De acuerdo con Jacobo Nájera, investigador de Enjambre Digital, la economía que mantiene los ataques informáticos, especialmente contra civiles, con financiamiento por estados como el mexicano, goza de buena salud.

El más reciente reporte del centro de investigación canadiense Citizen Lab sobre el despliegue que ha alcanzado el malware Pegasus en el mundo es la prueba de que la economía que mantiene los ataques informáticos, especialmente contra civiles, con financiamiento directo e indirecto por parte de los estados, goza de buena salud, de acuerdo con el investigador de Enjambre Digital, Jacobo Nájera, para quien el contexto de abusos que hay alrededor de la tecnología de Pegasus resulta alarmante y es suficiente para que empresas como NSO Group y gobiernos como el de México asuman una responsabilidad sobre los efectos de estos productos.

El 18 de septiembre pasado, Citizen Lab, centro de la Universidad de Toronto, que dedica parte de sus recursos a la investigación del espionaje digital contra la sociedad civil, publicó una actualización de su trabajo de reconocimiento de la infraestructura que permite la propagación del malware Pegasus, producto de la empresa israelí NSO Group que ha sido un éxito comercial en las pasarelas de la vigilancia de México y otros 44 países. Los investigadores encontraron infecciones con el malware de vigilancia asociadas con 33 de los 36 operadores de este software identificados en 45 países de todos los continentes, desde Baréin, Bangladesh y Paquistán, hasta Holanda, Francia y Reino Unido, pasando por Costa de Marfil, Libia y Marruecos, además de México.

Quizá el descubrimiento fundamental de esta actualización es que tres operadores de Pegasus vinculados con infraestructura ubicada en México continuaban operando hasta el momento de la publicación del reporte, lo que para el investigador de Enjambre Digital, pone en evidencia el hecho de que Pegasus es un producto que se vende a nivel global y luego se regionaliza y se focaliza dependiendo de los clientes, “un producto acabado que requiere de un financiamiento continuo para poder tener ese despliegue y para poder mantener activas las infecciones”.

La cadena de producción de un software como Pegasus pasa por quienes han descubierto vulnerabilidades que no sean conocidas por comunidades especializadas o que no son de conocimiento público, conocidas como vulnerabilidades del día cero, y que son usadas por los programadores que escriben el código del malware y por quienes mantienen y supervisan la operación para penetrar en los dispositivos de las víctimas.

También hacen falta personas que distribuyan el producto y quienes lo regionalicen de acuerdo con el país en cuestión, además de quien diseña los mensajes utilizados para engañar a las víctimas. “Es una cadena de producción bastante larga”, dijo Nájera, para quien, en México, las autoridades y gobiernos involucrados no han llevado a cabo acciones para evitar estos abusos y por el contrario, “han contribuido a su modelo de negocio sin importar las víctimas inocentes de estos productos”.

También la Red en Defensa por los Derechos Digitales (R3D) advirtió en un comunicado sobre las contradicciones en las que entró la empresa productora del malware NSO Group en sus declaraciones ante este nuevo señalamiento: “NSO Group se ha limitado a reafirmar que su producto ‘solo tiene licencia para operar en países bajo su Marco de Ética de Negocios’. No obstante, la misma empresa señaló, en agosto de 2017, que ‘en circunstancias en las que exista una investigación oficial por mal uso de su producto’, su política es terminar las ventas comerciales y suspender las actividades existentes hasta saber el resultado de la investigación”.

“Contrario a sus afirmaciones, NSO Group ha sido indiferente para cooperar con las indagatorias sobre el abuso de Pegasus en México, razón por la que enfrenta sendos procesos judiciales ante los tribunales de Chipre e Israel. Ahora, este nuevo hallazgo muestra que son falsas sus afirmaciones acerca de suspender sus servicios a clientes –en este caso, el gobierno mexicano– en casos donde hay una investigación penal en proceso”, sostiene R3D.

“NSO Group no ha tenido responsabilidad en la situación. Hay infraestructura que sigue operando. La venta de su producto hacia México no se ha detenido y no ha asumido su responsabilidad, esto pese a que incluso ellos mismos tienen conocimiento de que su producto ha sido ocupado de manera abusiva, de manera ilegal, contra defensores de derechos humanos y periodistas”, añadió Jacobo Nájera.

Hace falta una investigación internacional

El reporte de Citizen Lab también reveló que la URL del sitio web de noticias de México, Animal Político, fue suplantada con el fin de engañar a las víctimas y así lograr que su teléfono fuera infectado con el malware de ciberespionaje. De acuerdo con el investigador de Enjambre Digital, esto puede hablar del objetivo que están buscando los operadores de Pegasus, así como del proceso de regionalización del malware.

“Cuando pasó lo de Gobierno Espía y se documentó el contenido de los mensajes. Se evidenciaron dos componentes: que se trata de una suplantación, de un medio de comunicación o de una persona cercana, y que esas infecciones sucedieron en un momento político importante. Las víctimas estaban siendo críticas con el gobierno mexicano”, dijo.

En febrero del 2017, Citizen Lab publicó un informe titulado Bitter Sweets (Dulces Amargos) en el que revelaba una aparente colusión entre las industrias refresqueras en México y el gobierno federal para usar Pegasus en contra de activistas que apoyaban la instauración de un impuesto especial a las bebidas azucaradas. Las primeras víctimas conocidas de este programa de ciberespionaje fueron Simón Barquera del Instituto Nacional de Salud Pública (INSP); Alejandro Calvillo, director general de la organización El Poder del Consumidor, y Luis Encarnación, coordinador de la Coalición ContraPESO.

Los periodistas Rafael Cabrera, Sebastián Barragán, Daniel Lizárraga, Salvador Camarena, Carlos Loret de Mola y Carmen Aristegui y su hijo, (quien era menor de edad cuando fue víctima de los ataques), tres miembros del Centro Miguel Agustín Pro Juárez y dos del Instituto Mexicano para la Competitividad (IMCO), Ricardo Anaya, excandidato a la Presidencia de la República de la coalición Por México al Frente, junto con otros dos miembros del PAN y los miembros del Grupo Interdisciplinario de Expertos Independientes (GIEI) que llegó a México para indagar la desaparición de los 43 estudiantes de Ayotzinapa, lo mismo que dos de los abogados del llamado caso Narvarte, en el que cinco personas fueron torturadas y asesinadas en esta colonia de la capital mexicana el 31 de julio del 2015, fueron sumándose a la lista de objetivos vigilados mediante el malware Pegasus.

De acuerdo con una investigación de la organización Mexicanos contra la Corrupción y la Impunidad (MCCI), el gobierno mexicano compró por 32 millones de dólares el sistema de espionaje Pegasus a una compañía llamada Grupo Tech Bull SA de CV. El 29 de octubre de 2014, quien entonces se desempeñaba como director de la Agencia de Investigación Criminal, Tomás Zerón de Lucio, firmó un contrato a favor de dicha empresa para el servicio de 500 infecciones con el malware Pegasus. Según correos electrónicos filtrados por Wikileaks, Tech Bull es una filial de Balam Seguridad Privada, creada en mayo del 2012 por Asaf Zanzuri, de origen israelí, y Rodrigo Ruiz Treviño, quien fungió como el vínculo con las agencias mexicanas del Estado.

Ante la falta de voluntad política del gobierno mexicano por investigar la violación del derecho a la privacidad de periodistas y defensores de derechos humanos, la cual quedó al descubierto en un artículo de The New York Times, del 20 de febrero de 2018, y ante las declaraciones que hizo el presidente electo Andrés Manuel López Obrador durante su campaña acerca de que, en caso de que ganara la Presidencia, dejaría de haber espionaje contra personas y adversarios políticos, Jacobo Nájera dijo que hacen falta acciones de política pública y voluntad política, así como una investigación internacional para abordar el caso.

“Hay declaraciones en medios de que la vigilancia con fines políticos va a parar, pero se necesitan acciones de política pública concretas además de voluntad política y una muestra de esta sería una investigación de nivel internacional”, dijo Nájera y añadió que es necesario que se resuelvan preguntas sobre si el gobierno mexicano seguirá financiando el desarrollo de tecnologías que vulneran las infraestructuras. “No hay condiciones para poder realizar una investigación solamente desde la dimensión nacional en tanto la cadena de responsabilidades sobre Pegasus es internacional”, dijo el investigador de Enjambre Digital.