Una reciente investigación de medios y activistas mexicanos, junto con el Citizen Lab de la Universidad de Toronto, un centro especializado en seguridad digital, puso en evidencia el uso en ese país del software Pegasus, diseñado por la empresa privada israelí  NSO Group.

En 2020, un informe de Citizen evidenció que en el Ecuador hubo por lo menos un operador de esa misma tecnología, e inclusive se hicieron públicas las direcciones IP desde donde se conectaba a internet en nuestro país. 

Según las investigaciones realizadas por el colectivo mexicano, que publicó su investigación en la página Ejército Espía señalando directamente a la Secretaría de la Defensa y a la inteligencia militar de ese país, por medio de un representante en México, el actual Gobierno de Andrés Manuel López Obrador habría comprado el software espía de la empresa israelí, que ha asegurado que solo vende a gobiernos para fines de seguridad nacional.

Qué es el "clic-cero" del Pegasus

El programa, en sus versiones más recientes y sofisticadas, puede acceder a teléfonos celulares y otros dispositivos sin que el usuario abra un link específico, ya sea por medio de SMS falsos, o por mensajes y llamadas de Whatsapp que han sido infectadas aprovechando vulnerabilidades de la red de mensajería y de los propios equipos celulares. 

Si antes se requería de que el usuario reciba un enlace contaminado y lo abra, para instalar sin querer el virus espía en sus dispositivo, se ha podido establecer que en la actualidad las versiones más modernas de este tipo de malware aprovechan las llamadas "vulnerabilidades inéditas" es decir, fallas de seguridad que no han sido detectadas por los fabricantes de los celulares y computadoras, así como de las aplicaciones de mensajería, para infectar dispositivos. 

"Mientras la versión de Pegasus documentada en 2017 requería la interacción del usuario, las versiones más recientes utilizan vulnerabilidades de clic-cero (zero-clic) para sus ataques. Esto implica que ya no es necesario que el objetivo interactúe de ninguna manera ─como hacer clic en un enlace o abrir un archivo─ para lograr una infección del dispositivo", enfatiza la investigación mexicana.

En 2019, una vulnerabilidad de WhatsApp, que ya habría sido corregida, permitió a Pegasus realizar infecciones solo con una videollamada perdida. Tanto los dispositivos de Android como los de Apple son susceptibles de ser infectados y al lograr el control remoto del dispositivo, los espías pueden leer los mensajes tanto de las redes de mensajería como WhatsApp o Signal, las llamadas, la ubicación, las libreta de contactos, correos electrónicos, las fotos y videos y todo lo que esté en el celular. Pueden inclusive hacer copias de cada elemento y no requieren estar conectados permanente, pues el robo de información puede ocurrir en un solo ataque. Remotamente, es posible encender la cámara y micrófono del celular para escuchar o grabar las conversaciones y también es posible hacer capturas de pantalla de lo que se esté viendo en ese momento. 

"Al poder atacar un dispositivo en prácticamente cualquier momento, ya no es necesario que la infección persista por días o semanas. Así mismo, el atacante puede tener acceso a registros (logs) de mensajes, con lo que puede obtener el histórico de meses de conversaciones en un solo ataque", enfatiza Ejército Espía.

Tanto Citizen Lab de la Universidad de Toronto cuanto Amnistía Internacional han desarrollado programas de análisis forense de los equipos, que requieren la instalación en una computadora y la conexión del celular a ella con el fin de detectar los rastos del Pegasus. Si la infección es detectada, se recomienda resetear el dispositivo, aunque si el celular está siendo controlado remotamente no esto no será efectivo, pues el Pegasus se queda en los archivos preinstalados del sistema y vuelve a operar. En esos casos, se recomienda desechar el equipo. 

Según un informe de Citizen Lab, las víctimas de Pegasus en México fueron infectadas por medio de SMS enmascarados como cuentas de bancos o aerolíneas, que contenían un enlace en donde estaba el acceso al Pegasus. 

Por su parte, en un documento sobre Transparencia publicado en 2021, la empresa israelí asegura que su spyware tiene propósitos muy nobles, entre los que enumera evitar atentados con coche bomba, combatir redes de pedofilia, auxiliar a personas atrapadas en edificios derrumbados, rescatar niños secuestrados y hasta combatir el covid.

Según dice NSO Group, tiene 60 clientes en 40 países, de los que el 51% son agencias de inteligencia, el 11% fuerzas militares y el 38% agencias de investigación judicial, como fiscalías. Según ellos, Pegasus es únicamente para reunir información sobre criminales y terroristas previamente identificados. En su descargo, dicen que cuando venden sus licencias se obliga a los gobiernos y agencias de inteligencia y fiscalías a no usarlos contra grupos humanos por motivos de raza, color, sexo, lenguaje, religión, opiniones políticas, entre otros criterios.

Ecuador:  las oscuras relaciones con Hacking Team, Galileo y Circles 

Un informe del Citizen Lab de Canadá, publicado en diciembre de 2020,  dio cuenta de que un estudio realizado tras la pista de un software de intersección telefónica vendido por una empresa denominada Circles evidenciaba que dicho sistema operaba en Ecuador. Se ha podido determinar que el sistema de intervención telefónica de Circles, que puede acceder a conversaciones de los celulares, puede ser usado también para enviar mensajes de SMS falsos que está infectados con el Pegasus, por lo que se advirtió sobre el peligro del uso de ambos sistemas.

En la región, se pudo determinar que el programa espía era usado en Ecuador, Perú, Chile, México, Guatemala, entre otros.

El informe determinó que en Ecuador habría un cliente de esta tecnología conocido con el seudónimo de Excalibur Cosmos, que habría estado operativo entre 2015 y 2017. Se pudo determinar que el programa de Circles se usaba desde las direcciones IP ecuatorianas 181.113.61.242 – 244, 181.211.37.50 – 52,  y 181.39.50.66 – 68. Citizen Lab no pudo identificar la identidad de la entidad que estaba operando con Circles en Ecuador. 

Durante el Gobierno correísta,  en julio de 2015, se conoció por medio de filtraciones de Wikileaks la relación entre la Secretaría de Inteligencia y la empresa italiana Hacking Team. En los correos filtrados por Wikileaks se pudo establecer como la firma italiana, que vendía un programa similar al actual Pegasus llamado Galileo, había enviado emisarios a reunirse con el Ministerio de Defensa y la Secretaría de Inteligencia en Quito. Al parecer, la empresa italiana actuaba por medio de un intermediario con sede en Bogotá, llamado Robotech.  Según se estimó en la época, el gobierno correísta había gastado hasta 535 mil euros en estos sistemas de espionaje de Hacking Team y  había por lo menos 25 operadores dedicados a usar el spyware en la Senain. En algunos de los correos, los informáticos italianos se burlaban a la ineptitud de los técnicos ecuatorianos encargados del espionaje. 

Aunque la Senain desmintió cualquier relación con Hacking Team, no quedó nunca claro qué pasó con las licencias y equipos que se usaban para esa red de espionaje ni a quiénes pudieron haber infectado con el spyware Galileo. Fuentes del Gobierno anterior y de este dijeron que no se encontró rastro de Galileo ni de sus licencias en las máquinas de la Senain, por lo que se cree que pudieron ser sustraídas con el fin del correato. Sin embargo, se cree que Galileo ya es una tecnología obsoleta que ya no se usa para el espionaje digital. 

El caso mexicano

Ejército Espía ha sido publicado por ARTICLE 19 México y Centroamérica, y SocialTIC, con el apoyo del Citizen Lab de la Universidad de Toronto, ha contado con la colaboración de los medios mexicanos Animal Político, Aristegui Noticias y Proceso.

Según Ejército Espía, "Esta investigación demuestra que, contrario a las promesas del actual presidente, la Secretaría de la Defensa Nacional (SEDENA) adquirió durante este gobierno un sistema de monitoreo remoto de información a la empresa con representación exclusiva para vender Pegasus en México. Las evidencias también prueban que la SEDENA ha mentido sistemáticamente a diversas instancias para ocultar la existencia de dicho contrato".

"Publicamos este trabajo colaborativo con la esperanza de que contribuya a desmontar ─de una vez por todas─ la arbitrariedad de los aparatos de inteligencia que operan sin rendición de cuentas, propiciando violaciones a derechos humanos y negando a la sociedad el acceso a la verdad y la justicia", destacan los autores de la investigacion, quienes enfatizan que las Fuerzas Armadas mexicanas, sin orden judicial, estarían vigilando a periodistas, activistas, abogados y opositores por medio de este tipo de tecnologías.

La investigación forense fue realizada en la Universidad de Toronto, Canadá, por el Citizen Lab, una instancia especializada en este tipo de tecnologías y requirió acceso a los dispositivos de tres personas. Una de ellas fue Raymundo Ramos Vázquez, un defensor de DDHH en el estado de Tamaulipas y  Presidente del Comité Estatal de Derechos Humanos de Nuevo Laredo. Su labor está vinculada a la denuncia de desapariciones forzadas, tortura, ejecuciones extrajudiciales, entre otros abusos perpetrados por las Fuerzas Armadas en su región.

Según el reporte forense, sus dispositivos evidenciaban que fue vigilado con Pegasus en por lo menos tres ocasiones entre agosto y septiembre de 2020. 

También se pudo precisar que el periodista Ricardo Raphael, columnista en Proceso y Milenio Diario y conductor del noticiario matutino en el canal ADN40 sfrió un ataque similar en su celular. Sus columnas, explica Ejército Espia, proporcionan información y ofrecen contexto relevante al debate público, en especial en torno a escándalos políticos, investigaciones periodísticas y casos judiciales, en especial en casos de violaciones de derechos humanos cometidas por las Fuerzas Armadas. Por lo menos en cuatro ocasiones, su celular fue vigilado por medio del Pegasus: entre octubre y noviembre de 2019 y en diciembre de 2020.

Finalmente, un periodista del medio digital Animal Político, que prefierió mantener su nombre en reserva, fue atacado con el mismo malware en 2021. La investigación señala que el medio digital vio comprometida su seguridad al acceder los atacantes a los chats con la redacción de Animal Político. Al igual que en los casos anteriores, el periodista y el medio habían publicado información relacionada con abusos cometidos por las Fuerzas Armadas mexicanas. 

El NSO Group y sus negocios ocultos en México

El programa espía con el que se atacó a estas personas en México es diseñado por una empresa privada de Israel, llamada NSO Group. Según dicha empresa, nunca vende el malware a particulares sino a gobiernos, fiscalías y agencias de inteligencia, con el fin de usarse en temas de seguridad nacional y procuración de justicia. Este es un requisito obligatorio, segun dijeron ejecutivos de NSO Group ante cortes de Estados Unidos, que dijeron que siempre se aseguran a vender a  gobiernos extranjeros o agencias de seguridad nacional y/o procuración de justicia autorizadas por un gobierno extranjero, aunque indicios encontrados en México evidencian que las ventas del malware espía son camufladas por medio de otras empresas y que el propio producto habría sido vendido al Gobierno de México con otro nombre para despistar.

Una ley de control de exportaciones en Israel obliga a la empresa a registrar sus ventas antes el ministerio de Defensa del Estado hebreo. Inclusive, la empresa declaró que obliga a sus clientes a firmar un certificado de gobierno a gobierno donde se comprometen a no transferir la tecnología a terceros, según reseña Ejército Espía.

En México, se conoce que instancias como la Procuraduría General de la República (Fiscalía General) y las Fuerzas Armadas habrían comprado licencias de Pegasus, aunque el actual presidente, Andrés Manuel López Obrador, negó que actualmente se esté utilizado el programa espía en ese país.

En España, se denunció como los servicios secretos españoles espiaban con Pegasus a los políticos de ese país, como el actual presidente Pedro Sánchez y su entorno o buena parte de los líderes catalanes que intentaron la proclamación de una República en Cataluña con la intención de separarse del Reino de España. Por lo menos 63 políticos y activistas fueron blancos de Pegasus en España entre 2017 y 2020, así como de otro spyware llamado Candiru. Antes, los servicios secretos españoles habían sido clientes de Hacking Team, una empresa italiana con sede en Milán que también desarrolló un programa parecido, llamado Galileo, que se habría usado en Ecuador durante el correato. 

Ante el escándalo, según reseña Ejército Espía, "NSO Group ha recurrido al uso de alias para intentar que su malware eludir el escrutinio público. La empresa israelí, por ejemplo, emplea el nombre de Q Cyber Technologies para tratar de pasar desapercibida y se refiere a su producto simplemente como Q Suite. Entre los nombres alternos de Pegasus que han sido identificados se encuentran Minotaur, en Tailandia, utilizado para espiar a activistas del movimiento prodemocracia en el país asiático. NSO Group también trató de vender Pegasus al Buró Federal de Investigación (FBI) de los Estados Unidos en 2019, bajo el nombre de Phantom, según reveló un reportaje de The New York Times".

El objetivo de estos cambios de nombres por parte de la empresa israelí, apunta Ejército Espía, es hacer "más difícil su detección a través de búsquedas de contratos o solicitudes de acceso a la información, además de que permiten a los gobiernos ocultar que cuentan con el malware".

Israel y la seguridad ecuatoriana

La compra de material militar a Israel es una práctica de vieja data en Ecuador. Aviones de combate como los K-fir, actualmente fuera de servicio, fueron comprados en los 80 y noventa a las industrias aeroespaciales israelíes para el uso de la Fuerza Aérea Ecuatoriana. Durante el correato, en cambio, se hicieron compras de material militar chino e hindú, como el caso de los helicópteros Dhruv que resultaron de mala calidad y sobre cuya adquisición se sigue un proceso por peculado contra los responsables.

En mayo pasado, el presidente Guillermo Lasso visitó Israel, donde fue recibido por el jefe del Estado hebreo, Isaac Herzog. El presidente enfatizó en Twitter que la visita tiene relación con fortalecer la cooperación con Israel en materia de seguridad.

Nuestra visita en Israel tiene varios objetivos, entre ellos fortalecer a Ecuador en materia de seguridad. Son distintas aristas que vamos a cubrir en estos días junto a expertos. Gracias al embajador @Zeev_Harel y a @JonathanPeled de @IsraelMFA por el recibimiento. pic.twitter.com/Lx0uhCLDZX

— Guillermo Lasso (@LassoGuillermo) May 9, 2022

Según la información oficial, Lasso visitó a Start-Up Nation Central, una instancia que promueve a empresas de Israel que realizan innovación en diversos ámbitos. En el directorio de esa organización aparece registrada la fabricante de Pegasus, NSO Group.

Durante una visita a la Industria Aeroespacial de Israel (IAI) el presidente Lasso destacó el interés del Gobierno en sistemas de monitoreo e inteligencia para la lucha contra el narcotráfico, según anunció en Twitter. La IAI, que es la fabricante de los K-fir de décadas pasadas, sigue fabricando aviones, pero ahora también hace drones y tiene una robusta división cibernética, con herramientas destinadas sobre todo a la ciberseguridad de instalaciones militares.

Seguridad y tecnología para el Ecuador. La lucha contra las estructuras criminales es una prioridad. Durante nuestra visita a Israel buscamos consolidar la cooperación de esta nación y replicar su sistema de seguridad, defensa e inteligencia en el país. pic.twitter.com/3f8owb8vpW

— Guillermo Lasso (@LassoGuillermo) May 10, 2022

¿Estuvo la compra de algún tipo de tecnología de monitoreo como Pegasus en la mesa de negociación con Israel y su industria militar? Consultamos al respecto al secretario de Seguridad, Diego Ordóñez, pero no hemos obtenido respuesta hasta la publicación de esta nota. 

Sin embargo, este portal pudo conocer que buena parte de la nueva estrategia de seguridaad del Estado, que consta en un documento reservado cuya portada mostró el presidente Lasso en una entrevista con el canal estatal TC Televisión, se sostendría en la maquinaria militar israelí y las empresas de su complejo de seguridad, tanto públicas cuanto privadas.