En las semanas recientes el grupo de hackers Guacamaya filtró millones de documentos confidenciales de la Secretaría de la Defensa de México (Sedena). También extrajo información en los gobiernos de Chile y Perú.
Una de las revelaciones en México es que el Ejército en tiempos de la actual administración de Andrés Manuel López Obrador, al igual que en el gobierno de Enrique Peña Nieto, adquirió el software israelí Pegasus para labores de espionaje. Entre los nuevos casos se conocen hasta ahora los de tres personas: el columnista Ricardo Raphael, un reportero de Animal Político y el defensor de derechos humanos en Tamaulipas Raymundo Ramos.
¿Cómo funciona Pegasus, es posible protegerse una vez que te conviertes en un objetivo?
La respuesta breve es que una vez que entran a tu equipo móvil no hay mucha forma de salvarse, pero hay maneras de protegerse y de limpiar un dispositivo.
Hiram Camarillo, un ingeniero de 34 años que dirige la empresa de seguridad Seekurity concedió una entrevista a la Aldea de Periodistas para explicar qué pasa con Pegasus. Es un especialista en temas de espionaje, descubrió e hizo público los hackeos de Pemex y la Lotería Nacional.
— Decías que Pegasus es tan intrusivo que no necesita un link de descarga para entrar a tu dispositivo. Y decías que solo infecta celulares, no computadoras. ¿Qué cuidados podemos tener los periodistas?
Si eres un objetivo importante, en el que el gobierno va a gastar en una herramienta como Pegasus… lo que se puede hacer es utilizar un software para dispositivos móviles con una herramienta muy avanzada que permita detectar ese tipo de ataque. Aunque Pegasus no necesita contacto humano para infectar, como con un link de descarga, la recomendación para periodistas siempre es no dar clic a los enlaces, usar un teléfono seguro, no caer en mensajes engañosos.
Nosotros tenemos una herramienta que usamos para proteger nuestros teléfonos de programas como Pegasus, una que sabe cuáles son los pasos para infectar un dispositivo, que si una amenaza se aproxima hace cierto tipo de bloqueo, pone alertas, y hace muchas cosas. Es más avanzada que un antivirus normal. La realidad es que contra un software de espionaje de ese tipo solo puedes protegerte con otras herramientas más sofisticadas.
— ¿Ustedes la comercializan?
No la vendemos. En algún momento compramos licencia. Sí intentamos venderla a algunas personas en el mundo de la política, pero la realidad es que a nadie les interesó. Nosotros nos quedamos internamente con las licencias.
— ¿Cómo se llama?
Como personas físicas no lo pueden comprar porque estas empresas solo se lo venden a compañías o personas morales.
Pero hay una similar que se llama Lockout, es un logotipo verde, con una L, te cuesta entre 1000 pesos (mexicanos) o 1500 pesos al año. Yo no la veo tan descabellada si eres un objetivo de espionaje. Tú la descargas en tu teléfono, la desventaja es que no tiene un sistema para monitorear, pare revisar lo que está pasando con tu dispositivo. La que tenemos nosotros, la que es para empresas, tiene una forma de monitoreo, alguien puede estar revisando toda la red de dispositivo y si hay una alerta o un ataque, se avisa inmediatamente al resto del grupo para analizar.
—Algunas personas usamos Signal y pensamos que el temporizador de desaparición de mensajes es una buena manera de no dejar rastro, ¿puede Pegasus entrar también a Signal, podría ver tus mensajes?
Sí. Una vez que infectan tu dispositivo con Pegasus van a poder ver todo lo que está dentro. Supongamos que tú tienes una caja de metal sellada, no puedes ingresar. Pero una vez que descubres cómo hacer un pequeño agujero y meter una pequeña cámara dentro, puedes observar todo. Ya entraste a la caja, ya la vulneraste, ya no hay forma de puedas bloquear el agujero, no se repara mecánicamente. Esa es una similitud de cómo funciona Pegasus. Una vez que “ellos” entran al teléfono todo lo que haga el usuario, todo lo que se comunique, así utilice una aplicación que sea super segura, se sabrá. Como ya se vulneró el teléfono, ya no hay nada qué hacer.
Ahora, si realmente algunas entidades del gobierno quisieran atacar algunas sesiones de WhatsApp, de Telegram o de Signal, ahí es otro de nivel de seguridad distinto.
Alguna vez nosotros tuvimos un requerimiento de una unidad de inteligencia y nos decían: no podemos entrar a los dispositivos de ciertas personas pero queremos entrar a Signal, ¿lo pueden hacer?, ¿sí o no? La realidad es que muchas de esas aplicaciones tienen ciertos niveles de seguridad a las que es difícil entrar si no tienen un software del tipo de Pegasus.
— ¿Qué infecta Pegasus, por dónde entra?
Ataca el sistema operativo.
— ¿Y si actualizo el sistema operativo, se limpia?
Mucha gente discute que cuál sistema operativo es mejor o peor. Si hablamos en términos de seguridad, definitivamente el iPhone es mucho mejor que cualquier otro. ¿Por qué? Porque cuando tú lo reinicias cada cierto tiempo, cuando tú lo reincidas todas las noches, hace la comprobación de todo el sistema de seguridad, incluso tienen chips dedicados a la seguridad dentro del equipo que hace todo ese tipo de verificaciones. Si en algún momento detecta que algo cambió, algo que no debió haber cambiado o si hubo alguna modificación inesperada, en ese momento puede no iniciar el teléfono o se bloquea en modo dispositivo comprometido. Eso es con iPhone, con Android lo han intentado hacer pero no tienen un sistema de seguridad tan avanzado como el de iOS. Cuando “ellos” (los espías) ingresan al sistema operativo, dan instrucciones para activar la cámara, el micrófono, ya lo hace todo. Eso es lo que hace.
Hay otro tipo de espionaje, que es la intervención de llamadas. Yo lo considero normal cuando se usa en caso de secuestro, por temas legales. Todas esas personas lo que hacen es estar interceptando las llamadas. Si nosotros estamos llamando por un teléfono normal, no necesariamente intervienen nuestros teléfonos, ellos van con las compañías AT&T y Telcel (en el caso de México) y le dicen: Oye, necesito contactarme a tu sistema. Y lo hacen muchos países alrededor del mundo. Se conectan a su sistema y cada que se necesite intervenir una llamada lo hacen. Tal vez haya un proceso legal o tal vez no lo haya. Sé que Telcel te lo pide y AT&T mucho más. Estas empresas te dicen que sí y automáticamente los gobiernos pueden empezar a escuchar las llamadas en tiempo real o tener las sábanas de los registros de celular.
— Si Pegasus entra a mi sistema operativo, ¿apagar y reiniciar el celular ayuda, elimina o bloquea el espionaje?
Tienes que tener la última versión del sistema, obviamente, o la que te proporciona Apple en el caso de iPhone. Y sí ayuda. No quiere decir que si ya te infectó Pegasus y lo reinicias en ese momento te va a decir el teléfono: Oye, estás infectado por Pegasus. Estamos hablando de un sistema muy avanzado, ese es el negocio de esta empresa, intentar ocultarse lo más posible. Probablemente no detectará así un Pegasus pero hay otro tipo de ataques que sí. Son muchas capacidades las que Apple ha ido agregado al teléfono. Por ejemplo, las Mac incluyen un chip solamente para la seguridad y supuestamente trabaja con inteligencia artificial. Ninguna computadora de otras marcas hace eso. Hay mucha información sobre cómo funcionan los chips de seguridad de las computadora, por eso es que nosotros sabemos cómo funciona Mac.
— Entonces, ¿cuál es reparación o cuál es la solución para un dispositivo infectado con Pegasus?
Una de las mejores opciones es tirar el teléfono porque nunca vas a estar 100% seguro de que esté limpio si lo haces tú.
Otra cosa es que tal vez alguien te ayude a reinstalar el teléfono completamente desde cero, que esto lo puedes hacer yendo a una tienda. Vas a perder toda la información pero vas a tener un teléfono nuevo, es como un reseteo pero es mejor que lo hagan en la tienda de la compañía del celular porque lo hacen de una forma más rápida y así estás segura de que le instalaron un sistema operativo nuevo al teléfono.
Otra podría ser instalar algunas herramientas y hacer algunos escaneaos para identificar cuál fue, las características de cómo comprometieron el celular y eliminar, pero ahí requiere herramientas avanzadas para identificar todas las puertas que los espías dejaron abiertas en el celular, cómo entraron, obviamente no es una sino muchas cosas.
— ¿Será mejor tener como alternativa un teléfono que no tiene conexión a internet, los celulares chicos que venden en los Oxxo, por ejemplo?
Si lo comparas es mucho más barato, más fácil y más rápido para un gobierno interceptar las llamadas en esos teléfonos que atacar con Pegasus en los celulares inteligentes. Lo que hacen muchas personas es tener un teléfono negro, así se les llama, que no tiene señal de teléfono, tiene instaladas herramientas de seguridad como las que nosotros usamos, y solamente utiliza esos dispositivos cuando los conectan a una red de internet, a una red de WiFi. Tienen su VPN, tienen su teléfono registrado, lo importante es que no tenga una línea telefónica que esté conectada todo el tiempo a la red de Telcel o de AT&T.
Cuando tú tienes un chip que es parte de una red de celular, algo que también hacen los gobiernos es hacer espionaje a través de las torres telefónicas. El teléfono por lo regular se conecta de torres telefónicas, las torres detectan la intensidad que hay en tu teléfono. ¿Y por qué son tres? Porque les permite hacer una triangulación para saber dónde estás ubicada geográficamente entre esas tres torres telefónicas. Hay un sinfín de cosas.
— Como con Ayotzinapa, en los informes del GIEI hablan de cómo se ha tenido acceso a las sábanas de los mensajes y de teléfonos interceptados.
Sí, yo cuando veo los informes digo, eso lo pudieron hacer hace mucho tiempo: las llamadas, las ubicación. Como cuando ocurrió lo del Caníbal de Ecatepec, dijeron que la esposa ya no tenía su teléfono, pero hicieron una triangulación de dónde se había conectado, tal vez no era la ubicación exacta porque es mas menos cinco diez metros de diferencia.
— Quiere decir que realmente si quisieran buscar cuando desaparece una persona podrían hacerlo. Lo hacen en algunos casos pero tardan mucho en revisar los teléfonos.
Eso es lo que más coraje da. En estos años en el negocio he ido platicando con personas, tratando de entrar y venderle proyectos a una entidad que dice: Oye, si tienen todas estas capacidades, en primer lugar: por qué hay tantas mujeres secuestradas, tantos niños desaparecidos. No entiendo por qué, no entiendo qué está pasando allá adentro.
— ¿Y qué pasa cuando estás fuera del país?, ¿cuáles son los alcances de Pegasus?
Si el teléfono ya está infectado no importa la ubicación geográfica.
— ¿Y si todavía no está infectado?
Si no está infectado y la persona se encuentra en Estados Unidos, por ejemplo, ahí ya se meten los espías en problemas legales. Porque eso es que muchas de las personas que están allá, reporteros, objetivos de espionaje, no están dentro de los Estados Unidos, están en otros países donde saben que el uso de Pegasus no va a tener mayores consecuencias.
— Si alguien tuviera un chip estadounidense, eso ayuda o no ayuda para blindar?
Técnicamente no importa dónde esté el chip, la realidad es que si alguien decide atacar a una persona lo van a hacer. Ya en temas legales y del país pues sí depende, porque quizá es una persona que esté en México pero es un ciudadano estadounidense… También no hay una forma en que ellos puedan decir, es que la persona con el celular infectado estaba en México, no estaba en Estados Unidos, la realidad es que no.