El 8 de julio de 2016, Alejandro Calvillo, director de El Poder del Consumidor, recibió un SMS notificándole que el padre de un amigo acababa de fallecer. Adjunto a las palabras, se encontraba un enlace. Dos días después, el 11 de julio, Calvillo recibió otro; esta vez, el mensaje le alertaba sobre una supuesta aparición suya en el semanario Proceso.

Alejandro no fue el único en recibir estos mensajes. El mismo 11 de julio, el Dr. Simón Barquera, investigador del Instituto Nacional de Salud Pública, recibió uno diciéndole que la PGR había abierto una investigación a empleados de una clínica por negligencia y actos ilícitos. El 12 de julio, a Luis Encarnación, director de la coalición ContraPESO, también le llegó un mensaje similar.

Todos los SMS tenían una constante: incluían un enlace al final. Igualmente, todas las personas que los recibieron tenían algo en común: había propuesto el impuesto a bebidas azucaradas en 2014 y, el 29 de junio de 2016 –una semana antes de la aparición de los mensajes–, habían dado una conferencia de prensa sobre lanzar una campaña para aumentar dicho gravamen y pedir rendición de cuentas sobre cómo se estaba usando el dinero recaudado.

Los mensajes se parecían mucho a unos identificados previamente por el Citizen Lab de la Universidad de Toronto como vectores de infección del malware Pegasus, comercializado por la firma NSO Group a los gobiernos del mundo, incluido el mexicano, para labores de espionaje. Algunos enlaces, incluso, presentaban un dominio vinculado con la infraestructura de dicho software malicioso.

De haber hecho clic en los mensajes, un programa se habría instalado inadvertidamente en los teléfonos móviles de los objetivos, brindándole acceso a los atacantes a todos los archivos guardados en el dispositivo, así como capacidades para utilizar la cámara, el micrófono, el GPS, entre otros.

Por ese motivo, en agosto de 2016, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, a través de Access Now, contactaron al Citizen Lab y a Amnistía Internacional acerca de los mensajes recibidos por Barquera, Calvillo y Encarnación. La investigación dio como resultado el informe Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links, publicado el 11 de febrero de 2017, donde se detalla cómo el malware de NSO ha sido empleado para el espionaje de estos activistas. El caso también se encuentra documentado en el reportaje Restricted Spyware Used to Hack Advocates of Mexico’s Soda Tax, publicado el mismo día en The New York Times.

¿Qué es Pegasus y cómo funciona?

El 24 de agosto de 2016, el Citizen Lab de la Universidad de Toronto lanzó el informe The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender. En dicho documento, los investigadores detallan el funcionamiento de Pegasus, y su uso en contra de Ahmed Mansoor, defensor de derechos humanos radicado en los Emiratos Árabes Unidos.

Mansoor había recibido mensajes de texto que supuestamente contenían “secretos” sobre los detenidos torturados en las cárceles de EAU. Dicha información podía ser consultada al hacer clic en un enlace. En lugar de acceder a la liga, Mansoor envió los mensajes de texto al Citizen Lab. Los investigadores reconocieron que los enlaces estaban relacionados con la infraestructura de NSO Group, una empresa de software de espionaje que comercializa Pegasus, un spyware de “intercepción legal” para gobiernos.

Los investigadores del Citizen Lab sospecharon que la infección se daba al hacer clic en el enlace enviado al objetivo, en cual dirigía hacia uno de los dominios de la infraestructura de NSO Group. Para comprobar esta hipótesis, los investigadores utilizaron un iPhone 5 nuevo con la misma versión de sistema operativo que el celular de Mansoor (iOS 9.3.3). Ingresaron manualmente la dirección URL proporcionada a Mansoor en el SMS en el navegador Safari. Al acceder el enlace, apareció una página en blanco y, posteriormente, el navegador se cerró. Mientras tanto, descubrieron que un software desconocido fue implantado en el dispositivo.

El Citizen Lab descubrió que Pegasus explotaba una vulnerabilidad de seguridad inédita (zero-day exploit) en el sistema operativo iOS, bautizada como Trident. A través de esta infección, se hacía jailbreak al dispositivo y se instalaba un sofisticado software que habría permitido al atacante tomar control de diferentes funciones y acceder a los contenidos del aparato. Entre los permisos adquiridos, se encuentran:

– Acceso a la información guardada en el dispositivo como: archivos, datos del calendario, listas de contactos, contraseñas, entre otros.
– Acceso a mensajes de texto, así como datos de otras aplicaciones como Gmail, WhatsApp, Skype, Facebook, Telegram.
– Acceso a escuchar llamadas realizadas por teléfono, a través de WhatsApp o Viber.
– Permisos para grabar activa o pasivamente utilizando el micrófono y la cámara del dispositivo.

Para que el objetivo haga clic en el enlace, el atacante debe asegurarse de engañar al objetivo. En la infraestructura de NSO Group, los dominios que pertenecen a esta buscan suplantar a otros sitios legítimos como medios de comunicación, servicios de telecomunicaciones, redes sociales, portales de gobierno, organizaciones humanitarias, aerolíneas, entre otros.

Los investigadores del Citizen Lab hallaron que, dentro de los dominios identificados dentro de la infraestructura de NSO Group, la mayoría refieren a México y los Emiratos Árabes Unidos. Entre los dominios con algún vínculo a sitios web en México se encontraron, entre otros:

Unonoticias.net
Univision.click
Iusacell-movil.com.mx
Y0utube.com.mx
Fb-accounts.com
Googleplay-store.com
Whatsapp-app.com

Dicho informe también citó el caso del periodista Rafael Cabrera, uno de los responsables de la investigación periodística de la Casa Blanca de Enrique Peña Nieto, quien recibió varios mensajes asociados con la infraestructura de NSO en agosto de 2015. El modus operandi, como se verá más adelante, es muy similar al de los casos de Barquera, Calvillo y Encarnación.

Los mensajes de texto

Entre el 8 de julio y el 17 de agosto de 2016, se reportaron 12 mensajes de texto enviados a los activistas:

Dichos mensajes, señala Citizen Lab, hacen uso de la ingeniería social para aumentar las posibilidades de que los objetivos sean engañados. De acuerdo con los investigadores, los mensajes “deben estar diseñados para aparentar ser urgentes, importantes, molestos o intrigantes para los objetivos”, de modo que sean convencidos para hacer clic en los enlaces.

Tal como se documenta en los mensajes, en el caso del Dr. Barquera, es posible ver una escalada en el tono, volviéndose los SMS cada vez más personales y agresivos. Por ejemplo, los mensajes del 14 de julio y el 11 de agosto están relacionados con temas de una supuesta infidelidad; en el del 15 de agosto, se le menciona en un caso de corrupción, mientras que en el del 17, incluso se le intenta engañar con un supuesto accidente de su hija.

Citizen Lab sugiere que el volumen de mensajes hacia Barquera (9 de los 12 SMS enviados) indica que el dispositivo no fue comprometido o que los atacantes no podían mantener una conexión estable. En el caso de los otros blancos, el reportaje del NYT menciona que Luis Encarnación hizo clic en uno de los enlaces, y que fue “ominosamente redirigido a Gayosso, el servicio funerario más grande de México”. Como se puede observar, Barquera fue el blanco más recurrente:

Así mismo, los dominios de los enlaces incluidos en los SMS estaba vinculados a dos sitios relacionados con la infraestructura de NSO: smsmensaje[.]mx y unonoticias[.]net; este último, mencionado también en el reporte de Citizen Lab sobre Mansoor.

La responsabilidad del gobierno

Finalmente, el Citizen Lab asocia este ataque con el gobierno mexicano por algunas razones simples:

1. Solamente un gobierno puede adquirir el malware de NSO Group.
2. Está documentado que el gobierno de México es cliente de NSO Group.
3. La misma infraestructura usada para espiar a los activistas pro impuesto al refresco fue usada en contra del periodista Rafael Cabrera.

Así mismo, como ha señalado previamente R3D en su informe El Estado de la Vigilancia, existen varios indicios de la adquisición de equipo de NSO Group para parte de distintas instancias del gobierno de México, tales como la Secretaría de la Defensa Nacional, la Procuraduría General de la República y el Centro de Investigación y Seguridad Nacional.

Por ejemplo, de acuerdo con los correos filtrados de Hacking Team, el ingeniero Sergio Rodríguez-Solís reportó que, en una visita hecha al CISEN el 15 de enero de 2014 [112], “ellos explicaron que había probado por sí mismos un sistema de infección ‘manos libres’ para teléfonos móviles que funcionaba en hasta 80% de los dispositivos que probaron, incluyendo Android, BB, iOS y Symbian. Se quejaron de por qué nosotros no tenemos vectores de infección que no requieren de la interacción del usuario como NSO tiene.”

En la misma comunicación, Rodríguez-Solís relata un encuentro con la SEDENA, en el que indica que “está dividida en cuatro grupos”. El ingeniero menciona que todos los equipos están en conflicto y que “tienen NSO para móviles y están ‘enamorados’ de ello”. Igual apunta que el precio de venta de NSO comienza en 18 millones, por lo que “deben ser muy cuidadosos en explicar por qué tanta diferencia” respecto a los precios de Hacking Team.

De igual manera, un reportaje del portal Contralínea, publicado el 22 de julio de 2012 y escrito por Zósimo Camacho, señala que ocho contratos celebrados entre la Secretaría de la Defensa Nacional (SEDENA) y la empresa Security Tracking S.A. de C.V. estaban bajo investigación por parte de la Secretaría de la Función Pública, la Auditoría Superior de la Federación y la Inspección y Contraloría General del Ejército y Fuerza Aérea.

De acuerdo con el reportaje, “el Ejército Mexicano y la Fuerza Aérea Mexicana construyeron un Sistema de Inteligencia Regional para modernizar el Centro de Comando y Control, sus subcentros y módulos, y construir la Plataforma Pegasus.” Tres contratos sobre la adquisición del sistema Pegasus por parte de la SEDENA fueron publicados el 16 de julio de 2012 por el portal Aristegui Noticias.

Sobre la PGR, el periódico Reforma publicó el 12 de septiembre de 2016 una nota en la que señalan que el gobierno mexicano pagó 15 millones de dólares por el sistema Pegasus, adquirido por el entonces fiscal Jesús Murillo Karam en 2014 y 2015. La afirmación coincide con una supuesta puja entre Hacking Team y NSO Group mencionada en uno de los correos filtrados de Hacking Team, fechado al 26 de agosto de 2014.

Conclusión

La evidencia presentada permite concluir lo siguiente:

♦ El Dr. Simón Barquera, investigador del Instituto Nacional de Salud Pública; Alejandro Calvillo, director de El Poder del Consumidor; y Luis Encarnación, coordinador de la Coalición ContraPESO, recibieron ataques informáticos vinculados con el malware de vigilancia Pegasus, comercializado por la empresa israelí NSO Group.
♦ Las tres víctimas recibieron ataques similares en método y fueron recibidos en fechas en las que su trabajo y activismo a favor de la salud pública, en particular la promoción del impuesto a las bebidas azucaradas, era notorio.
♦ El malware de vigilancia Pegasus se comercializa exclusivamente a gobiernos.
♦ Existe evidencia que apunta a que al menos la Secretaría de la Defensa Nacional (SEDENA), la Procuraduría General de la República (PGR) y el Centro de Investigación y Seguridad Nacional (CISEN) han adquirido licencias de uso del malware comercializado por NSO Group.

Derivado de estas conclusiones, resulta indispensable y urgente la apertura de una investigación seria e imparcial que permita identificar y sancionar a los responsables de la vigilancia ilegal documentada.

La vigilancia contra científicos y defensores de derechos humanos es inaceptable y agravia a toda la sociedad. Resultaría particularmente insultante que las capacidades del Estado sean puestas al servicio de la industria para atacar a aquellos que desde el propio Estado y desde la sociedad civil trabajan en favor de la salud de las y los mexicanos.

En R3D seguiremos trabajando en conjunto con organizaciones nacionales e internacionales para documentar y exigir por todas las vías posibles el cese de la vigilancia ilegal en México así como la investigación y sanción de los responsables. No permitiremos que continúe la impunidad de la vigilancia.

Agradecimientos

La documentación e investigación de los casos presentados ha sido posible gracias a una colaboración entre SocialTIC, Access Now, Citizen Lab, Amnistía Internacional y R3D, así como el valor y paciencia de Luis Manuel Encarnación, el Dr. Simón Barquera, Alejandro Calvillo y el equipo de El Poder del Consumidor.

Contacto para prensa:

Carlos Brito
brito@r3d.mx
Cel: 5534874799