Un peritaje realizado por Citizen Lab y Acces Now confirmó que las comunicaciones de 22 miembros de El Faro fueron vigiladas a través del software de espionaje Pegasus, de la empresa israelí NSO Group.
Se trata de los equipos telefónicos de las jefaturas editoriales, periodistas y personal administrativo. En esta ocasión, el dictamen técnico permite conocer en algunos casos los objetivos fueron intervenidos hasta por un año y de forma constante.
En total, el análisis determinó un total de 226 intervenciones en que los teléfonos fueron infectados. El programa Pegasus permite el control total del aparato para quien logra infectarlo: interceptar mensajes, llamadas y extraer toda la información almacenada en los teléfonos.
La evidencia técnica apunta que un operador ejecuta el software Pegasus desde territorio salvadoreño.
Los periodos de intervenciones fueron desde un día hasta un año bajo ataque constante. En otras palabras: se trata de 17 meses de espionaje continuo y con total acceso a los aparatos telefónicos de más de la mitad del personal que labora para el periódico, en fechas específicas que coinciden con diferentes procesos de investigación de El Faro y con acontecimientos relevantes en la vida política nacional o ataques gubernamentales contra el periódico.
En 11 de los casos de empleados de este medio, el peritaje concluyó que hubo hackeo, intromisión en el aparato. En otros 11 casos, el peritaje concluyó que además hubo extracción de información. La pericia no logró determinar qué tipo de información fue secuestrada, pero el acceso que provee Pegasus permite sacar lo que sea que esté en el teléfono: fotos, conversaciones, audios, contactos. El peritaje no descarta que haya existido robo de información en los demás teléfonos, pero logró concluir sin matices que en 11 casos eso fue así.
En un pronunciamiento público esta noche, Amnistía Internacional condena el ataque contra periodistas y miembros de la sociedad civil de El Salvador. “El uso de Pegasus para la vigilancia de las comunicaciones en El Salvador revela una nueva amenaza a los derechos humanos en el país. Las autoridades deben detener cualquier intento de restringir la libertad de expresión y realizar una investigación exhaustiva e imparcial para identificar a los responsables”, dijo Erika Guevara-Rosas, directora para las Américas de Amnistía Internacional.
“Es inaceptable que las denuncias de hostigamiento y amenazas contra periodistas y defensores de derechos humanos, que trabajan en un ambiente hostil y en grave riesgo, sean cada vez más comunes en El Salvador. La comunidad internacional debe estar con los defensores de los derechos humanos y los periodistas en su demanda de respeto por los derechos humanos”, dijo.
Citizen Lab publicó un informe sobre 25 países en diciembre de 2020. En él concluía que el Estado salvadoreño había adquirido un sistema de vigilancia a la compañía Circles, afiliada a NSO Group. También concluía que ese sistema había sido utilizado en el país desde 2017 (cuando gobernaba el FMLN) hasta la fecha de publicación del informe en 2020. Según John Scott-Railton, investigador sénior de Citizen Lab, los hallazgos hechos en los teléfonos de El Faro son diferentes a los encontrados en aquel informe. Lo que se detectó en los teléfonos de este medio fue Pegasus y no otros software de espionaje. Pegasus, según Citizen Lab, supera en posibilidades de espionaje al programa de Circles.
“Pegasus instala un programa en el teléfono, Circles no lo hace. Con Circles, hay solo monitoreo e intercepción; con Pegasus, los teléfonos se ven hackeados. Cuando el gobierno escucha sus llamadas, no están hackeando el teléfono, solo están escuchando las llamadas (en el caso de Circles)”, aseguró Scott-Railton.
“No nos ha sorprendido sabernos intervenidos, sino la cantidad, frecuencia y duración de estas intervenciones. Casi todo El Faro ha sido intervenido. Todo apunta, según los peritajes que hemos analizado, a que el responsable de estas intervenciones es el Gobierno salvadoreño, que está utilizando el software para espiar y obtener ilegalmente información alojada en los teléfonos de periodistas. Es completamente inaceptable. Después de las revelaciones del Pegasus Project, esperábamos que los dueños del software cumplieran su palabra y verificaran que no estaba siendo utilizado para perseguir periodistas. Evidentemente no lo hicieron”, dijo el fundador y director de El Faro, Carlos Dada, en relación a que en 2016 Citizen Lab, la misma organización que analizó los teléfonos de El Faro, descubrió una masiva intervención de Pegasus a periodistas y activistas de derechos humanos en México, Marruecos, Arabia Saudí, Hungría, India y Azerbaiyán. La revelación fue publicada en medios como el Washington Post.
NSO Group ha declarado que solo vende el software de espionaje Pegasus a gobiernos bajo la autorización del Ministerio de Defensa de Israel. En el peritaje de los teléfonos de El Faro realizado por las organizaciones internacionales que han liderado procesos similares con periodistas, activistas u oposición política de varios países, todo apuntó a que fueron los respectivos gobiernos los que estuvieron detrás de las intervenciones. Jon Scott-Railton, investigador sénior en Citizen Lab, dijo: “Si encuentras Pegasus, sabes que esa persona ha sido intervenida por un gobierno”.
El 23 de noviembre de 2021, la empresa estadounidense Apple envió correos a algunos periodistas, políticos y activistas salvadoreños, incluyendo a 12 miembros de El Faro. En el correo, Apple advertía de un posible espionaje “bajo el patrocinio del Estado”. La alerta coincidió con el inicio de una demanda presentada ese mismo día por Apple en contra de NSO Group en una corte federal de California, Estados Unidos, por infectar dispositivos de actores específicos a través de Pegasus.
Cuando los periodistas de El Faro recibieron el correo de Apple, el proceso independiente de análisis de los teléfonos con las organizaciones Access Now y Citizen Lab ya llevaba dos meses. Los miembros de este medio ya habían sido notificados de que sus dispositivos estaban siendo vigilados con Pegasus. El correo de Apple no tuvo nada que ver con el proceso de análisis que El Faro siguió con las organizaciones internacionales.
Producto de esas pericias se determinó que desde el 29 de junio de 2020 ocurrieron al menos 226 intervenciones a las 22 personas de El Faro que fueron víctimas de espionaje, de acuerdo con el informe técnico brindado por Citizen Lab y Access Now. Las organizaciones no descartan que hubiera más personas víctimas de espionaje cibernético dentro de El Faro. Sin embargo, el peritaje no pudo realizarse entre quienes utilizan teléfonos con el sistema operativo Android o entre quienes hubieran hecho ciertas actualizaciones recientes en sus dispositivos.
En muchos de los casos de El Faro, las organizaciones determinaron un rango de fechas entre las cuales una persona había sido intervenida. Sin embargo, no fue posible concluir si en ese rango hubo un evento, varios o un espionaje ininterrumpido.
“Este es uno de los casos de espionaje más impactantes y obsesivos que hemos investigado”, expresó Scott-Railton a El Faro.
Debido a las políticas de privacidad de NSO Group no es posible determinar a cabalidad cuánto se invirtió en una operación de espionaje como la que ha sufrido El Faro. “Pegasus cuesta millones de dólares”, sostuvo el investigador de Citizen Lab al consultarle si podía calcular una cifra. “Cuando un gobierno adquiere Pegasus, adquiere un número concreto de licencias por infección. Si la licencia A te infecta un lunes, no pueden usar esa misma licencia para infectar a otras tres personas”, agregó.
Según Citizen Lab, basándose en contratos que la empresa israelí ha hecho públicos, es posible hacerse una idea: “Se gastaron millones de dólares en esta herramienta de espionaje (en el caso de El Faro); pero en lugar de estar siendo usado para combatir el crimen, las licencias fueron usadas cientos de veces para vigilar periodistas”, aseguró Scott-Railton. Para hacer las cuentas, agregó el investigador, es necesario cuantificar la tarifa por instalarlo, el equipo tecnológico necesario y la capacitación para el personal que correrá Pegasus.
Los resultados del análisis practicado a El Faro determinaron que las intervenciones alcanzaron a todas las áreas del periódico: Redacción (incluidas sus áreas de Fotografía y Estrategia Digital), Administración y Junta Directiva.
Nueve personas tienen menos de cinco eventos de intervención en las fechas que duró el espionaje. El resto están por arriba de ese número de eventos. En uno de los casos, el espionaje telefónico alcanzó las 42 intervenciones.
Entre las jefaturas editoriales, el jefe de Redacción, Óscar Martínez (coautor de este reportaje), fue víctima de 42 eventos; el subjefe de Redacción, Sergio Arauz, de 14; el jefe de El Faro English, José Luis Sanz, de 13, todas ellas mientras aún era director del periódico, antes de enero de 2021; y el editor mexicano, Daniel Lizárraga, de ocho, incluyendo una ocasión cuando ya se encontraba en su país, luego de que el 7 de julio el Gobierno salvadoreño lo expulsara de El Salvador. Lizárraga continuaba comunicándose desde su teléfono institucional y arreglando los detalles de una publicación sobre la tercera ola de Covid-19 en El Salvador. Pegasus no solo intervino teléfonos relacionados con El Faro dentro de territorio salvadoreño, sino también en México.
Entre los periodistas hay quienes tienen diez o más eventos de espionaje: Gabriel Labrador, con 20, Julia Gavarrete (coautora de este reportaje), con 18 (incluidas 15 intervenciones en su teléfono personal y tres en el institucional), Gabriela Cáceres, con 13 eventos; Roxana Lazo, con 12: y Efren Lemus, con diez. Durante el tiempo que ocurrieron los eventos, estos periodistas realizaron investigaciones acerca de la negociación entre el Gobierno y pandillas, el robo de alimentos destinados a la pandemia por parte del director de Centros Penales y su madre, las negociaciones secretas de los hermanos de Bukele para la implementación del Bitcoin, el patrimonio de los funcionarios del actual Gobierno, el manejo de la pandemia o un perfil del presidente Bukele.
Hay dos casos que las organizaciones que hicieron el análisis consideran como sin precedentes: el del director de El Faro y presidente de su Junta Directiva, Carlos Dada, y el del periodista Carlos Martínez, que sufrieron intervenciones en periodos constantes de tiempo que superaron el mes en varias ocasiones. Así, aunque Dada fue víctima de 12 eventos de espionaje, la duración de ellos permite concluir que las intervenciones se mantuvieron activas un aproximado de 167 días distribuidos entre el 8 de julio de 2020 y el 9 de junio de 2021.
Al igual que Lizárraga, el director de El Faro fue espiado en su teléfono mientras se encontraba en México entre mayo y junio de 2021. Esto ocurrió durante al menos 15 días.
En el caso de Martínez, que ha firmado todas las publicaciones relacionadas a pactos de políticos y pandillas desde 2012 hasta las más recientes, cuando las organizaciones realizaban el peritaje detectaron una intervención en progreso, un caso sin precedentes para los investigadores del laboratorio de Toronto. “Es muy raro agarrar una infección cuando está viva”, declaró Scott-Railton. Lo que suele ocurrir, dijo, es que se detectan las infecciones luego de un tiempo, pero no cuando están sucediendo.
Martínez estaba siendo intervenido en el momento mismo en que Citizen Lab y Access Now analizaban su teléfono el 15 de noviembre de 2021. Esa intervención fue fallida, pero el intento ocurría en el momento mismo en que las organizaciones ejecutaban la revisión. Querían entrar al teléfono del periodista. El inicio de sus intervenciones coincide con el contexto en que el estatal Diario La Página, acuerpado desde sus redes por el presidente mismo, publicó un escrito anónimo, acusándolo de abuso sexual. La difamación fue incluida en el informe de la Comisión Interamericana de Derechos Humanos, publicado el 4 de febrero de 2021, donde se describieron los ataques gubernamentales contra El Faro, incluido este, para decretar medidas cautelares a todo el personal del periódico.
En el caso de Martínez, además, Citizen Lab pudo vincular una intervención de El Faro con un operador de Pegasus dentro de El Salvador. En noviembre de 2019, ya bajo el Gobierno de Bukele, la organización detectó un operador localizado en el país que generaba infecciones telefónicas utilizando Pegasus. Internamente, la organización bautizó como Torogoz a este operador. En el caso de la intervención viva en contra de Martínez, Citizen Lab, comparando las características, concluyó que era Torogoz quien intentaba ingresar al teléfono del periodista. Es el único caso de los analizados en El Faro donde fue posible determinar que la actividad era dirigida desde El Salvador.
“Hay fuerte evidencia de un operador casi exclusivo en El Salvador, llamado Torogoz. Nosotros tenemos evidencia: conectamos a Torogoz, que tiene varias señales de ser una operación doméstica de Pegasus, con este intento de ataque contra Carlos Martínez. Lo que podemos decir es que hay evidencia en este caso que levanta fuertes sospechas sobre el rol del Gobierno salvadoreño”, dijo Scott-Railton.
En esos momentos, Martínez investigaba las negociaciones de la MS-13 con el Gobierno, que derivaron en la publicación de septiembre de 2020. En los meses posteriores, Martínez siguió investigando el proceso hasta publicar que las negociaciones incluyeron a las tres pandillas, lo que se publicó en agosto de 2021. Todas las investigaciones ocurrieron bajo espionaje de Pegasus.
Martínez, con 28 eventos de intervención, es el miembro de El Faro que más días sufrió espionaje de Pegasus en su teléfono: un aproximado de 269 días en diferentes periodos entre el 29 de junio de 2020 y el 15 de noviembre de 2021.
“Lo que es realmente destacable (en el caso de Martínez) es qué tanto algún gobierno quiere profundizar en su vida. Es una intensa presión contra una persona, lo que también me dice que lo que sea que esté haciendo es muy importante”, destacó Scott-Railton.
En otros casos analizados por las organizaciones internacionales que colaboraron con El Faro, la dinámica ocurrió con intervenciones que duraron algunas horas, lo que les lleva a concluir que la actividad fue de extracción de información. Para Citizen Lab y Access Now, la modalidad bajo la que Dada, Martínez y otros miembros de El Faro fueron intervenidos es extraordinaria y revela una especie de uso obsesivo de la herramienta.
El siete de enero de 2021, El Faro escribió un correo a NSO Group a la dirección [email protected], publicada en su sitio web, solicitando bajo términos generales una entrevista para hablar sobre el uso de “un software sofisticado” en El Salvador. El domingo 9 de enero, El Faro insistió con otro correo, explicando a NSO Group que la publicación era inminente e involucraba el uso de Pegasus contra periodistas de este medio.
NSO Group respondió vía correo el 11 de enero:
NSO proporciona su software solo a agencias de inteligencia legítimas y vetadas, así como a agencias de aplicación de la ley, que utilizan estos sistemas bajo órdenes del sistema judicial local para luchar contra los delincuentes, los terroristas y la corrupción. Estos sistemas se venden siguiendo un proceso de investigación y licencia por parte del Ministerio de Defensa Israelí.
NSO es un proveedor de software, la empresa no opera la tecnología ni tiene acceso a los datos recopilados. La empresa no sabe ni puede saber quiénes son los objetivos de sus clientes, pero implementa medidas para garantizar que estos sistemas se utilicen únicamente para los usos autorizados”.
Si bien no hemos visto el informe mencionado en su consulta, y sin confirmar ni negar clientes específicos, la postura firme de NSO sobre estos temas es que el uso de herramientas cibernéticas para monitorear a disidentes, activistas y periodistas es un mal uso grave de cualquier tecnología. y va en contra del uso deseado de tales herramientas críticas. La comunidad internacional debe tener una política de tolerancia cero hacia tales actos, por lo que se necesita una regulación global. NSO ha demostrado en el pasado que tiene tolerancia cero para este tipo de uso indebido, al rescindir múltiples contratos”.
En su correo, la empresa solicitó ser citada de otra forma, y complementó su respuesta. El Faro reproduce el correo completo, ya que nunca acordó con NSO Group una prerrogativa de este tipo. Esta fue la segunda parte de su correo:
No hay un sistema activo en El Salvador. Cuando la empresa reciba los números relacionados con las denuncias, realizará una investigación para determinar si en el pasado ocurrió un mal uso de su sistema en el país. Si se reciben los números y la investigación demuestra que el sistema fue mal utilizado en el pasado por alguno de sus clientes, la empresa actuará con todas las medidas a su alcance en base a los acuerdos contractuales.
El cinco de enero, este periódico solicitó vía correo electrónico una entrevista con un representante de Apple, para pedir información sobre el mensaje que Apple envió el 23 de noviembre de 2021 alertando sobre posible espionaje estatal a 12 miembros de El Faro. La empresa no contestó antes de la fecha de publicación de este material.
El miércoles 12 de enero por la mañana, El Faro escribió un correo a la cuenta institucional de la Secretaría de Prensa de la Presidencia y otro a la cuenta institucional de la Secretaría de Comunicaciones de la Presidencia, explicando que había hallazgos irrefutables de intervenciones con Pegasus a 22 miembros del periódico y solicitando una entrevista con un representante gubernamental para ahondar en este tema. Hasta la hora de publicación, no hubo respuesta.
Tras diez años trabajando con intervenciones de este tipo, Scott-Railton asegura haber encontrado un patrón en la respuesta de los Gobiernos sobre el uso de Pegasus: “En mi experiencia, es la norma que lo nieguen”.
Source link