Una filtración destapa el uso

del software de espionaje

Pegasus contra activistas y
periodistas en todo el mundo
 Una investigación de varios medios de comunicación, entre
ellos 'The Guardian', revela que el programa vendido a
regímenes autoritarios se ha utilizado para atacar a
activistas, políticos y periodistas

 — Pegasus, el programa que ha hackeado a políticos

catalanes y espió a periodistas y activistas por todo el
mundo
Imagen de archivo de un teléfono móvil. EFE/EPA/SASCHA STEINBACH/Archivo
Stephanie Kirchgaessner / Paul Lewis / David Pegg / Sam Cutler / Nina
Lakhani / Michael Safi
19 de julio de 2021 14:25h
6

Gobiernos autoritarios de todo el mundo han atacado a

activistas de derechos humanos, periodistas y abogados con un
software espía que vende la empresa de vigilancia israelí NSO
Group. 

Una filtración masiva de datos analizada por The Guardian y

otros 16 medios de comunicación apunta a la existencia de un
abuso sistemático y constante del programa espía Pegasus. La
empresa insiste en que el software solo está destinado a su uso
contra delincuentes y terroristas.

Pegasus en un software malicioso que infecta teléfonos iPhone y

dispositivos Android para permitir, a los que lo controlan,
extraer los mensajes, fotos y correos electrónicos, además de
grabar llamadas y activar micrófonos en secreto. 

La filtración incluye una lista con más de 50.000 números de

teléfono. Se cree que corresponden a los números de personas
que desde 2016 son consideradas de interés por los clientes de
NSO.

Amnistía Internacional y la organización sin ánimo de lucro de

medios de comunicación Forbidden Stories (Historias
prohibidas), con sede en París, fueron las primeras en acceder a
la lista filtrada, antes de compartirla con los medios asociados
al Proyecto Pegasus, un consorcio de información.

Que un número de teléfono aparezca en el listado no significa

necesariamente que el dispositivo haya sido infectado con
Pegasus ni que lo hayan intentado hackear. Pero el consorcio
informativo cree que son los datos de los objetivos potenciales
elegidos por los gobiernos clientes de NSO, antes de posibles
intentos de vigilancia.

Un análisis forense de un pequeño número de teléfonos de la

lista filtrada demostró que en más de la mitad de los
dispositivos había rastros del software espía Pegasus.

Las revelaciones
El periódico británico The Guardian y los medios asociados
revelarán en los próximos días las identidades de las personas
cuyo número aparece en la lista. Entre ellos figuran cientos de
ejecutivos de empresas, personalidades religiosas, académicos,
empleados de ONG, autoridades sindicales y altos cargos
gubernamentales, como ministros, presidentes y primeros
ministros.

La lista también incluye los números de teléfono de los

familiares cercanos del gobernante de un país, lo que sugiere
que este puede haber dado instrucciones a sus agencias de
espionaje para que exploren la posibilidad de vigilar a sus
propios parientes.

Las revelaciones han comenzado este domingo, con la

publicación de que los datos incluyen los números de teléfono
de más de 180 periodistas, incluyendo reporteros, directores y
ejecutivos del Financial Times, CNN, el New York Times, France
24, el Economist, Associated Press y Reuters.

El número de teléfono de un periodista independiente mexicano,

Cecilio Pineda Birto, también figuraba en la lista. Aparentemente
era de interés para un cliente mexicano en las semanas previas
a su asesinato, cuando sus asesinos lograron localizarlo en un
lavadero de coches. No encontraron su teléfono, por lo que no
se ha podido hacer un análisis forense que determine si estaba
o no infectado.

La empresa NSO dice que, aunque el teléfono de Pineda fuera

objeto de un ataque, eso no significa que la información
recogida haya contribuido de alguna manera a su muerte.
También subraya que los gobiernos podían haber averiguado su
paradero por otros medios. Pineda era uno de los 25 periodistas
mexicanos aparentemente elegidos para ser espiados durante
un período de dos años.

Lo que dice la empresa

Sin un análisis forense de los dispositivos móviles, es imposible
saber si los teléfonos fueron objeto de un intento de hackeo o
de un hackeo con Pegasus.

NSO siempre ha sostenido que "no opera los sistemas que

vende a clientes gubernamentales ya aprobados, y que no tiene
acceso a los datos de los objetivos de sus clientes".

En declaraciones emitidas a través de sus abogados , la compañía

ha negado las "falsas afirmaciones" sobre las actividades de sus
clientes, pero "seguirá investigando todas las denuncias
verosímiles de uso indebido y tomará las medidas oportunas".
También considera que no es posible que el listado se
corresponda con los números "objetivo de los gobiernos que
utilizan Pegasus" y califica de “exagerada” la cifra de 50.000.

A través de sus abogados, NSO negó las "falsas alegaciones"

sobre las actividades de sus clientes. Pero dijo que "seguirá
investigando todas las denuncias verosímiles de uso indebido y
que tomará las medidas oportunas". También consideró
imposible que el listado se corresponda con los números
"objetivo de los gobiernos que utilizan Pegasus" y calificó de
“exagerada” la cifra de 50.000.

La empresa solo vende a organismos militares, policiales y de

inteligencia en 40 países que no identifica. Dice que revisa
rigurosamente el historial de derechos humanos de sus clientes
antes de permitirles usar sus herramientas de espionaje.

El ministro de Defensa israelí tiene una regulación estricta para

NSO: concede licencias de exportación individuales antes de que
la tecnología de espionaje sea vendida a un nuevo país.

En un informe de transparencia que NSO publicó hace un mes,

la empresa decía liderar la industria en lo que respecta a los
derechos humanos. También publicaba fragmentos de contratos
con clientes donde se estipulaba que sus productos solo podían
usarse en investigaciones penales y de seguridad nacional.

Los resultados del análisis

No hay nada que sugiera que los clientes de NSO no usaron

también Pegasus en investigaciones sobre terrorismo y
delincuencia. Entre los números, el consorcio de investigación
encontró los datos pertenecientes a presuntos delincuentes.
Pero el amplio abanico de números del listado, con personas que
aparentemente no tienen ninguna relación con la delincuencia,
apunta a que algunos clientes de NSO están incumpliendo su
contrato y espiando a activistas prodemocracia, a periodistas
que investigaban casos de corrupción, a opositores y a otros
críticos del gobierno.

Esta tesis se confirma con el análisis forense de los teléfonos de

una pequeña muestra de periodistas, activistas de derechos
humanos y abogados, cuyos números aparecían en la lista
filtrada. El Laboratorio de Seguridad de Amnistía, socio técnico
del Proyecto Pegasus, encontró rastros del software Pegasus en
37 de los 67 teléfonos examinados.

Ese análisis también descubrió correlaciones entre la hora y

fecha en que el número se incorporaba a la lista y el inicio de la
actividad de Pegasus en el dispositivo. En algunos casos, la
diferencia fue de segundos.

Amnistía Internacional ha compartido su análisis forense de

cuatro teléfonos iPhone con Citizen Lab, un grupo de
investigación de la Universidad de Toronto que se ha
especializado en el estudio de Pegasus, que confirma el hallazgo
de restos de infección. Citizen Lab también ha revisado los
métodos forenses de Amnistía Internacional y los consideró
válidos.

De Arabia Saudí a Marruecos

El análisis de los datos filtrados llevado a cabo por el consorcio
ha identificado al menos diez gobiernos, supuestamente clientes
de NSO, que estaban introduciendo números en un sistema:
Azerbaiyán, Baréin, Kazajistán, México, Marruecos, Ruanda,
Arabia Saudí, Hungría, India y Emiratos Árabes Unidos.

Del análisis de los datos se desprende que el país cliente de la

NSO con más números (más de 15.000) es México, donde se
sabe que varios organismos públicos han comprado el software
Pegasus. Según el análisis, tanto Marruecos como Emiratos
Árabes Unidos seleccionaron más de 10.000 números.

Los números de teléfono seleccionados, posiblemente antes del

ataque de espionaje, abarcan cuatro continentes y más de 45
países. Hay más de 1.000 números en países europeos que,
según el análisis, fueron elegidos por clientes de NSO.

La presencia de un número de teléfono no implica que haya

habido un intento de infección del teléfono. NSO asegura que
hay otros motivos posibles para que los números sean incluidos
en la lista.

Ruanda, Marruecos, India y Hungría han negado haber utilizado

Pegasus para hackear los teléfonos de las personas de la lista.
Los gobiernos de Azerbaiyán, Baréin, Kazajstán, Arabia Saudí,
México, Emiratos Árabes y Dubai no han respondido a las
solicitudes de comentarios.

Es probable que el Proyecto Pegasus dé lugar a debates sobre

espionaje gubernamental en varios países sospechosos de usar
esta tecnología. Según la investigación, el Gobierno del primer
ministro húngaro Viktor Orbán parece haber desplegado la
tecnología de NSO en su guerra contra los medios de
comunicación, apuntando a periodistas de investigación y al
círculo íntimo de uno de los pocos ejecutivos de medios
independientes de Hungría.
Los datos filtrados y los análisis forenses también sugieren que
Arabia Saudí y su estrecho aliado, Emiratos Árabes, usaron la
herramienta de espionaje de NSO para atacar los teléfonos de
personas allegadas a Jamal Khashoggi, el periodista asesinado
del Washington Post, en los meses posteriores a su muerte.
Según la filtración, el fiscal turco que investigaba la muerte de
Khashoggi también figuraba entre los candidatos a objetivo.

Pegasus permite hacerse con el control

Claudio Guarnieri, responsable del Laboratorio de Seguridad de

Amnistía Internacional, dice que una vez que Pegasus infecta un
teléfono, el cliente de NSO puede hacerse con el control del
aparato, accediendo a los mensajes, llamadas, fotos y correos
electrónicos de una persona, activando de manera secreta
cámaras o micrófonos, y hasta leyendo el contenido de
aplicaciones de mensajería encriptada como WhatsApp,
Telegram y Signal.

Como el programa también da acceso al GPS y a los sensores en

el hardware del teléfono, dice Guarnieri, los clientes de NSO
incluso pueden obtener el historial de ubicaciones de una
persona y rastrear su posición, en tiempo real y con precisión
milimétrica. Si viaja en un coche, por ejemplo, pueden saber la
velocidad y dirección del desplazamiento.

Los últimos avances en el software de NSO le permiten penetrar

en los teléfonos con ataques "cero clic". Es decir, que el teléfono
puede infectarse aunque el usuario no haga clic en un enlace
malicioso.

Guarnieri tiene pruebas de que NSO ha aprovechado las

vulnerabilidades asociadas al iMessage, instalado por defecto en
los iPhone, y de que es capaz de penetrar incluso en los iPhone
actualizados con la última versión del iOS. Su equipo descubrió
intentos de infección, así como infecciones exitosas de Pegasus,
en teléfonos tan recientes como del último mes.
Apple dice: "Los investigadores de seguridad coinciden en que el
iPhone es el dispositivo móvil de consumo más seguro del
mercado". 

NSO se ha negado a dar detalles sobre sus clientes y sobre las

personas que estos tienen entre sus objetivos. Pero una fuente
conocedora con el asunto dice que cada cliente tiene una media
de 112 objetivos por año. También, que la empresa vende su
programa espía Pegasus a 45 clientes.

Traducido por Francisco de Zárate.

Con información de Michael Safi, Dan Sabbagh, Nina Lakhani,

Shaun Walker, Angelique Chrisafis, Martin Hodgson.