LA RUTA ESPÍA DE PEGASUS
Karla Michelle Salas y David Peña, dos de las 21 víctimas de acecho por medio de celulares, confiesan sentir indefensión al ser víctimas del malware
Víctimas del acecho por medio de celulares relatan la forma como intentaron infectarlos con el malware.
Hace dos años, cuando los operadores del programa Pegasus diseñaron la estrategia de ciberespionaje que tenía como objetivo infiltrar los teléfonos celulares de Karla Michelle Salas (abogada y directora del Grupo de Acción de Derechos Humanos y Justicia Social) y David Peña (coordinador jurídico de la misma agrupación), no previeron factores humanos que una computadora no puede controlar.
Por ejemplo, David no se enganchó con ninguno de los cinco mensajes de texto que recibió para descargar el malware espía con sólo dar clic a un link. Y tampoco previeron que Karla Michelle —quien sí cayó en la trampa con uno de estos mensajes—, haría un respaldo, lo que facilitó en gran medida que el Citizen Lab de la Universidad de Toronto, Canadá, pudiera aportar más pruebas fidedignas a la investigación que señala al gobierno federal (en particular a la Procuraduría General de la República), como responsable del espionaje que realizó con el programa Pegasus a 21 personas, entre periodistas, defensores de derechos humanos y políticos.
“Fueron cinco mensajes, aunque sólo pudieron rescatarse tres. Ahora que hicimos un recuento, encontramos que el primero llegó el 25 de septiembre de 2015”, afirma David.
Karla Michelle continúa el relato, “el segundo mensaje es el del velorio. Fue raro, porque ese día estábamos trabajando juntos y nos llegó el mensaje al mismo tiempo, sólo que personalizados. El mío decía: ‘Karla, falleció mi papá’. Y el de él decía: ‘David, murió mi papá’”. Si bien él hizo caso omiso del mismo, ella sí cayó en la trampa y siguió un link que no la llevó a la dirección del supuesto velorio, sino a una pantalla en blanco. Después de ese mensaje, Karla Michelle no recibió ningún otro, porque Pegasus ya estaba operando dentro de su teléfono. Pero la falta de respuesta en el caso de David provocó que durante las siguientes semanas los operadores del malware intensificaran la estrategia.
“Como no di clic a ningún mensaje, me siguieron llegando. El del 15 de octubre fue más sofisticado, una fake new de Uno TV que decía: ‘Revelan audios entre integrantes de la ANAD y Perla Gómez. Planeaban extorsiones’. “¿Y por qué no lo abriste?”, se le pregunta. David confiesa, con una sonrisa en el rostro, “¿la verdad? ¡Porque lo vi meses después! En el momento no lo hice porque por alguna razón lo marqué como leído para que no estuviera dando lata en la pantalla y se guardó. Por eso nunca lo abrí. Cuando los activistas leyeron en junio pasado las primeras noticias sobre la operación Pegasus y confirmaron que parte del modus operandi consistía en el envío de mensajes de texto sobre un supuesto velorio, hicieron memoria. Entonces fue cuando se preguntaron si serían también víctimas del ciberespionaje gubernamental. La sola idea fue impactante.
“Como ya habían pasado dos años, te preguntas: ‘¿Qué estaba haciendo en ese tiempo?’”, cuenta Michelle. “Y como teníamos la duda —continúa David—, ella empezó a buscar en sus respaldos, porque periódicamente hace respaldos de todo. Su teléfono siempre ha sido iPhone, pero el mío es Android. Ante la necesidad de matar la duda con la certeza, los activistas plantearon el tema a la organización Artículo 19 quien a su vez habló con Citizen Lab. Éste solicitó a Karla Michelle copia de sus archivos de respaldo con los mensajes recibidos. Y, posteriormente, requirió el envío de los teléfonos celulares de ambos para un análisis. Los resultados confirmaron que ellos eran las víctimas número 20 y 21.
“Sin saber lo que estaba pasando, cambié de aparato dos meses después, en octubre, y bajé al nuevo iPhone una actualización que impedía que Pegasus se metiera al celular por la puerta trasera”, dice la defensora de derechos humanos. “Fue porque en esas fechas el New
York Times documentó el espionaje a activistas de Arabia Saudita que usaban iPhone; la empresa revisó el problema y mandó una actualización para evitar el espionaje. Mi nuevo teléfono ya traía esa actualización, así que quienes se metieron a mi celular sólo pudieron hacerlo por un par de meses”.
¿Quiénes más utilizan Pegasus?
David y Karla Michelle se miran con sorpresa. Por segundos, no saben qué responder para describir los sentimientos que les causó confirmar que, al ser espiados, fueron invadidos en los más íntimo de su vida personal y trabajo. “Sientes enojo, coraje y preocupación”, enlista ella. “¡Pero también indefensión!”, la interrumpe él, “porque se meten en tu vida privada, se enteran de todo ¿Y con quién vas después? ¿A quién denuncias? ¿Quién va a investigar? ¿El que te está espiando?”, pregunta con ironía.
Durante el tiempo que este malware operó en el celular de Karla Michelle, los operadores del programa accedieron a sus contactos telefónicos, mensajes de texto, correos electrónicos, fotografías, audios y otros archivos de tipo personal y profesional, como algunos documentos de trabajo. “Y es allí cuando entiendes que no sólo eres tú, sino también las víctimas, la información que me confían, que también es sensible por el tipo de casos que trabajamos. Y sientes una vulnerabilidad porque te cuestionas: ‘¿Y ahora qué hago? ¿Cómo me defiendo?’”.
Si bien los 21 afectados exigieron a las autoridades federales una investigación a fondo, David y Karla Michelle reconocen que, aunque la petición es justa, en realidad equivale a una carta a Santa Claus. “Regularmente nosotros somos quienes le decimos a las víctimas: ‘Vamos a denunciar, confía, tenemos que hacerlo’. Y ahora con esto nos preguntan: ‘¿Y ustedes qué van a hacer?’ Y les respondemos: ‘¡Pues nada! ¿A quién denunciamos?, ¿a la PGR?’ Porque conocemos el sistema de justicia penal y sabemos que el caso no avanzará. Así que, a final de cuentas, en realidad estamos en un estado de indefensión”.
El 10 de agosto, cuando Citizen Lab y Artículo 19 confirmaron públicamente el ciberespionaje contra ellos, se consideró que el hecho podría estar vinculado con su intervención en el multihomicidio del caso Narvarte. Al mismo tiempo llamó la atención que ese caso y otros que manejan parecen no tener relación alguna con el gobierno federal, por lo que entonces no tendría razón de ser un espionaje en su contra.
Karla Michelle no tiene claro qué riesgo pudieron observar en ellos como para decidir espiarlos. “Las organizaciones que llevan el caso nos explicaron que es muy costoso mantener un espacio en la web para hacerlo, porque cuando das clic al link con el que te estarán vigilando es como adquirir un dominio para una sola persona. Entendemos que no están espiando a Karla Michelle o a David, sino a la organización, las víctimas y su confianza. Pero al final del día, nuestro trabajo no es clandestino ni ilegal. Y si el Estado o los gobiernos están haciendo mal las cosas, tenemos que exigir que lo hagan bien y que ocupen sus recursos en atender a las víctimas, no en espiarnos”.
Si de algo ambos están seguros, es que 21 no será el número final de espiados, a pesar de que hay quienes borraron esos mensajes o cambiaron de teléfono, sin saber que terceros accedieron completamente a su información personal. Pero además, consideraron que la PGR no imaginaría, dos años después, que estos casos saldrían a la luz; aún cuando probablemente el software de espionaje que hoy se utilice sea más sofisticado.Aunado a ello, para David el silencio de otras autoridades que debieran posicionarse sobre el tema, es una grave señal.
“Afortunadamente el Estado no se reduce a la PGR, pero tampoco hemos escuchado el pronunciamiento de instituciones autónomas como el Poder Judicial, el Instituto Nacional de Acceso a la Información, que protege los datos personales, o de la Fiscalía Nacional contra la Corrupción. Ninguno de ellos ha dicho: ‘Esta boca es mía’. Pegasus extrajo información y allí hay una conducta ilegal. ¿Y esos datos quién los tiene? ¿Quién los tuvo? ¿Dónde están? ¿Para qué los utilizaron?”.
Mientras estos casos son investigados, o mejor aún, esclarecidos, los activistas tomaron una decisión importante en su área de trabajo: dejar los teléfonos en otro cuarto, no dar clic a ningún link extraño y regresar, en pleno siglo XXI, al principio básico de la comunicación: “Si tienes algo importante que decir, hazlo en persona. No hay otra”, concluyó Karla Michelle.