Amnistía Internacional, en asociación con The Washington Post, ha revelado nuevos detalles sobre el uso continuado del software espía altamente invasivo Pegasus de NSO Group contra periodistas de renombre en India, uno de los cuales ya había sido víctima de un ataque con el mismo software espía.
Donncha Ó Cearbhaill, director del Laboratorio sobre Seguridad de Amnistía Internacional explica que los últimos hallazgos muestran que, «cada vez más, los profesionales del periodismo en el país afrontan la amenaza de la vigilancia ilegítima sólo por hacer su trabajo, junto con otras herramientas de represión, como el encarcelamiento en aplicación de leyes draconianas, campañas de estigmatización, hostigamiento e intimidación».
Investigaciones forenses del Laboratorio sobre Seguridad de Amnistía Internacional han confirmado que Siddharth Varadarajan, editor fundador de The Wire, y Anand Mangnale, editor de Asia meridional del Proyecto de Investigación sobre el Crimen Organizado y la Corrupción, estaban entre los profesionales del periodismo cuyos teléfonos iPhone habían sido atacados recientemente con el software espía Pegasus; el último caso identificado se produjo en octubre de 2023.
El uso de Pegasus se produce en medio de una campaña de represión sin precedentes de la libertad de expresión y de reunión pacíficas emprendida por las autoridades indias y que ha tenido un efecto disuasorio en organizaciones de la sociedad civil, periodistas y activistas.
«Pese a las reiteradas revelaciones, hay una vergonzosa ausencia de rendición de cuentas por el uso del software espía Pegasus en India que sólo agudiza la sensación de impunidad por estas violaciones de derechos humanos», continúa Ó Cearbhaill.
El Laboratorio sobre Seguridad de Amnistía Internacional observó por primera vez indicios de nuevas amenazas del software espía Pegasus contra personas en India durante un control técnico periódico en junio de 2023, varios meses después de que los medios de comunicación informasen de que el gobierno indio estaba tratando de adquirir un nuevo sistema de software espía comercial.
En octubre de 2023, Apple emitió una nueva ronda de notificaciones globales de amenazas a todas las personas usuarias de su teléfono iPhone que podrían haber sido víctimas de «atacantes patrocinados por el Estado». Hasta ahora han recibido estas notificaciones más de 20 periodistas y figuras políticas de la oposición de India.
Como consecuencia, el Laboratorio sobre Seguridad de Amnistía Internacional hizo un análisis forense de los teléfonos de personas de todo el mundo que habían recibido estas notificaciones, entre ellas Siddharth Varadarajan y Anand Mangnale, y encontró rastros de actividad del software espía Pegasus en dispositivos propiedad de ambos periodistas indios.
El Laboratorio sobre Seguridad recuperó del dispositivo de Anand Mangnale pruebas de un exploit de día cero que había sido enviado a su teléfono a través de iMessage el 23 de agosto de 2023 y que estaba diseñado para instalar de forma encubierta el software espía Pegasus. El teléfono tenía el sistema operativo iOS 16.6, la versión más reciente disponible en ese momento.
Los exploits de día cero son software malicioso que permite la instalación de un software espía en un dispositivo sin que la persona afectada tenga que hacer nada, como hacer clic en un enlace.
El Laboratorio sobre Seguridad identificó también una dirección de correo electrónico controlada por el atacante utilizada como parte del ataque de Pegasus a su dispositivo. Las muestras recuperadas son compatibles con el exploit BLASTPASS de NSO Group, identificado públicamente por Citizen Lab en septiembre de 2021 y parcheado por Apple en su iOS 16.6.1 (CVE-2023-41064).
El teléfono de Anand Mangnale era vulnerable a este exploit de día cero en el momento del ataque. Actualmente no está claro si el intento de introducir exploit logró comprometer su dispositivo.
El intento de atacar el teléfono de Anand Mangnale se produjo en un momento en que éste estaba trabajando en una noticia sobre una presunta manipulación de acciones por un gran conglomerado multinacional en India.
Un historial de usos abusivos del software espía
Amnistía Internacional había documentado con anterioridad que el teléfono de Siddharth Varadarajan fue atacado e infectado con software espía Pegasus en 2018. Sus dispositivos fueron posteriormente sometidos a un análisis forense a cargo de un comité técnico establecido por el Tribunal Supremo de India en 2021 tras las revelaciones del Proyecto Pegasus.
En 2022, el comité finalizó su investigación, pero el Tribunal Supremo no ha hecho públicas las conclusiones del informe técnico. Sin embargo, el Tribunal sí señaló que las autoridades indias «no cooperaron» con las investigaciones de dicho comité.
Siddharth Varadarajan fue atacado de nuevo con Pegasus el 16 de octubre de 2023. En su teléfono se identificó la misma dirección de correo electrónico controlada por el atacante utilizada en el ataque con Pegasus contra Anand Mangnale, lo que confirmaba que ambos periodistas habían sido atacados por el mismo cliente de Pegasus.
No hay datos que indiquen que el ataque con Pegasus tuviera éxito en esta ocasión.
«Atacar a periodistas sólo por hacer su trabajo constituye un ataque ilegítimo contra su privacidad y viola su derecho a la libertad de expresión. Todos los Estados, incluido India, tienen la obligación de proteger los derechos humanos protegiendo a las personas de la vigilancia ilegítima», comenta Donncha Ó Cearbhaill.
Periodistas de The Washington Post han contactado con NSO Group para conocer su respuesta a los hallazgos más recientes. La empresa ha dicho que «aunque NSO no puede comentar sobre clientes concretos, subrayamos de nuevo que todos ellos son agencias de aplicación de la ley y de inteligencia aprobadas que conceden licencia a nuestras tecnologías para el exclusivo fin de combatir el terrorismo y los delitos graves. Las políticas y los contratos de la empresa proporcionan mecanismos para evitar atacar a periodistas, profesionales de la abogacía y quienes defienden los derechos humanos o a disidentes políticos que no están implicados en el terrorismo ni en delitos graves. La empresa no tiene visibilidad de los objetivos ni de la información recogida».
NSO Group afirma que vende sus productos únicamente a agencias de inteligencia y de aplicación de la ley gubernamentales. Las autoridades indias no han aportado hasta ahora claridad ni transparencia sobre si han adquirido o usado el software espía Pegasus en India.
«Amnistía Internacional pide a todos los países, incluida India, que prohíban el uso y la exportación de software espía altamente invasivo que no pueda auditarse o limitarse en sus funciones», dice el director del Laboratorio sobre Seguridad de Amnistía Internacional.
La organización también pide que se den a conocer inmediatamente las conclusiones del informe del comité técnico del Tribunal Supremo sobre el uso de Pegasus en India. Además, el gobierno indio «debe llevar a cabo una investigación inmediata, independiente, transparente e imparcial sobre todos los casos de vigilancia selectiva, incluso sobre estas revelaciones más recientes». Y para garantizar la transparencia, las autoridades indias deben, asimismo, «revelar públicamente información sobre cualquier contrato anterior, actual o futuro con empresas de vigilancia privada, incluida NSO Group».
