Escándalo del spyware griego; cuando la tecnología supera a la gobernabilidad

Imagen vía MidJourney (CC BY 4.0).

En diciembre de 2021, Eliza Triantafillou, periodista del medio independiente griego The Inside Story, estaba buscando el tema de su siguiente artículo cuando vio que la empresa matriz de Facebook, Meta, había publicado un informe en septiembre sobre la industria “vigilancia por contrato”.

El artículo que preparó en respuesta es parte de una serie de informes de periodistas griegos que revelaron los detalles de un escándalo de escuchas telefónicas y vigilancia que duró meses y se denominó “Watergate en esteroides”. Estos hallazgos resaltan las deficiencias de las regulaciones gubernamentales y las capacidades técnicas para seguir el ritmo de la industria de la vigilancia privada en rápida evolución, que luego permite a estos propios Gobiernos vigilar a sus ciudadanos.

Hasta el momento, hubo cuatro intentos confirmados de infectar a periodistas, políticos e incluso oficiales de inteligencia griegos con un software espía llamado Predator, que realiza vigilancia avanzada de teléfonos, y hasta graba conversaciones y tiene acceso a chats encriptados.

La conexión griega

En diciembre, Triantafillou advirtió que el informe de Meta y otro del laboratorio de investigación Citizen Lab, publicado el mismo día, estaban conectados con Grecia. Ambos informes concluyeron que Predator, sofisticado software espía de vigilancia, se había comprado para usar en Grecia, entre otros países. Cytrox, empresa de Macedonia del Norte que había elaborado Predator, pertenece a un grupo de proveedores de vigilancia mercenaria comercializados bajo la etiqueta Intellexa, con presencia corporativa en Grecia desde 2020.

Cuando Triantafillou publicó su artículo en enero de 2022, se centró en cómo Meta había eliminado alrededor de 300 cuentas de Facebook e Instagram que estaban vinculadas a Cytrox, y cómo Cytrox había «falsificado» URL reales, incluidas las de medios confiables. A primera vista, estos enlaces parecían genuinos, pero tenían una sintaxis ligeramente diferente a la URL real (una letra faltante o un símbolo adicional). Podrían usarse para engañar a los objetivos para que les hagan clic, con lo que se activaba la infección del teléfono con Predator.

“Vimos que había una proporción desigual de dominios griegos en esta lista, porque Meta reportó 310 dominios falsificados, y 43 eran de interés griego”, dijo Triantafillou en entrevista de Zoom. “Somos un país muy pequeño. Nuestra participación en el tráfico global de internet es mucho menor que la de los otros países que, según esos dos informes, están entre los clientes”.

El diablo está en los detalles: Vigilancia «legal» versus «ilegal»

Cuando el reportero griego Thanasis Koukakis leyó el artículo de Triantafillou se dio cuenta de que muchos de los dominios falsificados en la lista imitaban los medios para los que trabajaba o con los que todavía colaboraba. Koukakis había descubierto recientemente casos de fraude en el país. Ya sospechaba que estaban escuchando sus conversaciones y, en agosto de 2020, presentó una denuncia ante la Autoridad de Aseguramiento de la Privacidad en las Comunicaciones (ADAE) en la que pidió que hiciera las comprobaciones necesarias. Hoy sabemos que lo había interceptado el Servicio Nacional de Inteligencia (EYP). Recibió una respuesta de ADAE en julio de 2021 en el sentido de que no había ninguna violación de la ley, lo que significaba que no lo estaban espiando.

Las escuchas telefónicas de EYP son técnicamente «legales», aunque el uso de software espía como Predator se considera ilegal en Grecia. El artículo 19 de la Constitución griega protege el derecho a la privacidad en las comunicaciones. Sin embargo, hay excepciones por razones de seguridad nacional y para investigar delitos graves. La agencia de inteligencia justificó la vigilancia a Koukakis con el argumento de la seguridad nacional, aunque no está claro cómo el trabajo de un periodista de investigación podría haber afectado la seguridad nacional. En marzo de 2021, el Gobierno aprobó una enmienda que revoca el derecho de los ciudadanos a saber si los habían vigilados después de terminada la vigilancia, razón por la cual a Koukakis no le informaron sobre las escuchas telefónicas.

El Gobierno también ha utilizado esta dicotomía entre legal e ilegal para defenderse. El primer ministro dijo públicamente que, aunque la vigilancia de un político era «políticamente inaceptable», era legal, y que la narrativa sobre el tema no debería socavar el «importante trabajo» de la agencia de inteligencia. Cuando Kyriakos Mitsotakis asumió como primer ministro, tomó el EYP bajo su mando. Hoy, aunque afirma no tener conocimiento de las escuchas telefónicas, el jefe del EYP, junto con el propio sobrino de Mitsotakis y secretario general de la Oficina del Primer Ministro, Grigoris Dimitriadis, han renunciado a sus cargos.

Un patrón más grande

En noviembre de 2021, el periodista griego Stavros Malichudis estaba hojeando las noticias cuando vio una revelación del periódico Efimerida ton Syntakton. Se trataba de las escuchas telefónicas de EYP a varios ciudadanos, incluidos periodistas. El artículo describía el caso de un periodista que trabajaba en problemas de migración. Al leer los detalles, Malichudis se dio cuenta de que él era ese periodista. En respuesta a las cartas enviadas por la agencia de noticias AFP,  para quien Malichudis trabajaba en ese momento, las autoridades griegas negaron dos veces haberlo espiado. “…no se vigila a los periodistas en Grecia… Para evitar dudas, también lo haría el Gobierno griego”, decía una respuesta firmada por el Ministro de Estado.

Koukakis, Triantafillou y Malichudis testifican en el Comité EuroParl PEGA sobre el uso de spyware en Grecia. Crédito: Eric VIDAL/© European Union 2022 – Fuente : EP.

De escuchas telefónicas a software espía

En enero de 2022, aún sin saber si sus conversaciones telefónicas estaban intervenidas, y después de leer el informe Inside Story, Koukakis envió archivos extraídos de su teléfono a Citizen Lab, que luego confirmó que Predator lo había atacado. El mensaje de texto de un número desconocido había enviado un enlace a lo que parecía una publicación de blog creíble. En realidad, era una URL falsificada. Después de que Koukakis le hizo clic, su teléfono se infectó con el software espía. Poco después, gracias a un artículo de Reporters United, se enteró de que también lo había interceptado el servicio de inteligencia.

Si bien el Gobierno griego ha negado haber comprado o usado Predator, se han identificado más objetivos. En julio de 2022, Nikos Androulakis, presidente del tercer mayor partido político de Grecia, PASOK-KINAL, descubrió que había recibido un mensaje de texto en septiembre de 2021 que contenía el mismo enlace que había infectado el teléfono de Koukakis. Como no había dado clic al enlace, no se vio afectado. En septiembre, un exministro del partido Syriza, Christos Spirtzis, dijo que también había sido objeto de un intento de instalar Predator.

Esto lleva a sospechas creíbles sobre el papel del Gobierno en esta vigilancia, lo que está respaldado por un reporte de Google. Además, el momento de las llamadas escuchas telefónicas «legales» de Koukakis y la infección de su teléfono con Predator parecen demasiado alineados para ser una coincidencia. EYP canceló su vigilancia después de que Koukakis presentó una denuncia y, poco después, su teléfono se infectó con Predator. Al  testificar en el Parlamento Europeo a principios de septiembre, Koukasis dijo que cree que el Gobierno utilizó el spyware. “Porque por un lado, según nos ha dicho Citizen Lab y por las listas de precios que se han encontrado en la web oscura, un particular no puede asumir el costo de estos servicios de Intellexa”, dijo. . “¿Podría [el Gobierno haber utilizado] a una persona privada como intermediario? La respuesta es sí».

Triantafillou se inclina a estar de acuerdo. “Nuestra hipótesis, que no es solo una hipótesis, es que no es necesario comprarlo para usarlo”, dijo sobre Predator. “Tampoco es necesario usarlo directamente”. La compleja estructura corporativa de Cytrox e Intellexa, la empresa que lo comercializa, abarca varios países e involucra a muchas entidades registradas. El fundador de Intellexa, Tal Dillian, exfuncionario de inteligencia de las Fuerzas de Defensa de Israel, se mudó a Grecia después de enfrentar problemas legales con las autoridades chipriotas para una entrevista de Forbes de 2019. En 2020, Intellexa se constituyó en Grecia.

Este diagrama, de una demanda presentada contra Dillian por su socio comercial, Avi Rubenstein en Tel Aviv, muestra una estructura complicada de empresas que incluye a Intellexa y a Cytrox. Imagen vía Eliza Triantafillou. Usado con autorización.

Con cuatro intentos conocidos de apuntar a ciudadanos griegos con Predator, la pregunta es, ¿hay más objetivos? Triantafillou así lo cree. “Cuando tienes una herramienta muy poderosa y muy costosa, que vale millones y has creado al menos 50 dominios y solo has usado [link] uno para apuntar a Androulakis, Koukakis y ahora Spirtzis, es prácticamente estúpido gastar esa cantidad de dinero solo para apuntar a tres personas”, dice ella.

Al día con la tecnología

Este escándalo en Grecia toca la raíz de un problema con el que todos los países están lidiando: los mecanismos reguladores y las organizaciones destinadas a salvaguardar los derechos digitales de los civiles no han estado a la altura de los tiempos.

La llamada «vigilancia legal» en la actualidad solo cubre una parte de la comunicación que hacemos en nuestros teléfonos. Gran parte (mensajes en aplicaciones encriptadas como WhatsApp y Signal, hablar en Zoom) están fuera del ámbito de las escuchas telefónicas. Requieren técnicas de vigilancia mucho más avanzadas que brindan compañías de vigilancia mercenarias como Cytrox.

Rammos Christos, titular de ADAE, lo señaló ante el Parlamento Europeo, y dijo que su organización tiene la “competencia para controlar solo a los proveedores de servicios de telecomunicaciones, no a las agencias generales ni a las corporaciones privadas”.

Stavros Malichudis, el periodista que fue interceptado por el Gobierno, hizo revisar su teléfono para buscar spyware después de las recientes revelaciones (no estaba intervenido). Y junto con los periodistas Triantafillou y Koukakis, testificó en el Parlamento Europeo a principios de septiembre, y tomó sus experiencias personales para demostrar que las escuchas telefónicas la vigilancia con software espía son parte de un intento insidioso de socavar el derecho fundamental a la privacidad. Un comité de investigación parlamentaria también está en marcha en Grecia, y las novedades siguen lleganfo

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.