Amnistía Internacional, en asociación con The Washington Post, ha revelado nuevos y alarmantes detalles sobre el uso continuado del software espía altamente invasivo Pegasus de NSO Group contra periodistas de renombre en India, uno de los cuales ya había sido víctima de un ataque con el mismo software espía.
Investigaciones forenses del Laboratorio sobre Seguridad de Amnistía Internacional confirmaron que Siddharth Varadarajan, editor fundador de The Wire, y Anand Mangnale, editor de Asia meridional del Proyecto de Investigación sobre el Crimen Organizado y la Corrupción, estaban entre los profesionales del periodismo cuyos teléfonos iPhone habían sido atacados recientemente con el software espía Pegasus; el último caso identificado se produjo en octubre de 2023.
El uso de Pegasus, un tipo de software espía altamente invasivo desarrollado por la empresa de vigilancia israelí NSO Group, se produce en medio de una campaña de represión sin precedentes de la libertad de expresión y de reunión pacíficas emprendida por las autoridades indias y que ha tenido un efecto disuasorio en organizaciones de la sociedad civil, periodistas y activistas.
“Nuestros últimos hallazgos muestran que, cada vez más, los y las profesionales del periodismo en India afrontan la amenaza de la vigilancia ilegítima sólo por hacer su trabajo, junto con otras herramientas de represión, como el encarcelamiento en aplicación de leyes draconianas, campañas de estigmatización, hostigamiento e intimidación”, declaró Donncha Ó Cerbhaill, director del Laboratorio sobre Seguridad de Amnistía Internacional.
“Pese a las reiteradas revelaciones, hay una vergonzosa ausencia de rendición de cuentas por el uso del software espía Pegasus en India que sólo agudiza la sensación de impunidad por estas violaciones de derechos humanos”.
Pruebas forenses revelan actividad de Pegasus
El Laboratorio sobre Seguridad de Amnistía Internacional observó por primera vez indicios de nuevas amenazas del software espía Pegasus contra personas en India durante un control técnico periódico en junio de 2023, varios meses después de que los medios de comunicación informasen de que el gobierno indio estaba tratando de adquirir un nuevo sistema de software espía comercial.
En octubre de 2023, Apple emitió una nueva ronda de notificaciones globales de amenazas a todas las personas usuarias de su teléfono iPhone que podrían haber sido víctimas de “atacantes patrocinados por el Estado”. Según informes, han recibido estas notificacionesmás de 20 periodistas y figuras políticas de la oposición de India.
Como consecuencia, el Laboratorio sobre Seguridad de Amnistía Internacional hizo un análisis forense de los teléfonos de personas de todo el mundo que habían recibido estas notificaciones, entre ellas Siddharth Varadarajan y Anand Mangnale, y encontró rastros de actividad del software espía Pegasus en dispositivos propiedad de ambos periodistas indios.
El Laboratorio sobre Seguridad recuperó del dispositivo de Anand Mangnale pruebas de un exploit de día cero que había sido enviado a su teléfono a través de iMessage el 23 de agosto de 2023 y que estaba diseñado para instalar de forma encubierta el software espía Pegasus. El teléfono tenía el sistema operativo iOS 16.6, la versión más reciente disponible en ese momento.
Los exploits de día cero son software malicioso que permite la instalación de un software espía en un dispositivo sin que la persona afectada tenga que hacer nada, como clicar en un enlace.
El Laboratorio sobre Seguridad identificó también una dirección de correo electrónico controlada por el atacante utilizada como parte del ataque de Pegasus a su dispositivo. Las muestras recuperadas son compatibles con el exploit BLASTPASS de NSO Group, identificado públicamente por Citizen Lab en septiembre de 2021 y parcheado por Apple en su iOS 16.6.1 (CVE-2023-41064).
El teléfono de Anand Mangnale era vulnerable a este exploit de día cero en el momento del ataque. Actualmente no está claro si el intento de introducir exploit logró comprometer su dispositivo.
El intento de atacar el teléfono de Anand Mangnale se produjo en un momento en que éste estaba trabajando en una noticia sobre una presunta manipulación de acciones por un gran conglomerado multinacional en India.
El sitio web del Laboratorio sobre Seguridad de Amnesty Tech contiene un análisis técnico más detallado del exploit y las pruebas forenses complementarias.
Un historial de usos abusivos del software espía
Amnistía Internacional había documentado con anterioridad que el teléfono de Siddharth Varadarajan fue atacado e infectado con software espía Pegasus en 2018. Sus dispositivos fueron posteriormente sometidos a un análisis forense a cargo de un comité técnico establecido por el Tribunal Supremo de India en 2021 tras las revelaciones del Proyecto Pegasus.
En 2022, el comité finalizó su investigación, pero el Tribunal Supremo no ha hecho públicas las conclusiones del informe técnico. Sin embargo, el Tribunal sí señaló que las autoridades indias “no cooperaron” con las investigaciones de dicho comité.
Siddharth Varadarajan fue atacado de nuevo con Pegasus el 16 de octubre de 2023. En su teléfono se identificó la misma dirección de correo electrónico controlada por el atacante utilizada en el ataque con Pegasus contra Anand Mangnale, lo que confirmaba que ambos periodistas habían sido atacados por el mismo cliente de Pegasus.
No hay datos que indiquen que el ataque con Pegasus tuviera éxito en esta ocasión.
“Atacar a periodistas sólo por hacer su trabajo constituye un ataque ilegítimo contra su privacidad y viola su derecho a la libertad de expresión. Todos los Estados, incluido India, tienen la obligación de proteger los derechos humanos protegiendo a las personas de la vigilancia ilegítima”, dijoDonncha Ó Cearbhaill.
Periodistas de The Washington Post contactaron con NSO Group para conocer su respuesta a los hallazgos más recientes.
La empresa dijo: “Aunque NSO no puede comentar sobre clientes concretos, subrayamos de nuevo que todos ellos son agencias de aplicación de la ley y de inteligencia aprobadas que conceden licencia a nuestras tecnologías para el exclusivo fin de combatir el terrorismo y los delitos graves. Las políticas y los contratos de la empresa proporcionan mecanismos para evitar atacar a periodistas, profesionales de la abogacía y quienes defienden los derechos humanos o a disidentes políticos que no están implicados en el terrorismo ni en delitos graves. La empresa no tiene visibilidad de los objetivos ni de la información recogida”.
NSO Group afirma que vende sus productos únicamente a agencias de inteligencia y de aplicación de la ley gubernamentales. Las autoridades indias no han aportado hasta ahora claridad ni transparencia sobre si han adquirido o usado el software espía Pegasus en India.
“Amnistía Internacional pide a todos los países, incluida India, que prohíban el uso y la exportación de software espía altamente invasivo que no pueda auditarse o limitarse en sus funciones”, dijo Donncha Ó Cearbhaill.
La organización también pide que se den a conocer inmediatamente las conclusiones del informe del comité técnico del Tribunal Supremo sobre el uso de Pegasus en India. Además, el gobierno indio debe llevar a cabo una investigación inmediata, independiente, transparente e imparcial sobre todos los casos de vigilancia selectiva, incluso sobre estas revelaciones más recientes.
Para garantizar la transparencia, las autoridades indias deben asimismo revelar públicamente información sobre cualquier contrato anterior, actual o futuro con empresas de vigilancia privada, incluida NSO Group”.
Información complementaria
En octubre de 2022, el Proyecto de Información sobre Crimen Organizado y Corrupción informó, basándose en análisis de bases de datos sobre comercio, que la principal agencia nacional de inteligencia de India, la Oficina de Inteligencia, había recibido en abril de 2017 un envío de hardware de NSO Group que coincidía con la descripción de los equipos usados para ejecutar el sistema Pegasus. Los primeros ataques de Pegasus identificados por Amnistía Internacional en India se produjeron a principios de julio de 2017.
En 2020, Amnistía Internacional y Citizen Lab dieron a conocer una operación coordinada contra defensores y defensoras de los derechos humanos a través de software espía comercial listo para usar en India.
En 2021, como parte del Proyecto Pegasus, Amnistía Internacional, en asociación con Forbidden Stories, reveló que se estaban atacando e infectando dispositivos de numerosos miembros de la sociedad civil y periodistas de India con el software espía Pegasus de NSO Group, incluido Siddharth Varadarajan.
El Laboratorio sobre Seguridad seguirá sometiendo a observación y apoyando a la sociedad civil de todo el mundo preocupada por ataques con software espía y la vigilancia digital ilegítima.
Amnistía Internacional agradece al Digital Security Lab de Reporteros sin Fronteras su apoyo en materia de divulgación y análisis en el marco de esta investigación.
Defensores y defensoras de los derechos humanos, activistas y periodistas que hayan recibido una alerta de seguridad similar de Apple o de otras plataformas pueden contactarnos para recibir apoyo de peritaje digital.