Espiar es una violación a los derechos humanos, a las leyes mexicanas y a la ética. La cosa se pone peor cuando los espiados son periodistas, activistas y sus familiares. El periodismo necesita tener garantizada la libertad de expresión pero también la de investigación. Un periodista espiado es más vulnerable a ataques y su trabajo crítico se ve amenazado. Un informe publicado por la R3D, Artículo 19 y SocialTIC documentó los intentos por infectar los teléfonos celulares de personalidades como Carmen Aristegui, su equipo de investigación, su hijo Emilio Aristegui, así como a los también periodistas Carlos Loret de Mola, Salvador Camarena, Daniel Lizárraga, entre otros.

¿Qué se sabe?
El informe documenta mensajes SMS que fueron recibidos por los celulares de las víctimas con el objetivo de infectarlos con el malware Pegasus. Se trata de un software malicioso que permite revisar de manera remota las comunicaciones de un aparato (llamadas, mensajes, contactos, redes sociales, cámara, micrófono, etc).

El mensaje habitualmente tenía la siguiente estructura: “Mensaje de señuelo relacionado con la vida privada de la víctima” [Link malicioso con una URL engañosa que infectaba el teléfono al ser visitada].

De esta forma el objetivo era ocasionar que las víctimas hicieran clic en los vínculos maliciosos por la premura de saber más acerca del mensaje de señuelo. A Carmen Aristegui, por ejemplo, le enviaron los siguientes mensajes:

– UNOTV.COM/ ANONYMUS ANUNCIA QUE ATACARA PAGINA DE ARISTEGUI VER DETALLES: [enlace malicioso]
– Querida Carmen fallecio mi hermano en un accidente, estoy devastada, envio datos del velorio, espero asistas: [enlace malicioso]
– Estimado cliente informamos que presentas un problema de pago asociado a tu servicio, ver detalles… [enlace malicioso]

Getty Images / Xijian

¿Por qué se sospecha del gobierno?
El mismo informe reconoce que no se tienen pruebas fehacientes de quién fue el atacante que usó el software Pegasus porque dicho programa está construido para no dejar rastro de quién lo utiliza. Sin embargo, el informe asegura que hay elementos sólidos que permiten suponer que la vigilancia proviene de una agencia gubernamental federal:

– Los mensajes son similares en todos los casos, por lo que provienen de una fuente común.
– Los mensajes fueron enviados en coyunturas donde los periodistas y activistas criticaron las acciones del gobierno federal (Caso Tanhuato, caso Ayotzinapa, caso Tlatlaya, etc).
– El software Pegasus, según sus creadores, solo se vende a gobiernos.
– Se ha documentado que varias agencias gubernamentales (como la PGR y el CISEN) han adquirido el software Pegasus.

Un día después de la publicación del informe, el vocero del gobierno federal se deslindó de tales acciones de espionaje a través de un tuit. Es significativo que el gobierno haya respondido directamente a los editores del New York Times que solo hicieron eco del informe, como si fuera información exclusiva del periódico neoyorquino.

De la misma forma, opiniones como la de Ricardo Alemán pasaron por alto el informe y sus argumentos para centrarse solamente en la nota de prensa del New York Times. Sin duda dicha publicación ayudó a darle notoriedad internacional al tema, pero sería deseable que los actores involucrados y los críticos de dicha información al menos leyeran completa la fuente de origen.

¿Por qué está mal espiar y por qué es peor si lo hace el gobierno?
El espionaje es una violación a la Declaración Universal de los Derechos Humanos que reconoce el derecho a la vida privada. En su artículo 12 dice lo siguiente: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

El Estado mexicano tiene la obligación de hacer valer tales derechos y por lo tanto de brindar protección a la vida privada. Está obligado por haber firmado tal declaración y porque la Constitución le manda respetar los derechos humanos, así como los tratados internacionales. No es un tema menor. Se trata de un derecho humano de primera categoría, equiparable con el derecho a la vida, la libertad, la no discriminación, etc.

Independientemente de quién fue el atacante, el Estado mexicano debe investigar a los responsables y procesarlos de manera ejemplar. El periodismo mexicano, ya de por sí en un estado bastante crítico, necesita que se protejan sus condiciones tanto de expresión como de investigación. Incluso si nunca se completó la infección de los teléfonos móviles, los intentos de espionaje causan miedo que inhibe la labor periodística. El periodismo mexicano necesita garantías de expresión, de seguridad y ahora también de privacidad.

Y peor aún… Si personajes públicos como Carmen Aristegui y Carlos Loret de Mola son vulnerables a este tipo de ataques, ¿Qué puede esperar un ciudadano común?

Getty Images / Westend61

¿Qué se puede hacer para evitar que te espíen digitalmente?
No hay fórmulas infalibles, pues los creadores de software malicioso justamente se dedican a buscar vulnerabilidades. Pero se pueden tomar algunas medidas para minimizar el riesgo de ataques y de infecciones. Una recomendación básica de lectura es el libro electrónico Criptoperiodismo de Pablo Mancini y Nelson Fernández, donde se dan consejos pensados para los periodistas pero que son válidos para cualquier usuario de la red.

Mantener actualizados los sistemas operativos y aplicaciones móviles: Suele ser una tarea tardada y engorrosa, pero necesaria. Muchos virus y malware funcionan gracias a errores de programación que a menudo son resueltos en actualizaciones de seguridad. De esta forma, tener la versión más actualizada hace un poco más difícil la infección.

No acceder a URLs sospechosas o provenientes de remitentes desconocidos: Últimamente es muy común usar acortadores de URLs. Sin embargo estas pueden ser peligrosas porque no sabemos a dónde apuntan. Si un desconocido en la calle nos dijera que fuéramos solos a una dirección desconocida, ¿Iríamos? Probablemente no. Lo mismo aplica para las direcciones electrónicas. Solo hay que seguirlas si son dominios de confianza y si las envían remitentes en quien también confiemos.

Usar contraseñas difíciles, distintas para cada caso y cambiarlas periódicamente: Otra labor tardada y engorrosa que puede marcar la diferencia. Muchos usuarios usan la misma contraseña para el correo, el banco, las redes sociales, etc. De tal forma que si un atacante consigue un solo password se vuelve vulnerable en todas sus otras cuentas. Una recomendación es usar gestores de contraseñas como 1Password que crea contraseñas seguras de forma automática y las archiva de manera encriptada.

Usar antivirus y antimalware (Sí, incluso en Mac y iOS): Windows y Android son los sistemas más vulnerables a virus y malware pero no son los únicos. También los dispositivos de Apple son vulnerables, por lo que no está de más usar antivirus que identifiquen archivos maliciosos y los eliminen.

Usar comunicaciones encriptadas: Sobre todo si tu trabajo es sensible (como en las investigaciones periodísticas), es recomendable usar mensajería instantánea encriptada. Programas como Signal otorgan un nivel de protección relativamente mayor a las populares Messenger o Whatsapp. Para la navegación en web, Tor es una opción para anonimizar la consulta y envío de contenidos en línea.

Guardar copias offline de la información sensible: Hay información vulnerable a ser borrada, copiada o vulnerada. Una buena opción es guardarla en un disco duro o una USB encriptados y guardarlos bajo llave en un lugar de confianza. De esta forma, si hay un ataque en línea habrá una copia asegurada lejos de Internet.

En el peor de los casos, restaurar los sistemas operativos: Si sospechas o confirmas que tus dispositivos han sido infectados por software malicioso, lo mejor será que los restaures por completo. La mayoría de los aparatos permiten hacer un borrado total de la información y una reinstalación del sistema operativo a los ajustes de fábrica. Será como comprar un aparato nuevo. Asegúrate de tener una copia de respaldo de tu información antes de hacerlo, pero ten cuidado de que dicha copia no esté infectada.