El 19 de junio de 2017, la portada de The New York Times amanecía con la noticia, en primera plana, de que un grupo de periodistas, personas defensoras de derechos humanos y activistas había sido atacadas con el malware Pegasus, adquirido por el gobierno mexicano. Ese día, México conoció el caso #GobiernoEspía.

Desde su irrupción en la escena pública hace dos años, han ido apareciendo más y más víctimas de una campaña sistemática de espionaje en contra de la sociedad civil. Desde el Grupo Interdisciplinario de Expertos y Expertas Independientes (GIEI) hasta los colaboradores más cercanos del periodista Javier Valdez, los perfiles de las personas atacadas se vinculan con los momentos más críticos de la administración encabezada por el expresidente Enrique Peña Nieto.

En dos años, también hemos sido testigos de la inamovilidad y negligencia de la entonces Procuraduría General de la República para investigar la denuncia penal, la indiferencia de la empresa israelí NSO Group para colaborar con las indagatorias, así como los atisbos de cambio a partir de la creación de la Fiscalía General de la República (FGR) y las acciones del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Mucho ha pasado desde ese 19 de junio de 2017. Por esa razón, hemos elaborado esta cronología, no solo para recordar los acontecimientos pasados, sino para no olvidar que el caso #GobiernoEspía sigue vivo, vigente e impune, a la espera de que las personas responsables sean llevadas ante la justicia y que el gobierno mexicano tome las medidas necesarias para evitar que esto se repita.

2016

📋 26 de agosto de 2016: El Citizen Lab de la Universidad de Toronto publica el informe The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender. En dicho documento, los investigadores detallan el funcionamiento del malware Pegasus y su uso en contra de Ahmed Mansoor, defensor de derechos humanos radicado en los Emiratos Árabes Unidos.

🇲🇽 El informe también cita el caso del periodista Rafael Cabrera, uno de los responsables de la investigación periodística de la Casa Blanca de Enrique Peña Nieto, quien recibió varios mensajes asociados con la infraestructura de Pegasus en agosto de 2015.

2017

📲👁‍🗨 11 de febrero de 2017: R3D: Red en Defensa de los Derechos Digitales y SocialTIC, en colaboración con Access Now, el Citizen Lab de la Universidad de Toronto y Amnistía Internacional, denuncian el uso de Pegasus en contra de dos activistas y un científico promotores del impuesto a bebidas azucaradas en México. La noticia también es retomada por The New York Times.

📲👁‍🗨 19 de junio de 2017: The New York Times publica un reportaje en primera plana acerca de varios intentos de espionaje en contra de periodistas, activistas y personas defensoras de derechos humanos.

📣 Las organizaciones Artículo 19: Oficina para México y Centroamérica, R3D y SocialTIC, en colaboración con el Citizen Lab, presentan un informe que detalla 76 ataques con Pegasus en contra de 12 diferentes objetivos: Mario Patrón, Stephanie Brewer y Santiago Aguirre, del Centro de Derechos Humanos Miguel Agustín Pro Juárez; el periodista Carlos Loret de Mola; Juan Pardinas y Alexandra Zapata, del Instituto Mexicano para la Competitividad; Salvador Camarena y Daniel Lizárraga, de Mexicanos contra la Corrupción y la Impunidad; y Carmen Aristegui, Rafael Cabrera y Sebastián Barragán, de Aristegui Noticias; y Emilio Aristegui, hijo de Carmen.

⚖️ El mismo día, las personas afectadas presentaron una denuncia ante la Procuraduría General de la República, además de solicitar medidas cautelares a la Comisión Nacional de los Derechos Humanos (CNDH).

😡 Eduardo Sánchez, vocero de la Presidencia, respondió a The New York Times que “no hay prueba alguna de que agencias del gobierno mexicano sean responsables del supuesto espionaje”.

⚠️ 22 de junio de 2017: El entonces presidente Enrique Peña Nieto se refiere por primera vez públicamente al caso Gobierno Espía durante una gira en Lagos de Moreno, Jalisco. Aunque el exmandatario aceptó que el gobierno contaba con Pegasus, también descalificó los señalamientos y amenazó a las personas denunciantes.

💰 29 de junio de 2017: Milenio y Televisa Noticias dan a conocer el contrato de adquisición de Pegasus por parte de la PGR, suscrito en octubre de 2014. La compra se hizo a través de la empresa intermediaria Grupo Tech Bull.

🗞 3 de julio de 2017: Una investigación de Aristegui Noticias hace público el anexo técnico del contrato de la PGR, confirmando que se adquirieron licencias de Pegasus para realizar hasta 500 infecciones por 32 millones de dólares.

📣 6 de julio de 2017: Durante la audiencia “Justicia e impunidad en México”, celebrada en el 163 periodo de sesiones de la Comisión Interamericana de Derechos Humanos, un grupo de organizaciones de la sociedad civil denunciamos el uso del malware Pegasus en México.

📲👁‍🗨 10 de julio de 2017: Un nuevo informe del Citizen Lab muestra que un teléfono del Grupo Interdisciplinario de Expertos y Expertas Internacionales (GIEI) fue atacado con Pegasus. Los ataques ocurrieron después de que el grupo denunció que la PGR estaba entorpeciendo la investigación sobre el caso Ayotzinapa.

🔍 19 de julio de 2017: Cuatro relatores de la Organización de las Naciones Unidas solicitan al gobierno mexicano que se realice una investigación independiente e imparcial sobre el uso de Pegasus en contra de defensores de derechos humanos y periodistas.

🗞 28 de julio de 2017: Mexicanos contra la Corrupción y la Impunidad publica un reportaje en el que revela que la intermediaria Grupo Tech Bull fue creada ex profeso para realizar la venta de Pegasus a la PGR, utilizando prestanombres para constituir la empresa.

📬 1 de agosto de 2017: Organizaciones de la sociedad civil –entre ellas, R3D– envían una carta a la mesa directiva de Blackstone Group para solicitarle que se abstenga de realizar cualquier inversión en NSO Group hasta que la empresa asuma una serie de compromisos.

📲👁‍🗨 2 de agosto de 2017: Un análisis del Citizen Lab confirma que los defensores de derechos humanos Karla Micheel Salas y David Peña, representantes legales de los familiares de las víctimas del caso Narvarte, recibieron mensajes vinculados a Pegasus entre septiembre y octubre de 2015. Los mensajes fueron enviados a sitios de la infraestructura de Pegasus utilizados en ataques previos. Dos mensajes salieron de un número de teléfono usado anteriormente en otros intentos de infección.

💸 16 de agosto de 2017: La firma Blackstone Group desiste de adquirir una parte de la empresa israelí NSO Group, tras protestas por el uso ilegal que el gobierno mexicano ha hecho del malware Pegasus.

📲👁‍🗨 30 de agosto de 2017: Otro nuevo caso aparece: Claudio X. González, director de la organización Mexicanos Contra la Corrupción y la Impunidad (MCCI), recibió dos mensajes con enlaces maliciosos a Pegasus entre julio y agosto de 2016. En febrero de 2017, las autoridades fiscales mexicanas emprendieron nueve auditorías contra cinco organizaciones vinculadas con Claudio X. González, presuntamente para evitar posibles actos de lavado de dinero a través de donaciones. Esto fue percibido por González como parte de una campaña de intimidación por su trabajo en temas anticorrupción.

⛔️ 12 de octubre de 2017: R3D solicita a la PGR acceso a toda la documentación relacionada con la adquisición de cualquier software, licencia o herramienta tecnológica desarrollado por la firma NSO Group –o cualquiera de sus filiales y/o subsidiarias–, incluyendo los contratos correspondientes. La PGR responde clasificando la información bajo un supuesto riesgo a la seguridad nacional.

🔍 7 de diciembre de 2017: En el contexto de su visita conjunta al país, los relatores para la libertad de expresión de la Organización de las Naciones Unidas (ONU) y la Comisión Interamericana de Derechos Humanos (CIDH) señalaron su preocupación por la falta de independencia de la PGR para investigar el caso.

2018

📝 12 de febrero de 2018: El relator de la ONU sobre la situación de las personas defensoras de los derechos humanos presenta su informe tras su visita a México; reitera su llamado a que se realice una investigación independiente respecto de los ataques con el malware Pegasus.

🗞 20 de febrero de 2018: The New York Times publica un reportaje acerca de los nulos avances de la Procuraduría General de la República para esclarecer el caso. El diario señala que la PGR mintió al afirmar que se encontraba en contacto permanente con el Citizen Lab, además de revelar que el FBI declinó colaborar en la investigación por considerarla “una fachada”.

📣 28 de febrero de 2018: Durante la audiencia “Inteligencia digital, ciberseguridad y libertad de expresión en América”, celebrada durante el 167 periodo de sesiones de la Comisión Interamericana de Derechos Humanos, R3D acusó la falta de capacidad y voluntad política de la Procuraduría General de la República (PGR) para investigar el caso.

✊ 22 de marzo de 2018: Las organizaciones R3D, El Poder del Consumidor, ContraPESO y SocialTIC protestan en las instalaciones de la PGR para exigir resultados de la investigación sobre el espionaje en contra de activistas por el derecho a la salud, denunciado un año antes.

😐 11 de abril de 2018: El INAI ordena a la PGR entregar una versión pública del contrato con Grupo Tech Bull, sin embargo, le permite mantener reservados datos relevantes como nombres y puestos de quienes suscribieron el contrato, así como la información técnica relacionada con el equipo de vigilancia, favoreciendo la opacidad.

⚖️ 28 de mayo de 2018: Un Juez de Distrito de la Ciudad de México resuelve una impugnación presentada por las víctimas de Pegasus y le ordena a la PGR admitir pruebas y realizar diligencias que había negado injustificadamente.

🔍 18 de junio de 2018: El informe de los relatores de libertad de expresión de ONU y CIDH tras su visita a México recomienda al gobierno garantizar una investigación independiente y establecer un marco legal que instaure controles democráticos a la vigilancia.

⏳ 19 de junio de 2018: Se cumple un año de impunidad del caso.

💬 17 de julio de 2018: El entonces presidente electo Andrés Manuel López Obrador declara que, en su mandato, se terminará el espionaje gubernamental y “se cancelará toda labor de espionaje o intervención telefónica que afecte el derecho a la privacidad de las personas”.

⚖️ 31 de agosto de 2018: Defensores de derechos humanos, periodistas y activistas mexicanos se suman a un par de demandas en Chipre e Israel en contra de NSO Group, empresa que comercializa Pegasus, por su negligencia frente a los abusos cometidos por el gobierno de México.

👾 21 de septiembre de 2018: Un reporte del Citizen Lab señala que al menos tres operadores del malware Pegasus han estado recientemente activos en México, en junio de 2018, y que habría posiblemente 17 infecciones aún vigentes en el país.

🤖 La investigación sugiere que, a pesar de la exposición pública y denuncia judicial del caso Gobierno Espía, las operaciones de Pegasus no fueron suspendidas, salvo por un breve periodo en 2017 en que la infraestructura fue parcialmente desactivada y posteriormente complementada por nuevos servidores.

🕵️‍♂️ 24 de noviembre de 2018: El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) inicia un proceso de verificación en contra de la PGR por el uso del malware Pegasus para recolectar y tratar datos personales.

📲👁‍🗨 27 de noviembre de 2018: Un nuevo informe del Citizen Lab revela que los periodistas Andrés Villarreal e Ismael Bojórquez, del semanario Ríodoce, recibieron ataques con Pegasus en mayo de 2017. Los intentos de espionaje se dieron 10 días después del asesinato de su colega Javier Valdez.

🤔 Además, estos ataques se produjeron de forma posterior a la denuncia pública en el NYT sobre el uso de Pegasus en contra de activistas por el derecho a la salud (febrero de 2017), lo que indica que el gobierno mexicano siguió usando Pegasus a pesar de los señalamientos.

📂 20 de diciembre de 2018: R3D gana un amparo para que los documentos relacionados con la adquisición de Pegasus, así como sus especificaciones técnicas y procedimientos de operación, sean considerados como información pública.

2019

💰 14 de febrero de 2019: La firma Francisco Partners, dueña mayoritaria de NSO Group, vende su participación al grupo de inversionistas Novalpina Capital. Los escándalos que envuelven a la empresa complican que los bancos que financiaron la operación encuentren compradores.

📣 18 de febrero de 2019: A través de una carta conjunta con otras organizaciones, R3D exige a Novalpina Group, nuevo socio mayoritario de NSO Group, que se comprometa a involucrarse con investigaciones relevantes acerca de los abusos de Pegasus en México.

👏 20 de febrero de 2019: El INAI determina que la PGR violó a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados con el uso de Pegasus, al no cumplir con sus deberes de seguridad y el principio de responsabilidad.

🤥 El INAI reveló que la PGR había ocultado dos contratos de renovación de licencia del software, correspondientes a 2016 y 2017. La fiscalía sostuvo que Pegasus nunca fue utilizado, por lo que el INAI solicitó que se expongan los motivos por los que se erogaron más de 100 millones de pesos en renovar un sistema que supuestamente no se utilizó.

😱 La FGR también informó al INAI que Pegasus había sido desinstalado de los equipos desde donde se operaba, sin explicar las razones por las que fue removido ni las fechas en que fue retirado, lo que podría constituir delitos como la destrucción de evidencia y el entorpecimiento de la investigación penal.

📲👁‍🗨 20 de marzo de 2019: Se revela que Griselda Triana, viuda del periodista Javier Valdez, también fue atacada con Pegasus en los días posteriores al asesinato de su pareja, en mayo de 2017.

💬 3 de abril de 2019: En un foro entre gobierno, expertos y sociedad civil, Irma Eréndira Sandoval, titular de la Secretaría de la Función Pública, reitera que el gobierno federal está comprometido con el combate a la vigilancia ilegal y señaló que su dependencia “coordinará todos los esfuerzos necesarios para terminar con el Gobierno Espía”.

☣️ 14 de mayo de 2019: El equipo de WhatsApp descubre que una vulnerabilidad en su software fue explotada por Pegasus para infectar equipos sin necesidad de que la persona atacada dé clic en un enlace. Uno de los objetivos de esta nueva técnica fue un abogado que litiga contra NSO Group ante los tribunales de Israel.

⏳ 19 de junio de 2019: Se cumplen dos años de las revelaciones del informe Gobierno Espía. Las víctimas conocidas de los ataques con Pegasus superan la veintena de periodistas, activistas y personas defensoras de derechos humanos. El caso sigue impune.