El pasado mes de julio estallaba el escándalo del software espía Pegasus, de la firma israelí NSO Group, con el que diversos países espiaron a personas que les resultaban incómodas, desde rivales políticos, a periodistas, activistas de Derechos Humanos (DDHH), etc. Ya en 2017, Amnistía Internacional advirtió del uso de este spyware contra las libertades civiles más esenciales, como hace Marruecos contra el pueblo saharaui, periodistas críticos o, incluso, contra el primer ministro francés. Ahora esta organización publica un completo informe con el que refuta los argumentos de NSO Group, que continúa aferrado al argumento falaz de la seguridad nacional.

Este documento forense, eminentemente técnico, es fruto de una investigación colaborativa que involucra a más de 80 periodistas de 17 organizaciones de medios en 10 países, coordinada por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional (AI).

Tras haber realizado análisis forenses de  los dispositivos de múltiples víctimas del espionaje (periodistas y defensores de DDHH) entre 2014 y julio de 2021, la conclusión del organismo es demoledora: se realizó una vigilancia ilegal generalizada, persistente y continua, así como abusos de los DDHH con el software espía Pegasus de NSO Group. Las revelaciones llevadas a cabo por (AI) a partir del espionaje de Marruecos a diversos periodistas marroquíes contrarios al régimen de Mohamed VI prueban que sus móviles fueron atacados a través de dispositivos tácticos, como torres celulares no autorizadas, o mediante equipos dedicados colocados en la operadora de telefonía móvil.

El informe revela cómo Marruecos no sólo espió a los periodistas cuando éstos utilizaban el navegador de sus dispositivos móviles, sino también cuando usaban otras aplicaciones, como Twitter. Si en un primer momento la mayoría de las infecciones se producían a través de mensajes SMS (sobre todo entre 2016 y 2018), posteriormente se empleó la técnica de ataques de inyección web, que consiste en introducir código a través de los campos de texto de determinadas aplicaciones o páginas web para tomar el control del dispositivo.

En los casos de dispositivos Apple, la investigación de AI demuestra que los gobiernos que espiaron se volcaron con la explotación de vulnerabilidades en iOS, especialmente en iMessage y FaceTime. En esta línea, las sospechas de AI pasan porque la aplicación Fotos de iOS o el servicio Photostream se utilizaron como parte de una cadena de exploits para implementar Pegasus. Así, estás aplicaciones podrían haber sido explotadas, alterando su funcionalidad, para entregar un JavaScript con el que romper la seguridad del dispositivo.

Las técnicas de infección se han ido perfeccionando en los últimos años y, de esta manera, el análisis forense detectó en dispositivos infectados con Pegasus que antes de que éste se ejecutara el tráfico de red registrado para el servicio Apple Music podría haberse sido determinante en la infección. Según expone, es posible  abusar de las aplicaciones integradas, como la aplicación iTunes Store, para ejecutar un exploit del navegador.

La sofisticación de Pegasus era tal que, según ha podido comprobar el análisis forense en múltiples iPhones, el software comenzó recientemente a manipular las bases de datos del sistema y los registros de los dispositivos infectados para ocultar su rastro, impidiendo así investigación como la de AI. En cuanto a la infraestructura utilizada para los ataques, el informe revela cómo la mayor parte de los servidores de Pegasus se alojaban en centros de datos ubicados en países europeos administrados por empresas de alojamiento estadounidenses, como Alemania, Reino Unido, Suiza o Francia, así como en EEUU.

Por último, es importante destacar que el hecho de que buena parte de la investigación forense se haya centrado en dispositivos Apple no se debe a que éstos sean más vulnerables que los que ejecutan sistema operativo Android. El informe aclara que la razón se debe a que hay muchos más rastros forenses accesibles para los investigadores en dispositivos Apple iOS que en dispositivos Android estándar, lo que significa que Android no es en absoluto un escudo fiable contra Pegasus.

La ONU se pronuncia

Hace unos días, se hacía pública la declaración de la Alta Comisionada de las Naciones Unidas para los Derechos Humanos, Michelle Bachelet, en la que realizaba una contundente reflexión: "El nivel sin precedentes de vigilancia actual en todo el mundo por parte de actores estatales y privados es incompatible con los derechos humanos". En este sentido, Bachelet admite no haberse sorprendido por cómo Pegasus fue operado contra miles de personas en 45 países de cuatro continentes.

La Alta Comisionada alerta sobre el modo en que ha crecido en la sombra un mercado de tecnología de espionaje, lejos de la supervisión de la justicia y el escrutinio público, tanto en países autoritarios como en democracias, lamentando tanto esa opacidad como la falta de regulación que abren la puerta a "nuevas medidas de represión".

Por este motivo, Bachelet sostiene que "los Estados no solo tienen el deber de abstenerse de estos abusos, sino también el deber de proteger a las personas de ellos", razón por la que apela a que se establezca "una legislación sólida y regímenes institucionales para que los Estados cumplan con sus obligaciones de derechos humanos y las empresas cumplan con sus propias responsabilidades en virtud de los Principios Rectores de las Naciones Unidas para las Empresas y los Derechos Humanos".

Además de estos "marcos legales que aseguren la privacidad", la declaración de Bachelet reclama una mayor "rendición de cuentas por los abusos", con investigaciones imparciales sobre los casos de vigilancia selectiva que permitan que las víctimas sean informadas y apoyadas para buscar reparación, algo que hasta la fecha no ha sucedido.