El ‘caso Pegasus’: así evolucionó la amplísima red de vigilancia sostenida desde el Gobierno de México
Destapado en 2017, el escándalo de espionaje no ha dejado de crecer hasta convertirse, además, en otro posible asunto de desvío de fondos públicos de la era Peña Nieto
Semana grande para el caso Pegasus en el mundo, particularmente en México, que ha provocado una cascada de reacciones y revelaciones de consecuencias difíciles de prever. El domingo, Amnistía Internacional y la plataforma Forbidden Stories en colaboración con medios de varios países revelaron que clientes del malware, desarrollado y pensado para la lucha contra el crimen organizado y el terrorismo, ...
Semana grande para el caso Pegasus en el mundo, particularmente en México, que ha provocado una cascada de reacciones y revelaciones de consecuencias difíciles de prever. El domingo, Amnistía Internacional y la plataforma Forbidden Stories en colaboración con medios de varios países revelaron que clientes del malware, desarrollado y pensado para la lucha contra el crimen organizado y el terrorismo, lo usaron en realidad para espiar a periodistas, activistas y opositores políticos. México destaca en la lista por la cantidad y calidad de objetivos potenciales del malware, muchos desconocidos hasta ahora, entre ellos el actual presidente, Andrés Manuel López Obrador, y su entorno cercano.
El uso de Pegasus en el país parece así más extendido de lo que se pensaba. Desde 2017, revelaciones periodísticas y de organizaciones de la sociedad civil han dado cuenta de la presunta operación irregular del software espía. En estos años se ha informado igualmente sobre las contrataciones públicas del malware, la mayoría durante el Gobierno de Enrique Peña Nieto (2012-2018), la mayoría repartidas entre la vieja Fiscalía, el Ejército y la agencia federal de espionaje, Cisen. Esta semana, la Fiscalía General de la República, FGR, dijo además que una empresa privada, KBH TRACK, había operado el malware. NSO Group, fabricante de Pegasus, siempre ha mantenido que sus únicos clientes son gobiernos.
La Unidad de Inteligencia Financiera de la Secretaría de Hacienda (UIF) ha informado esta semana también sobre las compañías intermediarias de NSO Group en México, una red de empresas entre las que aparece KBH TRACK, que habrían desviado fondos públicos aprovechando las contrataciones del malware. En total, la red habría recibido más 6.000 millones de pesos en dinero público, algo más de 300 millones de dólares. Aunque es posible que esa cantidad sea bastante mayor. Investigaciones periodísticas en los últimos años han revelado la existencia de contratos cuyas cantidades trascienden los datos de la UIF.
Alejando un poco el lente, el caso Pegasus aparece así como una nueva trama de corrupción al interior del Gobierno de Peña Nieto, con ramificaciones al de Felipe Calderón (2006-2012). Ligado a empresas fachada, el modus operandi de la red recuerda a escándalos de corrupción de la era Peña Nieto, como la Estafa Maestra o casos que ha documentado EL PAÍS, vinculados al Ejército o la Policía Federal.
El principio
Las primeras contrataciones conocidas de Pegasus en México datan de finales del Gobierno de Felipe Calderón, según informó el titular de la UIF, Santiago Nieto, esta semana. De manera oficial no se sabe demasiado sobre el tipo de convenios que se firmaron entonces, las dependencias involucradas, o las personas que estuvieron detrás. El equipo de la periodista Carmen Aristegui ha documentado que el Ejército adquirió el malware por medio de varios contratos firmados entre marzo de 2011 y marzo de 2012. El Ejército habría pagado más de 4.000 millones de pesos por el malware, unos 200 millones de dólares. En 2017, The New York Times publicó un reportaje en el que señalaba que “al menos desde 2011, tres agencias del Gobierno habían comprado Pegasus por un valor total de 80 millones de dólares”.
La consolidación de las relaciones entre NSO Group y el Gobierno mexicano llegaron de todas formas en el sexenio siguiente, ya con Peña Nieto en el poder. Fue entonces cuando el uso de Pegasus se disparó. El contrato del que más datos se conocen hasta el momento es el que firmó la antigua Fiscalía con una intermediaria de NSO en 2014, Grupo Tech Bull, por 32 millones de dólares. Tech Bull, explicó Nieto esta semana, era una filial de otra empresa, Balam Seguridad. Las dos, dijo Nieto, transaccionaron con un grupo de otras 10 empresas fachada el dinero de los contratos por Pegasus. Además, estas otras empresas fachada consiguieron igualmente contratos de dependencias del Gobierno federal y de los gobiernos de Veracruz y el Estado de México.
No se sabe a cuántas personas se espió en total. Según Forbidden Stories y Amnistía Internacional, la lista de objetivos potenciales de los clientes mexicanos de Pegasus ascendía a 15.000. Eso no significa que el Cisen, el Ejército, la vieja Fiscalía o empresas privadas como KBH infectaran 15.000 teléfonos con el malware, pero sí que estaban en el punto de mira.
Las víctimas
Diseñado como herramienta en la lucha contra la delincuencia organizada, el historial de mala praxis en la operación de Pegasus es largo y enredado. En México, las primeras víctimas del malware se conocieron entre mediados de 2016 y principios de 2017, entre ellos estaba un periodista que había investigado un conflicto de intereses de Peña Nieto y un grupo de abogados y activistas que habían batallado para que el Gobierno impusiera un impuesto a los refrescos.
El año pasado, uno de los activistas, Alejandro Calvillo, relataba a este diario cómo infectaron su teléfono. Calvillo decía que en 2016 recibió dos mensajes extraños de números desconocidos. Un texto sugerente y un enlace. El primero no lo abrió. El segundo mencionaba una nota en una revista que tenía que ver con él y lo abrió. Su teléfono se infectó. Todo lo que captó desde entonces el micrófono del celular, su cámara, etcétera, se transmitía automáticamente al aparato de monitoreo de un cliente de Pegasus. ¿De qué cliente se trataba? Calvillo nunca supo.
Estos y otros casos salieron a la luz gracias al trabajo de Citizen Lab, un departamento de la Universidad de Toronto capaz de analizar el rastro que el malware deja en los dispositivos infectados. Entre 2017 y 2019, Citizen Lab documentó 25 intentos de infección con Pegasus en celulares de periodistas, activistas, opositores y sus familias en México. Con las revelaciones del domingo, esta cifra ha quedado obsoleta. Solo en el caso de López Obrador y su entorno son 50 posibles casos más, entre ellos su esposa, hijos y colaboradores cercanos.
Hasta el momento, la FGR solo ha avanzado en el caso de una las víctimas, la periodista Carmen Aristegui, gracias en realidad a los datos que ha aportado la propia reportera y por un informante, un extrabajador de KBH TRACK. En cuanto al resto, la Fiscalía dijo esta semana que está a la “espera de que varios denunciantes puedan aportar sus teléfonos celulares para que se extraiga la información correspondiente para efectos de judicialización”.
A cuatro años de las primeras denuncias, el avance de la dependencia resulta escaso. Organizaciones de la sociedad civil que han seguido el caso, como el Centro de Derechos Humanos Miguel Agustín Pro o la Red en Defensa de los Derechos Digitales han criticado la lentitud de la Fiscalía y su falta de transparencia.
La investigación
Desde hace cuatro años, las víctimas de Pegasus se preguntan quiénes y por qué trataron de infectar sus teléfonos. A falta de confirmación oficial, el porqué parece claro en algunos casos: son personas que molestaban al Gobierno, bien por su insistencia en empujar reformas legislativas, bien por investigaciones sobre el actuar de la propia Administración. En otros, el motivo es algo más difuso.
La magnitud del presunto espionaje resulta potencialmente gigantesca. En ningún otro país del mundo los clientes de Pegasus tenían tantos objetivos como en México. La revelación esta semana además de que una empresa privada operó el malware acaba por revolver una situación ya de por sí compleja. Apenas ahora empiezan a conocerse los nombres de las personas detrás de la red de empresas que intermediaron entre el Gobierno de Peña Nieto y NSO Group. De la misma manera empiezan a confirmarse sospechas de hace tiempo, como la contratación del malware por parte del Cisen, cuyos contratos divulgó este viernes la Red en Defensa por los Derechos Digitales.
Quedan en la mira los titulares del Ejército en el sexenio pasado y el anterior, los generales Salvador Cienfuegos y Guillermo Galván; el secretario de Gobernación de Peña Nieto, Miguel Ángel Osorio Chong, el titular de la fiscalía entonces, Jesús Murillo Karam y su jefe de investigadores, Tomás Zerón, artífice del contrato con Tech Bull. Refugiado en Israel, Zerón está en busca y captura por los delitos de tortura, desaparición forzada y contra la administración de justicia, en el marco de las pesquisas por el caso Ayotzinapa. La Fiscalía le busca igualmente por la compra con sobreprecio de vehículos equipados con sistemas de espionaje, plataformas digitales de inteligencia y la construcción de un centro de la PGR en Querétaro.
Suscríbase aquí a la newsletter de EL PAÍS México y reciba todas las claves informativas de la actualidad de este país