México: informe sobre el programa que usó el gobierno para espiar a periodistas, activistas y dirigentes políticos
Por Juan Omar Fierro y Sebastián Barragán
El programa Pegasus de NSO Group que usa el gobierno federal para espiar teléfonos inteligentes, también se puede “distribuir” mediante estaciones transmisoras colocadas cerca del objetivo o correos electrónicos, y se autodestruye para borrar todas sus huellas si detecta el peligro de que sea descubierto, señalan documentos anexos al contrato de compra.
Aristegui Noticias presenta la documentación íntegra de la compra que realizó la Procuraduría General de la República (PGR) a la empresa Grupo Tech Bull, que incluye: la cotización del programa malicioso, el contrato firmado el 29 de octubre del 2014, un convenio entre la dependencia y la empresa para reconocer un adeudo y los anexos técnicos que detallan los alcances del software.
Parte del contrato original para adquirir el software utilizado para espiar a periodistas, activistas, líderes partidistas e investigadores internacionales del caso Ayotzinapa fue revelado por Noticieros Televisa el pasado 29 de junio.
Sin embargo, todavía faltaban diferentes piezas para retratar de cuerpo entero los alcances del “agente” Pegasus, denominación que utiliza el contrato para referirse al programa espía.
LA COTIZACIÓN
Una primera revelación del nuevo paquete de documentos señalan que la adquisición de Pegasus se realizó con prisa. La cotización del software desarrollado por NSO Group está fechada el 24 de octubre del 2014, es decir, cinco días antes de que se concretara la operación de compra venta.
EL CONTRATO ORIGINAL
El contrato original para la adquisición del programa espía tiene fecha del 29 de octubre de 2014 y el costo de la transacción comercial fue de 32 millones de dólares. El dinero utilizado para la compra salió de la partida 55102 asignada a la PGR, denominada “Equipo de seguridad pública y nacional”.
Por parte de Grupo Tech Bull, firmó el ciudadano Luis Armando Pérez Herrero. De acuerdo con el registro de profesiones de la Secretaría de Educación Pública (SEP), Pérez Herrero es ingeniero en Sistemas Computacionales, por la Universidad del Valle de Orizaba, Veracruz.
Por parte de PGR, avalaron la compra Tomás Zerón de Lucío, jefe de la Agencia de Investigación Criminal (AIC); el titular del Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (Cenapi), Vidal Diazleal Ochoa; y el director de información sobre actividades delictivas del Cenapi, Rigoberto García Campos.
El documento incluye dos justificaciones para la adquisición del malware: riesgo y urgencia. Según la PGR, la carencia del programa vulnera su capacidad de operación y su margen de operación frente a las organizaciones delictivas.
La urgencia obedece a la situación que atraviesa el país y a que la PGR es “un blanco para la delincuencia organizada”, derivado de sus funciones para perseguir el delito y combatir a los grupos criminales.
LA CONFIDENCIALIDAD Y LA RESCISIÓN DEL CONTRATO
El contrato para la adquisición del programa espía reconoce que los empleados de Grupo Tech Bull tienen acceso a información confidencial y de seguridad nacional, por lo que se obliga a esa empresa y a sus empleados a respetar la secrecía en torno a Pegasus y todo lo relacionado con su operación.
No respetar la confidencialidad, advierte el acuerdo comercial, puede derivar en que se presenten denuncias penales, civiles o de otra índole en contra de la empresa y de quienes violen la secrecía del contrato.
Además, se obliga a Tech Bull a responder por los daños y perjuicios que sufra la PGR como consecuencia de una filtración o mal uso de los datos obtenidos mediante el programa de espionaje.
“El Proveedor (Tech Bull) queda obligado a guardar absoluta confidencialidad, así como a no utilizar por sí o por interpósita persona la información, datos y resultados derivados de su participación en la entrega de ‘EL BIEN’ objeto del presente contrato. Para el caso de incumplimiento la Procuraduría se reserva el derecho de ejercitar la acción que corresponda ante las autoridades respectivas, las cuales pueden ser civiles, penales o de otra índole”, advierte el documento.
CONVENIO DE RECONOCIMIENTO DE ADEUDO
El 29 de julio del 2015, PGR y Grupo Tech Bull firmaron un acuerdo para reconocer un adeudo de la dependencia federal con la empresa intermediaria del programa de espionaje informático.
El convenio señala que la PGR adeudaba 145 millones 989 mil pesos a la compañía derivado de los servicios prestados por Pegasus hasta esa fecha, condicionado el pago del adeudo a un mejoramiento y actualización del “agente” Pegasus.
En el documento se señala que previo al pago de cualquier cantidad de dinero, Tech Bull debería entregar a la empresa israelí NSO Group Technologies una copia de los protocolos de prueba realizados el 21 de julio del 2015 en las instalaciones de la PGR.
Posteriores al pago realizado por la PGR, la compañía mexicana tendría que actualizar Pegasus a su versión 2.17 y dar acceso a esa dependencia al software Nagios, un programa desarrollado por una tercera compañía para monitorear la infraestructura del programa de espionaje y evitar el mal uso del mismo mediante un sistema de alertas.
LA RADIOGRAFÍA DEL ANEXO TÉCNICO
El Anexo Técnico para la compra y operación de Pegasus revela características poco conocidas del “agente” espía: es autodestructible, se roba las contraseñas de todas las aplicaciones utilizadas por un smartphone y tiene la posibilidad de realizar infecciones mediante correos electrónicos o estaciones de transferencia cercanas al objetivo.
El documento también explica las capacidades de monitoreo en tiempo real de un blanco, el mecanismo para analizar “offline” la información recopilada de los dispositivos intervenidos y hasta el uso de la memoria de los móviles y los paquetes de datos de las propias víctimas de espionaje.
La autodestrucción “en caso de exposición de riesgo” funciona de la siguiente manera: cuando el “agente” Pegasus es detectado o existe la posibilidad de que se vea expuesto, el malware se desinstala de forma automática y autodestruye todos sus rastros dentro del teléfono intervenido.
La autodestrucción del programa espía también se da cuando el programa de espionaje no logra comunicarse por “mucho tiempo” con los servidores que sirven para monitorear la información extraída.
En ambos casos, la empresa NSO Group garantiza que los datos que ya fueron robados de un dispositivo, se conservaran en la plataforma offline.
El software malicioso también ofrece la posibilidad de ser desinstalado una vez que ya cumplió sus objetivos, opción que se puede realizar de manera remota y sin dejar ningún tipo de evidencia.
LA INFECCIÓN CON ESTACIONES TRANSMISORAS Y CORREOS
Sobre las formas de infección, el anexo técnico reconoce que la instalación de Pegasus “es la fase más sensible e importante de la operación”, pues se requiere que el blanco haga clic en los mensajes de texto o correos electrónicos que le fueron enviados, previo conocimiento de sus formas de comunicación.
Por lo mismo, NSO Group ofrece la posibilidad de enviar “mensajes de ingeniería social mejorados” con altos niveles de credibilidad para hacer caer en la trampa a los objetivos.
Pero una solución todavía más intrusiva es el uso de estaciones transmisoras de red táctica, las cuales tienen un rango de acción limitado y para lo cual se requiere que el blanco del espionaje, se encuentre muy cercano a este tipo de redes de intercepción de telecomunicaciones que primero localizan el dispositivo y posteriormente “inyectan” al agente espía.
La información personal o de seguridad nacional viaja en la infraestructura de NSO Group antes de depositarse en servidores del gobierno mexicano.
ESPIONAJE EN ZONA CALIENTE Y CON TU PROPIO PAQUETE DE DATOS
El virus informático de NSO Group puede mandar la información que extrae de los dispositivos a las plataforma que opera el gobierno mexicano mediante las redes de telefonía móvil pagadas por las propias víctimas de espionaje, las redes wifi e, incluso, mediante mensajes SMS.
Sin embargo, el documento incluye una alerta: no sobrepasarse con la comunicaicón mediante SMS, porque puede aparecer en la factura de los servicios teléfonicos del usuario.
Si no hay una forma de conectarse al exterior, el malware desarrollado por NSO Group sigue trabajando de forma silenciosa y crea una memoria interna dentro del equipo infectado para encriptar y guardar los datos, hasta que sea posible enviarlos a los espías de la plataforma.
Las intervenciones para activar el micrófono o las cámaras fotográficas se pueden programar usando el GPS del teléfono celular, con el fin de vigilar de manera más intensa a un objetivo cuando abandona o se acerca a una zona geográfica específica o cuando tiene contacto con otra persona sujeta a investigación.
El anexo denomina a esta situación alertas de “zona caliente y el área de espionaje o la persona de interés debe programarse previamente.