Desde 2013 es imposible hablar de ciberespionaje sin que aparezca en la discusión un nombre: Edward Snowden. Cuando tenía 30 años trabajaba como tercerizado para la Agencia de Seguridad Nacional estadounidense (NSA). Allí descubrió la tarea de espionaje a escala global que llevaba a cabo el gobierno de Estados Unidos en conjunto con Australia, Nueva Zelanda, Canadá y Reino Unido, y con el permiso de empresas como Apple, Google, Microsoft y Facebook. Snowden decidió revelar esa información, pasó a ser considerado traidor a la patria por sucesivos presidentes (Barack Obama y Donald Trump) y desde entonces vive exiliado en Moscú, recordando que la vigilancia estatal no sólo no dejó de funcionar sino que se fue incrementando con el paso de los años.
El fin de semana, un informe elaborado por 17 medios de comunicación de distintas partes del mundo, coordinado por la organización francesa Forbidden Stories con apoyo de Amnistía Internacional, reveló que desde 2016 los gobiernos de al menos diez países utilizaron un software de espionaje llamado Pegasus para infiltrarse en los teléfonos de 50.000 “personas de interés”, en su mayoría activistas, periodistas y políticos.
México, Arabia Saudita, Azerbaiyán, Bahréin, Emiratos Árabes Unidos, Hungría, India, Kazajistán, Marruecos y Ruanda son algunos de los 20 países en los que se encontraban los clientes gubernamentales de NSO Group Technologies, una empresa con sede en Israel enfocada en la creación de software para seguridad informática. Si bien la empresa asegura que su trabajo está dirigido a combatir el ciberdelito y el terrorismo, buena parte de las víctimas de Pegasus en diez países distan mucho de estar siendo vigiladas por la posibilidad de que cometan algún tipo de delito.
Entre algunas de las personas que tenían su teléfono infiltrado con Pegasus se encuentran el presidente de Francia, Émmanuel Macron, el de Irak, Barham Salih, y el de Sudáfrica, Cyril Ramaphosa, según informó The Washington Post. A ellos se les suman primeros ministros, como el de Pakistán, Imran Khan, el de Egipto, Mostafa Madbouly, y el de Marruecos, Saad-Eddine el Othmani, además del rey marroquí, Mohammed VI.
En la lista de víctimas también había periodistas de AFP, The Wall Street Journal, CNN, The New York Times, Al Jazeera, France 24, Radio Free Europe, AP, Le Monde, Bloomberg, Proceso, The Economist, Reuters y Voice of America.
El caso más fuerte es el de México durante el gobierno de Enrique Peña Nieto. Bajo su mandato se adquirió el software Pegasus y al menos hasta 2017 se espió a cerca de 15.000 personas, entre quienes se encontraban casi todo el círculo del actual presidente, Andrés Manuel López Obrador y 25 periodistas mexicanos, entre ellos Carmen Aristegui, Jenaro Villamil, Marcela Turati y Cecilio Pineda Birto, que fue asesinado en marzo de 2017.
Tras conocerse la publicación de esta serie de artículos, NSO Group emitió un comunicado en el que aseguraba que se trataba de “afirmaciones falsas”. Sin embargo, con el paso de los días y la aparición de nuevos detalles que comprometían cada vez más el rol de la compañía, resolvieron no volver a hablar con la prensa.
El miércoles 14 un vocero de NSO Group envió un correo electrónico a varios medios de comunicación en el que afirmaba: “A la luz de la reciente campaña mediática planeada y bien orquestada, liderada por Forbidden Stories e impulsada por grupos de intereses especiales, y debido al total desconocimiento de los hechos, NSO anuncia que ya no responderá a las preguntas de los medios sobre este asunto y no jugará con la campaña viciosa y calumniosa”, según recoge Vice.
Infectados e infectadores
Volvamos a Snowden. Luego de las revelaciones sobre los teléfonos intervenidos por Pegasus, concedió una entrevista a The Guardian, el medio que allá por 2013 había elegido, junto con el periodista Glenn Greenwald, para divulgar las revelaciones sobre la vigilancia masiva estadounidense. En la entrevista sostuvo que los gobiernos deberán ponerse de acuerdo para imponer una moratoria global al comercio internacional de software espía o, de lo contrario, enfrentarse a un futuro en el que ningún teléfono móvil estará a salvo de los hackers patrocinados por los estados. La industria del malware con fines comerciales legales “no debería existir” porque permitirá que los regímenes represivos coloquen a muchas más personas bajo los tipos de vigilancia más invasivos, explicó el analista.
La intervención en los dispositivos de una persona investigada suele implicar “irrumpir en la casa de alguien, ir a su automóvil o ir a su oficina, y nos gustaría pensar que probablemente obtener una orden judicial”, pero con casos como el del software Pegasus la vigilancia se hace más simple y rentable, sostiene Snowden. En este sentido, plantea que “si pueden hacer lo mismo desde la distancia, con poco costo y sin riesgo, comenzarán a hacerlo todo el tiempo, contra todos los que tengan un interés aunque sea marginal”. “Si no se hace nada para detener la venta de esta tecnología, no sólo serán 50.000 objetivos. Serán 50 millones de objetivos y sucederá mucho más rápido de lo que cualquiera de nosotros espera”, advierte.
Snowden cree que las empresas que comercializan las vulnerabilidades en modelos de teléfonos móviles ampliamente utilizados son el equivalente a tener una industria de “infectadores” que intentan deliberadamente desarrollar nuevas cepas de una enfermedad. “Es como una industria que lo único que hiciera fuera crear variantes personalizadas de la covid-19 para esquivar las vacunas”, explica. “Sus únicos productos son los vectores de infección. No son productos de seguridad. No brindan ningún tipo de protección, ningún tipo de profiláctico. No fabrican vacunas, lo único que venden es el virus”.
El planteo de Snowden es el mismo que ya han hecho otros expertos que trabajan con ciberseguridad: hay que detener a la industria de infectadores antes de que se genere una pandemia de vigilancia estatal.