Mexico, Espionaje a periodistas a través del software Pegasus

Hace buen tiempo quería hacer un resumen sobre un reporte de espionaje a Periodistas y activistas defensores de los derechos humanos en México.

Esta publicación está basado en el reporte “Gobierno Espía, Vigilancia sistemática a periodistas y defensores de derechos humanos en México”, hecho público en junio de 2017, y elaborado por Citizen Lab de la escuela Munk para estudios globales de la Universidad de Toronto, Canadá. Instituciones como: Article 19, Oficina para México y Centroamérica, R3D Red en Defensa de los Derechos Digitales, SocialTIC Tecnología digital para el cambio social.

Esta operación de espionaje contra periodistas y activistas en México ocurrió entre enero de 2015 y julio de 2016, mediante el malware Pegasus.

Pegasus es un software malicioso, desarrollado por la firma israelí NSO Group el cual es únicamente comercializado a gobiernos. Se ha documentado su adquisición por al menos tres dependencias en México:

  • La Secretaria de la Defensa Nacional (SE-DENA).
  • La Procuraduría General de la República (PGR)
  • Centro de Investigación y Seguridad Nacional (CISEN)

El modus operandis de la infección consiste en el envío de un mensaje SMS al objetivo con un texto que busca engañarlo, mediante el uso de técnicas de ingeniería social, para hacer click en un enlace adjunto. Por ejemplo:

Al hacer click en el enlace, el navegador se abre y redirige al objetivo a uno de los sitios web de la infraestructura de NSO Group, dándole la oportunidad al malware de instalarse en el dispositivo gracias a una vulnerabilidad en el sistema operativo. De este modo, el atacante gana acceso:

  • Archivos guardados en el equipo.
  • Contactos.
  • Mensajes.
  • Correo Electrónicos.
  • Micrófono y la cámara del dispositivo.

Según reportes de The New York Times, cada infección exitosa tendría un costo que oscila alrededor de los US$ 77,000.00.

NSO Group:

NSO Group Technologies es una empresa tecnológica israelí dedicada a la creación de software de intrusión y vigilancia fundada en 2010 por Niv Carmi, Omri Lavie y Shalev Hulio.

Cuanto cuesta espiar:

Listas de 12 Objetivos/ personajes espiados:

La siguiente línea del tiempo muestra la frecuencia y el volumen de intentos de infección con Pegasus en contra de periodistas y defensores de derechos humanos en México:

Leyendo el reporte de Citizen Lab, decidí mostrar el siguiente caso como ejemplo de lo que se realizo como modus operandis para todos los objetivos a espiar:

Caso: Aristegui Noticias

El 9 de noviembre de 2014, los periodistas Carmen Aristegui, Rafael Cabrera, Irving Huerta, Daniel Lizárraga, Sebastián Barragán y Gustavo Varguez publicaron el reportaje “La casa blanca de Enrique Peña Nieto” en el portal Aristegui Noticias (AN), así como en varios medios impresos nacionales e internacionales.

El reportaje denunció que la propiedad, ubicada en el número 150 de la calle Sierra Gorda y tasada en siete millones de dólares, estaba (y está, hasta donde se sabe) a nombre del contratista Juan Armando Hinojosa Cantú, beneficiado con importantes contratos durante la administración de Enrique Peña Nieto como gobernador del Estado de México y, posteriormente como Presidente.

Este reportaje tuvo varias implicaciones en el gobierno de Peña Nieto. La primera fue la cancelación, el 7 de noviembre de 2014, de la licitación del tren México-Querétaro, concedida anteriormente a una empresa del Grupo Higa.

Mensajes recibidos entre enero y mayo de 2015

El primer mensaje recibido por la periodista Carmen Aristegui data del 12 de enero de 2015, dos meses después de la publicación del reportaje de la casa blanca. El segundo intento de infección recibido por Aristegui ocurrió el 12 de abril de 2015, con un mensaje que simulaba ser una notificación de compra con una tarjeta bancaria.

En el periodo comprendido entre ambos ataques, el 10 de marzo de 2015, Aristegui presentó, en conjunto con otros medios de comunicación y organizaciones de la sociedad civil, la plataforma Méxicoleaks.

El 23 de marzo, Edison Lanza, relator especial para Libertad de Expresión de la CIDH, consideró que el despido de Aristegui “podría tener visos de ser una forma sutil de acallar una voz crítica” y “tiene un fuerte olor a censura”.

El 18 de abril de 2015, casi una semana después del segundo mensaje recibido por Aristegui, la página web de Aristegui Noticias sufrió una serie de ataques de denegación de servicio (DDoS). Estos ataques se produjeron horas antes de la publicación del reportaje “Fueron los Federales”, escrito por la periodista Laura Castellanos, donde denuncia la masacre de Apatzingán, Michoacán, del 6 de enero de 2015.

Fuente: http://www.proceso.com.mx/401680/atacan-el-portal-aristegui-noticias

Aristegui Noticias sufrió dos ataques cibernéticos que lo mantuvieron fuera de servicio durante más de siete horas el primero, y aproximadamente cinco horas el segundo, el sábado 18. En ese lapso, indica el comunicado, los ingenieros y técnicos intentaron restablecer la operación del sitio sin éxito. A unas horas de divulgar en el portal Aristegui Noticias el reportaje “Fueron los Federales” sobre la masacre de Apatzingán, ocurrida el pasado 6 de enero.

En todo ese tiempo, los ingenieros y técnicos especializados trataron de restablecer la operación del Sitio, sin lograrlo. No fue sino hasta las 0.51 de la madrugada de este domingo 19 que recibimos la comunicación de nuestros proveedores de servicio tecnológico en México, con la explicación que, a su vez, les proporcionó nuestro servidor en los Estados Unidos a las 11:03 PM del sábado 18, tiempo de Texas.

En el “support ticket” 150419 de Rackspace Managed -quien nos proporciona el soporte tecnológico para operar nuestro Sitio- se informó que: “Rackspace reconoce y aplica bloqueo al servidor de aristeguinoticias.com debido a un ataque distribuido de denegación de servicio (DDoS) que está saturando el enlace de red”. Según este reporte, el bloqueo de la IP duraría 24 horas en caso de no intervenir con un plan de emergencia.

Se recomendó la adquisición del plan Cloud Flare como escudo de los servidores y para lograr la mitigación del ataque. En caso de que la aplicación de dicho plan no lograra disminuir o mitigar el ataque, “Rackspace” volvería a poner el bloqueo. A las 3 de la mañana de este domingo se concretó la adquisición del plan Cloud Flare para mitigar el ataque. El sitio volvió a estar en línea de forma intermitente lográndose ver en algunas computadoras, y en otras no, según pudimos constatar.

Sitios y cuentas falsas creados en contra de Aristegui Noticias:

A raíz de éste -que es el ataque más reciente y grave que hemos sufrido a lo largo de los tres años de existencia de este portal-, hemos decidido denunciar y señalar públicamente otras afectaciones que tenemos a través de intentos suplantación de identidad de sitios de internet y de redes sociales que podrían confundir a los usuarios. Aquí, los siguientes sitios que actualmente difunden información falsa que simula ser oficial:

Diversas cuentas de redes suplantan la identidad de Carmen Aristegui y del portal. También páginas de redes sociales.

En Facebook:

En Twitter:

  • @PeriodismoArist
  • @AristeguiOnlin
  • @AristeguiOnlinc

En la tienda de la App también fue subida un aplicacion iOS también sin nuestro consentimiento.

Las únicas cuentas certificadas y sitio oficial, desde las cuales mantenemos comunicación con ustedes son:

Entre el 8 y el 13 de mayo de 2015, Carmen Aristegui recibió cuatro intentos de infección. El día 8, a Carmen le llegaron dos mensajes de texto que buscaban suplantar notificaciones bancarias, junto con los enlaces maliciosos.

El día 11, el mensaje simulaba ser un aviso sobre un problema con el pago de un servicio. El día 13, el intento de infección intentó hacerse pasar por un mensaje del medio Las Últimas Noticias (UNO TV). Tanto los mensajes del 8 de mayo como el del 11 fueron enviados desde el mismo número de teléfono que el intento del 12 de abril (55*****066).

Los siguientes intentos de infección fueron recibidos por Carmen el 26 de julio de 2015, con un nuevo intento de suplantación de UNO TV, anunciando un supuesto ataque coordinado por Anonymous contra el portal de Aristegui. El otro mensaje buscaba engañar al objetivo al imitar una notificación de una operación bancaria. Ambos mensajes fueron enviados desde el mismo número de teléfono (55*****066) que los intentos del 12 de abril, 8 de mayo y 11 de mayo.

Entre los días 20 y 30 de agosto, la periodista recibió siete mensajes con enlaces vinculados a la infraestructura de Pegasus. Todos fueron enviados desde el número (55*****066).

El primer mensaje, recibido el 20 de agosto, se hacía pasar por la compañía de telefonía móvil Iusacell, intentando engañar al objetivo con un supuesto cargo.

  • Texto: “IUSACELL/ Estimado cliente su factura está lista, agradeceremos pago puntual por $17401.25”

El siguiente, también del día 20, simulaba ser una notificación de la embajada de los Estados Unidos, notificando sobre un problema con la visa.

  • Texto: “USEMBASSY.GOV/ DETECTAMOS UN PROBLEMA CON TU VISA POR FAVOR ACUDE PRONTAMENTE A LA EMBAJADA. VER DETALLES: [enlace malicioso]”

El 21 de agosto, la Secretaría de la Función Pública declaró que el presidente Peña Nieto no había incurrido en conflicto de interés por la adquisición de la casa blanca. La dependencia tampoco encontró irregularidades en la compra de la casa de Malinalco del secretario Luis Videgaray.

Aristegui recibió dos mensajes más los días 22 y 24 de agosto. El mensaje del día 22 era una nueva suplantación del servicio de Iusacell,

  • Texto: “IUSACELL.COM/ EL SIGUIENTE MENSAJE ESTA MARCADO COMO URGENTE REVISALO DESDE NUESTRO PORTAL VER [enlace malicioso]”

Mientras que el mensaje del 24 pedía apoyo para la localización de un menor extraviado en la colonia donde vive Carmen, lo cual revela el uso de ingeniería social. El 24 de agosto, el portal Aristegui Noticias publicó una investigación que señalaba a un político del PRI y a un empleado de Televisa como coordinadores de una red de ataques contra medios de comunicación, incluido AN.

  • Texto: “ALERTA AMBER DF/ COOPERACION PARA LOCALIZAR A NINO DE 9 ANOS, DESAPARECIDO EN [Omitido]. DETALLES [enlace malicioso]”

El 30 de agosto, Emilio Aristegui, hijo de Carmen, recibió tres mensajes de texto con enlaces maliciosos; los tres, suplantando la identidad de UNO TV. Dos de los mensajes apelaban directamente al trabajo de Aristegui con la casa blanca, señalando que la Presidencia podría encarcelar a los autores o demandarlos por difamación. El contenido del tercer mensaje refería a la captura de un narcotraficante en la colonia donde vive Aristegui.

  • Texto: “UNOTV.COM/ POR TEMA DE CASA BLANCA PRESIDENCIA PODRIA ENCARCELAR REPORTEROS MIENTRAS INVESTIGA VER NOMBRES: [enlace malicioso)”
  • Texto: “UNOTV.COM/ PRESIDENCIA DEMANDARÁ POR DIFAMACIÓN A QUIENES PUBLICARON REPORTAJE DE LA CASA BLANCA. NOTA: [enlace malicioso]”
  • Texto: “UNOTV.COM/ DETIENEN A PRESUNTO LIDER DE CARTEL DE SINALOA EN [Omitido]: [enlace malicioso]”

En ese momento, Emilio era menor de edad. Este mensaje constituye el primer ataque documentado con este malware contra un familiar directo de un objetivo y, en total, se han contabilizado más de 40 intentos contra el hijo de la periodista.

Dos de los mensajes recibidos por Emilio fueron enviados también a Rafael Cabrera, periodista de la Unidad de Investigaciones Especiales, el día 30 de agosto: el mensaje que señalaba que la Presidencia podría demandar a quienes publicaron el reportaje de la casa blanca, y el que sostenía que los responsables de dicha investigación podrían ser encarcelados.

  • Texto: “UNOTV.COM/ PRESIDENCIA DEMANDARA POR DIFAMACION A QUIENES PUBLICARON REPORTAJE DE LA CASA BLANCA. NOTA: [enlace malicioso]”
  • Texto: “UNOTV.COM/ POR TEMA DE CASA BLANCA PRESIDENCIA PODRIA ENCARCELAR REPORTEROS MIENTRAS INVESTIGA VER NOMBRES: [enlace malicioso]”

El último intento de infección recibido por Aristegui en 2015 ocurrió el 25 de octubre, con una supuesta invitación a una fiesta de disfraces. En el intervalo entre los ataques, ocurrieron dos hechos relevantes: el 7 de septiembre, la Unidad de Investigaciones Especiales de Aristegui Noticias acusó que la PGR utilizó peritos inexpertos en el basurero de Cocula; mientras que el 18 de octubre se anunció el lanzamiento del libro La casa blanca de Peña Nieto. La historia que cimbró a un gobierno, con prólogo de Aristegui.

  • Texto: “Hola te envio invitación electrónica con detalles por motivo de mi fiesta de disfraces espero contar contigo alonso: [enlace malicioso]”

EL ESPIONAJE DE PERIODISTAS, ACTIVISTAS Y DEFENSORES DE DERECHOS HUMANOS CON EL MALWARE PEGASUS: ILEGAL, CRIMINAL Y VIOLATORIO DE DERECHOS HUMANOS

La utilización del malware de espionaje Pegasus no cumple con el principio de legalidad

El espionaje difícilmente contó con autorización judicial federal. Aún si los ataques con malware de espionaje con las características de Pegasus fueran considerados como una forma más de “intervención de comunicaciones privadas”, resulta altamente improbable que una autoridad judicial federal hubiera autorizado este tipo de invasiones a la privacidad de periodistas, defensores de derechos humanos y activistas anticorrupción. La ausencia del control judicial previo sería una grave violación a la ley y a los derechos de

las personas afectadas.

El espionaje difícilmente contó con autorización judicial federal

Aún si los ataques con malware de espionaje con las características de Pegasus fueran considerados como una forma más de “intervención de comunicaciones privadas”, resulta altamente improbable que una autoridad judicial federal hubiera autorizado este tipo de invasiones a la privacidad de periodistas, defensores de derechos humanos y activistas anticorrupción. La ausencia del control judicial previo sería una grave violación a la ley y a los derechos de las personas afectadas.

El espionaje no persigue un fin legítimo

Para que las personas atacadas con malware referenciadas en este informe pudieran considerarse como objetivos legítimos de medidas de vigilancia legal, la autoridad tendría que demostrar que todos los periodistas, defensores de derechos humanos y activistas anticorrupción se encontraban bajo investigación criminal, existían indicios suficientes para acreditar que se encontraban organizando la comisión de delitos o que, de alguna manera, todos los objetivos constituyen una amenaza inminente a la seguridad nacional.

Caso Panamá, año 2012:

Buscando en la red sobre la empresas NSO Group, encuentro que la empresa Israelí también ha vendido el producto al gobierno Panameño.

Durante el gobierno de Martinelli se pagaron cerca de $8 millones por la máquina pinchadora Pegasus, que tenía como propósito, según el certificado de uso, “la recolección y recopilación de información en dispositivos móviles para el uso exclusivo del Gobierno Panamá”. Se componía de un sistema de escuchas ilegales llamado Pegasus, con capacidad de filtrar 150 BlackBerry e igual cantidad de Android, pero las especificaciones indican que esta cantidad podría ser hasta cinco veces mayor. El contrato original con NSO Group con el Gobierno era por $6millones, pero tras la adquisición de nuevos softwares se hizo una adenda, por S$ 2 millones más.

Fuentes:

Gobierno Espía, Vigilancia sistemática a periodistas y defensores de derechos humanos en México, Junio 2017. Citizen Lab de la Universidad de Toronto documentación del método de infección.

https://r3d.mx/gobiernoespia/

Gobierno Espía: La vigilancia sistemática en contra de periodistas y defensores de derechos humanos en México

http://imco.org.mx/politica_buen_gobierno/gobierno-espia-la-vigilancia-sistematica-en-contra-de-periodistas-y-defensores-de-derechos-humanos-en-mexico

Atacan portal de Aristegui Noticias Fuente:

http://www.proceso.com.mx/401680/atacan-el-portal-aristegui-noticias

How Spy Tech Firms Let Governments See Everything on a Smartphone

https://www.nytimes.com/2016/09/03/technology/nso-group-how-spy-tech-firms-let-governments-see-everything-on-a-smartphone.html

‘Somos los nuevos enemigos del Estado’: el espionaje a activistas y periodistas en México

https://www.nytimes.com/es/2017/06/19/mexico-pegasus-nso-group-espionaje/

La Prensa, Compra de máquina de espionaje en la era Martinelli La ruta del pago a NSO Group

http://www.prensa.com/locales/ruta-pago-NSO-Group_0_4266323503.html

Tags:

México, Pegasus, Espía, Gobierno, Malware, NSO Group, Israel.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.