Así operó Pegasus en México para espiar a periodistas, políticos, sociedad civil y defensores de derechos humanos entre 2016 y 2017.

La investigación periodística internacional “Pegasus Project” revela que entre 2016 y 2017 el gobierno de México espió (o intentó espiar) a periodistas, civiles y defensores de derechos humanos con el software Pegasus. Se trata de un programa que espía teléfonos móviles creado por NSO Group contra criminales y terroristas que México compró y potencialmente utilizó en contra de 15 mil números telefónicos, entre los que aparecen periodistas, víctimas de violaciones de derechos humanos e incluso personas cercanas al ahora presidente Andrés Manuel López Obrador.

Hace cuatro años, una investigación de ARTICLE 19, R3D: Red en Defensa de los Derechos Digitales y SocialTIC reveló que el gobierno mexicano vigilaba de manera ilegal a personas que criticaban las acciones del Estado en materia de violaciones a derechos humanos, corrupción, política e inseguridad. 

Ahora, una investigación hecha por más de 80 periodistas y 17 medios de comunicación en 10 países – coordinada por Forbidden Stories y con el apoyo de Amnistía Internacional- revela que el gobierno de Enrique Peña Nieto (2012-2018) registró más de 15 mil teléfonos para espiar con Pegasus a periodistas, abogados, activistas, diplomáticos, maestros, jueces, doctores, familiares de personas que criticaban al Estado.

Esto confirma el uso de malware de espionaje en contra de periodistas y defensores de derechos humanos. Además reafirma el patrón de abuso de los sistemas de vigilancia en las extintas Procuraduría General de la República (PGR) y el Centro de Investigación y Seguridad Nacional (CISEN), según ARTICLE 19.

Entre los blancos de ataques se encuentran promotores del impuesto a bebidas azucaradas, familiares de los 43 normalistas de Ayotzinapa, el círculo cercano de Andrés Manuel López Obrador, periodistas de Aristegui Noticias, el Centro Miguel Agustín Pro Juárez (Centro Prodh), periodistas de Proceso, el periodista Cecilio Pineda (asesinado el 2 de marzo de 2017 en Guerrero), Claudia Sheinbaum (actual Jefa de Gobierno de la Ciudad de México), integrantes del Partido Acción Nacional (PAN), el Partido de la Revolución Democrática (PRD) y más.

Pegasus en México: ¿quién lo contrató?

Pero, ¿quién atacaba? Solo un gobierno puede comprar el malware Pegasus a NSO Group. De acuerdo con R3D, la Secretaría de la Defensa Nacional (SEDENA), la Procuraduría General de la República (PGR) y el Centro de Investigación y Seguridad Nacional (CISEN) compraron la plataforma de espionaje Pegasus.

En 2017, las personas afectadas denunciaron el espionaje ante la PGR y solicitaron medidas cautelares a la Comisión Nacional de los Derechos Humanos (CNDH), pero a la fecha el caso sigue impune.

Además, en 2018 el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ordenó a la PGR entregar una versión pública uno de los contratos con el que se compró Pegasus, pero le permitió mantener reservados los nombres y puestos de quienes suscribieron el contrato, así como la información técnica relacionada con el equipo de vigilancia.

En 2019, este mismo Instituto determinó que la PGR incurrió en violaciones a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados porque no cumplió con sus deberes de seguridad y el principio de responsabilidad.

La investigación de R3D sugiere que no se suspendió la operación de Pegasus, “salvo por un breve periodo en 2017 en que la infraestructura fue parcialmente desactivada y posteriormente complementada por nuevos servidores”.

¿Cómo opera el malware de espionaje Pegasus?

La plataforma de espionaje de la empresa israelí NSO Group, Pegasus, se infiltra en teléfonos celulares para acceder a toda la información del dispositivo: mensajes, correos, contactos, audios de llamadas, apps de mensajería, registro de cada tecla oprimida, datos de geolocalización e información obtenida al activar el micrófono y la cámara de manera remota.

Para entrar al celular lo primero que pasaba era que llegaba un mensaje de texto con una frase personalizada y un link aparentemente inofensivo. Cada uno de estos mensajes fue personalizado al objetivo y estaba diseñado para atraer la atención del usuario y causarle miedo, preocupación o intriga para que diera click en el link. 

Por ejemplo, al teléfono de la periodista Carmen Aristegui llego un mensaje con este texto: “PROBLEMA CON TU VISA ACUDE PRONTAMENTE A LA EMBAJADA. VER DETALLES: hxxp://smsmensaje[.]mx”. En cambio, Alejandro Calvillo, director de El Poder  del Consumidor, le enviaron un mensaje que decía “Alejandro perdoname, pero acaba de fallecer mi padre,estamos mal, t envio los datos del velatorio, espero asistas hxxtp:/bit.ly/xxxxxx”.

Cuando los objetivos abrieron el link apareció una página en blanco y se cerró el navegador, pero al mismo tiempo se descargó e instaló inadvertidamente el software malicioso. Una vez infectado el celular, el atacante tomaba control silencioso del dispositivo y accedía a toda la información almacenada, de acuerdo con la investigación de Red en Defensa de los Derechos Digitales.