Al tiempo que algunos de los mandatarios presuntamente espiados por el programa israelí Pegasus, como el presidente francés Emmanuel Macron, piden a sus servicios de seguridad que les cambien los teléfonos móviles y los números que han usado hasta ahora, el gobierno de Marruecos, acusado de utilizar el programa espía, presentó este jueves 22 de julio de 2021 una demanda por difamación ante el tribunal correccional de París contra la organización de defensa de los derechos humanos Amnistía Internacional (AI) y el consorcio de periodistas independientes de diecisiete países que componen la célula de denuncia Forbbiden Stories, según una información difundida por France Télévisions.
En un Consejo de Defensa excepcional dedicado al «caso Pegasus», Macron pidió un «refuerzo de todos los protocolos de seguridad» de los medios de comunicación, y anunció que él mismo «ha cambiado de teléfono y de número». Anteriormente, las informaciones del «Proyecto Pegasus» revelaron que que uno de los números del presidente francés figuraba «en la lista de números seleccionados por un servicio de seguridad del estado marroquí, usuario del programa espía Pegasus, para un potencial pirateo».
Un portavoz del Eliseo aseguró que «el presidente se ha tomado este caso muy en serio» y que de confirmarse los hechos, serían «evidentemente muy graves». Saliendo al paso de las posibles acusaciones de negligencia, el portavoz del gobierno francés, Gabriel Attal, ha declarado que «los teléfonos del Presidente se cambian frecuentemente, lo mismo que algunos parámetros de seguridad que los protegen».
Además, Attal anunció que la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) ofrece ayuda técnica a las personas que pudieran haberse visto afectadas por el espionaje de Pegasus, unos 50.000 números de teléfono de todo el mundo seleccionados desde 2016 por los clientes de la empresa israelí NSO, que comercializa el programa, y entre los que también se encontraban el del ex primer ministro Edouard Philippe y otros catorce miembros del gobierno francés.
Por su parte, Olivier Baratelli, abogado que actúa en nombre del gobierno de Rabat, califica de «mentirosas las alegaciones de las dos organizaciones (AI y Forbidden Stories)» y lamenta que se haya abierto un «proceso de intención mediática, infundado y visiblemente creado desde cero para desestabilizar la profunda relación diplomática que existe entre Marruecos y Francia».
Cuando han pasado ya cinco días desde que el domingo, 18 de julio de 2021, los periodistas independientes de diecisiete países que forman el consorcio Forbidden Stories, y el Security Lab de Amnistía Internacional (AI), revelaran que los servicios de inteligencia de distintos países utilizan el programa espía Pegasus, del grupo israelí NSO, para hacerse con no menos de 50.000 números de teléfono desde los que espiar entre otros a políticos, periodistas y defensores de los derechos humanos, la secretaria general de AI, Agnés Callamard, vuelve sobre el asunto declarando que el programa Pegasus «es un arma que utilizan los gobiernos represivos que intentan silenciar a los periodistas, perseguir a los activistas y aplastar a la oposición, poniendo en peligro innumerables vidas».
De hecho, las revelaciones acerca de las personas espiadas en distintos países desmienten todas las declaraciones de NSO Group –la última del 30 de junio de este 2021- asegurando que actúan con transparencia y respetando los derechos humanos. Las investigaciones de AI y Forbidden Stories prueban que la empresa israelí no ha cortado nunca su colaboración secreta con clientes que se sirven del programa espía Pegasus para perseguir a militante y periodistas. «El negocio de la vigilancia digital está en pleno auge», según las últimas manifestaciones de los responsables de AI, y «el estado hebreo es uno de los principales exportadores de vigilancia en el mundo».
Fundado en 2010, NSO Group es hoy uno de los grandes protagonistas de la opaca industria de la vigilancia y, según Citizen Lab (un centro de investigación multidisciplinar de la Universidad de Toronto), está en el origen de ataques cibernéticos en al menos 45 países.
NSO se defiende diciendo que sus programas punteros están destinados «a ayudar a los estados en su lucha contra el terrorismo y la cibercriminalidad» aunque según AI «entre sus actividades comerciales no controladas proporciona a muchos países herramientas de vigilancia política potencialmente ilegales (…) Al negar su responsabilidad en el respeto de los derechos humanos en el uso de sus programas, NSO es cómplice de muchas violaciones y contribuye a poner en grave peligro a los defensores de esos derechos», como abogados, periodistas o políticos.
El programa espía (Spyware) Pegasus, «extremadamente potente, puede captar todo, vigilar todo», se infiltra en los teléfonos móviles Smartphone y puede hacerse con todo su contenido: mensajes, fotos, vídeos, contactos… puede incluso acceder a la cámara fotográfica, seguir lo que se marca en el teclado, y escuchar y grabar las conversaciones. Y lo malo –dice AI en su informe- es que la sociedad Israelí vende su programa «a países como Arabia Saudí, México o Marruecos, que lo utilizan para espiar a los opositores o a simples periodistas».
El relato de AI recoge algunos de los casos recientes en los que «Pegasus podría estar potencialmente implicado», como el del asesinato del periodista saudí Jamal Khashoggi, que tuvo lugar el 2 de octubre de 2018 en el interior del consulado de Arabia Saudí en Estambul: «Jamal Khashoggi, refugiado en Estados Unidos desde 2017 disidente bien conocido del régimen saudí, estaba en contacto frecuente con dos defensores de los derechos humanos también exiliados, Omar Abdulaziz, residente en Canadá, y Yahya Assiri, quien vive en Inglaterra, con los que intercambiaba mensajes en WharsApp. Pegasus infectó los teléfonos de Absulaziz y Assiri en mayo de 2018 y las autoridades saudíes pudieron acceder a todos sus movimientos. Imar Abdulaziz ha presentado una denuncia contra NSO Group acusándole de ayudar a las autoridades saudíes a seguir la pista de Jamal Khashoggi».
Otro de los casos revelados por AI es el del marroquí Maati Monjib, profesor universitario y militante por la libertad de expresión, detenido en 2020 y en libertad condicional desde marzo de 2021. Las autoridades marroquíes utilizaron las informaciones recogidas por Pegasus para vigilarle y acosarle: «Sabían todo – manifestó Monjib a AI al salir de la cárcel de El Arjate- Son prácticas criminales. No solo porque están prohibidas por la ley sino porque tienen efectos devastadores sobre el estado psicológico de la víctima».
En otro informe, AI reveló que NSO Group había favorecido «una campaña llevada a cabo por Marruecos contra el periodista Omar Radi, en la que también aparecía el programa Pegasus». Y, según investigación del Citizen Lab canadiense, en México –país en el que se ha registrado el mayor número de casos documentados de utilización de Pegasus- al menos veinticuatro personas fueron ilegalmente espiadas, entre ellas la periodista de investigación Carmen Arístegui, en cuyo teléfono intentaron instalar el programa Pegasus mediante un SMS con un enlace.
Finalmente, AI da cuenta de que, en agosto de 2018, cuando la organización estaba inmersa en una campaña por la liberación de varios militantes saudíes detenidos, uno de sus miembros recibió un mensaje con un enlace sospechoso referente a una supuesta manifestación ante la embajada de Arabia Saudí que, de haberlo abierto, habría instalado secretamente Pegasus en su teléfono.
Como funciona Pegasus
Según el artículo publicado en el digital The Conversation por Thierry Berthier, profesor de matemáticas, ciberseguridad y ciberdefensa en la Universidad de Limoges, el programa Pegasus va cambiando con los años y se adapta a las actualizaciones de los niveles de seguridad de los teléfonos. En las primeras versiones, el atacante enviaba un mensaje con un enlace y cuando el usuario intentaba abrirlo se instalaba Pegasus en su teléfono. Esa técnica podía funcionar con personas sin nociones de ciberseguridad pero con gente «informada» no tenía ninguna eficacia. Por eso, NSO ha desarrollado las nuevas versiones que instalan el programa sin necesidad de hacer ningún clic: es lo que se conoce en el argot como «ataque cero clic».
El método más eficaz para instalar un programa sin que el propietario del teléfono lo advierta es el utilizado frecuentemente en las películas de espionaje: aprovechar un descuido del usuario. Pero, naturalmente, existe un método más sutil y más tecnológico; aprovechar un fallo en la seguridad del aparato para hacerse con el control durante un tiempo e instalar el spyware a distancia. En el caso de los clientes de NSO, generalmente estados, no necesitan buscar los fallos, solo necesitan el número del teléfono de la persona que quieren vigilar y Pegasus se ocupa de piratearlo y hacerse con los datos. Por cada número contratado, el cliente «paga a NSO una licencia de varias decenas de miles de euros».
Un ejemplo concreto es el del periodista de investigación del canal Al Jazeera Tamer Almisshal quien, a finales de 2020, sospechó que habían pirateado su teléfono. Para comprobarlo, los especialistas de Citizen Lab registraron todos los metadatos para seguir sus conexiones y encontraron algunas muy sospechosas: el teléfono de Tamer Almisshal había visitado varias veces una página, conocida porque desde ella se instala Pegasus lo que hizo que, a través de un fallo en el sistema de mensajería del iPhone, los piratas pudieran llevar a cabo un ataque «cero click». El fallo del iPhone lo corrigió Apple posteriormente.
En general, un vez que Pegasus se instala tiene que reenviar los datos a la persona, física o moral, que ha encargado la vigilancia. Si la víctima está cerca lo hará mediante técnicas de radiofrecuencia: el teléfono emitirá información, por ejemplo vía wifi, que se capta a través de una antena. También se puede controlar un teléfono, o instalarle un programa espía, utilizando los fallos de seguridad de las tarjetas SIM, como la SIMjacker, que permite controlar un smartphone y hacerse con sus datos mediante un simple SMS. Y también se pueden utilizar los enlaces clásicos que facilita la tecnología 3G y 4G.
Pegasus es «muy eficiente» en lo que se refiere a «la recogida de datos», actúa sin ser detectado y envía los datos «cifrados», de forma que no se puede saber quien los ha enviado; además, mezcla sus envíos con los del propio usuario y, una vez cumplida su misión puede «autodestruirse y no dejar ningún rastro» según NSO. Aunque AI desmiente este particular asegurando que en varios teléfonos analizados ha encontrado rastros del programa, en «los diarios que registran una parte de la actividad del sistema».
Denuncia de las organizaciones profesionales
Una vez conocidos los hechos denunciados por AI y Forbidden Stories, la Federación Internacional de Periodistas (FIP) ha emitido un comunicado en el que «rechaza frontalmente todos los intentos de interferir en las comunicaciones privadas de los periodistas, invita a las periodistas a extremar la vigilancia para proteger sus datos y pide a los gobiernos que consagren en su legislación nacional la inviolabilidad de las comunicaciones de los periodistas».
La lista de los/as 180 periodistas espiados/as «incluye a reporteros/as de medios de comunicación internacionales, así como a periodistas autónomos que han sido blanco de regímenes que querían saber cuáles era sus fuentes de información, socavar su trabajo y, en algunos casos, detener e impedir la publicación de sus reportajes».
Para Tim Dawson, presidente del grupo de expertos de la FIP en materia de vigilancia, «el software Pegasus se está utilizando como un algoritmo para socavar la democracia. Los contactos confidenciales son base fundamental del mejor periodismo, el que denuncia el despilfarro, la incompetencia y la corrupción. La privacidad de las comunicaciones de los/as periodistas, ya sea por correo electrónico, mensajería móvil o teléfono, debe ser sagrada. Permitir que los/as tiranos/as, los/as déspotas y los/as enemigos/as de la libertad tengan acceso a herramientas como Pegasus es el equivalente en el siglo veintiuno a destrozar imprentas y asaltar cadenas de televisión».
[…] julio, una investigación dirigida por ochenta periodistas en todo el mundo y conocida como el Proyecto Pegasus reveló que casi doscientos periodistas de todo el mundo habían sido espiados utilizando el […]