Artículo 19 exige a FGR investigación con peritaje externo por espionaje con Pegasus en Gobierno de EPN

Foto: Cuartoscuro
Destacados lunes, 19 julio, 2021 8:12 AM

La organización no gubernamental Artículo 19 exigió a la Fiscalía General de la República (FGR) una investigación independiente respecto al espionaje realizado contra periodistas, activistas y defensores de derechos humanos con el programa informático Pegasus, desarrollado por el grupo israelí NSO, que permite a agencias de gobierno acceder a la memoria de los teléfonos celulares para captar, mensajes, llamadas, correos, geolocalización e historial.

Ayer domingo 18 de julio se publicó en 17 medios internacionales una investigación global encabezada por la organización francesa Forbidden Stories y Amnistía Internacional (AI), que reveló la existencia de una lista de 50 mil números telefónicos seleccionados, 15 mil de ellos de México, como posibles objetivos de espionaje por los clientes de NSO, empresa israelí creadora del citado software.

Ante ello, la ONG internacional instó al Gobierno encabezado por el presidente de México, Andrés Manuel López Obrador, así como al titular de la FGR, Alejandro Gertz Manero, a transparentar toda información relacionada al espionaje realizado en la Administración de Enrique Peña Nieto con el software de vigilancia, así como la colaboración absoluta con las investigaciones.

“Que el Fiscal General rediseñe en conjunto con las personas afectadas un plan de investigación serio, exhaustivo e integral, con garantías de independencia y supervisión, así como la participación de peritos externos”, urgió Artículo 19 en un comunicado firmado en conjunto con R3D: Red en Defensa de los Derechos Digitales, el Centro de Derechos Humanos Miguel Agustín Pro Juárez y SocialTIC.

La ONG recordó que hasta ahora, la FGR no ha realizado una investigación con garantías de independencia capaz de esclarecer lo ocurrido y llevar a los responsables ante la justicia. Asimismo, demandó que se impulse una agenda de reformas para establecer controles democráticos a la intervención de comunicaciones privadas por parte de las entidades de gobierno.

Artículo 19 detalló que dentro de los 15 mil números con código de país de México de entre los 50 mil encontrados por la investigación Pegasus Project, se incluyen los de “defensores de derechos humanos, familiares de los 43 estudiantes de Ayotzinapa, investigadores de la Comisión Interamericana de Derechos Humanos [CIDH] y de más de 25 periodistas”.

Entre los números de periodistas, se encontraron los de “Cecilio Pineda Brito, asesinado en marzo de 2017, apenas unas semanas después de haber sido atacado con Pegasus; Ismael Bojórquez [Perea], Andrés Villarreal y Griselda Inés Triana López [viuda del periodista sinaloense Javier Valdez Cárdenas], así como de Carmen Aristegui Flores, de sus familiares y su equipo de trabajo”.

La organización dedicada a la defensa de la libertad de expresión y el derecho a la información criticó que a cuatro años de que se inició la investigación por este caso de espionaje gubernamental, aún no hay avances significativos para su esclarecimiento, por lo que llamó a replantearla y fortalecerla.

Aunado a lo anterior, Artículo 19, en su Oficina para México y Centroamérica, aseguró que le expuesto por la investigación publicada ayer domingo 18 de julio, pone de manifiesto la necesidad de modificar el marco legal para impedir la adquisición de herramientas de vigilancia en territorio mexicano.

AI tuvo acceso a la lista de números telefónicos y la compartió con una red de periodistas a nivel internacional. La investigación contó con la participación de más de 80 periodistas de 17 medios: Proceso, Aristegui Noticias, The Washington Post, Le Monde, Süddeutsche Zeitung, Die Zeit, The Guardian, Daraj, Direkt36, Le Soir, Knack, Radio France, The Wire, The Organized Crime and Corruption Reporting Project, Haaretz y PBS Frontline.

Los números en la lista incluyen a más de mil personas que pudieron ser identificadas por la red de periodistas e incluyen al menos a 65 ejecutivos, 85 activistas, 189 periodistas y más de 600 políticos, además de 12 jefes de Estado, 500 diplomáticos, mil 200 funcionarios y 250 defensores de derechos humanos.

En la citada lista figuran números de periodistas de medios de todo el mundo, como la Agence France-Presse, The Wall Street Journal, CNN, The New York Times, Al Jazeera, France 24, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, The Economist, Reuters, Proceso, Aristegui Noticias y Voice of America.

“Entre 2016 y 2017, más de 15 mil mexicanos aparecieron en la lista examinada por el consorcio de medios, entre ellos al menos 25 reporteros que trabajan para los principales medios de comunicación del país, según los registros y entrevistas”, señaló la investigación encabezada por Forbidden Stories y Amnistía Internacional.

“Aunque no confirmará las identidades de ninguno de ellos, citando obligaciones de confidencialidad del cliente. El consorcio encontró muchos de los números de teléfono en al menos 10 países, que fueron sometidos a un análisis más profundo: Azerbaiyán, Bahréin, Hungría, India, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita y los Emiratos Árabes Unidos. Citizen Lab también ha encontrado evidencia de que los 10 han sido clientes de NSO, según Bill Marczak, investigador principal”, indicó el reportaje.

Según el semanario mexicano Proceso, otros periodistas incluidos en la lista son Rafael Rodríguez Castañeda, Jorge Carrasco Aráizaga, Alejandro Caballero, Arturo Rodríguez García, Jenaro Villamil Rodríguez, Marcela Turati, Álvaro Delgado Gómez, Alejandra Xanic von Betrab e Ignacio Rodríguez Reyna. Asimismo aparecen los celulares del gobernador de Guerrero, Héctor Astudillo Flores, y del entonces fiscal del estado, Xavier Olea Peláez.

Asimismo, el semanario Proceso señaló que en la citada lista aparecen, también, números de sindicalistas, líderes religiosos, académicos, médicos, así como familiares de políticos mexicanos, los cuales se darán a conocer en los medios integrados a Forbidden Stories en los próximos días.

Por su parte, Aristegui Noticias indicó que Melitón Ortega, tío de Mauricio Ortega Valerio, uno de los 43 estudiantes de la Normal Rural Raúl Isidro Burgos de Ayotzinapa, desaparecidos el 26 de septiembre del 2014; Cristina Bautista, madre de Benjamín Ascencio; y, Felipe de la Cruz Sandoval, padre de uno de los sobrevivientes, y vocero de los padres hasta finales de enero del 2021, cuando se registró por una diputación plurinominal por el partido Morena.

El 19 de junio del 2017, el diario The New York Times, Artículo 19, R3D, Social Tic y Citizen Lab revelaron que el Gobierno encabezado por Peña Nieto había adquirido un software para investigar a criminales y terroristas, pero que se habría usado para espiar a periodistas y a activistas anticorrupción, quienes realizaron la denuncia correspondiente, ante la entonces Procuraduría General de la República (PGR) y organismos internacionales.

Según información del contrato, Pegasus funciona a través de un software malicioso que envía un mensaje o un enlace a correos electrónicos y teléfonos celulares, que al abrirlo da acceso a la información del equipo de la persona infectada. De esta manera, quien opera el programa puede acceder a mensajes de texto, fotografías, contactos, correos electrónicos, historial de llamadas telefónicas, historial de navegación en internet y redes sociales, ubicación, capturas de pantalla y grabaciones de la persona que está siendo espiada.

NSO Group, que también se conoce con el nombre de Q Cyber ​​Technologies, es una compañía con sede en Israel que desarrolla y vende tecnología de software espía. Es propiedad mayoritaria de Novalpina Capital, una firma europea de capital privado.

FGR DE GERTZ MANERO HA COMPRADO PROGRAMAS DE ESPIONAJE MASIVO A TELÉFONOS MÓVILES: EL PAÍS

Bajo la titularidad de Alejandro Gertz Manero, la Fiscalía General de la República (FGR) ha comprado, por un total de 5.6 millones de dólares, programas de inteligencia para la geolocalización de teléfonos móviles y análisis de datos masivos en tiempo real.

Los contratos de dichas adquisidores se realizaron bajo la partida secreta 33701 -denominada “gastos de seguridad pública y nacional”, por lo que permanecen opacos. Mientras que la empresa vendedora, es intermediaria de la italiana Hacking Team, señalada de haber sido una de las principales proveedoras en materia de ciberespionaje durante el Gobierno de Enrique Peña Nieto.

Así lo informó el diario español El País, en un reportaje firmado por la periodista Zorayda Gallegos Valle, el cual detalló que durante los años 2019 y 2020 -según informes del órgano interno de control de la FGR-, la Fiscalía firmó al menos cuatro contratos por 5.6 millones de dólares con la compañía Neolinx de México.

Con 91 votos, Alejandro Gertz Manero, fue electo el 18 de enero del 2019, por el Pleno de la LXIV Legislatura del Senado de la República -en sesión extraordinaria-, como el primer titular de la Fiscalía General de la República, cargo que ocupará durante 9 años y que sustituía al Procurador General de la República.

La Red en Defensa de los Derechos Digitales (R3D), que ha dado seguimiento a este tipo de contrataciones, considera que la operación de estos sistemas puede llegar a ser violatoria de derechos humanos, porque en algunos casos constituye una vigilancia masiva que violenta los requisitos de necesidad, proporcionalidad y autorización judicial.

En 2015, se dio a conocer que la empresa mexicana Neolinx -creada en 2009- había servido como intermediaria de la italiana Hacking Team en México, después de que se filtraran cientos de correos electrónicos y documentos internos con detalles de sus operaciones.

El rotativo español recordó que la información dada a conocer en ese entonces, reveló que el consorcio italiano había comercializado sus productos a 35 países, muchos de ellos señalados por violaciones a los derechos humanos. “México había sido hasta entonces su principal cliente”, indicó el reportaje.

R3D hizo en aquel entonces un análisis de los datos divulgados tras la filtración y denunció que al menos 12 entidades de la República mexicana tuvieron relaciones comerciales con Hacking Team, a través de sus diversas intermediarias.

Según el análisis hecho por la R3D en ese entonces Neolinx habría vendido sus productos a los Gobiernos de Guerrero y del Estado de México, así como a la ahora extintas Policía Federal (PF) y Procuraduría General de la Republica (PGR), así como a la Secretaría de la Defensa Nacional (SEDENA), entre otras instituciones públicas.

Se suponía que después del escándalo, en abril del 2018 se habría firmado el último contrato con la FGR antes del cambio de Administración con Andrés Manuel López Obrador. Sin embargo, Neolinx ha seguido vendiendo sus insumos y servicios al Gobierno actual, esta vez como intermediaria de la empresa israelí Rayzone Group, consorcio que diseña y fabrica soluciones cibernéticas y de inteligencia para agencias gubernamentales.

“La adquisición de estos programas no es ilegal y son usados, según justifican las autoridades, para el combate a la delincuencia organizada. Sin embargo, también pueden ser utilizados de forma arbitraria, violando el derecho a la privacidad y la presunción de inocencia, como ha advertido la R3D en diversos informes”, indicó El País.

El rotativo español detalló que el primer contrato celebrado durante la titularidad de Gertz Manero al frente de la FGR, estuvo a cargo de la Subprocuraduría Especializada en Investigación de Delincuencia Organizada (SEIDO) y se firmó el 30 de mayo de 2019, por un monto de 2.4 millones de dólares.

“Servicio de localización geográfica en tiempo real para equipos de comunicación móvil asociados a una línea telefónica, consistente en instalación puesta a punto, configuración y liberación de 135 mil búsquedas, sin que exista un límite de búsquedas diarias”, según dice el reporte del OIC de la FGR respecto al contrato

“El servicio descrito en el contrato es conocido en el mercado del ciberespionaje como Geomatrix y es el mismo que había adquirido la Fiscalía en el sexenio anterior y que era usado sin controles, según una publicación de 2019 hecha por la R3D en colaboración con Reporte índigo”, recordó el diario español.

Otro de los contratos firmados por la FGR con Neolinx fue para la adquisición del servicio “Echo-Plataforma de consulta y análisis de datos masivos”, compra que estuvo a cargo de la Policía Federal Ministerial, según la documentación consultada por el rotativo europeo.

En 2019 el costo fue de 1.1 millón de dólares para dicho servicio, mientras que en 2020 la FGR pagó 1.7 millones de dólares por el producto, que también es fabricado por la empresa israelí Rayzone, que lo define como un sistema estratégico de SIGINT (Inteligencia de señales).

Este proporciona a las agencias de inteligencia y policiales, información amplia, diversa y en profundidad sobre usuarios globales de internet. Aunado a ello, la plataforma no requiere preinstalación de ningún equipo físico, además de que opera de forma silenciosa y encubierta.

En su más reciente informe, la Auditoría Superior de la Federación (ASF) reveló que en los contratos suscritos por la FGR con Neolinx en 2019, se detectaron debilidades en la adjudicación, contratación y comprobación de los recursos ejercidos con cargo a la partida 33701.

“Un ejemplo de ello es que no se realizó una investigación de mercado que permitiera comparar el precio establecido por el proveedor adjudicado con otros vendedores. Al carecer de este documento no se garantizó que se obtuvieran las mejores condiciones para el Estado en cuanto a precio, calidad y financiamiento”, señaló El País.

Asimismo, la ASF señaló que en el contrato de servicios de geolocalización, los funcionarios de la FGR no verificaron la documentación con la que se acreditaba que el prestador del servicio contaba con la capacidad técnica, el personal calificado y certificado por el fabricante del sistema para prestar los servicios, y tampoco se asegurara de que dicho personal guardara la confidencialidad absoluta.

En las condiciones de la prestación de los servicios, la FGR estableció que Neolinx contaba con la experiencia, capacidad técnica, financiera y laboral, así como con personal calificado, equipo adecuado y recursos para cumplir con el contrato.

“Sin embargo, tras una visita realizada por personal de la auditoría a la empresa, el apoderado legal de la firma manifestó que en el servicio de mantenimiento de la plataforma participó personal subcontratado con otras empresas. La Auditoría alertó que el prestador de servicios no garantizó la confidencialidad de la información sensible a la que pudo tener acceso”, abundó el rotativo español.

“No se verificó que las empresas adjudicadas acreditaran que contaban con la capacidad técnica y de recursos humanos, lo cual, al tratarse de servicios que implican confidencialidad y secrecía, se debió asegurar de que el prestador del servicio contara con el personal propio para otorgar los servicios”, se lee en el dictamen de la ASF.

NO SE UTILIZAN BOTIS, NI SE ESPÍA A PERIODISTAS Y OPOSITORES: AMLO

El 6 de noviembre del 2019, el presidente Andrés Manuel López Obrador afirmó que su Gobierno no paga por el uso de bots, ni tampoco utiliza el spyware Pegasus para espiar a opositores o a periodistas.

“No contratamos bots, no pagamos a empresas que se dedican a ese tipo de actividades […] No estamos nosotros metidos en eso. Aquí se decidió que no íbamos a perseguir a nadie”, indicó el mandatario nacional al ser cuestionado por el tema durante la conferencia de prensa matutina.

Este mismo día, integrantes de una misión de 17 organizaciones internacionales dedicadas a Libertad de Expresión le pidieron a López Obrador proteger a periodistas y comprometerse a respetar a los comunicadores.

Sin embargo, el titular del Poder Ejecutivo Federal aseveró que “no tengo por qué comprometerme, porque actúo con respeto ante todos”. No obstante, manifestó que la Secretaría de Gobernación (SEGOB) garantizará la protección a periodistas y defensores sin limitación de recursos.

El presidente abundó que no se oponen a que visiten a México representantes de organismos internacionales, “porque el que nada debe nada teme”. Asimismo, aseveró que nunca ha utilizado un lenguaje que estigmatice a los periodistas, ya que en su Gobierno hay libertades plenas.

Aclaró que en su gobierno no se ha comprado equipo para espiar, pero en las bodegas hay equipo guardado para esos fines. Además, López Obrador recordó que cuando era opositor comenzó a ser espiado por sus contrarios políticos desde 1977.

NSO GROUP APROVECHÓ VULNERABILIDAD PARA INFECTAR A MILES DE USUARIOS DE WHATSAPP

Antes, el 29 de octubre del 2019, la aplicación móvil WhatsApp -propiedad de Facebook- reveló que la empresa israelí NSO Group, desarrolladora del malware Pegasus, aprovechó una vulnerabilidad en su sistema para infectar a más de mil 400 usuarios alrededor del mundo, entre ellos, 100 periodistas y defensores de Derechos Humanos, algunos de México.

En mayo de este mismo año, WhatsApp dijo que identificó y poco después solucionó una vulnerabilidad que permitía a los atacantes inyectar spyware comercial en los teléfonos simplemente tocando el número del dispositivo de un objetivo.

A través de un pronunciamiento publicado en el diario estadounidense The Washington Post, el director ejecutivo de la aplicación móvil, Will Cathcart, detalló que en mayo del 2019, WhatsApp anunció que había detectado y bloqueado un nuevo tipo de ciberataque que implicaba una vulnerabilidad en su función de videollamadas.

“Un usuario recibiría lo que parecía ser una llamada de video, pero esta no era una llamada normal. Después de que sonó el teléfono, el atacante transmitió secretamente código malicioso en un esfuerzo por infectar el teléfono de la víctima con spyware. La persona ni siquiera tuvo que contestar la llamada”, indicó Cathcart.

“Pero ahora”, señaló el director ejecutivo de WhatsApp, “después de meses de investigación, podemos decir quién estuvo detrás de este ataque. Hoy, hemos presentado una queja en un tribunal federal que explica lo que sucedió y atribuye la intrusión a una compañía internacional de tecnología llamada NSO Group.”

“¿Cómo podemos decir esto con confianza? A medida que reunimos la información que presentamos en nuestra queja, descubrimos que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados con NSO”, abundó el ex vicepresidente de gestión de productos en Facebook.

Cathcart insistió, en que como señalaba su queja ante un tribunal federal, habían vinculado ciertas cuentas de WhatsApp utilizadas durante los ataques, a NSO Group. “Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, acotó.

“Hubo otro patrón inquietante en el ataque, como explica nuestra demanda. Apuntó al menos a 100 defensores de los derechos humanos , periodistas y otros miembros de la sociedad civil en todo el mundo. Esto debería servir como una llamada de atención para las empresas de tecnología, los gobiernos y todos los usuarios de Internet”, señaló.

“Se está abusando de las herramientas que permiten la vigilancia de nuestras vidas privadas, y la proliferación de esta tecnología en manos de empresas y gobiernos irresponsables nos pone a todos en riesgo”, dijo el director ejecutivo de WhatsApp.

Cathcart también narró cómo NSO Group negó cualquier participación en el ataque en una primera instancia, afirmando que “bajo ninguna circunstancia estaría involucrado en el funcionamiento […] de su tecnología”, a pesar de que WhatsApp Inc. había encontrado lo contrario durante su investigación.

“Ahora, buscamos responsabilizar a NSO bajo las leyes estatales y federales de los EE.UU., incluida la Ley de Abuso y Fraude Informático” estadounidense, señaló Cathcart, quien añadió que en WhatsApp creen que las personas tienen “un derecho fundamental a la privacidad y que nadie más debería tener acceso a sus conversaciones privadas”.

“[…] Ni siquiera nosotros [WhatsApp]. Los teléfonos móviles nos brindan una gran utilidad, pero si se vuelven contra nosotros, pueden revelar nuestras ubicaciones y nuestros mensajes privados, y grabar conversaciones confidenciales que tenemos con otros”, dijo el director ejecutivo de la aplicación móvil.

Cathcart detalló, además, que WhatsApp construye “cerraduras digitales para proteger nuestras conversaciones privadas”, entre ellas, el denominado “cifrado de extremo a extremo”, que funciona automáticamente de tal forma que solo el usuario y las personas con las que se está comunicando tienen las “claves” para sus mensajes y llamadas.

“Al mismo tiempo, sin embargo, las compañías de vigilancia están buscando soluciones, implantando spyware directamente en los dispositivos. El ataque que vimos proporciona varias lecciones urgentes. Primero, refuerza por qué nunca se debe exigir a las compañías de tecnología que debiliten intencionalmente sus sistemas de seguridad. Las ‘puertas traseras’ u otras aberturas de seguridad simplemente presentan un peligro demasiado alto”, señaló.

“Las democracias dependen de un periodismo independiente fuerte y de la sociedad civil, y debilitar la seguridad intencionalmente pone en riesgo a estas instituciones. Y todos queremos proteger nuestra información personal y conversaciones privadas. Es por eso que seguiremos oponiéndonos a los llamados de los gobiernos para debilitar el cifrado de extremo a extremo”, acotó el jefe de WhatsApp.

“En segundo lugar, las empresas de tecnología deben profundizar nuestra cooperación para proteger y promover los derechos humanos. Los desarrolladores de aplicaciones, los fabricantes de dispositivos y aquellos que mantienen la seguridad de los proveedores de sistemas operativos necesitan compartir información para construir sistemas más seguros. Así como los usuarios esperan que nuestros productos funcionen sin problemas, también esperan que trabajemos para protegernos de las amenazas comunes y responsabilizar a los atacantes”, dijo.

“Esto incluye explicar públicamente ataques significativos para aumentar la resiliencia y trabajar con investigadores de seguridad que pueden desempeñar un papel crucial en eso. Agradecemos a los expertos del Citizen Lab de la Universidad de Toronto por su trabajo en este sentido. Se ofrecieron como voluntarios para ayudarnos a comprender quién fue afectado por el ataque y se comprometieron con periodistas y defensores de derechos humanos para ayudarlos a protegerse mejor frente a estas amenazas”, insistió.

“En tercer lugar, las empresas simplemente no deberían lanzar ataques cibernéticos contra otras empresas. Los actores responsables informan vulnerabilidades cuando se encuentran; no usan su tecnología para explotar esas vulnerabilidades. Del mismo modo, las empresas no deben vender servicios a otras personas involucradas en tales ataques”, abundó.

Cathcart recordó que NSO Group dijo en septiembre pasado que “las protecciones de los derechos humanos están integradas en todos los aspectos de nuestro trabajo”. Sin embargo, “mantiene que no tiene una idea de los objetivos de su software espía. Ambos no pueden ser verdad”.

El director ejecutivo de WhatsApp dijo que, “como mínimo”, los líderes de las empresas tecnológicas deben unirse al llamado del Relator Especial de la ONU, David Kaye, “para una moratoria inmediata sobre la venta, transferencia y uso de programas espía peligrosos”.

EL POSICIONAMIENTO DE CITIZEN LAB

Por su parte, el Citizen Lab de la Universidad de Toronto -que ha investigado el espionaje en México en conjunto con la organización Artículo 19, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC-, se ofreció como voluntario para ayudar a WhatsApp a identificar casos en los que los presuntos objetivos de este ataque eran miembros de la sociedad civil, como defensores de derechos humanos y periodistas.

“Como parte de nuestra investigación sobre el incidente, Citizen Lab ha identificado más de 100 casos de ataques abusivos contra defensores de derechos humanos y periodistas en al menos 20 países de todo el mundo, desde África, Asia, Europa, Medio Oriente y Norteamérica que tuvo lugar después de que Novalpina Capital adquiriera NSO Group y comenzara una campaña de relaciones públicas en curso para promover la narrativa de que la nueva propiedad frenaría los abusos”, señaló en una publicación realizada en su página web.

Citizen Lab afirmó que continúan investigando el incidente, “y llevamos a cabo actividades de divulgación con las personas afectadas por estos ataques para ayudarlos a ser más seguros y comprender mejor los casos”.

A finales de noviembre del 2018, Citizen Lab y sus aliados dieron a conocer que un día después del asesinato del periodista Javier Valdez Cardenás -acontecido el 15 de mayo del 2017, en Culiacán, Sinaloa-, las autoridades mexicanas habrían utilizado el sotfware Pegasus para espiar a los periodistas Ismael Bojórquez Perea y Andrés Villarreal -jefe de información y director general del semanario Ríodoce, respectivamente.

El reporte documentaba seis mensajes con enlaces a la infraestructura de Pegasus -malware que compromete toda la información de un teléfono móvil cuando las víctimas accesan a contenidos engañosos, descargando un virus informático que se instala en los dispositivos-, mismos que fueron enviados a los teléfonos de Villarreal y Bojórquez Perea entre el 17 y el 26 de mayo de 2017, cuando la Procuraduría General de la República (PGR) ya había iniciado las investigaciones del caso.

El software espía -cuya venta sólo está permitida a gobiernos según lo ha asegurado la compañía israelí que lo fabrica y comercializa, NSO Group- siguió siendo utilizado por las autoridades mexicanas, dos meses después de la primera denuncia pública que se presentó por el uso ilegal de Pegasus.

El 11 de febrero del 2017, Citizen Lab dio a conocer el uso del software intrusivo contra activistas por el derecho a la salud y a favor de imponer un impuesto a los refrescos. Después se supo que había un total de 24 civiles intervenidos, entre los que se encuentran la periodista Carmen Aristegui Flores y su hijo Emilio; los abogados del Centro de Derechos Miguel Agustín Pro Juárez y los integrantes del Grupo Interdisciplinario de Expertos Internacionales (GIEI), entre otros.

Valdez Cárdenas fue asesinado a unas cuadras de las instalaciones del semanario del que era fundador, cuando fue obligado a bajar del vehículo en el que viajaba, para después recibir 12 impactos de bala. Sus supuestos asesinos, presuntos miembros de una célula del Cártel de Sinaloa, bajo el mando de Dámaso López Núñez, alias “El Licenciado”, robaron los documentos que traía ese día, así como su computadora y su teléfono móvil.

El reporte confirmó que el software se utilizó cuando representantes de la Agencia de Investigación Criminal (AIC) se encontraban en Culiacán, para indagar el asesinato de Valdez Cárdenas, lo que podría haber sucedido sin autorizaciones judiciales para espiar los aparatos telefónicos de los afectados.

La PGR es la única institución de la que se ha confirmado la adquisición de Pegasus, pero también se sabe que la Secretaría de la Defensa Nacional y el extinto Centro de Investigación en Seguridad Nacional (CISEN), habían destinado casi 500 millones de pesos para actualizar el malware.

LOS MENSAJES ENVIADOS POR PEGASUS

El jefe de información de Ríodoce, Andrés Villarreal, sufrió cuatro intentos de espionaje mediante mensajes de texto con enlaces para supuestos contenidos noticiosos, entre el 17 y 26 de mayo, que en realidad lo dirigían a dominios utilizados por NSO Group.

El texto de una de las alertas enviadas al teléfono del periodista sinaloense decía: “El CJNG [Cártel Jalisco Nueva Generación] habría sido el responsable de la ejecución del periodista en Culiacán. Ver nota:”. El mensaje iba acompañado de una liga maliciosa atribuida al servicio de UNO Noticias, servicio informativo operado por Telcel. Sin embargo, en realidad enviaba a uno de los dominios usados por la infraestructura de la empresa israelí para infectar los teléfonos de sus víctimas.

Andrés Villarreal recibió otros tres mensajes los días 19, 24 y 26 de mayo del 2017. Uno de estos aparentaba ser la fotografía una relación de pareja, mientras que otro lo pretendió engañar con una nota falsa del diario La Jornada, medio para el que Valdez Cárdenas trabajaba como corresponsal en Sinaloa. El tercero intentaba engañar al periodista con un aparente retiro de una tarjeta de crédito por más de 20 mil pesos.

Por otra parte, el director de Ríodoce, recibió dos mensajes el 26 de mayo del 2017. En el primero, se suplantaba nuevamente a UNO Noticias y se incluía un enlace dañino al sitio “animal-politico”, un dominio que falsifica la identidad del portal Animal Político y que el pasado 18 de septiembre fue identificado por Citizen Lab como parte de la infraestructura de Pegasus y NSO Group en México. Bojórquez Perea también recibió el mensaje: “La Jornada: Más torpezas de la PGR en Investigación del caso Javier Valdez. Ver Nota:”.

“Creo que querían buscar entre nuestras conversaciones y mensajes pistas sobre el asesinato de Javier, pero estamos totalmente en contra […] Nada obtenido ilegalmente debería usarse en una investigación y particularmente nada que venga de quienes están involucrados profesional y emocionalmente con la víctima”, le dijo Bojórquez Perea al diario The New York Times.

El director y confundador del semanario Ríodoce junto a Valdez Cárdenas, aseguró que sospechó de los mensajes de texto, que él y Andrés Villarreal recibieron en sus teléfonos celulares, por lo que ambos periodistas optaron por no hacer “clic” en los enlaces. “Tenían motivos para sospechar”, señaló el NYT.

El reporte de Citizen Lab afirmaba que las “estrategias de ingeniería social” o diseño de los mensajes para captar la atención de las víctimas, ya se habían documentado en otros informes de #GobiernoEspía, por lo que se consolida la tesis de que se trata de los mismos operadores a quienes se atribuyen otros intentos de infección.

“El uso de infraestructura común, así como el método de infección y su uso en coyunturas que afectan al gobierno federal saliente, sugieren un atacante común en los casos documentados en los últimos dos años”, concluye el informe de Citizen Lab.

Días antes, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) informó que ordenó una investigación para saber si la entonces Procuraduría General de la República usó el software Pegasus para espiar a periodistas, activistas y opositores políticos.

“Estos intentos de infección son temerarios y probablemente indefendibles”, dijo al NYT, John Scott Railton, analista sénior de Citizen Lab, sobre los mensajes enviados a Ríodoce. “Peor aún, para entonces, el cliente mexicano de Pegasus ya había sido expuesto públicamente por abusos en dos ocasiones. ¿Dónde estaba la supervisión interna? ¿Y dónde estaba la supervisión de NSO?”, abundó.

Sin embargo, la empresa israelí aseguró que se atiene “a un estándar riguroso de cumplimiento ético y regulatorio y toma en serio cualquier acusación, sin importar de dónde viene”. Un portavoz añadió al NYT que: “No toleramos el mal uso de nuestros productos en contra de activistas por los derechos civiles, periodistas o personas inocentes. Si se sospecha un mal uso, lo investigamos y tomamos las acciones correspondientes, entre ellas suspender o poner fin a un contrato”.

LA COMPRA DEL SOFTWARE ESPÍA

El entonces director de la Agencia de Investigación Criminal (AIC) de la Procuraduría General de la República (PGR), Tomás Zerón de Lucio -y luego secretario Técnico del Consejo de Seguridad Nacional, hoy prófugo-, fue el funcionario federal que firmó el contrato con la empresa mexicana Grupo Tech Bull para comprar, por 32 millones 16 mil dólares, el programa NSO Pegasus.

Zerón de Lucio y el apoderado del Grupo Tech Bull, Luis Armado Pérez Herrero, firmaron el contrato el 29 de octubre de 2014, cuando el titular de la PGR era Jesús Murillo Karam. La compra incluyó 500 objetivos del programa, que la Procuraduría comenzó a utilizar a finales del 2015, según la cadena Televisa, que dio a conocer el documento de forma exclusiva en junio del 2017.

Según la empresa israelí NSO Group, creadora de Pegasus, por la naturaleza del programa, sólo realiza ventas directas a gobiernos y sin intermediarios para salvaguardar la seguridad nacional. Pero en México no fue así. El software fue vendido a la PGR a través de la empresa proveedora Grupo Tech Bull S.A. de C.V., fundada el 10 de octubre de 2013.

Información pública de la PGR indica que el Grupo Tech Bull es una compañía mexicana que vende inteligencia y seguridad al Gobierno mexicano. Además describe que es una subsidiaria de una compañía llamada Balam Seguridad Privada S.A. de C.V., donde también trabaja Luis Armado Pérez Herrero, quien firmó el contrato con la PGR, y de la cual son socios Asaf Israel Zanzuri y Rodrigo Ruiz Treviño de Teresa.

Balam Seguridad Privada S.A. de C.V., una de las principales proveedoras de sistemas de inteligencia y seguridad del Gobierno Federal, fue investigada previamente por Mexicanos contra la Corrupción y la Impunidad (MCCI), quienes detallaron los vínculos que tiene con la administración de Enrique Peña Nieto, ya que Ruiz de Teresa Treviño, en ese entonces sobrino de Guillermo Ruiz de Teresa, coordinador General de Puertos y Marina Mercante de la Secretaría de Comunicaciones y Transportes (SCT).

Otro dato revelado por el reportaje MCCI, es que la compañía de seguridad se creó en mayo de 2012, a la par de la campaña presidencial de Peña Nieto, misma que Ruiz de Teresa Treviño apoyó, tal como quedó evidenciado en diversas fotografías que el mismo joven compartió a través de sus cuentas en las redes sociales.

En junio del 2017, el diario Milenio publicó que la PGR terminó de instalar a Pegasus en marzo de 2015, cuando Arely Gómez González era la titular de dicha dependencia, nombrada procuradora General de la República el 27 de febrero de 2015, en sustitución de Murillo Karam.

La época en los que se produjeron los intentos de espionaje denunciados por periodistas, activistas y defensores de derechos humanos fue a partir del 10 de noviembre de 2015, recordó el rotativo. El manejo de Pegasus quedó en manos de Gómez González, a través de Christian Noé Ramírez Gutiérrez, quien era el jefe de la Oficina de la Procuradora, según un acta administrativa de la PGR, de la cual Milenio aseguró tiene una copia.

La intervención de dispositivos, a la que la PGR le denomina “Sistema para la realización de actividades sustantivas”, fue operado por 25 personas, que antes habían sido capacitadas para manejar Pegasus, programa con capacidad para espiar a 500 personas al mismo tiempo, según el documento que tiene Milenio.

La oficina de la procuradora recibió el “hardware, software y documentos sobre la implementación y capacitación, garantía de un año y papelería que acreditaba la realización de los cursos de capacitación del uso del sistema para 25 personas en grupos de ocho cada uno”, según el acta.

La PGR, la Secretaría de Defensa Nacional y el Centro de Investigación y Seguridad Nacional eran las instituciones que operaban el sistema malicioso, según el informe del Citizen Lab de la Universidad de Toronto respecto al espionaje a activistas y periodistas.

Comentarios

Tipo de Cambio