Pegasus en Colombia: las claves para entender la denuncia de Petro

La revelación de la posible compra del software espía Pegasus por el Estado colombiano, que hizo el presidente Gustavo Petro este miércoles en horario prime de la televisión, ha dejado más preguntas que respuestas. El mandatario leyó un documento reservado de la inteligencia financiera israelí que señala que a mediados de 2021 la Dirección de Inteligencia de la Policía (Dipol) habría pagado en efectivo 11 millones de dólares por el programa informático israelí, el que tiene la tecnología de espionaje de teléfonos celulares más avanzada del mundo. Amnistía Internacional, oenegé de derechos humanos que le ha seguido la pista a Pegasus, ha advertido que mediante este dispositivo se ha vulnerado la información de, por lo menos, 50.000 personas en el mundo, incluyendo políticos, periodistas, defensores de derechos humanos y activistas.

Esos datos, que van hasta 2021, no incluyen a Colombia. De acuerdo con la información que entregó el presidente, la compra se dio a mediados de ese año, en plenas manifestaciones del paro nacional contra el Gobierno del conservador Iván Duque. El posible negocio ya estaba en el radar mediático. En marzo de este año, el diario israelí Haaretz afirmó que Colombia habría comprado el software a fines de 2021, con un pago de 13 millones de dólares en efectivo, datos similares a los que leyó el mandatario. En ese entonces, medios como W Radio consultaron fuentes oficiales. Todas negaron la compra. Más allá de la fuente que citó el presidente, el dato más novedoso frente a las revelaciones previas es el presunto papel de la Dipol, que encabezaba entonces el general Norberto Mujica Jaime.

Esa dependencia policial ha enfrentado señalamientos por sus contratos para hacer interceptaciones. En 2013 firmó un contrato por más de 335.000 dólares con la empresa alemana Hacking Team, para utilizar su tecnología de espionaje. La compra solo se conoció en 2015, cuando la empresa fue víctima de un ataque informático en el que se vulneraron 400 GB de información, con datos de todos los países que usaban su sistema, incluida Colombia.

Sin embargo, el dato sobre el papel de la Dipol está en disputa. Este diario conoció que, a comienzos de año y tras los interrogantes como consecuencia de la publicación de Haaretz, la Policía negó al Ministerio de Defensa, a través de un oficio, haber comprado Pegasus. Una fuente de esa cartera asegura que han revisado documentación interna y no han encontrado rastro de la transacción. Si está en duda la compra, también está quién habría usado el software y contra quién. “No sé a cuánta gente, no sé los objetivos exactos”, aceptó el presidente en su alocución. Tampoco se ha encontrado el dispositivo físico que alberga el software de inteligencia, un interrogante enorme por los riesgos a la privacidad que conlleva.

Juan Diego Castañeda, codirector de la Fundación Karisma, dedicada a la defensa de los derechos en el mundo digital, explica a EL PAÍS que Pegasus “entrega control total de un dispositivo de la persona chuzada. No funciona como un malware, en el que se debe acceder a un link para infectarse, basta con tener el número telefónico para estar en capacidad de ver todo lo que sucede el dispositivo. Puede acceder a la cámara y los micrófonos en cualquier momento, escuchar las llamadas, ver lo que se escribe (así lo borre o no lo envíe), conocer la geolocalización en tiempo real, saber a qué redes se conecta, acceder a todas las aplicaciones. Es capaz, en últimas, de reemplazar la identidad de una persona”. Se refiere a que, con Pegasus, se pueden hacer acciones como el envío de mensajes desde un celular. “Tienen la capacidad de poner datos a nombre de otra persona; por ejemplo, ubicar fotos, documentos o mensajes en un celular sin que su dueño se dé cuenta”, señala. Eso lo hace la tecnología de interceptación e inteligencia más poderosa del mundo.

Tanto que, aunque es una herramienta que sirve para identificar redes de delincuencia, algunos Estados lo han usado para transgredir todas las líneas rojas. Gracias a una revelación periodística global liderada por Forbidden Stories, en 2021 se confirmó que lo han usado países como España, México, El Salvador, República Dominicana, Emiratos Árabes Unidos, Hungría, Marruecos o Indonesia. El Laboratorio de Seguridad de Amnistía Internacional ha precisado “ya son al menos 18 los países en los que se ha confirmado mediante análisis forenses que se ataca periodistas a través de software espías”, y ha señalado que “es probable que la magnitud real de este abuso de la tecnología de vigilancia sea muy superior en el mundo”.

En Colombia, aun sin saber contra quién se habría utilizado, está sobre la mesa una posibilidad grave: que se haya dirigido contra magistrados de las altas cortes, una hipótesis que tiene como espejo el escándalo de las chuzadas dirigidas desde la Casa de Nariño contra los togados de la Corte Suprema de Justicia a fines del Gobierno de Álvaro Uribe. En su alocución, el presidente Petro mencionó a los magistrados. En junio fue Jorge Enrique Ibáñez, un juez conservador de la Corte Constitucional, quien advirtió que tenía información de que él, su esposa y algunos de sus magistrados auxiliares, estarían siendo intervenidos ilegalmente por el Gobierno. Interpuso una denuncia penal al respecto. Una fuente de la Casa de Nariño le ha confirmado a este diario que el pasado 10 de julio, en una diligencia dirigida por un fiscal delegado ante la Corte Suprema por esa denuncia, se habló de la posibilidad de que Ibáñez estuviera intervenido por Pegasus.

Ese jueves, la Fiscalía General confirmó el vínculo entre lo revelado por Petro y la denuncia. “La Fiscalía incorporó la información revelada públicamente por el jefe de Estado a la indagación de los hechos puestos en conocimiento de la Fiscalía por un magistrado de la Corte Constitucional”, explicó en un comunicado de prensa. Hasta ahora no se conocen otras denuncias concretas sobre el uso de Pegasus en Colombia.

El pasado oscuro de Pegasus en el mundo

La Ley de Inteligencia y Contrainteligencia colombiana establece que los organismos del Estado deben respetar el derecho a la privacidad y a la protección de información personal. Por eso, exige que todas las intervenciones a líneas telefónicas o dispositivos tecnológicos deben estar cobijadas por una orden judicial previa, y que un juez solo puede dar ese aval en el marco de una investigación y con motivos fundados. Eso lleva a que solo se puedan usar tecnologías que permitan el control de su uso. Para Castañeda, de Karisma, Pegasus “difícilmente pasaría los filtros que enmarca la Constitución colombiana”. Aunque ninguna norma prohíbe explícitamente usarlo, “es una tecnología que no garantiza la privacidad de datos ni el control que se le pueda dar a la herramienta”.

Esas debilidades se reflejan en las investigaciones por el mal uso de Pegasus en otros países. En México, por ejemplo, se han identificado al menos 25 periodistas interceptados a través del dispositivo. Uno de los casos que se han hecho públicos es el de Cecilio Pineda, asesinado en 2017, quien había sido víctima de seguimientos durante dos años. Aunque el Gobierno de Enrique Peña Nieto terminó reconociendo que lo adquirió, ha argumentado que el fin era combatir el crimen y no para perseguir a sus opositores.

El grupo de ciberseguridad de la Universidad de Toronto (Canadá), Citizen Lab, tiene uno de los pocos laboratorios de tecnología forense que sirve para identificar a Pegasus. Es un nombre muy conocido en España. En 2022, un informe del ese centro reveló que varios líderes independentistas catalanes, e incluso el presidente Pedro Sánchez, habían sido intervenidos a través de Pegasus entre 2017 y 2020. El Centro Nacional de Inteligencia explicó que había utilizado el software bajo orden judicial, de manera legal, pero las sospechas por su uso han persistido.

Uno de los casos más recientes fue el de la periodista dominicana Nuria Piera, quien identificó que su dispositivo estaba intervenido por Pegasus luego de que publicara varias investigaciones de temas de corrupción en el Gobierno. Amnistía Internacional advirtió que con, ese caso, República Dominicana era el tercer país de Latinoamérica en el que se había identificado el mal uso del software. Colombia podría ser el cuarto.

Suscríbase aquí a la newsletter de EL PAÍS sobre Colombia y aquí al canal en WhatsApp, y reciba todas las claves informativas de la actualidad del país.