanza Durov se ha acercado a los regentes de su nuevo país de residencia. En febrero de este año se reunió con Sheikh Hamdan bin Mohammed bin Rashid al-Maktoum, el príncipe de la corona de Dubai. “Seguimos recibiendo a los mayores talentos con sus ideas en Dubai, lo que ofrece un ecosistema nutritivo para que se desarrollen,” dijo Sheikh Hamdan después de la reunión, según un comunicado de prensa de las autoridades de Dubai.

Los EAU y Dubai no respondieron las solicitudes de comentarios sobre las acusaciones con respecto a Durov. The Guardian entiende que Dubai es un antiguo cliente de NSO, pero que su acceso a Peagsus fue interrumpido tras una investigación por denuncias de usos indebidos.

Durov solo hace anuncios públicos a través de su cuenta de Telegram en raras ocasiones, y suelen ser sugerencias pintorescas para la vida – vive siempre solo y sigue una vida “seagana” de peces silvestres y nada más, son dos ejemplos – o exaltaciones de las virtudes de Telegram.

Algunos dudan de la presentación de Telegram como un defensor devoto de la privacidad que no se doblegará ante ningún gobierno, señalando que las conversaciones de Telegram no están encriptadas de punto a punto por defecto, sino solo a través de la función “conversación secreta” de la aplicación. “Me inclino por sugerirle a las personas que eviten usar Telegram por completo porque hay alternativas que sí están encriptadas constantemente de punto a punto”, dijo Eva Galperin de la Electronic Frontier Foundation.

Galperin dijo que es importante saber que la encriptación de punto a punto sigue ofreciendo una protección significativa a la vasta mayoría de los usuarios, de los cuales, si fueran objetivos de vigilancia, probablemente lo serían con herramientas menos avanzadas que Pegasus.

En Bielorrusia, donde los mensajes y canales de Telegram han empujado el sentimiento revolucionario durante el último año, las autoridades debieron recurrir a tácticas crudas para acceder a los teléfonos de los activistas – obligando a los manifestantes detenidos a desbloquear sus teléfonos y forzando a un avión de Ryanair que transportaba al administrador de un canal de protestas de Telegram a aterrizar en Minsk, donde fue arrestado.

“Según nuestra información, sin acceso físico al teléfono las autoridades bielorrusas no pueden acceder a nuestros mensajes de Telegram”, dijo el administrador de otro canal de protestas bielorruso en un llamado a través de Telegram.

Pero esta ecuación cambia dramáticamente cuando las autoridades en cuestión tienen acceso a Pegasus. Bielorrusia no está entre los clientes conocidos de NSO, y no hay nada que sugiera que lo es. Pero otros regímenes represivos en países donde los activistas de Derechos Humanos y periodistas usan aplicaciones de mensajería encriptada regularmente sí han comprado Pegasus. Además, las publicaciones de la investigación sobre Pegasus de esta semana sugieren que en muchos países un amplio espectro de personas, y a veces también sus familiares o conocidos, pueden convertirse en objetivos del programa de espionaje.

Serguei Belussov, un emprendedor informático de Singapur que dirige la empresa de protección de datos Acronis, dijo que los programas como Pegasus dificultan recomendar servicios de mensajería en particular. “Proteger una aplicación particular no es posible; la principal vulnerabilidad es el dispositivo”, dijo. “El único dispositivo completamente seguro es el que está apagado”.

Traducción de Ignación Rial-Schies

La Unidad de Inteligencia Financiera de México informó en las últimas horas que el anterior Gobierno de Enrique Peña Nieto compró el software Pegasus para hacer espionaje telefónico, que fue utilizado contra el actual mandatario y su entorno, entre otras personas, por un valor total de 32 millones de dólares.

“Grupo Tech Bull contrató durante el año 2014 con la Procuraduría General de la República, particularmente con Tomás Zerón de Lucio, director en jefe de la Agencia de Investigación Criminal el software Pegasus, un malware para efectos del espionaje telefónico en un contrato de 32 millones de dólares, desarrollado por la empresa israelí NSO Group, a la que terminó transfiriéndose los recursos”, informó el titular de la Unidad de Inteligencia Financiera mexicana, Santiago Nieto, en una conferencia de prensa.

El actual mandatario, Andrés Manuel López Obrador, aseguró haber sido víctima del espionaje, pero descartó presentar una demanda por el uso del software israelí Pegasus en su contra.

“No voy a hacer ninguna demanda, ya esto es muy importante, esto contribuye más que ir a un tribunal porque lo más importante de todo es el cambio de mentalidad”, dijo en conferencia de prensa al señalar que lo sucedido “realmente es una vergüenza, una prueba irrefutable”.

“Estábamos sometidos a un Gobierno autoritario, antidemocrático, que violaba los derechos humanos. La política es un imperativo ético, por eso desapareció el Centro de Investigación y Seguridad Nacional y lo que hay de Inteligencia tiene que ver con el combate del crimen, es para proteger a los ciudadanos, no para estar espiando a opositores, periodistas o dirigentes políticos”, agregó.

López Obrador aseguró que en su Gobierno ya no se espía a nadie, ni a periodistas ni a opositores, y sostuvo que es necesario que la gente sepa que el Gobierno utilizaba recursos públicos para pagar programas de espionaje.

Una investigación periodística reveló esta semana el escándalo de espionaje internacional con el software de la empresa israelí, que incluye entre los escuchados al actual presidente de México, Andrés Manuel López Obrador, su familia y unas 50 personas de su entorno.

El mandatario especificó que él mismo fue espiado durante varios años. “Ahora se da a conocer que también a mi esposa, a mis hijos... Hasta el médico que me atiende, al cardiólogo”, indicó.

De la lista de 50.000 números de teléfonos celulares obtenidos por la investigación, unos 15.000 pertenecerían a mexicanos.

“Se espiaba a todos los dirigentes de oposición, a periodistas y a muchísima gente. ¿Cómo se espiaba? Tenían equipos sofisticados para escuchar las llamadas telefónicas, no sólo de la persona que era el blanco sino de todo su entorno”, relató.

Desde la Fiscalía General de la República mexicana ya anunciaron que tiene debidamente probado un primer “caso judicializable” de la utilización del equipo Pegasus, según reprodujo el medio local El Financiero.

La institución aún no aclaró a quién de los espiados corresponde el caso, pero ya se sabe que en la lista de mexicanos se destacan Claudia Sheinbau, jefa de Gobierno de la Ciudad de México; Rocío Nahle, secretaria de Energía; Jesús Ramírez Cuevas, coordinador de Comunicación Social de la Presidencia de la República, y Alejandro Esquer Verdugo, secretario particular del presidente.

Incluso aparece un funcionario del Gobierno de Peña Nieto, el entonces comisionado de Seguridad, Manuel Mondragón y Kalb.

Con información de agencias.

IG

La base de datos filtrada en el marco del proyecto Pegasus incluye los números de teléfono móvil del presidente francés, Emmanuel Macron, y de otros 13 jefes de Estado y de Gobierno, según reveló The Guardian.

El presidente sudafricano, Cyril Ramaphosa, y el primer ministro paquistaní, Imran Khan, también figuran en los datos, que incluyen a diplomáticos, jefes militares y altos cargos políticos de 34 países.

La aparición de un número en la lista filtrada que incluye números seleccionados por gobiernos que son clientes de NSO Group, la empresa israelí de software espía, no significa que haya sido objeto de un intento de hackeo o de un hackeo. NSO insiste en que la base de datos no tiene “ninguna relevancia” para la empresa.

NSO asegura que Macron no es un “objetivo” de ninguno de sus clientes, lo que significa que la empresa niega que haya sido seleccionado para ser vigilado mediante Pegasus, su programa espía. La compañía añade que el hecho de que un número aparezca en la lista no es en absoluto indicativo de que ese número haya sido seleccionado para ser vigilado con Pegasus.

Pero se cree que la lista es indicativa de individuos identificados como personas de interés por clientes gubernamentales de NSO. Incluye a personas que posteriormente fueron objeto de vigilancia.

NSO insiste en que exige a sus clientes gubernamentales que solo utilicen sus potentes herramientas de espionaje para investigaciones legítimas sobre terrorismo o delincuencia.

Quiénes están en la lista

The Guardian y otros medios de comunicación asociados al proyecto Pegasus, un consorcio internacional, han identificado a los gobiernos que se cree que son responsables de la selección de números individuales en los datos, examinando de cerca los patrones de selección.

Entre las figuras políticas cuyos números aparecen en la lista se encuentran:

El proyecto Pegasus no ha podido analizar los teléfonos móviles de los dirigentes y diplomáticos, por lo que no ha podido confirmar si hubo algún intento de instalar malware en sus teléfonos.

Qué dice la empresa

Además de negar que Macron haya sido un “objetivo”, un portavoz de NSO Group también dice que el rey Mohamed VI y Tedros Ghebreyesus “no son, ni han sido nunca, objetivos o seleccionados como objetivos de los clientes de NSO Group”.

Los abogados de NSO dicen que la compañía define a los objetivos como personas “seleccionadas para la vigilancia mediante Pegasus, independientemente de que el intento de infectar su dispositivo tenga éxito”.

La empresa de vigilancia asegura que no tiene acceso a los datos de sus clientes, pero dice que estos están obligados a proporcionarle dicha información cuando los han puesto bajo investigación.

Al parecer, la empresa ha emprendido una investigación de este tipo sobre Marruecos, que se cree que es uno de sus clientes.

NSO no comenta si Michel, presidente del Consejo Europeo y ex primer ministro belga, u Othmani, primer ministro de Marruecos, han sido “objetivos”. Se cree que ambos han sido seleccionados como personas de interés por un cliente del Gobierno marroquí.

Arabia Saudí y Emiratos Árabes Unidos

Los análisis forenses de una muestra de 67 teléfonos incluidos en los datos filtrados, pertenecientes a activistas de derechos humanos, periodistas y abogados, revelan que 37 de ellos contenían rastros de infección o intento de infección por Pegasus. El análisis ha sido elaborado por el Laboratorio de Seguridad de Amnistía Internacional, socio técnico del proyecto.

Los datos filtrados también apuntan a que Arabia Saudí y Emiratos Árabes Unidos se han mostrado interesados en estudiar la posibilidad de vigilar a cargos egipcios, a pesar de los estrechos vínculos de ambos países con el dictador egipcio Abdel Fatah al-Sisi.

Entre los números seleccionados como individuos de interés por un cliente de NSO que se cree que es el Gobierno saudí, está el del primer ministro egipcio, Mostafa Madbouly.

Se cree que tanto Arabia Saudí como Emiratos Árabes Unidos han seleccionado a Barham Salih, presidente de Irak, cercano a EEUU, como candidato de interés para sus gobiernos. El número de Salih en Reino Unido también aparece en la lista.

Ni Arabia Saudí ni EAU han respondido a las peticiones del proyecto Pegasus.

Las autoridades de China rechazaron este martes las acusaciones vertidas por el Gobierno estadounidense, que aseguró que Pekín lleva a cabo actos cibernéticos “maliciosos” de forma sumamente “irresponsable”, y acusaron a Washington, precisamente, de realizar “escuchas en masa”.

El portavoz del Ministerio de Exteriores chino, Zhao Lijian, dijo en una rueda de prensa que las acusaciones “carecen de fundamento” y fueron realizadas “puramente por motivos políticos”.

En este sentido, afirmó que el gigante asiático rechaza “todo tipo de ciberataques” y no los apoya “ni los tolera”. Zhao insistió así en que Estados Unidos es la “mayor fuente de este tipo de ataques de todo el mundo”, según informó el diario 'South China Morning Post'.

Estados Unidos, junto a la OTAN y la Unión Europea, condenaron el lunes los supuestos ataques informáticos llevados a cabo por Pekín contra terceros países y acusaron a China de 'hackear' los servidores de Microsoft a principios de este año.

Dicho ataque permitió a los 'hackers' obtener acceso a las redes de todo el mundo a través de los servidores en cuestión, lo que habría afectado a millones de personas. La mayoría de afectados formaban parte del sector privado, tal y como aseguró el secretario de Estado estadounidense, Antony Blinken.

Sin embargo, el Gobierno del país norteamericano y sus aliados no anunciaron ningún tipo de sanciones al respecto por el momento. La Administración del presidente del país, Joe Biden, impuso sanciones contra el Gobierno ruso en el pasado tras acusar a Moscú de estar detrás de una serie de ciberataques.

El lunes, Estados Unidos denunció un “patrón de comportamiento irresponsable en el ciberespacio, inconsistente con la intención de Pekín de ser visto como un líder responsable a nivel mundial”.

Además, insistió en que “trabajar de forma conjunta permite compartir información sobre amenazas en el ciberespacio y a nivel de Inteligencia”. En este sentido, aplaudió que Biden “esté presentando un enfoque cibernético común con los aliados y haya establecido marcadores claros sobre el comportamiento de las naciones responsables en el ciberespacio”.

Con información de Europa Press.

IG

La filtración de una base de datos telefónicos sugiere que abogados de derechos humanos, activistas y opositores fueron elegidos como posibles objetivos de un ataque de espionaje a través de sus teléfonos. Sus números aparecen en los registros filtrados, lo que indica que clientes gubernamentales de la empresa israelí NSO Group —la cual desarrolló el programa espía Pegasus— los habrían seleccionado para ser vigilados.

Los registros fueron obtenidos por la organización sin ánimo de lucro Forbidden Stories (Historias prohibidas) y compartidas con un consorcio de medios de comunicación, incluyendo a The Guardian.

NSO insiste en que Pegasus, que puede acceder a toda la información guardada en un dispositivo, así como transformarlo en secreto en una grabadora de audio o vídeo, solo está destinado a su uso contra terroristas y delincuentes peligrosos.

La selección de activistas, opositores y periodistas realizada por los clientes de NSO parece indicar lo contrario. Seguramente muchos activistas consideren este hallazgo como algo predecible, dado que el software se ha vendido a algunos de los regímenes más represivos del planeta.

Los activistas seleccionados

En Azerbaiyán, donde el dictador Ilham Aliyev tiene poca tolerancia por la disidencia, numerosos activistas aparecen en la base de datos. Algunos de ellos han visto publicadas en la red o televisión su correspondencia personal y fotografías íntimas.

En la lista se encuentran los números telefónicos de seis opositores y activistas, cuya correspondencia privada fue expuesta en un programa amarillista de televisión en 2019.

Las mujeres activistas a menudo son atacadas con publicaciones de contenido sexual. En un caso particularmente escandaloso de 2019, un perfil falso de Facebook filtró fotografías íntimas de la activista y periodista Fatima Movlamli, en aquel entonces de 18 años.

No se sabe con claridad cómo fueron obtenidas las fotografías. Movlamli cree que accedieron a su información privada cuando la policía se apoderó de su teléfono durante un violento interrogatorio, en el que la obligaron a desbloquear el dispositivo. Su número también aparece en los registros obtenidos por el consorcio de medios.

“A una edad en la que todavía no comprendía por completo que era una mujer, me sentía avergonzada por tener un cuerpo femenino y que la gente lo viera desnudo”, dice Movlamli. Describe la experiencia como “difícil de soportar” y asegura que le llevó a tener pensamientos suicidas. “En este país, las mujeres están condenadas a vivir dentro de los límites de lo que los hombres quieren y ellos pueden linchar a una mujer solo porque vieron su cuerpo”.

Sin un análisis forense de cada dispositivo, es imposible confirmar si los teléfonos fueron objeto de un intento de hackeo o de un hackeo con Pegasus. Movlamli reinicia su teléfono o cambia de dispositivo con regularidad, por lo que no fue posible analizar su móvil.

En India, entre los registros se encontraron los teléfonos de una variedad de activistas. Umar Khalid, activista y líder del Sindicato de Estudiantes de la Universidad Jawaharlal Nehru en Nueva Delhi, fue elegido como objetivo potencial a fines de 2018, poco antes de que se le acusara del delito de sedición. Fue arrestado en septiembre de 2020, acusado de organizar disturbios.

La policía afirmó que entre las pruebas en su contra había más de un millón de páginas de información tomada de su móvil, sin dejar en claro cómo había sido obtenida. Actualmente, Khalid está en la cárcel aguardando su juicio.

Los números de teléfono de escritores, abogados y artistas que apoyan los derechos de las comunidades indígenas y de los indios de las castas más bajas también están en los registros. Miembros de esta red han sido arrestados a lo largo de los últimos tres años y acusados de terrorismo, incluido un plan para asesinar al primer ministro indio, Narendra Modi. La red incluye a un cura jesuita de 84 años, Stan Swamy, que murió este mes tras contraer coronavirus en prisión.

Los registros muestran que muchas personas acusadas de ser cómplices de Swamy, entre ellas Hany Babu, Shoma Sen y Rona Wilson, también fueron elegidas como posibles objetivos en los meses anteriores y los años posteriores a sus arrestos.

Loujain al-Hathloul, una de las activistas por los derechos de las mujeres más destacadas de Arabia Saudí, fue elegida como objetivo apenas unas semanas antes de ser secuestrada en Emiratos Árabes Unidos y obligada a regresar a Arabia Saudí en 2018, donde permaneció tres años encarcelada y fue víctima de supuestas torturas. Se cree que Hathoul fue elegida por Emiratos Árabes Unidos, un reconocido cliente de NSO y aliado cercano de Arabia Saudí.

A pesar de haber sido liberada de la cárcel en febrero de 2021, la activista saudí no tiene permitido hablar con la prensa ni circular libremente dentro de Arabia Saudita y todavía se le prohíbe viajar. Su teléfono móvil no pudo ser obtenido ni analizado en búsqueda de pruebas sobre un posible hackeo.

Hathloul había revelado con anterioridad que sus correos electrónicos habían sido hackeados. “Asumo que la estaban hackeando para acceder a las redes de personas con las que trabaja”, dice Hala al-Dosari, una activista saudí residente en Estados Unidos, que se comunicaba con Hathloul antes de su arresto en 2018.

Dosari dice que las autoridades saudíes obtuvieron información privada sobre pagos a Hathloul para dietas de unos 50 euros diarios y que posiblemente lo hicieron a través de su teléfono móvil.

En México, entre los registros cuentan con una amplia selección de activistas, abogados y defensores de los derechos humanos como objetivos potenciales, incluyendo a Eduardo Ferrer Mac-Gregor Poisot, un juez que fue presidente de la Corte Interamericana de Derechos Humanos y Alejandro Solalinde, cura católico y defensor de los derechos de los inmigrantes.

“[El Gobierno mexicano anterior estaba] en búsqueda de algo que dañara mi reputación y sirviera para chantajearme”, dice Solalinde. El cura señala que eso se debe a su apoyo a la oposición y dice que un exagente del servicio de inteligencia nacional (CISEN) le advirtió que lo estaban vigilando.

John Scott-Railton de Citizen Lab, el instituto que publicó un informe sobre el uso de Pegasus contra el activista emírati Ahmed Mansoor en 2016, dice: “Atacar a opositores debería juzgarse del mismo modo que atacar a jefes de Estado, a embajadores, a las grandes corporaciones y a la industria armamentística”.

Los abogados en riesgo

También hay muchos abogados en los datos filtrados. Rodney Dixon, un prominente abogado londinense que trabajó en numerosos casos de alto perfil vinculados a los derechos humanos, fue seleccionado como objetivo en 2019. Los análisis forenses de su dispositivo observaron actividad vinculada a Pegasus, pero sin una intrusión exitosa.

Dixon ha tenido entre sus clientes a Matthew Hedges, el estudiante de doctorado británico encarcelado en Emiratos Árabes Unidos, y a Hatice Cengiz, la prometida del periodista saudí asesinado Jamal Khashoggi. Ella también fue investigada con Pegasus y los análisis forenses hallaron evidencia de una infección exitosa.

“Nadie debería ser perseguido de este modo. Para los abogados es especialmente preocupante porque viola los principios fundamentales de privilegios y confidencialidad entre el abogado y su cliente, fundamentales en un procedimiento legal justo”, dice Dixon.

El análisis forense del teléfono del abogado de derechos humanos francés Joseph Breham muestra que, durante 2019, el dispositivo estuvo en riesgo a causa del programa Pegasus en múltiples ocasiones. Los datos filtrados sugieren que había sido elegido por Marruecos como posible objetivo.

“No hay justificación posible para que un Estado extranjero realice escuchas a un abogado francés. No hay justificación en el plano legal, ético o moral”, dice Breham.

Los números telefónicos de dos abogados que planean demandar a NSO en defensa de Omar Abdulaziz, un hombre saudí exiliado en Canadá, también aparecen en la filtración. Abdulaziz era colaborador cercano y amigo de Khashoggi. Sin embargo, el análisis de los teléfonos móviles de ambos abogados no halló pruebas de algún intento de usar el software Pegasus en su contra.

“No solo hackean a las personas por su actividad política: si las víctimas buscan que se haga justicia, también persiguen a quienes les ayudan a cumplir este objetivo”, dice un abogado que pide no ser nombrado.

Un representante del Gobierno indio dice: “Las alegaciones con relación a la vigilancia gubernamental sobre sujetos específicos no cuentan con una base concreta ni hay verdad alguna asociada a ellas”. Los Gobiernos de Marruecos, Azerbaiyán y México no han respondido a The Guardian.

NSO Group ha afirmado que suspenderá a los clientes que den un mal uso a Pegasus. En repuesta al consorcio, NSO niega que los datos filtrados sean evidencia de los objetivos potenciales de Pegasus y dice que “continuará investigando todas las acusaciones de mal uso creíbles y tomando las medidas adecuadas acorde a los resultados de estas investigaciones”.

El uso de software de espionaje y hackeos en un país como Azerbaiyán —donde poner en riesgo a activistas parece ser una política de Gobierno— puede tener un efecto negativo no solo en quienes son perseguidos, sino en toda la sociedad civil.

Samed Rahimili, un abogado de derechos humanos de Azerbaiyán, cuyo teléfono también aparece en la filtración, dice que la difusión de información comprometedora dificulta la vida de los activistas en el país, especialmente a las mujeres. “Muchos temen vivir sus vidas personales de manera normal. Muchos también tienen problemas psicológicos y han buscado ayuda profesional”.

Traducción de Julián Cnochaert

La presidenta de la Comisión Europea, Ursula von der Leyen, aseguró que es “completamente inaceptable” el espionaje de periodistas con el software israelí Pegasus, que reveló una investigación del diario The Washington Post.

Desde República Checa, donde oficializó el visto bueno de Bruselas al plan de recuperación nacional checo, la conservadora alemana insistió en que, de confirmarse, este caso es “completamente inaceptable y va contra todo tipo de reglas”. “Tenemos en la UE la libertad de prensa como uno de los valores nucleares y es totalmente inaceptable este caso”, afirmó en una rueda de prensa junto al primer ministro checo, Andrej Babis.

Según la información publicada, entre las víctimas del presunto espionaje por parte de gobiernos se encuentran periodistas y personas relevantes, entre otros el entorno del periodista disidente saudí Yamal Jashogi, asesinado en el Consulado saudí en Estambul.

El caso amenaza con salpicar también a la Unión Europea, después de que se haya revelado que gobiernos como el húngaro también utilizó este programa que se instala cuando el usuario pincha en un enlace desde su teléfono y que es capaz de recopilar correos electrónicos, llamadas y mensajes de texto.

Sobre el presunto espionaje de periodistas por Hungría, el portavoz de Justicia de la Comisión, Christian Wigand, dijo que Bruselas estudiará la situación y, en su caso, decidirá posibles pasos.

“Los Estados miembros tienen la obligación de vigilar y controlar sus servicios de seguridad para que cumplan los Derechos Humanos y la privacidad”, explicó el portavoz comunitario, poniendo el foco en las instituciones de protección de datos en los Veintisiete.

La investigación, que contó con la participación de Amnistía Internacional, ha identificado al menos a 180 periodistas de 20 países que fueron seleccionados como posibles objetivos de ataques con el software espía entre 2016 y junio de 2021. Entre ellos hay periodistas de Azerbaiyán, Hungría, India y Marruecos, países donde, según denuncia la ONG, la represión contra los medios de comunicación independientes se intensificó.

Con información de Europa Press.

IG

Gobiernos autoritarios de todo el mundo han atacado a activistas de derechos humanos, periodistas y abogados con un software espía que vende la empresa de vigilancia israelí NSO Group. 

Una filtración masiva de datos analizada por The Guardian y otros 16 medios de comunicación apunta a la existencia de un abuso sistemático y constante del programa espía Pegasus. La empresa insiste en que el software solo está destinado a su uso contra delincuentes y terroristas.

Pegasus en un software malicioso que infecta teléfonos iPhone y dispositivos Android para permitir, a los que lo controlan, extraer los mensajes, fotos y correos electrónicos, además de grabar llamadas y activar micrófonos en secreto. 

La filtración incluye una lista con más de 50.000 números de teléfono. Se cree que corresponden a los números de personas que desde 2016 son consideradas de interés por los clientes de NSO.

Amnistía Internacional y la organización sin ánimo de lucro de medios de comunicación Forbidden Stories (Historias prohibidas), con sede en París, fueron las primeras en acceder a la lista filtrada, antes de compartirla con los medios asociados al Proyecto Pegasus, un consorcio de información.

Que un número de teléfono aparezca en el listado no significa necesariamente que el dispositivo haya sido infectado con Pegasus ni que lo hayan intentado hackear. Pero el consorcio informativo cree que son los datos de los objetivos potenciales elegidos por los gobiernos clientes de NSO, antes de posibles intentos de vigilancia.

Un análisis forense de un pequeño número de teléfonos de la lista filtrada demostró que en más de la mitad de los dispositivos había rastros del software espía Pegasus.

Las revelaciones

El periódico británico The Guardian y los medios asociados revelarán en los próximos días las identidades de las personas cuyo número aparece en la lista. Entre ellos figuran cientos de ejecutivos de empresas, personalidades religiosas, académicos, empleados de ONG, autoridades sindicales y altos cargos gubernamentales, como ministros, presidentes y primeros ministros.

La lista también incluye los números de teléfono de los familiares cercanos del gobernante de un país, lo que sugiere que este puede haber dado instrucciones a sus agencias de espionaje para que exploren la posibilidad de vigilar a sus propios parientes.

Las revelaciones han comenzado este domingo, con la publicación de que los datos incluyen los números de teléfono de más de 180 periodistas, incluyendo reporteros, directores y ejecutivos del Financial Times, CNN, el New York Times, France 24, el Economist, Associated Press y Reuters.

El número de teléfono de un periodista independiente mexicano, Cecilio Pineda Birto, también figuraba en la lista. Aparentemente era de interés para un cliente mexicano en las semanas previas a su asesinato, cuando sus asesinos lograron localizarlo en un lavadero de coches. No encontraron su teléfono, por lo que no se ha podido hacer un análisis forense que determine si estaba o no infectado.

La empresa NSO dice que, aunque el teléfono de Pineda fuera objeto de un ataque, eso no significa que la información recogida haya contribuido de alguna manera a su muerte. También subraya que los gobiernos podían haber averiguado su paradero por otros medios. Pineda era uno de los 25 periodistas mexicanos aparentemente elegidos para ser espiados durante un período de dos años.

Lo que dice la empresa

Sin un análisis forense de los dispositivos móviles, es imposible saber si los teléfonos fueron objeto de un intento de hackeo o de un hackeo con Pegasus.

NSO siempre ha sostenido que “no opera los sistemas que vende a clientes gubernamentales ya aprobados, y que no tiene acceso a los datos de los objetivos de sus clientes”.

En declaraciones emitidas a través de sus abogados, la compañía ha negado las “falsas afirmaciones” sobre las actividades de sus clientes, pero “seguirá investigando todas las denuncias verosímiles de uso indebido y tomará las medidas oportunas”. También considera que no es posible que el listado se corresponda con los números “objetivo de los gobiernos que utilizan Pegasus” y califica de “exagerada” la cifra de 50.000.

A través de sus abogados, NSO negó las “falsas alegaciones” sobre las actividades de sus clientes. Pero dijo que “seguirá investigando todas las denuncias verosímiles de uso indebido y que tomará las medidas oportunas”. También consideró imposible que el listado se corresponda con los números “objetivo de los gobiernos que utilizan Pegasus” y calificó de “exagerada” la cifra de 50.000.

La empresa solo vende a organismos militares, policiales y de inteligencia en 40 países que no identifica. Dice que revisa rigurosamente el historial de derechos humanos de sus clientes antes de permitirles usar sus herramientas de espionaje.

El ministro de Defensa israelí tiene una regulación estricta para NSO: concede licencias de exportación individuales antes de que la tecnología de espionaje sea vendida a un nuevo país.

En un informe de transparencia que NSO publicó hace un mes, la empresa decía liderar la industria en lo que respecta a los derechos humanos. También publicaba fragmentos de contratos con clientes donde se estipulaba que sus productos solo podían usarse en investigaciones penales y de seguridad nacional.

Los resultados del análisis

No hay nada que sugiera que los clientes de NSO no usaron también Pegasus en investigaciones sobre terrorismo y delincuencia. Entre los números, el consorcio de investigación encontró los datos pertenecientes a presuntos delincuentes. Pero el amplio abanico de números del listado, con personas que aparentemente no tienen ninguna relación con la delincuencia, apunta a que algunos clientes de NSO están incumpliendo su contrato y espiando a activistas prodemocracia, a periodistas que investigaban casos de corrupción, a opositores y a otros críticos del gobierno.

Esta tesis se confirma con el análisis forense de los teléfonos de una pequeña muestra de periodistas, activistas de derechos humanos y abogados, cuyos números aparecían en la lista filtrada. El Laboratorio de Seguridad de Amnistía, socio técnico del Proyecto Pegasus, encontró rastros del software Pegasus en 37 de los 67 teléfonos examinados.

Ese análisis también descubrió correlaciones entre la hora y fecha en que el número se incorporaba a la lista y el inicio de la actividad de Pegasus en el dispositivo. En algunos casos, la diferencia fue de segundos.

Amnistía Internacional ha compartido su análisis forense de cuatro teléfonos iPhone con Citizen Lab, un grupo de investigación de la Universidad de Toronto que se ha especializado en el estudio de Pegasus, que confirma el hallazgo de restos de infección. Citizen Lab también ha revisado los métodos forenses de Amnistía Internacional y los consideró válidos.

De Arabia Saudí a Marruecos

El análisis de los datos filtrados llevado a cabo por el consorcio ha identificado al menos diez gobiernos, supuestamente clientes de NSO, que estaban introduciendo números en un sistema: Azerbaiyán, Baréin, Kazajistán, México, Marruecos, Ruanda, Arabia Saudí, Hungría, India y Emiratos Árabes Unidos.

Del análisis de los datos se desprende que el país cliente de la NSO con más números (más de 15.000) es México, donde se sabe que varios organismos públicos han comprado el software Pegasus. Según el análisis, tanto Marruecos como Emiratos Árabes Unidos seleccionaron más de 10.000 números.

Los números de teléfono seleccionados, posiblemente antes del ataque de espionaje, abarcan cuatro continentes y más de 45 países. Hay más de 1.000 números en países europeos que, según el análisis, fueron elegidos por clientes de NSO.

La presencia de un número de teléfono no implica que haya habido un intento de infección del teléfono. NSO asegura que hay otros motivos posibles para que los números sean incluidos en la lista.

Ruanda, Marruecos, India y Hungría han negado haber utilizado Pegasus para hackear los teléfonos de las personas de la lista. Los gobiernos de Azerbaiyán, Baréin, Kazajstán, Arabia Saudí, México, Emiratos Árabes y Dubai no han respondido a las solicitudes de comentarios.

Es probable que el Proyecto Pegasus dé lugar a debates sobre espionaje gubernamental en varios países sospechosos de usar esta tecnología. Según la investigación, el Gobierno del primer ministro húngaro Viktor Orbán parece haber desplegado la tecnología de NSO en su guerra contra los medios de comunicación, apuntando a periodistas de investigación y al círculo íntimo de uno de los pocos ejecutivos de medios independientes de Hungría.

Los datos filtrados y los análisis forenses también sugieren que Arabia Saudí y su estrecho aliado, Emiratos Árabes, usaron la herramienta de espionaje de NSO para atacar los teléfonos de personas allegadas a Jamal Khashoggi, el periodista asesinado del Washington Post, en los meses posteriores a su muerte. Según la filtración, el fiscal turco que investigaba la muerte de Khashoggi también figuraba entre los candidatos a objetivo.

Pegasus permite hacerse con el control

Claudio Guarnieri, responsable del Laboratorio de Seguridad de Amnistía Internacional, dice que una vez que Pegasus infecta un teléfono, el cliente de NSO puede hacerse con el control del aparato, accediendo a los mensajes, llamadas, fotos y correos electrónicos de una persona, activando de manera secreta cámaras o micrófonos, y hasta leyendo el contenido de aplicaciones de mensajería encriptada como WhatsApp, Telegram y Signal.

Como el programa también da acceso al GPS y a los sensores en el hardware del teléfono, dice Guarnieri, los clientes de NSO incluso pueden obtener el historial de ubicaciones de una persona y rastrear su posición, en tiempo real y con precisión milimétrica. Si viaja en un coche, por ejemplo, pueden saber la velocidad y dirección del desplazamiento.

Los últimos avances en el software de NSO le permiten penetrar en los teléfonos con ataques “cero clic”. Es decir, que el teléfono puede infectarse aunque el usuario no haga clic en un enlace malicioso.

Guarnieri tiene pruebas de que NSO ha aprovechado las vulnerabilidades asociadas al iMessage, instalado por defecto en los iPhone, y de que es capaz de penetrar incluso en los iPhone actualizados con la última versión del iOS. Su equipo descubrió intentos de infección, así como infecciones exitosas de Pegasus, en teléfonos tan recientes como del último mes.

Apple dice: “Los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado”. 

NSO se ha negado a dar detalles sobre sus clientes y sobre las personas que estos tienen entre sus objetivos. Pero una fuente conocedora con el asunto dice que cada cliente tiene una media de 112 objetivos por año. También, que la empresa vende su programa espía Pegasus a 45 clientes.

Traducido por Francisco de Zárate.

Con información de Michael Safi, Dan Sabbagh, Nina Lakhani, Shaun Walker, Angelique Chrisafis, Martin Hodgson.