“¿Qué es malware?” le preguntó el gobierno mexicano al FBI en caso Pegasus

“¿Qué es malware?”,  “¿qué tipos de malware existen?”, “¿cómo funciona Pegasus?” fueron algunas de las preguntas que el gobierno mexicano, a través de la Fiscalía Especial para la Atención de Delitos cometidos contra la Libertad de Expresión (FEADLE), le hizo al Buró Federal de Investigaciones (FBI) de Estados Unidos para que lo ayudara a resolver el caso de ciberespionaje por parte de autoridades federales contra periodistas, defensores de derechos humanos, investigadores y miembros de la oposición, de acuerdo con Luis Fernando García, director de la Red por los Derechos Digitales R3D, quien es asesor legal de las víctimas, por lo que ha tenido acceso al expediente de esta investigación.

The New York Times (NYT) publicó el pasado 20 de febrero un reportaje en el que revela que oficiales del FBI rechazaron “las reiteradas solicitudes de México para asistir en la investigación del uso de un programa espía en contra de civiles”, esto debido a que las autoridades estadounidenses dudan que el gobierno mexicano “realmente quiera resolver el caso, ya que indagarlo a fondo podría comprometer a algunos de sus funcionarios más importantes”, refiere el NYT.    

Para Luis Fernando García, el único resultado que ha logrado el gobierno federal en esta investigación son miles de hojas de papel que no tienen ninguna relevancia. El director de R3D argumentó que las técnicas de investigación de la fiscalía a cargo del caso Pegasus carecen de efectividad porque son demasiado básicas o porque no están orientadas a las instancias que pueden ofrecer más información sobre el uso indebido de este malware en contra de más de 20 ciudadanos mexicanos y un organismo de investigación independiente.             

“Las preguntas del gobierno mexicano al FBI son muy básicas y hasta vergonzosas, y eso justifica la respuesta de la agencia estadounidense. Es bastante interesante también que la PGR le esté preguntando al FBI y a otras instancias sobre el funcionamiento de Pegasus y no se haya atrevido a preguntarle a la Agencia de Investigación Criminal, que está comprobado que tiene licencias del malware”, dijo Fernando García.

Búsquedas en Google de los números que recibieron o que mandaron los mensajes (sms) con los que se pretendía infectar los teléfonos con Pegasus, pesquisas dentro del sitio Quiénhabla.mx y solicitudes de información a las fiscalías de todos los municipios del país, cuyo presupuesto en muchos de los casos es apenas una fracción del costo de Pegasus, para ver si habían usado el malware son algunas de las técnicas de investigación del gobierno mexicano para intentar resolver la violación a la privacidad de las víctimas.

Las autoridades también han negado la existencia de un registro de los objetivos contra los cuales se ha usado Pegasus, lo que para Luis Fernando García resulta inverosímil si se considera el nivel de especialización y alcance que supone el uso de este programa de espionaje.  

En febrero del 2017, el centro de investigación canadiense Citizen Lab, que forma parte de la Universidad de Toronto, publicó un informe titulado Bitter Sweets (Dulces Amargos) en el que revelaba una aparente colusión entre las industrias refresqueras en México y el gobierno federal para usar el malware de ciberespionaje Pegasus, vendido por la empresa israelí NSO Group, en contra de activistas que apoyaban la instauración de un impuesto especial a las bebidas azucaradas. Las primeras víctimas conocidas de este programa de ciberespionaje fueron  Simón Barquera del Instituto Nacional de Salud Pública (INSP); Alejandro Calvillo, director general de la organización El Poder del Consumidor, y Luis Encarnación, coordinador de la Coalición ContraPESO.

Se sumaron a estos, en junio del año pasado, los periodistas Rafael Cabrera, Sebastián Barragán, Carlos Loret de Mola, Daniel Lizárraga, Salvador Camarena y Carmen Aristegui y su hijo, quien no es periodista. También fueron blanco de este ciberespionaje tres miembros del Centro Miguel Agustín Pro Juárez y dos del Instituto Mexicano para la Competitividad (IMCO) y se dio a conocer que Ricardo Anaya, quien entonces se desempeñaba como presidente del Partido Acción Nacional y que ahora es el candidato a la Presidencia de la República de la coalición Por México al Frente, también fue uno de los objetivos de quienes utilizaron el malware Pegasus, junto con otros dos miembros del PAN.           

Los miembros del Grupo Interdisciplinario de Expertos Independientes (GIEI) que llegó a México para indagar la desaparición de los 43 estudiantes de Ayotzinapa también fue blanco de esta tecnología de espionaje, lo mismo que dos de los abogados del llamado caso Narvarte, en el que cinco personas fueron torturadas y asesinadas en esta colonia de la capital mexicana el 31 de julio del 2015.  

De acuerdo con una investigación de la organización Mexicanos contra la Corrupción y la Impunidad (MCCI), el gobierno mexicano compró por 32 millones de dólares el sistema de espionaje Pegasus a una compañía llamada Grupo Tech Bull SA de CV. El 29 de octubre de 2014, quien entonces se desempeñaba como director de la Agencia de Investigación Criminal, Tomás Zerón de Lucio, firmó un contrato a favor de dicha empresa para el servicio de 500 infecciones con el malware Pegasus. Según correos electrónicos filtrados por Wikileaks, Tech Bull es una filial de Balam Seguridad Privada, creada en mayo del 2012 por Asaf Zanzuri, de origen israelí, y Rodrigo Ruiz Treviño, quien fungió como el vínculo con las agencias mexicanas del Estado.

Pese a que los miembros de las organizaciones de la sociedad civil que fueron víctimas de este ciberespionaje han interpuesto denuncias en contra de quienes resulten responsables dentro de la administración federal y que la FEADLE aseguró, en junio del 2017, que inició una investigación de oficio sobre el presunto espionaje por parte del gobierno federal contra periodistas, defensores de derechos humanos y académicos, hasta el momento, según el reportaje del NYT, la única respuesta del gobierno federal ha sido que está en la “fase de agotar todas las líneas de investigación”.          

Después de la publicación del reportaje del NYT, las diferentes organizaciones de la sociedad civil que o bien fueron víctimas del ciberespionaje o que han acompañado a éstas durante las indagatorias difundieron un comunicado en el que afirman que a ocho meses de haberse iniciado “la investigación sobre los casos de espionaje discrecional e ilegal por parte del gobierno mexicano a periodistas y activistas no hay avances en el caso”.

En el comunicado, el Centro Prodh, Artículo 19, SocialTIC, R3D, El Poder del Consumidor, IMCO y MCCI hacen un recuento de las omisiones en las que ha caído la FEADLE en el proceso de investigación de este caso. Entre estas se cuenta que la “FEADLE, a cargo del caso, no ha realizado ningún acto de investigación respecto de la Agencia de Investigación Criminal a pesar de estos elementos y de reiteradas solicitudes de parte de los denunciantes y de recomendaciones de peritos expertos en la investigación”; tampoco se ha identificado y entrevistado a los agentes entrenados para operar Pegasus y ni siquiera se han hecho visitas a las instalaciones en las que es operado el software, entre otras.    

La impunidad que rodea a este caso de ciberespionaje ha sido señalada por otras organizaciones internacionales, como Freedom House, que en enero de este año, publicó el informe Freedom of the Net 2017, en el que refiere que “usando la tensa situación de seguridad y la guerra contra las drogas como justificación, el gobierno ha aumentado sus poderes de vigilancia”, haciendo referencia al caso Pegasus. Asimismo, un grupo de relatores especiales de la Organización de las Naciones Unidas solicitaron al gobierno mexicano, en julio del 2017, que llevara a cabo una investigación independiente sobre este caso.          

“Esto confirma lo que anticipamos desde el inicio, es decir que la PGR no tiene la capacidad ni la voluntad política de investigarse a sí misma. También refrenda la necesidad de un mecanismo extraordinario conformado por un panel de expertos independientes que pueda otorgarle garantías de seguridad a las víctimas y a la sociedad en general”, dijo Luis Fernando García.    

Exigencias de las organizaciones de la sociedad civil sobre caso Pegasus:

1. Reiteramos la exigencia de que se establezca un mecanismo extraordinario para asegurar garantías  de  independencia  en  la  investigación,  tales  como  la  intervención  de  un  panel  de  expertos y expertas independientes, que incluya la participación de mecanismos internacionales de derechos humanos.
2. Se investigue a fondo el uso brindado al sistema de espionaje Pegasus por parte de la Agencia de Investigación Criminal, entrevistando al personal encargado de su operación; realizando intervenciones forenses por parte de peritos independientes a los servidores y equipos desde los que se opera el sistema Pegasus; e indagando en torno a los procesos de decisión y las medidas de seguridad existentes para la operación de este sistema.
3. Ante  la  evidencia  de  la  incapacidad  de  la  PGR  y  la  nula  voluntad  del  gobierno  federal  de  llevar  a  cabo  una  investigación  seria,  imparcial  y  exhaustiva,  exigimos a  los  candidatos  presidenciales hacer un pronunciamiento público sobre la necesidad de crear un panel de expertas y expertos independientes que investigue a fondo el caso; así como reformar el Artículo 102 de la Constitución para construir una fiscalía que pueda investigar a fondo casos como el arriba mencionado.

Aquí puedes consultar el último reportaje del NYT sobre caso Pegasus.

Para leer el comunicado de las ONGs da clic aquí.

rodrigo.riquelme@eleconomista.mx