¿Qué es el Pegasus Project?
Pegasus Project es una investigación periodística internacional que revela los abusos que 10 gobiernos clientes de la empresa israelí NSO Group perpetraron con el spyware Pegasus contra periodistas, defensores de derechos humanos y opositores políticos, tanto en sus países como en el extranjero.
Durante varios meses, más de 80 periodistas de 17 medios de comunicación ubicados en 10 países, entre ellos Proceso, The Guardian, The Washington Post, Le Monde, el Süddeutsche Zeitung o Aristegui Noticias, colaboraron en esta investigación, coordinada por Forbidden Stories, una organización periodística sin fines de lucro con sede en París, con el apoyo técnico del Security Lab de Amnistía Internacional.
¿De qué se trata?
La investigación inició con la filtración, a Forbidden Stories y Amnistía Internacional, de más de 50 mil datos telefónicos ingresados por clientes de NSO Group --es decir, agencias de seguridad o de inteligencia-- en sistemas usados para lanzar ataques con el software Pegasus. Los registros corresponden al menos a 10 países clientes de la empresa israelí: México, Azerbaiyán, Kazajistán, Hungría, India, los Emiratos Árabes Unidos, Arabia Saudita, Baréin, Marruecos y Ruanda.
La primera etapa de un proceso de infección con Pegasus implica que el cliente ingrese y seleccione números telefónicos, y posteriormente puede lanzar un ataque, o no. Por ello, no todos los números que aparecen en la plataforma fueron necesariamente víctimas de tentativas de infección, sin embargo, muestran que las personas titulares de estos números fueron blancos de una agencia de inteligencia clienta de NSO.
Durante meses, bajo condiciones de seguridad y de privacidad extremas, los periodistas llevaron a cabo un exhaustivo cruce de los datos telefónicos para identificar las potenciales víctimas de Pegasus y verificar que su posible intervención no era “legítima”, es decir, que no pertenecía a redes del crimen organizado o a otra actividad delincuencial. Gracias a la ayuda del Security Lab de Amnistía Internacional, se hicieron análisis forenses de decenas de teléfonos de víctimas para determinar si fueron infectados o no.
Los periodistas también entrevistaron, en distintos países, a decenas de expertos, exagentes de inteligencia, diplomáticos y altos funcionarios, así como exempleados de NSO y de otras empresas de tecnologías, para entender con mayor detalle el funcionamiento de Pegasus, desde su dimensión técnica hasta sus entramados geopolíticos.
¿Qué es Pegasus?
Pegasus es una poderosa herramienta digital que toma el control de un celular de manera remota y casi indetectable. NSO Group vende Pegasus como una tecnología que ayuda las agencias de seguridad a investigar y combatir redes del crimen organizado, organizaciones terroristas o cadenas de pedofilia.
Una vez instalado, este “spyware” accede a la memoria del teléfono, extrae sus datos y envía paquetes de información de manera encriptada a un servidor ubicado en las oficinas del cliente. Sus agentes deben descargar los datos en computadoras e identificar los datos útiles a sus propósitos, legítimos o no.
La información extraída puede abarcar prácticamente todo el contenido del aparato: mensajes de texto, Whatsapp, Telegram y de las demás aplicaciones de mensajería, pero también datos de geolocalización, contactos o historial de llamadas; el programa permite prender el micrófono o la cámara cuando el cliente lo desee, lo que permite escuchar llamadas telefónicas o conversaciones privadas en cualquier momento, y ver los rostros de personas presentes.
Dicho de otro modo, el programa concentra muchas estrategias de espionaje tradicionales: puede seguir los movimientos de una persona, “alambrear” su línea, identificar su círculo cercano, y sacar escuchas y fotografías clandestinas.
Hace algunos años, la víctima tenía un papel activo --aunque involuntario-- en la instalación de Pegasus en su teléfono: en general, los agentes enviaban uno o varios mensajes de texto para enganchar su atención, los cuales invitaban a apretar un vínculo adjunto, el cual instalaba Pegasus. Ese método tenía muchas fallas, pues dejaba huellas duraderas y evidentes –los mensajes-- y no tenía ninguna garantía que la persona apretaría el vínculo.
Con el paso del tiempo, los ingenieros de NSO Group perfeccionaron sus vectores de ataque, y ahora el programa se puede instalar sin ninguna interacción con la víctima, mediante ataques “zero-click” que aprovechan fallas en aplicaciones de mensajería (como iMessage, de Apple) para penetrar en el aparato de manera imperceptible.
¿Qué revela la investigación?
Pegasus Project documenta que, si bien NSO Group promueve Pegasus como una herramienta eficiente para combatir los delitos graves o el terrorismo, algunos gobiernos lo han usado para espiar a voces críticas o incómodas, entre ellos periodistas, defensores de derechos humanos, sindicalistas, activistas, abogados, empresarios, jueces, sacerdotes y opositores políticos de primer nivel.
La investigación también exhibe cómo esta tecnología altamente intrusiva fue usada contra diversos jefes de Estado –incluyendo en el corazón de la Unión Europea--, así como contra príncipes y princesas, altos grados militares o empresarios, en contextos geopolíticos inciertos y marcos legales borrosos.
A diferencia de investigaciones anteriores sobre el software de NSO Group, el Pegasus Project revela, con nombres y apellidos, la identidad de cientos de víctimas que se encontraban en las listas de “objetivos” de los clientes de la empresa israelí.
En México, existen documentos que evidencian que tres agencias de gobierno usaron Pegasus durante el sexenio de Enrique Peña Nieto: la Agencia de Investigación Criminal (AIC), la Secretaría de la Defensa Nacional (Sedena) y el Centro de Investigación y Seguridad Nacional (Cisen); fuentes consultadas dicen que, de las tres agencias, la Sedena y el Cisen podían operar Pegasus sin orden judicial, es decir, con un amplio margen para el uso arbitrario.
El análisis a fondo de los detalles, cruzado con entrevistas y fuentes abiertas, permitieron identificar, con un alto grado de certeza, cuál área de la Sedena, la AIC o el Cisen estaba detrás de la selección de algún registro telefónico.
¿Cuál fue el mayor reto?
Una vez que infecta un teléfono, Pegasus se esconde en su sistema operativo y, ante cualquier indicio de que podría ser detectado, se desinstala de manera automática, sin dejar prácticamente ninguna huella. Un agente también puede desinstalarlo a distancia, ya sea porque obtuvo lo que quería del celular, o por cualquier otro motivo.
Por estas razones, ninguna persona externa a NSO Group conoce el código del programa o, dicho de otro modo, nadie ha visto a qué se parece Pegasus. Aparte, la empresa mantiene un alto nivel de opacidad respecto a sus operaciones y clientes.
Por ello, analizar los teléfonos de personas cuyos números aparecen entre los datos para probar que ocurrió un ataque con Pegasus resultó un gran reto para los participantes a la investigación internacional, especialmente para los expertos del Security Lab de Amnistía Internacional.
En México, el reto principal fue el material. Los datos referentes a este país cubren la época 2016 – 2017, durante la cual las infecciones se llevaban a cabo a través de mensajes mensajes de texto con vínculos maliciosos. En muchos casos, víctimas o presuntas víctimas se deshicieron de sus dispositivos; cuando todavía los conservan, muchos ya no tienen sus viejos mensajes de texto, y en otros casos los dispositivos han tenido tantas actualizaciones que ya no queda ninguna huella de Pegasus. Sin embargo, algunos sí conservaron los mensajes, los cuales coincidían en fechas y horas con los datos telefónicos filtrados en el Pegasus Project.
Para otros países, el reto fue tecnológico. Siguiendo una metodología inspirada de otras investigaciones sobre Pegasus y verificada por el Citizen Lab de la Universidad de Toronto, en Canadá, el Security Lab de Amnistía Internacional logró identificar algunas huellas ínfimas que deja el malware en los sistemas operativos de los celulares infectados, incluso después de desinstalarse.
En otras palabras: su labor consistió en buscar las migajas de Pegasus entre miles de líneas de código de programación, con mejores resultados en iPhone que en Android --debido al alto número de marcas y variaciones en los sistemas--, y con el riesgo de que una actualización borre todos los datos, incluyendo las huellas de Pegasus.
A pesar de estos retos, el Security Lab pudo corroborar la coincidencia entre infecciones y selecciones en 37 celulares cuyos números estaban en la lista; se trataba principalmente de dispositivos iPhone, y de ataques perpetrados en fechas recientes. El análisis forense determinó que, en los casos probados de infección, la selección en la plataforma de Pegasus fue anterior al ataque contra el teléfono, con plazos que oscilaban entre escasos segundos y varias horas.
¿Qué es NSO Group?
NSO Group es una empresa de tecnología de seguridad basada en Israel, creada en 2010 por Shalev Hulio, Omrie Lavie y Niv Carmie. Gracias al éxito comercial de su producto estrella, el spyware Pegasus, la empresa creció de manera vertiginosa desde su creación, y el año pasado reportó beneficios por más de 240 millones de dólares, con 750 empleados repartidos en oficinas de Israel, Chipre y Bulgaria.
México fue su primer cliente foráneo: durante el sexenio de Felipe Calderón Hinojosa, la Sedena adquirió la plataforma por 5.6 mil millones de pesos.
NSO afirma que solo vende Pegasus a agencias de gobierno para tareas de lucha contra el terrorismo, la delincuencia organizada, redes de pedofilia o grupos de secuestradores; sin embargo, en los últimos cinco años han surgido muchas evidencias de que sus clientes han usado el spyware para espiar a periodistas, defensores de derechos humanos o políticos.
En 2019, la firma de inversión londinense Novalpina Capital adquirió una participación mayoritaria en la empresa por más de mil millones de dólares; meses más tarde, WhatsApp demandó a NSO ante la justicia de Estados Unidos tras descubrir que la empresa había usado una vulnerabilidad en la aplicación para infectar más de mil 400 celulares.
En su primer informe de rendición de cuentas, publicado el pasado 30 de junio, NSO Group negó que Pegasus sea su único producto, rechazó que la herramienta sirva para realizar espionaje masivo, y afirmó que no recolecta información de los celulares intervenidos ni de sus usuarios. La empresa indicó que tiene 60 clientes en 40 países, la mitad de los cuales son agencias de inteligencia.