Una investigación del Times revela cómo el país se convirtió en el usuario más prolífico de Pegasus. Todavía lo utiliza, a pesar de que el gobierno prometió dejar de espiar.
Por: Natalie Kitroeff y Ronen Bergman
Los israelíes habían venido a México para cerrar una venta importante: el ejército mexicano estaba a punto de convertirse en el primer cliente que compraba su producto, el programa espía más avanzado del mundo.
Pero antes de que pudieran cerrar el trato, estalló una discusión sobre el precio y la rapidez de entrega de la herramienta de espionaje. El general mexicano que supervisaba las negociaciones pidió una pausa hasta la noche, según dos personas que estuvieron presentes en las conversaciones y una tercera que conoce cómo fueron las negociaciones.
“Los recogeremos en su hotel y nos aseguraremos de que haya mejor ambiente”, recuerdan que dijo el general.
Esa noche, un grupo de automóviles llegó al hotel de los ejecutivos israelíes y los trasladó a un nuevo lugar para las negociaciones cruciales: un club de estriptís en el corazón de Ciudad de México.
El equipo de seguridad del general le ordenó al resto de la clientela que abandonara el club, según las tres personas que conocen las negociaciones, y las conversaciones se reanudaron.
Fue en marzo de 2011, en ese oscuro cabaret donde las mujeres bailaban sobre el escenario y entre tragos de tequila, donde se gestó el uso del arma cibernética más poderosa que existe.
El programa espía, conocido como Pegasus, se ha convertido desde entonces en sinónimo mundial del escalofriante alcance de la vigilancia estatal. Desde Europa hasta Medio Oriente, los gobiernos han usado esa herramienta para piratear miles de teléfonos móviles.
Ningún lugar ha tenido más experiencia con las capacidades y los peligros de esta tecnología que México, el país que inauguró su difusión por todo el mundo.
Una investigación de The New York Times basada en entrevistas, documentos y pruebas forenses de teléfonos hackeados muestra los intercambios secretos que hicieron que México fuese el primer cliente de Pegasus, y también revela que el país se convirtió en el usuario más prolífico del programa espía más conocido del mundo.
México comenzó a utilizar la herramienta de vigilancia contra civiles que se enfrentaban al Estado, abusos que el país insiste en haber detenido. Pero el Times descubrió que México sigue utilizando Pegasus para espiar a personas que defienden los derechos humanos, incluso en meses recientes.
Muchas herramientas pueden infiltrarse en tu vida digital, pero Pegasus es excepcionalmente potente. Puede infectar tu teléfono sin ningún signo de intrusión y extraer todo lo que tiene —cada correo electrónico, mensaje de texto, foto, cita del calendario— mientras vigila todo lo que haces con el dispositivo, en tiempo real.
Puede grabar todas las pulsaciones del teclado, incluso cuando se utilizan aplicaciones cifradas, y vigilar a través de la cámara del teléfono o escuchar a través de su micrófono, incluso si el dispositivo parece estar apagado.
El programa se ha usado para luchar contra la delincuencia, ayudando a desarticular redes de abusos a menores y a detener a figuras célebres, como Joaquín Guzmán Loera, el narcotraficante conocido como el Chapo.
Pero, una y otra vez, Pegasus también ha sido usado de manera ilegal por gobiernos con el fin de espiar y reprimir a defensores de los derechos humanos, activistas de la democracia, periodistas y otros ciudadanos que desafían la corrupción y los abusos.
Alarmado por el uso de Pegasus para “atacar maliciosamente” a disidentes de todo el mundo, en 2021 el gobierno de Biden incluyó en su lista negra a NSO Group, la empresa israelí que fabrica el programa espía.
Poco después, el Ministerio de Defensa de Israel —que debe aprobar la exportación de Pegasus a otros países— dijo que prohibiría las ventas a naciones donde hubiera riesgo de violaciones de los derechos humanos.
Sin embargo, a pesar de las numerosas pruebas de los abusos de Pegasus en México, el gobierno israelí no ha ordenado finalizar su uso en el país, según cuatro personas que conocen los contratos para el uso de esa tecnología.
De hecho, según esas cuatro personas, el ejército mexicano no solo es el cliente más antiguo de Pegasus sino que también ha atacado más teléfonos móviles con ese programa malicioso que cualquier otra agencia gubernamental del mundo.
Además, el programa espía se sigue usando en el país, y no solo para combatir la delincuencia.
Después de que las revelaciones del uso de Pegasus contra los críticos del gobierno afectaron la gestión de su predecesor, el presidente Andrés Manuel López Obrador, quien llegó al cargo en 2018, prometió detener las prácticas de espionaje del pasado, a las que calificó de “ilegales”.
Pero no lo hizo. Pruebas que no habían sido reveladas hasta este momento muestran que, en fechas tan recientes como la segunda mitad de 2022, Pegasus se infiltró en los teléfonos celulares de dos de los principales defensores de los derechos humanos del país, quienes brindan representación legal a las víctimas de una de las desapariciones masivas más graves en la historia de México.
El ejército tiene un historial de abusos a los derechos humanos y su papel en esa desaparición ha sido uno de los focos de la investigación durante años. Y, a medida que en el último año han aparecido nuevas acusaciones contra los militares en el caso, ambos defensores fueron objetivo de Pegasus en repetidas ocasiones, según las pruebas forenses realizadas por Citizen Lab, un instituto de investigación con sede en la Universidad de Toronto.
El ejército mexicano es la única entidad del país que opera Pegasus en la actualidad, según las cuatro personas familiarizadas con los contratos.
El Ministerio de Defensa israelí no quiso hacer comentarios. La Secretaría de la Defensa Nacional de México no quiso hablar sobre el reciente hackeo, pero dijo que seguía la postura del gobierno, que afirma que los procedimientos de recopilación de información de inteligencia “de ninguna manera están dirigidos” a invadir la vida privada de personalidades políticas, cívicas y de los medios de comunicación.
Se trata de la segunda oleada de ataques contra el teléfono de Santiago Aguirre, uno de los defensores de los derechos humanos. Él también había sido objetivo de Pegasus durante el gobierno anterior, de acuerdo con Citizen Lab.
“En este gobierno, tantas promesas se hicieron de que las cosas iban a ser diferentes”, dijo Aguirre. “Nuestra primera reacción fue como decir: ‘No puede ser que otra vez estemos en la misma’”.
Un portavoz del presidente mexicano declinó hacer comentarios. En un comunicado, NSO Group dijo que “se adhiere a una regulación estricta y no puede revelar la identidad de sus clientes”. La empresa cuestionó la contundencia de los análisis forenses de Citizen Lab, mientras que la organización dijo que no tenía dudas sobre sus conclusiones.
Para verificar si Pegasus hackeó a los dos defensores mexicanos en los últimos meses, NSO Group dijo que necesitaría que le “dieran acceso a los datos”. Pero los defensores dijeron que no estaban dispuestos a darle al socio del espionaje gubernamental más información privada.
Durante mucho tiempo, los inicios del uso de Pegasus en México han estado rodeados de secretismo. Después de la noche en el club de estriptís, los ejecutivos israelíes de NSO Group, que en ese entonces era una empresa emergente, regresaron a Tel Aviv con los lineamientos generales de su primera venta. El próximo paso era un contrato propiamente dicho.
Así que, unos meses después, un equipo de representantes de NSO regresó a México para hacerles demostraciones del programa espía a algunas de las personas más poderosas del país.
El 25 de mayo de 2011, Eran Reshef, un ejecutivo israelí de la industria de defensa que ayudó a negociar el acuerdo, dijo en un correo electrónico al presidente de NSO y a sus dos fundadores que “la demostración al secretario de Defensa y al presidente se hará el próximo viernes”, refiriéndose al presidente de ese momento, Felipe Calderón, y a su secretario de Defensa, Guillermo Galván Galván. Una copia del correo electrónico fue presentada en una demanda israelí por las comisiones de la venta de Pegasus a México.
Dos de las personas que asistieron a la demostración dijeron que se efectuó en una extensa base militar ubicada al borde de Ciudad de México, donde se instalaría la primera máquina de Pegasus.
Por temor a las filtraciones, el ejército mexicano hizo esperar a los ejecutivos israelíes en una diminuta habitación donde se guardaban los artículos de limpieza, para que nadie los viera antes de hacer su presentación. Un soldado armado estaba apostado frente a la puerta.
Cuando Calderón y Galván Galván llegaron, se sentaron frente a las grandes pantallas de la pared y vieron cómo hackeaban un teléfono, según contaron los asistentes.
Udi Doenyas, director de tecnología de NSO Group, quien inventó la arquitectura Pegasus y dirigió el equipo que escribió el código de la primera versión del programa espía, confirmó que conectó el sistema a una pantalla y entregó un teléfono BlackBerry a altos funcionarios mexicanos. Luego les pidió que lo utilizaran.
Mientras lo usaban, el teléfono no mostraba signos de estar en riesgo, pero el sistema Pegasus comenzó a extraer metódicamente todos los datos y los transmitía a la pantalla para que todos los vieran.
Este era el superpoder del programa espía: el ataque furtivo.
Miguel Ángel Sosa, portavoz de Calderón, reconoció que el expresidente visitó las instalaciones de la Secretaría de la Defensa, donde “le fueron hechas diversas presentaciones acerca de las tareas” que se estaban llevando a cabo, “incluidas la recopilación de información e inteligencia”.
Pero también dijo que a Calderón nunca le informaron si finalmente compraron el programa espía, y que al expresidente nunca se le comunicaba —“ni este inquiría”— qué medios se utilizaban para capturar a los delincuentes.
En ese momento, México necesitaba con urgencia una forma fiable de piratear los teléfonos BlackBerry, uno de los dispositivos preferidos de los temibles cárteles de la droga del país. Desde el inicio de su mandato en 2006, Calderón había impulsado la llamada estrategia del capo para enfrentar al crimen organizado, centrándose en los principales líderes de los grupos delictivos.
Para localizar a los capos se necesitaba una tecnología que permitiera que los espías pudieran tener su ubicación constantemente. Los delincuentes eran cautelosos, explican los exfuncionarios de las fuerzas de seguridad, se movían de un lado a otro y apagaban sus teléfonos para evitar ser capturados.
“No te daba tiempo de montar el operativo”, dijo Guillermo Valdés, exdirector del CISEN, que era el equivalente de la CIA en el país, de 2007 a 2011.
A “la hora que apagaba el teléfono”, dijo Valdés, “ya no sabíamos dónde estaba”.
Hasta ese momento, México había dependido mucho de Estados Unidos.
“La presión sobre el ejército para que mejorara sus capacidades de inteligencia era intensa”, dijo Alejandro Hope, exfuncionario de inteligencia durante el gobierno de Calderón. También explicó que un atractivo potencial de Pegasus era que le daría a México su propio sistema.
“Ya no querían depender de los estadounidenses”, dijo Hope.
El ejército firmó el contrato para comprar el programa espía poco después de la demostración.
En septiembre de 2011, unos 30 empleados de NSO, la mayoría del personal de la empresa, volaron a México para instalar Pegasus, probarlo e instruir a un equipo de unos 30 soldados y oficiales mexicanos sobre cómo operar la tecnología, según tres personas familiarizadas con el proceso de instalación. La unidad mexicana elegida para operarlo se llama Centro Militar de Inteligencia, una rama hermética del ejército de la que se tiene poca información pública.
Cuando los mexicanos estuvieron listos para manejar Pegasus por su cuenta, se llevó a cabo una breve ceremonia en diciembre como una forma de “entregar las llaves”, dijeron dos de las personas que conocen los pormenores de la instalación.
Un documento de 2019, que forma parte del enorme hackeo de correos electrónicos militares en México que se efectuó el año pasado, indica que el centro de inteligencia está alojado en un complejo con forma de herradura. Tres personas familiarizadas con las instalaciones dicen que los comandantes miran a través de paredes de cristal internas, mientras la información se despliega en enormes pantallas.
En un documento de 2021, que también fue divulgado por el hackeo, el ejército dice que uno de los principales riesgos a los que se enfrenta el centro es “que se evidencien ante la opinión pública las actividades que se realizan en este centro”.
Pegasus fue adoptado rápidamente por las autoridades mexicanas, y después de que Enrique Peña Nieto asumiera la presidencia en 2012, dos agencias gubernamentales más lo compraron: la oficina del fiscal general y el CISEN, según funcionarios mexicanos y tres personas que conocen los contratos.
En pocos años, el programa espía comenzó a infiltrarse en los teléfonos de algunos de los abogados de derechos humanos, periodistas y activistas anticorrupción más destacados de México, una vigilancia que se alejaba del acuerdo con los israelíes para centrarse en delitos graves y terrorismo.
Las críticas no se hicieron esperar, tanto en el país como en el extranjero, y el escándalo persiguió a Peña Nieto durante el resto de su presidencia. México ha gastado más de 60 millones de dólares en Pegasus, según funcionarios mexicanos que hicieron referencia a los gobiernos anteriores.
El ejército mexicano ha reconocido que solo tuvo Pegasus entre 2011 y 2013. Pero un grupo de expertos independientes que investigan la desaparición de 43 estudiantes que planeaban ir a una protesta afirmó que los militares tenían Pegasus cuando estos fueron secuestrados en 2014, y que estaba espiando los teléfonos de personas implicadas en el crimen durante la noche en que sucedieron los hechos.
No está claro por qué los militares estaban espiando, pero la inteligencia no se utilizó para ayudar a encontrar a los estudiantes, dijeron los expertos.
Después de que López Obrador asumió el cargo en 2018, disolvió la policía federal y sustituyó la agencia mexicana de espionaje por una nueva entidad.
Desde 2019 hasta hoy, solo los militares han tenido Pegasus, dicen cuatro personas con conocimiento de los contratos. Y durante ese tiempo, el programa malicioso se ha seguido usando contra periodistas, defensores de derechos humanos y un político de oposición, según los análisis de Citizen Lab.
Según la legislación mexicana, las entidades gubernamentales necesitan la autorización de un juez para espiar las comunicaciones privadas. Pero en declaraciones públicas, el ejército no ha hecho ninguna solicitud para intervenir esas comunicaciones en los últimos años.
Un jueves por la tarde del pasado diciembre, Aguirre recibió un correo electrónico que parecía sacado de una novela de espías.
“Apple cree que usted es un objetivo de atacantes patrocinados por el Estado que están tratando de comprometer remotamente el iPhone asociado a su ID de Apple”, decía el mensaje, que fue revisado por el Times. “Es probable que estos atacantes lo estén vigilando, de manera individual, por quien es o por lo que hace”.
En 2021, Apple anunció que empezaría a enviar esas advertencias a los usuarios cuyos teléfonos móviles hubieran sido hackeados por programas espía sofisticados. El correo electrónico continuaba diciendo que “los datos sensibles” del teléfono de Aguirre podrían estar comprometidos, “incluso la cámara y el micrófono”.
Años antes, Aguirre, quien es el director ejecutivo del Centro de Derechos Humanos Miguel Agustín Pro Juárez, había sido blanco de Pegasus.
Se le revolvió el estómago al pensar que espías del gobierno revisaban toda su vida digital, desde mensajes con supervivientes de tortura hasta fotos familiares con su hija pequeña.
Luego se dio cuenta: otros también podrían estar en peligro.
Corrió por el pasillo hasta el despacho de María Luisa Aguilar, la defensora principal que lleva el trabajo internacional del grupo. Ella había recibido el mismo correo electrónico.
Ambos se pusieron en contacto con el grupo mexicano de derechos digitales conocido como R3D, que hizo analizar sus datos telefónicos por Citizen Lab. Confirmó que ambos fueron hackeados múltiples veces por Pegasus entre junio y septiembre de 2022.
“Ante los ojos de las fuerzas armadas, representamos un riesgo”, dijo Aguilar. “No quieren perder el poder que han acumulado”.