R3D: Red en Defensa de los Derechos Digitales, junto con ARTICLE 19, oficina para México y Centroamérica, y SocialTIC, hemos documentado 76 nuevos intentos de infección con el malware Pegasus en contra de periodistas y defensores humanos en México. Estos ataques, ocurridos entre enero de 2015 y julio de 2016, se suman a los 12 intentos registrados en contra de científicos y activistas de la Alianza por la Salud Alimentaria en 2016.

En cada caso, una o más personas recibieron mensajes con enlaces infecciosos vinculados a la infraestructura de Pegasus.

Pegasus es un sofisticado malware de vigilancia que solamente puede ser comercializado a gobiernos. En los últimos años, se ha reunido evidencia de que al menos tres instancias del gobierno federal lo han adquirido: la Procuraduría General de la República (PGR), el Centro de Investigación y Seguridad Nacional (CISEN) y la Secretaría de la Defensa Nacional; esta última, sin facultades legales para ejercer acciones de vigilancia.

Cuando una persona es atacada con Pegasus, recibe un mensaje SMS en su teléfono, el cual contiene un texto que busca persuadirlo de hacer clic en un enlace infeccioso, haciéndose pasar por una noticia, un aviso o el mensaje de un familiar o amigo. Si la persona hace clic en el enlace, su teléfono recibe inadvertidamente un software malicioso que permite al atacante, entre otras cosas, tener acceso a todos los archivos guardados en el dispositivo, así como controlar la cámara y el micrófono del celular.

A través de este informe hemos registrado que todos los objetivos fueron atacados usando una infraestructura común, además de existir coincidencias entre los mensajes recibidos por diferentes personas. Resulta preocupante que el uso reiterado de estos ataques en contra de periodistas y defensores de derechos humanos se dio durante coyunturas críticas de su labor; todas, con un actor en común: el gobierno federal.

Por ejemplo, personal del Centro Prodh recibió intentos de infección durante coyunturas como el décimo aniversarios de la represión en Atenco, la discusión de la Ley General contra la Tortura o la presentación del informe final del caso Ayotzinapa por parte del GIEI. En el caso de Aristegui Noticias, los mensajes recibidos ocurrieron durante sucesos como la exoneración del presidente Peña Nieto por el conflicto de interés de la casa blanca o la publicación de reportajes relacionados con la figura presidencial.

Otro de los objetivos, Carlos Loret de Mola, recibió intentos de infección cuando escribía sobre las ejecuciones extrajudiciales en Tanhuato, Michoacán. Por su parte, personal del Instituto Mexicano para la Competitividad fue objetivo de ataques con el malware Pegasus durante la discusión de la ley 3 de 3, en tanto que dos periodistas de Mexicanos contra la Corrupción y la Impunidad recibieron mensajes tras la publicación del reportaje sobre la red de empresas fantasma del gobierno de Javier Duarte, en el cual colaboró la organización.

A la luz de las normas de derechos humanos y el marco jurídico que regula la vigilancia gubernamental en México, los casos de espionaje a periodistas, defensores de derechos humanos y activistas anticorrupción son absolutamente insostenibles jurídicamente. Por el contrario, los hallazgos de este reporte apuntan a la comisión de graves delitos y violaciones a derechos humanos. Debe, por tanto, llevarse a cabo una investigación exhaustiva, seria, imparcial y transparente sobre los hechos denunciados y castigarse a todos los responsables intelectuales y materiales.

La presentación del informe #GobiernoEspía: vigilancia sistemática a periodistas y defensores de derechos humanos en México se realizará el lunes 19 de junio a las 13:00 horas. La transmisión puede seguirse a través del sitio de Facebook de R3D.

El documento puede descargarse y está disponible bajo una licencia Creative Commons Reconocimiento 4.0 Internacional (CC BY 4.0).