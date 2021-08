–

Las grandes empresas y los Estados han desarrollado diversas t茅cnicas de espionaje a trav茅s de los tel茅fonos m贸viles. Los datos obtenidos son utilizados para fines comerciales o represivos.

Vigilancia y espionaje son las dos caras de una moneda. La moneda es el software imbricado en las v茅rtebras de tu dispositivo digital. La cara es la vigilancia masiva y acumulaci贸n de datos para elaborar perfiles comerciales y segmentar publicidad, por ejemplo, para recomendarte la m煤sica que no sab铆as que quer铆as escuchar. La cruz es el acceso total a todos los resquicios de tu vida para tenerte bajo el punto de mira, desacreditarte p煤blicamente, encarcelarte o matarte si hace falta.

鈥淣os hemos acostumbrado ac谩 en M茅xico, pero nos han intervenido a 15.000 personas en todo el mundo, es una barbaridad, es monstruoso鈥, dice el periodista mexicano Ignacio Rodr铆guez Reyna, una de esas personas espiadas. El informe publicado por Forbidden Stories en colaboraci贸n con Amnist铆a Internacional y otros medios revela que gobiernos de todo el mundo contrataron el software Pegasus a la empresa israel铆 NSO Group para espiar a activistas, periodistas, disidentes pol铆ticos o defensores de derechos humanos en pa铆ses como M茅xico, Marruecos o Arabia Saud铆. Con todo, la empresa israel铆 dice que se dedica a hacer del mundo 鈥渦n lugar mejor鈥.

Vulnerabilidades en tu m贸vil

Cada vez a m谩s gente le resulta familiar la siguiente conversaci贸n: 鈥淎yer hablamos de estas zapatillas y hoy me han salido en Instagram. Estoy segura de que el m贸vil me esp铆a鈥. Pero, de todo lo que decimos, 驴qu茅 esp铆an exactamente las plataformas? Juan Tapiador es investigador y profesor de seguridad inform谩tica en la Universidad Carlos III de Madrid y hace unos a帽os public贸 junto con otros colegas un estudio titulado An Analysis of Pre-installed Android Software (Un an谩lisis del software preinstalado de Android), en 2019. Buscaban confirmar mediante m茅todos cient铆ficos esa 鈥渆videncia anecd贸tica鈥 que ten铆a cada vez m谩s gente respecto a sus tel茅fonos m贸viles. El grupo de investigaci贸n desarroll贸 una aplicaci贸n que distribuy贸 a trav茅s de contactos y redes sociales. La aplicaci贸n, Firmware Scanner, le hac铆a una foto a todo aquello que viniese preinstalado en los tel茅fonos Android. Su sospecha era que muchas aplicaciones preinstaladas en dichos tel茅fonos extra铆an datos de los usuarios y usuarias. A trav茅s de contactos y redes sociales, consiguieron que much铆sima gente se descargase Firmware Scanner y recogieron cientos de miles de fotograf铆as de las tripas de los tel茅fonos. 鈥淣os encontramos una confirmaci贸n a una escala inusitada, de cosas que eran m谩s o menos conocidas, pero no hasta ese nivel鈥, afirma Tapiador. La vigilancia era masiva.

Tapiador explica que en la cadena de suministro intervienen muchos agentes: el que fabrica los circuitos, el que los integra, el que mete la c谩mara o el que introduce el micr贸fono, por mencionar algunos. 鈥淟o que conocemos como fabricantes, la marca que te vende el dispositivo, en realidad son integradores, y su papel es ensamblar las partes previamente fabricadas por subcontratas鈥, afirma el inform谩tico. La cadena no ata帽e solo al hardware, sino que contin煤a hasta los operadores telef贸nicos, que tambi茅n manipulan los tel茅fonos m贸viles e implementan aplicaciones de software cuya finalidad es conseguir datos de los usuarios. 鈥淓n todo ese proceso como parte del esquema de monetizaci贸n, que es pervasivo en internet y que tiene que ver con la recolecci贸n de datos, est谩n presentes much铆simos agentes que introducen componentes software鈥, afirma el investigador. En la cadena de ensamblaje de los tel茅fonos, no se sabe qu茅 agente introduce qu茅 software. No hay ninguna trazabilidad y ninguna regulaci贸n que les obligue a informar sobre ello.

Las motivaciones son diversas, pero principalmente suelen atender a dos principios: conseguir una predominancia del mercado, como es el ejemplo de Facebook, que lo que quiere es estar presente en todos los tel茅fonos posibles y monetizar los datos de los usuarios, o lo que es lo mismo, obtener telemetr铆a del dispositivo para luego vender esa informaci贸n. Muchas de estas aplicaciones preinstaladas son las que ofrecen puertas traseras abiertas o vulnerabilidades por las que pueden entrar muy f谩cilmente softwares como Pegasus.

Realizando una m铆nima interacci贸n como coger una llamada o hacer un clic en un enlace, la puerta trasera del tel茅fono se abre sin que nos enteremos. Aunque el software destinado al espionaje es distinto al que usan las empresas para recopilar datos, son estas funcionalidades de base las que permiten que el espionaje sea tan sencillo. Seg煤n el an谩lisis forense de Amnist铆a Internacional, en el caso de los iPhone 11 y 12 el virus se propagaba a trav茅s del env铆o de un simple mensaje sin necesidad de hacer ning煤n clic.

鈥淵o ya me hab铆a dado cuenta en 2017 de que mi tel茅fono estaba intervenido y dej茅 de usarlo, pero lo guard茅. Cuando me contactaron en 2020 desde Forbidden Stories les don茅 mi m贸vil para que hicieran el trabajo forense para su investigaci贸n. Desde aquel entonces trato de ser m谩s cuidadoso, uso correos encriptados y aplicaciones seguras, pero la verdad es que hay tal vulnerabilidad que de una manera u otra van a conseguirlo鈥, relata Rodr铆guez Reyna. 鈥淣o solamente tuvieron acceso a todas mis conversaciones, contactos, correos, anotaciones o a las fotos que tom茅, pudieron encender mi c谩mara o mi micr贸fono en mis situaciones 铆ntimas y personales. Tienen un acceso al control de mi dispositivo en tiempo real. Esto no solo nos coloca en riesgo a nosotros, coloca en riesgo f铆sico a nuestras fuentes. Coloca en la indefensi贸n y susceptibilidad de ser chantajeados por actos de nuestra vida privada que nos ridiculicen o nos quiten credibilidad o cualquier asomo de dignidad鈥, a帽ade.

Y qu茅 m谩s me da si yo no soy nadie

鈥淟as empresas no est谩n interesadas en las fotograf铆as de tus gatitos ni en las conversaciones ni en los mensajes, eso no sucede鈥, informa Tapiador, 鈥減ero los metadatos son muy buenos predictores de los comportamientos鈥. La informaci贸n que recogen las aplicaciones m贸viles es muy valiosa para luego cruzarla con la navegaci贸n web y construir perfiles que durante muchos a帽os se han venido utilizando para dar servicios de publicidad dirigida. 鈥淓sta es la gasolina que ha movido internet durante la 煤ltima d茅cada y algo鈥, afirma este investigador en seguridad inform谩tica.

En julio de 2020, los nombres de NSO Group y Pegasus volvieron a llenar los medios nacionales gracias al estudio del instituto de ciberseguridad de la Universidad de Toronto, el Citizen Lab, que public贸 que diversas figuras p煤blicas del independentismo catal谩n como Roger Torrent 鈥攅ntonces president del Parlament鈥 fueron espiadas por Pegasus. A pesar de que el Gobierno, a trav茅s del CNI y de los Ministerios de Interior y Defensa, neg贸 rotundamente estar involucrado, la empresa NSO Groups ha manifestado que los 煤nicos clientes de su producto estrella de espionaje son gobiernos. Un extrabajador afirm贸 que Espa帽a llevaba siendo cliente de NSO Groups desde 2015.

鈥淓n el caso del espionaje s铆 les interesan tus fotos de gatitos鈥, bromea Tapiador haciendo alusi贸n a la 煤ltima megafiltraci贸n de 15.000 personas espiadas. 鈥淓l caso de NSO Group y Pegasus es un animal totalmente distinto [a la vigilancia comercial]. Son empresas que trabajan con cuerpos y fuerzas de seguridad del Estado porque los pa铆ses tienen una necesidad de monitorizar los dispositivos de lo que ellos consideran objetivos鈥, comenta Tapiador.

Virginia 脕lvarez es responsable de investigaci贸n y pol铆tica interior en Amnist铆a Internacional. 鈥淟a empresa dec铆a que el software solo se utilizaba para ciberterrorismo, para localizar delincuentes, pero Amnist铆a ha empezado a tener informaci贸n de que este software se estaba utilizando para cometer violaciones de derechos humanos y la intromisi贸n al derecho a la intimidad es un delito鈥, nos recuerda la activista y portavoz de Amnist铆a Internacional Espa帽a.

Rodr铆guez Reyna es uno de los fundadores de 5潞 Elemento Lab, una organizaci贸n que se dedica al periodismo de investigaci贸n. Tres de sus miembros fueron infectados por Pegasus. 鈥淐uando nos empezaron a vigilar est谩bamos trabajando en la ramificaci贸n mexicana de la trama de corrupci贸n Odebrecht鈥, cuenta. Esta es una de las mayores tramas de corrupci贸n de la historia reciente de Am茅rica Latina y tiene como centro de operaciones a la constructora brasile帽a Odebrecht, que ha realizado sobornos a figuras importantes de 12 gobiernos del continente. 鈥淣osotros se帽alamos a Emilio Lozoya, figura cercana a Pe帽a Nieto [expresidente mexicano], consejero de OHL en M茅xico, como la puerta de entrada de la constructora brasile帽a al pa铆s a trav茅s de sobornos. Adem谩s, una compa帽era nuestra estaba creando el primer mapa de las 2.000 fosas clandestinas de personas asesinadas y desaparecidas por el Estado鈥, relata. Seg煤n datos oficiales, se cifran en 80.000 las desaparecidas en los 煤ltimos 15 a帽os en M茅xico.

Cecilio Pineda es un periodista mexicano que fue asesinado a los pocos d铆as de que Pegasus entrase en su m贸vil. Seg煤n The Guardian, a pesar de que no hay pruebas vinculantes, la hip贸tesis principal se帽ala que se us贸 el virus para localizarlo. Otro caso conocido en M茅xico fue el de uno de los asesores legales en la lucha por esclarecer el crimen de los 43 estudiantes desaparecidos de Ayotzinapa. Su tel茅fono fue intervenido, se sac贸 una frase de contexto y se difundi贸 en redes a trav茅s de cuentas falsas haciendo creer que hab铆a traicionado al movimiento, lo cual provoc贸 una fractura real en el mismo.

La industria global de vigilancia y espionaje

鈥淓s toda una industria la que hay detr谩s de esto. Siento que estamos ante una indefensi贸n casi absoluta y es algo terrible鈥, reflexiona Reyna. El coste de infectar un tel茅fono en M茅xico, seg煤n los datos publicados, ser铆a de alrededor de 64.000 d贸lares, y el Gobierno se gast贸 32 millones en espiar a 500 personas de inter茅s. Un amplio n煤mero de especialistas considera que es necesaria m谩s regulaci贸n para controlar el acceso a los dispositivos tecnol贸gicos, especialmente los tel茅fonos. Ya sea en el 谩mbito de la vigilancia y el acceso a metadatos, ya sea en el caso del espionaje y el acceso a datos.

Tapiador afirma que no hay una regulaci贸n que obligue a decir qu茅 proveedor de la cadena de suministro introduce software en los dispositivos m贸viles. 鈥淯n problema de este mundo del databrokering es que es muy oscuro, no es nada transparente鈥, advierte. Para las leyes de protecci贸n de datos de usuarios la transparencia es muy importante, saber qu茅 datos se recopilan y con qu茅 fines, y 鈥渆n los casos de las aplicaciones de software preinstaladas, no existe鈥, sentencia el investigador.

Virginia 脕lvarez afirma que existe una falta de control absoluta. 鈥淢ientras no haya un marco regulador que no evite el mal uso del software de espionaje, Amnist铆a seguir谩 pidiendo su no comercializaci贸n鈥. Dario Casta帽茅, del Partido Pirata de Catalunya, considera que 鈥渉abr铆a que establecer una prohibici贸n a la compra y venta de software para espionaje, as铆 como revertir y anular toda iniciativa que vaya a minar la confidencialidad de las conversaciones, ya sea mediante filtros de subida, control de mensajes o puertas traseras en los algoritmos de cifrado鈥.

Sin embargo, cuando hablamos de espionaje, se cruzan los intereses geopol铆ticos de los Estados en la propia regulaci贸n. Desde NSO han manifestado que la publicaci贸n 鈥渆s tendenciosa y tiene una clara motivaci贸n comercial y que, en cualquier caso, no ha sido la empresa la que ha hecho uso del software鈥. No deja de ser interesante, tal y como se帽ala un art铆culo del Financial Times, que los pa铆ses clientes de NSO como Emiratos 脕rabes o Arabia Saud铆 son aliados recientes con los que han crecido las relaciones con Israel. Pa铆ses como Hungr铆a, India o Ruanda aparecen tambi茅n en el informe, en momentos en los que el ex primer ministro, Benjamin Netanyahu, buscaba alianzas con l铆deres ultraderechistas en estos pa铆ses.

En su informe Operando desde las sombras, publicado a principios de julio, Amnist铆a Internacional sostiene que existe toda una industria de empresas dedicadas al espionaje. Otras de las empresas que fueron contratadas por el Gobierno de M茅xico son Hacking Team (Italia) o Rayzone Group (Israel). Tambi茅n podemos encontrar a empresas vinculadas a grandes controversias como Clearview AI, envuelta en un esc谩ndalo por almacenar millones de fotos de redes sociales. O Palantir, la m谩quina de espiar de Silicon Valley relacionada con varias operaciones al margen de la legalidad. Todas ellas son compa帽铆as multimillonarias. Seg煤n el informe de Amnist铆a, el campo de juego de los productos de espionaje ha venido delimitado por las decisiones de diferentes Estados que han permitido autorizaciones legales que se saltan los derechos humanos b谩sicos para poder aplicarlas tanto fuera como dentro de sus territorios.

No obstante, hay que tener en cuenta que la tecnolog铆a que lo permite est谩 en manos de dichas compa帽铆as. 鈥淓s el momento de detenernos y preguntarnos qu茅 est谩 pasando. Estamos ante un monstruo tecnol贸gico que tiene muchos brazos, una dictadura o dictablanda capaz de mover el poder en cualquier lugar del planeta鈥, reflexiona Rodr铆guez Reyna.

