Vixilancia e espionaxe son as dúas caras dunha moeda. A moeda é o software imbricado nas vértebras do teu dispositivo dixital. A cara é a vixilancia masiva e acumulación de datos para elaborar perfís comerciais e segmentar publicidade, por exemplo, para recomendarche a música que non sabías que querías escoitar. A cruz é o acceso total a todas as físgoas da túa vida para terte na mira, desacreditarte publicamente, encarcerarte ou matarte se for preciso.
“Acá en México estamos afeitos, mais intervíron 15.000 persoas en todo o mundo, é unha barbaridade, é monstruoso”, di o xornalista mexicano Ignacio Rodríguez Reyna, unha desas persoas espiadas. O relatorio publicado por Forbidden Stories en colaboración con Amnistía Internacional e outros medios revela que gobernos de todo o mundo contrataron o software Pegasus á empresa israelita NSO Group para espiaren activistas, xornalistas, disidentes políticos ou defensores de dereitos humanos en países como México, o Marrocos ou a Arabia Saudita. Contodo, a empresa israelita di que se dedica a facer do mundo “un lugar mellor”.
Vulnerabilidades no teu telemóbel
Cada vez a máis xente resulta familiar a seguinte conversa: “Onte falamos destas zapatillas e hoxe aparecéronme en Instagram. Estou segura de que o móbel me espía”. Mais, de todo o que dicimos, que espían exactamente as plataformas? Juan Tapiador é investigador e profesor de seguranza informática na Universidade Carlos III de Madrid e hai uns anos publicou xunto con outros colegas un estudo intitulado An Analysis of Pre-installed Android Software (Unha análise do software preinstalado de Android), en 2019. Buscaban confirmar mediante métodos científicos esa “evidencia anedótica” que tiña cada vez máis xente a respecto dos seus teléfonos móbeis. O grupo de investigación desenvolveu unha aplicación que distribuíu através de contactos e redes sociais. A aplicación, Firmware Scanner, facía unha fotografía a todo aquilo que viñese preinstalado nos teléfonos Android. A súa sospeita era que moitas aplicacións preinstaladas nestes teléfonos extraían datos dos usuarios e usuarias. Através de contactos e redes sociais, conseguiron que moitísima xente descarregase Firmware Scanner e recolleron centos de millares de fotografías das tripas dos teléfonos. “Achamos unha confirmación a escala inusitada, de cousas que eran máis ou menos coñecidas, mais non até ese punto”, afirma Tapiador. A vixilancia era masiva.
Tapiador explica que na cadea de subministración interveñen moitos axentes: o que fabrica os circuítos, o que os integra, o que mete a cámara ou o que introduce o micrófono, por mencionar algúns. “O que coñecemos como fabricantes, a marca que vende o dispositivo, en realidade son integradores, e o seu papel é ensamblar as partes previamente fabricadas por subcontratas”, afirma o informático. A cadea non incumbe só ao hardware, senón que continúa até os operadores telefónicos, que tamén manipulan os teléfonos móbeis e implementan aplicacións de software cuxa finalidade é conseguir datos dos usuarios. “En todo ese proceso como parte do esquema de monetización, que é pervasivo en internet e que ten que ver coa recolección de datos, están presentes moitísimos axentes que introducen componentes software”, afirma o investigador. Na cadea de ensamblaxe dos teléfonos, non se sabe que axente introduce que software. Non hai ningunha trazabilidade e ningunha regulación que obrigue a informar sobre iso.
As motivacións son diversas, mais nomeadamente atenden a dous principios: conseguir unha predominancia no mercado, como é o exemplo de Facebook, que o que quere é estar presente en todos os teléfonos posibeis e monetizar os datos dos usuarios, ou o que é o mesmo, obter telemetría do dispositivo para despois vender esa información. Moitas destas aplicacións pre-instaladas son as que ofrecen portas traseiras abertas ou vulnerabilidades polas que poden entrar moi facilmente softwares como Pegasus.
Realizando unha mínima interacción como atender unha chamada ou facer clic nunha ligazón, a porta traseira do teléfono ábrese sen que nos decatemos. Aínda que o software destinado á espionaxe é diferente ao que usan as empresas para recompilar datos, son estas funcionalidades de base as que permiten que a espionaxe sexa tan sinxela. Segundo a análise forense de Amnistía Internacional, no caso dos iPhone 11 e 12 o virus propagábase através do envío dunha simples mensaxe sen necesidade de facer ningún clic.
“Eu xa me dei conta en 2017 de que o meu teléfono estaba intervido e deixei de usalo, mais conserveino. Cando me contactaron en 2020 desde Forbidden Stories deilles o meu móbel para que fixesen o traballo forense para a súa investigación. Desde aquel momento tento ser máis coidadoso, uso correos encriptados e aplicacións seguras, mais a verdade é que hai tal vulnerabilidade que dunha maneira ou outra van conseguilo”, relata Rodríguez Reyna. “Non só tiveron acceso a todas as miñas conversas, contactos, correos, anotacións ou ás fotos que tomei, puideron acender a miña cámara ou o meu micrófono nas miñas situacións íntimas e persoais. Teñen un acceso ao control do meu dispositivo en tempo real. Isto non só nos coloca en risco a nós, coloca en risco físico as nosas fontes. Coloca na indefensión e susceptibilidade de sermos chantaxeados por actos da nosa vida privada que nos ridiculicen ou nos tiren credibilidade ou calquera asomo de dignidade”, engade.
E que máis me ten se eu non son ninguén
“As empresas non están interesadas nas fotografías dos teus gatiños nin nas conversas nin nas mensaxes, iso non acontece”, informa Tapiador, “mais os metadatos son moi bos predictores dos comportamentos”. A información que recollen as aplicacións móbeis é moi valiosa para despois a cruzar coa navegación web e construír perfís que durante moitos anos viñéronse utilizando para dar servizos de publicidade dirixida. “Esta é a gasolina que moveu internet durante a última década e algo”, afirma este investigador en seguranza informática.
En xullo de 2020, os nomes de NSO Group e Pegasus volveron encher os medios nacionais grazas ao estudo do instituto de ciber-seguranza da Universidade de Toronto, o Citizen Lab, que publicou que diversas figuras públicas do independentismo catalán como Roger Torrent -na altura president do Parlament- foran espiadas por Pegasus. Apesar de que o Goberno, através do CNI e dos Ministerios de Interior e Defensa, negou rotundamente estar involucrado, a empresa NSO Groups manifestou que os únicos clientes do seu produto estrela de espionaxe son gobernos. Un ex traballador afirmou que España levaba sendo cliente de NSO Groups desde 2015.
“No caso da espionaxe si lles interesan as túas fotos de gatiños”, chancea Tapiador facendo alusión á última megafiltración de 15.000 persoas espiadas. “O caso de NSO Group e Pegasus é un animal totalmente diferente [á vixilancia comercial]. Son empresas que traballan con corpos e forzas de seguranza do Estado porque os países teñen necesidade de monitorizar os dispositivos do que eles consideran obxectivos”, comenta Tapiador.
Virginia Álvarez é responsábel de investigación e política interior en Amnistía Internacional. “A empresa dicía que o software só era utilizado contra o ciberterrorismo, para localizar delincuentes, mais Amnistía comezou a ter información de que este software estaba sendo utilizado para cometer violacións de dereitos humanos e a intromisión ao dereito á intimidade é un delito”, lémbranos a activista e porta-voz de Amnistía Internacional España.
Rodríguez Reyna é un dos fundadores de 5º Elemento Lab, unha organización que se dedica ao xornalismo de investigación. Tres dos seus membros foron infectados por Pegasus. “Cando comezaron a vixiarnos estábamos a traballar na ramificación mexicana da trama de corrupción Odebrecht”, conta. Esta é unha das maiores tramas de corrupción da historia recente de América Latina e ten como centro de operacións a construtora brasileira Odebrecht, que realizou subornos a figuras importantes de 12 gobernos do continente. “Nós sinalamos Emilio Lozoya, figura próxima a Peña Nieto [ex presidente mexicano], conselleiro de OHL en México, como a porta de entrada da construtora brasileira ao país através de subornos. Alén diso, unha compañeira nosa estaba a crear o primeiro mapa das 2.000 fosas clandestinas de persoas asasinadas e desaparecidas polo Estado”, relata. Segundo datos oficiais, a cifra de desaparecidas nos últimos 15 anos en México alcanza as 80.000 persoas.
Cecilio Pineda é un xornalista mexicano que foi asasinado aos poucos días de Pegasus entrar no seu móbel. Segundo The Guardian, apesar de non haber probas vinculantes, a hipótese principal sinala que se usou o virus para localizalo. Outro caso coñecido en México foi o dun dos asesores legais na loita por esclarecer o crime dos 43 estudantes desaparecidos de Ayotzinapa. O seu teléfono foi intervido, unha frase foi tirada de contexto e difundida en redes através de contas falsas facendo crer que traizoara o movemento, o que provocou unha fractura real no mesmo.
A industria global de vixilancia e espionaxe
“É toda unha industria a que hai atrás disto. Sinto que estamos ante unha indefensión case absoluta e é algo terríbel”, reflecte Reyna. O custo de infectar un teléfono en México, segundo os datos publicados, sería de ao redor de 64.000 dólares, e o Goberno gastou 32 millóns en espiar 500 persoas do seu interese. Un amplo número de especialistas considera que é necesaria máis regulación para controlar o acceso aos dispositivos tecnolóxicos, especialmente os teléfonos. Xa sexa no ámbito da vixilancia e o acceso a metadatos, xa sexa no caso da espionaxe e o acceso a datos.
Tapiador afirma que non hai unha regulación que obrigue a dicir que fornecedor da cadea de subministración introduce software nos dispositivos móbeis. “Un problema deste mundo do databrokering é que é moi obscuro, non é nada transparente”, adverte. Para as leis de protección de datos de usuarios a transparencia é moi importante, saber que datos son recompilados e con que fins, e “nos casos das aplicacións de software preinstaladas, non existe”, sentencia o investigador.
Virginia Álvarez afirma que existe unha falta de control absoluta. “En canto non haxa un marco regulador que non evite o mal uso do software de espionaxe, Amnistía seguirá pedindo a súa non comercialización”. Dario Castañé, do Partido Pirata de Catalunya, considera que “habería que establecer unha prohibición á compra e venda de software para espionaxe, así como reverter e anular toda iniciativa que vaia minar a confidencialidade das conversas, xa sexa mediante filtros de subida, control de mensaxes ou portas traseiras nos algoritmos de cifrado”.
Contodo, cando falamos de espionaxe, crúzanse os intereses xeopolíticos dos Estados na propia regulación. Desde NSO manifestaron que a publicación “é enviesada e ten unha clara motivación comercial e que, en calquera caso, non foi a empresa a que fixo uso do software”. Non deixa de ser interesante, tal e como sinala un artigo do Financial Times, que os países clientes de NSO como os Emiratos Árabes ou a Arabia Saudita sexan aliados recentes cos que creceron as relacións con Israel. Países como a Hungría, a India ou o Ruanda aparecen tamén no relatorio, en momentos en que o ex primeiro ministro, Benjamin Netanyahu, buscaba alianzas con líderes ultradereitistas nestes países.
No seu relatorio Operando desde as sombras, publicado a principios de xullo, Amnistía Internacional sostén que existe toda unha industria de empresas dedicadas á espionaxe. Outras das empresas que foron contratadas polo Goberno de México son Hacking Team (Italia) ou Rayzone Group (Israel). Tamén podemos achar empresas vinculadas a grandes controversias como Clearview AI, envolvida nun escándalo por almacenar millóns de fotos de redes sociais. Ou Palantir, a máquina de espiar de Silicon Valley relacionada con varias operacións á marxe da legalidade. Todas elas son compañías multimillonarias. Segundo o relatorio de Amnistía, o campo de xogo dos produtos de espionaxe veu delimitado polas decisións de diferentes Estados que permitiron autorizacións legais que ignorarn os dereitos humanos básicos para poderen aplicalas tanto fora como dentro dos seus territorios.
No entanto, hai que ter en conta que a tecnoloxía que o permite está en mans destas compañías. “É o momento de parar e nos preguntarmos que está a pasar. Estamos ante un monstro tecnolóxico que ten moitos brazos, unha ditadura ou dictabranda capaz de mover o poder en calquera lugar do planeta?, reflecte Rodríguez Reyna.
