El 2 de marzo de 2017, el periodista mexicano Cecilio Pineda sacó su teléfono móvil y en una transmisión en directo por Facebook habló de la presunta connivencia entre la policía estatal y local y el líder de un cártel de la droga. Dos horas más tarde, estaba muerto: le dispararon al menos seis veces dos hombres en una motocicleta, informó la Agencia Anadolu.
Unas semanas más tarde, Forbidden Stories -una red mundial de periodistas dedicados a la investigación- confirmó que no sólo Pineda, sino también el fiscal del Estado que investigaba el caso, Xavier Olea Peláez, fueron objeto del programa espía israelí Pegasus en las semanas y meses anteriores a su asesinato.
El teléfono de Pineda tampoco se encontró nunca, ya que había desaparecido de la escena del crimen cuando llegaron las autoridades.
Dos semanas después de que el columnista del Washington Post Jamal Khashoggi fuera asesinado en el consulado saudí en Estambul, Turquía, en octubre de 2018, la organización de derechos digitales Citizen Lab informó de que un amigo cercano de Khashoggi, Omar Abdulaziz, había sido atacado con el software Pegasus desarrollado por NSO Group Technologies -una empresa tecnológica israelí-.
Las nuevas revelaciones de Forbidden Stories y sus socios han descubierto que el software espía Pegasus se instaló con éxito en el teléfono móvil de la prometida de Khashoggi, Hatice Cengiz, sólo cuatro días después de su asesinato. El teléfono del hijo de Khashoggi, Abdullah, fue seleccionado como objetivo de un cliente de NSO en base al análisis de los datos filtrados por el consorcio.
En total, se afirma que los teléfonos de 180 periodistas de todo el mundo han sido seleccionados como objetivos por clientes de NSO Group Technologies. Su programa espía Pegasus permite la vigilancia a distancia de los teléfonos inteligentes.
Forbidden Stories, que llevó a cabo investigaciones junto con el Laboratorio de Seguridad de Amnistía Internacional, descubrió que los teléfonos de muchos políticos, activistas de la sociedad civil e incluso jueces estaban siendo vigilados en muchos países, infringiendo las leyes de privacidad.
Según Forbidden Stories, tuvieron acceso a una filtración de más de 50.000 registros de números de teléfono pertenecientes a periodistas, políticos, funcionarios, activistas e incluso jueces que los clientes de NSO habían seleccionado para su vigilancia.
Análisis forenses
Los análisis forenses de sus teléfonos -realizados por el Laboratorio de Seguridad de Amnistía Internacional y revisados por la organización canadiense Citizen Lab- pudieron confirmar la infección o el intento de infección con el programa espía de NSO Group en el 85% de los casos.
"Las cifras demuestran claramente que los abusos son generalizados y que ponen en peligro la vida de los periodistas, sus familias y sus colaboradores, socavando la libertad de prensa y cerrando los medios de comunicación críticos", ha declarado Agnes Callamard, secretaria general de Amnistía Internacional.
NSO Group, en una respuesta escrita a Forbidden Stories, dijo que la información del consorcio se basaba en "suposiciones erróneas" y "teorías no corroboradas" y reiteró que la empresa estaba en una "misión para salvar vidas".
"La supuesta cantidad de datos filtrados de más de 50.000 números de teléfono no puede ser una lista de números dirigidos por los gobiernos que utilizan Pegasus", añadió.
NSO Group sostiene que su tecnología es utilizada exclusivamente por las agencias de inteligencia para rastrear a delincuentes y terroristas. Según el informe de transparencia y responsabilidad de NSO Group, publicado en junio de este año, la empresa tiene 60 clientes en 40 países de todo el mundo.
Pegasus "no es una tecnología de vigilancia masiva y sólo recoge datos de los dispositivos móviles de individuos específicos sospechosos de estar involucrados en delitos graves y en el terrorismo", escribió NSO Group en el informe.
En la India, el teléfono de Paranjoy Guha Thakurta, periodista de investigación y autor de varios libros, fue hackeado en 2018.
Citando a Thakurta, Forbidden Stories dijo que fue atacado cuando estaba trabajando en una investigación sobre las finanzas del famoso grupo empresarial Ambani.
"El propósito de entrar en mi teléfono y mirar quiénes son las personas con las que estoy hablando sería para averiguar quiénes son los individuos que han estado proporcionando información a mí y a mis colegas", dijo.
Thakurta es uno de los al menos 40 periodistas indios seleccionados como objetivos de un cliente de la NSO en India, basándose en el análisis de los datos filtrados por el consorcio.
Los teléfonos de dos de los tres cofundadores del medio de comunicación online independiente The Wire -Siddharth Varadarajan y MK Venu- fueron infectados por Pegasus, y el teléfono de Venu fue hackeado en julio.
Periodistas de alto nivel en el punto de mira
Varios otros periodistas que trabajan o han colaborado con el medio de comunicación independiente The Wire -entre ellos el columnista Prem Shankar Jha, la reportera de investigación Rohini Singh, la editora diplomática Devirupa Mitra y la colaboradora Swati Chaturvedi- fueron seleccionados como objetivos, según los registros a los que accedieron Forbidden Stories y sus socios.
"Fue alarmante ver tantos nombres de personas vinculadas a The Wire, pero luego hay muchas personas no vinculadas a The Wire", dijo Varadarajan, cuyo teléfono fue comprometido en 2018.
Dirigiéndose al parlamento el lunes, el ministro de Tecnología de la Información, Ashwini Vaishnaw, dijo que no hay "ninguna sustancia detrás de esta afirmación sensacionalista" y que "con los controles y equilibrios establecidos, la vigilancia ilegal [no] es posible."
"Anoche se publicó una noticia muy sensacionalista en un portal web. En torno a esta noticia se hicieron muchas acusaciones exageradas. Los informes de prensa aparecieron un día antes de [la] sesión de monzón del parlamento. Esto no puede ser una coincidencia", dijo.
Describió estas revelaciones como un intento de difamar la democracia india.
El Comité para la Protección de los Periodistas (CPJ) había documentado anteriormente 38 casos de programas espía -desarrollados por empresas de software de cuatro países- utilizados contra periodistas en nueve países desde 2011.
¿Cómo funciona Pegasus?
Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation (EFF), fue una de las primeras investigadoras de seguridad en identificar y documentar los ciberataques contra periodistas y defensores de los derechos humanos en México, Vietnam y otros lugares a principios de la década de 2010.
"En 2011, uno recibía un correo electrónico, y el correo electrónico iba a su computadora, y el malware estaba diseñado para instalarse en su computadora", dijo.
Pero la instalación del software espía Pegasus en los smartphones se ha vuelto más sutil. En lugar de que el objetivo tenga que hacer clic en un enlace para instalar el programa espía, los llamados exploits "zero-click" permiten al cliente tomar el control del teléfono sin que el objetivo se comprometa.
Una vez instalado con éxito en el teléfono, el software espía Pegasus da a los clientes de NSO acceso completo al dispositivo y, por lo tanto, la capacidad de eludir incluso las aplicaciones de mensajería cifrada como Signal, WhatsApp y Telegram. Pegasus puede activarse a voluntad hasta que se apague el dispositivo. En cuanto se vuelve a encender, el teléfono puede volver a infectarse.
Según Galperin, los operadores de Pegasus pueden grabar audio y vídeo de forma remota, extraer datos de las apps de mensajería, utilizar el GPS para el seguimiento de la ubicación y recuperar contraseñas y claves de autenticación, entre otras cosas.
LEER: Grupos de periodistas alemanes exigen medidas contra el software de espionaje israelí
En los últimos años, los gobiernos que espían se han inclinado por una estrategia más de "golpe y fuga" para evitar la detección, dijo, infectando los teléfonos, exfiltrando los datos y saliendo rápidamente del dispositivo.
A lo largo de los años, los gobiernos de todo el mundo han pasado a recopilar información utilizando la tecnología en lugar de los seres humanos. En el pasado, desarrollaron herramientas de software espía de forma interna hasta que empresas privadas de software espía como NSO Group, FinFisher y Hacking Team intervinieron para vender sus productos a los gobiernos, según Galperin.
En junio de 2021, la empresa francesa de software espía Amesys fue acusada de "complicidad en actos de tortura" por vender su software espía a Libia entre 2007 y 2011. Según los demandantes, en ese caso, la información obtenida a través de la vigilancia digital se utilizó para identificar y perseguir a los opositores del depuesto dictador Muammar Gaddafi, que posteriormente fueron torturados en prisión.
Las revelaciones derivadas de esta investigación en colaboración internacional han puesto en tela de juicio las salvaguardias establecidas para evitar el uso indebido de armas cibernéticas como Pegasus y, más concretamente, el compromiso de NSO Group de crear "un mundo mejor y más seguro".
A menos que se indique lo contrario en el artículo, este trabajo de Middle East Monitor/Monitor de Oriente está bajo licencia Atribución-NoComercial-CompartirIgual 4.0 Internacional. Si la(s) imagen(es) lleva(n) nuestro crédito, esta licencia también se aplica a ellos. ¿Qué significa esto? Para otros permisos por favor contáctenos. 
