La aplicación móvil WhatsApp -propiedad de Facebook- reveló este martes 29 de octubre, que la empresa israelí NSO Group, desarrolladora del malware Pegasus, aprovechó una vulnerabilidad en su sistema para infectar a más de mil 400 usuarios alrededor del mundo, entre ellos, 100 periodistas y defensores de Derechos Humanos, algunos de México.
En mayo de este mismo año, WhatsApp dijo que identificó y poco después solucionó una vulnerabilidad que permitía a los atacantes inyectar spyware comercial en los teléfonos simplemente tocando el número del dispositivo de un objetivo.
A través de un pronunciamiento publicado en el diario estadounidense The Washington Post, el director ejecutivo de la aplicación móvil, Will Cathcart, detalló que en mayo pasado, WhatsApp anunció que había detectado y bloqueado un nuevo tipo de ciberataque que implicaba una vulnerabilidad en su función de videollamadas.
“Un usuario recibiría lo que parecía ser una llamada de video, pero esta no era una llamada normal. Después de que sonó el teléfono, el atacante transmitió secretamente código malicioso en un esfuerzo por infectar el teléfono de la víctima con spyware. La persona ni siquiera tuvo que contestar la llamada”, indicó Cathcart.
“Pero ahora”, señaló el director ejecutivo de WhatsApp, “después de meses de investigación, podemos decir quién estuvo detrás de este ataque. Hoy, hemos presentado una queja en un tribunal federal que explica lo que sucedió y atribuye la intrusión a una compañía internacional de tecnología llamada NSO Group.”
“¿Cómo podemos decir esto con confianza? A medida que reunimos la información que presentamos en nuestra queja, descubrimos que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados con NSO”, abundó el ex vicepresidente de gestión de productos en Facebook.
Cathcart insistió, en que como señala su queja ante un tribunal federal, han vinculado ciertas cuentas de WhatsApp utilizadas durante los ataques, a NSO Group. “Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, acotó.
“Hubo otro patrón inquietante en el ataque, como explica nuestra demanda. Apuntó al menos a 100 defensores de los derechos humanos , periodistas y otros miembros de la sociedad civil en todo el mundo. Esto debería servir como una llamada de atención para las empresas de tecnología, los gobiernos y todos los usuarios de Internet”, señaló.
“Se está abusando de las herramientas que permiten la vigilancia de nuestras vidas privadas, y la proliferación de esta tecnología en manos de empresas y gobiernos irresponsables nos pone a todos en riesgo”, dijo el director ejecutivo de WhatsApp.
Cathcart también narró cómo NSO Group negó cualquier participación en el ataque en una primera instancia, afirmando que “bajo ninguna circunstancia estaría involucrado en el funcionamiento […] de su tecnología”, a pesar de que WhatsApp Inc. había encontrado lo contrario durante su investigación.
“Ahora, buscamos responsabilizar a NSO bajo las leyes estatales y federales de los EE.UU., incluida la Ley de Abuso y Fraude Informático” estadounidense, señaló Cathcart, quien añadió que en WhatsApp creen que las personas tienen “un derecho fundamental a la privacidad y que nadie más debería tener acceso a sus conversaciones privadas”
“[…] ni siquiera nosotros [WhatsApp]. Los teléfonos móviles nos brindan una gran utilidad, pero si se vuelven contra nosotros, pueden revelar nuestras ubicaciones y nuestros mensajes privados, y grabar conversaciones confidenciales que tenemos con otros”, dijo el director ejecutivo de la aplicación móvil.
Cathcart detalló, además, que WhatsApp construye “cerraduras digitales para proteger nuestras conversaciones privadas”, entre ellas, el denominado “cifrado de extremo a extremo”, que funciona automáticamente de tal forma que solo el usuario y las personas con las que se está comunicando tienen las “claves” para sus mensajes y llamadas.
“Al mismo tiempo, sin embargo, las compañías de vigilancia están buscando soluciones, implantando spyware directamente en los dispositivos. El ataque que vimos proporciona varias lecciones urgentes. Primero, refuerza por qué nunca se debe exigir a las compañías de tecnología que debiliten intencionalmente sus sistemas de seguridad. Las ‘puertas traseras’ u otras aberturas de seguridad simplemente presentan un peligro demasiado alto”, señaló.
“Las democracias dependen de un periodismo independiente fuerte y de la sociedad civil, y debilitar la seguridad intencionalmente pone en riesgo a estas instituciones. Y todos queremos proteger nuestra información personal y conversaciones privadas. Es por eso que seguiremos oponiéndonos a los llamados de los gobiernos para debilitar el cifrado de extremo a extremo”, acotó el jefe de WhatsApp.
“En segundo lugar, las empresas de tecnología deben profundizar nuestra cooperación para proteger y promover los derechos humanos. Los desarrolladores de aplicaciones, los fabricantes de dispositivos y aquellos que mantienen la seguridad de los proveedores de sistemas operativos necesitan compartir información para construir sistemas más seguros. Así como los usuarios esperan que nuestros productos funcionen sin problemas, también esperan que trabajemos para protegernos de las amenazas comunes y responsabilizar a los atacantes”, dijo.
“Esto incluye explicar públicamente ataques significativos para aumentar la resiliencia y trabajar con investigadores de seguridad que pueden desempeñar un papel crucial en eso. Agradecemos a los expertos del Citizen Lab de la Universidad de Toronto por su trabajo en este sentido. Se ofrecieron como voluntarios para ayudarnos a comprender quién fue afectado por el ataque y se comprometieron con periodistas y defensores de derechos humanos para ayudarlos a protegerse mejor frente a estas amenazas”, insistió.
“En tercer lugar, las empresas simplemente no deberían lanzar ataques cibernéticos contra otras empresas. Los actores responsables informan vulnerabilidades cuando se encuentran; no usan su tecnología para explotar esas vulnerabilidades. Del mismo modo, las empresas no deben vender servicios a otras personas involucradas en tales ataques”, abundó.
Cathcart recordó que NSO Group dijo en septiembre pasado que “las protecciones de los derechos humanos están integradas en todos los aspectos de nuestro trabajo”. Sin embargo, “mantiene que no tiene una idea de los objetivos de su software espía. Ambos no pueden ser verdad”.
El director ejecutivo de WhatsApp dijo que, “como mínimo”, los líderes de las empresas tecnológicas deben unirse al llamado del Relator Especial de la ONU, David Kaye, “para una moratoria inmediata sobre la venta, transferencia y uso de programas espía peligrosos”.
EL POSICIONAMIENTO DE CITIZEN LAB
Por su parte, el Citizen Lab de la Universidad de Toronto -que ha investigado el espionaje en México en conjunto con la organización Artículo 19, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC-, se ofreció como voluntario para ayudar a WhatsApp a identificar casos en los que los presuntos objetivos de este ataque eran miembros de la sociedad civil, como defensores de derechos humanos y periodistas.
“Como parte de nuestra investigación sobre el incidente, Citizen Lab ha identificado más de 100 casos de ataques abusivos contra defensores de derechos humanos y periodistas en al menos 20 países de todo el mundo, desde África, Asia, Europa, Medio Oriente y Norteamérica que tuvo lugar después de que Novalpina Capital adquiriera NSO Group y comenzara una campaña de relaciones públicas en curso para promover la narrativa de que la nueva propiedad frenaría los abusos”, señaló en una publicación realizada en su página web.
Citizen Lab afirmó que continúan investigando el incidente, “y llevamos a cabo actividades de divulgación con las personas afectadas por estos ataques para ayudarlos a ser más seguros y comprender mejor los casos”.
A finales de noviembre del 2018, Citizen Lab y sus aliados dieron a conocer que un día después del asesinato del periodista Javier Valdez Cardenás -acontecido el 15 de mayo del 2017, en Culiacán, Sinaloa-, las autoridades mexicanas habrían utilizado el sotfware Pegasus para espiar a los periodistas Ismael Bojórquez Perea y Andrés Villarreal -jefe de información y director general del semanario Ríodoce, respectivamente.
El reporte documentaba seis mensajes con enlaces a la infraestructura de Pegasus -malware que compromete toda la información de un teléfono móvil cuando las víctimas accesan a contenidos engañosos, descargando un virus informático que se instala en los dispositivos-, mismos que fueron enviados a los teléfonos de Villarreal y Bojórquez Perea entre el 17 y el 26 de mayo de 2017, cuando la Procuraduría General de la República (PGR) ya había iniciado las investigaciones del caso.
El software espía -cuya venta sólo está permitida a gobiernos según lo ha asegurado la compañía israelí que lo fabrica y comercializa, NSO Group- siguió siendo utilizado por las autoridades mexicanas, dos meses después de la primera denuncia pública que se presentó por el uso ilegal de Pegasus.
El 11 de febrero del 2017 Citizen Lab dio a conocer el uso del software intrusivo contra activistas por el derecho a la salud y a favor de imponer un impuesto a los refrescos. Después se supo que había un total de 24 civiles intervenidos, entre los que se encuentran la periodista Carmen Aristegui Flores y su hijo Emilio; los abogados del Centro de Derechos Miguel Agustín Pro Juárez y los integrantes del Grupo Interdisciplinario de Expertos Internacionales (GIEI), entre otros.
Valdez Cárdenas fue asesinado a unas cuadras de las instalaciones del semanario del que era fundador, cuando fue obligado a bajar del vehículo en el que viajaba, para después recibir 12 impactos de bala. Sus supuestos asesinos, presuntos miembros de una célula del Cártel de Sinaloa, bajo el mando de Dámaso López Núñez, alias “El Licenciado”, robaron los documentos que traía ese día, así como su computadora y su teléfono móvil.
El reporte confirmó que el software se utilizó cuando representantes de la Agencia de Investigación Criminal (AIC) se encontraban en Culiacán, para indagar el asesinato de Valdez Cárdenas, lo que podría haber sucedido sin autorizaciones judiciales para espiar los aparatos telefónicos de los afectados.
La PGR es la única institución de la que se ha confirmado la adquisición de Pegasus, pero también se sabe que la Secretaría de la Defensa Nacional (Sedena) y el Centro de Investigación en Seguridad Nacional (CISEN) han destinado casi 500 millones de pesos para actualizar el malware.
LOS MENSAJES ENVIADOS POR PEGASUS
El jefe de información de Ríodoce, Andrés Villarreal, sufrió cuatro intentos de espionaje mediante mensajes de texto con enlaces para supuestos contenidos noticiosos, entre el 17 y 26 de mayo, que en realidad lo dirigían a dominios utilizados por NSO Group.
El texto de una de las alertas enviadas al teléfono del periodista sinaloense decía: “El CJNG [Cártel Jalisco Nueva Generación] habría sido el responsable de la ejecución del periodista en Culiacán. Ver nota:”. El mensaje iba acompañado de una liga maliciosa atribuida al servicio de UNO Noticias, servicio informativo operado por Telcel. Sin embargo, en realidad enviaba a uno de los dominios usados por la infraestructura de la empresa israelí para infectar los teléfonos de sus víctimas.
Andrés Villarreal recibió otros tres mensajes los días 19, 24 y 26 de mayo del 2017. Uno de estos aparentaba ser la fotografía una relación de pareja, mientras que otro lo pretendió engañar con una nota falsa del diario La Jornada, medio para el que Valdez Cárdenas trabajaba como corresponsal en Sinaloa. El tercero intentaba engañar al periodista con un aparente retiro de una tarjeta de crédito por más de 20 mil pesos.
Por otra parte, el director de Ríodoce, recibió dos mensajes el 26 de mayo del 2017. En el primero, se suplantaba nuevamente a UNO Noticias y se incluía un enlace dañino al sitio “animal-politico”, un dominio que falsifica la identidad del portal Animal Político y que el pasado 18 de septiembre fue identificado por Citizen Lab como parte de la infraestructura de Pegasus y NSO Group en México. Bojórquez Perea también recibió el mensaje: “La Jornada: Más torpezas de la PGR en Investigación del caso Javier Valdez. Ver Nota:”.
“Creo que querían buscar entre nuestras conversaciones y mensajes pistas sobre el asesinato de Javier, pero estamos totalmente en contra […] Nada obtenido ilegalmente debería usarse en una investigación y particularmente nada que venga de quienes están involucrados profesional y emocionalmente con la víctima”, le dijo Bojórquez Perea al diario The New York Times.
El diretor y confundador del semanario Ríodoce junto a Valdez Cárdenas, aseguró que sospechó de los mensajes de texto, que él y Andrés Villarreal recibieron en sus teléfonos celulares, por lo que ambos periodistas optaron por no hacer “clic” en los enlaces. “Tenían motivos para sospechar”, señaló el NYT.
El reporte de Citizen Lab afirmaba que las “estrategias de ingeniería social” o diseño de los mensajes para captar la atención de las víctimas, ya se habían documentado en otros informes de #GobiernoEspía, por lo que se consolida la tesis de que se trata de los mismos operadores a quienes se atribuyen otros intentos de infección.
“El uso de infraestructura común, así como el método de infección y su uso en coyunturas que afectan al gobierno federal saliente, sugieren un atacante común en los casos documentados en los últimos dos años”, concluye el informe de Citizen Lab.
Días antes, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) informó que ordenó una investigación para saber si la entonces Procuraduría General de la República usó el software Pegasus para espiar a periodistas, activistas y opositores políticos.
“Estos intentos de infección son temerarios y probablemente indefendibles”, dijo al NYT, John Scott Railton, analista sénior de Citizen Lab, sobre los mensajes enviados a Ríodoce. “Peor aún, para entonces, el cliente mexicano de Pegasus ya había sido expuesto públicamente por abusos en dos ocasiones. ¿Dónde estaba la supervisión interna? ¿Y dónde estaba la supervisión de NSO?”, abundó.
Sin embargo, la empresa israelí aseguró que se atiene “a un estándar riguroso de cumplimiento ético y regulatorio y toma en serio cualquier acusación, sin importar de dónde viene”. Un portavoz añadió al NYT que: “No toleramos el mal uso de nuestros productos en contra de activistas por los derechos civiles, periodistas o personas inocentes. Si se sospecha un mal uso, lo investigamos y tomamos las acciones correspondientes, entre ellas suspender o poner fin a un contrato”.
LA COMPRA DEL SOFTWARE ESPÍA
El director de la Agencia de Investigación Criminal (AIC) de la Procuraduría General de la República (PGR), Tomás Zerón de Lucio -actual secretario Técnico del Consejo de Seguridad Nacional-, fue el funcionario que firmó el contrato con la empresa mexicana Grupo Tech Bull para comprar, por 32 millones 16 mil dólares, el programa NSO Pegasus.
Zerón de Lucio y el apoderado del Grupo Tech Bull, Luis Armado Pérez Herrero, firmaron el contrato el 29 de octubre de 2014, cuando el titular de la PGR era Jesús Murillo Karam. La compra incluyó 500 objetivos del programa, que la Procuraduría comenzó a utilizar a finales del 2015, según la cadena Televisa, que dio a conocer el documento de forma exclusiva en junio del 2017.
Según la empresa israelí NSO Group, creadora de Pegasus, por la naturaleza del programa, sólo realiza ventas directas a gobiernos y sin intermediarios para salvaguardar la seguridad nacional. Pero en México no fue así. El software fue vendido a la PGR a través de la empresa proveedora Grupo Tech Bull S.A. de C.V., fundada el 10 de octubre de 2013.
Información pública de la PGR indica que el Grupo Tech Bull es una compañía mexicana que vende inteligencia y seguridad al Gobierno mexicano. Además describe que es una subsidiaria de una compañía llamada Balam Seguridad Privada S.A. de C.V., donde también trabaja Luis Armado Pérez Herrero, quien firmó el contrato con la PGR, y de la cual son socios Asaf Israel Zanzuri y Rodrigo Ruiz Treviño de Teresa.
Balam Seguridad Privada S.A. de C.V., una de las principales proveedoras de sistemas de inteligencia y seguridad del Gobierno Federal, fue investigada previamente por Mexicanos contra la Corrupción y la Impunidad (MCCI), quienes detallaron los vínculos que tiene con la administración de Enrique Peña Nieto, ya que Ruiz de Teresa Treviño, es sobrino de Guillermo Ruiz de Teresa, coordinador General de Puertos y Marina Mercante de la Secretaría de Comunicaciones y Transportes (SCT).
Otro dato revelado por el reportaje MCCI, es que la compañía de seguridad se creó en mayo de 2012, a la par de la campaña presidencial de Peña Nieto, misma que Ruiz de Teresa Treviño apoyó, tal como quedó evidenciado en diversas fotografías que el mismo joven compartió a través de sus cuentas en las redes sociales.
En junio del 2017, el diario Milenio publicó que la PGR terminó de instalar a Pegasus en marzo de 2015, cuando Arely Gómez González era la titular de dicha dependencia, nombrada procuradora General de la República el 27 de febrero de 2015, en sustitución de Murillo Karam.
La época en los que se produjeron los intentos de espionaje denunciados por periodistas, activistas y defensores de derechos humanos fue a partir del 10 de noviembre de 2015, recordó el rotativo. El manejo de Pegasus quedó en manos de Gómez González, a través de Christian Noé Ramírez Gutiérrez, quien era el jefe de la Oficina de la Procuradora, según un acta administrativa de la PGR, de la cual Milenio aseguró tiene una copia.
La intervención de dispositivos, a la que la PGR le denomina “Sistema para la realización de actividades sustantivas”, fue operado por 25 personas, que antes habían sido capacitadas para manejar Pegasus, programa con capacidad para espiar a 500 personas al mismo tiempo, según el documento que tiene Milenio.
La oficina de la procuradora recibió el “hardware, software y documentos sobre la implementación y capacitación, garantía de un año y papelería que acreditaba la realización de los cursos de capacitación del uso del sistema para 25 personas en grupos de ocho cada uno”, según el acta.
La PGR, la Secretaría de Defensa Nacional (Sedena) y el Centro de Investigación y Seguridad Nacional (Cisen) eran las dependencias que operaban el sistema, según el informe del Citizen Lab de la Universidad de Toronto sobre activistas y periodistas.
El 19 de junio del 2017, el NYT reveló que el Gobierno encabezado por Peña Nieto había adquirido un software para investigar a criminales y terroristas, pero que se habría usado para espiar a periodistas y a activistas anticorrupción, quienes realizaron la denuncia correspondiente, ante la misma PGR y organismos internacionales.
Según información del contrato, Pegasus funciona a través de un software malicioso que envía un mensaje o un enlace a correos electrónicos y teléfonos celulares, que al abrirlo da acceso a la información del equipo de la persona infectada.
De esta manera, quien opera Pegasus puede acceder a mensajes de texto, fotografías, contactos, correos electrónicos, historial de llamadas telefónicas, historial de navegación en internet y redes sociales, ubicación, capturas de pantalla y grabaciones de la persona que está siendo espiada.
NSO Group, que también se conoce con el nombre de Q Cyber Technologies, es una compañía con sede en Israel que desarrolla y vende tecnología de software espía. Es propiedad mayoritaria de Novalpina Capital, una firma europea de capital privado.