WhatsApp y el Citizen Lab han revelado que más de 1,400 personas, en al menos 20 países alrededor del mundo, fueron atacadas con el malware Pegasus mediante la explotación de una vulnerabilidad en la plataforma de mensajería instantánea.
Este artículo fue publicado originalmente en articulo19.org el 29 de octubre de 2019.
- WhatsApp señala a NSO Group como responsable del ataque a su plataforma de mensajería instantánea.
- 1,400 personas de al menos 20 países fueron objetivos de Pegasus a través de WhatsApp, incluyendo más de 100 casos en contra de personas periodistas y defensoras de derechos humanos..
- Pegasus ha sido utilizado contra personas en México durante los primeros meses de 2019.
- Gobierno mexicano debe implementar moratoria a las tecnologías de vigilancia, garantizar investigación imparcial de los casos documentados e impulsar reforma legal para regular estas herramientas.
WhatsApp y el Citizen Lab de la Universidad de Toronto han revelado el día de hoy que más de 1,400 personas, en al menos 20 países alrededor del mundo, fueron atacadas con el malware Pegasus mediante la explotación de una vulnerabilidad en la plataforma de mensajería instantánea. Se identificaron más de cien integrantes de la sociedad civil, periodistas, activistas y personas defensoras de derechos humanos atacados por esta vía.
A inicios de mayo de 2019, WhatsApp descubrió una vulnerabilidad que permitía a un atacante infectar un teléfono a través de una llamada de voz. El código malicioso fue desarrollado por la empresa israelí NSO Group, a quien han responsabilizado por el incidente. Bajo este método de ataque, el malware se ejecutaba sin importar si el usuario respondía o no la llamada.
Al instalarse en un dispositivo, Pegasus obtiene acceso a todos los archivos, mensajes de texto, llamadas, contraseñas y datos almacenados. El malware también accede a la geolocalización en tiempo real del equipo, así como a la activación remota del micrófono y cámara. De este modo, una vez comprometido el teléfono, el atacante puede alterar el historial de llamadas para que su infección pase desapercibida.
Tras descubrir la vulnerabilidad, el equipo de WhatsApp publicó un parche de seguridad el 13 de mayo, por lo que los usuarios que cuentan con una versión actualizada del software ya no son susceptibles de ser atacados bajo este método.
Dentro de los datos que ha revelado WhatsApp sobre el alcance de estos ataques, destaca la detección de un número de objetivos en México durante los primeros meses de 2019. La empresa no ha revelado la cifra exacta ni la identidad de las personas afectadas, pero ha indicado que les ha enviado una notificación este día para informarles sobre la alta probabilidad de haber sido blanco de un ataque.
Ante estas revelaciones, las organizaciones expresamos nuestra preocupación por la continuación del uso del malware Pegasus en México, sobre todo frente a los antecedentes de abuso en contra de periodistas y defensores de derechos humanos, cuyos casos permanecen en la impunidad; así como la ausencia de una regulación adecuada para impedir que este tipo de tecnologías sean abusadas y garantizar la rendición de cuentas.
Asimismo, cabe recordar que, en febrero de este año, la Fiscalía General de la República (FGR) informó al Instituto Nacional de Acceso a la Información, Transparencia y Protección de Datos Personales (INAI), sobre la supuesta desinstalación de Pegasus de los equipos donde se operaba.
Por lo tanto, hacemos un llamado para que el gobierno federal clarifique y transparente cuáles son las autoridades mexicanas que han adquirido y usado Pegasus, así como las medidas de control que, en su caso, han sido implementadas para evitar que sean utilizadas de manera ilegal y para evitar la impunidad en casos de abuso.
De la misma manera, frente a los múltiples abusos documentados alrededor del mundo, sobre todo en contra de personas periodistas y defensoras de derechos humanos, hacemos eco del llamado del relator especial para la libertad de expresión de la Organización de las Naciones Unidas, David Kaye –al que se ha unido WhatsApp el día de hoy– en torno a la necesidad urgente de una moratoria a la adquisición y uso de estas tecnologías de vigilancia hasta que se establezcan marcos regulatorios que cumplan con los derechos humanos.
Al respecto, recordamos que desde el año 2018, los relatores de las Naciones Unidas y la Comisión Interamericana de Derechos Humanos (CIDH) recomendaron a México la aprobación de una serie de reformas legislativas, con el fin de garantizar controles judiciales a la vigilancia, la transparencia del uso de estas herramientas y el debido proceso para aquellos que hayan sido objetivos de las mismas. En este sentido, reiteramos nuestra disposición para colaborar en la pronta implementación de la recomendación para emprender una reforma al marco legal que regule la compra y utilización de herramientas de vigilancia gubernamental.
Igualmente, insistimos en la exigencia de que se atienda la recomendación hecha por los relatores sobre la necesidad de garantizar una investigación imparcial e independiente de los casos previos de espionaje en contra de activistas, periodistas y personas defensoras de derechos humanos.
Las organizaciones apreciamos el esfuerzo que ha realizado WhatsApp por las acciones tomadas para esclarecer y proteger a las personas usuarias de sus servicios. También reconocemos su voluntad de sumarse al urgente llamado global para frenar y prevenir abusos cometidos por el uso opaco, ilegal y sin rendición de cuentas de estas tecnologías. La afrenta que empresas como NSO Group representan para los derechos humanos requiere de la cooperación y el compromiso de todas las partes involucradas.
Por último, extendemos una invitación a las personas notificadas por WhatsApp para que se pongan en contacto con R3D: Red en Defensa de los Derechos Digitales, ARTICLE 19 Oficina para México y Centroamérica y/o SocialTIC en caso de que consideren el incidente como un abuso a sus derechos y deseen emprender acciones posteriores.