Gobiernos autoritarios de todo el mundo han atacado a activistas de derechos humanos, periodistas y abogados con un software espía que vende la empresa de vigilancia israelí NSO Group.
Una filtración masiva de datos analizada por The Guardian y otros 16 medios de comunicación apunta a la existencia de un abuso sistemático y constante del programa espía Pegasus. La empresa insiste en que el software solo está destinado a su uso contra delincuentes y terroristas.
Pegasus en un software malicioso que infecta teléfonos iPhone y dispositivos Android para permitir, a los que lo controlan, extraer los mensajes, fotos y correos electrónicos, además de grabar llamadas y activar micrófonos en secreto.
La filtración incluye una lista con más de 50.000 números de teléfono. Se cree que corresponden a los números de personas que desde 2016 son consideradas de interés por los clientes de NSO.
Amnistía Internacional y la organización sin ánimo de lucro de medios de comunicación Forbidden Stories (Historias prohibidas), con sede en París, fueron las primeras en acceder a la lista filtrada, antes de compartirla con los medios asociados al Proyecto Pegasus, un consorcio de información.
Que un número de teléfono aparezca en el listado no significa necesariamente que el dispositivo haya sido infectado con Pegasus ni que lo hayan intentado hackear. Pero el consorcio informativo cree que son los datos de los objetivos potenciales elegidos por los gobiernos clientes de NSO, antes de posibles intentos de vigilancia.
Un análisis forense de un pequeño número de teléfonos de la lista filtrada demostró que en más de la mitad de los dispositivos había rastros del software espía Pegasus.
Las revelaciones
El periódico británico The Guardian y los medios asociados revelarán en los próximos días las identidades de las personas cuyo número aparece en la lista. Entre ellos figuran cientos de ejecutivos de empresas, personalidades religiosas, académicos, empleados de ONG, autoridades sindicales y altos cargos gubernamentales, como ministros, presidentes y primeros ministros.
La lista también incluye los números de teléfono de los familiares cercanos del gobernante de un país, lo que sugiere que este puede haber dado instrucciones a sus agencias de espionaje para que exploren la posibilidad de vigilar a sus propios parientes.
Las revelaciones han comenzado este domingo, con la publicación de que los datos incluyen los números de teléfono de más de 180 periodistas, incluyendo reporteros, directores y ejecutivos del Financial Times, CNN, el New York Times, France 24, el Economist, Associated Press y Reuters.
El número de teléfono de un periodista independiente mexicano, Cecilio Pineda Birto, también figuraba en la lista. Aparentemente era de interés para un cliente mexicano en las semanas previas a su asesinato, cuando sus asesinos lograron localizarlo en un lavadero de coches. No encontraron su teléfono, por lo que no se ha podido hacer un análisis forense que determine si estaba o no infectado.
La empresa NSO dice que, aunque el teléfono de Pineda fuera objeto de un ataque, eso no significa que la información recogida haya contribuido de alguna manera a su muerte. También subraya que los gobiernos podían haber averiguado su paradero por otros medios. Pineda era uno de los 25 periodistas mexicanos aparentemente elegidos para ser espiados durante un período de dos años.
Lo que dice la empresa
Sin un análisis forense de los dispositivos móviles, es imposible saber si los teléfonos fueron objeto de un intento de hackeo o de un hackeo con Pegasus.
NSO siempre ha sostenido que “no opera los sistemas que vende a clientes gubernamentales ya aprobados, y que no tiene acceso a los datos de los objetivos de sus clientes”.
En declaraciones emitidas a través de sus abogados, la compañía ha negado las “falsas afirmaciones” sobre las actividades de sus clientes, pero “seguirá investigando todas las denuncias verosímiles de uso indebido y tomará las medidas oportunas”. También considera que no es posible que el listado se corresponda con los números “objetivo de los gobiernos que utilizan Pegasus” y califica de “exagerada” la cifra de 50.000.
A través de sus abogados, NSO negó las “falsas alegaciones” sobre las actividades de sus clientes. Pero dijo que “seguirá investigando todas las denuncias verosímiles de uso indebido y que tomará las medidas oportunas”. También consideró imposible que el listado se corresponda con los números “objetivo de los gobiernos que utilizan Pegasus” y calificó de “exagerada” la cifra de 50.000.
La empresa solo vende a organismos militares, policiales y de inteligencia en 40 países que no identifica. Dice que revisa rigurosamente el historial de derechos humanos de sus clientes antes de permitirles usar sus herramientas de espionaje.
El ministro de Defensa israelí tiene una regulación estricta para NSO: concede licencias de exportación individuales antes de que la tecnología de espionaje sea vendida a un nuevo país.
En un informe de transparencia que NSO publicó hace un mes, la empresa decía liderar la industria en lo que respecta a los derechos humanos. También publicaba fragmentos de contratos con clientes donde se estipulaba que sus productos solo podían usarse en investigaciones penales y de seguridad nacional.
Los resultados del análisis
No hay nada que sugiera que los clientes de NSO no usaron también Pegasus en investigaciones sobre terrorismo y delincuencia. Entre los números, el consorcio de investigación encontró los datos pertenecientes a presuntos delincuentes. Pero el amplio abanico de números del listado, con personas que aparentemente no tienen ninguna relación con la delincuencia, apunta a que algunos clientes de NSO están incumpliendo su contrato y espiando a activistas prodemocracia, a periodistas que investigaban casos de corrupción, a opositores y a otros críticos del gobierno.
Esta tesis se confirma con el análisis forense de los teléfonos de una pequeña muestra de periodistas, activistas de derechos humanos y abogados, cuyos números aparecían en la lista filtrada. El Laboratorio de Seguridad de Amnistía, socio técnico del Proyecto Pegasus, encontró rastros del software Pegasus en 37 de los 67 teléfonos examinados.
Ese análisis también descubrió correlaciones entre la hora y fecha en que el número se incorporaba a la lista y el inicio de la actividad de Pegasus en el dispositivo. En algunos casos, la diferencia fue de segundos.
Amnistía Internacional ha compartido su análisis forense de cuatro teléfonos iPhone con Citizen Lab, un grupo de investigación de la Universidad de Toronto que se ha especializado en el estudio de Pegasus, que confirma el hallazgo de restos de infección. Citizen Lab también ha revisado los métodos forenses de Amnistía Internacional y los consideró válidos.
De Arabia Saudí a Marruecos
El análisis de los datos filtrados llevado a cabo por el consorcio ha identificado al menos diez gobiernos, supuestamente clientes de NSO, que estaban introduciendo números en un sistema: Azerbaiyán, Baréin, Kazajistán, México, Marruecos, Ruanda, Arabia Saudí, Hungría, India y Emiratos Árabes Unidos.
Del análisis de los datos se desprende que el país cliente de la NSO con más números (más de 15.000) es México, donde se sabe que varios organismos públicos han comprado el software Pegasus. Según el análisis, tanto Marruecos como Emiratos Árabes Unidos seleccionaron más de 10.000 números.
Los números de teléfono seleccionados, posiblemente antes del ataque de espionaje, abarcan cuatro continentes y más de 45 países. Hay más de 1.000 números en países europeos que, según el análisis, fueron elegidos por clientes de NSO.
La presencia de un número de teléfono no implica que haya habido un intento de infección del teléfono. NSO asegura que hay otros motivos posibles para que los números sean incluidos en la lista.
Ruanda, Marruecos, India y Hungría han negado haber utilizado Pegasus para hackear los teléfonos de las personas de la lista. Los gobiernos de Azerbaiyán, Baréin, Kazajstán, Arabia Saudí, México, Emiratos Árabes y Dubai no han respondido a las solicitudes de comentarios.
Es probable que el Proyecto Pegasus dé lugar a debates sobre espionaje gubernamental en varios países sospechosos de usar esta tecnología. Según la investigación, el Gobierno del primer ministro húngaro Viktor Orbán parece haber desplegado la tecnología de NSO en su guerra contra los medios de comunicación, apuntando a periodistas de investigación y al círculo íntimo de uno de los pocos ejecutivos de medios independientes de Hungría.
Los datos filtrados y los análisis forenses también sugieren que Arabia Saudí y su estrecho aliado, Emiratos Árabes, usaron la herramienta de espionaje de NSO para atacar los teléfonos de personas allegadas a Jamal Khashoggi, el periodista asesinado del Washington Post, en los meses posteriores a su muerte. Según la filtración, el fiscal turco que investigaba la muerte de Khashoggi también figuraba entre los candidatos a objetivo.
Pegasus permite hacerse con el control
Claudio Guarnieri, responsable del Laboratorio de Seguridad de Amnistía Internacional, dice que una vez que Pegasus infecta un teléfono, el cliente de NSO puede hacerse con el control del aparato, accediendo a los mensajes, llamadas, fotos y correos electrónicos de una persona, activando de manera secreta cámaras o micrófonos, y hasta leyendo el contenido de aplicaciones de mensajería encriptada como WhatsApp, Telegram y Signal.
Como el programa también da acceso al GPS y a los sensores en el hardware del teléfono, dice Guarnieri, los clientes de NSO incluso pueden obtener el historial de ubicaciones de una persona y rastrear su posición, en tiempo real y con precisión milimétrica. Si viaja en un coche, por ejemplo, pueden saber la velocidad y dirección del desplazamiento.
Los últimos avances en el software de NSO le permiten penetrar en los teléfonos con ataques “cero clic”. Es decir, que el teléfono puede infectarse aunque el usuario no haga clic en un enlace malicioso.
Guarnieri tiene pruebas de que NSO ha aprovechado las vulnerabilidades asociadas al iMessage, instalado por defecto en los iPhone, y de que es capaz de penetrar incluso en los iPhone actualizados con la última versión del iOS. Su equipo descubrió intentos de infección, así como infecciones exitosas de Pegasus, en teléfonos tan recientes como del último mes.
Apple dice: “Los investigadores de seguridad coinciden en que el iPhone es el dispositivo móvil de consumo más seguro del mercado”.
NSO se ha negado a dar detalles sobre sus clientes y sobre las personas que estos tienen entre sus objetivos. Pero una fuente conocedora con el asunto dice que cada cliente tiene una media de 112 objetivos por año. También, que la empresa vende su programa espía Pegasus a 45 clientes.
Traducido por Francisco de Zárate.
Con información de Michael Safi, Dan Sabbagh, Nina Lakhani, Shaun Walker, Angelique Chrisafis, Martin Hodgson.