La última víctima del ciberespía NSO

Cuando el periodista marroquí Omar Radi recibió el análisis forense de su móvil, se llevó una angustiosa sorpresa. Un examen técnico de Amnistía Internacional (AI) desveló que su terminal había sido rastreado con Pegasus, un potente programa espía desarrollado por la compañía israelí NSO que –en teoría- solo pueden adquirir gobiernos para combatir el crimen y el terrorismo.

Pegasus husmeó en silencio y sin levantar sospechas en el teléfono de este reportero y activista pro derechos humanos. Mensajes, conversaciones, fotos, ubicación… El móvil del periodista, de 33 años, quedó al desnudo. Y se transformó en la diana de tres exitosas infecciones entre enero de 2019 y enero de 2020, según el análisis forense de AI.

Esta información forma parte de un trabajo coordinado por la organización de periodistas Forbidden Stories, donde ha participado EL PAÍS con 15 medios como The Washington Post, The Guardian y Le Monde.

Fundador del portal marroquí de noticias LeDesk, Radi se vio envuelto en abril de 2019 en una monumental polémica. El fuego se originó cuando el reportero tildó en Twitter de “verdugo de nuestros hermanos” al juez que condenó a cuatro activistas rifeños a penas de hasta 20 años de cárcel. Los sentenciados eran seguidores de Hirak, un movimiento contra la política de Rabat que eclosionó en Alhucemas en octubre de 2016. Un vendedor ambulante de pescado que murió triturado en un camión de basura cuando intentaba recuperar su mercancía confiscada por la policía prendió la mecha de la protesta.

El periodista fue encarcelado por su tuit cinco días el pasado diciembre. Y un tribunal de primera instancia de Aïn Sebaa le condenó en marzo a cuatro meses de prisión por su “afrenta” contra un juez. Su mensaje en la red social culminaba con: “¡Ni olvido ni perdón para estos funcionarios sin dignidad!”.

Durante este periodo, el iPhone de Radi fue espiado -según el informe de AI- con el indetectable método network injection. La técnica permite instalar un programa espía sin descargar ningún archivo. Los atacantes consiguieron redirigir el móvil de este informador a webs maliciosas creadas ad hoc -al menos- en tres ocasiones en 2019: 27 de enero, 11 de febrero y 13 de septiembre. Para penetrar en el terminal, se utilizaron los dominios free247downloads y urlpush, según el citado análisis forense.

A diferencia de otros ataques utilizados por NSO en 2018, que requerían pinchar en mensajes de texto infectados o WhatsApp, el asalto al móvil del reportero se fraguó -según AI- sin que la víctima interactuara. Y fue más sofisticado que los métodos lanzados por la compañía israelí para penetrar desde 2017 en los dispositivos de los activistas marroquíes Maati Monjib y Abdessadak El Bouchattaoui.

Pegasus no es un sistema de espionaje al uso. Su peligrosidad radica en que aparece y desaparece de los móviles. Pese a su piel camaleónica, el teléfono de Radi tenía “evidencias técnicas” de la intrusión, según el informe. El examen comparó los datos recabados el pasado enero en el terminal del periodista con otros dispositivos conquistados por Pegasus.

“Hay un riesgo de que mis comunicaciones on line sean rastreadas”, responde Radi en una entrevista coordinada por Forbidden Stories donde han remitido sus preguntas los medios internacionales que han participado en el proyecto. Y relata que otro análisis forense reveló que su ordenador fue infectado hace años con un virus del competidor de NSO, la firma italiana Hacking Team.

Desde entonces, Radi teme por sus comunicaciones. “Tengo fuentes que podrían tener un problema si son descubiertas”, advierte. Y, para blindarse, cambia frecuentemente de número, se comunica con Signal y el navegador Tor y recurre a teléfonos de amigos para tratar asuntos sensibles.

El reportero tuvo que abortar un reportaje para Le Monde sobre los campesinos de la ciudad marroquí de Ifrán después de que algunos datos personales aparecieran en una misteriosa web llamada 360.

Citizen Lab, un equipo adscrito a la Universidad de Toronto que investiga sobre tecnología y seguridad global, reveló en 2018 que NSO trabajaba para 45 Estados y que disponía de un operador en Marruecos llamado Atlas para sus ataques en este país.

El uso de la tecnología de network injection de NSO afloró en julio de 2015 después de que Hacking Team sufriera un hackeo de 400 gigas en sus servidores. La filtración reveló el manual técnico de Pegasus, una tecnología que requiere una infraestructura física para sus intrusiones.

El grupo internacional de periodistas que ha participado en este artículo ha intentado sin éxito recabar la versión del Gobierno marroquí a través de un cuestionario sobre el caso de Radi.

“El Gobierno marroquí fue cliente activo de NSO hasta enero de 2020 y continúa atacando a los defensores de los derechos humanos como Radi”, indica un portavoz de AI. Claudio Guarnieri, jefe del laboratorio de seguridad de esta organización en Berlín, destaca para sostener esta tesis la importancia en estos ataques de la proximidad física al objetivo y el acceso al operador telefónico.

NSO, que dice solo vender su sistema de espionaje a gobiernos, policías y militares con el objetivo de prevenir el crimen, expresa su “profunda preocupación” ante las acusaciones de que Pegasus fuera usado para husmear en el móvil de Radi, según la respuesta a un cuestionario elaborado por los medios que participan en este proyecto.

La compañía declina desvelar si Marruecos contrató su programa espía. “Debido a la política de confidencialidad, no podemos confirmar ni desmentir qué autoridades han usado nuestra tecnología”, dice un portavoz de NSO.

Preguntado por el caso de Radi, la compañía israelí sostiene que investigará, si fuera necesario, si su aplicación fue mal utilizada y afirma que sus clientes están obligados por contrato a participar en estas pesquisas que podrían acabar con la cancelación del servicio.

Bill Marczak, de Citizen Lab, cuestiona el compromiso con los derechos humanos de NSO. Y sostiene que la compañía israelí “mantiene una relación directa con sus clientes al proporcionar las actualizaciones de sus programas”.

Los tentáculos de Pegasus no solo alcanzaron el iPhone de Radi. El silencioso espía también fue utilizado para tratar de monitorizar los teléfonos de los periodistas mexicanos del semanario Río Doce Andrés Villareal e Ismael Bojórquez, según Citizen Lab. “Asesinan a balazos a un sujeto en pleno centro de Culiacán”, rezaba el mensaje trampa que recibió este último en mayo de 2017 en su móvil.