¿El gobierno espía? Sí, pero…

¿Quiénes están detrás de los intentos de espionaje a periodistas y activistas mexicanos? Parece que todos tienen ya su veredicto, pero…

El reportaje del New York Times y la investigación de Citizen Lab

El 19 de junio de 2017, el New York Times publicó el artículo Using Text as Lures, Government Spyware Targets Mexican Journalists and Their Families, desde el cual denuncia que el gobierno mexicano espió a periodistas, activistas y defensores de derechos humanos. El artículo se basó en el reporte del Citizen Lab, Reckless Exploit: Mexican Journalists, Lawyers, and a Child Targeted with NSO Spyware. En el reporte del Citizen Lab, se documentan al menos setenta y seis mensajes con enlaces a sitios identificados con el malware Pegasus, el cual permite tomar control del teléfono de quien acceda al enlace.

Citizen Lab ya había publicado el 11 de febrero de 2017 un reporte del espionaje a los celulares de representantes de ONGs en México, Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links, utilizando el mismo malware Pegasus. También ellos fueron los que denunciaron el intento de espionaje por medio de Pegasus del que fuera objeto el activista Ahmed Mansoor, defensor de los derechos humanos en los Emiratos Árabes Unidos.

De acuerdo a NSO Group, proveedor de Pegasus, este solo es vendido a gobiernos. R3D ha documentado que quienes han adquirido este producto son, al menos, el CISEN, la PGR y SEDENA.

Citizen Lab pudo identificar, a través de los mensajes que recibieron tanto activistas como reporteros, dos dominios que fueron los principales enlaces en dichos mensajes: unonoticias[.]net y smsmensaje[.]mx.

El 28 de junio de 2017, Milenio dio cuenta de documentación oficial donde se constata la compra de Pegasus por parte de la PGR. En la información presentada por Carlos Puig se puede ver que el contrato de adquisición fue firmado el 29 de octubre de 2014, pagando 32 millones de dólares a la empresa mexicana Grupo Tech Bull.

Los datos de los dominios

Consultamos la base de datos Whois en febrero de 2017, después de que Citizen Lab publicara el estudio de espionaje a los activistas mexicanos. Encontramos que los dominios unonoticias[.]net y smsmensaje[.]mx fueron registrados el 19 de agosto de 2014 y que en los datos de contacto del registro figura Eran Benami, al parecer, un ciudadano israelí, con la dirección incompleta «eje central lazaro cardenas colonia mexico city» (sic).

El correo en dicho registro es eran.benami401@gmail.com y el teléfono es +52.972543587074. Este número no es mexicano, ya que ningún número en México tiene doce dígitos. El código de larga distancia de México es +52, y es agregado automáticamente por algunos formatos de registro de sitios. Al investigar el número 972543587074, encontramos que corresponde a un celular en Israel, operado por la compañía Orange.

Con estos mismos datos de contacto, encontramos otros seis nombres de dominio que también han sido identificados como parte del malware Pegasus: googleplay-store[.]com, whatsapp-app[.]com, banca-movil[.]com, bestday-sales[.]com, y0utube[.]com.mx y fb-accounts[.]com.

Tómate un momento para volver a leer esto último.

Te acabamos de decir que encontramos los datos de contacto de dos dominios en la base de datos Whois. También, gracias a esos datos, pudimos identificar otros seis dominios, los que también figuran en los registros de portadores del Malware Pegasus.

Ahora, busca en Whois la información de yalochecaste.com. Haz lo mismo con el dominio eldeforma.com.

Si realizaste el ejercicio, te habrás dado cuenta que los datos de contacto de yalochecaste.com y eldeforma.com son privados. Para esto, pagas aproximadamente diez dólares adicionales y listo. El dominio webadv[.]co, desde donde se dieron los ataques Pegasus dirigidos a Mansoor, así como veinticuatro de otros veintinueve identificados como parte de la infraestructura de Pegasus, también cuentan con esta protección. No es el caso de ninguno de los ocho sitios donde Eran Benami figura como contacto.

También leíste que los dominios relacionados con la mayor cantidad de ataques reportados por Citizen Lab, unonoticias[.]net y smsmensaje[.]mx, fueron dados de alta el 19 de agosto de 2014. Esto es, dos meses antes que la PGR adquiriera Pegasus, de acuerdo a la información de Milenio.

Tampoco entendimos qué quiso decir Ricardo Alemán

El 26 de julio de 2017, Ricardo Alemán publicó en Milenio el artículo ¡Fue montaje, más que espionaje! ¡Las pruebas!, el cual fue el más reciente de una serie donde justifica su percepción de que todo esto es un ataque al presidente.

Entre las pruebas que nos comparte, las cuales obtuvo de www.laletraroja.com, Alemán habla de:
Una fuente confidencial que afirma que Pegasus fue declarado obsoleto por el gobierno en 2013.
– Un programa para hackear Whatsapp.
– Un complot para hacer una conferencia de prensa el mismo día de la publicación en el NYT.

Remata insinuando tráfico de información.

Las… ¿conclusiones?

Vamos por partes.

El Citizen Lab utilizó para su estudio la palabra «reckless» para referirse al espionaje, es decir, descuidado, imprudente. Parte de esto tiene que ver con la insistencia de los mensajes, los cuales hicieron obvio para los destinatarios que se trataba de algo turbio.

Ninguno de los dominios utilizados protegió la identidad del contacto, algo básico para cualquiera que registre un dominio que será utilizado en espionaje, como lo mencionó el usuario de Twitter .

Encontrar el nombre Eran Benami es lo más sencillo del mundo. ¿Por qué nadie habla de él? ¿Saben que existe ese dato? ¿Alguien se tomó el tiempo de marcar al teléfono celular de Israel? ¿Sale caro hablar?

El reportaje de Milenio apunta a la PGR. Sin embargo, los nombres de dominio utilizados en este intento de espionaje fueron dados de alta dos meses antes de que la PGR adquiriera Pegasus. En serio, es algo fácil de encontrar. ¿Nadie lo vio?

Claro que, antes de vender un proyecto, es normal hacer un prototipo para que el comprador lo apruebe. Eso podría explicar que esos dos nombres de dominio fueran registrados dos meses antes.

Existen tres formas de espiar:
Te espío y no te das cuenta porque soy un profesional.
Te espío y te das cuenta porque soy muy torpe para hacer mi trabajo.
Te espío y te das cuenta porque quiero que te des cuenta.

Y, lo de Ricardo Alemán…

Según su fuente confidencial, el programa fue declarado obsoleto en 2013. La compra en 2014 contradice esto.

  también señaló lo evidente en relación al programa que se compra en cien pesos. Es para espiar en Whatsapp y no tiene nada que ver con Pegasus. Cualquiera que conozca tantito del tema lo sabe.

No es complot, se llama cortesía profesional, y se da entre periodistas. Cuando conviva con alguno se dará cuenta. Cuando un periódico está por publicar un reportaje donde colaboraste o que es acerca de ti, lo normal es que te digan cuándo se publica.

Por último

Este intento de espionaje es tan obvio que parece dirigido por Maxwell Smart, en caso de que haya ido en serio, o el objetivo pudo ser simplemente la intimidación.

No existen suficientes pruebas como para demostrar que alguna dependencia en específico está detrás de esto. Tampoco hay evidencia contundente que las exonere.

Hay muchas preguntas sin responder. Lo peor, es que hay preguntas básicas que nadie se ha hecho.

¿Quieres saber qué es lo que no te has preguntado? Te recomendamos seguir a  en Twitter. 

¿Ya lo checaste?

Comentarios