Al tiempo que algunos
de los mandatarios presuntamente espiados por el programa israelí Pegasus, como
el presidente francés Emmanuel Macron, piden a sus servicios de seguridad que
les cambien los
teléfonos móviles y los
números que han usado hasta ahora, el
gobierno de Marruecos, acusado de utilizar el programa espía, presentó
este jueves 22 de julio de 2021 una demanda por difamación ante el tribunal correccional
de París contra la organización de defensa de los derechos humanos Amnistía
Internacional (AI) y el consorcio de periodistas independientes de 17 países que
componen la célula de denuncia Forbbiden Stories, según la información
difundida por France Télévisions.
En el transcurso de
un Consejo de Defensa excepcional dedicado al “caso Pegasus”, Macron pidió un “refuerzo
de todos los protocolos de seguridad” de los medios de comunicación, y anunció
qle él mismo “ha cambiado de teléfono y de número”. Anteriormente, las
informaciones del “Proyecto Pegasus” revelaron que que uno de los números del presidente
francés figuraba “en la lista de números seleccionados por un servicio de
seguridad del estado marroquí, usuario del programa espía Pegasus, para un
potencial pirateo”.
Un portavoz del
Eliseo aseguró que “el presidente se ha tomado este caso muy en serio” y que de
confirmarse los hechos, serían “evidentemente muy graves”. Saliendo al paso de
las posible acusaciones de negligencia, el portavoz del gobierno francés,
Gabriel Attal, ha declarado que “los teléfonos del Presidente se cambian
frecuentemente, lo mismo que algunos parámetros de seguridad que los protegen”.
Además, Attal anunció que la Agencia Nacional de Seguridad de los Sistemas de
Información (ANSSI) ofrece ayuda técnica
a las personas que pudieran haberse visto afectadas por el espionaje de Pegasus,
unos 50.000 números de teléfono de todo el mundo seleccionados desde 2016 por
los clientes de la empresa israelí NSO, que comercializa el programa, y entre
los que también se encontraban el del ex Primer ministro Edouard Philippe y otros 14 miembros del
gobierno francés.
Por su parte, Olivier
Baratelli, abogado que actúa en nombre del gobierno de Rabat, califica de “mentirosas
las alegaciones de las dos organizaciones (AI y Forbidden Stories)” y lamenta
que se haya abierto un “proceso de intención mediática, infundado y
visiblemente creado desde cero para desestabilizar la profunda relación diplomática
que existe entre Marruecos y Francia”.
Cuando han pasado ya cinco
días desde que el domingo, 18 de julio de 2021, los periodistas independientes
de 17 países, que forman el consorcio Forbidden Stories, y el Security Lab de
Amnistía Internacional (AI), revelaran que los servicios de inteligencia de
distintos países utilizan el programa espía Pegasus, del grupo israelí NSO,
para hacerse con no menos de 50.000 números de teléfono desde los que espiar
entre otros a políticos, periodistas y defensores de los derechos humanos, la
secretaria general de AI, Agnés Callamard, vuelve sobre el asunto declarando que el programa
Pegasus “Es un arma que utilizan los gobiernos represivos que intentan
silenciar a los periodistas, perseguir a los activistas y aplastar a la
oposición, poniendo en peligro innumerables vidas”.
De hecho, las revelaciones acerca de las personas
espiadas en distintos países desmienten todas las declaraciones de NSO Group
–la última del 30 de junio de este 2021-
asegurando que actúan con transparencia y respetando los derechos
humanos. Las investigaciones de AI y Forbidden Stories, prueban que la empresa
israelí no ha cortado nunca su colaboración secreta con clientes que se sirven
del programa espía Pegasus para perseguir a militante y periodistas. « El
negocio de la vigilancia digital está en pleno auge”, según las últimas
manifestaciones de los responsables de AI, y “el estado hebreo es uno de los
principales exportadores de vigilancia en el mundo”.
Fundado en 2010, NSO Group es hoy uno de los grandes
protagonistas de la opaca industria de la vigilancia y, según Citizen Lab (https://citizenlab.ca/, un centro de
investigación multidisciplinar de la Universidad de Toronto), está en el origen
de ataques cibernéticos en al menos 45 países. NSO se defiende diciendo
que sus programas punteros están
destinados “a ayudar a los estados en su lucha contra el terrorismo y la
cibercriminalidad” aunque según AI “entre sus actividades comerciales no
controladas proporciona a muchos países herramientas de vigilancia política
potencialmente ilegales (…) Al negar su responsabilidad en el respeto de los
derechos humanos en el uso de sus
programas, NSO es cómplice de muchas violaciones y contribuye a poner en
grave peligro a los defensores de esos derechos”, como abogados, periodistas o
políticos.
El programa espía
(Spyware) Pegasus, « extremadamente
potente, puede captar todo, vigilar todo”, se infiltra en los teléfonos móviles
Smartphone y hacerse con todo su contenido : mensajes, fotos, vídeos, contactos…
puede incluso acceder a la cámara fotográfica, seguir lo que se marca en el
teclado, y escuchar y grabar las conversaciones. Y lo malo –dice AI en su
informe- es que la sociedad Israelí vende su programa “a países como Arabia
Saudí, México o Marruecos, que lo utilizan para espiar a los opositores o a
simples periodistas”.
El relato de AI recoge
algunos de los casos recientes en los que “Pegasus podría estar potencialmente
implicado”, como el del asesinato del periodista saudí Jamal Khashoggi, que
tuvo lugar el 2 de octubre de 2018 en el interior del consulado de Arabia Saudí
en Estambul: “Jamal Khashoggi, refugiado en Estados Unidos desde 2017 disidente
bien conocido del régimen saudí, estaba en contacto frecuente con dos
defensores de los derechos humanos también exiliados, Omar Abdulaziz, residente
en Canadá, y Yahya Assiri, que vive en Inglaterra, con los que intercambiaba
mensajes en WharsApp. Pegasus infectó los teléfonos de Absulaziz y Assiri en
mayo de 2018 y las autoridades saudíes pudieron acceder a todos sus
movimientos. Imar Abdulaziz ha presentado una denuncia contra NSO Group
acusándole de ayudar a las autoridades saudíes a seguir la pista de Jamal
Khashoggi”.
Otro de los casos revelados
por AI es el del marroquí Maati Monjib, profesor universitario y militante por la libertad de expresión,
detenido en 2020 y en libertad condicional desde marzo de 2021. Las autoridades
marroquíes utilizaron las informaciones recogidas por Pegasus para vigilarle y
acosarle: “Sabían todo – manifestó Monjib a AI al salir de la cárcel de El
Arjate- Son prácticas criminales. No solo porque están prohibidas por la ley
sino porque tienen efectos devastadores sobre el estado psicológico de la víctima”.
En otro informe, AI reveló
que NSO Group había favorecido “una campaña llevada a cabo por Marruecos contra
el periodista Omar Radi, en la que también aparecía el programa Pegasus”. Y,
según investigación del Citizen Lab canadiense, en México –país en el que se ha
registrado el mayor número de casos documentados de utilización de Pegasus- al
menos 24 personas fueron ilegalmente espiadas, entre ellas la periodista de
investigación Carmen Arístegui, en cuyo teléfono intentaron instalar el programa Pegasus mediante un SMS con un enlace.
Finalmente, AI da cuenta de
que, en agosto de 2018, cuando la organización estaba inmersa en una campaña
por la liberación de varios militantes saudíes detenidos, uno de sus miembros
recibió un mensaje con un enlace sospechoso referente a una supuesta
manifestación ante la embajada de Arabia Saudí que, de haberlo abierto, habría
instalado secretamente Pegasus en su teléfono.
Como funciona Pegasus
Según el artículo
publicado en el digital The Conversation por Thierry Berthier, profesor de matemáticas,
ciberseguridad y ciberdefensa en la Universidad de Limoges, el programa Pegasus
va cambiando con los años y se adapta a las actualizaciones de los niveles de
seguridad de los teléfonos. En las
primeras versiones, el atacante enviaba un mensaje con un enlace y cuando el
usuario intentaba abrirlo se instalaba Pegasus en su teléfono. Esa técnica
podía funcionar con personas sin nociones de ciberseguridad pero con gente
“informada” no tenía ninguna eficacia. Por eso, NSO ha desarrollado las nuevas
versiones que instalan el programa sin necesidad de hacer ningún click: es lo
que se conoce en el argot como “ataque cero click”.
El método más eficaz para instalar un programa sin
que el propietario del teléfono lo advierta es el utilizado frecuentemente en
las películas de espionaje: aprovechar un descuido del usuario. Pero,
naturalmente, existe un método más sutil y más tecnológico; aprovechar un fallo
en la seguridad del aparato para hacerse con el control durante un tiempo e
instalar el spyware a distancia. En el caso de los clientes de NSO,
generalmente estados, no necesitan buscar los fallos, solo necesitan el número
del teléfono de la persona que quieren vigilar y Pegasus se ocupa de piratearlo
y hacerse con los datos. Por cada número contratado, el cliente “paga a NSO una
licencia de varias decenas de miles de euros”.
Un ejemplo concreto es el del periodista de
investigación del canal Al Jazeera Tamer Almisshal quien, a finales de 2020,
sospechó que habían pirateado su teléfono. Para comprobarlo, los especialistas
de Citizen Lab registraron todos los metadatos para seguir sus conexiones y
encontraron algunas muy sospechosas: el teléfono de Tamer Almisshal había
visitado varias veces una página, conocida porque desde ella se instala Pegasus
lo que hizo que, a través de un fallo en el sistema de mensajería del iPhone,
los piratas pudieran llevar a cabo un ataque “cero click”. El fallo del iPhone lo
corrigió Apple posteriormente.
En general, un vez que Pegasus se instala tiene que reenviar
los datos a la persona, física o moral, que ha encargado la vigilancia. Si la
víctima está cerca lo hará mediante técnicas de radiofrecuencia: el teléfono
emitirá información, por ejemplo vía wifi, que se capta a través de una antena.
También se puede controlar un teléfono,
o instalarle un programa espía, utilizando los fallos de seguridad de las
tarjetas SIM, como la SIMjacker, que permite controlar un smartphone y hacerse
con sus datos mediante un simple SMS. Y también se pueden utilizar los enlaces
clásicos 3G y 4G.
Pegasus es “muy
eficiente” en lo que se refiere a “la recogida de datos”, actúa sin ser
detectado y envía los datos “cifrados”,
de forma que no se puede saber quien los ha enviado; además, mezcla sus envíos
con los del propio usuario y, una vez cumplida su misión puede “autodestruirse
y no dejar ningún rastro” según NSO. Aunque AI desmiente este particular
asegurando que en varios teléfonos analizados ha encontrado rastros del programa, en “los
diarios que registran una parte de la actividad del sistema”.
Denuncia
de las organizaciones profesionales
Una vez conocidos los hechos denunciados por AI y
Forbidden Stories, la Federación Internacional de Periodistas (FIP) ha emitido
un comunicado en el que “rechaza frontalmente todos los intentos de interferir
en las comunicaciones privadas de los/as periodistas, invita a los/as
periodistas a extremar la vigilancia para proteger sus datos y pide a los
gobiernos que consagren en su legislación nacional la inviolabilidad de las
comunicaciones de los/as periodistas”.
La lista de los/as 180 periodistas espiados/as “incluye a reporteros/as de
medios de comunicación internacionales, así como a periodistas autónomos que
han sido blanco de regímenes que querían saber cuáles era sus fuentes de
información, socavar su trabajo y, en algunos casos, detener e impedir la
publicación de sus reportajes”.
Para Tim Dawson,
presidente del grupo de expertos de la FIP en materia de vigilancia, "el software Pegasus se está utilizando como
un algoritmo para socavar la democracia. Los contactos confidenciales son base
fundamental del mejor periodismo, el que denuncia el despilfarro, la
incompetencia y la corrupción. La privacidad de las comunicaciones de los/as
periodistas, ya sea por correo electrónico, mensajería móvil o teléfono, debe
ser sagrada. Permitir que los/as tiranos/as, los/as déspotas y los/as
enemigos/as de la libertad tengan acceso a herramientas como Pegasus es el
equivalente en el siglo XXI a destrozar imprentas y asaltar cadenas de
televisión".