¿Qué nos revela esta mega-investigación?
Los resultados de la investigación del Proyecto Pegasus muestran una imagen detallada de la amplitud del uso de la tecnología de espionaje [“spyware”] Pegasus, producida por la empresa israelí NSO, ya conocida por los expertos en seguridad digital como una de las más activas y destacadas del mercado.
Gracias a una filtración lograda por la oficina editorial de Forbidden Stories y Amnistía Internacional, cuyo contenido se compartió con The Guardian y otros diarios, la investigación reveló la existencia de una lista de 50.000 números de teléfono, objetivos potenciales de los clientes de NSO y de la tecnología de espionaje Pegasus. Hasta ahora, en la filtración se ha identificado información sobre su uso contra periodistas, activistas, abogados y otras figuras activas en la defensa de los derechos humanos en muchos países.
De acuerdo con Forbidden Stories, hay al menos 180 periodistas implicados. Ente los nombres destacados que han aparecido hasta ahora se encuentran familiares de Yamal Khashoggi, el periodista saudí asesinado en Estambul en 2018, y varios periodistas húngaros a los que el gobierno de Orban ha puesto bajo observación.
No está del todo claro si cada uno de los usuarios incluidos en la lista era monitorizado vía Pegasus como resultado, pero los primeros análisis forenses publicados por Amnistía Internacional confirmaban una correlación entre figurar en la lista y la presencia real de Pegasus en los teléfonos “inteligentes” afectados. Según The Guardian, se publicarán más detalles en días sucesivos.
¿Por qué se trata esto de algo tan serio?
La tecnología de espionaje del tipo Pegasus permite en realidad acceso remoto a los aparatos infectados. En lo esencial, los atacantes tienen acceso a la misma información disponible para los usarios bajo vigilancia: contactos, mensajes, llamadas de teléfono. Se puede instalar tecnología de espionaje mediante ataques de “phishing”: correos electrónicos o mensajes fraudulentos que te invitan a pinchar un enlace que provoca que el programa se descargue, pero cada vez más por medio de tácticas de “cero clics”, que eluden también este paso. En esos casos, la infección puede producirse debido a ciertas vulnerabilidades de los sistemas operativos y sin que la víctima tenga oprtunidad alguna de darse cuenta de ello.
Para un periodista, por ejemplo, se trata de una hipótesis de pesadilla: los atacantes podrían, por ejemplo, lograr acceder a fuentes o materiales confidenciales de una investigación, debelando así cualquier otra estrategia de seguridad dirigida a proteger esa información. Desde luego, si los atacantes están ya “dentro” de los aparatos, encriptar las mensajes entrantes y salientes constituye algo esencialmente inútil.
¿Qué dimensiones tiene el mercado en el que opera NSO y cuántas compañías más hay del género de NSO?
Se trata de un mercado enorme, en el que desde luego NSO es una pieza clave, pero no aislada: es una pieza de un rompecabezas mayor. Esta investigación arroja luz, y seguirá arrojándola, sobre quiénes son los clientes de NSO y de qué modo se utilizan sus servicios en diferentes países alrededor del mundo.
En cualquier caso, varias empresas parecidas producen tecnología de espionaje, herramientas que pueden asemejarse al armament. El campo de la tecnología de espionaje es un terreno en el que, por ejemplo, “made in Italy” supone también (por desgracia) un distintivo de excelencias, puesto que hay varias empresas italianas activas en este mercado. Así, por ejemplo, el Hacking Team con base en Milán quedó “al descubierto” gracias a un ataque de un “hacker” que reveló sus operaciones y su clientela. Se trata de un sector escasamente regulado, el cual, aunque haya restricciones a las exportaciones a países que no son democráticos (o cosas peores), opera con frecuencia de tapadillo y sin la debida transparencia. Esas investigaciones son fundamentales porque nos permiten disponer derendición de cuentas en el uso de herramientas tan peligrosas y arrojan luz sobre las ramificaciones de la existencia de este mundo y de quienes lo frecuentan, que son aparentemente mucho más amplias de lo que se teme. Para el propósito de calibrar el grado de secreto y la falta de transparencia en el sector, creo que es pertinente saber que estas investigaciones son posibles gracias, en su mayor parte, a filtraciones de diversos tipos.
Ha escrito usted un libro sobre el “whistleblowing” [denuncia de actividades ilícitas mediante filtraciones de información]: ¿cómo es posible que no haya todavía un término equivalente [en italiano] para esta práctica cada vez más importante en las democracias?
Término hay: “whistleblowing”. Creo que es una de esas palabras inglesas que no necesita traducción, y que puede adaptarse como tal. Resulta difícil encontrar un equivalente que refleje la complejidad del concepto.
Sin embargo, se trata de una práctica fundamental de transparencia y democracia que ha estado últimamente en el centro de investigaciones y revelactiones cruciales, de Snowden a los Papeles de Panamá. Todavía no está claro si hay un “whistleblower” tras el Proyecto Pegasus, o si la filtración se produjo de otro modo, pero si se trata de lo primero, constituiría una aportación de primer orden a la democracia, que habría de recompensarse por su valor y por el servicio público que presta.
¿De qué modo es posible protegerse, sobre too en el caso de los periodistas que trabajan con material ultraconfidencial, y cómo pueden las legislaciones nacionales limitar esos métodos? ¿Se está haciendo algo al respecto?
Tal como estábamos discutiendo antes, la tecnología de espionaje puede frustrar buena parte de las técnicas de seguridad de la información, y su presencia resulta a menudo identificable gracias a complejos análisis forenses. Por desgracia, no existe la seguridad al cien por cien. Se puede mitigar el riesgo manteniendo actualizados los sistemas operativos, prestando mayor atención a los vínculos y adjuntos que se nos envían y desarrollando una cuidadosa higiene digital. Me temo, no obstante, que quienes producen esos programas van siempre un paso por delante de las víctimas de sus clientes. Lo que hace falta, sin duda, es una regulación más estricta y mayor control del sector, de manera que estas herramientas —que son por defecto herramientas de vigilancia — no se utilicen para violar los derechos humanos de nadie.