CIUDAD DE MÉXICO (proceso).- “La empresa se preocupa por los periodistas, los activistas y la sociedad civil en general”, sostiene Shalev Hulio, fundador y director ejecutivo de NSO Group, la empresa que desarrolla el spyware Pegasus.

Inmediatamente después, el empresario israelí agrega: “Entendemos que en algunas circunstancias nuestros clientes puedan hacer mal uso del sistema y, a veces como hemos reportado en nuestro informe de transparencia, hemos apagado sistemas para clientes que han hecho este mal uso”.

Hulio ofrece estas declaraciones en la tarde de este domingo 18, en una llamada sorpresiva al Washington Post realizada horas después que los 17 medios en 10 países que participaron en la investigación Pegasus Project –entre ellos Proceso-- publicaran sus primeros reportajes, que revelaron cómo agencias gubernamentales de al menos 10 países usaron el programa para espiar o tratar de espiar periodistas, defensores de derechos humanos y opositores políticos.

Agencias del gobierno de Enrique Peña Nieto destacaron por la magnitud del acecho contra periodistas, defensores de derechos humanos y actores políticos de oposición, cuyos números telefónicos fueron seleccionados de manera masiva en sus plataformas Pegasus entre 2016 y 2017.

“Cualquier señalamiento sobre el mal uso del sistema me preocupa. Viola la confianza que damos a los clientes; investigamos todas las alegaciones”, abunda Hulio, apenas un día después que NSO Group amenazara con demandar por difamación a los medios que participaron en la investigación colaborativa, coordinada por Forbidden Stories con el apoyo técnico del Security Lab de Amnistía Internacional.

Sin embargo, más allá de su uso ilegal masivo por parte del gobierno de Peña Nieto, el programa también fue utilizado de manera legal en investigaciones sobre redes de la delincuencia organizada, es decir, con respaldo de ordenes judiciales: un análisis de los más de 15 mil números telefónicos mexicanos ingresados en plataformas Pegasus sugiere que la mayoría de sus dueños pudieron ser miembros de grupos criminales de diversas regiones del país –especialmente en Jalisco, Guerrero, Tamaulipas o Sinaloa--, o integrantes de sus círculos cercanos.

Estos datos forman parte de los más de 50 mil registros telefónicos seleccionados por clientes de NSO que fueron filtrados a Forbidden Stories (FS) y Amnistía Internacional (AI), y compartidos a Proceso y otros 16 medios en 10 países en el marco de la investigación periodística internacional Pegasus Project, coordinada por FS con el apoyo técnico del Security Lab de AI.

Una persona que trabajó en un área de la extinta Procuraduría General de la República (PGR) sostiene que la herramienta era muy valiosa en investigaciones criminales, y lamenta que su uso contra periodistas y defensores de derechos humanos –revelada en junio de 2017 en el reporte “Gobierno Espía”-- haya opacado su relevancia en materia de lucha contra el crimen organizado.

En eco a este planteamiento, Guillermo Valdés Castellanos, quien fue director del Centro de Investigación y Seguridad Nacional (Cisen) durante el sexenio de Felipe Calderón Hinojosa, sostiene en entrevista con Mary Beth Sheridan, del Washington Post –también parte de Pegasus Project-- que Pegasus “es muy útil para combatir el crimen organizado”, y abunda: “pero la falta de rendición de cuentas lo hace terminar fácilmente en las manos privadas y ser usado para fines políticos o personales”.

Después de estallar el escándalo Gobierno Espía, por lo menos la PGR y el Cisen desaparecieron Pegasus de sus sistemas; de aquellas plataformas, solo quedan algunos contratos, la mayor parte de los cuales están reservados.

Corrupción por naturaleza

Un exemplado de NSO recuerda que la empresa exige sus subordinados a tomar capacitaciones en materia de prevención de la corrupción, o de colaboración con agencias de seguridad; sin embargo, sostiene que dichos protocolos quedaron en palabras cuando se dio a conocer el primer caso documentado de espionaje con Pegasus contra el activista Ahmed Mansoor, en agosto de 2016.

“Después de llegar con ellos con las noticias que habíamos leído, nos decían que existe un comité que revisa con el cliente si abuso de sus productos, y cómo, para ver lo que podían hacer; pero en la mayoría de los casos el contrato no los dejaba sancionar de manera fuerte a los clientes”, dice, y agrega: “Incluso si la empresa intentara ser más justa y tratar de tener más control sobre su herramienta, al fin de cuentas son clientes y gobiernos, y no todos tienen el mismo control sobre las agencias de gobierno”.

Según el exempleado, el programa suele venderse en “países que no pueden costear un proceso de investigación y desarrollo (de tecnologías espías) por sí mismo”.

En estos casos, señala, “siempre existía la pregunta de qué tan corruptos son, respecto a estándares occidentales; toma México, por ejemplo: sería ingenuo pensar que van a tener los mismos procedimientos democráticos que Alemania, y es como una trampa, porque necesitan luchar contra el terrorismo y el narcotráfico, pero también son corruptos, así que pueden usar (Pegasus) para ambos, bien y mal”.

De hecho, recuerda que, después de enterarse de casos de la desaparición forzada de los 43 normalistas de Ayotzinapa –y el uso de Pegasus contra varios de las víctimas y sus acompañantes--, un colega y él decidieron renunciar. “Es una herramienta que puede salvar vidas, permite capturar terroristas o narcotraficantes, pero la naturaleza de los países a los que se vende esta herramienta hace que existe una alta probabilidad que sea mal usada”.

Uso legal

Después de penetrar un teléfono, el programa recolecta datos en un espacio particular, y los envía en paquetes muy pequeños –para evitar su detección-- y de manera encriptada a un servidor ubicado en la agencia gubernamental, al que están conectadas unas computadoras. Ahí, agentes descargan contenidos y realizan tareas de “ingeniería social” para encontrar, dentro del montón de datos, los elementos útiles para sus propósitos.

La información extraída puede abarcar prácticamente todo el contenido del aparato: mensajes de texto, Whatsapp, Telegram y de las demás aplicaciones de mensajería, por más seguras y encriptadas que sean, pero también contraseñas, datos de geolocalización, contactos o historial de llamadas; el programa permite prender el micrófono o la cámara cuando el cliente lo desee, lo que permite escuchar llamadas telefónicas o conversaciones privadas en cualquier momento, y ver los rostros de personas presentes.

Dicho de otro modo, el programa concentra muchas estrategias de espionaje tradicionales: puede seguir los movimientos de una persona, “alambrear” su línea, identificar su círculo cercano, y sacar escuchas y fotografías clandestinas.

El agente puede configurar el programa para definir la información que quiere recibir, en qué momento o bajo qué condiciones –como cuando el teléfono está en carga--, y decidir cuándo desinstalar el programa del aparato, sin dejar casi ninguna huella atrás. 

De hecho, la captura de Joaquín “El Chapo” Guzmán gracias –entre otros-- a Pegasus forma parte del catálogo de argumentos promocionales más llamativos de NSO Group para vender su producto estrella.

Fuentes y documentos consultados en el marco de este trabajo de varios meses sugieren que, a diferencia del Centro de Investigación y Seguridad Nacional (Cisen) y la Secretaría de la Defensa Nacional (Sedena), la extinta Procuraduría General de la República (PGR) intervenía las telecomunicaciones con orden judicial.

En 2017, una agente de la Subprocuraduría Especializada en Investigaciones sobre Delincuencia Organizada (SEIDO) espió el celular de “uno de los integrantes de la organización criminal Z-35, sus alias y domicilios, así como a los funcionarios de los tres niveles de gobierno que formen parte de la misma organización”; ese grupo operaba entonces en la zona limítrofe entre Oaxaca y Veracruz.

El oficio, obtenido por Aristegui Noticias –otro medio aliado en el Pegasus Project-- plantea que la intervención de comunicaciones fue aprobada por un tribunal especializado en medidas cautelares; en ninguna parte del documento aparece el nombre de la herramienta tecnológica usada para realizar la intervención.

Un exagente de la PGR consultado en el marco de esta investigación insiste en que, a diferencia del Cisen y de la Secretaría de la Defensa Nacional (Sedena), las computadoras conectadas a la plataforma de Pegasus instalada en la Agencia de Investigación Criminal (AIC) pedían un ingreso por contraseña y por el número de autorización judicial. De acuerdo con esa persona, en la decena de computadoras operadas por agentes de la AIC y conectadas les 24 horas del día y 7 días a la semana al servidor, no había margen para operar fuera de la legalidad.

En este informe de investigación criminal aparecen transcripciones de llamadas telefónicas entre presuntos integrantes del grupo de secuestradores para elegir sus próximas víctimas y diseñar estrategias para plagiarlas –“al vato hay que darle tres días, parece que no tiene pero sí tiene una casa que vale como un millón, es la gallino de los huevos de oro”, dice uno--; también figuran comentarios sobre grupos rivales, principalmente el Cártel Jalisco Nueva Generación (CJNG).

En una ocasión, un delincuente dijo a otra: “Qué pedo, ve a cambiar tu pinche número, pues órale, porque se te oye todo lo que hablamos; no, no hay pedo, no digas nada, cámbialo nomás”.

Al concluirse el oficio, la agente del Ministerio Público enumera una lista de números telefónicos, y sugiere que se pida una autorización judicial para intervenirlos. Uno de ellos aparece entre los datos telefónicos del Pegasus Project.

Primer cliente

México tiene un lugar muy especial en el corazón de Shalev Hulio, uno de los tres cofundadores de NSO Group: fue el primer país que compró a la empresa el sistema Pegasus, por cerca de 500 millones de dólares. Desde ese momento, la empresa apodó el país con la clave interna “María”.

La transacción se llevó a cabo en 2011, durante el sexenio de Felipe Calderón Hinojosa; la dependencia compradora fue la Secretaría de la Defensa Nacional (Sedena), y el vendedor local fue la empresa Security Tracking Devices, del empresario tapatío de origen japonés José Susumo Azano.

En abril de 2010, Hulio envió a Azano un folleto en el que promovió su producto: el problema de las agencias de seguridad, según Hulio, radicaban en que sus tecnologías  permitían localizar un celular y ver las entradas y salidas de comunicaciones, pero con el auge de las comunicaciones encriptadas –del BlackBerry--, difícilmente podían interceptar el contenido de las pláticas.

“NSO Group ofrece ahora una solución de monitoreo cirúgico de actividades en BlackBerry para el uso exclusivo de Gobiernos y Agencias Policiacas y de Inteligencia; el sistema introduce una herramienta de monitoreo de BlackBerry poderosa y única, que permite monitorear y extraer información a distancia y de manera secreta de celulares a través de comandos invisibles e irrastreables”, prometió Hulio en el documento, obtenido en el marco de esta investigación internacional.

En aquel entonces, el programa permitía lanzar “agentes Trojan” en el aparato para acceder –según el modelo del teléfono-- a los mensajes de texto, la lista de contactos, los calendarios, los correos electrónicos, en algunos casos la intercepción de comunicaciones y el uso del micrófono del aparato y la geolocalización, pero dejaba también a la agencia la posibilidad de sacar fotografías, manipular el sistema e incluso destruir el sistema operativo del celular.

“Nuestro sistema de gestión es intuitivo y diseñado para el trabajo a diario, mientras permite a los operadores del usuario a definir sus métodos preferidos, sus reglas y eventos de interés”.

La Sedena compró el sistema en grande: 70 computadoras, sistemas de procesamiento de imágenes, 60 teléfonos y sistemas de almacenamiento, módulo central y una capacidad para monitear 400 dispositivos BlackBerry, 100 Android y 100 Symbian, más otros sistemas de señales satelitales, procesadores y estaciones remotas móviles de comunicación, por un costo total de 5 mil 628 millones de pesos, según reportó en su momento la revista Contralínea.

En 2014, la firma de inversión Francisco Partners compró un paquete acciones mayoritarias, por un costo de 120 millones de dólares. Este dinero se invirtió, en parte, en reclutar un ejército de ingenieros en sistemas que se dedican a buscar fallas en aplicaciones que pueden aprovechar para instalar Pegasus; en aquel entonces, NSO Group mejoró su sistema.

En octubre de ese año, vendió a la PGR, por 32 millones de dólares, un sistema que permitía realizar 500 infecciones de celulares iOS, BlackBerry, Android y Symbian de manera simultánea, con 5 servidores y 10 TB de almacenamiento; en aquel entonces, presumía que la instalación del programa mediante un vínculo “es totalmente silencioso e invisible”, y “distingue significativamente la solución Pegasus de cualquier otra solución disponible en el mercado”.

“Cada agente es independiente y está configurado para recolectar información diferente del dispositivo y para transmitir la señal mediante canales específicos en plazos definidos. Los datos se envían a los servidores de Pegasus de manera oculta, comprimida y encriptada”, presumió NSO, al añadir que su programa tiene una opción de “autodestrucción en caso de exposición riesgo”, planteaba la empresa en el anexo del contrato, que la Agencia de Investigación Criminal (AIC) celebró con la empresa Grupo Tech Bull.

Ya en aquel entonces, Pegasus permitía extraer la memoria pasada del teléfono y los datos cargados en tiempo real, y realizar ciertas acciones bajo las instrucciones del operador, como rastrear la ubicación, interceptar llamadas, grabar el sonido ambiental, sacar fotografías o el sonido ambiental.

Avances tecnológicos

Con el paso del tiempo, los ingenieros y expertos de NSO Group –parte de ellos exintegrantes de la Unidad 8200 del Ejército israelí, especializada en el hackeo-- afinaron sus métodos de infiltración en los aparatos, y lograron desarrollar ataques “zero clic”, aprovechando algunas vulnerabilidades en ciertas aplicaciones para infectar el teléfono de la víctima mediante un “mensaje” que no genera ninguna notificación ni interacción. La víctima ya no aprieta ningún vinculo ni abre un archivo: su celular simplemente se infecta.

Así, en 2017 el servicio de mensajería Whatsapp detectó que NSO Group había aprovechado una falla de su sistema como vector de instalación del programa, y que en apenas dos semanas se registraron más de mil 400 ataques mediante esta vulnerabilidad. A raíz de este incidente, Whatsapp demandó a NSO Group ante la justicia de Estados Unidos.

De la investigación Pegasus Project se desprendió que NSO Group también aprovechó de vulnerabilidades en aplicaciones de Apple, como iMessage, para infectar un celular mediante un ataque “cero click”.

“Estos ataques son altamente sofisticados y cuestan millones de dólares en desarrollar; a menudo tienen vidas útiles breves y son usados para atacar blancos específicos”, dice Ivan Krstic, jefe de Seguridad en Ingeniería y Arquitectura en Apple. “Esto quiere decir que no son una amenaza para la mayoría de nuestros usuarios, pero seguimos trabajando sin receso para defender todos nuestros clientes”.

En 2020, la empresa tenía 750 empleados, las dos terceras partes de los cuales se dedicaban al área de investigación y desarrollo.