- La Vieja Guardia

Pegasus, el programa que espía a los periodistas y activistas mexicanos

Fecha: 20 jun 2017

A través de un mensaje de texto con gancho y un link, se puede acceder a toda la información de un teléfono móvil: desde su ubicación, contactos, grabación de llamadas, cámara, mensajes, correos. En menos de un segundo, si cae en la trampa y decide abrir el enlace, ya no hay vuelta atrás. Pegasus, un sofisticado software diseñado para el ciberespionaje, se infiltra en su celular y quien organizó el ataque puede controlar todos sus movimientos. Este tipo de tecnología se escuda en la lucha de los Gobiernos por la seguridad nacional, por el combate al terrorismo o al narcotráfico. Pero la verdadera finalidad se ha puesto en duda: este lunes un grupo de periodistas y activistas mexicanos ha acusado al Gobierno de su país haber sido víctimas de espionaje. Los especialistas en ciberseguridad explican en qué consiste este programa y cómo se puede detectar.

¿Qué es Pegasus?

Se trata de uno de los programas de ciberespionaje más sofisticados que existen en el mercado. Es un software que se inserta en el teléfono a través de una falla que el fabricante todavía no ha detectado y llega a controlar el corazón de su sistema.

A partir de ahí, quien lo ha colocado puede acceder a toda la información del teléfono y vigilar cada dato y movimiento. Una vez que entra Pegasus ya no hay aplicaciones seguras. “El atacante tiene acceso a todo, no importa si usas Whatsapp o Telegram, por ejemplo”, explica el experto en ciberseguridad, Jaime Blasco, de la empresa Alienvault.

¿Cómo funciona?

Según explican los analistas, puede haber diferentes versiones, incluso algunas diseñadas específicamente para el país o el objetivo. En el caso de los ataques ocurridos en México contra periodistas y activistas todo se hacía a través de mensajes de texto que le llegaban al teléfono móvil de la víctima.

Así, según un informe que ha presentado la organización mexicana Red en defensa de los derechos digitales (R3D), el mensaje que recibieron periodistas como Carmen Aristegui o Carlos Loret de Mola, incluía un texto que buscaba que hicieran clic en un enlace infeccioso, haciéndose pasar por una noticia, un aviso o el mensaje de un familiar o amigo. Al entrar en el enlace, el teléfono recibe inadvertidamente un software malicioso que permite al atacante, entre otras cosas, tener acceso a todos los archivos guardados en el dispositivo, así como controlar la cámara y el micrófono del celular.

“Hay otra versión que existe de este software en el que la víctima no tiene que hacer nada, el atacante puede instalar el malware solo con elegir el dispositivo, esa versión es bastante más cara y te permite tomar el control de cualquier teléfono. Aunque para eso se necesita tener el control del operador móvil”, explica Blasco.

¿Cómo adquirirlo?

La empresa que fabrica el software, NSO Group, una compañía israelí afirma que vende la herramienta de forma exclusiva a los gobiernos con la condición de que solo sea utilizada para combatir a terroristas o grupos criminales y carteles de drogas, según informa The New York Times. Aunque, Rafael Bucio, experto en ciberseguridad en la firma TPX, explica que hay numerosas agencias que actúan como proveedores y revenden esta herramienta, como Hacking Team, y otras que operan en la sombra. Cada una de las instalaciones exitosas del programa cuesta unos 77.000 dólares según documentó el diario estadounidense.

Blasco explica además que hay ferias especializadas a las que acuden empresas que venden esta tecnología de una manera personal a sus clientes.También, según cuenta el analista, es común que entre las agencias de inteligencia de los países se pasen información sobre nuevos programas.

¿Qué es NSO Group?

Es una de las empresas dedicadas al diseño de programas de ciberespionaje más reconocidas del mundo. Aunque hasta hace poco no se sabía casi nada de ella, un último escándalo similar al de México pero con Emiratos Árabes, hizo que su nombre apareciera ligado más a la represión política que a la seguridad de los países.

“Es un grupo que se dedica a crear programas con la capacidad de superar cualquier tipo de fallas. Nació en 2013 porque tenía a un equipo investigando cualquier error del Iphone, que nadie conocía hasta ese momento”, explica Salvador Mendoza, un experto y hacker mexicano reconocido por sus demostraciones en conferencias mostrando vulnerabilidades en móviles

“Cualquier fabricante intenta mejorar la seguridad de los dispositivos, pero en NSO van siempre un paso adelante”, apunta Blasco y señala que la empresa apuesta cientos de millones de dólares en comprar precisamente esas fallas, que llaman “vulnerabilidades”, para diseñar sus programas que las sorteen. “Pero en cualquier momento el fabricante puede descubrir el error y parchearlo [arreglarlo], entonces imagínate el dinero que se pierde”, añade el experto.

¿Cuándo llegó Pegasus a México?

Según unas filtraciones del propio revendedor Hacking Team sobre posibles compras, la fecha se remonta a 2014 y afecta a la Procuraduría General de la República, entre otras instancias, según publica el organismo R3D en su informe. Aunque hay algunas informaciones publicadas en la prensa mexicana que señalan al Ejército como comprador de esta tecnología desde 2012.

¿Cómo saber si te han hackeado el teléfono?

No es fácil saber si Pegasus ha entrado en tu teléfono. Aunque el hacker Mendoza da algunas pistas: “Si se te caen frecuentemente las llamadas o al abrir una aplicación se cierre o dé algún problema, es probable que te hayan hackeado el teléfono. Esto se produce porque se está llevando a cabo un enganche y toma toda la información posible de cada cosa que abres”.

Es prácticamente imposible llegar a quien organizó el ataque. “Estoy seguro de que hay otras agencias de inteligencia pueden trackear estas operaciones. Pero es muy complicado. Además, si estás tratando con alguien en el Gobierno, pueden borrar esos datos”, resume Blasco.

Claves para entender el caso del espionaje a periodistas con el software Pegasus

El programa diseñado para espiar terroristas y amenazas a la seguridad nacional se utiliza en México, para intervenir comunicaciones privadas de periodistas, activistas y defensores de Derechos Humanos.

La Red en Defensa de los Derechos Digitales (R3D) en colaboración con Citizen Lab de la Universidad de Toronto en Canadá documentó que no se trata de casos aislados y que el programa utilizado para el espionaje es de venta exclusiva para los gobiernos. Los resultados se encuentran el informe denominado “El Gobierno Espía”.

El investigador de Citizen Lab, John Scott Railton, advirtió que es “un hecho de espionaje sin precedentes en el mundo”.

México es el principal cliente

El diseño y comercialización del programa “Pegasus” es responsabilidad de la empresa israelí NSO Group Technologies, dedicada a la fabricación de tecnología de intrusión de comunicaciones.

La empresa exclusivamente vende este tipo de tecnologías a los gobiernos de los países con la intención de que sean usados para combate al terrorismo y amenazas a la seguridad nacional. En ninguno de los casos denunciados por activistas y periodistas en México, se cumple este criterio.

La investigación del Citizen Lab, iniciada originalmente por el caso de un activista árabe en los Emiratos Árabe Unidos, reveló que México es el principal comprador de este malware espía, representa casi el 45 % de todas las ventas globales. En segundo sitio se encuentran los Emiratos Árabes y luego países como Uzbekistán, Mozambique y Kenya.

El informe documenta a través de solicitudes de información que la Procuraduría General de la República (PGR) y la Secretaría de la Defensa Nacional han contratado servicios como los del fabricante israelí NSO Group.

Desde 2015, se sabía que el gobierno mexicano poseía estos sofwares, cuando se liberaron cientos de correos electrónicos de la compañía italiana de espionaje Hacking Team y sus directivos admitieron que varias dependencias del gobierno mexicano habían comprado programas de espionaje.

Tipo de mensajes e ingeniería social

La investigación técnica documentó y analizó en total 76 mensajes SMS, dirigidos a las personas que fueron blanco del intento de intrusión. El objetivo era engañar a las víctimas para que dieran click al enlace enviado y así infectar el equipo con el programa espía.

Todos fueron enviados desde más de una decena de dominios ligados a servidores de NSO Group.

Los mensajes fueron de dos grupos: los SMS que era idénticos o similares, que recibieron las víctimas. Entre ellos están, por ejemplo, supuestos adeudos bancarios o con compañías telefónicas, advertencias de supuestos sujetos armados en torno al domicilio o amenazas de fotos con contenido sexual.

El otro tipo de mensajes muestran una ingeniería social previa, para conocer el entorno de la persona y utilizar esos elementos con un objetivo.

Así es como los integrantes del Instituto Mexicano de la Competitividad (IMCO) recibieron SMS sobre la supuesta corrupción de uno de sus directivos, también los periodistas de Aristegui Noticias recibieron mensajes sobre el supuesto encarcelamiento de autores del reportaje La Casa Blanca de EPN, que ellos mismos elaboraron.

¿A quiénes atacaron y por qué?

Los perfiles de 16 activistas, que integran cinco organizaciones, y la coincidencia entre los intentos de intrusión ocurridos entre 2015 y 2016 muestran que los ataques no son casos aislados sino que se trata de un modus operandi, encaminado a atacar a periodistas y activistas.

Centro Agustín Pro. Durante el periodo de ataques, los directivos del centro estaban activamente involucradas en la documentación y defensa de casos graves de violaciones a derechos humanos como la desaparición de los normalistas de Ayotzinapa o la presunta ejecución extrajudicial cometida por el Ejército en Tlataya.

Aristegui Noticias. Carmen Aristegui y su hijo, así como Rafael Cabrera y Sebastián Barragán, recibieron intentos de intrusión vía SMS a partir de abril de 2015 y hasta mediados de 2016. Meses después de la publicación del reportaje de La Casa Blanca y durante la difusión de otros artículos de posible corrupción.

Carlos Loret de Mola. Fue blanco de al menos ocho intentos de intrusión, desde agosto de 2015, mes en que el periodista publicó la primera columna de varias relacionadas con la presunta ejecución extrajudicial de Tanhuato.

Mexicanos contra la Corrupción y la Impunidad. El 25 de mayo de 2016, Salvador Camarena, director del área de investigación periodística de esta organización, recibió un intento de intrusión. Fue un día después de que esa organización en colaboración con Animal Político revelaron el reportaje Las Empresas Fantasma de Veracruz que terminó con la renuncia y posterior detención del exgobernador Javier Duarte.

IMCO. Juan Pardinas y Alexandra Zapata del Instituto Mexicano de la Competitividad fueron víctimas de intentos de intrusión, en el periodo en que impulsaron varias investigaciones sobre presuntos hechos de corrupción, y la promoción de la Ley 3 de 3, para que funcionarios declaren los bienes que poseen públicamente.

¿Qué sigue?

El gobierno federal difundió ayer a las 6 de la tarde un comunicado de tres párrafos dirigido al editor del New York Times, donde de manera oficial menciona que “no hay prueba alguna” de que agencias del gobierno de México sean responsables del espionaje y pidieron que las personas espiadas denuncien la supuesta intrusión.

Unas horas antes de la respuesta gubernamental, las organizaciones responsables del estudio y los periodistas y activistas espiados presentaron una denuncia de hechos por la posible intervención ilegal de comunicaciones ante la PGR, aunque expresaron sus dudas de los resultados de las investigaciones toda vez que el gobierno tendría ser juez y parte en este caso.

Fuente: El País / Animal Político.