Luis Fernando García, director de La Red en Defensa de los Derechos Digitales (R3D) explica a Tangible qué se sabe del espionaje de Pegasus en México
El Universal
WhatsApp y el Citizen Lab de la Universidad de Toronto han revelaron la semana pasada que más de 1,400 personas, en al menos 20 países alrededor del mundo, fueron atacadas con el malware Pegasus mediante la explotación de una vulnerabilidad en la plataforma de mensajería instantánea. Se identificaron más de cien integrantes de la sociedad civil, periodistas, activistas y personas defensoras de derechos humanos atacados por esta vía.
“Según la demanda de WhatsApp en California, NSO Group desarrolló un sistema, a través del cual imitaba el tráfico para engañarlo. NSO hackeaba WhatsApp haciéndose pasar por tráfico, pero lo que en realidad hacía era dar instrucciones al teléfono para descargar el programa Pegasus y espiar”, explica Luis Fernando García, director de R3D, La Red en Defensa de los Derechos Digitales.
Una autoridad en México podría estar usando Pegasus sin autorización judicial contra periodistas, defensores de derechos humanos y no habría manera de probar, salvo la suerte que hemos tenido de encontrarlos en un error”, dice el director de R3D, La Red en Defensa de los Derechos Digitales.
Cuando Pegasus se instalaba en los celulares obtenía acceso a todos los archivos, mensajes de texto, llamadas, contraseñas y datos almacenados. El malware también accedía a la geolocalización en tiempo real del equipo, así como a la activación remota del micrófono y cámara.
Tras descubrir la vulnerabilidad, el equipo de WhatsApp publicó un parche de seguridad el 13 de mayo, por lo que los usuarios que cuentan con una versión actualizada del software ya no son susceptibles de ser atacados bajo este método. El parche bloquea la capacidad de NSO Group, protege la vulnerabilidad que existía en las llamadas.
El indetectable programa espía: Pegasus
Pegasus es un malware, es decir, un software espía. “El problema es que Pegasus es muy difícil de detectar, incluso tiene medidas anti forenses que hacen casi imposible detectar si tu teléfono está o estuvo infectado. También, el malware está diseñado para autodestruirse si cree que está comprometido”, describe el director de R3D, La Red en Defensa de los Derechos Digitales.
El mayor problema es que no sabemos quién está usando Pegasus. El presidente de la república dijo que se desinstaló en febrero, pero no sabemos quién lo usó y debería haber un registro de contra quienes se utilizó: medidas de transparencia. Las personas deben ser notificadas que fueron espiadas”, dice el experto en Derechos Digitales.
No hay medidas de seguridad que puedan garantizar que te protejan contra un sistema como Pegasus, pero si recibiste la notificación de WhatsApp, la recomendación es cambiar de teléfono y todas las contraseñas, procurando que estas sean largas, con letras y números. También se recomienda usar la doble autenticación.
El capítulo mexicano del espionaje
“Una autoridad en México podría estar usando Pegasus sin autorización judicial contra periodistas, defensores de derechos humanos y no habría manera de probar, salvo la suerte que hemos tenido de encontrarlos en un error”, dice el director de R3D, La Red en Defensa de los Derechos Digitales.
Las leyes en México y varias partes del mundo no son adecuadas para poder controlar este tipo de ataques, es un delito intervenir comunicaciones privadas, en teoría , para su utilización debería haber una autorización judicial. “Pero no hay manera de detectar cuando se incumplen esas normas —indica Luis Fernando García, director de R3D—, por ello es necesario una moratoria en este tipo de herramientas hasta que no haya medidas legales y técnicas que permitan garantizar que estas medidas no van a ser abusadas”.
“El mayor problema es que no sabemos quién está usando Pegasus. El presidente de la república dijo que se desinstaló en febrero, pero no sabemos quién lo usó y debería haber un registro de contra quienes se utilizó: medidas de transparencia. Las personas deben ser notificadas que fueron espiadas”, dice el experto en Derechos Digitales.
El caso Pegasus es paradigmático y es una oportunidad histórica de controlar métodos de vigilancia que cada vez es más difícil detectar y resistir. Si no aprovechamos la oportunidad para controlarlos y difícilmente vamos a poder resistir”. concluye Luis Fernando García, director de R3D, La Red en Defensa de los Derechos Digitales.
Organizaciones internacionales de derechos humanos ya han recomendado a México principalmente dos cosas:
Hacer una investigación independiente respecto a los casos de espionaje ya documentados, donde las víctimas sean notificadas. “Esto porque, en los casos antiguos, la investigación la llevaba PGR y, ellos eran el principal sospechoso —explica Luis Fernando García—, debe haber verdad y justicia respecto a los casos del pasado, es importante que se investigue e identifique quiénes son espiados, quién los espió y que los perpetradores enfrenten la justicia”:
Es necesario adecuar el marco jurídico de manera que haya controles de adquisición y utilización de esta herramienta. “Se requieren modificaciones y reformas legales que permitan asegurarnos que la utilización de herramientas tecnológicas como estas u otras para el combate a delincuencia no sea abusada en contra de periodistas o defensores de derechos humanos”, dice.
“El caso Pegasus es paradigmático y es una oportunidad histórica de controlar métodos de vigilancia que cada vez es más difícil detectar y resistir. Si no aprovechamos la oportunidad para controlarlos y difícilmente vamos a poder resistir”. concluye Luis Fernando García, director de R3D, La Red en Defensa de los Derechos Digitales.
Autor: Susan Irais
Periodista de ciencia. Colaboradora en Tangible y Asistente de Información de Iván Carrillo. Profesora adjunta de la Facultad de Ciencias Políticas y Sociales de la UNAM. Ha escrito para la revista Algarabía y Ciencia UNAM de la Dirección General de Divulgación de Ciencia.
Imágenes ilustrativas | Foto: Pixabay
