El pasado martes 23 de noviembre, el medio digital salvadoreño El Faro publicó un artículo inédito, que tituló así: Apple envía alerta de espionaje patrocinado por el Estado a 13 miembros de El Faro.
Al poco tiempo trascendió que no solo periodistas de ese medio fueron alertados por Apple del presunto espionaje estatal. Las notificaciones también llegaron a tres de La Prensa Gráfica, tres de Gato Encerrado, dos El Diario de Hoy, uno de Disruptiva, uno de El Mundo y otro periodista independiente. En total fueron 24 alertas.
¿A qué se refiere Apple con que el Estado de El Salvador —presidido y controlado en todos los Poderes por Nayib Bukele y su partido—, estaría espiando a periodistas? ¿Cómo puede suceder esto?
Respondemos a continuación y explicamos cómo funciona el software Pegasus, que se habría utilizado para estas presuntas violaciones a la privacidad y a los derechos humanos.
Los hechos
Apple, compañía californiana que fabrica y vende los teléfonos iPhone, envió correos electrónicos a las cuentas de los periodistas que mencionamos antes, notificando lo siguiente:
“Apple le envió una alerta de seguridad urgente a las direcciones de correo electrónico y al número de teléfono principal asociado con su ID de Apple”.
“Apple cree que usted está siendo vulnerado por atacantes patrocinados por el Estado, quienes tratan de comprometer su iPhone de forma remota”.
“Es probable que estos atacantes lo estén atacando individualmente debido a quién es usted o qué hace. Si su dispositivo se ve comprometido por un atacante patrocinado por el Estado, es posible que pueda acceder de forma remota a sus datos confidenciales, comunicaciones o incluso a la cámara y el micrófono”.
“Si bien es posible que se trate de una falsa alarma, tómese esta advertencia en serio”.
Este mismo mes, Apple y Meta (empresa propietaria de Facebook, Instagram y WhatsApp) demandaron a la compañía de tecnología y vigilancia israelí NSO Group, creadora del software de espionaje Pegasus. Y un mes antes, el Gobierno de Estados Unidos había puesto a NSO en su “lista negra”.
Es seguro pensar que los dispositivos Apple vulnerados fueron hackeados precisamente por ese programa. No es la primera vez que se usaría contra periodistas, como veremos más adelante, y Apple ya ha alertado de forma general sobre Pegasus en el pasado.
El periodista de El Faro Nelson Rauda, quien recibió un correo de alerta de Apple, aseguró a La Nación que el mensaje lo alarmó y que tomó medidas de inmediato, pero afirmó que dicha comunicación fue la “confirmación de una sospecha” que ya tenían en la redacción del medio.
“Ya antes de eso usábamos formas de comunicación más seguras y habíamos tenido muchas conversaciones sobre seguridad digital. Ya sabíamos de Pegasus y de lo que implica”, dijo Rauda.
“Yo no me siento un tanto perseguido sino que bastante. 34 miembros de El Faro tenemos medidas cautelares de la Comisión Interamericana de Derechos Humanos. El presidente nos ha acusado en cadena nacional de ser violadores y lavadores de dinero. Un editor de El Faro fue expulsado porque, según el Gobierno, no pudieron acreditar que fuera periodista y a otro le negaron el permiso de trabajo. Lo del espionaje en los teléfonos solo se suma a una larga cadena de eventos que buscan imposibilitar nuestro trabajo y nuestra vida en este país”, agregó el comunicador salvadoreño.
El Gobierno de El Salvador no se ha manifestado oficialmente sobre estos hechos. El diario oficialista El Salvador no ha publicado una sola palabra al respecto y el presidente Nayib Bukele tampoco se ha pronunciado en Twitter, su medio más usado para divulgar lo que sea directamente.
Sin embargo, diputados de Nuevas Ideas, partido en el poder, se han burlado de las denuncias del gremio periodístico, así como otros voceros no oficiales, funcionarios del Poder Ejecutivo.
“Por ejemplo, una vicepresidenta de la Asamblea sugirió que era otro Estado el que nos espiaba. Quizá a los ucranianos les interesa conocer nuestra fuente”, expresó Rauda.
Este fue el tuit burlesco de Suecy Callejas Estrada, diputada de Nuevas Ideas y vicepresidenta de la Asamblea: “Me he reído con esto. También recibí el correo de alerta, como muchos otros diputados y miembros del gabinete del Ejecutivo, en efecto dice: Los atacantes patrocinados por el Estado… pero no dice cuál Estado es el que te está interviniendo. Hay varios Estados en el mundo (sic.)”.
Me he reído con esto. También recibí el correo de alerta, como muchos otros diputados y miembros del gabinete del Ejecutivo, en efecto dice: Los atacantes patrocinados por el Estado… pero no dice cuál Estado es el que te está interviniendo 👻 Hay varios Estados en el mundo 😅 https://t.co/ovhjfbgHeD
— Suecy Callejas Estrada (@suecallejas) November 25, 2021
Uno de los softwares de espionaje más avanzados del mundo
Sabemos de la existencia de Pegasus desde el 2016, gracias a una investigación del medio periodístico árabe Al Jazeera, en conjunto con la empresa de tecnología canadiense Citizen Lab. Aunque no es demasiado lo que se conoce sobre cómo opera este grupo y cómo funciona a ciencia cierta su creación Pegasus, los siguientes son datos que han sido publicados al respecto, que ordenamos para entender todo lo mejor posible y paso a paso:
—Todos los softwares o programas de computación tienen errores o glitches que permiten que personas externas al producto puedan aprovechar estos errores para su beneficio.
—Empresas como Google, por ejemplo, pagan millones de dólares al año a personas que buscan errores en sus productos y se los notifican. Entiéndase expertos en ciberseguridad que logran hackear o vulnerar productos o softwares de Google, que pueden demostrarlo, y cobran el cheque que ofrece la compañía en aras de mejorar sus sistemas.
—Naturalmente, empresas como Google, Apple, Meta y miles de otras en todo el mundo, emplean a expertos en la materia para asegurar que sus productos sean lo más seguros posible, pero en informática siempre hay formas de vulnerar un software o un sistema operativo, sin importar que sea Android o iOS, para citar dos ejemplos conocidos.
—Cuando estas empresas solucionan errores grandes, lanzan actualizaciones y avisan a sus usuarios, para minimizar al máximo algún hueco de seguridad. De hecho, por esto es muy importante mantener actualizados nuestros teléfonos.
—Pues bien, según Al Jazeera y Citizen Lab, el grupo NSO de Israel es una empresa con unas 500 personas especializadas en ciberseguridad e Inteligencia estatal. En NSO hay “escuadrones” de profesionales con décadas de experiencia en la materia, que buscan formas de hackear o vulnerar sistemas como el iOS de Apple o Android, impulsado por Google.
—NSO logra encontrar ‘zero-day exploits’ o vulnerabilidades desconocidas por las compañías. Para esquematizarlo con el caso de Apple y El Salvador, NSO encuentra errores o glitches en los teléfonos iPhone que sabe que Apple no conoce, y hace entrar su malware Pegasus a través de estos portillos digitales. Tienen acceso total a teléfonos sin que nadie se dé cuenta.
—Pegasus, el que se conoce ahora como el producto de cabecera de NSO, es tan avanzado que no necesita siquiera de un click para hackear el dispositivo de alguien.
“Pegasus es un malware sumamente sofisticado y complejo, que ha sido diseñado para aprovechar vulnerabilidades desconocidas, eso quiere decir que aunque tengamos el teléfono actualizado y con una contraseña segura, igual somos vulnerables. Pegasus no necesita que el usuario ejecute ninguna acción para ser infectado, por lo cual este malware podría instalarse sigilosamente en el teléfono sin que nos demos cuenta”, explicó César Bravo, máster en ciberseguridad e inventor líder del Comité Latinoamericano de Patentes.
—Según detalló Bravo, en los últimos meses se descubrió que el malware (software hostil) Pegasus podía instalarse con solo llamar a la víctima por WhatsApp sin la necesidad de que la persona responda. También se lograba infectar dispositivos de forma remota y sin intervención alguna del usuario.
—Lo que hace Pegasus o mejor dicho, quienes adquieren el servicio una vez que el teléfono de una persona es vulnerado, es acceder a lo que los atacantes quieran.
“El software espía es capaz de recolectar y robar toda la información alojada en el teléfono, como los contactos, mensajes, ubicación, fotos, videos, así como acceder a ciertos servicios del teléfono como el micrófono y hasta la cámara”, comentó César Bravo.
—¿Quiénes usan Pegasus? De acuerdo con NSO Group, el programa Pegasus solo se vende a gobiernos con el fin de luchar contra el terrorismo. No obstante, según una investigación de 17 medios de comunicación de todo el mundo, llamada Project Pegasus, el software espía de grado militar vendido por NSO, fue “utilizado en intentos de hackers y exitosos ataques cibernéticos de 37 teléfonos que le pertenecían a periodistas, activistas de derechos humanos, ejecutivos de empresas, y dos mujeres cercanas al periodista saudí asesinado Jamal Khashoggi”, según The Washington Post. (Presuntamente, Khashoggi fue descuartizado estando semi vivo dentro del consulado de Arabia Saudita en Istanbul, Turquía, en octubre de 2018).
—Con base en los hallazgos de Al Jazeera, NSO ofrece Pegasus por montos superiores a “varios millones de dólares” a sus clientes, y por tiempos limitados. Hipotéticamente, podrían ofrecer el libre acceso a los teléfonos de una veintena de personas que el cliente quiere ‘desnudar’ digitalmente; acceder a la completa privacidad de su teléfono y extraer lo que quiera, por, digamos, un semestre.
—No se sabe quiénes son los clientes reales de NSO que adquieren los servicios ilegales de Pegasus, pero ahora Apple, además de denunciar a la compañía madre del malware, está enviando alertas al detalle a usuarios de sus productos que han sido atacados. Los casos más recientes son los periodistas salvadoreños, quienes serían objeto de interés —y de espionaje— del gobierno de Nayib Bukele, presidente del país centroamericano.
—¿Qué dice el Gobierno de Israel al respecto? No mucho. Defiende a NSO, empresa privada que apoya financieramente, y la cataloga como crucial en las relaciones internacionales israelíes. Según el New York Times, Israel ha usado Pegasus para espiar y después encarcelar a líderes activistas.
—En México, autoridades han dicho que Pegasus fue determinante para apresar definitivamente a Joaquín Archivaldo Guzmán Loera, mejor conocido como El Chapo. Pero es tanta la oscuridad que rodea a NSO y a Pegasus, que no hay forma de saber que únicamente se emplee contra capos del narcotráfico o contra terroristas.
—”Es realmente preocupante desde un punto de vista técnico, ya que Pegasus combina las dos armas más ‘letales’ de ciberseguridad: los ‘zero-day attacks’ y ‘los zero-click’”, añadió César Bravo.
Las empresas que Pegasus ataca no tienen idea de que son vulnerables en la parte que Pegasus explota, ni los usuarios tienen cómo darse cuenta.