El caso no debería ser tan sorprendente. ¿Acaso hay poca literatura y cine en que los científicos logran diseñar para las autoridades alguna arma para perseguir a los tipos malos y al final estos son los que acceden a la nueva tecnología?
Sin embargo, muchos ni siquiera imaginaban que podemos leer una historia similar en la prensa real. El escándalo fue revelado por un consorcio periodístico de 17 medios de comunicación y las ONG Forbidden Stories y Amnistía Internacional, que accedió a una lista de más de 50.000 números de teléfonos que, como supone esa agrupación, fueron señalados como objetivos de una de las ciberarmas más potentes del mundo: el programa Pegasus, un producto de la empresa privada israelí NSO Group.
Esta compañía vende software de espionaje a servicios gubernamentales para que tengan una herramienta en la lucha contra terroristas y criminales.
Al identificar un millar de esos números, el denominado Proyecto Pegasus descubrió que el programa cayó en manos de gobiernos represivos. Hasta ahora se ha logrado identificar posibles clientes de NSO en 11 países: Arabia Saudí, Azerbaiyán, Bahréin, Emiratos Árabes Unidos, Hungría, la India, Kazajistán, Marruecos, México, Ruanda y Togo.
Poderoso e invisible
¿Qué hay de ese programa que ha provocado tantas preocupaciones?
Primero, se trata de un instrumento de espionaje ideal que opera las 24 horas al día sin que lo sepa la víctima del teléfono infectado. Una vez instalado en un dispositivo Android o iOS, Pegasus es capaz de recopilar mensajes recibidos y enviados, el historial de llamadas, el libro de contactos, las fotografías y los vídeos guardados.
Puede poner la cámara cuando quiera o poner el micrófono, incluido para grabar una conversación telefónica. Rastrea la ubicación actual del dispositivo, así como la de los teléfonos cercanos. Y también tiene acceso al historial de ubicaciones anteriores.
Escalofriante. Pero no es todo. Lo que le produce más pánico al autor de este artículo, son las maneras de instalar el programa.
Una de ellas —la más sencilla— representa la instalación manual: alguien toma el teléfono e inserta el software. Por un lado, para protegerse solo es necesario siempre tener el dispositivo cerca. Pero si alguien es objetivo de un gobierno represivo, entonces la instalación puede ser realizada por los servicios de seguridad mientras el la víctima permanece detenida.
Otra manera es un poco más sofisticada y posibilita instalar Pegasus en un teléfono a distancia.
La versión más temprana del software, detectada en 2016, fue insertada mediante el ya popular esquema de phishing: la víctima recibe un mensaje con algún material engañoso y un enlace que lleva a la instalación del programa. La receta para estar a salvo en este caso es la de siempre: jamás utilizar enlaces enviados por remitentes desconocidos.
Desde entonces NSO Group desarrolló sus capacidades hasta diseñar los llamados 'ataques de cero cliqueo'. Para insertar Pegasus los hackers aprovechan las vulnerabilidades de día cero (no intencionadas) de los sistemas operativos de los dispositivos o de las aplicaciones ya instaladas, por ejemplo WhatsApp.
En 2019 WhatsApp comunicó que las herramientas de NSO fueron utilizadas para instalar programas malignos en más de 1.400 teléfonos. ¿Cómo? Pues simplemente con una llamada mediante WhatsApp.
14 de julio 2020, 10:51 GMT
No hace falta que el que tiene el teléfono responda. Una simple llamada y Pegasus ya está dentro, recopilando la información.
Según los datos del Proyecto Pegasus, el programa espía de NSO también puede infectar los teléfonos de los modelos iPhone 11 y iPhone 12 mediante esos 'ataques cero cliqueo' a través de iMessage.
El concepto de 'ataque cero cliqueo' parece muy alarmante. Significa que el programa espía puede instalarse en un teléfono sin hacer absolutamente nada.
"Es una pregunta que me hacen bastante a menudo cada vez que hacemos un análisis forense digital con alguien: ¿Qué es lo que puedo hacer para que esto no vuelva a pasar conmigo? (...) La respuesta realmente honesta es nada", comentó Claudio Guarnieri, jefe del Laboratorio de Seguridad de Amnistía Internacional, citado por The Guardian, uno de los medios del Proyecto Pegasus.
Por último, resulta muy difícil detectar la presencia del programa en un dispositivo. Las recientes versiones de Pegasus solo ocupan memoria temporal, lo que significa que "después de que el teléfono esté apagado virtualmente todos los rastros del software desaparecerán", señala The Guardian.
De hecho, en sus investigaciones el Proyecto Pegasus afirma con certeza que un dispositivo fue contaminado con el programa espía solo si tiene acceso a ello y es capaz de confirmarlo. En otras ocasiones, solo se puede decir que hubo un intento de ataque con Pegasus.
Víctimas
Así, en las primeras publicaciones del consorcio aparece el nombre del periodista mexicano Cecilio Pineda Birto, asesinado a tiros en marzo de 2017 en Ciudad de Altamirano cerca de un lavadero de autos.
El Proyecto Pegasus apunta que varias semanas antes de la muerte del reportero su número de teléfono fue seleccionado por un cliente de NSO en México. Pero ya que su teléfono no fue encontrado, resulta imposible confirmar si el periodista fue víctima de espionaje con Pegasus.
Lo mismo con el columinsta saudí Jamal Khashoggi, asesinado y descuartizado en el consulado de Arabia Saudí en Estambul en octubre de 2018. Según el periódico The Washington Post —otro miembro del Proyecto Pegasus— su teléfono se encuentra en las manos de las autoridades turcas y estas se negaron a entregarlo al consorcio periodístico, alegando que la investigación sobre el asesinato sigue en curso.
Pero sí que se logró confirmar que el iPhone de la prometida de Khashoggi, Hatice Cengiz, fue contaminado con el programa espía varios días después de la muerte del periodista.
El número del dispositivo Android de su esposa, Hanan Elatr, aparece en la lista de los números de teléfonos posiblemente seleccionados por clientes de NSO Group, pero los analistas de Amnistía Internacional no pueden confirmar si el ataque fue exitoso, ya que a diferencia de los iPhones, los Androids no guardan los datos necesarios para la investigación de la ONG.
Amnistía Internacional resume que el Proyecto Pegasus ha identificado al menos a 180 periodistas de 20 países que fueron seleccionados como posibles víctimas de ataques con el software espía de NSO entre 2016 y junio de 2021, incluidos reporteros de Azerbaiyán, Hungría, la India y Marruecos.
En la lista de los posibles objetivos de clientes de NSO están también al menos 85 defensores de derechos humanos y más de 600 políticos, incluidos al menos 14 jefes de Estado, como Andrés Manuel López Obrador (México), Emmanuel Macron (Francia), Imran Khan (Pakistán) y Cyril Ramaphosa (Sudáfrica).
¿Quién va a rendir cuentas?
La propia NSO Group niega todas las acusaciones y tacha de calumnias los informes sobre el uso de sus productos. La empresa asegura que su misión es prevenir atentados, combatir la pedofilia y el narcotráfico, así como contribuir a la búsqueda de desaparecidos y la defensa del espacio aéreo.
La compañía ya anunció que considera presentar una demanda por difamación contra los involucrados en el Proyecto Pegasus. De hecho, ahora cuando está bajo la lupa de todo el mundo, debería hacerlo si de verdad espera recuperar su reputación.
21 de julio 2021, 11:26 GMT
Tampoco está claro el papel que el Gobierno de Israel desempeña en el escándalo. La legislación del país judío regula la venta de las tecnologías informáticas al exterior, y el 20 de julio el ministro de Defensa Benny Gantz aseguró que las autoridades aprueban tales exportaciones solo a los gobiernos que deben cumplir con ciertas condiciones de uso legal.
El miércoles 21 se informó que las autoridades israelíes crearon un grupo de trabajo para atender las preocupaciones que ha suscitado Pegasus en el mundo.
Mientras tanto, The Guardian no descarta que los servicios de inteligencia israelíes podían aprovechar la cooperación con NSO.
"Una persona cercana a la empresa, que pidió mantener su anonimato, dijo que es un tema frecuente de especulación. Preguntada, si Israel podía tener acceso a la inteligencia recopilada por los clientes de NSO, respondió: 'Es lo que piensan los estadounidenses'", escribe el diario.
Al mismo tiempo algunos ya expresaron la necesidad de regular el comercio de tecnologías como aquellas que vende NSO.
Los informes del Proyecto Pegasus "confirman la urgente necesidad de regular mejor la venta, transferencia y uso de tecnología de vigilancia y garantizar una supervisión y autorización estrictas. Sin marcos regulatorios que cumplan con los derechos humanos, simplemente hay demasiados riesgos de que se abuse de estas herramientas para intimidar a los críticos y silenciar la disidencia", dijo la Alta Comisionada de las Naciones Unidas para los Derechos Humanos, Michelle Bachelet.
La canciller alemana, Angela Merkel, abogó por endurecer el control sobre la venta de programas sensibles como Pegasus, para que no caigan en las manos de países "donde el monitoreo de tales operaciones no está garantizado por los tribunales".
La misma existencia de programas como Pegasus y el hecho de que aparentemente son accesibles a todos los que tienen suficiente dinero y poder, literalmente burla conceptos como 'privacidad en el ciberespacio' o 'confidencialidad informática', ambos proclamados valores vitales de nuestra época.
Tomando en consideración las capacidades de ese software y las posibles consecuencias de su uso, puede ser que lo que necesitamos es un marco jurídico similar al Tratado de No Proliferación Nuclear: determinar qué países pueden tener esa arma informática y prohibir el acceso a ella para los demás.
Solo hace falta decidir quién estará dispuesto a renunciar a ese tipo de poder.