Ante las nuevas revelaciones de espionaje con el malware Pegasus que se publicaron en diversos medios este julio de 2021, contextualizamos aquí qué ha pasado desde las primeras revelaciones hasta la más reciente publicación: Pegasus Project, publicada por The Guardian, The Washington Post, Aristegui Noticias y Proceso. 

Pegasus Project fue coordinada por Forbidden Stories, una organización francesa dedicada al periodismo de investigación, en conjunto con Amnistía Internacional. En la investigación participan más de 80 periodistas del mundo de 17 medios y organizaciones. En ella se investiga los usos del software Pegasus de la empresa israelí NSO Group y sus potenciales abusos por parte de gobiernos contra activistas de derechos humanos y periodistas en al menos 45 países, incluyendo México.

1. ¿Qué es Pegasus?

Pegasus es un malware de espionaje (spyware), desarrollado y operado por la empresa de vigilancia israelí, NSO Group, y utilizado con fines de espionaje por parte de gobiernos en varios países. Este software es considerado de grado militar (ciber arma)

En México desde 2016 se han denunciado casos de defensores de derechos humanos, activistas y periodistas, cuyos equipos fueron blancos de infección con Pegasus por parte de autoridades del gobierno federal en el sexenio de Enrique Peña Nieto.

2. ¿Cómo se han dado a conocer los casos de espionaje?

La más reciente investigación es Pegasus Project, realizada por Forbidden Stories y Amnistía Internacional. Se trata de una investigación basada en la filtración de registros de números de teléfono potencialmente interceptados mediante esta herramienta. Pegasus Project se publicó este domingo 18 de julio de 2021 y en ella se calcula que 15 mil números telefónicos de México fueron potenciales objetivos de Pegasus en el sexenio de 2012-2018.

- -
Global democracy under cyber attack.
Follow along throughout the week.#PegasusProject pic.twitter.com/R2uuYhMqzV

— Forbidden Stories (@FbdnStories) July 18, 2021

Estas revelaciones reafirman que desde agencias del Estado Mexicano como el Centro de Investigación y Seguridad Nacional (Cisen), la Procuraduría General de la República (PGR) y la Secretaría de la Defensa Nacional (Sedena), existió un patrón generalizado de uso de los sistemas de vigilancia gubernamentales en contra de periodistas, defensores de derechos humanos, activistas y opositores políticos que no debe quedar en la impunidad.

Desde el periodismo y organizaciones de la sociedad civil se han dado a conocer otros casos de espionaje por parte de gobiernos.

En México, algunas de las personas afectadas han sido abogados que investigan la desaparición de estudiantes en Ayotzinapa, la periodista Carmen Aristegui, Alejandro Calvillo, director general de la organización El Poder del Consumidor, entre otros.

En esta línea de tiempo reunimos un recuento de hitos y momentos destacados desde agosto 2016 sobre casos de espionaje en México contra activistas, periodistas y defensorxs de derechos humanos.

Existen otros proyectos desde el periodismo y organizaciones de sociedad civil que recopilan información sobre su uso a nivel mundial o nacional cómo Digital Violence de Forensic Architecture, Amnistía Internacional y Citizen Lab, o los reportes Bittersweet y Reckless de Citizen Lab.

3. ¿Qué puede hacer Pegasus?

La tecnología de NSO Group permite apuntar a números de teléfono específicos e infectar los dispositivos asociados con el programa espía Pegasus.

Una vez instalado, este programa permite el monitoreo y control remoto del teléfono. Un operador de Pegasus podría extraer mensajes, imágenes, registros de llamadas, ubicación, correos electrónicos, tomar control remoto de micrófonos y cámaras con lo que el teléfono se convierte en un espía en tu bolsillo. Esta imagen de Citizen Lab lo ilustra:

Imagen: https://citizenlab.ca/wp-content/uploads/2018/09/Hide-and-Seek-Figure-1.png

4. ¿Cómo te infecta este malware? ¿Pegasus puede infectar un dispositivo sin necesidad de dar clic a un enlace o descargar un programa?

Usualmente el malware se ejecuta en un dispositivo a través de la interacción de la persona usuaria con un enlace, una página o un archivo infectado.

Sin embargo, Pegasus ha evolucionado en su infraestructura y sistemas de infección, ampliando sus métodos más allá de enlaces maliciosos. De acuerdo a los análisis forenses de Amnistía Internacional, el método usado en últimos intentos de infección es el llamado Zero click. De esta forma, la persona no tiene que haberle dado clic a ningún enlace malicioso.

En este post explicamos los esquemas de infección utilizados por Pegasus.

5. ¿Hay celulares que son más seguros frente al malware o todos son vulnerables?

Todos los dispositivos pueden infectarse de una u otra manera sin importar que sistema operativo tienen (iOS o Android) o cuáles aplicaciones están ejecutando, esto se debe a que en todo sistema puede existir vulnerabilidades o huecos de seguridad.

Hasta ahora existe mayor evidencia de dispositivos con iOS ya que estos han resultado más sencillos de analizar en comparación de Android, pero esto no es un indicador sobre cuál sistema es más seguro.

6. ¿Qué están haciendo las empresas para cubrir estos huecos de seguridad o vulnerabilidades técnicas por donde puede entrar Pegasus y malwares similares?

Dentro de los análisis realizados por Citizen Lab y Amnistía Internacional suelen identificarse vulnerabilidades técnicas y huecos de seguridad, las cuales se reportan a la empresa correspondiente para que ésta realice las acciones necesarias.

De igual manera, empresas que desarrollan apps y sistemas operativos cuentan con equipos de seguridad especializados y/o programas para reportar vulnerabilidades. ya sea de manera interna o externa, proporcionan canales para identificar estas vulnerabilidades.

Aún así, se requiere mayor atención por parte de las empresas, ya que las vulnerabilidades utilizadas por Pegasus son de tipo 0-day, las cuales se definen como vulnerabilidades que aún no han sido detectadas por las empresas, y que los atacantes localizan previamente.

7. ¿Qué tan probable es ser infectado con Pegasus u otro malware similar?

NSO Group asegura que la venta de Pegasus solamente se realiza a gobiernos y que su uso está restringido para uso de seguridad nacional contra el estado, sin embargo, la evidencia indica que se utiliza de manera indiscriminada contra personas defensoras de derechos humanos, activistas, periodistas, académicos y actores políticos.

El costo económico del uso de Pegasus es sumamente alto, por lo cual solamente actores con alto poder adquisitivo (como funcionarios públicos con cargos políticos) tienen acceso a él, y generalmente se utiliza contra sus opositores directos.

Aquí puedes ver una lista de personas contra las que se ha utilizado.

Imagen : https://citizenlab.ca/wp-content/uploads/2019/03/March-2019-Update-on-NSO-Group-Targeting-in-Mexico.jpg 

Aún así, existen otros malware de gama menor o con precios más bajos, por lo que la amenaza de infección está siempre presente. Si consideras que pudieras ser un potencial objetivo de infección o que ya has sido infectado, busca apoyo con tu equipo técnico o de seguridad de confianza, ya que la verificación de esta acciones requiere apoyo de personas especialistas.

8. ¿Qué podemos hacer para mitigar el riesgo de cualquier malware?

1. Asegúrate de actualizar tus sistemas operativos en todos tus dispositivos.
2. Evita dar clic en enlaces sospechosos, especialmente si se trata de ejecutar algún programa. Verifica que provenga de sitios oficiales que inicien con HTTPS
3. Ten cuidado con el phishing. Siempre que recibas un enlace o un archivo, verifica la fuente y el contexto.- Si es un enlace, puedes utilizar https://www.shouldiclick.org/ o https://www.virustotal.com/gui/home/url para verificarlo.
   - Si es un archivo, escanealo con un antivirus o utiliza https://www.virustotal.com/gui/ .
   Aquí te compartimos esta infografía sobre tipos de phishing y cómo protegerte. 
4. Instala un antivirus en todos tus equipos y correlo regularmente.
5. Respalda y formatea tus dispositivos al menos una vez al año, o más seguido si sospechas que podrían estar infectados.
6. Realiza una navegación segura ingresando solamente a sitios con HTTPS, y utilizando proxys como una VPN o el navegador Tor.
7. Ten buenos hábitos de higiene digital, tomando conciencia de cómo realizas tu navegación en línea, y del software que instalas y utilizas, así como de sus permisos y accesos.
8. Si eres una persona que maneja información sensible, identifica de qué se trata y busca herramientas que te permitan resguardarla. Puedes utilizar herramientas que cuenten con cifrado, como el servicio de chat Signal, herramientas de videollamadas como Jitsi o herramientas de cifrado de archivos cómo Cryptomator.

9. ¿Cómo ha avanzado la investigación de los casos en México desde 2016 hasta ahora?

Lamentablemente el uso y abuso de Pegasus sigue impune, la FGR (Fiscalía General de la República) no ha resuelto las denuncias.

Desde hace más de 4 años existe una investigación abierta en la FGR pero la ausencia de garantías de independencia y avances significativos reafirman la necesidad de replantearla.

En este último comunicado nos unimos a otras organizaciones defensoras de derechos humanos y derechos digitales para exigir justicia y reparación para las víctimas.

Y en esta línea del tiempo también encontrarás un recuento de las denuncias a través de los años.

10. ¿Por qué este tipo de tecnología de espionaje resulta tan peligrosa?

Este tipo de vigilancia es un tipo de agresión digital, ya que no porque se lleve a cabo en el plano digital es menos grave. De hecho, el número telefónico del periodista mexicano, Cecilio Pineda Birto, quien fue asesinado en 2017, fue encontrado en la base de datos de potenciales víctimas de vigilancia por parte de Pegasus.

El continuo ataque y vigilancia sistematizada contra periodistas y activistas, representa una forma de represión, censura y un ataque a la privacidad, la libertad de expresión y de prensa. El uso de este tipo de tecnologías de forma indiscriminada y sin controles por parte de gobiernos autoritarios y también llamados democráticos, constituyen un grave problema de vigilancia y abuso para los derechos humanos.