"Nunca hemos visto un ataque con Pegasus que no estuviera asociado a un Gobierno"

Estos últimos días, muchos han recordado aquello que escribió Joseph Heller en su célebre novela ' Trampa-22': "El hecho de que seas un paranoico no significa que no estén yendo a por ti". La publicación, el pasado 18 de abril, de un informe realizado por la plataforma Citizen Lab, de la Universidad de Toronto, que exponía el presunto espionaje a más de 60 independentistas catalanes —cercanos al fugado expresidente Carles Puigdemont o involucrados en Tsunami Democràtic—, fue solo el principio de un efecto dominó de revelaciones protagonizadas por el 'software' espía Pegasus, fabricado por la empresa israelí NSO Group. La última, el espionaje por parte de un agente "externo" de los teléfonos móviles del presidente Pedro Sánchez y la ministra Margarita Robles, parece indicar que la ola no se detendrá aquí y las preguntas seguirán acumulándose.

¿Por qué aparecía este informe de Citizen Lab precisamente ahora? ¿Hay alguna motivación política detrás de su publicación? ¿Es casual el 'timing' del anuncio hecho por Félix Bolaños? ¿Podemos los ciudadanos confiar en los datos aportados por este grupo de expertos en seguridad informática que cuentan entre sus filas con Elies Campo, uno de los investigados por el 'software' espía? ¿Emplearon los servicios de Inteligencia españoles el 'software' en otros casos o solo en este? ¿Estuvieron todos los seguimientos justificados, y si es así, por qué apenas ha habido detenciones derivadas de esta investigación?

TE PUEDE INTERESAR

El independentismo investiga si Pegasus espió a otras 150 personas

Beatriz Parera

Etienne Maynier, experto técnico en seguridad informática en el laboratorio tecnológico de Amnistía Internacional en Londres, puede tener alguna de estas respuestas. Maynier fue uno de los técnicos que recibieron una muestra de casos de los teléfonos infectados por Pegasus. Citizen Lab, con quienes colabora desde hace tiempo investigando el uso de 'spyware' (programas de espionaje) alrededor del mundo, comparte información con su grupo para que la verifiquen de forma independiente. Es decir, para ver si pueden encontrar lo mismo que ellos han encontrado, validando así tanto los datos como la metodología forense que utilizan para analizarlos.

Maynier, como uno podría esperar de un perfil así, es cauteloso acerca del rastro de su actividad en internet. Solo se comunica mediante WhatsApp o Signal y esta entrevista será una de las pocas rayas que hay en el mar de su perfil público. En cualquier caso, lo importante no es lo que aparenta, sino lo que sabe sobre Pegasus: cómo funciona, cómo puede detectarse y qué pistas ofrece sobre quién lo está utilizando.

PREGUNTA. Citizen Lab les cita en este informe titulado 'Catalangate', diciendo que les ayudaron a validar que la metodología utilizada por ellos era fiable. ¿Puede desarrollar un poco qué tipo de trabajo hicieron para verificar esta información?

RESPUESTA. Definitivamente. En Amnistía Internacional trabajamos para desarrollar una metodología y herramientas para analizar teléfonos. Entonces, lo que hemos estado haciendo durante varios años ha sido identificar rastros de Pegasus en teléfonos móviles y publicar estos resultados en unos informes. Hubo un gran proyecto el año pasado, bautizado como Proyecto Pegasus, en el que revelamos muchos ataques diseñados contra periodistas en todo el mundo. Por lo tanto, hacemos prácticamente el mismo tipo de trabajo e investigación que el Citizen Lab, y cuando hay un informe importante en preparación, hacemos para ellos una investigación independiente, pero a pequeña escala; así que hemos estado revisando su metodología y cada uno de los resultados para confirmar que encontramos los mismos resultados.

"Hemos revisado los datos forenses y técnicos de cuatro personas y encontramos exactamente los mismos resultados que el Citizen Lab"

Así, en este informe sobre España accedimos a una muestra de casos. Hemos revisado los datos forenses y técnicos de cuatro personas y hemos confirmado que encontramos exactamente los mismos resultados que el Citizen Lab. Por lo tanto, no era como revisar a una sola persona, era más decir "como expertos técnicos en este campo, podemos confirmar que la metodología utilizada por Citizen Lab es precisa y técnicamente sólida y confirmar que en una pequeña muestra de casos tenemos exactamente lo mismo". Y eso es lo que hemos hecho en estos informes.

P. Bien, pero ¿cómo se hace exactamente, reciben los archivos encriptados?

R. Citizen Lab dijo a varias personas que nos contactaran para confirmar su espionaje. Cuatro de ellos se comunicaron con nosotros y compartieron datos de sus teléfonos, información específica, para que los analizáramos y viéramos cómo de similares eran nuestros resultados con los de Citizen Lab.

P. ¿Y cuánto tiempo les lleva analizar esto?

R. Depende del teléfono, pero es bastante rápido, diría que alrededor de una hora o dos.

P. ¿Cómo comenzó esta asociación con Citizen Lab y en qué otros casos han trabajado con respecto a Pegasus a lo largo de los años?

R. Creo que la primera revisión fue el año pasado, cuando revisamos la metodología forense para el Proyecto Pegasus. Antes hemos tenido algún tipo de colaboración y, en algunos casos, nos dimos cuenta de que estábamos investigando el mismo tipo de ataques y comenzamos a hacer informes conjuntos. Por ejemplo, publicamos uno sobre ataques a un activista defensor de los derechos humanos en la India hace unos tres años. Básicamente, dado que ambos trabajábamos en la investigación de infecciones de 'spyware' en este tipo de perfiles, comenzamos a tener una colaboración regular y, a veces, hacer una investigación conjunta.

P. En España han aparecido ciudadanos críticos con el informe, que aluden a la participación de algunos de los investigados o, en su caso, señalan que en el pasado trabajó para Citizen Lab, lo cual comprometería la independencia de estas revisiones.

R. Fui de hecho investigador en Citizen Lab hasta mayo de 2021, pero mi trabajo allí nunca incluyó a Pegasus. Aunque en el laboratorio hemos colaborado con el Citizen Lab ocasionalmente en proyectos conjuntos, la investigación técnica que hemos estado haciendo con Pegasus desde hace años ha sido hecha de forma independiente a Citizen Lab, cada organización ha desarrollado su propia metodología para identificar restos de Pegasus en los teléfonos.

P. Otros también se preguntaban por qué aparece ahora este informe, aludiendo a que quizás hubiera una explicación política. ¿Tienen un calendario para estas publicaciones o escogen las fechas tratando de generar más impacto?

R. En nuestro caso, la publicación de las investigaciones que hacemos se basa en gran medida en las evidencias que encontramos. Entonces, a veces puede ser que hagamos una investigación intencional en un país, contactemos a fuentes y estudiemos lo que tenemos allí. Y luego, después de haber obtenido los datos y hecho el análisis, quizá podemos publicarlo un poco más tarde para hacerlo coincidir con algún evento, pero generalmente publicamos los informes poco después de haber hecho toda la confirmación.

"Generalmente publicamos los informes poco después de haber hecho toda la confirmación"

Sucede con bastante frecuencia que estas campañas de investigación se prolonguen varios meses, especialmente cuando tienes a muchas personas como objetivo. Creo que hemos visto muchas publicaciones sobre Pegasus recientemente y esta es otra de las que han aparecido en los últimos dos años. ¿Por qué? Para mí, la razón es mucho más simple. El Proyecto Pegasus [una investigación basada en una filtración masiva de datos publicada en julio de 2021 por su equipo] hizo que mucha gente se diera cuenta de que la seguridad digital, Pegasus y el 'software' espía son un problema. Desde entonces, ¿qué ha cambiado? Ha habido más interés por parte de muchas personas en investigar si eso podía estar pasando en su país, mucha gente hizo un esfuerzo para revisar sus dispositivos y darse cuenta de que estaban infectados.

P. Las grandes compañías tecnológicas también han tenido un papel, ¿no?

R. Especialmente empresas como Apple se han dado cuenta y han tomado medidas en su contra. Apple y Meta [Facebook, WhatsApp] han demandado a NSO Group y están ayudando a informar a los activistas que han sido atacados por Pegasus, lo vimos por primera vez en noviembre del año pasado. En diciembre, comenzaron a enviar más notificaciones. Y eso ha llevado a revelaciones masivas, por ejemplo, el informe sobre El Salvador que Citizen Lab y la ONG Access Now publicaron a principios de este año. Esta investigación comenzó porque la gente recibió una notificación de Apple y dijeron "vale, ¿qué es eso?" y comenzaron a trabajar con organizaciones como estas para comprender por qué habían sido atacados. Entonces, debido a todo esto, vemos muchas revelaciones estos días. No tiene nada que ver con ningún acuerdo político.

P. Ahora el Gobierno español ha admitido a regañadientes que usaron Pegasus en 18 personas, pero no en 65 como asegura el informe de Citizen Lab. ¿Cómo podemos estar seguros de que lo que dice el informe es cierto? ¿Recibieron todos notificaciones de que habían sido atacados por el 'spyware'?

R. No sé si enviaron notificación a tanta gente. No creo que esto se haya mencionado en el informe de Citizen Lab. Lo que puedo decir es que Citizen Lab tiene un historial impecable de investigación y ha realizado este tipo de investigaciones durante casi una década. Tenemos una gran confianza en la metodología de Citizen Lab y hemos revisado las muestras de algunos de los resultados, y fueron exactos. Creo que lo que necesitamos ahora es más transparencia por parte de las autoridades españolas sobre si son clientes de NSO, exactamente qué se ha utilizado y cuál ha sido el proceso de supervisión. No creo en este momento que el Gobierno español tenga ninguna evidencia clara que pueda ir en contra de la evidencia técnica de Citizen Lab.

TE PUEDE INTERESAR

Qué es Pegasus: así funciona el 'software' espía israelí que 'hackea' a medio mundo

G.C.

P. ¿Las infecciones con Pegasus dejan algún tipo de firma distinta? ¿Se está volviendo cada vez más difícil para ustedes rastrear, ya que los ingenieros de NSO que programan el 'software' también están aprendiendo?

R. Sí, hay trazas claras de su uso. Llevamos años identificando muchas de estas señales de firma y hemos visto cómo NSO ha ido escondiendo sus huellas cada vez más y haciendo esfuerzos para mejorar la forma de no poder seguir el rastro, a veces se hizo de una manera tan mala que se podía ver que algo se eliminó. Pero ahora simplemente es más sigiloso que antes. Hemos rastreado que Pegasus todavía se usa hoy en día, pero no todos los ataques con Pegasus son recientes, también hemos encontrado ataques de uno o dos años, cuando Pegasus era mucho más visible y dejaba más rastros.

P. En el caso catalán, los objetivos recibieron mensajes imitando que eran de, por ejemplo, la Seguridad Social. Eso me hizo pensar que podía haber alguien en España involucrado en la estrategia, ¿sabe a qué me refiero? Alguien que dijera "pon este tipo de mensaje porque será más fácil que piquen".

R. Aún tenemos algunas preguntas sobre qué hace exactamente NSO, qué es lo que ellos hacen disponible y qué función realiza el cliente. Pero tenemos una gran confianza en que NSO le ofrece al cliente una herramienta y luego es el cliente quien decide a quién se dirige y prepara los SMS. En muchos casos hemos visto lo que usted señala en este ejemplo de España, hemos visto lo mismo en Marruecos o México: los SMS estaban dirigidos de manera muy precisa a las personas, basándose en un conocimiento muy sólido de quiénes eran.

TE PUEDE INTERESAR

La gran mentira de Pegasus: cómo los gobiernos espían la vida de sus ciudadanos

Guillermo Cid

P. Una de las cosas más difíciles con respecto a su trabajo es reunir pruebas suficientemente convincentes, ya que los gobiernos normalmente suelen negar su participación en este tipo de espionaje. ¿Como resuelven esto?

R. Estoy de acuerdo en que es un desafío, y creo que la respuesta es que tenemos que ser muy claros sobre lo que dicen los datos. Sin embargo, y usted como periodista lo sabe, una investigación nunca trata solo de los datos: el contexto hace mucho. Entonces, como investigador, creo que lo que podemos decir y confirmar es que estos teléfonos en Cataluña fueron pirateados o atacados por Pegasus. Eso no nos permite saber quién es el cliente de Pegasus, pero, dicho esto, cuando se ve el contexto de quién es el objetivo, surge una razón legítima para pedir aclaraciones al Gobierno español sobre el uso de cualquier forma de 'spyware'. Y eso es lo que está pasando ahora mismo. Necesitamos que las autoridades españolas nos aclaren si hay alguna de sus agencias que haya sido cliente de NSO y cómo se ha utilizado esta tecnología.

P. Hace un par de años, Motherboard reveló que, con el uso de Pegasus por parte de las autoridades españolas, un trabajador de NSO dijo "finalmente un Estado europeo". ¿Han encontrado pruebas que apunten a otros países de la UE utilizando esta herramienta antes que España?

R. No creo que tenga la respuesta. Hemos encontrado evidencia de ataques en Hungría contra periodistas húngaros y también en Polonia, pero no tengo en mente exactamente cuál es la línea de tiempo. El problema con esto es que no sabemos lo que no sabemos. El conocimiento que tenemos se basa en el rastro que tenemos de los teléfonos de estas personas. Si encontramos que alguien fue atacado en 2017, no significa que se usara por primera vez en 2017 o que no fuera atacado antes. El problema que también tenemos es que la gente cambia de teléfono, o en realidad pierde su teléfono. La respuesta a todo es que necesitamos más transparencia, son preguntas legítimas para los gobiernos español, húngaro o polaco: qué uso han hecho de este tipo de 'spyware'. Hay una nueva comisión que está investigando esto a nivel de la UE y realmente espero que haga esta pregunta a los gobiernos y recopile evidencia y conocimiento claro sobre qué 'software' se usa y cómo.

P. NSO afirma que solo vende esta herramienta a los gobiernos. ¿Han encontrado pruebas de lo contrario, empresas o particulares que utilicen Pegasus?

R. Nunca hemos encontrado ningún caso en el que pensáramos que no fuera un ataque realizado por un Gobierno, excepto unos pocos casos que aparecieron en las noticias. Por ejemplo, hubo uno sobre alguien en la propia NSO que usó Pegasus para investigar a una exnovia. Es un caso muy específico, no creemos que NSO pueda estar vendiendo esto a alguien fuera de una organización gubernamental. Ahora bien, sabemos que han estado fingiendo que estas herramientas solo se usaron contra el terrorismo y realmente no es cierto. Ahora tenemos un montón de evidencias y miles de casos que lo demuestran. Activistas, defensores de derechos humanos, periodistas, políticos de la oposición... El abuso va mucho más allá de algo que se suponía que era para el terrorismo.

TE PUEDE INTERESAR

De un SMS a 50.000 números filtrados: el rastro de Pegasus de Marruecos a la India

Á. F. C.

P. ¿Ellos solo le brindan al cliente la herramienta y se olvidan de hacer más preguntas?

R. Prácticamente sí. Quiero decir, claramente tenían y tienen la obligación de velar por los derechos humanos. Y en el caso de NSO, han pretendido que están haciendo eso, hace un tiempo publicaron una política de derechos humanos que decía "nos preocupamos por los derechos humanos y nos aseguramos de que nuestra herramienta no se use contra activistas y periodistas". Y el año pasado documentamos más de 100 casos que demuestran que en realidad no es así. Un ejemplo: en Marruecos publicamos informes sobre ataques contra defensores de los derechos humanos por parte de las autoridades marroquíes. Enviamos estos informes a NSO en 2020. Varios meses después de la publicación del informe, vimos que Marruecos estaba usando la misma herramienta contra periodistas.

Así que no puedo decir que no lo supieran.

P. A finales de 2021, el 'Financial Times' contaba que NSO ahora está en problemas porque permitió que Uganda espiara a varios diplomáticos estadounidenses. Eso provocó que las empresas estadounidenses que les vendían tecnología y servicios los pusieran en una lista negra. ¿Están detectando nuevos jugadores entrando en escena? ¿Nuevas empresas o herramientas de 'spyware' más allá de NSO?

R. Sabemos que alguien todavía lo está usando porque, como dije, lo detectamos a finales del año pasado. Pero el problema va más allá de esta empresa y claramente NSO está en problemas hoy por este asunto, pero también por las demandas de Apple y Facebook en los EEUU. Esto es genial, pero no debemos olvidar que el problema es de la industria y no solo del grupo NSO. Si NSO dejara de operar hoy y fuera a la quiebra, el problema seguiría ahí, porque no hay regulación y otra empresa saldrá y tomará las mismas decisiones.

"Si NSO dejara de operar hoy y fuera a la quiebra, el problema seguiría ahí"

Hemos visto un informe donde aparece una empresa llamada Cytrox, y sabemos que hay otras empresas en Europa y en Israel que venden exactamente el mismo tipo de 'software' espía, el mismo tipo de productos, exactamente a los mismos gobiernos. Pero si no ponemos regulaciones estrictas, otra empresa simplemente usará los mismos productos y estará en la misma situación que NSO dentro de cinco años.

P. ¿Cómo empezó una ONG como Amnistía Internacional a investigar todo esto?

R. Algunas personas de Amnistía se dieron cuenta de que la tecnología se estaba convirtiendo cada vez más en un problema. Todo esto comenzó alrededor de 2012, pero no fue hasta 2016 cuando se tomó la decisión de crear un equipo e investigar. El laboratorio de seguridad se inició alrededor de 2017 y, desde entonces, hemos estado investigando ataques de 'spyware' y 'phishing' en muchos lugares diferentes. Comenzó con una sola persona y ahora somos 10, con cuatro tecnólogos haciendo puramente investigación técnica.

TE PUEDE INTERESAR

Ronald Deibert: "España es cliente de NSO, veremos más casos de móviles espiados"

Manuel Ángel Méndez

P. Sin el trabajo de su grupo o de Citizen Lab, los españoles nunca sabríamos de todas estas actividades de espionaje. ¿Por qué cree que las policías nacionales u otros organismos internacionales encargados de hacer cumplir la ley resultan tan inactivos o lentos en investigar este tipo de actividades?

R. El problema es que investigar este tipo de ataques requiere algunas habilidades específicas. Entonces, básicamente estamos haciendo un trabajo similar a lo que está haciendo la gente en la industria de la ciberseguridad. Estamos rastreando 'software' espía o investigando cómo funciona, y esa habilidad no es muy común en el sector de las ONG.

"Este tipo de investigación solo puede venir de la sociedad civil, porque un Gobierno siempre tendrá algún tipo de conflicto de intereses"

Hay casos en los que la policía quiere ayudar a defensores de los derechos humanos, pero en muchos otros les falta conocimiento o tal vez no hay voluntad política. Y creo que este tipo de investigación solo puede venir realmente de la sociedad civil, porque dependiendo de un Gobierno siempre habrá algún tipo de conflicto de intereses o sesgos para poder revelar esto. No creo que ningún Estado europeo publicara un informe como el de Citizen Lab. Creo que ahora veremos a más y más ONG desarrollar habilidades y conocimientos para hacer este mismo tipo de investigaciones y debemos asegurarnos de que cada vez más puedan hacerlo, porque en este terreno siempre habrá oportunidades para la investigación y siempre será necesario contar con personas independientes que muestren el abuso de estas herramientas.