Entre 2015 y 2016, varios periodistas y activistas mexicanos fueron objeto de ciberataques a través de un software malicioso que fue contratado por el gobierno mexicano, reveló un reporte hecho por la organización Red en Defensa de los Derechos Digitales (R3D), la oficina para México y Centroamérica de Article 19 y SocialTIC y el cual se publicó en el diario The New York Times.
Según el informe, en un año se registraron 76 nuevos intentos de infección a través del malware llamado Pegasus, el cual envía mensajes de texto a sus objetivos con un enlace que, al hacer clic sobre éste, permite el acceso a la información almacenada en el teléfono, como correos electrónicos y contactos, y activa los micrófonos y cámaras sin que el afectado se dé cuenta.
TE RECOMENDAMOS: NYT acusa que en México se espía a periodistas y activistas
¿Pegasus es de origen mexicano?
No. El malware es desarrollado por la firma israelí NSO Group y, de acuerdo con el reporte de R3D, se vende únicamente a gobiernos. Según reportes del diario The New York Times, cada infección exitosa tendría un costo promedio de 77 mil dólares, cerca de un millón 400 mil pesos.
Una de las primeras ocasiones en las que el malware fue identificado fue en agosto de 2016. En ese entonces, investigadores de Citizen Lab de la Universidad de Toronto estudiaron el método de infección de Pegasus luego de que el defensor de derechos humanos, Ahmed Mansoor reportó haber recibido mensajes con textos y enlaces extraños.
¿Cómo funciona?
La persona afectada recibe mensajes SMS con un texto y un enlace malicioso hacia alguna nota periodística o reporte especializado, sin embargo esto es un engaño. Pegasus se basa en la ingeniería social, es decir un “método para engañar o persuadir a alguien a través de canales tecnológicos o bien en persona, y que se utiliza para obtener información significativa o lograr que la víctima realice un determinado acto”, se lee en el reporte de R3D.
Al hacer clic en el enlace que acompaña el texto del mensaje, se redirige a un sitio de NSO Group al mismo tiempo que se instala el malware en el dispositivo. Éste facilitará el acceso a los archivos guardados en el teléfono como contactos, mensajes y correos electrónicos, además de que permitirá al atacante activar el micrófono o la cámara del dispositivo sin que la víctima se dé cuenta.
De acuerdo con la investigación de Citizen Lab, Pegasus utiliza enlaces muy parecidos a los de sitios de noticias, redes sociales o telecomunicaciones para engañar a la persona que recibió el mensaje. Además de ser México el país en el que más dominios se encontraron, los más utilizados fueron: unonoticias.net, y0utube.com.mx, fb-accounts.com y whatsapp-app.com. Todos, enlaces que no corresponden al del sitio oficial de la red social o medio de comunicación.
El director de R3D, Luis Fernando García, dijo en conferencia que los mensajes que reciben las víctimas son personalizados, es decir incluyen información de interés de la persona y muchas veces incluyen su nombre o nombre de algunos de sus familiares.
TE RECOMENDAMOS: Diez términos que te ayudarán a entender la ciberseguridad
Los primeros casos en México
En 2015, el periodista mexicano Rafael Cabrera reportó a través de su cuenta de Twitter los mensajes que le había llegado y los cuales tenían todas las características que distinguen a Pegasus.
Casi un año después, dos activistas y un científico que habían impulsado el impuesto a bebidas azucaradas en México reportaron haber sido víctimas de un ataque a través de Pegasus.
Según R3D, “se han documentado diversos indicios de la adquisición de equipo de NSO Group para parte de distintas instancias del gobierno de México, tales como la Secretaría de la Defensa Nacional, la Procuraduría General de la República y el Centro de Investigación y Seguridad Nacional”.
Y en el más reciente reporte hecho por la organización se señalan a periodistas como Carmen Aristegui, Carlos Loret de Mola o Salvador Camarena como algunos de los afectados.
¿Es legal?
De acuerdo con el reporte publicado hoy, en México “no existe regulación específica de herramientas altamente intrusivas de vigilancia como el software malicioso Pegasus” y señala que la intervención de comunicaciones privadas se puede dar sólo con la autorización de un juez federal siempre y cuando el caso sea una amenaza a la seguridad nacional, según el artículo 5 de la Ley de Seguridad Nacional.
Por si fuera poco, la Constitución marca la prohibición de la intervención de comunicaciones “cuando se trate de cuestiones de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, así como en el caso de las comunicaciones del detenido con su defensor”.
mrf