El 2 de marzo de 2017, el periodista mexicano Cecilio Pineda sacó su teléfono celular y en una transmisión en vivo de Facebook habló sobre una supuesta colusión entre la Policía estatal y local y el líder de un cartel de la droga. Dos horas después estaba muerto: dos hombres en una motocicleta le dispararon al menos seis veces.

Unas semanas más tarde, Forbidden Stories, una red global de periodistas involucrados en investigaciones, confirmó que no solo Pineda sino también el fiscal estatal que investigó el caso, Xavier Olea Peláez, fueron el objetivo del software espía Pegasus en las semanas y meses antes de su asesinato.

El teléfono de Pineda nunca fue encontrado, después de que hubiera desaparecido de la escena del crimen cuando llegaron las autoridades.

Dos semanas después de que el columnista del Washington Post, Jamal Khashoggi, fuera asesinado en el consulado saudí en Estambul, Turquía, en octubre de 2018, la organización de derechos digitales Citizen Lab informó que un amigo cercano de Khashoggi, Omar Abdulaziz, había sido atacado con el software Pegasus desarrollado por NSO Group Technologies, una empresa de tecnología israelí.

Nuevas revelaciones de Forbidden Stories y sus socios han descubierto que el software espía Pegasus se instaló con éxito en el teléfono móvil de la prometida de Khashoggi, Hatice Cengiz, solo cuatro días después de su asesinato. El teléfono del hijo de Khashoggi, Abdullah, fue seleccionado como objetivo de un cliente de NSO, según el análisis de los datos filtrados del consorcio.

Ver también: Fiscalía en Francia abre investigación contra el software espía Pegasus

En general, se afirma que los teléfonos de 180 periodistas de todo el mundo han sido seleccionados como objetivos por clientes de NSO Group Technologies. Su software espía Pegasus permite la vigilancia remota de teléfonos inteligentes.

Forbidden Stories, que llevó a cabo investigaciones junto con el Laboratorio de Seguridad de Amnistía Internacional, descubrió que los teléfonos de muchos políticos, activistas de la sociedad civil e incluso jueces estaban siendo monitoreados en muchos países, violando las leyes de privacidad.

Según la red global, tuvieron acceso a una filtración de más de 50.000 registros de números de teléfono pertenecientes a periodistas, políticos, funcionarios, activistas e incluso jueces que los clientes de NSO habían seleccionado para su vigilancia.

Análisis forense

Los análisis forenses de sus teléfonos, realizados por el Laboratorio de seguridad de Amnistía Internacional y revisados ​​por pares de la organización canadiense Citizen Lab, pudieron confirmar la infección o el intento de infección con el software espía de NSO Group en el 85% de los casos.

“Las cifras muestran claramente que el abuso es generalizado, pone en peligro la vida de los periodistas, la de sus familiares y asociados, socava la libertad de prensa y provoca el cierre de medios importantes”, dijo Agnes Callamard, relatora especial sobre ejecuciones extrajudiciales, sumarias o arbitrarias nombrada por el Consejo de Derechos Humanos de la ONU y directora del proyecto Global Freedom of Expression de la Universidad de Columbia.​

NSO Group, en una respuesta escrita a Forbidden Stories, dijo que los informes del consorcio se basaban en "suposiciones erróneas" y "teorías no corroboradas" y reiteró que la empresa tenía la "misión de salvar vidas".

“La supuesta cantidad de datos filtrados de más de 50.000 números de teléfono no puede ser una lista de números a los que apuntan los Gobiernos que usan Pegasus”, agregó.

NSO Group sostiene que su tecnología es usada exclusivamente por agencias de inteligencia para rastrear criminales y terroristas. Según el informe de transparencia y responsabilidad de NSO Group, publicado en junio de este año, la empresa tiene 60 clientes en 40 países de todo el mundo.

Ver también: ONU califica como alarmante la persecución a periodistas y defensores de derechos humanos mediante software espía

Pegasus "no es una tecnología de vigilancia masiva y solo recopila datos de los dispositivos móviles de individuos específicos sospechosos de estar involucrados en delitos graves y terrorismo", aseguró NSO Group en el informe.

En India, el teléfono de Paranjoy Guha Thakurta, periodista de investigación y autor de varios libros, fue pirateado en 2018.

Citando a Thakurta, Forbidden Stories dijo que fue atacado cuando trabajaba en una investigación sobre las finanzas del famoso grupo empresarial Ambani.

"El propósito de ingresar a mi teléfono y ver quiénes son las personas con las que estoy hablando sería averiguar quiénes son los que nos han brindado información a mí y a mis colegas", dijo.

Thakurta es uno de al menos 40 periodistas indios seleccionados como objetivos de un cliente de NSO en India, según el análisis de los datos filtrados.

Los teléfonos de dos de los tres cofundadores del medio de noticias en línea independiente The Wire, Siddharth Varadarajan y MK Venu, fueron infectados por Pegasus y el teléfono de Venu fue hackeado en julio.

Los periodistas en la mira

Otros periodistas que trabajan o han contribuido con el medio de comunicación independiente The Wire, incluidos el columnista Prem Shankar Jha, el reportero de investigación Rohini Singh, el editor diplomático Devirupa Mitra y el colaborador Swati Chaturvedi, fueron seleccionados como objetivos, según los registros a los que tuvo acceso Forbidden Stories y sus socios.

"Fue alarmante ver tantos nombres de personas vinculadas a The Wire", dijo Varadarajan, cuyo teléfono se vio comprometido en 2018.

Al dirigirse al Parlamento el lunes, el ministro de Tecnología de la Información indio, Ashwini Vaishnaw, dijo que "no hay argumentos detrás de estas afirmaciones sensacionalistas” y que "con controles y equilibrios establecidos, la vigilancia ilegal [es] imposible".

"Anoche se publicó una historia muy sensacionalista en un portal web. Se hicieron muchas acusaciones exageradas en torno a esta historia. Los informes de prensa aparecieron un día antes de la sesión del parlamento. Esto no puede ser un coincidencia", dijo Vaishnaw.

El ministro describió estas revelaciones como un intento de difamar la democracia india.

El Comité para la Protección de los Periodistas (CPJ) había documentado anteriormente 38 casos de software espía desarrollados por empresas de software en cuatro países y utilizado contra periodistas en nueve países desde 2011.

¿Cómo actúa Pegasus?

Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation (EFF), fue una de las primeras investigadoras de seguridad en identificar y documentar ciberataques contra periodistas y defensores de los derechos humanos en México, Vietnam y otros lugares a principios de la década de 2010.

“En 2011, recibía un correo electrónico y el correo electrónico iría a su computadora, y el malware estaría diseñado para instalarse en su computadora”, dijo.

Pero la instalación del software espía Pegasus en los teléfonos inteligentes se ha vuelto más sutil. En lugar de que el objetivo tenga que hacer clic en un enlace para instalar el software espía por error, los llamados ataques de "clic cero" permiten al espía tomar el control del teléfono sin ninguna participación de parte del objetivo.

Una vez instalado con éxito en el teléfono, el software espía Pegasus brinda a los clientes de NSO acceso completo al dispositivo y, por lo tanto, la capacidad de eludir incluso las aplicaciones de mensajería encriptadas como Signal, WhatsApp y Telegram. Pegasus se puede activar a voluntad hasta que se apague el dispositivo. Tan pronto como se vuelva a encender, el teléfono se puede volver a infectar.

Según Galperin, los operadores de Pegasus pueden grabar audio y video de forma remota, extraer datos de aplicaciones de mensajería, usar el GPS para rastrear la ubicación y recuperar contraseñas y claves de autenticación, entre otras cosas.

Ver también: Medio británico reporta que más de 180 periodistas habrían sido espiados a través de empresa de vigilancia israelí

Los Gobiernos espías se han movido en los últimos años hacia una estrategia más de "golpe y fuga" para evitar la detección, dijo la experta, infectando teléfonos, filtrando los datos y saliendo rápidamente del dispositivo.

A lo largo de los años, los Gobiernos de todo el mundo han puesto en marcha estrategias para hacer inteligencia utilizando tecnología en lugar de humanos. En el pasado, desarrollaron herramientas de software espía internamente hasta que empresas privadas de software espía como NSO Group, FinFisher y Hacking Team intervinieron para vender sus productos a los Gobiernos, según Galperin.

En junio de 2021, la empresa francesa de software espía Amesys fue acusada de “complicidad en actos de tortura” por vender su software espía a Libia entre 2007 y 2011. Según los demandantes, en ese caso, la información obtenida a través de la vigilancia digital se utilizó para identificar y perseguir a los opositores del depuesto dictador Muammar Gaddafi, que luego fueron torturados en prisión.

Las revelaciones derivadas de esta investigación colaborativa internacional han puesto en duda las salvaguardas implementadas para prevenir el uso indebido de armas cibernéticas como Pegasus y, más específicamente, el compromiso de NSO Group de crear "un mundo mejor y más seguro".

*Maria Paula Triviño contribuyó con la redacción de esta nota.