Proyecto Pegasus: Una filtración de datos masiva revela que el software espía de la empresa israelí NSO Group se utiliza para atacar a activistas, periodistas y figuras políticas en todo el mundo

El software espía de NSO Group se ha utilizado para facilitar la comisión de violaciones de derechos humanos a gran escala en todo el mundo, según una importante investigación sobre la filtración de 50.000 números de teléfono de posibles objetivos de vigilancia. Entre ellos hay jefes y jefas de Estado, activistas y periodistas, incluida la familia de Jamal Khashoggi.

El Proyecto Pegasus es una innovadora investigación colaborativa en la que han participado más de 80 periodistas de 17 organizaciones de medios de comunicación de 10 países bajo la coordinación de Forbidden Stories, una organización sin ánimo de lucro de medios de comunicación con sede París (Francia), y con el apoyo técnico de Amnistía Internacional, que realizó análisis forenses punteros de teléfonos móviles para identificar rastros del software espía.

“El Proyecto Pegasus pone al descubierto que el software espía de NSO es el arma preferida de los gobiernos represivos que intentan silenciar a periodistas, atacar a activistas y aplastar la disidencia, poniendo en peligro innumerables vidas”, manifestó Agnès Callamard, secretaria general de Amnistía Internacional.

“Estas revelaciones echan por tierra cualquier afirmación de NSO de que tales ataques son poco frecuentes y obedecen a un uso fraudulento de su tecnología. Aunque la empresa afirma que su software espía sólo se utiliza en investigaciones penales y de terrorismo legítimas, está claro que su tecnología facilita la comisión de abusos sistemáticos. NSO dibuja una imagen de legitimidad mientras saca provecho de violaciones de derechos humanos generalizadas.”

“Está claro que sus acciones plantean preguntas más amplias sobre la absoluta falta de regulación que ha dado lugar a un ‘salvaje oeste’ de ataques abusivos generalizados contra activistas y periodistas. Hasta que esta empresa y la industria en su conjunto puedan demostrar que son capaces de respetar los derechos humanos, se debe suspender con carácter inmediato la exportación, venta, transferencia y uso de tecnología de vigilancia.”

En una respuesta escrita dirigida a Forbidden Stories y sus organizaciones de medios de comunicación socias, NSO Group aseveró que “niega rotundamente…las acusaciones falsas” del informe. Escribió que los reportajes del consorcio se basaban en “suposiciones equivocadas” y “teorías no corroboradas” y reiteró la “misión que salva vidas” de la empresa. Se puede consultar un resumen más completo de la respuesta de NSO Group en este enlace.

La investigación

En el centro de esta investigación se encuentra el software espía Pegasus de NSO Group que, una vez instalado subrepticiamente en el teléfono de las víctimas, proporciona al atacante pleno acceso a los mensajes, correos electrónicos, elementos multimedia, micrófono, cámara, llamadas y contactos del teléfono.

A lo largo de la próxima semana, los medios de comunicación asociados al Proyecto Pegasus —incluidos The GuardianLe MondeSüddeutsche Zeitung y The Washington Post— publicarán una serie de historias en las que revelarán información detallada sobre la selección de dirigentes mundiales, figuras políticas, activistas de derechos humanos y periodistas como posibles objetivos de este software espía.

A partir de los datos filtrados y sus investigaciones, Forbidden Stories y los medios de comunicación asociados identificaron posibles clientes de NSO en 11 países: Arabia Saudí, Azerbaiyán, Bahréin, EAU, Hungría, India, Kazajistán, Marruecos, México, Ruanda y Togo.

NSO Group no ha tomado las medidas adecuadas para poner fin al uso de sus herramientas para la vigilancia selectiva ilegítima de activistas y periodistas a pesar de que sabía, o habría debido saber, que se estaba produciendo.

“Como primera medida, NSO Group debe cerrar de forma inmediata los sistemas de los clientes cuando haya pruebas fidedignas de uso indebido. El Proyecto Pegasus aporta ingentes pruebas de ello”, afirmó Agnès Callamard.

Ataques contra la familia de Khashoggi 

Durante la investigación también han aparecido pruebas de que antes y después del asesinato del periodista saudí Jamal Khashoggi en Estambul el 2 de octubre de 2018 a manos de agentes saudíes, y pese a que NSO Group lo haya negado en repetidas ocasiones, se atacó a miembros de su familia con el software Pegasus.

El Laboratorio sobre Seguridad de Amnistía Internacional estableció que se había instalado Pegasus en el teléfono de Hatice Cengiz, prometida de Khashoggi, cuatro días después de su asesinato.

Su esposa, Hanan Elatr, también recibió reiterados ataques con el software espía entre septiembre de 2017 y abril de 2018, y su hijo Abdullah fue seleccionado como potencial objetivo junto con otros miembros de la familia en Arabia Saudí y Emiratos Árabes Unidos.

En una declaración, NSO Group respondió a las denuncias del Proyecto Pegasus que su “tecnología no guardaba relación alguna con el atroz asesinato de Jamal Khashoggi”. La empresa explicó que ya había “investigado anteriormente esta denuncia —inmediatamente después del brutal homicidio— que se realiza[ba] de nuevo sin respaldo”.

Ataques contra periodistas

Hasta el momento, la investigación ha identificado al menos a 180 periodistas de 20 países que fueron seleccionados como posibles objetivos de ataques con el software espía de NSO entre 2016 y junio de 2021. Entre ellos hay periodistas de Azerbaiyán, Hungría, India y Marruecos, países donde la represión contra los medios de comunicación independientes se ha intensificado.

Las revelaciones muestran el daño real que causa la vigilancia ilegítima:

  • En México, se seleccionó como objetivo el teléfono del periodista Cecilio Pineda apenas unas semanas antes de su homicidio en 2017 a la edad de 38 años. El Proyecto Pegasus identificó que al menos 25 periodistas mexicanos fueron seleccionados como objetivos durante un periodo de dos años. NSO Group ha negado que los datos recolectados del teléfono de Pineda contribuyeran a su muerte, incluso en el caso de que su teléfono de hubiera sido objeto de ataques.
  • Pegasus se ha utilizado en Azerbaiyán, país en el que sólo quedan unos pocos medios de comunicación independientes y donde, según la investigación, se seleccionó como posibles objetivos a más de 40 periodistas. El Laboratorio sobre Seguridad de Amnistía Internacional concluyó que el teléfono de Sevinc Vaqifqizi, periodista autónoma que colabora con el medio de noticias independiente Meydan TV, estuvo infectado durante un periodo de dos años hasta mayo de 2021.
  • En India, al menos 40 periodistas de casi todos los medios de comunicación principales del país fueron seleccionados como posibles objetivos entre 2017 y 2021. Los análisis forenses revelaron que los teléfonos de Siddharth Varadarajan y MK Venu, cofundadores del medio de noticias independiente online The Wire, estaban infectados con el software espía Pegasus en una fecha tan reciente como junio de 2021.
  • La investigación también identificó como posibles objetivos a periodistas que trabajan para medios de comunicación internacionales de primer orden, entre ellos Associated Press, CNN, The New York Times y Reuters. De este grupo, una de las figuras más destacadas es Roula Khalaf, directora de Financial Times.

“La cifra de periodistas identificados como objetivos ilustra con claridad que Pegasus se utiliza como herramienta para intimidar a los medios de comunicación críticos. Se hace con el objetivo de controlar el discurso público, oponerse al escrutinio y silenciar cualquier voz disidente”, manifestó Agnès Callamard.

“Estas revelaciones deben servir de catalizador para el cambio. Es preciso que los gobiernos con intereses creados en utilizar esta tecnología para cometer violaciones de derechos humanos dejen de brindar a la industria de la vigilancia un trato permisivo.”

Revelación de la infraestructura de Pegasus

Amnistía Internacional publica hoy los detalles técnicos completos de las investigaciones forenses exhaustivas realizadas por su Laboratorio sobre Seguridad como parte del Proyecto Pegasus.

El informe metodológico del Laboratorio documenta la evolución de los ataques con software espía Pegasus desde 2018 y aporta datos sobre su infraestructura, incluidos más de 700 dominios relacionados con Pegasus.

“NSO afirma que su software espía es indetectable y sólo se utiliza en investigaciones penales legítimas. Ahora proporcionamos pruebas irrefutables de que se trata de una falsedad absurda”, afirmó Etienne Maynier, tecnólogo del Laboratorio sobre Seguridad de Amnistía Internacional.

No hay evidencia que sugiera que los clientes de NSO no utilizaran también Pegasus en investigaciones relacionadas con terrorismo y delincuencia, y el consorcio de Forbidden Stories a su vez encontró números de teléfono en los datos que pertenecen a presuntos delincuentes.

“Las violaciones de derechos humanos generalizadas que facilita Pegasus deben terminar. Albergamos la esperanza de que las pruebas contundentes que se publicarán a lo largo de la próxima semana lleven a los gobiernos a reformar una industria de la vigilancia que está fuera de control.”

En respuesta a una solicitud de comentarios de las organizaciones de medios de comunicación participantes en el Proyecto Pegasus, NSO Group manifestó que “niega rotundamente” las denuncias y afirmó que “muchas de ellas son teorías no corroboradas que suscitan serias dudas sobre la fiabilidad de sus fuentes, además de la base de sus historias”. NSO Group no confirmó ni desmintió qué gobiernos se encuentran entre los clientes de NSO Group, aunque afirmó que el Proyecto Pegasus había hecho “suposiciones erróneas” al respecto. Pese a su negación general de las denuncias, NSO Group dijo que “seguirá investigando todas las denuncias creíbles de uso indebido y tomará las medidas apropiadas basándose en los resultados de esas investigaciones”.