Hay evidencia que demuestra que el software de espionaje Pegasus sigue activo en México, según un reporte presentado por la organización Citizen Lab y WhatsApp.
En abril, WhatsApp anunció que descubrió este vector de infección y reparó la vulnerabilidad que era explotada por NSO Group, la empresa israelí dueña de Pegasus, y apenas esta semana la demandó en una corte estadounidense por el ataque contra sus usuarios.
En el periodo de 29 de abril hasta el 10 de mayo de 2019, WhatsApp detectó 1,400 números de teléfonos que fueron infectados a través de este método en al menos en 20 países, incluyendo México.
El hecho de que se haya confirmado que en México sigue operando Pegasus, ya en este año y en este sexenio, implica la necesidad de que el Gobierno federal y la Fiscalía General de la República informen lo más pronto posible si son ellos quienes operaban u operan Pegasus y, si no es el caso, que se emprenda una investigación para saber quién lo está usando
Luis Fernando García, director de la organización R3D
Con 57 millones, México es el quinto país con mayor número de usuarios de WhatsApp en el mundo, por debajo de la India, Brasil, Estados Unidos e Indonesia, según cifras de Statista.
García considera que el marco jurídico actual en el país no es suficiente para evitar abusos y para garantizar la rendición de cuentas. Es por eso que R3D se ha unido a WhatsApp y a más organizaciones para pedir que cese el uso de Pegasus hasta que no haya un proceso de reforma.
“Estamos en plena disposición de colaborar en el diseño e implementación de una marco legal robusto que dé herramientas tecnológicas a la autoridad para enfrentar los problemas de violencia, pero al mismo tiempo se garantice, no solo de palabra, que estas herramientas no serán usadas de manera ilegal y en contra de la sociedad civil”, agregó el director de R3D.
Pegasus se ha usado en el país desde 2017 para espiar a periodistas y líderes de opinión, además de funcionarios y empresarios, según datos de Citizen Lab.
Podrían ser mayor el número de afectados por Pegasus
García comenta que es probable que antes de abril se haya explotado esta vulnerabilidad en un gran número de ocasiones.
Esto implica que el universo de números afectados puede ser muy amplio, pero por ahora la investigación arrojó que en un periodo de tan solo dos semanas fueron 1,400 casos, de los cuales más de 100 son periodistas, activistas y defensores de Derechos Humanos.
Es muy importante dimensionar lo peligroso y difícil de controlar y detectar esta herramienta. Esto quiere decir que se necesitan medidas de control más robustas para evitar que estas herramientas sean abusadas. Es necesario que exista una moratoria en la transferencia y uso de estas herramientas hasta que no haya un mecanismo de control que impida abusos
dijo García
En esta ocasión no fue necesario que las personas dieran clic para ser atacadas por Pegasus; además, el atacante puede borrar evidencia de la infección para no dejar rastro del ataque.
Complicaciones para el acceso a la justicia
Herramientas como Pegasus tocan muchas jurisdicciones, por ejemplo, los servidores que utiliza NSO Group está localizados en muchas partes del mundo y los número de teléfono para la infraestructura del ataque están distribuidos en diferentes países.
En México, hay una investigación penal abierta que está orientada a identificar a los operadores mexicanos del sistema Pegasus, no tanto a la empresa NSO Group aunque no se descarta la posibilidad.
Podrían surgir procesos legales en diferentes partes del mundo contra NSO Group. Aunque la acción legal de WhatsApp, de acuerdo con García, debería sentar un precedente.
“Es un hecho sin precedente y es sumamente importante que WhatsApp haya dado este paso como lo mencionan en su demanda y en su opinión editorial publicada en The Washington Post”
R3D considera que la colaboración de empresas de tecnología con instituciones académicas y la sociedad civil para emprender la investigación es una experiencia que debería replicarse más.