Pegasus: La democracia global bajo ataque cibernético

Por Adriana Rodríguez Molano*

Pegasus es, en la actualidad, el software espía más invasivo y agresivo que hay en el mercado de la cibervigilancia. Se ha utilizado en forma ilegal para espiar, en el ámbito mundial, a defensores de derechos humanos, periodistas, abogados, contrincantes políticos, así como a integrantes y organizaciones de la sociedad civil.

Así que, la narrativa en torno a Pegasus, que es una tecnología que ayuda a combatir únicamente al terrorismo y el crimen, o, en el caso colombiano, al narcotráfico, no corresponde a lo que ha sido su uso a nivel mundial. Se ha demostrado, justamente, lo contrario: varios gobiernos lo han usado para espiar a muchísimas personas que no eran, en absoluto, ni delincuentes, ni criminales.

La empresa israelí NSO Group fabricó Pegasus. Creada por antiguos militares de una unidad de los servicios secretos israelíes, esa firma supedita la venta del arma militar al visto bueno del gobierno de Israel, más precisamente, del Ministerio de Defensa. Incluso, a la aceptación del Mossad, o servicio secreto de ese país, según un periodista de France 24. Esto no es cualquier cosa.

En Colombia, Pegasus se adquirió en junio de 2021, durante el gobierno de Iván Duque (2018-2022). La extrema derecha, se ha escudado tras el hecho de que Estados Unidos financió la compra según lo reveló el periódico El Tiempo y lo confirmó el embajador Daniel García-Peña.

Sin embargo, en un país como Colombia, en donde las “chuzadas” son costumbre, ¿podría haberse hecho un uso indebido de este sofisticado software espía?

Proyecto Pegasus

A pesar de que Pegasus se utilizó de forma indebida en varios países desde el 2011, en particular en México,  el gran escándalo se destapó en julio de 2021 en Europa cuando salió a la luz la investigación “Proyecto Pegasus”, liderada por Security Lab (Laboratorio sobre Seguridad), de Amnistía Internacional, y Forbidden Stories, esta última, una organización que tiene base en París y hace periodismo colaborativo para continuar y publicar el trabajo de periodistas que enfrentan amenazas, prisión o asesinato.

¿Cómo empezó todo? El binomio investigador consiguió una lista de 50.000 números telefónicos que eran blanco para instalar el programa espía y hacer labores de espionaje. Pequeño detalle: la lista de números de teléfonos móviles pertenecía a activistas, periodistas, defensores de derechos humanos, miembros de la oposición política, diplomáticos, magistrados, abogados y responsables políticos de alto nivel.

Security Lab y Forbidden Stories tomaron las medidas dignas de una “Misión imposible” contactando, en plena pandemia del covid, a las personas propietarias de los teléfonos de la famosa lista. En la gran mayoría de los casos, el programa espía estaba presente o lo había estado en algún momento.

¿Cómo funciona Pegasus?

La última versión de Pegasus utiliza la tecnología “cero clic”, es decir, que no es siquiera necesario hacer clic en un enlace sospechoso, para que el programa espía infecte el teléfono. Se inserta solito. Y una vez adentro, quien espía tiene acceso a fotos, mensajes en plataformas como WhatsApp , contactos, historial de navegación, contraseñas y ubicación de la persona propietaria del teléfono.

Lo más grave de todo es que Pegasus puede activar la cámara a distancia o encender el micrófono. En otras palabras, puede tomar fotos y grabar cualquier conversación en donde se encuentre el teléfono. De esta forma, además de quien tiene el teléfono, puede espiarse a todas las personas que se le acerquen: la pareja, los hijos o hijas, amistades, familiares, fuentes secretas de periodistas, clientes de los abogados. Es una verdadera intromisión a la intimidad.

En Colombia, cuando ya se tenía el software, la revista Semana, hoy medio poderoso de la extrema derecha del país, con la Sra. de Gnecco (alias Vicky Dávila) a la cabeza, reveló múltiples horas de grabaciones de los comités de estrategia de la campaña de Gustavo Petro. Esto sucedió semanas antes de la segunda vuelta de las presidenciales de 2022.  A la luz de lo señalado, una sospechosa situación.

En Semana, dijeron que los videos llegaron por “fuentes anónimas”. La revista señaló que la “fuente anónima” era un integrante de la Colombia Humana, organización que impulsó a Gustavo Petro para la presidencia. Dijo que él había decidido entregarle a la revista este material. ¿Y, si más bien, ese material se hubiera conseguido con Pegasus mediante uno o varios de los teléfonos presentes en las varias reuniones durante la campaña presidencial del hoy mandatario?

Es, desde luego, algo muy difícil de probar, pues se requeriría hacer análisis periciales digitales y emplear metodologías de investigación de última generación para confirmar indicios de ataques e infecciones en los teléfonos.

En México, sí quedó claro que Pegasus se utilizó para espiar a la oposición política. En el gobierno de derecha de Enrique Peña Nieto (2011-2018), del Partido Revolucionario Institucional (PRI), al menos 50 personas cercanas a Andrés Manuel López Obrador, principal contrincante político de oposición de esa época, fueron espiadas. Además, entre enero de 2015 y julio de 2016, el software espía se empleó para atacar a periodistas y a activistas del país, según investigación de las organizaciones Artículo 19, R3D y Social TIC, asesoradas en la técnica por Citizen Lab, de Canadá.

En julio de 2021, Amnistía Internacional denunció que México fue “el único país de América Latina que adquirió a través de la empresa NSO Group el software Pegasus para acciones de vigilancia selectiva ilegítima de activistas y periodistas”. Sin embargo, la compañía israelí NSO Group dijo que Pegasus permitió la captura del “Chapo” Guzman. ¡Ojalá hubiera servido en México, tan solo, para atrapar criminales!

Del otro lado del Atlántico, gracias, también, a la investigación Proyecto Pegasus, se destapó un tipo de espionaje algo diferente: el de un Estado contra otro Estado. En este caso, resultó ser Marruecos el que pudo espiar al mismísimo presidente francés Emmanuel Macron y a un gran número de personas de su gobierno.

Marruecos, comprador del spyware negó lo revelado, como era de esperarse. Sin embargo, esto no impidió que Macron enfriara relaciones con su antigua colonia y de inmediato, después de lo ocurrido, convocara un consejo de defensa excepcional en torno al espionaje y las medidas a tomar. Por supuesto, el presidente francés cambió su número de teléfono y su dispositivo. ¡Supongo que mantuvo su nuevo número telefónico bien secreto desde entonces!

Está claro que el espionaje de Estado contra Estado puede resultar muy apetecible cuando hay intereses geopolíticos en juego. Me imagino, a más de uno, bien interesado en saber el contenido de las conversaciones, por ejemplo, de Putin. ¿o, por qué no, de Maduro?

Pegasus y el periodismo

Si bien se ha espiado a varios sectores de la población, profesionales del derecho, defensores de derechos humanos y activistas políticos, el codiciado objetivo del espionaje es el mundo del periodismo. Y no aquellas personas que están al servicio de los medios hegemónicos, sino quienes hacen un periodismo crítico, que sacan a la luz los escándalos de corrupción, que resultan incómodos al establecimiento porque ponen en evidencia actividades criminales, delictivas, vulneración de derechos humanos o criminalidad medio ambiental.

En India, El Salvador, Hungría y, aun, en España, quienes ejercen su labor informativa con independencia de los poderes corporativos fueron blanco de espionaje de Pegasus. Se ha hablado, en particular, del asesinato del periodista saudí Jamal Khashoggi, columnista de opinión del periódico The Washington Post. Seis meses antes de que lo torturaran y mataran, el teléfono de su exesposa sirvió para espiarlo en Arabia Saudita. Posteriormente, en Turquía, a donde se había exiliado, cuatro días después de su muerte en Estambul, el teléfono de su prometida turca fue infectado con Pegasus. Establecer una correlación directa es difícil, lo cierto es que al círculo personal más cercano del periodista se le estaba espiando con Pegasus cuando lo asesinaron.

Vigilancia ilegítima y otras irregularidades

Pegasus es un arma militar que vulnera los derechos humanos y representa una violencia simbólica muy fuerte contra las víctimas de espionaje. Es un arma psicológica, pues, genera estados de angustia en aquellas personas cuyos números son interceptados y se enteran de esto. Según Amnistía International, la vigilancia ilegítima viola el derecho a la intimidad y puede violar también los derechos a la libertad de expresión, de opinión, de asociación y de reunión pacífica. No conocemos el alcance real de quienes espían sobre las personas espiadas, pero puede, como en el caso de Jamal Khashoggi, llegar hasta la muerte.

“La democracia global bajo ataque cibernético”, frase utilizada con relación a Pegasus, resume una de las consecuencias del uso del software espía a nivel mundial. Pegasus permite monitorear a los ciudadanos para poder controlarlos y atenta contra los derechos civiles de las personas. Una democracia no se puede afianzar cuando métodos de espionaje de este tipo pesan sobre la ciudadanía y se mantienen, además, en la impunidad. La vulneración de los derechos humanos debilita la democracia y pone en evidencia la descomposición ética de determinados sectores de la sociedad.  

Por eso, la compra y el uso de Pegasus en Colombia bajo el gobierno de Duque no es una cuestión de menor envergadura, como la extrema derecha, con el apoyo de los medios hegemónicos, pretenden presentarlo. Abre una serie de interrogantes y de inquietudes frente a la utilización de un software espía dado el potencial destructor del mismo.  

Existen varias irregularidades en la adquisición conjunta de este software. Por ejemplo, hasta el momento, no hay un convenio o contrato de cooperación firmado por entre Estados Unidos y Colombia que formalice y legalice la adquisición de un software para combatir el narcotráfico. De igual manera, la interceptación de comunicaciones transnacionales debe garantizar el respeto a los derechos humanos y la legalidad del procedimiento. Entre otros requisitos, la Ley de Inteligencia y Contrainteligencia (Ley 1621 de 2013) establece los requisitos y procedimientos para interceptar comunicaciones, incluida la necesidad de una orden judicial y el control posterior por parte de un juez. No existen hasta la fecha pruebas de que esto se haya hecho.

El senador Antonio José Correa es el presidente de la Comisión de Inteligencia y Contrainteligencia del Senado de la República y lideró un debate de control político a finales de octubre sobre el caso Pegasus. Él indicó que se habían violado un marco constitucional y un marco legal y que eso debe tener unos responsables ante la justicia colombiana.

Las circunstancias de la compra del software espía, las respuestas contradictorias por parte de los integrantes del gobierno de Duque posiblemente involucrados, la incógnita de saber quiénes fueron las personas interceptadas o “chuzadas”, todos estos, son elementos que merecen respuestas. El informe solicitado por el embajador Daniel García-Peña a los Estados Unidos, tras su reunión del 8 de noviembre en la Casa Blanca, debería, en principio, proporcionar el detalle del uso, nombres de personas interceptadas, números de teléfonos y demás información pertinente correspondiente a los entre 15 y 18 meses en los que el software estuvo en funcionamiento.

Algo igual de fundamental es saber cuál fue la entidad en Estados Unidos a la que se le cedió soberanía nacional para hacerse cargo de las interceptaciones y cuál fue su contraparte en Colombia. Las sombras al respecto se acrecientan en la medida que el general (r) Jorge Luis Vargas, exdirector de la Policía Nacional de Colombia, guardó silencio durante la declaración juramentada que rindió a la Fiscalía Sexta Delegada ante la Corte Suprema de Justicia sobre la investigación del software. Con ello impidió que la Fiscalía avanzara en la investigación. ¿Por qué tanto silencio?

Preguntas sobre las relaciones Colombia-Estados Unidos

Comencemos por dos: ¿se puede esperar que el ala más a la izquierda de los demócratas en Estados Unidos inste a indagar más de cerca sobre el uso biestatal que se le dio a Pegasus en Colombia dado que el dinero para su compra vino en principio de Estados Unidos? ¿Se cumplieron a cabalidad con la normativa estadounidense y de comunicaciones transnacionales que supuso la colaboración de Estados Unidos y Colombia?

El embajador García-Peña informó acerca de su reunión en la Casa Blanca con funcionarios de seguridad: “una vez empezó a tener sospechas [el gobierno de Estados Unidos] sobre el uso del Pegasus a nivel mundial, este programa fue suspendido y, de hecho, el gobierno del presidente Biden, en 2023, emitió una orden ejecutiva prohibiendo que en el futuro se adquieran esta clase de herramientas de software”.

Resulta asombroso que ese gobierno no supiera del uso indebido dado en México hace varios años siendo éste un país vecino, o de la demanda en octubre de 2019 de WhatsApp y Facebook a NSO Group y a Q-Cyber Technologies en virtud de la Ley de Abuso y Fraude informático de Estados Unidos (CFAA). WhatsApp alegó que el software espía se usó para hackear a más de 1.400 teléfonos, incluidos los de periodistas, activistas y funcionarios gubernamentales.

Incluso el mismo FBI, según informó el New York Times Magazine, compró Pegasus en 2019, a pesar de la existencia de distintos informes que indicaban que se había utilizado contra activistas y opositores políticos en otros países. En respuesta a la prensa internacional, el FBI dijo que lo habrían comprado con el objetivo de evaluar y de estar al tanto de las tecnologías emergentes, pero aseguraron que nunca lo utilizaron en ninguna investigación. Luego, dicen haberlo dejado de utilizar para evitar posibles abusos y garantizar que las operaciones del FBI se mantuvieran en los límites legales y éticos. ¿Por qué, entonces, por la misma época en que lo dejó de usar el FBI, es que Estados Unidos vuelve a adquirir el software espía para Colombia?

Luego, a principios de noviembre de 2021, viene la decisión del Departamento de Comercio de Estados Unidos de poner en una “lista negra” a NSO Group y a otra empresa de ciberespionaje israelí. Sin embargo, al embajador colombiano, puede suponerse que para tranquilizarlo, le dijeron en la Casa Blanca que en 2023 se emitió una orden ejecutiva que prohibió futuras adquisiciones de este tipo de tecnología.

En la página web del Departamento de Comercio, con fecha del 3 de noviembre de 2021, explican que pusieron a NSO en lista negra, “basándose en pruebas de que estas entidades desarrollaron y suministraron programas espía a gobiernos extranjeros que utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas”. En el mismo comunicado, ese departamento explica que “estas herramientas también han permitido a gobiernos extranjeros llevar a cabo la represión transnacional, que es la práctica de gobiernos autoritarios que atacan a disidentes, periodistas y activistas fuera de sus fronteras soberanas para silenciar la disidencia”. Advierte, entonces, que “estas prácticas amenazan el orden internacional basado en normas.” ¿Por qué entonces siguió funcionando el software en Colombia como parte del trabajo conjunto con Estados Unidos, hasta, al menos, agosto de 2022, si ya estaba en lista negra desde noviembre de 2021 en Estados Unidos?

Tantas incógnitas merecen respuesta mediante una investigación a la altura de la que hizo el binomio Security Lab- Forbidden Stories. Y pensaría, que tal investigación, debería hacerse siguiendo, al mismo tiempo, otra hipótesis: que el software, por la razón que sea, sí hubiera sido manejado directamente por colombianos en Colombia (con o sin el apoyo de Estados Unidos). ¿Acaso no es de eso que se trata la soberanía nacional?

Cuando el río suena, piedras lleva.

*Analista política, Máster en Sociología política y política comparada de la Universidad París 10 Nanterre y Máster en Análisis de problemas políticos, económicos e internacionales contemporáneos de la Universidad Externado de Colombia.