Una investigación llevada a cabo por un consorcio periodístico denominado Proyecto Pegasus, integrado por 16 organizaciones de medios de comunicación, da cuenta de un abuso generalizado y continuo del programa espía de la empresa de seguridad israelí NSO Group. Activistas de derechos humanos, periodistas y abogados de todo el mundo han sido objeto de ataques por parte de gobiernos, en su mayoría regímenes autoritarios, mediante software de hackeo de NSO Group.
La investigación concluye en un abuso generalizado y continuo del programa NSO, Pegasus, que la empresa insiste “sólo está destinado a ser utilizado contra delincuentes y terroristas”.
Pegasus es un software malicioso que infecta iPhones y dispositivos Android para que los operadores de la herramienta puedan extraer mensajes, fotos y correos electrónicos, grabar llamadas y activar micrófonos en secreto.
Una filtración obtenida por el consorcio periodístico consiste de una lista de más de 50.000 números de teléfono que, se cree, han sido identificados como los de personas de interés por clientes de NSO desde 2016. En la iniciativa participaron más de 80 periodistas de Forbidden Stories, The Washington Post, Le Monde, Süddeutsche Zeitung, Die Zeit, The Guardian, Daraj, Direkt36, Le Soir, Knack, Radio France, the Wire, Proceso, Aristegui Noticias, Organized Crime and Corruption Reporting Project, Haaretz y PBS Frontline.
Forbidden Stories, una organización de medios de comunicación sin ánimo de lucro con sede en París, y Amnistía Internacional tuvieron inicialmente acceso a una lista de más de 50.000 números telefónicos que los clientes de NSO han considerado “personas de interés”. La lista fue compartida con los medios de comunicación asociados como parte del proyecto Pegasus, que el domingo comenzaron a publicar sus reportajes.
La presencia de un número de teléfono entre los datos no revela si un dispositivo estaba infectado con Pegasus o fue objeto de un intento de hackeo. Sin embargo, el grupo cree que los datos son indicativos de los objetivos potenciales que los clientes gubernamentales de NSO identificaron antes de los posibles intentos de intrusión electrónica.
El análisis forense de un reducido número de teléfonos cuyos números aparecían en la lista filtrada demostró que más de la mitad tenían indicios del programa espía Pegasus.
El grupo de medios de comunicación comenzó el domingo a revelar las identidades de las personas cuyo número aparecía en la lista, a las que se añadirán varias en los próximos días. Entre ellos se encuentran cientos de ejecutivos de empresas, personalidades religiosas, académicos, empleados de ONG, funcionarios de sindicatos y funcionarios del gobierno, incluidos ministros y presidentes de gobierno. Entre los 180 periodistas que figuran en los datos publicados el domingo hay reporteros, redactores y ejecutivos del Financial Times, CNN, New York Times, France 24, The Economist, Associated Press y Reuters.
México, el principal usuario de Pegasus
“En la lista se encontró el número de teléfono de un reportero mexicano freelance, Cecilio Pineda Birto, al parecer de interés para el cliente mexicano de NSO en las semanas previas a su asesinato”, escribe The Guardian, agregando que “sus asesinos pudieron localizarlo en un servicio de lavado de coches; su teléfono nunca se ha encontrado, por lo que no se ha podido realizar ningún análisis forense para determinar si estaba infiltrado”.
Según The Guardian, NSO Group comentó que “incluso si el teléfono de Pineda había sido objeto de un ataque, eso no significaba que los datos recogidos de su teléfono contribuyeran de alguna manera a su muerte”, subrayando que los gobiernos podrían haber descubierto su ubicación por otros medios. Pineda fue uno de los 25 periodistas mexicanos que, al parecer, fueron seleccionados como candidatos a ser vigilados durante un periodo de dos años.
El análisis de los datos filtrados realizado por el consorcio identificó al menos a 10 gobiernos que se cree eran clientes de NSO y que ingresaban números en un sistema: Azerbaiyán, Bahréin, Kazajistán, México, Marruecos, Ruanda, Arabia Saudí, Hungría, India y los Emiratos Árabes Unidos (EAU).
El análisis de los datos sugiere que el país cliente del NSO que seleccionó más números -más de 15.000- fue México, donde se sabe que varios organismos gubernamentales diferentes han comprado Pegasus. Tanto Marruecos como los EAU seleccionaron más de 10.000 números, según el análisis sugerido.
Los números de teléfono que se seleccionaron, posiblemente antes de un ataque dirigido contra ellos, abarcaban más de 45 países de cuatro continentes. Había más de 1.000 números en países europeos que, según el análisis, fueron seleccionados por clientes de NSO.
The Guardian escribe que, sin un examen forense de los dispositivos móviles, es imposible decir si los teléfonos fueron objeto de un intento de hackeo con Pegasus o si lo lograron.
Respuesta de NSO al proyecto Pegasus
A continuación se ofrece un resumen editado de las declaraciones emitidas por NSO Group y sus abogados, Clare Locke, a los medios de comunicación que participan en la investigación.
“NSO Group niega firmemente las falsas afirmaciones hechas en su informe, muchas de las cuales son teorías no corroboradas que plantean serias dudas sobre la fiabilidad de sus fuentes, así como sobre la base de su reportaje.
NSO Group tiene buenas razones para creer que las afirmaciones que le han proporcionado se basan en una interpretación errónea de los datos filtrados de información básica accesible y manifiesta, como los servicios HLR Lookup, que no tienen relación con la lista de los objetivos de los clientes de Pegasus o de cualquier otro producto de NSO.
Dichos servicios están abiertamente disponibles para cualquiera, en cualquier lugar y en cualquier momento, y son comúnmente utilizados por las agencias gubernamentales para numerosos propósitos, así como por las empresas privadas en todo el mundo. También es indiscutible que los datos tienen muchos usos legítimos y totalmente adecuados que no tienen nada que ver con la vigilancia o con NSO, por lo que no puede haber ninguna base fáctica para sugerir que un uso de los datos equivale de alguna manera a la vigilancia”.
El mes pasado, NSO publicó un informe de transparencia en el que afirmaba tener un enfoque líder en materia de derechos humanos y publicaba extractos de contratos con clientes en los que se estipulaba que sólo debían utilizar sus productos para investigaciones penales y de seguridad nacional.
Según The Guardian, no hay información que sugiera que los clientes de NSO no utilizaran también Pegasus en investigaciones sobre terrorismo y delincuencia, recalcando que el consorcio periodístico también encontró entre los datos números pertenecientes a presuntos delincuentes.
Sin embargo, el amplio abanico de números de la lista pertenecientes a personas que aparentemente no tienen ninguna relación con la delincuencia sugiere que algunos clientes de NSO no están cumpliendo sus contratos con la empresa, al espiar a activistas políticos y a periodistas que investigan la corrupción, así como a disidentes y críticos del gobierno.
Esta tesis se apoya en el análisis forense de los teléfonos de una pequeña muestra de periodistas, activistas de derechos humanos y abogados cuyos números aparecían en la lista filtrada. La investigación, llevada a cabo por el Laboratorio de Seguridad de Amnistía, socio técnico del proyecto Pegasus, encontró rastros de actividad de Pegasus en 37 de los 67 teléfonos examinados.
Amnistía compartió su trabajo forense sobre cuatro iPhones con Citizen Lab, un grupo de investigación de la Universidad de Toronto especializado en el estudio de Pegasus, que confirmó que mostraban signos de infección con Pegasus. Citizen Lab también llevó a cabo una revisión paritaria de los métodos forenses de Amnistía, y los consideró sólidos.
Claudio Guarnieri, que dirige el Laboratorio de Seguridad de Amnistía Internacional, dijo que una vez que un teléfono es infectado con Pegasus, el cliente de NSO puede tomar el control de un teléfono, permitiéndole extraer los mensajes, las llamadas, las fotos y los correos electrónicos de una persona, activar secretamente las cámaras o los micrófonos y leer el contenido de aplicaciones de mensajería encriptadas como WhatsApp, Telegram y Signal.
Al acceder al GPS y a los sensores de hardware del teléfono, añadió, los clientes de NSO también podrían asegurar un registro de los movimientos pasados de una persona y rastrear su ubicación en tiempo real con una precisión milimétrica, por ejemplo, estableciendo la dirección y la velocidad a la que viajaba un coche.
Guarnieri ha identificado pruebas de que NSO ha estado explotando vulnerabilidades asociadas a iMessage, que viene instalado en todos los iPhones, y ha sido capaz de penetrar incluso en los iPhone más actualizados con la última versión de iOS. El análisis forense de su equipo descubrió infecciones exitosas e intentos de intrusión de Pegasus en teléfonos tan recientes como este mes.
