in

Pegasus: juego de espías

Antonio Salgado Borge

De Israel a Yucatán

Antonio Salgado Borge (*)

La red de espionaje internacional revelada por Proyecto Pegasus es sin duda el escándalo global del momento. Nuestro país apenas está entendiendo la magnitud del impresionante fenómeno que tiene entre manos.

En este contexto, Yucatán no puede mirar hacia otro lado. Lo expuesto por Proyecto Pegasus apunta la necesidad de investigar la extensión de un problema que alcanza a nuestro estado. Para ver por qué es esto relevante, vale la pena revisar con detenimiento la naturaleza de este fenómeno, sus orígenes y sus alcances. Este será el objetivo del presente análisis.

¿Qué es Pegasus?

Pegasus es el nombre de un malware o programa maligno diseñado para atacar dispositivos digitales, como computadoras o teléfonos celulares. Existen distintos tipos de malware en circulación, clasificables según la forma en que infectan o la intención de su infección. Quizás los malware más conocidos sean los virus que infectan a las computadoras.

Pegasus fue diseñado y es comercializado por la empresa israelí NSO Group. Originalmente esta compañía buscaba dar acceso remoto a teléfonos celulares con el fin de facilitar el arreglo de problemas con su software. La idea era que, si al encontrar alguna falla en su dispositivo uno pudiese darle permiso al fabricante para “entrar” a distancia a éste, en lugar de tener que acudir físicamente a un centro de reparación o intentar seguir complicadas instrucciones.

Pero los dueños de NSO Group pronto fueron alertados del “potencial” que tenía su producto para fines de inteligencia anti-criminal. De esta forma, decidieron mejorarlo y adaptarlo con el fin de venderlo a agencias de seguridad que deseaban intervenir o seguir los dispositivos de sujetos investigados, por ejemplo, sospechosos de terrorismo o narcotráfico.

El resultado final fue el malware que hoy conocemos como Pegasus: un programa maligno creado para espiar los dispositivos infectados. Es decir, para extraer información de su usuario y enviarla a la persona que haya dado la orden de espiarlo.

¿Por qué es especial?

Es bien sabido que Pegasus no es el único malware en su tipo: existe un buen número de programas malignos diseñados con el mismo objetivo en mente. Pero hay dos elementos que hacen especial a Pegasus.

El primero es su vía de transmisión. La instalación de la mayoría del malware que circula requiere algún tipo de acción por parte del usuario del dispositivo infectado —por ejemplo, hacer click en una liga recibida a través de un mensaje de texto que promete llevar a la página de un banco—.

Pegasus es especialmente potente porque tiene una modalidad de infección llamada “cero click”. Bajo este esquema basta con recibir un mensaje de texto o una llamada perdida para ser infectado. Por ende, el usuario no tiene forma de defenderse de este malware.

El segundo elemento que hace especial a Pegasus es su potencia. Este malware abre de par en par las puertas del dispositivo infectado. Una cosa es acceder, por ejemplo, a la ubicación en tiempo real de un teléfono móvil y otra, muy distinta, poder acceder a voluntad al micrófono o a la cámara de este dispositivo.

Pegasus puede hacer todo esto y más. Llamadas, conversaciones de whastapp, bibliotecas de fotos… nada se salva de los tentáculos de este malware.

¿Qué es Pegasus Project?

Hace algunos meses, Amnistía Internacional, una influyente organización dedicada a defender los derechos humanos alrededor del mundo y la organización periodística Forbidden Stories convocaron a 17 influyentes y respetados medios de comunicación de distintas partes del mundo seleccionados en buena medida por su independencia y capacidad de investigación a una reunión secreta en París. Los convocados, incluidos “The Guardian”, “The Washington Post” dos mexicanos —Aristegui Noticias y la revista “Proceso”— dieron vida a Pegasus Project.

A los periodistas asistentes se les solicitó dejar sus teléfonos celulares en una caja. Esta fue inmediatamente sellada y llevada a otra habitación, ubicada lejos del cuarto al que se condujo a los periodistas. Cuando llegaron al sitio al que se les dirigió, los periodistas se toparon con una laptop, a la que se le introdujeron varias contraseñas y otras pruebas de seguridad. En esa computadora apareció una lista de 50,000 números telefónicos, pertenecientes a al menos diez países distintos.

Estos eran los números de teléfonos que habían sido ingresados por los clientes de NSO Group como blancos de espionaje mediante Pegasus. La lista, filtrada a Forbidden Stories y Amnistía Internacional, no incluía el nombre de la persona asociada con cada número. Los medios convocados trabajaron durante meses para identificarlos, asociarlos, conocer el contexto de cada víctima y encontrar las conexiones personales y políticas que derivaron en esta infección.

Lo que encontraron es que una cantidad impresionante de estos números no correspondía a intervenciones “legítimas”; es decir, no se trataba de personas investigadas por pertenecer a redes criminales. En su lugar, la lista estaba repleta de números de periodistas, defensores de derechos humanos, políticos y empresarios —y también de números de familiares de algunos de éstos—.

El resultado de esta investigación derrumba la idea de que NSO Group garantiza que su malware sólo sea utilizado para labores de inteligencia contra presuntos criminales investigados y que los gobiernos que lo compran lo usan siempre legalmente. En su lugar, el malware Pegasus está siendo utilizado para chantajear política o económicamente, anticipar a rivales y rastrear a periodistas dedicados a la investigación.

¿Por qué México es relevante?

La labor que Forbidden Stories confió a Aristegui Noticias y a Proceso en Pegasus Project fue especialmente importante. Más de 15,000 personas en México fueron apuntadas para ser espiadas mediante el malware Pegasus. Nuestro país fue el primer lugar donde se distribuyó este programa maligno y fue, por mucho, el sitio donde más fue vendido y utilizado. ¡Casi una tercera parte del total de números identificados como blancos de ese poderoso malware alrededor del mundo se encuentran en México!

Aunque ya era sabido que dependencias del gobierno de Enrique Peña Nieto y algunos gobiernos estatales habían adquirido Pegasus, lo que no era conocido era la magnitud y el alcance del uso de este malware. Por ejemplo, en la lista de números se encontraban lo mismo Andrés Manuel López Obrador y Carmen Aristegui —probablemente la periodista más conocida y reconocida de México que expuso la “casa blanca” de Peña Nieto— que un periodista local que trabajaba la nota roja en un municipio de Guerrero, sospechosamente ubicado y asesinado.

Sería absurdo pensar que el gobierno federal haya tenido algún interés en espiar a este periodista. Mucho más probable es que Pegasus haya llegado a su dispositivo a través del gobierno estatal o municipal. Esto es importante, pues indica que en nuestro país este malware ha sido mal utilizado a diestra y siniestra y a todos los niveles.

Para ser claro, en México estamos ante un verdadero juego de espías: el programa Pegasus es comprado por cualquier dependencia y utilizado para fines personales por quienes gestionaron la compra. Esto incluye a lo mismo a funcionarios corruptos por favorecer a grandes empresas que a quienes tienen ligas con el crimen organizado.

Dada la naturaleza de esta tecnología, esto implica que gente de un estado puede espiar a individuos en otras entidades o incluso a integrantes del gobierno federal.

¿Y Yucatán?

Existen reportes que apuntan a que Pegasus o programas malignos similares han sido utilizados ampliamente por gobiernos estatales. Ejemplos de ello son las investigaciones sobre los casos de Peña Nieto, cuando fue gobernador del Estado de México, Miguel Ángel Mancera en la CDMX o Rafael Moreno Valle en Puebla.

En este contexto, suponer que en Yucatán el gobierno no utiliza malware sería de una ingenuidad fuera de serie. Aunque siempre fue negado, se conoce por distintos reportes y filtraciones documentadas que el gobierno de Rolando Zapata Bello habría adquirido malware para ciberespionaje. También se ha comentado que entre los programas malignos adquiridos estaría Pegasus.

Alegar simplemente, como lo ha hecho el Presidente con el caso del gobierno federal, que esto es cosa del pasado porque el malware fue comprado y usado sólo por gobiernos anteriores es inaceptable, pues nada garantiza que, con conocimiento del titular del ejecutivo o sin éste, el programas maligno siga siendo utilizado.

Lo que se requiere es conocer a ciencia cierta el historial de las compras y funcionarios implicados, la lista de números o dispositivos a los que se apuntó el malware y abrir esta lista a una revisión por parte de personas independientes de la sociedad civil y establecer controles bien conocidos por el público.

En consecuencia, lo revelado por Pegasus Project obliga a todo gobierno a responder con pruebas y de forma transparente y pública su relación con este tipo de herramientas. En particular, el gobierno de Mauricio Vila tendría que responder a las siguientes preguntas: ¿Adquirió Yucatán Pegasus? ¿Qué dependencias adquirieron malware durante el gobierno de Rolando Zapata? ¿Qué funcionarios lo utilizaron? ¿Se sigue utilizando este malware? ¿Cómo se utilizó o se está utilizando? ¿Quiénes fueron apuntados con éste?

No hay pretexto para no dar respuesta a interrogantes como las mencionadas arriba. Desde luego, el silencio ante estas preguntas sería, en sí mismo, indicativo. Una respuesta inaceptable para cualquier gobierno verdaderamente honesto y democrático.— Edimburgo, Reino Unido.

asalgadoborge@gmail.com

Antonio Salgado Borge

@asalgadoborge

Doctor en Filosofía (Universidad de Edimburgo)

 

Zarpazo de los Tigres

Monseñor Gustavo Rodríguez Vega: Homilía del domingo 25 de julio