Autor:

De comprobarse la venta ilegal del malware Pegasus, el caso sería muy grave, señala el experto en seguridad digital Luis Fernando García. El director de la organización R3D apunta que ese acto criminal podría implicar a la empresa NSO Group: el sistema no es un software que se puede copiar, lo que se compra es una licencia para utilizar una infraestructura que opera esa empresa

El sistema de espionaje Pegasus “no es un software como Windows que tú copias: en realidad, tú compras licencias para utilizar una infraestructura que opera NSO Group Technologies. No puedes copiar y llevarte a tu casa Pegasus: es un sistema que se opera desde una infraestructura que tiene la empresa israelí y solamente tienes acceso para utilizar esa infraestructura”, explica Luis Fernando García, director de la Red en Defensa de los Derechos Digitales (R3D).

Entrevistado por Contralínea en torno a las investigaciones que realiza el Centro Nacional de Inteligencia contra exfuncionarios de la Presidencia de la República, el Centro de Investigación y Seguridad Nacional (Cisen) y la Unidad de Inteligencia Financiera (UIF) que, abusando de su cargo, estarían comercializando ilegalmente el malware espía entre gobiernos estatales y empresas privadas, el experto indica que sí es posible que particulares tengan acceso al sistema Pegasus.

Escéptico, indica que si ése fuera el caso “sería muy grave”, porque “implicaría un acto criminal claramente, implicaría la necesidad de que se esclarezca no nada más el origen de los recursos para adquirir esas supuestas licencias de la responsabilidad que la propia empresa NSO Group tendría, porque no podría ser operada de esa manera sin el conocimiento de NSO Group; y también la necesidad de que se identifique a todas las víctimas de esos ataques. Eso es muy importante porque las personas tienen derecho a saber que su privacidad ha sido invadida y que siguen vulnerables a ataques, extorsión, ataques físicos, etcétera”.

La columna Oficio de Papel reveló que además del CNI, la Unidad de Inteligencia Financiera también investiga la venta ilegal del sistema Pegasus (en el Estado de México, Tamaulipas e Hidalgo), y que los avances apuntan a que estarían involucrados los exfuncionarios peñistas Humberto Castillejos, Alfredo Castillo y Alberto Bazbaz.

Luis Fernando García señala que el sistema Pegasus –operado por gobiernos, por particulares o por quien sea– representa un grave riesgo para los derechos humanos de periodistas y defensores. Especialmente, apunta, “por este nuevo método de infección que ha sido revelado en este año que ni siquiera implica la necesidad de que la víctima haga algo, no le tiene que dar click a nada, no tiene que bajar nada, no tiene que hacer nada, simplemente tiene que recibir una llamada a la mitad de la noche y en ese momento está infectado”.

El director de R3D destaca que por “el poder que esta herramienta tiene, aunado a la falta absoluta de transparencia, de regulación, de controles democráticos en este tipo de herramientas, prácticamente garantizan que éstas van a ser abusadas, porque solamente depende de la buena voluntad de una persona y eso no es serio: en un sistema democrático, herramientas tan poderosas no pueden quedar sujetas a ‘la buena onda’ de ese funcionario en particular, sino tiene que haber controles para garantizar que esas herramientas van a ser utilizadas de manera correcta”.

Agrega que cualquier uso sin autorización judicial, sin objetivo legítimo ni medidas de control es ilegal, abusivo y violatorio de derechos humanos, como ya se ha demostrado que ha sucedido en este país.

El experto indica que principalmente se viola el derecho a la privacidad, pero si se tiene en cuenta “que en este país la diferencia entre la autoridad y los grupos delincuenciales a veces es inexistente, el que estas herramientas estén a merced de funcionarios corruptos o de la propia delincuencia organizada, implica potenciar riesgos a derechos como la vida y la integridad personal”.

Y agrega: “la vigilancia no sólo genera una invasión a la privacidad, genera una inhibición al hecho de la libertad de expresión, esa sensación inclusive de vigilancia implica una modificación en la conducta externa: dejas de hacer cosas porque te sientes observado y eso ya es una limitación a tu libertad de expresión, a tu libertad personal”.

Y es que con los antecedentes en México, señala, “donde no es raro que autoridades terminen siendo también delincuentes –secuestren, maten, desaparezcan, torturen–, el tener estas herramientas tan poderosas con absoluta ausencia de garantía de rendición de cuentas implica potenciar el riesgo a otros derechos humanos como, reitero, la vida y la integridad personal”.

El poder de Pegasus

El malware Pegasus tiene la capacidad de espiar más de 1 mil teléfonos celulares a la vez; fue adquirido por la Secretaría de la Defensa Nacional, y fue el elemento central de toda una modernización de la Inteligencia Militar que costó más de 10 mil millones de pesos, reveló Contralínea en julio de 2012.

Con base en los contratos, este semanario descubrió que la Sedena fue la entidad del gobierno federal mexicano que adquirió, por más de 2 mil millones de pesos, la Plataforma Pegasus: el más sofisticado programa de espionaje existente hasta entonces, desarrollado por NSO Group.

El software malicioso fue uno de los elementos centrales de toda una reestructuración del “Sistema de Inteligencia Regional para Incrementar las Capacidades de la S-2 [Sección Segunda] (Intl) [Inteligencia] EMDN [Estado Mayor de la Defensa Nacional]”, indican los contratos. La otra adquisición central fue un Sistema Táctico de Imágenes para “ver” a través de paredes.

Como lo informó Contralínea, la modernización de toda la Sección Segunda –encargada de las labores de inteligencia militar– se llevó a cabo en tres fases, al final del sexenio de Felipe Calderón, y tuvo un costo superior a los 10 mil millones de pesos. Se trató de una restructuración del Centro de Comando y Control, sus subcentros, módulos y la instalación de la Plataforma Pegasus.

Los contratos revelaban que Inteligencia Militar –y, a través de licencias, otros organismos de seguridad nacional, seguridad pública y procuración de justicia– podían intervenir, al mismo tiempo, 400 Iphone, 400 BlackBerry, 100 Nokia y 100 smartphones con sistema operativo Android.

La adquisición del “Módulo Central de la Plataforma NSO Pegasus de Monitoreo de Smartphones” se realizó por adjudicación directa a la compañía Security Tracking Devices. De acuerdo con fuentes de la Sedena, la entonces secretaria de Estado de Estados Unidos, Hillary Clinton, tuvo que aprobar personalmente que una compañía estadunidense vendiera tal sistema a un gobierno extranjero.

A la letra, uno de los contratos señala las capacidades de espionaje de Pegasus. Logra el control total del teléfono infectado con el software: “extracción de SMS/MSM; lista de contactos; registros de agenda; monitores de e-mail; intercepción de voz; extracción de mensajería instantánea; información de ubicación GPS/Cell ID; captura de imágenes de pantalla y de la cámara; acceso y manipulación del sistema de archivos; información y estado del sistema; información de la tarjeta SIM; información del hardware, sistema operativo y software; denegación de capacidades de servicio, y detener el funcionamiento del dispositivo”.

Es decir, toda la información procesada por el aparato es recopilada y almacenada por los operadores de Pegasus. Más aún, el dispositivo telefónico se convierte en micrófono y cámara permanentes, y ubica en todo momento dónde se encuentra el usuario espiado.

El mismo documento destaca que el control del smartphone vía remota es un hecho aunque el aparato esté encriptado y esté protegido por antivirus y antiespías. Además, todo ocurre sin que la persona se percate de ello: una de las características de los sistemas adquiridos es “ser indetectables en los dispositivos de hardware y por programas de software (antivirus, antispyware) existentes en el mercado”, dice textualmente.

La adquisición de los equipos y servicios de la Sección Segunda del Ejército estuvo a cargo de la Dirección General de Administración. Todos los contratos se adjudicaron de manera directa.

Formalmente, los sistemas se utilizarían para apoyar las actividades de inteligencia y contrainteligencia de la Sección Segunda (dirigidas especialmente contra los movimientos subversivos), pero también las de la Sección Séptima, encargada de las operaciones contra el narcotráfico.

Además de Security Tracking Devices, la otra empresa a través de la cual se adquirieron los equipos y servicios –sobre todo para la Fuerza Aérea– fue la también estadunidense AV y D Solutions.

Fueron 18 los contratos y convenios que entre 2010 y 2012 celebró la Sedena para adquirir equipos y servicios que modernizarían las capacidades de la Sección Segunda del Estado Mayor de la Defensa Nacional. Contralínea obtuvo ocho de ellos: tres contratos y cinco convenios modificatorios por 5 mil 628 millones de pesos, aquellos que en 2012 eran auditados por la Secretaría de la Función Pública, la Auditoría Superior de la Federación y la propia Contraloría General del Ejército y Fuerza Aérea. Entre ellos se encuentran los de la Plataforma Pegasus.

La primera fase del Sistema de Inteligencia para Sección Segunda de la Sedena se adquirió a Security Tracking Devices el 10 de septiembre de 2010, mediante la firma del contrato 4550000033 (folio SAITE-1203/2010) por 650 millones de pesos. Se trató de la remodelación física del Centro de Comando y Control y su preparación técnica para albergar los equipos que se instarían y garantizar su funcionamiento. La Sedena pagó por medio de transferencia bancaria a la cuenta 65500952869 con número Clabe 014320655009528691, radicada en Guadalajara, Jalisco, del banco Santander.

El contrato 4550000007 (folio SAITE-539/2012) da cuenta de la adquisición de la segunda fase del Sistema. Security Tracking Devices comenzó la instalación del Pegasus: el módulo central desde donde se opera esta plataforma de intervención de comunicaciones con sus ocho unidades de monitoreo de teléfonos inteligentes y sus estaciones de trabajo. Sólo el módulo central de Pegasus tiene la capacidad de intervenir al mismo tiempo 400 equipos son sistemas BlackBerry, 100 con Symbian (de teléfonos Nokia) y 100 Android (de Google). La Sedena pagó por estos servicios y equipos 1 mil millones de pesos a la cuenta antes citada.

La tercera fase también tuvo un costo de 1 mil millones de pesos. El contrato 4550000006 (folio SAITE-540/2012) da cuenta de la finalización de la instalación y el licenciamiento del software y puesta en operación de Pegasus Mobile Comunication Solution. A las capacidades de intervención de comunicaciones se agregó la de intervenir 400 teléfonos de Iphone.

En esa tercera fase quedó también instalado el Sistema Táctico de Imágenes a través de Paredes. Un radar que permite ubicar personas y objetos en inmuebles objetivos.

A los 2 mil 650 millones de pesos que suman los montos de estos contratos se agregan otros cinco para adquirir productos y servicios relacionados con la modernización de las actividades de inteligencia de la Sección Segunda, por casi 3 mil millones de pesos.

Se trata de cinco convenios –también adjudicados a Security Tracking Devices– para adquirir, entre otros equipos y servicios, dos sistemas de designadores electromagnéticos de señales satelitales de telefonía celular; un sistema procesador electromagnético; ocho estaciones remotas móviles de radiocomunicación y sistemas de inteligencia. Estos documentos se firmaron entre el 21 de diciembre de 2010 y el 3 de noviembre de 2011, bajo los números 4500006718 (folio SAITE-1462/2010), 04500006876 (folio SAITE-520/2011), 4500006908 (folio SAITE-556/2011), 4500000147 (folio SAITE-782/2011), 4500000525 (folio SAITE-135/2011) y 4550000007 (folio SAITE-539/2012).

Viridiana García

[ENTREVISTA][ESPECIAL][D] [SEMANA]