El espionaje a periodistas mexicanos puede desatar un conflicto diplomático con EEUU

El presunto espionaje del gobierno mexicano contra periodistas y activistas de derechos humanos, dado a conocer este lunes por tres organizaciones mexicanas, no sólo constituyó varios delitos en México, sino que también violó, al menos, dos leyes federales en Estados Unidos, lo que podría desatar un conflicto entre ambos países.

John Scott-Railton, investigador de Citizen Lab -un centro de estudios de vigilancia digital con sede en Toronto, Canadá, que colaboró con el descubrimiento del espionaje ilegal- dijo a VICE News que el intento de hackeo al teléfono de Emilio Aristegui, hijo adolescente de la periodista Carmen Aristegui, es preocupante por sus posibles consecuencias internacionales.

Según el informe de la Red en Defensa de los Derechos Digitales, Artículo 19 y Social TIC, Emilio Aristegui se encontraba en Estados Unidos el 3 de junio de 2016, cuando recibió en su teléfono un mensaje falsamente enviado por funcionarios de la embajada estadounidense sobre problemas con su visa. El SMS contenía un enlace que activaba la infección de su teléfono con el programa Pegasus, un software que sólo puede ser comprado por gobiernos y que fue adquirido por México en 2011 para supuestamente combatir a los cárteles de la droga.

Si Pegasus infecta un teléfono, éste puede ser controlado vía remota: mensajes, fotografías, videos, libreta de contactos, calendario, pueden ser vigilados y manipulados por el espía. Incluso, se puede encender a distancia la cámara de video y el micrófono para grabar secretamente al usuario del teléfono.

Además de Emilio Aristegui, otras diez personas -periodistas y activistas que hacían trabajo incómodo para el gobierno federal- fueron los “objetivos” de Pegasus. Sin embargo, el caso del hijo de la periodista es especial por tratarse de un menor de edad en suelo extranjero.

VICE News: El estudio señala que Pegasus sólo se vende a gobiernos, que el gobierno mexicano lo compró, que los periodistas y activistas hacían trabajos incómodos para el gobierno cuando les llegaron los mensajes infectados, pero no puede confirmar al 100% que el gobierno mexicano esté detrás del espionaje. Sólo habla de “fuertes indicios”, ¿por qué?
John Scott: Citizen Lab ha hecho su mejor esfuerzo para obtener tanta información como ha sido posible. Sin embargo, como suele pasar con los casos de hackeo, el último tramo del análisis -atrapar al responsable con las manos en el teclado- requiere de una investigación criminal del gobierno. Lo que podemos decir es que tenemos fuertes evidencias que apuntan al gobierno de México y sabemos, con certeza, que el gobierno mexicano es cliente de la empresa que creó Pegasus. Y sabemos con certeza que el software Pegasus se vende exclusivamente a gobiernos.

El gobierno mexicano respondió que no hay pruebas de que ellos sean los responsables del espionaje…
Cualquier gobierno debería estar preocupado por el uso de Pegasus en su territorio. Estoy sorprendido de que el gobierno no ha reconocido que, al menos, que debería hacerse una investigación sobre el tema. Si no es el gobierno mexicano, quién está espiando, me parece importante que investigue qué país está violando la ley en su territorio.

¿Existe la posibilidad de que un particular o un grupo ajeno al gobierno haya comprado Pegasus para espiar a periodistas y activistas?
Es imposible que alguien descargue Pegasus para usarlo contra otras personas. La razón es que NSO, la empresa creadora, vende sus productos con una licencia de uso. Sería muy evidente para NSO que alguien que no sea el gobierno mexicano lo esté usando. Lo que sí sería posible es que grupos ajenos al gobierno estén influyendo en el uso del software y decidan a quiénes espiar. En febrero pasado, Citizen Lab, junto con R3D y Social TIC, demostramos que activistas por la salud y científicos estaban siendo espiados mientras tratan de impulsar un impuesto a los refrescos. El tema beneficiaba al gobierno, pero no beneficiaba a grandes corporaciones.

Entonces, ¿es posible que Pegasus haya sido activado desde el gobierno, pero sin autorización?
Esa es una posibilidad remota, casi nula. Programas como Pegasus tienen un control y monitoreo sumamente estricto que hace prácticamente imposible que un tercero pueda usarlo sin la autorización del gobierno.

¿Qué tipo de clientes tiene NSO, además de México? ¿Tienen algo en común esos clientes?
Citizen Lab ha hecho una investigación extensa al respecto y ha encontrado que programas de espionaje como Pegasus o Hacking Team han sido comprados y usados por gobiernos como el de Emiratos Árabes Unidos contra activistas de derechos humanos, Marruecos en contra defensores de la libertad de expresión, Etiopía contra periodistas… estos son países no democráticos. Es un grupo al que ningún gobierno democrático quisiera pertenecer.

El informe habla de once personas espiadas, ¿es posible que haya más?
Absolutamente. En nuestra experiencia, cada vez que un reporte de este tipo es publicado en México y se demuestran el tipo de mensajes que se envían, nuevos casos emergen. Pasó cuando hallamos el caso del periodista Rafael Cabrera (coautor del reportaje sobre la Casa Blanca de Enrique Peña Nieto) y eso nos llevó al caso de espionaje contra activistas que buscaban gravar los refrescos y eso nos llevó a esto. Es muy probable que esto lleve a más casos

¿Cómo se podría saber la real magnitud del espionaje contra personajes incómodos para el gobierno?
Nunca podremos saberlo, mientras el gobierno mexicano se rehuse a ordenar una investigación imparcial e independiente. Simplemente, será un secreto de Estado. R3D, Social TIC, Artículo 19 sólo han abierto una pequeña ventana hacia lo que parece una enorme operación del gobierno.

¿Cómo es que pudieron trazar las conexiones entre Pegasus y el gobierno mexicano? ¿Fueron descuidados en su espionaje?
Déjame contarte una historia. Cuando supimos de los primeros casos de mensajes SMS enviados con Pegasus contra mexicanos, pensé “esto es extremo, seguramente no puede haber algo más excesivo que esto”. Luego, vimos mensajes hablando de la muerte de familiares y pensé “esto es extremo, estoy seguro que este es el tope”. Luego, vimos mensajes sobre comportamientos sexuales y pensé “esto es extremo, ya no puede haber algo más grave”. Luego, vimos falsas Alerta Ámber y pensé “esto es extremo, de verdad, ya no puede haber algo más grave que esto”. Luego, vimos mensajes haciéndose pasar por la Embajada de Estados Unidos y pensé “esto es extremo, ya, aquí va a terminar esto”. Luego, supimos que varios de esos mensajes fueron enviados a un menor de edad que estaba en Estados Unidos. Esto es un caso único en el mundo por la imprudencia con la que está tecnología fue usada. Quien usó Pegasus, no limpió bien sus huellas.

Sobre este último caso, el de Emilio Aristegui, ¿qué implicaciones legales puede tener?
En el estudio establecemos que el atacar a un menor de edad en suelo estadounidense viola varias leyes federales de Estados Unidos. La ley contra fraude cibernético y la usurpación de identidad del gobierno, al menos. Creemos que esto es una pista importante y esperamos que sea seguida por nuestros colegas.

¿El gobierno estadounidense podría presentar cargos contra el gobierno mexicano?
Lo que puedo decirte es que es notable, por decirlo de algún modo, que un empleado del gobierno mexicano se haya hecho pasar por funcionario estadounidense. Eso parece abrir la posibilidad de un conflicto diplomático. Es un riesgo increíble y no hay antecedentes en el mundo de algo similar.

¿Por qué le debería importar esta investigación a alguien que no es periodista ni defensor de derechos humanos?
Cada vez más, nuestra vida transcurre más en línea. Eso significa que las consecuencias pueden ser cada vez más graves. Estos ataques digitales deben preocupar a la sociedad porque sus efectos son reales y cotidianos: los mexicanos están perdiendo el derecho a ser informados con veracidad y libertad.