“Sí, sí hackearon mi teléfono”, admitió la presidenta Claudia Sheinbaum en la conferencia matutina del 17 de marzo de 2025, un par de días después de que el diario The New York Times expuso el suceso. Sheinbaum reveló también que Apple le habría alertado del ataque, el cual minimizó entre risas.
El espionaje de la jefa del Estado mexicano no es un tema menor ni un asunto privado. No debe tomarse a broma la posibilidad de que algún actor –estatal o no estatal, extranjero o nacional– haya tenido acceso a información que pudiese comprometer el interés nacional o que haga vulnerable a la presidenta al chantaje y la extorsión.
Este incidente no puede desestimarse frente a los antecedentes de espionaje militar en contra de periodistas, personas defensoras de derechos humanos e incluso funcionarios públicos vinculados a investigaciones sobre abusos militares; mucho menos, cuando el país se encuentra en medio de negociaciones delicadas ante un gobierno hostil como el de Trump.
El hackeo al teléfono de la presidenta amerita una investigación seria y una comunicación clara y transparente. No hay información sobre qué información pudo haber sido comprometida, cuándo sucedió el ataque, con qué tecnologías pudo haber sido efectuado o quiénes son los sospechosos de haber perpetrado el hackeo. La presidenta únicamente mencionó que “era un teléfono que conocía todo mundo (…) que ya no uso para mi comunicación más personal”, como si eso le restara seriedad al incidente.
¿Qué podemos saber de este hackeo?
A pesar de la escasa información proporcionada, de las afirmaciones de la presidenta es posible explorar varios escenarios plausibles para dimensionar la gravedad del caso. En el pasado, Apple ha enviado notificaciones a personas usuarias cuando tiene indicios de que habrían sido objetivo de “atacantes patrocinados por el Estado”. Estas notificaciones suelen enviarse a los teléfonos y a las cuentas de correo asociadas a un Apple ID, lo cual podría haber suscitado la percepción —probablemente errónea— de que tanto el teléfono como el correo de la presidenta fueron hackeados.
La inmensa mayoría de estas notificaciones de Apple se han referido a ataques con el spyware Pegasus, desarrollado por la empresa israelí NSO Group. Este programa fue adquirido durante el gobierno de Felipe Calderón y se ha documentado ampliamente su uso en contra de decenas de periodistas, personas defensoras de derechos humanos, activistas y funcionarios públicos, tanto en el gobierno de Enrique Peña Nieto como en el de Andrés Manuel López Obrador. Estos casos permanecen en la absoluta impunidad, en gran parte, porque comprometen al intocable Ejército mexico, usuario transexenal de Pegasus.
Apple únicamente envía una notificación de hackeo –como la que cita la presidenta Sheinbaum– cuando se trata de un ataque perpetrado con tecnologías altamente sofisticadas y con capacidades sumamente intrusivas, como Pegasus. Esto significaría que el dispositivo resultó comprometido de manera significativa, por lo que el atacante habría tenido acceso no solo a llamadas o correos electrónicos, sino a chats, contactos, fotos, calendario, historial de búsquedas, geolocalización, e incluso, pudo haberse activado el micrófono y cámara de manera oculta para registrar conversaciones sucedidas en presencia del teléfono de la presidenta.
Otras afirmaciones sobre el incidente revelan un desconocimiento sobre la naturaleza del ataque por parte de quienes la asesoran. La presidenta afirmó que el teléfono hackeado fue un regalo que recibió en 2008. Un iPhone de ese año (iPhone 3G, por ejemplo) carece de cualquier funcionalidad que sea relevante en la actualidad, por lo que resulta inverosímil que Apple haya enviado una notificación sobre ese dispositivo.
Como se ha mencionado, Apple avisa de estos ataques respecto de un dispositivo que se encuentre asociado a un ID de Apple. Si, por ejemplo, la presidenta cambió de teléfono a lo largo de los años, pero conservó el mismo ID (vinculado a su cuenta de correo “muy, muy antigua”, como menciona), entonces la notificación no sería sobre el teléfono de 2008, sino probablemente uno más actual.
Por supuesto, no es posible saber qué dispositivo habría sido infectado con la información presentada por Sheinbaum. Para ello, sería necesario hacer un análisis forense de cualquier dispositivo asociado al Apple ID al que refiere la notificación de Apple, como los que ha producido el Citizen Lab de la Universidad de Toronto, los expertos más reconocidos internacionalmente en la materia. Sería altamente recomendable que la Presidencia y la Agencia de Transformación Digital busquen la asesoría de Citizen Lab, cuyo trabajo ha contribuido significativamente a investigaciones sobre el uso de Pegasus en contra de funcionarios públicos.
Los dichos de la presidenta sobre este hackeo llevan a pensar que no cuenta con información veraz y precisa sobre el espionaje del que ha sido objeto. Resulta cuestionable que el propio gobierno tenga la expertise necesaria para conducir el adecuado análisis del dispositivo, o incluso encontrarse en un conflicto de interés. Ya sea por ignorancia o por mala fe, las inconsistencias de su discurso muestran que es posible que se encuentre mal asesorada sobre las implicaciones de haber recibido la notificación de Apple.
¿Quiénes podrían estar detrás de este hackeo?
Establecer con certeza, a través de un análisis forense independiente, qué tecnología fue utilizada en contra de la presidenta Sheinbaum y en qué fechas fue espiada ayudaría a indagar sobre la atribución del ataque. Por ejemplo, si se tratase de Pegasus, el Ejército mexicano sería uno de los principales sospechosos. Múltiples reportes y evidencia indican que la Secretaría de la Defensa era el único operador de Pegasus en México durante el sexenio de López Obrador y cuenta con antecedentes de espiar a periodistas, personas defensoras de derechos humanos, e incluso a funcionarios públicos del propio gobierno obradorista.
De ser el caso, una investigación seria implicaría tener acceso a los registros de auditoría del sistema Pegasus operado por el Ejército, lo cual requeriría la cooperación de las Fuerzas Armadas –o en su defecto, de la empresa desarrolladora del spyware, quién tiene la posibilidad de obtener dicho registro de auditoría–. Esto supondría igualmente cuestionar a los altos mandos militares sobre el espionaje ilegal con Pegasus que ha sido denunciado desde 2022 y cuya investigación ha sido sistemáticamente saboteada.
Una indagatoria realizada con la debida seriedad también conllevaría hacer gestiones diplomáticas ante gobiernos como el de Israel, el cual regula y autoriza de manera estricta la comercialización de herramientas como Pegasus. Por ejemplo, cada licencia de este tipo de tecnología es aprobada por el Ministerio de Defensa de dicho país, por lo que identificar qué actores poseen una determinada herramienta no es imposible. Sin embargo, este tipo de cooperación también podría exponer los abusos de gobiernos pasados, incluyendo el de López Obrador que, a pesar de la evidencia abrumadora, siguió negando públicamente que el Ejército tuviera licencias de Pegasus durante su administración.
La falta de cooperación por parte de gobiernos como el de Israel en el esclarecimiento de los abusos cometidos con tecnologías que regula y supervisa –además del genocidio que ocurre en territorio palestino– debería tener consecuencias diplomáticas y comerciales por parte de México. Sin embargo, el gobierno mexicano parece no sentirse incómodo con la falta de transparencia y colaboración para combatir el sucio negocio de las tecnologías de vigilancia israelí, cuyos contratos plagados de corrupción han implicado a numerosos funcionarios, como los casos del Genaro García Luna y Tomás Zerón de Lucio.
Por otro lado, ante la hostilidad del gobierno de los Estados Unidos hacia México, sería natural considerarlo como potencial sospechoso del ataque. No obstante, el escenario es poco probable. Las alertas de Apple por ataques con spyware no ocurren en tiempo real, sino que suelen realizarse varios meses —o hasta años— después de que los ataques tuvieron lugar, por lo que el incidente detectado difícilmente habría ocurrido durante la más reciente administración de Donald Trump.
Resulta también improbable que el ataque tuviera origen en el gobierno de los Estados Unidos durante la administración de Joe Biden, dados los esfuerzos que su administración emprendió para evitar la proliferación del spyware comercial y las sanciones que su gobierno impuso a NSO Group, empresa desarrolladora de Pegasus.
Aún si las fechas de ataque fueran recientes, tampoco es probable que el gobierno de Trump utilice spyware comercial para atacar un jefe de Estado extranjero, debido a las capacidades avanzadas de la Agencia de Seguridad Nacional (NSA). El spyware comercial suele reservarse a gobiernos o entes gubernamentales cuyos aparatos de inteligencia no son tan sofisticados como el estadounidense. Sin embargo, esa hipótesis tampoco puede descartarse del todo ante la evidencia de que el gobierno de EE.UU. adquirió recientemente spyware de la empresa israelí Paragon a través de la agencia de migración y aduanas (ICE).
Las contradicciones del gobierno mexicano sobre el ciberespionaje
Ante la gravedad de las implicaciones, que la presidenta haya sido potencialmente víctima del spyware comercial debería ser suficiente para emprender una investigación seria, profesional y exhaustiva sobre los hechos y comunicar al público sus avances. No obstante, este es un camino improbable, ante la posibilidad de que la averiguación implique directa o indirectamente al Ejército y al gobierno de López Obrador, que encubrió el espionaje militar ilegal llevado a cabo por el Centro Militar de Inteligencia.
Paradójicamente, un gobierno que hoy se dice preocupado por el ciberespionaje ha financiado activamente a la propia industria que vive de debilitar la ciberseguridad. Por más de dos décadas, miles de millones de pesos han nutrido a empresas cuya misión es hacer que los sistemas informáticos de los que dependen nuestras sociedades sean más vulnerables.
Peor aún, este gobierno ha utilizado la retórica de la ciberseguridad para promover iniciativas que fortalecen la infraestructura autoritaria de vigilancia del Estado sobre la población al construir una mega base de datos centralizada de datos biométricos, telefónicos, fiscales, bancarios, vehiculares, entre otros para vigilar masivamente a toda la población; al mismo tiempo que desmantela las estructuras de transparencia y protección de datos personales.
Ante este escenario, no existen perspectivas alentadoras de que exista un compromiso por regular y controlar los sistemas de vigilancia en México ni de combatir la vigilancia ilegal que sistemáticamente se ha demostrado que persiste en México. Ahora que el hackeo ha llegado a la instancia más alta del poder público, la presidenta Sheinbaum está ante la oportunidad de actuar con responsabilidad y transparencia –en vez de minimizar– para romper el pacto de impunidad.
Imagen: (CC-BY) Gibrán Aquino
