El gobierno mexicano nos espía: ¿qué es y cómo funciona Pegasus?

A partir del escándalo de espionaje en México, este texto busca ayudar al lector a cuestionar ciertas políticas relacionadas con su privacidad en línea

Recientemente se dio a conocer que el gobierno mexicano ha estado utilizando un software espía llamado Pegasus para obtener información de distintos defensores de derechos humanos, periodistas y activistas anticorrupción en México. Pero, ¿qué es Pegasus y cómo funciona?, ¿quién lo vende y bajo qué argumentos?

Es así que el objetivo de este escrito es contestar estas preguntas y detonar ciertos cuestionamientos y ciertas dudas en los lectores, sobre todo para reconsiderar nuestras prácticas relacionadas con la tecnología, ser más cuidadosos con nuestros clics y críticos con las políticas de privacidad de las empresas tecnológicas.

¿Qué pasó?

El pasado lunes 19 de junio nos enteramos de que México había salido en la portada del New York Times: “Spyware Meant to Foil Crime Is Trained on Mexico’s Critics” (El software espía diseñado para combatir el crimen es operado en los críticos de México). ¿Cómo?, ¿está insinuando el NYT que el gobierno mexicano utiliza un software espía, orginialmente pensado para combatir fenómenos como el terrorismo y el crimen organizado, en sus incómodos críticos, periodistas, activistas y defensores de derechos humanos?

Tal como se escucha, el NYT entrevistó a distintas personalidades, reconocidas como críticas del actual gobierno mexicano, el cual lidera el presidente Enrique Peña Nieto. Entre estas víctimas del espionaje se encuentran:

  • Juan E. Pardinas. Director general del Instituto Mexicano para la Competitividad, activista anticorrupción encargado de redactar la ley 3 de3, la cual busca hacer más transparente los bienes con los que cuentan los candidatos y los ya funcionarios públicos. Su esposa también fue víctima del software espionaje.
  • Carmen Aristegui. Una de las periodistas con más audiencia en México y reconocida como la principal crítica del actual gobierno mexicano. Ella fue la encargada de dirigir al equipo de investigación que destapó el escándalo de “La Casa Blanca”, una propiedad “obsequiada” a la esposa del presidente por parte de un grupo constructor que misteriosamente tenía varios contratos con el gobierno mexicano. El hijo de Aristegui, Emilio, también recibió un intento de espionaje.
  • Carlos Loret de Mola. Uno de los conductores de noticias más populares en México. Recibió ocho mensajes de texto con un enlace para infectar su dispositivo con el software de espionaje. Loret de Mola comentó al respecto:
    Entonces vieron a los periodistas y pensaron: ‘Estos están sacando estas cosas y nos hacen quedar mal, mejor los espiamos'.
  • Mario Patrón. Director del Centro de Derechos Humanos Miguel Agustín Pro Juárez. Esta organización representa a los padres de los 43 estudiantes desaparecidos de Ayotzinapa, en Guerrero, otro escándalo en la administración del gobierno actual. Él recibió un mensaje relacionado con el GIEI, el grupo interdisciplinario —de expertos internacionales y ajeno al gobierno mexicano— encargado de revisar las investigaciones relacionadas a estas desapariciones. Además de representar a estos padres, el centro liderado por Patrón está involucrado en diversos casos de abusos graves a los derechos humanos en México.
  • Stephanie Brewer . Abogada estadunidense que ha trabajado desde 2007 con el ya mencionado Centro de Derechos Humanos Miguel Agustín Pro Juárez. Ella se encargó de otro escándalo de derechos humanos suscitado hace casi diez años: las mujeres de Atenco. Este caso involucra a un grupo de mujeres, estudiantes universitarias, activistas y vendedoras de mercado que la policía arrestó por unas protestas en San Salvador Atenco, Estado de México. Brewer y otros abogados llevaron este caso a la Comisión Interamericana de Derechos Humanos y después de casi siete años la comisión falló a favor de las mujeres. Este caso es incómodo para el actual presidente, pues en aquellas fechas él era gobernador del Estado de México.
Quizás te interese: WikiLeaks revela que la CIA nos espía con nuestros celulares, tablets y televisores

¿Qué es Pegasus?

Ahora bien, vayamos directo a la gran incógnita. Pegasus es un software espía desarrollado por una compañía israelí llamada “NSO Group”. Este grupo vende herramientas de hackeo de alta tecnología a gobiernos, organizaciones militares y agencias de inteligencia. Un folleto alojado en línea, indica que entre sus servicios ofrece “una poderosa y única herramienta de monitoreo llamada Pegasus”. Esta herramienta “permite el monitoreo invisible y remoto y la extracción completa de datos de un dispositivo objetivo remoto a través de comandos indetectables”. NSO Group fue fundado en diciembre de 2009 por Omri Lavie y Shalev Hulio, dos emprendedores que ya habían fundado previamente algunas otras compañías en Israel. Después, esta empresa fue adquirida por la firma Francisco Partners, la cual tiene su sede en San Francisco, California. Sin embargo, NSO Group siguió operando en Israel.

¿Cómo funciona Pegasus?

Ya sabemos quién vende el software espía Pegasus, pero, ¿cómo funciona? En 2013, un grupo de hackers filtró algunas demostraciones de cómo funcionaba el sistema desarrollado por NSO en teléfonos móviles como BlackBerry, iPhone y Android. Pegasus puede infectar un teléfono objetivo de dos maneras, ambas únicamente a través de mensajes de texto SMS. El método “cero clic” permite al atacante enviar un mensaje SMS especial a una posible víctima, esto ocasiona que se cargue automáticamente en el teléfono un enlace malicioso. La segunda manera, llamada “un clic”, requiere que algún usuario haga clic en un enlace para que el teléfono sea infectado, esto sucede en segundo plano, sin que el usuario se dé cuenta.

Una vez que el dispositivo está infectado, los espías pueden grabar con el micrófono o la cámara del teléfono cuando ellos quieran. También pueden extraer datos personales como calendarios, contactos, contraseñas o descargar toda la información contenida en el dispositivo, esto incluye correos electrónicos, fotos e historiales de búsqueda.

Este GIF elaborado por R3D, un grupo de derechos digitales en México, lo explica de manera clara:

Fuente: R3D
Fuente: R3D

Omar Lavie, cofundador de NSO comentó al respecto:

Tu smartphone es hoy el nuevo walkie-talkie. La mayoría de sus típicas soluciones para la intervención [de dispositivos] son inadecuados, por lo que una nueva herramienta tenía que ser construida.
Somos un completo fantasma. Somos totalmente transparentes para el objetivo y no dejamos rastro

Como era de esperarse, Apple se dio cuenta de esta vulnerabilidad y la corrigió desde la actualización 9.3.5 de su sistema operativo iOS. Por lo tanto, este software no funciona desde entonces, agosto de 2016, solo para los usuarios que descargaron aquella actualización.

¿Cómo operó en México?

Aunque ya dejamos en claro que este software no deja rastro de su intervención, sí es posible verificar cuándo se utilizó el software en un teléfono objetivo. Es así que Bill Marczak investigador en Citizen Lab, confirmó que los smartphones de los activistas y periodistas mexicanos tenían algunos indicios de que este software habría operado en sus dispositivos.

Y es que, curiosamente, todos los afectados por este espionaje recibieron sospechosos mensajes SMS con un enlace. Bastan algunos ejemplos:

  • La esposa de Juan Pardinas recibió un mensaje con un enlace a las pruebas de que su marido la engañaba.
  • En 2015, Carmen Aristegui recibió distintos mensajes de texto con enlaces. Uno pedía ayuda para encontrar a un menor de edad desaparecido, otro contenía una advertencia de cargos desconocidos a su tarjeta de crédito y el otro era una nota de la embajada estadunidense relacionada con su visa.
  • También en 2015, en diciembre, Juan Pardinas recibió un mensaje SMS con el siguiente texto: “En la madrugada falleció mi padre, estamos devastados, te envío los datos del velatorio, espero puedas venir”. Este mensaje venía con un enlace.

Aquí hay otros ejemplos, enviados al teléfono de Simón Barquera investigador del Instituto Nacional de Salud Pública (INSP):

Fuente: R3D.
Fuente: R3D.

Por último, el NYT mencionó que NSO Group cobra a sus clientes gubernamentales de acuerdo al número total de dispositivos a vigilar. Por diez usuarios de iPhone, la compañía cobraba en 2016, $650 mil USD y una cuota única de instalación de $500 mil USD. Es decir, Pegasus requiere una instalación inicial en las facilidades gubernamentales antes de comenzar a operar. Una vez instalado, el atacante ya puede enviar mensajes SMS para infectar los teléfonos de sus víctimas.

Además, los documentos internos de NSO Group detallan contratos multimillonarios con México. En 2013, el gobierno mexicano pagó $15 MDD a NSO por tres proyectos durante tres años. Al respecto declaró Ricardo Alday, portavoz de la embajada mexicana en Washington:

Nuestos sistemas de inteligencia están sujetos a la legislación pertinente en México y cuentan con autorización legal. Estos no son utilizados en contra de periodistas o activistas. Todos los contratos con el gobierno federal van de acuerdo con la ley.
Por su parte, el presidente de México, Enrique Peña Nieto, negó categóricamente que su gobierno haya estado espiando a sus ciudadanos... ¿o no?:
"Resulta muy fácil convocar para que se señale al gobierno como alguien que espía o como una entidad que espía. Nada más falso que eso. Porque ninguna de las personas que se sienta agraviada puede afirmar, o mostrar, o evidenciar si quiera, que su vida se haya visto afectada, lastimada por esas supuestas intervenciones y por ese supuesto espionaje. Somos una sociedad, que las más de las veces nos sentimos espiados, yo mismo, como presidente de la República. A veces recibo mensajes cuya fuente u origen desconozco. Pero, procuro, en todo caso, ser cuidadoso en lo que hablo telefónicamente. No faltará quien alguien (sic) o que alguna vez exhiban alguna conversación mía, ya ha ocurrido, ya ha pasado. Pero, nada más falso y nada más fácil que señalar a un gobierno que se dedique a esta actividad. El uso de inteligencia que tiene el gobierno es para mantener condiciones de seguridad para la sociedad mexicana".

Pareciera entonces que el presidente trató de negar el espionaje, pero luego admitió que él también es espiado. Entonces, si el gobierno es víctima también, ¿quién es el encargado de regular la privacidad de los mexicanos?, ¿quién se encarga de proteger nuestros datos alojados en línea?

Quizás te interese: ¿Qué es la neutralidad de red?

Conclusión

Para cerrar, es necesario precisar que estos sistemas de inteligencia se encuentran dentro del “área gris” de la ley y no son muy claros al respecto. Sin embargo, lo preocupante aquí es el nivel de vulnerabilidad con que contamos los usuarios de dispositivos electrónicos. ¿A alguien más le preocupa su privacidad? Es verdad que este tipo de software espía es muy costoso y el gobierno (y aquellos con el capital para adquirirlo) solo lo utilizará con ciertos usuarios específicos. Aun así, incluso el presidente admite sentirse espiado, ¿no les parece un buen momento para ocuparnos de nuestra huella en línea, para cuestionar las políticas de privacidad de los fabricantes de dispositivos electrónicos y de los desarrolladores de plataformas de redes sociales?, ¿no será un buen momento para exigir al gobierno que nos explique cómo protege nuestros datos y cómo es que los utiliza?

Tags:

Deja tu comentario

Nuevo

Ver Más

Trending

Ver Más

Lo Mejor

Ver Más

  • Nuevo

  • Trending

  • Lo Mejor

Ver Más
Subir
Advertising