Por Washington Post y ECS
Washington (ECS).- El servicio secreto de Marruecos introdujo en móviles de activistas y opositores el software malicioso israelí Pegasus, fabricado por NSO, según demuestra la investigación llevada a cabo por “Forbiden stories”, la asociación que reagrupa a cerca de veinte medios de comunicación, ninguno de ellos español (The Washington Post, The Guardian, Le Monde, Süddeutsche Zeitung, La Repubblica etcétera).
Esta investigación ha sido publicada simultáneamente el domingo 18 de julio por la tarde en todos esos periódicos. El software espía de grado militar autorizado por una empresa israelí a los gobiernos para rastrear a terroristas y delincuentes se utilizó en intentos y exitosos ataques de 37 teléfonos inteligentes pertenecientes a periodistas, activistas de derechos humanos, ejecutivos de empresas y dos mujeres cercanas al periodista saudí asesinado Jamal Khashoggi, según un informe de investigación realizado por The Washington Post y 16 socios.
Los teléfonos aparecieron en una lista de más de 50.000 números que se concentran en países conocidos por participar en la vigilancia y escucha de sus ciudadanos y también conocidos por haber sido clientes de la firma israelí, NSO Group, líder mundial en el software espía privado.
La lista no identifica quién le puso los números, ni por qué, y se desconoce cuántos de los teléfonos fueron atacados o vigilados. Pero el análisis forense de los 37 teléfonos inteligentes muestra que muchos muestran una estrecha correlación entre las marcas de tiempo asociadas con un número en la lista y el inicio de la vigilancia, en algunos casos tan breve como unos pocos segundos.
La historia continúa en secreto.
Forbidden Stories, una organización periodística sin fines de lucro con sede en París, y Amnistía Internacional, un grupo de derechos humanos, tuvieron acceso a la lista y la compartieron con los medios de comunicación, que realizaron más investigaciones y análisis. El laboratorio de seguridad de Amnistía hizo los análisis forenses en los teléfonos inteligentes.
Los números de la lista no están atribuidos, pero los periodistas pudieron identificar a más de 1,000 personas en más de 50 países a través de investigaciones y entrevistas en cuatro continentes: varios miembros de la familia real árabe, al menos 65 ejecutivos de empresas, 85 activistas de derechos humanos, 189 periodistas y más de 600 políticos y funcionarios gubernamentales, incluidos ministros del gabinete, diplomáticos y oficiales militares y de seguridad. Los números de varios jefes de estado y primeros ministros también aparecieron en la lista.
Entre los periodistas cuyos números aparecen en la lista, que data de 2016, hay reporteros que trabajan en el extranjero para varias organizaciones de noticias líderes, incluido un pequeño número de CNN, Associated Press, Voice of America, New York Times, Wall Street Journal, Bloomberg News, Le Monde en Francia, Financial Times en Londres y Al Jazeera en Qatar.
El objetivo de los 37 teléfonos inteligentes parecería estar en conflicto con el propósito declarado de la licencia de NSO del software espía Pegasus, que la compañía dice que está destinado solo para vigilar a terroristas y delincuentes importantes. La evidencia extraída de estos teléfonos inteligentes, revelada por el Washington Post por primera vez, cuestiona las promesas de la compañía israelí de no vigilar a sus clientes por abusos de derechos humanos.
El consorcio de medios analizó la lista a través de entrevistas y análisis forenses de los teléfonos, y comparó los detalles con la información previamente reportada sobre NSO. El Laboratorio de seguridad de Amnistía examinó 67 teléfonos inteligentes donde se sospechaba de ataques. De ellos, 23 se infectaron con éxito y 14 mostraron signos de intento de penetración.
Para los 30 restantes, las pruebas no fueron concluyentes, en varios casos porque los teléfonos habían sido reemplazados. Quince de los teléfonos eran dispositivos Android, ninguno de los cuales mostró evidencia de infección exitosa. Sin embargo, a diferencia de los iPhones, los Android no registran el tipo de información necesaria para el trabajo de detective de Amnistía. Tres teléfonos Android mostraron signos de focalización, como los mensajes SMS vinculados a Pegasus.
Amnistía compartió copias de seguridad de los datos en cuatro iPhones con Citizen Lab, que confirmó que mostraban signos de infección por Pegasus. Citizen Lab, un grupo de investigación de la Universidad de Toronto que se especializa en el estudio de Pegasus, también realizó una revisión por pares de los métodos forenses de Amnistía y descubrió que eran sólidos.
En respuestas extensas, NSO calificó los hallazgos de la investigación como exagerados y sin fundamento. También dijo que no opera el software espía con licencia para sus clientes y «no tiene conocimiento» de sus actividades de inteligencia específicas.
NSO describe a sus clientes como 60 agencias de inteligencia, militares y policiales en 40 países, aunque no confirmará las identidades de ninguno de ellos, citando obligaciones de confidencialidad del cliente. El consorcio encontró muchos de los números de teléfono en al menos 10 grupos de países, que fueron sometidos a un análisis más profundo: Azerbaiyán, Bahréin, Hungría, India, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita y los Emiratos Árabes Unidos. Citizen Lab también ha encontrado evidencia de que los 10 han sido clientes de NSO, según Bill Marczak, investigador principal.
Forbidden Stories organizó la investigación del consorcio de medios, titulada Proyecto Pegasus, y Amnistía brindó análisis y apoyo técnico, pero no tuvo aportes editoriales. Amnistía ha criticado abiertamente el negocio de software espía de NSO y ha apoyado una demanda contra la empresa en un tribunal israelí que busca la revocación de su licencia de exportación. Después de que comenzó la investigación, varios reporteros del consorcio se enteraron de que ellos o sus familiares habían sido atacados con éxito con el software espía Pegasus.
Más allá de las intrusiones personales posibilitadas por la vigilancia de teléfonos inteligentes, el uso generalizado de software espía se ha convertido en una de las principales amenazas para las democracias en todo el mundo, dicen los críticos. Los periodistas bajo vigilancia no pueden recopilar noticias delicadas de forma segura sin ponerse en peligro ellos mismos y sus fuentes. Los políticos de la oposición no pueden trazar sus estrategias de campaña sin que los que están en el poder anticipen sus movimientos. Los trabajadores de derechos humanos no pueden trabajar con personas vulnerables, algunas de las cuales son víctimas de sus propios gobiernos, sin exponerlas a nuevos abusos.
Por ejemplo, los forenses de Amnistía encontraron evidencia de que Pegasus estaba dirigido a las dos mujeres más cercanas al columnista saudí Khashoggi , quien escribió para la sección de Opiniones del Post. El teléfono de su prometida, Hatice Cengiz, se infectó con éxito durante los días posteriores a su asesinato en Turquía el 2 de octubre de 2018, según un análisis forense del Laboratorio de Seguridad de Amnistía. También en la lista estaban los números de dos funcionarios turcos involucrados en la investigación de su desmembramiento por parte de un equipo saudí. Khashoggi también tenía una esposa, Hanan Elatr, cuyo teléfono fue atacado por alguien que usaba Pegasus en los meses previos a su asesinato. Amnistía no pudo determinar si el ataque tuvo éxito.
“Este es un software desagradable, como elocuentemente desagradable”, dijo Timothy Summers, ex ingeniero de seguridad cibernética en una agencia de inteligencia de EE. UU. Y ahora director de TI en la Universidad Estatal de Arizona. Con él “se podría espiar a casi toda la población mundial … No hay nada de malo en crear tecnologías que le permitan recopilar datos; a veces es necesario. Pero la humanidad no está en un lugar donde podamos tener tanto poder al alcance de cualquiera».
En respuesta a preguntas detalladas del consorcio, NSO dijo en un comunicado que no operaba el software espía que licenciaba a los clientes y que no tenía acceso regular a los datos que recopilaban. La compañía también dijo que sus tecnologías han ayudado a prevenir ataques y bombardeos y disgregar redes que traficaban con drogas, sexo y niños. «En pocas palabras, NSO Group está en una misión para salvar vidas, y la compañía ejecutará fielmente esta misión sin inmutarse, a pesar de todos y cada uno de los intentos continuos de desacreditarlo por motivos falsos», dijo NSO. «Sus fuentes le han proporcionado información que no tiene una base fáctica, como lo demuestra la falta de documentación de respaldo para muchas de las afirmaciones».
La empresa negó que su tecnología fuera utilizada contra Khashoggi o sus familiares o asociados.
“Como NSO ha dicho anteriormente, nuestra tecnología no se asoció de ninguna manera con el atroz asesinato de Jamal Khashoggi. Esto incluye escuchar, monitorear, rastrear o recopilar información. Anteriormente investigamos este reclamo, inmediatamente después del atroz asesinato, que nuevamente, se está realizando sin validación ”.
La compañía agregó: “NSO Group continuará investigando todas las denuncias creíbles de uso indebido y tomará las medidas adecuadas en función de los resultados de estas investigaciones. Esto incluye el cierre del sistema de un cliente, algo que NSO ha demostrado su capacidad y voluntad de hacer, debido a un mal uso confirmado, lo hizo varias veces en el pasado y no dudará en volver a hacerlo si la situación lo amerita «.
Thomas Clare, un abogado de difamación contratado por NSO, dijo que el consorcio «aparentemente malinterpretó y caracterizó erróneamente datos de fuentes cruciales en los que se basó» y que sus informes contenían suposiciones defectuosas y errores de hecho.
“NSO Group tiene buenas razones para creer que esta lista de ‘miles de números de teléfono’ no es una lista de números a los que apuntan los gobiernos que usan Pegasus, sino que puede ser parte de una lista más grande de números que podrían haber sido utilizados por NSO Group clientes para otros fines ”, escribió Clare.
En respuesta a las preguntas de seguimiento, NSO calificó el número de 50.000 como «exagerado» y dijo que era demasiado grande para representar los números objetivo de sus clientes. Sobre la base de las preguntas que se le hicieron, dijo NSO, tenía razones para creer que el consorcio estaba basando sus hallazgos “en una interpretación engañosa de datos filtrados de información básica accesible y abierta, como los servicios de búsqueda de HLR, que no tienen relación con la lista de los objetivos de los clientes de Pegasus o cualquier otro producto NSO … todavía no vemos ninguna correlación de estas listas con nada relacionado con el uso de las tecnologías del Grupo NSO «.
El término HLR, o Home Location Register, se refiere a una base de datos que es esencial para operar redes de telefonía celular. Dichos registros mantienen registros de las redes de los usuarios de teléfonos móviles y sus ubicaciones generales, junto con otra información de identificación que se utiliza habitualmente en el enrutamiento de llamadas y mensajes de texto. Los servicios de búsqueda de HLR operan en el sistema SS7 que utilizan los operadores de telefonía celular para comunicarse entre sí. Los servicios se pueden utilizar como un paso hacia el espionaje de objetivos.
El experto en seguridad de las telecomunicaciones Karsten Nohl, científico jefe de Security Research Labs en Berlín, dijo que no tiene conocimiento directo de los sistemas de NSO, pero que las búsquedas HLR y otras consultas SS7 son utilizadas ampliamente y de forma económica por la industria de la vigilancia, a menudo por solo decenas de miles. de dólares al año.
“No es difícil conseguir ese acceso. Dados los recursos de NSO, sería una locura suponer que no tienen acceso a SS7 desde al menos una docena de países ”, dijo Nohl. «Desde una docena de países, puedes espiar al resto del mundo».
Pegasus fue diseñado hace una década por ex-ciberespías israelíes con habilidades perfeccionadas por el gobierno. El Ministerio de Defensa israelí debe aprobar cualquier licencia a un gobierno que quiera comprarla, según declaraciones anteriores de la NSO.
En la lista se descubrió el número de aproximadamente una docena de estadounidenses que trabajaban en el extranjero, en todos los casos menos uno mientras usaban teléfonos registrados en redes celulares extranjeras. El consorcio no pudo realizar análisis forenses en la mayoría de estos teléfonos. NSO ha dicho durante años que su producto no se puede utilizar para vigilar los teléfonos estadounidenses. El consorcio no encontró evidencia de una penetración exitosa de software espía en teléfonos con el código de país de EE. UU.
«También respaldamos nuestras declaraciones anteriores de que nuestros productos, vendidos a gobiernos extranjeros examinados, no se pueden utilizar para realizar vigilancia cibernética dentro de los Estados Unidos, y a ningún cliente se le ha otorgado tecnología que les permita acceder a teléfonos con números estadounidenses», dijo dijo la empresa en su comunicado. «Es tecnológicamente imposible y reafirma el hecho de que las afirmaciones de sus fuentes no tienen ningún mérito».