CIUDAD DE MÉXICO - Los israelíes habían venido a México para cerrar una venta importante:
El ejército mexicano estaba a punto de convertirse en el primer cliente que compraba su producto,
CIUDAD DE MÉXICO - Los israelíes habían venido a México para cerrar una venta importante:
El ejército mexicano estaba a punto de convertirse en el primer cliente que compraba su producto,
Pero antes de que pudieran cerrar el trato, estalló una discusión sobre el precio y la rapidez de entrega de la herramienta de espionaje.
Un general mexicano que supervisaba las negociaciones pidió una pausa hasta el final de la tarde, según dos personas presentes y una tercera con conocimiento de las conversaciones.
"Los recogeremos en su hotel y nos aseguraremos de que haya un mejor ambiente", recordaron que dijo el general.
Esa noche, un convoy de coches llegó al hotel de los ejecutivos israelíes y los llevó a un nuevo lugar para las fatídicas negociaciones:
un club de strip tease en el corazón de Ciudad de México.
El equipo de seguridad del general ordenó al resto de la clientela que abandonara el club, dijeron las tres personas, y las conversaciones se reanudaron.
Fue en ese oscuro cabaret de marzo de 2011, entre mujeres bailando en el escenario y chupitos de tequila, donde se puso en marcha el arma cibernética más poderosa que existe.
El programa espía, conocido como Pegasus, se ha convertido desde entonces en un sinónimo mundial del escalofriante alcance de la vigilancia estatal, una herramienta utilizada por gobiernos de Europa a Oriente Medio para piratear miles de teléfonos móviles.
Ningún lugar ha tenido más experiencia con la promesa y el peligro de esta tecnología que México, el país que inauguró su difusión por todo el mundo.
Una investigación de The New York Times basada en entrevistas, documentos y pruebas forenses de teléfonos pirateados muestra los tratos secretos que llevaron a México a convertirse en el primer cliente de Pegasus, y revela que el país se convirtió en elusuario más prolífico del programa espía más infame del mundo.
México pasó a utilizar la herramienta de vigilancia contra civiles que se enfrentaban al Estado, abusos que el país insiste en haber detenido.
Pero el Times descubrió que México ha seguido utilizando Pegasus para espiar a personas que defienden los derechos humanos, incluso en los últimos meses.
Muchas herramientas pueden infiltrarse en tu vida digital, pero Pegasus es excepcionalmente potente.
Puede infectar tu teléfono sin ninguna señal de intrusión y extraer todo lo que hay en él -cada correo electrónico, mensaje de texto, foto, cita del calendario- mientras monitoriza todo lo que haces con él, en tiempo real.
Puede grabar cada pulsación del teclado, incluso cuando se utilizan aplicaciones cifradas, y observar a través de la cámara del teléfono o escuchar a través de su micrófono, incluso si el teléfono parece estar apagado.
Se ha utilizado para luchar contra la delincuencia, ayudando a desarticular redes de abuso de menores y a detener a personajes tan conocidos como Joaquín Guzmán Loera, el capo de la droga conocido como El Chapo.
Pero también se ha desplegado ilegalmente, una y otra vez, con gobiernos que utilizan Pegasus para espiar y reprimir a defensores de los derechos humanos, defensores de la democracia, periodistas y otros ciudadanos que desafían la corrupción y los abusos.
Alarmado por el uso de Pegasus para "atacar maliciosamente" a disidentes de todo el mundo, el gobierno de Biden incluyó en 2021 en su lista negra a NSO Group, la empresa israelí que fabrica el programa espía.
Poco después, el Ministerio de Defensa de Israel -que debe aprobar la exportación de Pegasus a otras naciones- dijo que prohibiría las ventas a países donde hubiera riesgo de violaciones de los derechos humanos.
Sin embargo, a pesar de las numerosas pruebas de los abusos de Pegasus en México, el gobierno israelí no ha ordenado poner fin a su uso en México, según cuatro personas con conocimiento de los contratos para la tecnología.
Alcance
De hecho, el ejército mexicano no sólo es el cliente más antiguo de Pegasus, afirman las cuatro personas, sino que también ha atacado más teléfonos móviles con el programa espía que cualquier otra agencia gubernamental del mundo.
Y la herramienta de espionaje sigue desplegándose en el país, no sólo para combatir la delincuencia.
Después de que las revelaciones de que Pegasus se había esgrimido contra críticos del gobierno empañaran a su predecesor, el presidente Andrés Manuel López Obrador, que llegó al poder en 2018, prometió poner fin a lo que llamó el espionaje "ilegal" del pasado.
No lo hizo.
Pruebas no reveladas previamente muestran que, tan recientemente como la segunda mitad de 2022, Pegasus se infiltró en los teléfonos celulares de dos de los principales defensores de los derechos humanos del país, que proporcionan representación legal a las víctimas de una de las desapariciones masivas más notorias en la historia de México.
El ejército tiene un historial de abusos contra los derechos humanos, y su papel en la desaparición masiva ha sido objeto de investigación durante años.
Cuando el año pasado salieron a la luz nuevas acusaciones contra el ejército en el caso, los dos defensores fueron blanco de Pegasus en repetidas ocasiones, según las pruebas forenses realizadas por Citizen Lab, un grupo de vigilancia con sede en la Universidad de Toronto.
El ejército mexicano es la única entidad del país que opera actualmente con Pegasus, dijeron las cuatro personas familiarizadas con los contratos.
El Ministerio de Defensa israelí no quiso hacer comentarios.
El Ministerio de Defensa mexicano no quiso hablar del reciente pirateo, pero dijo que seguía la posición del gobierno, que afirma que la recopilación de información de inteligencia "de ninguna manera tiene por objeto" invadir la vida privada de figuras políticas, cívicas y de los medios de comunicación.
Se trata de la segunda oleada de ataques al teléfono de Santiago Aguirre, uno de los defensores de los derechos humanos. Él también había sido blanco de Pegasus durante la administración anterior, descubrió Citizen Lab.
"Este gobierno hizo tantas promesas de que las cosas serían diferentes", dijo Aguirre.
"Nuestra primera reacción fue decir:
'Esto no puede estar pasando otra vez'".
Un portavoz del presidente mexicano declinó hacer comentarios.
En un comunicado, NSO Group dijo que "se adhiere a una regulación estricta y no puede revelar la identidad de sus clientes."
La empresa cuestionó el carácter concluyente de los análisis forenses de Citizen Lab, mientras que Citizen Lab dijo que no tenía dudas sobre sus conclusiones.
Para verificar si Pegasus hackeó a los dos defensores mexicanos de los derechos humanos en los últimos meses, NSO Group dijo que necesitaría que le "dieran acceso a los datos".
Pero los defensores dijeron que no estaban dispuestos a dar al socio de espionaje del gobierno más de su información privada.
Los inicios de Pegasus en México han estado rodeados de secretismo durante mucho tiempo.
Después de la noche en el club de striptease, los ejecutivos israelíes de NSO Group, entonces una empresa incipiente, regresaron a Tel Aviv con los esbozos de su primera venta.
El siguiente paso era un contrato real.
Así que, unos meses después, un equipo de representantes de NSO regresó a México para mostrar el programa espía a algunas de las personas más poderosas del país.
El 25 de mayo de 2011, Eran Reshef, un ejecutivo israelí de la industria de defensa que ayudó a negociar el acuerdo, dijo en un correo electrónico al presidente de NSO y a sus dos fundadores que "la demostración al Secretario de Defensa y al Presidente tendrá lugar el próximo viernes", refiriéndose al presidente en ese momento, Felipe Calderón, y a su secretario de Defensa, Guillermo Galván Galván.
Una copia del correo electrónico salió a la luz en un pleito israelí por las comisiones de la venta de Pegasus a México.
Dos de las personas que asistieron a la manifestación dijeron que había tenido lugar en una extensa base militar a las afueras de Ciudad de México, donde se instalaría la primera máquina Pegasus.
Por temor a filtraciones, el ejército mexicano obligó a los ejecutivos israelíes a esperar en una pequeña habitación donde se guardaba material de limpieza para que nadie les viera antes de hacer su presentación.
Un soldado armado estaba apostado frente a la puerta.
Cuando Calderón y Galván Galván llegaron, se sentaron frente a las grandes pantallas de la pared... y vieron cómo hackeaban un teléfono, según contaron los asistentes.
Udi Doenyas, director de tecnología de NSO Group, que inventó la arquitectura Pegasus y dirigió el equipo que escribió el código de la primera versión del programa espía, confirmó que había conectado el sistema Pegasus a una pantalla y entregado un teléfono BlackBerry a altos funcionarios mexicanos.
Les pidió que lo utilizaran.
Mientras lo hacían, el teléfono no mostraba signos de estar en peligro, pero el sistema Pegasus empezó a extraer metódicamente todos los datos, transmitiéndolos a la pantalla para que todos los vieran.
Este era el superpoder del programa espía: el ataque furtivo.
Miguel Ángel Sosa, portavoz de Calderón, reconoció que el ex presidente había realizado una visita a unas instalaciones militares, donde se le "hicieron diversas presentaciones sobre las tareas" que se estaban llevando a cabo, "entre ellas la recopilación de información e inteligencia."
Pero dijo que a Calderón nunca se le informó si finalmente se compraron los programas espía, y que al ex presidente nunca se le dijo - "ni preguntó"- qué herramientas se utilizaban para capturar a los delincuentes.
En aquella época, México necesitaba desesperadamente una forma fiable de acceder a los teléfonos BlackBerry, el dispositivo preferido por los temibles cárteles de la droga del país.
Desde el inicio de su mandato en 2006, Calderón había impulsado una estrategia para hacer frente al crimen organizado, centrada en los principales líderes de los grupos.
Para localizar a los capos era necesaria una tecnología que permitiera a los espías seguir su ubicación constantemente.
Los delincuentes eran cautelosos, dijeron ex funcionarios de las fuerzas de seguridad, se movían de un lado a otro y apagaban sus teléfonos para evitar ser capturados.
"No te daba tiempo suficiente para lanzar una operación", dijo Guillermo Valdés, ex director del CISEN, que fue el equivalente de la CIA en el país, de 2007 a 2011.
"Si alguien apagaba su teléfono, ya no sabíamos dónde estaba".
Hasta ese momento, México había dependido en gran medida de Estados Unidos.
"La presión sobre el ejército para elevar su juego en términos de capacidades de inteligencia fue intensa", dijo Alejandro Hope, un ex oficial de inteligencia durante la administración de Calderón.
Uno de los posibles atractivos de Pegasus, dijo, es que dotaría a México de sus propias capacidades.
"Ya no querían depender de los estadounidenses", dijo Hope.
El ejército firmó el contrato para comprar el programa espía poco después de la demostración.
Venta
En septiembre de 2011, unos 30 empleados de la NSO, la mayoría del personal de la empresa, volaron a México para instalar Pegasus, probarlo e instruir a un equipo de unos 30 soldados y oficiales mexicanos sobre cómo manejar la tecnología, según tres personas familiarizadas con la instalación.
La unidad mexicana elegida para operarlo se llamaba Centro de Inteligencia Militar, una rama secreta del ejército de la que poco se ha hecho público.
Una vez que los mexicanos estuvieron listos para operar Pegasus por su cuenta, se celebró una breve ceremonia en diciembre como una forma de "entregar las llaves", dijeron dos de las personas.
Un documento de 2019, desenterrado en un enorme hackeo de correos electrónicos militares mexicanos el año pasado, indica que el centro de inteligencia mexicano está alojado en un complejo con forma de herradura.
Tres personas familiarizadas con él dicen que los comandantes pueden ver a través de paredes internas de cristal cómo se desarrolla la información en enormes pantallas.
En un documento de 2021, también hecho público por el hackeo, el ejército dice que uno de los principales riesgos a los que se enfrenta el centro es "que las actividades llevadas a cabo por este centro sean reveladas al público."
Pegasus fue acogido rápidamente por las autoridades mexicanas, y después de que Enrique Peña Nieto asumiera la presidencia en 2012, dos agencias gubernamentales más lo compraron:
la Procuraduría General de la República y el CISEN, según funcionarios mexicanos y tres personas con conocimiento de los contratos.
En pocos años, el software espía comenzó a infiltrarse en los teléfonos de algunos de los abogados de derechos humanos, periodistas y activistas anticorrupción más destacados de México, una vigilancia que se alejó del acuerdo con los israelíes para centrarse en delitos graves y terrorismo.
La condena no se hizo esperar dentro y fuera del país, y el escándalo persiguió a Peña Nieto durante el resto de su presidencia.
En total, México ha gastado más de 60 millones de dólares en Pegasus, según funcionarios mexicanos, citando gastos de administraciones anteriores.
El ejército mexicano ha reconocido haber tenido Pegasus sólo de 2011 a 2013.
Pero un grupo de expertos independientes que investiga la desaparición de 43 estudiantes que planeaban asistir a una protesta dijo que el ejército tenía Pegasus cuando fueron secuestrados en 2014, y que estaba espiando los teléfonos de las personas involucradas en el crimen la noche en que se desarrollaron los hechos.
No está claro por qué los militares estaban espiando, pero la inteligencia no se utilizó para ayudar a encontrar a los estudiantes, dijeron los expertos.
Después de que López Obrador asumió el cargo en 2018, disolvió la policía federal y reemplazó la agencia de espionaje mexicana con una nueva entidad.
Desde 2019 hasta hoy, sólo los militares han tenido Pegasus, dicen cuatro personas con conocimiento de los contratos.
Y durante ese tiempo, el software espía ha seguido desplegándose contra periodistas, defensores de derechos humanos y un político de la oposición, según los análisis de Citizen Lab.
Según la legislación mexicana, las entidades gubernamentales necesitan la autorización de un juez para espiar comunicaciones privadas.
Pero en revelaciones públicas, el ejército ha dicho que no ha hecho ninguna solicitud para hacer ese tipo de vigilancia en los últimos años.
Un jueves por la tarde del pasado diciembre, Aguirre recibió un correo electrónico que parecía sacado de una novela de espías.
"Apple cree que usted está en el punto de mira de atacantes patrocinados por el Estado que están tratando de comprometer remotamente el iPhone asociado a su ID de Apple", decía el mensaje, que fue revisado por el Times.
"Es probable que estos atacantes se dirijan a usted de forma individual por ser quien es o por lo que hace".
En 2021, Apple anunció que empezaría a enviar advertencias como esta a los usuarios cuyos móviles habían sido hackeados por un sofisticado software espía.
El correo electrónico continuaba diciendo que "los datos sensibles" del teléfono de Aguirre podrían estar comprometidos, "incluso la cámara y el micrófono."
Aguirre, director ejecutivo del Centro de Derechos Humanos Miguel Agustín Pro Juárez, había sido blanco de Pegasus años antes.
Se le revolvió el estómago al pensar que los espías del gobierno podían estar escudriñando toda su vida digital, desde mensajes con supervivientes de torturas hasta fotos familiares con su hija pequeña.
Entonces se dio cuenta:
Otros también podrían estar en peligro.
Corrió por el pasillo hasta el despacho de María Luisa Aguilar, la principal defensora del trabajo internacional del grupo.
Ella había recibido el mismo correo electrónico.
Los dos defensores se pusieron en contacto con el grupo mexicano de derechos digitales conocido como R3D, que hizo analizar los datos de sus teléfonos por Citizen Lab.
Este grupo confirmó que Pegasus había pirateado sus teléfonos varias veces entre junio y septiembre de 2022.
"A los ojos de las fuerzas armadas, representamos un riesgo", dijo Aguilar.
"No quieren perder el poder que han acumulado".
c.2023 The New York Times Company
Mirá también
América Latina: así es como las democracias colapsan
