Pegasus: la nueva arma global para silenciar a los periodistas

*Al menos 180 periodistas de todo el mundo han sido seleccionados como objetivos por clientes de la empresa de cibervigilancia NSO Group, según una nueva investigación de Forbidden Stories, publicada hoy

Fausto Pretelín . | Ciudad de México | 26 Jul 2024

Por  Phineas Rueckert

La casa de Khadija Ismayilova en Bakú se había convertido en una especie de prisión. En Azerbaiyán, una nación rica en petróleo situada junto al mar Caspio que desde 2014 ha reprimido cada vez más la libertad de expresión y la disidencia, las investigaciones de Ismayilova sobre la familia gobernante la habían convertido en un objetivo prioritario de su propio gobierno.

La periodista de investigación azerbaiyana sabía que la vigilaban constantemente, y así se lo habían dicho sus amigos y familiares a quienes se les había pedido que la espiaran.

Las autoridades le habían impuesto toda la ley: instalaron cámaras subrepticiamente en su casa para filmarla durante las relaciones sexuales, la arrestaron y la acusaron de llevar a un colega al suicidio y, finalmente, la acusaron de fraude fiscal y la condenaron a siete años de prisión.

Fue puesta en libertad bajo fianza después de 18 meses y se le prohibió salir del país durante cinco años.

Así que, en mayo de 2021, al final de la prohibición de viajar, cuando Ismayilova empacó sus pertenencias y abordó un avión hacia Ankara, Turquía, posiblemente pensó que estaba dejando todo eso atrás.

Lo que ella no sabía es que el espía más invasivo vendría con ella.

Durante casi tres años, el teléfono de Khadija Ismayilova fue infectado regularmente con Pegasus, una herramienta espía altamente sofisticada desarrollada por la empresa israelí NSO Group que brinda a los clientes acceso a todo el contenido de un teléfono e incluso puede acceder de forma remota a la cámara y el micrófono, según un análisis forense del Laboratorio de Seguridad de Amnistía Internacional, en asociación con Forbidden Stories.

“Toda la noche estuve pensando en qué hice con mi teléfono”, dijo a los periodistas desde su hogar temporal en Ankara al día siguiente de enterarse de que su teléfono había sido pirateado. “Me siento culpable por los mensajes que envié. Me siento culpable por las fuentes que me enviaron [información] pensando que algunos métodos de mensajería encriptada son seguros y no sabían que mi teléfono estaba infectado”.

“Mis familiares también son víctimas”, añadió. “Las fuentes son víctimas, la gente con la que he trabajado, la gente que me ha contado sus secretos privados son víctimas”.

El Proyecto Pegasus

Ismayilova es una de los casi 200 periodistas de todo el mundo cuyos teléfonos han sido seleccionados como objetivos por clientes de NSO, según el Proyecto Pegasus, una investigación publicada hoy por un consorcio global de más de 80 periodistas de 17 medios de comunicación en 10 países, coordinado por Forbidden Stories con el apoyo técnico del Laboratorio de Seguridad de Amnistía Internacional.

Forbidden Stories y Amnistía Internacional tuvieron acceso a una filtración de más de 50.000 registros de números de teléfono que los clientes de NSO seleccionaron para su vigilancia. Según un análisis de estos registros realizado por Forbidden Stories y sus socios, los teléfonos de al menos 180 periodistas fueron seleccionados en 20 países por al menos 10 clientes de NSO. Estos clientes gubernamentales van desde autocráticos (Bahréin, Marruecos y Arabia Saudita) hasta democráticos (India y México) y abarcan todo el mundo, desde Hungría y Azerbaiyán en Europa hasta Togo y Ruanda en África. Como lo demostrará el Proyecto Pegasus, muchos de ellos no han tenido miedo de seleccionar a periodistas, defensores de los derechos humanos, oponentes políticos, empresarios e incluso jefes de estado como objetivos de esta tecnología invasiva.

En una carta dirigida a Forbidden Stories y a sus socios de medios, NSO Group escribió que “no puede confirmar ni negar la identidad de nuestros clientes gubernamentales” por “consideraciones contractuales y de seguridad nacional”. Forbidden Stories y sus socios de medios se pusieron en contacto con cada uno de los clientes gubernamentales citados en este proyecto, y ninguno de ellos respondió a las preguntas antes de la fecha límite o negó ser cliente de NSO Group.

Es imposible saber si un número de teléfono específico que aparece en la lista fue infectado sin analizar el dispositivo. Sin embargo, el Laboratorio de Seguridad de Amnistía Internacional, en colaboración con Forbidden Stories, pudo realizar análisis forenses en los teléfonos de más de una docena de estos periodistas (y 67 teléfonos en total) y reveló infecciones exitosas a través de una falla de seguridad en iPhones tan recientemente como este mes.

Los números de teléfono filtrados, que Forbidden Stories y sus socios analizaron durante meses, revelan por primera vez la asombrosa escala de la vigilancia de periodistas y defensores de los derechos humanos, a pesar de las reiteradas afirmaciones de NSO Group de que sus herramientas se utilizan exclusivamente para atacar a delincuentes graves y terroristas, y confirman los temores de los defensores de la prensa sobre el alcance del software espía que se utiliza contra los periodistas.

“Las cifras muestran claramente que los abusos son generalizados y ponen en peligro la vida de los periodistas, sus familias y sus asociados, socavan la libertad de prensa y cierran medios de comunicación críticos”, ha afirmado Agnes Callamard, secretaria general de Amnistía Internacional. “Se trata de controlar el discurso público, resistir el escrutinio y reprimir cualquier voz disidente”.

Los periodistas que aparecen en estos registros han recibido amenazas legales, otros han sido arrestados y difamados, y algunos han tenido que huir de sus países debido a la persecución, para luego descubrir que todavía estaban bajo vigilancia. En casos excepcionales, los periodistas han sido asesinados después de haber sido seleccionados como objetivos. Las revelaciones de hoy dejan en claro que la tecnología se ha convertido en una herramienta clave en manos de actores gubernamentales represivos y de las agencias de inteligencia que trabajan para ellos.

“Ejercer vigilancia sobre un periodista tiene un efecto amedrentador muy fuerte”, dijo Carlos Martínez de la Serna, director de programas del Comité para la Protección de los Periodistas, a Forbidden Stories. “Este es un problema muy, muy importante que todos deben tomar en serio, no solo en el contexto de que los periodistas trabajan en un entorno hostil para el periodismo, sino también en Estados Unidos, Europa Occidental y otros lugares”.

PAÍSES DONDE SE SELECCIONÓ A PERIODISTAS COMO OBJETIVO

El grupo NSO, en una respuesta escrita a Forbidden Stories y sus socios de medios, escribió que los informes del consorcio se basaban en “suposiciones erróneas” y “teorías no corroboradas” y reiteró que la empresa estaba en una “misión para salvar vidas”.

“NSO Group niega firmemente las afirmaciones falsas realizadas en su informe, muchas de las cuales son teorías no corroboradas que plantean serias dudas sobre la fiabilidad de sus fuentes, así como sobre la base de su historia”, escribió la empresa. “Sus fuentes le han proporcionado información que no tiene base fáctica, como lo demuestra la falta de documentación que respalde muchas de las afirmaciones”.

“La supuesta cantidad de ‘datos filtrados de más de 50.000 números de teléfono’ no puede ser una lista de números que los gobiernos tienen en la mira mediante Pegasus, basándose en este número exagerado”, añadió NSO Group.

En una carta legal enviada a Forbidden Stories y sus socios de medios, NSO Group también escribió: “NSO no tiene conocimiento de las actividades de inteligencia específicas de sus clientes, pero incluso una comprensión rudimentaria y de sentido común de la inteligencia lleva a la clara conclusión de que este tipo de sistemas se utilizan principalmente para fines distintos a la vigilancia”.

Tan peligroso como un presunto terrorista

Para Szabolcs Panyi, periodista de investigación de Direkt36 en Hungría, enterarse de que su teléfono móvil había sido infectado con el software espía Pegasus fue “devastador”.

“Hay gente en este país que considera a un periodista normal tan peligroso como a alguien sospechoso de terrorismo”, dijo a Forbidden Stories a través de una línea de comunicación cifrada.

Panyi tiene unos 30 años, lleva gafas de montura redonda y tiene una barba corta. Este periodista galardonado ha informado sobre defensa, asuntos exteriores y otros temas delicados y tiene una agenda con miles de contactos en varios países, incluido Estados Unidos, donde pasó un año con una beca Fulbright, lo que lo convierte en un objetivo ideal para los servicios de inteligencia, que son conocidos por desconfiar de la influencia estadounidense en Hungría.

Panyi estaba trabajando en dos primicias importantes durante el tiempo en que su teléfono estuvo comprometido en 2019. Forbidden Stories, en asociación con el Laboratorio de Seguridad de Amnistía Internacional, pudo confirmar infecciones exitosas de su teléfono durante un período de nueve meses, de abril a diciembre. Estas infecciones, dijo Panyi, a menudo coincidían con sus solicitudes oficiales de comentarios y reuniones importantes con fuentes.

Una de las intrusiones digitales ocurrió cuando se reunía con un fotoperiodista húngaro que había estado trabajando como intermediario para un reportero de un medio de noticias con sede en Estados Unidos que trabajaba en una historia sobre el Banco Internacional de Inversiones, un banco respaldado por Rusia que en 2019 estaba presionando para establecer sucursales en Budapest.

Por esa época, el fotoperiodista también fue seleccionado como objetivo, según los registros a los que tuvo acceso Forbidden Stories.

"Es muy probable que quienes operan este sistema estuvieran interesados ??en lo que estos periodistas húngaros y estadounidenses iban a escribir sobre este banco ruso", dijo Panyi.

Al igual que Panyi, muchos periodistas que son objeto de amenazas digitales y cibervigilancia son interesantes para las agencias de inteligencia estatales debido a sus fuentes, según Igor Ostrovskiy, un investigador privado de la ciudad de Nueva York que anteriormente espió a periodistas como Ronan Farrow, Jodi Kantor y el periodista del Wall Street Journal Bradley Hope como subcontratista de la empresa israelí Black Cube y ahora capacita a periodistas en seguridad de la información.

“Todos sabemos que los periodistas tienen una gran cantidad de información pasando por sus manos, por lo que podría ser que la seguridad del Estado esté interesada”, dijo. “La seguridad del Estado podría estar interesada en quién está filtrando información dentro del gobierno, o dentro de una empresa que es vital para el gobierno, y podrían estar buscando esa fuente”.

Al otro lado del mundo, el teléfono de Paranjoy Guha Thakurta, un periodista de investigación indio y autor de varios libros sobre negocios y política de la India, fue hackeado en 2018. Thakurta dijo a Forbidden Stories que a menudo hablaba con fuentes bajo condición de anonimato, y dijo que en el momento de su ataque estaba trabajando en una investigación sobre las finanzas del difunto Drirubhai Ambani, ex hombre más rico de la India.

“Sabrían quiénes eran nuestras fuentes”, dijo Thakurta. “El objetivo de acceder a mi teléfono y ver quiénes son las personas con las que estoy hablando es averiguar quiénes son las personas que me han estado proporcionando información a mí y a mis colegas”.

Thakurta es uno de los al menos 40 periodistas indios seleccionados como objetivos de un cliente de NSO que parece ser el gobierno indio, según el análisis de los datos filtrados realizado por el consorcio.

Periodistas bajo vigilancia

El gobierno indio nunca ha confirmado ni negado ser cliente de NSO Group. “Las acusaciones sobre la vigilancia gubernamental de personas específicas no tienen ninguna base concreta ni son ciertas”, escribió un portavoz del Ministerio de Electrónica y Tecnología de la Información en respuesta a las preguntas detalladas enviadas por Forbidden Stories y sus socios.

Si bien informes anteriores indicaban que entre los 121 objetivos de Pegasus revelados en India en 2019 había cuatro periodistas, los registros a los que tuvo acceso Forbidden Stories muestran que esta vigilancia puede haber sido mucho más amplia. Más de 2.000 números indios y paquistaníes fueron seleccionados como objetivos entre 2017 y 2019, entre ellos periodistas indios de casi todos los principales medios de comunicación, incluidos The Hindu, Hindustan Times, Indian Express, India Today, Tribune y The Pioneer. También se seleccionaron como objetivos a periodistas locales, incluido Jaspal Singh Heran, editor en jefe de un medio con sede en Punjab que publica solo en punjabi.

Los teléfonos de dos de los tres cofundadores del medio de noticias independiente en línea The Wire –Siddharth Varadarajan y MK Venu– fueron infectados por Pegasus, y el teléfono de Venu fue hackeado en julio. Varios otros periodistas que trabajan o han colaborado con el medio de noticias independiente –entre ellos el columnista Prem Shankar Jha, la periodista de investigación Rohini Singh, la editora diplomática Devirupa Mitra y la colaboradora Swati Chaturvedi– fueron seleccionados como objetivos, según los registros a los que tuvieron acceso Forbidden Stories y sus socios, entre los que se incluye The Wire.

“Fue alarmante ver tantos nombres de personas vinculadas a The Wire, pero hay muchas personas que no están vinculadas a The Wire”, dijo Varadarajan, cuyo teléfono fue pirateado en 2018. “Así que esto parece ser una predisposición general a someter a los periodistas a una vigilancia de alto nivel por parte del gobierno”.

Muchos de los periodistas que hablaron con Forbidden Stories y sus organizaciones de noticias asociadas expresaron consternación al enterarse de que, a pesar de las precauciones que habían tomado para proteger sus dispositivos (como usar servicios de mensajería encriptados y actualizar sus teléfonos regularmente), su información privada aún no estaba segura.

“Nos hemos estado recomendando mutuamente esta o aquella herramienta, cómo mantener [nuestros teléfonos] cada vez más seguros de los ojos del gobierno”, dijo Ismayilova. “Y ayer me di cuenta de que no hay manera. A menos que te encierres en [una] tienda de campaña de hierro, no hay manera de que no interfieran en tus comunicaciones”.

A Panyi le preocupaba que el conocimiento público de su ataque pudiera disuadir a sus fuentes de ponerse en contacto con él en el futuro.

“Todos los periodistas que han sido objeto de ataques se preocupan de que, una vez que se revele que los vigilaron e incluso que nuestros mensajes confidenciales podrían haber sido comprometidos, ¿quién diablos va a hablar con nosotros en el futuro?”, preguntó. “Todos pensarán que somos tóxicos, que somos una carga”.

“Leyendo por encima del hombro”: cómo se usa Pegasus para espiar a periodistas en cero clics

Los análisis forenses del Laboratorio de Seguridad de Amnistía Internacional de los teléfonos móviles atacados con Pegasus como parte del Proyecto Pegasus son coherentes con análisis anteriores de periodistas atacados mediante el software espía de NSO, incluidas las docenas de periodistas supuestamente pirateados en los Emiratos Árabes Unidos y Arabia Saudita e identificados por Citizen Lab en diciembre del año pasado.

“Básicamente, hay un montón de piezas diferentes que encajan muy bien entre sí”, afirmó Claudio Guarnieri, director del Laboratorio de Seguridad de Amnistía Internacional. “No tengo ninguna duda de que lo que estamos viendo es Pegasus porque las características son muy distintas y todos los rastros que vemos se confirman entre sí”.

En total, el Comité para la Protección de los Periodistas (CPJ) había documentado previamente 38 casos de software espía (desarrollado por empresas de software en cuatro países) utilizado contra periodistas en nueve países desde 2011.Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation (EFF), fue una de las primeras investigadoras de seguridad en identificar y documentar ataques cibernéticos contra periodistas y defensores de derechos humanos en México, Vietnam y otros lugares a principios de la década de 2010.

En aquel momento, a principios de la década de 2010, la mayoría de los ataques de malware eran menos sofisticados que hoy, explicó.

“En 2011, usted recibía un correo electrónico que llegaba a su computadora y el malware estaba diseñado para instalarse allí”, dijo.

No fue hasta alrededor de 2014 que un enfoque de “primero el móvil” para espiar a periodistas ganó popularidad, a medida que los teléfonos inteligentes se volvieron más omnipresentes, dijo. Los clientes de empresas como NSO, Hacking Team y FinFisher usaban “ingeniería social” para enviar mensajes especialmente diseñados a las víctimas, a menudo engañándolas con información sobre posibles primicias o información específica sobre miembros de sus familias. Las víctimas tenían que hacer clic en un enlace para que el malware se instalara en sus teléfonos.

Los periodistas son objetivos obvios para las agencias de inteligencia, dijo Ostrovskiy, porque siempre están buscando nuevas fuentes de información, exponiéndose a intentos de phishing, y porque muchos a menudo no siguen “las mejores prácticas de la industria en seguridad digital”.

Algunas de las primeras infecciones de Pegasus en periodistas se identificaron en México en 2015 y 2016.

En enero de 2016, Carmen Aristegui, periodista de investigación en México y fundadora de Aristegui Noticias, comenzó a recibir mensajes con enlaces sospechosos después de publicar una investigación sobre propiedades del expresidente mexicano Enrique Peña Nieto.

Aristegui recibió más de 20 mensajes de texto que contenían enlaces maliciosos a Pegasus, según reveló más tarde el grupo de derechos digitales Citizen Lab en el informe Gobierno Espía de 2017. Según el informe, los teléfonos de varios de sus colegas y familiares también fueron atacados con mensajes de texto que contenían enlaces maliciosos durante ese mismo período, incluidos los de sus colegas Sebastián Barragán y Rafael Cabrera y su hijo Emilio Aristegui, que en ese momento tenía solo 16 años.

Forbidden Stories y sus socios pudieron identificar por primera vez a otras tres personas cercanas a Aristegui que fueron seleccionadas como objetivos de vigilancia en 2016: su hermana Teresa Aristegui, su productora de CNN Karina Maciel y su ex asistente Sandra Nogales.“Fue un shock enorme ver a otras personas cercanas a mí en la lista”, dijo Aristegui, quien formó parte del Proyecto Pegasus. “Tengo seis hermanos, pero al menos una de ellas, mi hermana, estaba inscrita en el sistema. Mi asistente Sandra Nogales, que sabía todo sobre mí, que tenía acceso a mi agenda, a todos mis contactos, a mi día a día, a mi hora a hora, también estaba inscrita en el sistema”.

Desde aquellos primeros días, la instalación del software espía Pegasus en los teléfonos inteligentes se ha vuelto más sutil, dijo Guarnieri. En lugar de que la víctima tenga que hacer clic en un enlace para instalar el software espía, los llamados exploits de “cero clic” permiten al cliente tomar el control del teléfono sin ninguna intervención por parte de la víctima.

“La complejidad de realizar estos ataques ha aumentado exponencialmente”, dijo.

Una vez instalado correctamente en el teléfono, el software espía Pegasus ofrece a los clientes de NSO acceso completo al dispositivo y, por lo tanto, la capacidad de eludir incluso aplicaciones de mensajería cifradas como Signal, WhatsApp y Telegram. Pegasus se puede activar a voluntad hasta que se apague el dispositivo. Tan pronto como se vuelva a encender, el teléfono puede volver a infectarse.

"Si alguien está leyendo por encima de tu hombro, no importa qué tipo de cifrado se haya utilizado", dijo Bruce Schneier, criptólogo y miembro del Centro Berkman Klein para Internet y Sociedad de Harvard.

Según Guarnieri, los operadores de Pegasus pueden grabar audio y video de forma remota, extraer datos de aplicaciones de mensajería, usar el GPS para rastrear la ubicación y recuperar contraseñas y claves de autenticación, entre otras cosas. Los gobiernos que espían han adoptado en los últimos años una estrategia más de “golpear y huir” para evitar ser detectados, dijo Galperin: infectan los teléfonos, extraen los datos y salen rápidamente del dispositivo.

Este tipo de tecnologías digitales van de la mano con la vigilancia física, según Ostrovskiy.

“Las intrusiones digitales son extremadamente valiosas”, afirmó. “Si, por ejemplo, pudiéramos conocer su calendario, si pudiéramos saber que tendrá una determinada reunión o si pudiéramos echar un vistazo a su correo electrónico, a sus notas o a cualquier material que la mayoría de nosotros tengamos en nuestros teléfonos, tendríamos una gran ventaja para tener más éxito en cualquier objetivo que estemos tratando de alcanzar”.

Un nuevo mercado de software espía

Según los expertos en seguridad, la vigilancia de periodistas no es algo nuevo. Lo que ha cambiado es el mercado de programas espía.

Según Galperin, mientras que en el pasado los gobiernos desarrollaban herramientas de espionaje internamente, las empresas privadas de software espía como NSO Group, FinFisher y Hacking Team vieron una oportunidad para vender sus productos a gobiernos que antes no tenían la experiencia técnica para desarrollar sus propios programas de inteligencia de señales. Esto creó una especie de “salvaje oeste” del espionaje a periodistas y activistas.

En su informe de 2018 “Hide and Seek”, la organización de derechos digitales Citizen Lab identificó a operadores de Pegasus de NSO en varios países con antecedentes de detenciones arbitrarias de periodistas y defensores de los derechos humanos, entre ellos Arabia Saudita, Marruecos y Bahréin. En conjunto, los clientes de NSO en estos países han seleccionado decenas de miles de números de teléfono, basándose en el análisis de los datos filtrados realizado por el consorcio.Algunos periodistas, como el periodista de investigación independiente marroquí Omar Radi, cuya intrusión cibernética informó Forbidden Stories en 2020, o el periodista indio y defensor de los derechos humanos Anand Teltumbde, fueron encarcelados después de que grupos de defensa y medios de comunicación documentaran las infecciones de sus teléfonos.

Las empresas de software espía han tenido relativamente pocas consecuencias legales o financieras por el uso de su software espía contra periodistas y defensores de los derechos humanos, aunque casos judiciales recientes han comenzado a ejercer presión sobre estos proveedores. En junio de 2021, los ejecutivos de la empresa francesa de software espía Amesys fueron acusados ??de “complicidad en actos de tortura” por vender su software espía a Libia entre 2007 y 2011. Según los demandantes en ese caso, la información obtenida mediante vigilancia digital se utilizó para identificar y perseguir a los opositores del depuesto dictador Muammar Gaddafi, que luego fueron torturados en prisión.

“Si haces buen periodismo, estás diciendo la verdad a los poderosos y estás cabreando a quienes ostentan ese poder”, dijo Galperin. “Las personas que hacían periodismo y contaban historias sobre la corrupción solían ser el blanco de ataques. Las personas que hacían activismo, es decir, protestaban contra la corrupción y el autoritarismo, eran a menudo las personas que estaban en primera línea de ataque”.

NSO Group sostiene que su tecnología es utilizada exclusivamente por agencias de inteligencia para rastrear a criminales y terroristas. Según el informe de Transparencia y Responsabilidad de NSO Group, publicado en junio de 2021, la empresa tiene 60 clientes en 40 países de todo el mundo.

“[Pegasus] no es una tecnología de vigilancia masiva y solo recopila datos de los dispositivos móviles de individuos específicos, sospechosos de estar involucrados en delitos graves y terrorismo”, escribió NSO Group en el informe.

Aunque la empresa también afirma que tiene una lista de 55 países a los que no venderá debido a sus antecedentes en materia de derechos humanos, esos países no aparecen en el informe. Según el informe, NSO Group ha revocado el acceso a cinco clientes desde 2016 después de investigaciones sobre uso indebido y ha rescindido contratos con otros cinco que no cumplían con los estándares de derechos humanos.

“NSO Group seguirá investigando todas las denuncias creíbles de uso indebido y tomará las medidas adecuadas en función de los resultados de estas investigaciones”, escribió NSO Group en su declaración a Forbidden Stories y a sus socios de medios. “Esto incluye apagar el sistema de un cliente, algo que NSO ha demostrado que puede y está dispuesto a hacer debido a un uso indebido confirmado, lo ha hecho varias veces en el pasado y no dudará en volver a hacerlo si la situación lo amerita”.

Sin embargo, los datos filtrados muestran que muchos otros gobiernos autoritarios conocidos por reprimir la libertad de expresión siguen siendo sus clientes.

Como parte del Proyecto Pegasus, Forbidden Stories ha podido documentar el uso de Pegasus por primera vez en Azerbaiyán. Más de 40 periodistas azerbaiyanos fueron seleccionados como objetivos, incluidos reporteros de Azadliq.info y Mehdar TV, dos de los únicos medios de comunicación independientes que quedan en el país.

En Azerbaiyán, la mayoría de los medios de comunicación independientes están bloqueados y las autoridades hostigan sistemáticamente a los familiares de los periodistas. Bajo el gobierno del presidente Ilham Aliyev, cuya familia gobierna Azerbaiyán desde hace décadas, el espacio para las voces críticas, según Human Rights Watch, se ha “extinguido prácticamente”.

El teléfono del periodista independiente Sevinc Vaqifqizi fue pirateado entre 2019 y 2021, según un análisis realizado por el Laboratorio de Seguridad de Amnistía Internacional, en colaboración con Forbidden Stories. Como periodista independiente de Mehdar TV, Vaqifqizi ya había recibido varias amenazas y, en febrero de 2020, fue brutalmente golpeado mientras cubría una protesta.

La reportera, de unos 30 años y con cabello negro hasta los hombros, dijo a los periodistas del consorcio Forbidden Stories que ya asumía que el gobierno tenía acceso a su información privada.

“Siempre les dije a mis amigos que podían escucharnos”, afirmó. “Me preocupan mis fuentes que confían en nosotros y nos escriben por WhatsApp. Si tienen algún problema, eso no es bueno para nosotros”.

Aunque actualmente se encuentra en Alemania con una beca de tres meses, no se siente segura ante las autoridades. Como Amnistía Internacional y otras organizaciones han documentado, activistas azerbaiyanos han sido objeto de ataques físicos y digitales incluso después de abandonar el país.

"Si tienes un teléfono, probablemente puedan seguir [atacándote] en Alemania", dijo.

Fuera de la vista, pero no fuera del alcanceLas paredes de la oficina de Hicham Mansouri en la Maison des Journalistes (Casa de los Periodistas) de París están cubiertas de carteles de Reporteros Sin Fronteras y otras organizaciones de defensa de la libertad de prensa. El periodista vivía en el edificio, que hace las veces de espacio de exposición y de residencia para periodistas refugiados. Desde entonces se ha mudado, pero todavía comparte una pequeña oficina en la planta baja, a la que va a trabajar tres veces por semana.

Antes de hablar con Forbidden Stories, Mansouri apagó el teléfono que le habían prestado y lo enterró en lo más profundo de su mochila. Según un análisis forense del Laboratorio de Seguridad de Amnistía Internacional, el iPhone anterior de Mansouri había sido infectado con Pegasus más de 20 veces durante un período de tres meses, de febrero a abril de 2021.

Mansouri, periodista de investigación independiente y cofundador de la Asociación Marroquí de Periodistas de Investigación (AMJI, por sus siglas en francés), que actualmente trabaja en un libro sobre el tráfico ilegal de drogas en las cárceles marroquíes, huyó de Marruecos en 2016 después de numerosas amenazas legales y físicas en su contra.

En 2014, dos desconocidos lo golpearon después de salir de una reunión con defensores de los derechos humanos, entre ellos la historiadora Maati Monjib, que luego fue atacada con Pegasus. Un año después, agentes de inteligencia armados allanaron su casa a las 9 de la mañana y lo encontraron junto a una amiga en su dormitorio. Lo desnudaron y lo arrestaron por “adulterio”, que es un delito en Marruecos. Pasó 10 meses en una prisión de Rabat  (una versión anterior de este artículo afirmaba que Mansouri estuvo preso en Casablanca) , en una celda reservada para los criminales más graves a los que los reclusos habían apodado “La Poubelle” o “El cubo de la basura”. Al día siguiente de ser liberado de la prisión, Mansouri salió de Marruecos rumbo a Francia, donde solicitó asilo y le fue concedido.

Cinco años después, Mansouri descubrió que todavía era un objetivo del gobierno marroquí.

“Todo régimen autoritario ve peligro en todas partes”, dijo Mansouri a Forbidden Stories. “No nos consideramos peligrosos porque hacemos cosas que consideramos legítimas, que sabemos que son nuestro derecho, pero para ellos son peligrosas”.

“Tienen miedo de las chispas, porque saben que son inflamables”, añadió.

Según el análisis que el consorcio hizo de los datos filtrados, al menos 35 periodistas de cuatro países fueron seleccionados como objetivos por un cliente de NSO que parece ser el gobierno marroquí. Muchos de los periodistas marroquíes seleccionados como objetivos han sido en algún momento arrestados, difamados o atacados de alguna manera por los servicios de inteligencia. Otros que fueron seleccionados como objetivos –entre ellos, los más notables, los directores de periódicos Taoufik Bouachrine y Soulaimane Raissouni– están actualmente en prisión por cargos que, según las organizaciones de defensa de los derechos humanos, fueron utilizados en un esfuerzo por cerrar el periodismo independiente en Marruecos.

En una declaración compartida con Forbidden Stories y sus socios, un representante de la embajada de Marruecos escribió que no “entendía el contexto” de las preguntas enviadas por el consorcio y estaba “esperando pruebas materiales” de “cualquier relación entre Marruecos y la empresa israelí mencionada”.

Bouachrine, editor de Akhbar al-Youm, fue arrestado en febrero de 2018 por cargos de trata de personas, agresión sexual, violación, prostitución y acoso. De las 14 mujeres que supuestamente acusaron a Bouachrine, 10 se presentaron ante el tribunal y cinco declararon que Bouachrine era inocente, según el CPJ. El editor había escrito anteriormente artículos de opinión críticos con el régimen marroquí, acusando a varios funcionarios gubernamentales de alto nivel de corrupción. Fue condenado a 15 años de prisión y pasó más de un año en régimen de aislamiento.

Forbidden Stories y sus socios han podido confirmar que los números de al menos dos mujeres involucradas en el caso fueron seleccionados como objetivos de Pegasus.

El sucesor de Bouachrine, Soulaimane Raissouni, también fue arrestado por cargos de agresión sexual en mayo de 2020 y fue sentenciado a cinco años de prisión en julio de 2021. Raissouni fue acusado de agresión por un activista LGBTQ, Adil Ait Ouchraa, quien dijo al CPJ que anteriormente no se había sentido cómodo presentando una denuncia pública debido a su identidad sexual.

Periodistas y defensores de la libertad de prensa dijeron al CPJ que creían que la denuncia había sido presentada como represalia contra los reportajes críticos de Raissouni. En 2021, mientras aún estaba a la espera de juicio, Raissouni inició una huelga de hambre que, al momento de escribir este artículo, había durado más de 100 días. Sus familiares dijeron que, después de 76 días, se encontraba en estado crítico.

“El objetivo [de la vigilancia] es, presumiblemente, rastrear la vida privada de las personas para encontrar un gancho en el que puedan colgar cualquier juicio importante”, dijo Ahmed Benchemsi, ex periodista y fundador de las organizaciones de medios independientes TelQuel y Nichane, quien ahora dirige las comunicaciones para la región MENA en Human Rights Watch.

En el pasado, los periodistas marroquíes eran objeto de ataques legales sistemáticos por sus escritos (como difamación o falta de respeto al rey), pero la nueva táctica consistía en acusarlos de delitos más graves, como espionaje y, más tarde, violación y agresión sexual, afirmó. La vigilancia surgió como una herramienta clave para obtener información personal que pudiera utilizarse con esos fines.

“A menudo hay una pizca de verdad en una gran masa de calumnias, pero esa pizca de verdad suele ser algo personal y confidencial que solo puede provenir de la vigilancia”, dijo.

Los periodistas extranjeros que han cubierto la difícil situación de los periodistas marroquíes también han sido seleccionados como objetivos y en algunos casos sus teléfonos fueron infectados con éxito.

El teléfono de Edwy Plenel, director y uno de los cofundadores de Mediapart, un medio de periodismo de investigación francés, fue comprometido en el verano de 2019, según un análisis del Laboratorio de Seguridad de Amnistía Internacional que fue revisado por pares por la organización de derechos digitales Citizen Lab.

En junio de ese año, Plenel había asistido a una conferencia de dos días en Essaouira, Marruecos, a petición de un periodista asociado de Mediapart –Ali Amar, fundador de la revista de investigación marroquí LeDesk– cuyo número de teléfono también aparece en los registros a los que tuvo acceso Forbidden Stories. En el evento, Plenel concedió varias entrevistas en las que habló sobre las violaciones de los derechos humanos cometidas por el Estado marroquí. A su regreso a París, empezaron a aparecer procesos sospechosos en su dispositivo.

“Trabajamos con Ali Amar, publicamos algunas investigaciones juntos y yo conocía a Ali Amar, un poco como conozco a muchos de los periodistas que luchan por una prensa libre en Marruecos”, dijo Plenel en una entrevista con Forbidden Stories. “Así que cuando me enteré de que me estaban vigilando, todo esto cobró sentido”.

Plenel dijo que el ataque a su teléfono y al de otro periodista de Mediapart, Lenaig Bredoux, con Pegasus era muy probablemente un “caballo de Troya dirigido contra nuestros colegas marroquíes”.

Al igual que Mansouri, muchos periodistas marroquíes han huido del país o han dejado de ejercer el periodismo. El periódico de Raissouni y Bouachrine, Akhbar al-Yaoum, agobiado por las sucesivas detenciones y las presiones financieras, dejó de publicarse en marzo de 2021.

“Hace unos diez o quince años había espacio para la libertad de expresión en Marruecos”, afirma Benchemsi. “Ya no lo hay. Se acabó. Sobrevivir hoy significa interiorizar un alto nivel de autocensura, a menos que uno apoye a las autoridades, por supuesto”.

¿Un arma mortal?

En el informe de transparencia de 2021 de NSO Group, una frase aparece tres veces: “salvar vidas”. “Nuestro objetivo”, escribe la empresa en un momento dado, “es ayudar a los estados a proteger a sus ciudadanos y salvar vidas”. Sin embargo, el preocupante uso del software espía de NSO contra periodistas y sus familiares, como se identificó en el Proyecto Pegasus y en informes anteriores de ONG de derechos digitales, pone en duda esta narrativa.

El 2 de octubre de 2018, alrededor de la 1 de la tarde, el columnista del Washington Post Jamal Khashoggi entró en el consulado saudí en Turquía y nunca más salió. El descarado asesinato del periodista disidente inició una ola de respuestas globales, con líderes mundiales, grupos de derechos humanos y ciudadanos preocupados pidiendo una investigación exhaustiva sobre su asesinato y la posible implicación del software espía de NSO Group en él.

Dos semanas después de su asesinato, la organización de derechos digitales Citizen Lab informó que un amigo cercano de Khashoggi, Omar Abdulaziz, había sido atacado con Pegasus de NSO en los meses previos al asesinato de Khashoggi.

Por su parte, NSO ha dicho en repetidas ocasiones que tiene acceso a un “interruptor de seguridad” y que ha revocado el acceso a clientes cuando no se respetan los derechos humanos. La empresa ha negado categóricamente cualquier implicación en el asesinato de Khashoggi.

Sin embargo, nuevas revelaciones de Forbidden Stories y sus socios han descubierto que el software espía Pegasus se instaló con éxito en el teléfono de la prometida de Khashoggi, Hatice Cengiz, solo cuatro días después del asesinato. El teléfono del hijo de Khashoggi, Abdullah, fue seleccionado como objetivo de un cliente de NSO que parece ser el gobierno de los Emiratos Árabes Unidos, según el análisis de los datos filtrados realizado por el consorcio, varias semanas después del asesinato. Amigos cercanos, colegas y familiares del periodista asesinado fueron seleccionados como objetivos por clientes de NSO que parecen ser los gobiernos de Arabia Saudita y los Emiratos Árabes Unidos, según las revelaciones del Proyecto Pegasus publicadas hoy.

“Como NSO ha declarado anteriormente, nuestra tecnología no estuvo asociada de ninguna manera con el atroz asesinato de Jamal Khashoggi”, escribió NSO Group en su carta a Forbidden Stories. “Podemos confirmar que nuestra tecnología no se utilizó para escuchar, monitorear, rastrear o recopilar información sobre él o los miembros de su familia mencionados en su consulta”.

La muerte de Khashoggi y el software espía que la acecha, dicen los expertos en seguridad, no fue necesariamente un caso único.

“Khashoggi no es ciertamente el primer periodista asesinado por un gobierno enojado, ni tampoco es el primer periodista asesinado por un gobierno enojado por su periodismo con algún elemento de malware y vigilancia involucrado”, dijo Galperin, de la EFF. “Son cosas que muy frecuentemente van juntas”.

El 2 de marzo de 2017, el periodista mexicano Cecilio Pineda sacó su teléfono y grabó su última transmisión. En ella, el reportero de la ciudad de Altamirano, que manejaba una cuenta de Facebook con más de 50.000 seguidores, habló sobre una supuesta colusión entre la policía estatal y local y el líder de un cártel de la droga.

Dos horas después, estaba muerto: dos hombres en motocicleta le dispararon al menos seis veces mientras yacía en una hamaca afuera de un lavadero de autos.

Cuando Pineda fue asesinado en 2017, a los 38 años, el mundo parpadeó y siguió adelante. Su muerte fue vista como la de otro periodista asesinado en México, la zona sin conflicto más letal del mundo para ejercer el periodismo. Pero la muerte de Pineda puede haber sido más que un asesinato improvisado por parte de un cártel local, según los registros a los que tuvieron acceso Forbidden Stories y sus socios.

Apenas unas semanas antes de ser asesinado, el teléfono celular del trabajo de Pineda fue seleccionado como objetivo de un cliente de NSO en México.

Forbidden Stories ha podido confirmar que no sólo Pineda, sino también el fiscal del estado que investigó el caso, Xavier Olea Peláez, fueron seleccionados como objetivos de Pegasus en las semanas y meses anteriores a su asesinato. Forbidden Stories no pudo analizar el teléfono de Pineda porque desapareció inmediatamente después de su muerte. Peláez no conservó su teléfono de la época, por lo que no fue posible confirmar una infección por Pegasus.

Sin embargo, el trabajo de Pineda da pistas sobre por qué su trabajo pudo haber preocupado a las autoridades mexicanas que pudieron haber tenido acceso a esta tecnología. En el momento de su selección, Pineda estaba investigando los vínculos entre el jefe del crimen local, conocido como El Tequilero, y el gobernador del estado de Guerrero, Héctor Astudillo. Amigos y familiares que hablaron con Forbidden Stories y sus socios dijeron que Pineda había recibido amenazas y había pedido ser incluido en un mecanismo federal para la protección de periodistas.

“Cecilio recibió muchas amenazas serias, pero él las minimizaba”, dijo Israel Flores, un amigo de Pineda, en una entrevista reciente. “Él siempre decía ‘no va a pasar nada’”.

A medida que Pineda seguía informando sobre los vínculos entre políticos locales y narcotraficantes, las amenazas se acercaban cada vez más a él. Unos días antes de su muerte, unos hombres en un coche blanco tomaron fotografías de su casa, dijo su madre.

El día que lo asesinaron, pasó por la casa de su madre antes de encontrarse con una amiga en un mitin político. Esa fue la última vez que ella lo vio.

“Me dijo ‘los malos no me van a matar, me conocen, son mis amigos. Si me matan será el gobierno’”, dijo su madre en una entrevista.

La esposa de Pineda, Marisol Toledo, dijo a un miembro del consorcio Forbidden Stories que al día siguiente de la muerte de Pineda recibió una llamada de un empleado del gobierno que le dijo que estaba investigando el asesinato. Nunca le hizo seguimiento.

“No sabemos qué pasó en la investigación”, dijo Toledo. “No queremos problemas. La gente con poder puede hacer lo que quiera, a quien quiera”.

El teléfono de Pineda tampoco fue encontrado, ya que había desaparecido de la escena del crimen cuando llegaron las autoridades. Pero cuando le informaron sobre el posible papel de un programa espía en el seguimiento de los movimientos de Pineda, Toledo no se sorprendió.

“Si hubieran tenido éxito, habrían sabido dónde estaba en todo momento”, dijo.