El negocio del ciberespionaje a periodistas en M¨¦xico

El mensaje pas¨® inadvertido, pero oculta una operaci¨®n de vigilancia de muy alto nivel, con tecnolog¨ªa puntera. O, al menos, ese era el plan. En la primavera de 2016, el periodista mexicano Jorge Carrasco acababa de pasar varios meses investigando los Papeles de Panam¨¢ para la revista Proceso. Estando en plena faena, recabando informaci¨®n sobre los clientes mexicanos del tristemente c¨¦lebre bufete paname?o Mossack Fonseca, recibe un mensaje de texto de un n¨²mero desconocido: ¡°Buena tarde Jorge, paso a compartirte la nota que publica hoy Animal Politico y parece importante retomar¡±. Y el mensaje viene con un enlace. ¡°?Qui¨¦n eres?¡±, pregunta el periodista. El emisor no responder¨¢ jam¨¢s.

?Qu¨¦ hay tras este misterio?: se tratar¨ªa de una tentativa de intromisi¨®n del programa inform¨¢tico esp¨ªa Pegasus, vendido por la sociedad israel¨ª NSO Group a varios clientes miembros del Gobierno mexicano. Es lo que concluy¨® el an¨¢lisis t¨¦cnico realizado por el equipo de especialistas de seguridad digital de Amnist¨ªa Internacional, en colaboraci¨®n con Forbidden Stories. Este enlace, si se hace clic en ¨¦l, permite instalar un software invisible que capta todos los datos del tel¨¦fono, particularmente los mensajes de texto, y permite activar a distancia su micr¨®fono y su c¨¢mara. Un atentado temible contra un periodista.

¡°En ese entonces, me hab¨ªa llamado la atenci¨®n ese mensaje, pero recib¨ªa muchos de este estilo¡±, recuerda hoy el periodista, que actualmente es el jefe de redacci¨®n de la revista Proceso.

¡°Probablemente, el mensaje formaba parte de una campa?a en curso en M¨¦xico durante este per¨ªodo¡±, considera Claudio Guarnieri, de Amnesty Security Lab. En ese momento, el programa inform¨¢tico es utilizado ampliamente por los clientes mexicanos. Seg¨²n Amnist¨ªa, el n¨²mero de tel¨¦fono que apuntal¨® a Jorge Carrasco envi¨® tambi¨¦n, durante el mismo per¨ªodo, mensajes de texto con enlaces maliciosos a Carmen Aristegui, una de las m¨¢s famosas periodistas de investigaci¨®n en M¨¦xico. Tras este enlace, un nombre de dominio. ?ste ser¨¢ utilizado, de igual forma, en 2017, para vulnerar, con el mismo programa inform¨¢tico, a varios defensores de un impuesto sobre las bebidas azucaradas.

¡°La selecci¨®n de las personas a las que quer¨ªan llegar no s¨®lo era muy amplia, sino que adem¨¢s era a menudo efectuada de forma bastante imprudente, con mensajes alarmantes y molestos cuyo objetivo era provocar una reacci¨®n por parte de los blancos del software malicioso¡±, explica John Scott-Railton de Citizen Lab, una organizaci¨®n que investiga, desde hace varios a?os, los ataques de este programa inform¨¢tico.

Jorge Carrasco se agrega a la lista de nueve periodistas en cuyos tel¨¦fonos se encontraron rastros de un ataque del programa esp¨ªa Pegasus en M¨¦xico. Desde hace 10 a?os, el pa¨ªs es un gran importador de tecnolog¨ªas de vigilancia, pese a los sucesivos esc¨¢ndalos respecto al uso de esas herramientas contra periodistas y activistas. A pesar de las promesas del Gobierno, no se ha hecho nada para regular su uso, ning¨²n operador de los que previamente utiliz¨® las herramientas fue llevado ante la justicia, y el pa¨ªs sigue importando softwares intrusivos que adquieren en empresas extranjeras.

Atra¨ªdos por la tecnolog¨ªa israel¨ª

Seg¨²n un alto responsable de la DEA, la agencia antidroga estadounidense, unas veinte empresas privadas de software de espionaje vendieron sus programas a varios servicios de polic¨ªa federales y de estados mexicanos. ¡°Pareciera que, en un momento dado, casi todas las tecnolog¨ªas disponibles se presentaron en M¨¦xico, se hicieron demostraciones con ellas y/o fueron utilizadas¡±, explica John Scott-Railton.

Las tecnolog¨ªas israel¨ªes tienen una reputaci¨®n particularmente buena entre los responsables mexicanos. ¡°En M¨¦xico es com¨²n en la comunidad de seguridad e inteligencia considerar que Israel posee las tecnolog¨ªas m¨¢s avanzadas y las mejores t¨¦cnicas de adiestramiento civil y militar¡±, explica Paloma Mendoza Cort¨¦s, analista y consultora en asuntos de seguridad nacional.

M¨¦xico, por lo dem¨¢s, ha sido desde hace tiempo uno de los m¨¢s importantes clientes de NSO. Tras una primera fase de prueba con la secretar¨ªa de la Defensa Nacional (Sedena), la empresa israel¨ª se implant¨® definitivamente en el mercado en 2014, cuando firm¨® un contrato de 32 millones de d¨®lares con el despacho del procurador general. En los correos electr¨®nicos de su competidor italiano, Hacking Team, que fueron masivamente pirateados y difundidos en 2015, se lee, entre l¨ªneas, c¨®mo NSO se volvi¨® poderoso en esa ¨¦poca. Para los vendedores italianos, se trata entonces de ¡°derribar el mito NSO¡± ante los clientes mexicanos fascinados por esta tecnolog¨ªa que promete un acceso total a los tel¨¦fonos captados.

Seg¨²n un experto en seguridad, Gadi Evron, las empresas israel¨ªes ofrecen un abanico de herramientas: abarcan desde la vulneraci¨®n de los programas inform¨¢ticos hasta un servicio, llave en mano, donde el cliente simplemente transmite un n¨²mero de tel¨¦fono o una direcci¨®n de correo electr¨®nico y recibe de vuelta todo lo que requiere saber respecto a su objetivo.

NSO impuso su liderazgo en este mercado. ¡°Somos como un fantasma¡±, se vanagloriaba el cofundador de dicha empresa, Omri Lavie, en 2013. ¡°Somos totalmente invisibles para el blanco, y no dejamos ning¨²n rastro¡±. El producto estrella de la empresa, Pegasus, infecta los tel¨¦fonos de sus objetivos mediante mensajes de texto maliciosos como el que recibi¨® Jorge Carrasco. Sin embargo, alrededor de 2018, la empresa busca m¨¦todos m¨¢s discretos para infectar tel¨¦fonos. ¡°Los mensajes de texto son muy visibles y dejan muchas huellas, a las que los investigadores recurrieron, una y otra vez, para confirmar que hab¨ªan sido v¨ªctimas de un ataque NSO¡±, explica Claudio Guarnieri. En 2019, se supo que la empresa israel¨ª utiliza, desde entonces, una falla de seguridad de la aplicaci¨®n WhatsApp. Actualmente no se necesita ninguna reacci¨®n del usuario, porque simplemente redirecciona el tr¨¢fico de su web en una fracci¨®n de segundo. Una vez que el ataque se ha llevado a cabo exitosamente, el cliente puede aspirar todos los datos del tel¨¦fono de su blanco, puede ver todo.

¡°Pienso que los problemas de abusos probablemente han aumentado en el mundo entero, pero es m¨¢s dif¨ªcil dar con ellos¡±, lamenta John Scott-Railton. ¡°Como NSO y otros tienden a optar por la venta de tecnolog¨ªas ¡®cero-clic¡¯ que no dependen de un mensaje de texto, estamos en una situaci¨®n que dificulta m¨¢s investigar al respecto¡±.

Esta poderosa herramienta, supuestamente creada para combatir el terrorismo y el crimen organizado, puede volverse muy peligrosa si se usa contra periodistas, opositores o activistas. ¡°Gracias al desarrollo de esta tecnolog¨ªa, se puede identificar, en varios lugares, qui¨¦n es el pr¨®ximo Nelson Mandela antes de que ¨¦l mismo sepa que es el pr¨®ximo Nelson Mandela¡±, explica Eitay Mack, un abogado israel¨ª de derechos humanos. Pero el p¨²blico en general dif¨ªcilmente percibe estas herramientas de vigilancia como algo tan amenazante como las armas. ¡°Un arma representa algo malo, algo peligroso¡±, explica el abogado. ¡°Pero un sistema de vigilancia es m¨¢s dif¨ªcil de comprender, es algo que no se puede ver¡±.

En una respuesta escrita a Forbidden Stories, NSO declar¨® que ¡°investiga totalmente todas las denuncias cre¨ªbles de uso abusivo, incluidas las afirmaciones de que [su] tecnolog¨ªa se ha utilizado para fines distintos de la prevenci¨®n e investigaci¨®n leg¨ªtimas del terrorismo u otros delitos¡±.

Respecto a las autoridades israel¨ªes, a pesar de las sucesivas denuncias del uso de Pegasus contra miembros de la sociedad civil, no justifican sancionar a NSO, cuya licencia de exportaci¨®n sigue siendo renovada. ¡°Para el gobierno israel¨ª, vigilar a los periodistas y activistas es algo que simplemente se hace¡±, constata Eitay Mack.

¡°Cuando se eval¨²a una licencia, se toman en consideraci¨®n diversos aspectos, en particular la evaluaci¨®n del pa¨ªs donde ser¨¢ comercializado el producto¡±, respondi¨® a Forbidden Stories un vocero del Ministerio de Defensa de Israel. ¡°Los derechos humanos, la pol¨ªtica y los asuntos de seguridad son tomados en cuenta, absolutamente todos¡±.

Seg¨²n un exempleado de Hacking Team, el objetivo original de la industria de la cibervigilancia era combatir la criminalidad, pero con el paso del tiempo, sus clientes y sus misiones cambiaron. Fue el caso en dicha empresa italiana. ¡°Las grandes agencias de espionaje comenzaron a equiparse para manejar estas operaciones por s¨ª mismas¡±, explica. ¡°Entonces, nos dirigimos a otros segmentos de la clientela, a los pa¨ªses que no tienen herramientas. Poco a poco, cada vez hubo m¨¢s operaciones realmente al borde del l¨ªmite¡­ Y casi al final, la mayor¨ªa de las operaciones claramente hab¨ªa sobrepasado todos los l¨ªmites¡±. El exdirector de Hacking Team, David Vincenzetti, fue contactado por Forbidden Stories, pero no quiso contestar nuestras preguntas.

Por otra parte, hay pa¨ªses como M¨¦xico que priorizan la necesidad de tener herramientas para luchar contra organizaciones criminales poderosas. ¡°Los problemas de seguridad en M¨¦xico, y la forma en que son comunicados, son utilizados como excusa para gastar inmensas cantidades de dinero en la adquisici¨®n de tecnolog¨ªas supuestamente usadas para luchar contra el crimen organizado¡±, explica Luis Fernando Garc¨ªa, director de la organizaci¨®n de defensa de los derechos digitales, R3D. ¡°Incluso, si, como sabemos, la l¨ªnea de demarcaci¨®n entre el crimen organizado y el Gobierno no existe en M¨¦xico, o, a menudo, no es muy clara¡±.

Los gobernadores y la colusi¨®n con los c¨¢rteles

Esta colusi¨®n ocurre principalmente en los Estados, donde algunos funcionarios se vinculan con los carteles que operan en la regi¨®n. La divisi¨®n de M¨¦xico en numerosas entidades es precisamente lo que vuelve a este pa¨ªs tan atractivo para las empresas de cibervigilancia, ya que pueden vender su tecnolog¨ªa, reservada a actores p¨²blicos, a muchos clientes.

La estrategia funciona bien. Tom¨¢s Zer¨®n, director jefe de la Agencia de Investigaci¨®n Criminal (AIC) del despacho del procurador, cree en la soluci¨®n Remote Control System (RCS) de Hacking Team, que permite infectar computadores gracias a archivos maliciosos. Zer¨®n se transforma en embajador del producto ante los estados. ¡°Su idea es ir equipando, paso a paso, en caso de ¨¦xito, a cada procurador local del pa¨ªs con RCS¡±, explica un empleado en un mail de 2014.

Luego de los despachos de los procuradores, vienen los ejecutivos locales, e incluso una empresa p¨²blica, Pemex, que consigue el programa RCS. ¡°La constituci¨®n no les otorga el poder de interceptar las comunicaciones, pero adquirieron herramientas que les permiten justamente hacer eso¡±, explica Luis Fernando Garc¨ªa. Para Paloma Mendoza Cort¨¦s, la falta de legislaci¨®n adecuada y de definiciones claras en materia de seguridad, es la que crear¨ªa una confusi¨®n en el plano jur¨ªdico.

Adem¨¢s, las propias empresas de cibervigilancia no siempre saben claramente quienes son los usuarios finales. Por ejemplo, en 2011, durante varios meses, el intermediario mexicano DTXT Corp. se queda con el software RCS sin entregarlo al supuesto cliente: la polic¨ªa federal. Los empleados de Hacking Team les solicitan una y otra vez que devuelvan firmado el contrato de licencia de usuario, pero no lo consiguen. Un a?o m¨¢s tarde, un empleado comentar¨¢ en una nota general: ¡°Pareciera que es algo que ocurre a menudo en M¨¦xico¡±. El director de DTXT Corp. no respondi¨® las preguntas de Forbidden Stories.

En el estado de Puebla, algunos empleados de la empresa italiana cuentan c¨®mo se llev¨® a cabo una instalaci¨®n particularmente sospechosa. ¡°Deb¨ªan aportar la soluci¨®n para el cliente, y los llevaron a una casa abandonada, sin ventanas, a dos horas de la ciudad¡±, da testimonio un exempleado, que manejaba la situaci¨®n desde lejos. Entonces, uno de los ingenieros de Hacking Team, aterrado, reconoci¨® a un funcionario, Joaqu¨ªn Arenal Romero, de quien sospechaba que estaba vinculado con el cartel de Los Zetas. ¡°No son cosas que pasaban todos los d¨ªas, pero ciertamente ocurr¨ªan a menudo¡±, cuenta otro empleado de la empresa. ¡°A veces llegaban personas que se presentaban como miembros de los servicios secretos, y nos pregunt¨¢bamos, ¡®?pero, qui¨¦nes son estas personas?¡¯¡±. En 2017, entrevistado por New York Times, el Gobierno de Puebla neg¨® haber comprado tecnolog¨ªa alguna de Hacking Team.

Un exempleado de la empresa italiana recuerda que el nivel de profesionalismo variaba mucho de un cliente a otro. ¡°Hab¨ªa agencias de alto nivel, estructuradas, que dispon¨ªan de una sala segura y un auditor en el lugar, que realmente hac¨ªa su trabajo¡±, explica. ¡°Pero tambi¨¦n hab¨ªa agencias que carec¨ªan de todo procedimiento y cualquier persona pod¨ªa hacer cualquier cosa¡±.

Este escenario no ser¨ªa una excepci¨®n, seg¨²n un alto responsable de la DEA estadounidense que afirma que la polic¨ªa que posee esta tecnolog¨ªa tambi¨¦n la vender¨ªa a los c¨¢rteles. Efectivamente, los traficantes de drogas parecen particularmente aficionados a este tipo de programas, como lo mostr¨® el juicio del jefe del c¨¢rtel de Sinaloa, Joaqu¨ªn Guzm¨¢n Loera. Durante una audici¨®n, el que oficiaba como ingeniero para el capo de la droga, reconoci¨® haber comprado ¡°equipos que permit¨ªan acceder a las llamadas telef¨®nicas, a internet, a los mensajes texto¡±. Y a los c¨¢rteles que no tienen sus propios ingenieros, les queda la alternativa de los funcionarios corruptos que, seg¨²n la DEA, aceptan atacar a ciertas personas a cambio de sobornos.

¡°Si la agencia que ten¨ªa nuestra tecnolog¨ªa la compart¨ªa con un c¨¢rtel, no pod¨ªamos saberlo¡±, se justifica un exempleado de Hacking Team. ¡°Y si nos enter¨¢bamos de situaciones abusivas, lo ¨²nico que pod¨ªamos hacer era no renovarles la licencia, y dejarla expirar. Pero no pod¨ªamos detenerla a distancia¡±.

Periodistas vigilados de muy cerca

En el Estado de Veracruz se mont¨® en la d¨¦cada de 1990 una verdadera unidad de espionaje, dirigida por la Secretar¨ªa de Seguridad P¨²blica. Se moviliz¨® una larga red de informantes para reunir informaci¨®n sobre supuestos oponentes pol¨ªticos. La unidad utiliz¨® t¨¦cnicas de inteligencia tradicionales, incluyendo el mantenimiento de fichas personales de los periodistas, seg¨²n un funcionario de alto rango que trabaj¨® para los gobernadores de esos a?os.

Entre 2017 y 2019, la unidad adquiri¨® tambi¨¦n tecnolog¨ªa de punta, proveniente de Europa, en particular. Sin embargo, los correos electr¨®nicos de Hacking Team revelan que, ya en 2012, Veracruz tuvo acceso a una versi¨®n de prueba de RCS. En 2018, el gobernador anunci¨® el cese de las actividades de espionaje, aunque no se sabe si ser¨ªa una suspensi¨®n o un desmantelamiento permanente.

¡°Veracruz dispone de una tecnolog¨ªa muy sofisticada en materia de espionaje; no es Pegasus, pero es tan buena como esta¡±, revela una fuente bien situada. ¡°Los analistas de informaci¨®n tienen mucha experiencia, as¨ª como la capacidad y la tecnolog¨ªa necesarias para piratear computadores y tel¨¦fonos¡±. De esta forma, ellos ser¨ªan considerados como una de las unidades de espionaje estatales m¨¢s sofisticadas y competentes del pa¨ªs. La Secretar¨ªa de Seguridad P¨²blica del Estado de Veracruz no respondi¨® ninguno de los varios correos electr¨®nicos enviados por Forbidden Stories.

La situaci¨®n es particularmente peligrosa para los periodistas. En 2012, Regina Mart¨ªnez, que estaba investigando a dos gobernadores del estado, Fidel Herrera y Javier Duarte, fue asesinada. Seg¨²n Reporteros Sin Fronteras, la elecci¨®n de este ¨²ltimo, en 2010, marc¨® el inicio de una ¨¦poca de terror para los periodistas. Al menos 16 fueron asesinados en los a?os siguientes. Javier Duarte fue finalmente arrestado en Guatemala en 2017, despu¨¦s de seis meses de fuga, por ¡°malversaci¨®n de fondos, enriquecimiento il¨ªcito y lavado de dinero¡±.

Un amigo de Regina Mart¨ªnez de esa ¨¦poca, Andr¨¦s Timoteo, afirma que ella siempre se sent¨ªa vigilada. ¡°Regina escuchaba ruidos en su tel¨¦fono, un eco. Pero a todos nos espiaban, eso era parte de nuestra vida diaria¡±. El mismo Andr¨¦s Timoteo escap¨® de M¨¦xico justo despu¨¦s del asesinato de su amiga, por temor.

En otro Estado, un exempleado de la empresa italiana recuerda haber estado presente en el despacho de un gobernador cuando ¨¦ste vigilaba a una periodista. ¡°Estaba orgulloso¡±, comenta.

En 2017, varias organizaciones mexicanas e internacionales se asociaron para publicar el informe Gobierno Esp¨ªa. Desde el a?o anterior, investigadores y activistas trabajaban en la identificaci¨®n de tentativas de infecci¨®n abusivas cometidas contra periodistas, abogados y militantes anticorrupci¨®n. Encontraron m¨¢s de 80 tentativas de infecci¨®n efectuadas mediante el programa esp¨ªa de NSO en M¨¦xico, entre 2015 y 2016.

El pa¨ªs cuenta con el mayor n¨²mero de casos documentados en el mundo de uso abusivo de este software, con al menos 25 personas vulneradas ileg¨ªtimamente, seg¨²n el grupo de investigaci¨®n Citizen Lab. Nadie parec¨ªa alarmarse en la empresa. ¡°Esto nos hizo preguntarnos si esta firma no otorgaba un trato especial a M¨¦xico, por alg¨²n tipo de favoritismo¡±, se cuestiona John Scott-Railton.

Un portavoz de NSO dijo a Forbidden Stories que la empresa hab¨ªa investigado todos los presuntos abusos de su tecnolog¨ªa, a?adiendo que ¡°en m¨²ltiples casos, NSO [hab¨ªa] rescindido contratos y roto relaciones con clientes despu¨¦s de que se identificaran los abusos¡±, sin nombrar a ning¨²n cliente espec¨ªfico.

Un grupo de expertos de las Naciones Unidas le pidi¨® entonces al Gobierno mexicano que se comprometiera a detener de forma inmediata la vigilancia. ¡°Este compromiso debe incluir el controlar eficazmente los servicios de seguridad y de informaci¨®n para prevenir el uso ilegal de las herramientas de vigilancia del estado¡±, insistieron.

La impunidad, todav¨ªa y siempre

M¨¦xico promete investigar. Diversas asociaciones se suman a periodistas que han sido blanco de espionaje por parte de Pegasus para presentar una demanda. Desde entonces, nada. El despacho del procurador exige recuperar los tel¨¦fonos que fueron objeto de las tentativas de infecci¨®n para hacer avanzar la investigaci¨®n. ¡°El an¨¢lisis del tel¨¦fono es particularmente poco concluyente en este tipo de casos, en parte porque Pegasus dispone de atributos que bloquean el an¨¢lisis t¨¦cnico¡±, replica John Scott-Railton. ¡°Nosotros subrayamos que la red telef¨®nica, o el registro de la implantaci¨®n del mismo Pegasus eran m¨¢s confiables para las pruebas¡±. Por lo dem¨¢s, las ONG implicadas cuestionan la imparcialidad del despacho del procurador, que debe investigar una tecnolog¨ªa luego de haber sido uno de sus clientes.

¡°No est¨¢ claro que el gobierno pueda llevar a cabo una investigaci¨®n independiente realmente ser¨ªa¡±, considera David Kaye, relator especial de la ONU sobre libertad de expresi¨®n hasta julio de 2020. Contactamos el despacho del procurador, pero respondi¨® que no se pronunciaba sobre investigaciones en curso.

Por su parte, en 2018, el presidente mexicano Andr¨¦s Manuel L¨®pez Obrador declar¨® que el Gobierno ya no usaba el programa Pegasus. ¡°Desde entonces, no se refiri¨® m¨¢s al respecto en sus alocuciones cotidianas¡±, lamenta Luis Fernando Garc¨ªa. ¡°Y por el momento no se puede comprobar su compromiso real¡±. El presidente mexicano no respondi¨® la larga lista de preguntas enviadas sobre este tema por Forbidden Stories.

Seg¨²n David Kaye, ¡°estamos en una situaci¨®n donde debemos suponer que estas herramientas todav¨ªa est¨¢n disponibles para ser utilizadas, y que al gobierno le corresponde demostrar que lo hace dentro del marco del estado de derecho¡±.

Finalmente, predomina un sentimiento de impunidad. Ninguno de los operadores, ni de RCS ni de Pegasus, tuvo que enfrentar a la justicia. ¡°Lo m¨¢s probable es que usted no sea atrapado¡±, resume Luis Fernando Garc¨ªa. ¡°Si lo llegaran a atrapar, es muy poco probable que se abra una investigaci¨®n judicial. Si se llegara a abrir una investigaci¨®n judicial, es muy poco probable que usted sea enjuiciado. E, incluso, si llegara a ser enjuiciado, es improbable que las acciones judiciales se mantengan y que sea condenado¡±.

En 2014, Tom¨¢s Zer¨®n, el exdirector de AIC, era conocido como ¡°el comprador final¡± de los sistemas de cibervigilancia, especialmente de Pegasus. Hoy lo buscan las autoridades mexicanas por, entre otras causas, malversaci¨®n de fondos relacionados con tres contratos de adquisici¨®n de material de espionaje, entre 2013 y 2014. Tambi¨¦n lo buscan por falsificar elementos de una investigaci¨®n sobre la desaparici¨®n de 43 estudiantes en el estado de Guerrero en 2014. Previamente, Citizen Lab demostr¨® que un grupo internacional de expertos que estaba investigando este asunto tambi¨¦n fue blanco del software Pegasus.

Seg¨²n el presidente mexicano, actualmente Tom¨¢s Zer¨®n se esconder¨ªa en Israel. ¡°Pienso que claramente Zer¨®n desempe?¨® un papel clave en facilitar los contratos y garantizar su seguridad, en especial en el caso de las empresas de vigilancia israel¨ªes¡±, explica Luis Fernando Garc¨ªa. ¡°Y es una coincidencia interesante que haya escogido como refugio Israel, para escapar de la justicia mexicana¡±.

En tanto, el Ministerio de Relaciones Exteriores de Israel contest¨® muy brevemente: ¡°Israel recibi¨® una solicitud al respecto y estamos examinando este asunto¡±.

Juego de influencia y de corrupci¨®n

Efectivamente, el fugitivo se encontr¨® al centro de un sistema oscuro y muy lucrativo de contratos de cibervigilancia en M¨¦xico. En esta ¨¢rea, la mayor¨ªa de los contratos se firman sin licitaci¨®n alguna y sin la m¨¢s m¨ªnima transparencia, lo que la vuelve un terreno particularmente propicio para la corrupci¨®n. ¡°Se ha vuelto un concurso de tr¨¢fico de influencias¡±, resume Luis Fernando Garc¨ªa. ¡°Las empresas, los intermediarios se pelean entre s¨ª para hacerse amigos del funcionario que toma la decisi¨®n de a qui¨¦n atribuir el contrato¡±.

Entre ¨¦stos, se encuentra Uri Emmanuel Ansbacher, originario de Israel y propietario de numerosas empresas en M¨¦xico. Amigo del director de NSO, Shalev Hulio, ser¨ªa el intermediario de numerosas empresas de cibervigilancia israel¨ªes. Interrogado por Forbidden Stories, Uri Emmanuel Ansbacher neg¨® todo.

Los intermediarios pueden ser empresas de seguridad privadas mexicanas o empresas fantasmas creadas ¨²nicamente para este fin. ¡°Las empresas extranjeras utilizan empresas de seguridad privada mexicanas como intermediarias o crean empresas falsas porque con frecuencia se recurre a la corrupci¨®n de los funcionarios mexicanos, a quienes se les ofrece un porcentaje de la compra para asegurar el contrato¡±, afirma Paloma Mendoza Cort¨¦s. ¡°El resultado ha sido el sobreprecio de productos y servicios de seguridad que compra el gobierno mexicano¡±.

Por ejemplo, un empleado de Hacking Team se refiere al caso de un intermediario: ¡°Se hizo amigo del hijo del jefe de adquisiciones y propuso NSO por 15 millones de d¨®lares. Estoy seguro de que hay buenos beneficios relacionados con esta compra¡±. NSO no quiso responder preguntas sobre ese contrato. Los documentos que se filtraron de la empresa italiana revelaron comisiones importantes para los intermediarios, del orden del 30% en contratos por decenas de miles de d¨®lares.

Ciertos intermediarios mencionados en ese entonces, Neolinx de M¨¦xico y Sym Servicios, siguen activos todav¨ªa. Los datos de importaci¨®n registrados por el gobierno mexicano, que Forbidden Stories pudo consultar con la ayuda de un analista del grupo de expertos C4ADS, muestran que en 2019 las empresas a¨²n importaban material de grupos o firmas israel¨ªes.

El director de Neolinx no respondi¨® las preguntas de Forbidden Stories. El director de Sym Servicios, Niv Yarimi, afirma que desde 2015 ya no hace de intermediario para empresas de cibervigilancia. Ahora concentrar¨ªa sus actividades en el uso de objetos conectados para mejorar la seguridad de las ciudades. Seg¨²n Paloma Mendoza Cort¨¦s, hoy est¨¢ impulsada la l¨®gica de la ¡°ciudad inteligente y segura¡± en las empresas de seguridad privadas para promover sus productos y servicios en M¨¦xico.

Por lo dem¨¢s, otro intermediario mexicano, EyeTech Solutions, recibi¨® dos encargos, en 2016 y 2018, provenientes de la empresa Circles Bulgaria, filial de la firma Circles que pertenece a NSO. El director de operaciones de EyeTech Solutions, Gilad Pait, fue contactado por Forbidden Stories, pero ¨¦l neg¨® que hubiera trabajado con NSO. Luego colg¨® y bloque¨® nuestro n¨²mero telef¨®nico.

Esto obliga a cuestionar la versi¨®n oficial de la retirada de NSO del mercado mexicano. Porque, m¨¢s encima, en mayo de 2019 varios n¨²meros mexicanos aparecieron entre los blancos de Pegasus relacionados con la falla de la aplicaci¨®n WhatsApp. ¡°El gobierno federal dice que no son ellos. Entonces, ?qui¨¦n es? ?Y por qu¨¦ no lo sabemos?¡±, protesta Luis Fernando Garc¨ªa.

?Qu¨¦ pasa con los derechos humanos?

Hay pocas esperanzas de que la respuesta llegue de Israel. Despu¨¦s de que en 2018 se iniciaran acciones judiciales contra NSO, por su negligencia ante los abusos cometidos por el Gobierno mexicano, la justicia israel¨ª cedi¨® a la petici¨®n de la empresa de llevar a cabo el proceso en forma confidencial, pretextando razones de seguridad nacional, de injerencia en las relaciones internacionales de Israel, y de secreto comercial.

De igual forma, respecto a los clientes y las licencias de exportaci¨®n, todo es confidencial. Para las autoridades, ¡°la pol¨ªtica consiste en no denunciar, no decir que es falso, no decir nada¡±, detalla Eitay Mack.

Seg¨²n ¨¦l, incluso las comisiones encargadas de evaluar la pol¨ªtica respecto a los derechos humanos en esas empresas no saben nada de sus clientes. ¡°Si no cuentan con la informaci¨®n, ?c¨®mo pueden promover una reglamentaci¨®n? Es una broma¡±.

El exembajador franc¨¦s G¨¦rard Araud, que actu¨® como consejero exterior de NSO Group en materia de derechos humanos de 2019 a 2020, confirma que no sabe lo que se llev¨® a cabo y lo que no. ¡°El secreto es parte sustancial de la empresa, lo que relativiza mi aporte¡±, explica. ¡°Mi trabajo consist¨ªa principalmente en establecer un di¨¢logo con los inversionistas, m¨¢s que con la misma empresa¡±. Seg¨²n el diplom¨¢tico, ¡°el tema de las tecnolog¨ªas de vigilancia y los derechos humanos requerir¨ªa una legislaci¨®n, o incluso una convenci¨®n de las Naciones Unidas; o abrir un di¨¢logo con las organizaciones de derechos humanos¡±. Por su parte, NSO alab¨® el ¡°importante papel¡± desempe?ado por G¨¦rard Araud como consejero de la empresa.

Un ex empleado de Hacking Team conserva un recuerdo amargo del comit¨¦ de ¨¦tica de la empresa italiana. ¡°Ese Consejo nunca hizo nada, s¨®lo redactaba informes que dec¨ªan que tal pa¨ªs estaba bien, que este otro estaba menos bien, pero que igual se les pod¨ªan vender los productos. Era s¨®lo un show¡±. Su jefe de entonces ten¨ªa una forma de pensar muy simple: ¡°Si un Gobierno dice que una persona es un terrorista, es un terrorista. No es el papel de la empresa involucrarse en el asunto¡±.

¡°Les puedo decir que no les importa en absoluto¡±, confiesa hoy. ¡°Tanto Hacking Team como NSO pretenden que hacen cosas, pero les importa un comino¡±.

Paloma Dupont (Dinechin), Nina Lakhani (The Guardian), Amitai Ziv (Haaretz) y Mathieu Tourli¨¨re (Proceso) contribuyeron a investigar para este art¨ªculo.

La traducci¨®n es de Cristina L¡¯Homme y Maril¨² Ortiz de Rosas.