Días después de que una investigación global titulada Proyecto Pegasus expusiera cómo se utilizó un software intrusivo, llamado Pegasus, para atacar a periodistas, defensores de derechos, activistas y líderes políticos de todo el mundo, un país que utilizó esta tecnología se ha mantenido en silencio. Hasta ahora, las autoridades de Azerbaiyán se han abstenido de hacer declaraciones sobre sus políticas de vigilancia o sus vínculos con el Grupo NSO, empresa de vigilancia israelí que vende el software Pegasus. Según datos filtrados, se identificaron alrededor de mil números de teléfono pertenecientes a usuarios en Azerbaiyán, como destacados periodistas, editores, defensores de derechos, abogados y activistas políticos, así como sus amigos y familiares.
Proyecto Pegasus
A successful Pegasus infection gives NSO customers access to all data stored on the device. An attack on a journalist could expose a reporter’s confidential sources as well as allowing NSO’s government client to read their chat messages, harvest their address book, listen to their calls, track their precise movements and even record their conversations by activating the device’s microphone.
Pegasus infections can be achieved through so-called “zero-click” attacks, which do not require any interaction from the phone’s owner in order to succeed.
Una infección exitosa de Pegasus brinda a los clientes de NSO acceso a todos los datos almacenados en el dispositivo. Un ataque a un periodista podría exponer las fuentes confidenciales de un reportero, y permitir que Gobierno cliente de NSO lea sus mensajes de chat, recopile su libreta de direcciones, escuche sus llamadas, rastree sus movimientos precisos e incluso grabe sus conversaciones con el micrófono del dispositivo.
Las infecciones por Pegasus se pueden lograr mediante los llamados ataques de «cero clics», que no requiere ninguna interacción del propietario del teléfono para tener éxito [en acceder a los datos del dispositivo].
Durante meses, Forbidden Stories, organización sin fines de lucro de periodismo de París, el Laboratorio de Seguridad de Amnistía Internacional y más de 80 periodistas de 17 medios, colaboraron para establecer las identidades de las personas objetivo del intrusivo software de NSO después de que datos filtrados revelaron que unos 50 000 números de teléfono en 50 países fueron objeto de potenciales ataques. Hasta ahora, los grupos han establecido dónde se utilizó Pegasus: Baréin, Hungría, India, Kazajistán, México, Marruecos, Ruanda, Arabia Saudita y Emiratos Árabes Unidos; y han identificado a 14 líderes mundiales, más 180 periodistas, editores y reporteros independientes que fueron atacados.
No todos los 50 000 números fueron objeto de un intento de pirateo exitoso. Y sin un examen forense, es imposible saber si un dispositivo fue pirateado. El Laboratorio de Seguridad de Amnistía Internacional pudo realizar exámenes forenses en 67 teléfonos hasta el 23 de julio, y 37 mostraban signos de Pegasus.
This interactive presentation lets you explore the dozens journalists, activists, and others who were selected for targeting sophisticated Israeli spyware.https://t.co/IbMYYoDsBI
— Organized Crime and Corruption Reporting Project (@OCCRP) July 22, 2021
¿Quién está en la lista?
Busca los datos y entérate más de personas de todo el mundo elegidas para estar sometidas al software espía de NSO Group.
———————-
La presentación interactiva te permite explorar las docenas de periodistas, activistas y otras personas que fueron seleccionadas como objetivos del sofisticado software espía israelí.
El Grupo NSO
NSO Group insists that it sells its software only to governments, suggesting that the clients in these countries represent intelligence services, law enforcement agencies, or other official bodies.
El grupo NSO insiste en que vende su software solo a Gobiernos, y sugiere que los clientes en estos países representan servicios de inteligencia, agencias de aplicación de la ley u otros organismos oficiales
El Grupo NSO fue creado en Israel en 2010 por Niv Carmi, Shalev Hulio y Omri Lavie. En su sitio web, la empresa afirma desarrollar tecnología «para prevenir e investigar el terrorismo y la delincuencia», pero parece que la tecnología de vigilancia se haber utilizado contra disidentes, periodistas y activistas de todo el mundo. Las investigaciones de Citizen Lab revelan que Pegasus de NSO se utilizó contra disidentes al menos desde 2016 en numerosos países.
En 2019, la compañía recibió ataques cuando surgieron acusaciones de que estaba infectando los dispositivos de los usuarios con malware al piratear WhatsApp. En respuesta, WhatsApp y su empresa matriz, Facebook, demandaron al Grupo NSO. En julio de 2020, un juez corte federal de Estados Unidos dictaminó que la demanda contra el Grupo NSO podía continuar a pesar de la defensa de la empresa que indicaba que “sus relaciones comerciales con Gobiernos extranjeros, le conceden inmunidad frente a demandas presentadas en los tribunales estadounidenses bajo de Ley de Inmunidades Soberanas Extranjeras (FSIA, por sus siglas en inglés)«. En diciembre de 2020, Microsoft, Google, Internet Association, GitHub y LinkedIn se unieron como partes en la batalla legal en curso de Facebook contra NSO. La audiencia más reciente tuvo lugar en abril de 2021 y, según Politico, parecía «poco probable que el Grupo NSO prevaleciera». Josh Gerstein, reportero de asuntos legales de Politico, señaló:
Even if the firm’s effort to head off the suit fails, it could continue to fight the case in the trial court, but will likely be forced to turn over documents about its development of Pegasus and make executives available for depositions.
Aunque fracase el esfuerzo de la empresa para evitar la demanda, podría continuar luchando el caso en el tribunal de primera instancia, pero probablemente se verá obligada a entregar documentos sobre el desarrollo de Pegasus y hacer que los ejecutivos estén disponibles para declaraciones.
Además de las batallas legales de NSO, la compañía ha enfrentado críticas de varias organizaciones internacionales de derechos humanos.
En abril de 2021, nueve organizaciones internacionales de derechos humanos y libertad de prensa escribieron una carta a Chaim Gelfand, vicepresidente de Cumplimiento del Grupo NSO, y le pidieron a la compañía «que cumpliera con sus compromisos de mejorar la transparencia sobre las ventas de su avanzado software espía y la debida diligencia para proteger los derechos humanos». La carta también rechazó las afirmaciones del Grupo NSO «de su cumplimiento no verificado de las normas de derechos humanos».
Ron Deibert, director de Citizen Lab de la University of Toronto, considera que las afirmaciones de NSO de que se adhiere a las normas de derechos humanos son «puro teatro».
The spectacle might be a mildly entertaining farce were it not for the very real and gruesome way in which its spyware is abused by the world’s worst autocrats. NSO’s irresponsible actions have proven their words are nothing more than hand-waving distractions from the harsh reality of the unregulated marketplace in which they, and their owners, thrive and profit
El espectáculo podría ser una farsa ligeramente entretenida si no fuera por la forma muy real y espantosa en la que los peores autócratas del mundo abusan de su software espía. Las irresponsables acciones de NSO han demostrado que sus palabras no son más que distracciones de la dura realidad del mercado no regulado en el que ellos, y sus dueños, prosperan y obtienen ganancias.
Hace dos años, David Kaye, entonces relator especial de Naciones Unidas sobre la libertad de expresión, pidió una moratoria en la venta de software espía estilo NSO a los Gobiernos, hasta que se puedan implementar controles de exportación viables. A pesar de sus advertencias, la venta del software de vigilancia continuó sin ninguna transparencia ni responsabilidad.
La investigación más reciente destaca a la empresa, y también resalta la importancia de los mecanismos de control impuestos a las empresas de software espías.
Capítulo de Azerbaiyán
Según el Proyecto de Denuncia del Crimen Organizado y la Corrupción (OCCRP), que se encontraba entre los 17 socios de medios involucrados en la investigación global de Pegasus, de los mil números de teléfono de Azerbaiyán, los investigadores del proyecto hasta ahora pudieron identificar 245 números telefónicos que fueron atacados, una quinta parte de los cuales pertenecían a reporteros, editores o propietarios de empresas de medios. La lista también incluye a activistas y sus familiares.
Meydan TV, plataforma de noticias en línea con sede en Berlín, habló con algunos de los miembros de la comunidad objetivo. «Cualquiera que esté involucrado en el trabajo de la sociedad civil en Azerbaiyán sabe que está bajo vigilancia. Pero este programa es un software espía. Y sus capacidades, como encender el micrófono y la cámara en un entorno íntimo con amigos o familiares sin el consentimiento del propietario, es una violación directa de la privacidad», dijo el activista político Bakhtiyar Hajiyev.
Entre los miembros de la familia disidente atacados por el software espía está Shura Amiraslanova, madre del expreso político Giyas Ibrahimov, conocido como uno de los «presos de grafiti», encarcelado después de rociar grafiti en la estatua del expresidente de Azerbaiyán Heydar Aliyev y luego fue sentenciado a diez años de cárcel por cuestionables cargos de posesión de drogas. “Supongo que pensaron que si yo apoyaba completamente a mi hijo, también deberían vigilarme. ¿Pero por qué? ¿Qué puedo hacer?», dijo Amiraslanova en una entrevista con Meydan TV.
En declaraciones al Servicio de Azerbaiyán para Radio Europa Libre, Elshad Hajiyev, portavoz del Ministerio del Interior, desestimó la investigación por ser «infundada» y aseguró que el «ministerio está dispuesto a investigar cualquier acusación que se le solicite».
Mientras tanto, el Grupo NSO niega todas las acusaciones, el «informe de Forbidden Stories está lleno de suposiciones erróneas y teorías no corroboradas que plantean serias dudas sobre la confiabilidad y los intereses de las fuentes», se lee en un comunicado de la compañía publicado en su sitio web. En otro comunicado emitido el 21 de julio de 2021, el grupo dijo que «ya fue suficiente», y que ya no responderá a las consultas de los medios que están participando en la «campaña viciosa y calumniosa».