martes, 20 de junio de 2017

Cómo empezó el reportaje sobre espionaje de Azam Ahmed y Nicole Perlroth para el New York Times/ 19 de junio de 2017

Azam Ahmed
One morning earlier this year, I got a call from Mario E. Patrón, a prominent human rights lawyer in Mexico. He wanted to talk in person. When he arrived at The New York Times’s Mexico bureau, he took a seat in the conference room and asked me for my phone. He then collected the phones of everyone else in the room, walked them outside and placed them in our lobby. Out of earshot. “Our phones are being monitored,” he told me.

Mr. Patrón went on to explain that he and two other lawyers on his staff at Centro Prodh, including the one representing the families of 43 students missing from a teachers college in Ayotzinapa, had been targeted by highly sophisticated spyware that could take over a cellphone, including the microphone. The spyware, known as Pegasus, could monitor calls, emails, calendar appointments and even encrypted messages. It essentially turned a phone into a personal bug.

Mr. Patrón then introduced me to Luis Fernando García, a digital rights activist who had been tracking the use of the software against activists, journalists and others. He showed me more cases where he suspected individuals had been targeted. I got suspicious that perhaps others had also been targeted, and went looking myself.

As described in an article published Monday, we found that many people were targeted: anti-corruption academics, journalists and the family members of at least two of those who were targeted, including the teenage son of Carmen Aristegui, one of the country’s most prominent reporters. Nearly every person I interviewed did the same thing Mr. Patrón had — moved their phones into a separate location. Carlos Loret de Mola, a well-known journalist, had another approach. He carried some seven cellphones with him at any given time, and used them intermittently to foil any spying attempts.

The messages that were sent to Ms. Aristegui — which included a link to click on that would then install the spyware — especially interested me. As I reviewed them, I began to panic. I’d received identical messages, I recalled, and I remembered clicking on one of them. The link was broken, and I was taken to a blank page. I thought little of it at the time — this was before there had been any reporting on the NSO Group, an Israeli cyberarms manufacturer that made the software, and the suspected misuse of it by the Mexican government. But for months after, my phone often malfunctioned. Dropped calls, calls that would not connect, apps suddenly shutting down. It got bad enough that I wiped the phone.
Of course, that meant we could never check to see if the phone had been targeted. I no longer had the original message with the link to check; and if the software had indeed been downloaded, it was now erased. I continued working, but used a separate phone to conduct my research.
In researching the software, I realized that the person who had written the most about NSO was my own colleague, Nicole Perlroth.

I reached out to Nicole to share what I had, and we decided to team up. I tracked down and interviewed the subjects, with the help of Luis and individuals at Article 19, a journalists rights group in Mexico, and Nicole reported on NSO. In our research, we realized that if the government of Mexico was misusing this spyware, which NSO maintains is sold only to governments and only for use against terrorists and criminals, there was no way to know it. Not even NSO would know. The company cannot track how its clients use — or abuse — the software.

Nicole Perlroth: I first heard about NSO Group at a security conference a couple years ago. A stranger I met at the conference told me that they were the best at what they did — mobile surveillance — which surprised me because I’d been covering cybersecurity for four years and had never heard of them. “That’s why they’re the best,” was the response.
I started running NSO Group by my sources at government agencies and, without fail, the person would turn noticeably skittish. Clearly, I had struck a chord, and I got the sense that NSO Group was a well-kept secret.

Eventually one of these people followed up. They were troubled by the company’s growing client list and were worried NSO’s tools were being used by governments that did not exactly have stellar human rights records. They connected me with someone who was willing to provide internal NSO documents, detailing some of NSO’s clients, pricing, and capabilities for NSO Group’s core product: Pegasus, a mobile tracking system that can invisibly track everything you do on your phone. It could track your every conversation, email, text, call, calendar, keystroke, online banking details, and whereabouts. Basically the company had designed the digital equivalent of having a full-time tail, only better because Pegasus could record anything picked up by your phone’s microphone or even its camera.

I published a story about what I learned last September. That story — and a report by some researchers at Citizen Lab at the Munk School at the University of Toronto detailing the use of Pegasus on an Emirati human rights activist and one Mexican journalist — proved a wake-up call to other activists and journalists to scour their phones for traces of the spyware.

NSO Group has always maintained that its tools are only used for criminal and terrorist activity and that it has a strict vetting process in place to determine which governments it will sell to and which it will not, based on each country’s human rights record. But after September, I started to hear from more and more people who were getting suspicious text messages that we later confirmed were laced with NSO spyware. These weren’t criminals or terrorists — far from it.
Empresa israelí de tecnología de espionaje fundada en 2010 por 
Niv Carmi, Shalev Hulio y Omri Lavie

In most cases, they were actually healthy policy experts and advocates, some who worked in government themselves, who all had one thing in common: They were all vocal proponents of Mexico’s national soda tax. It was clear that either a Mexican government authority was using Pegasus to advance the soda industry’s interests. Or, NSO’s tools were being accessed by outside parties. Almost immediately after I published that story last February, I learned this was only the tip of the iceberg. 

Soon I was hearing from digital rights activists in Mexico that they had confirmed cases of NSO spyware targeting attorneys at the Centro de Derechos Humanos Miguel Augustin Pro, a Mexican human rights organization that represents the families of the 43 Mexican students who mysteriously disappeared two years ago, among high-profile corruption cases. Azam Ahmed was also hearing of similar cases, at Centro Pro, but also among journalists and their family members and we decided to team up.

The most disturbing part of this story is how little recourse there is for abuse. Once NSO’s tools make their way into government hands, it is left to governments to police themselves.
NSO really only learns of cases of abuse from journalists, or indirectly from the victims themselves.

While there have been attempts, to this day there is still no global body regulating the use of spyware. It has been mostly left to journalists to uncover instances of abuse, and even then it’s clear nobody is looking over anyone’s should to make sure this never happens again. In fact, these tools are only spreading to more governments, many of them with terrible human rights records, and it’s distressing to know that we’re probably only skimming the surface.

Azam Ahmed (Reportero de NYT):Una mañana a principios de este año, recibí una llamada de Mario E. Patrón, un destacado abogado de derechos humanos en México.
Quería hablar en persona. Cuando llegó a la oficina de The New York Times México, tomó un asiento en la sala de conferencias y me pidió mi teléfono. A continuación, recogió los móviles de todos los demás en la habitación, salió y los puso en el lobby, fuera del alcance del oído. "Nuestros teléfonos están siendo monitoreados", me dijo. El Sr. Patrón pasó a explicar que él y otros dos abogados de su personal en el Centro Prodh, incluyendo uno que representa a las familias de los 43 estudiantes que faltan en una escuela en Ayotzinapa, habían sido blanco de un software espía altamente sofisticado que podría adueñarse de un teléfono celular, incluyendo el micrófono. El software espía, conocido como Pegasus , podía monitorear las llamadas, correos electrónicos, citas e incluso mensajes cifrados. En esencia, convertía al teléfono en tu virus personal. 
Después de explicármelo, el Señor Patrón me presentó a Luis Fernando García, un defensor de derechos digitales que había estado siguiendo el uso del software contra activistas, periodistas y demás. Él me mostró más casos en los que sospechaba que los individuos habían sido su blanco. También tuve esa sospecha, y busqué en mí mismo. Como describo en un artículo que publicamos (Nicole y yo) ayer, encontramos que muchas personas fueron objeto de ataque: académicos contra la corrupción, periodistas y miembros de familia de al menos dos de ellos, entre los que estaba el hijo adolescente de Carmen Aristegui, una de las reporteras más prominentes del país. Casi todas las personas que entrevisté hicieron lo mismo que el señor Patrón, movieron sus teléfonos a otro lugar. Pero, Carlos Loret de Mola, un conocido periodista, tenía otro enfoque. En todo momento llevaba unos siete teléfonos celulares con él, y los utilizaba de forma intermitente para frustrar cualquier intento de espionaje.
Los mensajes que fueron enviados a la Sra. Aristegui - que incluían un enlace en el que al hacer clic se instalaba el spyware - me interesaron especialmente. Cuando los revisé, comencé a entrar en pánico. Había recibido mensajes idénticos, hice memoria y recordé haber hecho clic en uno de ellos. El enlace estaba roto, me había llevado a una página en blanco. Poco lo pensé en ese momento, -esto fue antes de que hubiera información sobre el Grupo NSO, un fabricante israelí de ciberarmas que creó el software, y su supuesto uso indebido por parte del Gobierno mexicano-, pero durante meses después, mi teléfono a menudo falló. Llamadas interrumpidas, llamadas que no conectaban, aplicaciones cerradas repentinamente. Fue tan malo que tuve que formatear el teléfono. Por supuesto, eso significaba que nunca podríamos comprobar si mi teléfono había sido blanco del spyware. Ya no tenía el mensaje original con el enlace para comprobarlo, y si el software realmente había sido descargado, lo había borrado. Seguí trabajando, pero usé otro teléfono para llevar a cabo mi investigación. Al investigar el software, me di cuenta de que la persona que más había escrito sobre NSO era mi propia colega, Nicole Perlroth
Me reuní con Nicole para compartir lo que tenía, y decidimos unirnos. Busqué y entrevisté a los sujetos, con la ayuda de Luis y los individuos en Artículo 19, un grupo para los derechos de periodistas en México; Nicole informó sobre NSO. En nuestra investigación, nos dimos cuenta de que si el Gobierno de México estaba utilizando mal este software espía, que la NSO vende sólo a los gobiernos y sólo para su uso contra terroristas y criminales, no había forma de saberlo. Ni siquiera NSO sabría. La empresa no puede rastrear cómo sus clientes utilizan -o abusan- el software
Nicole Perlroth (Reportera de NYT): La primera vez que escuché sobre NSO Group fue en una conferencia de seguridad hace un par de años. Un hombre que conocí en la conferencia me dijo que ellos eran los mejores en lo que hacían -vigilancia móvil-, lo que me sorprendió porque yo había estado cubriendo la ciberseguridad durante cuatro años y nunca había oído hablar de ellos. "Es por eso que son los mejores", fue su respuesta. Comencé a preguntar sobre NSO Group con mis fuentes en las agencias gubernamentales y, sin falta, cada que lo hacía, la persona se volvía notablemente asustadiza. Claramente, había tocado un fibra sensible, y tuve la sensación de que NSO Group era un secreto bien guardado. Finalmente, una de estas personas habló. Estaban preocupados por la creciente lista de clientes de la compañía y por el hecho de que las herramientas de la NSO estuvieran siendo utilizadas por gobiernos que no tenían exactamente brillantes antecedentes de derechos humanos. 
Me conectaron con alguien que estaba dispuesto a proporcionar documentos internos de NSO, detallando algunos de los clientes, precios y la capacidad del producto principal de NSO Group: Pegasus, un sistema de rastreo móvil que puede seguir de forma invisible todo lo que haces en tu teléfono celular. Puede rastrear cada conversación, correo electrónico, texto, llamada, calendario, tecleo, detalles de la banca en línea y tu ubicación. Básicamente, la compañía había diseñado el equivalente digital de traer cola todo el  tiempo; aun mejor, porque Pegasus podría grabar cualquier cosa recogida por el micrófono del teléfono o incluso de la cámara. 
Publiqué una historia sobre lo que aprendí en septiembre pasado. Esa historia -y un informe de algunos investigadores del Citizen Lab de la Escuela Munk, de la Universidad de Toronto, que detalla el uso de Pegasus en un activista de los derechos humanos de Emiratos Árabes y un periodista mexicano- lo que resultó ser un llamado de atención a otros activistas y periodistas para que registraran sus teléfonos en búsqueda de rastros del spyware
El Grupo de NSO siempre ha sostenido que sus herramientas sólo se usan para actividades delictivas y terroristas y que tiene un proceso de investigación estricto para determinar a qué gobiernos se le vende y a cuáles no, basándose en el historial de derechos humanos de cada país. Pero después de septiembre, descubrí que cada vez más personas estaban recibiendo mensajes de texto sospechosos que más tarde confirmamos que estaban "contagiados" por el software espía de NSO. No eran criminales ni terroristas, ni mucho menos. En la mayoría de los casos, eran en realidad, expertos y defensores de políticas públicas de salud, algunos de los cuales trabajaban en el Gobierno, quienes tenían algo en común: todos eran partidarios del impuesto mexicano sobre los refrescos de soda. Estaba claro que una autoridad del Gobierno mexicano estaba usando Pegasus para hacer avanzar los intereses de la industria refresquera. O bien, las herramientas de la NSO estaban siendo utilizadas por partes externas. Casi inmediatamente después de que publicara esa historia, el pasado febrero, supe que esto era sólo la punta del iceberg. Pronto, escuché de activistas de derechos digitales en México que habían confirmado casos del software espía NSO dirigidos a abogados del Centro de Derechos Humanos Miguel Agustín Pro, una organización mexicana que representa a las familias de los 43 estudiantes mexicanos desaparecidos hace dos años, entre casos de corrupción de alto perfil. Azam Ahmed no sólo escuchó casos similares en Centro Pro, también entre periodistas y sus familiares, así que decidimos unirnos. 
La parte más preocupante de esta historia es el recurso que hay para el abuso. Una vez que las herramientas de la NSO llegan a manos del gobierno, estos se lo encargan a la policía. NSO sólo se entera realmente de casos de abuso de periodistas, o indirectamente de las propias víctimas. Si bien ha habido intentos, hasta el día de hoy no existe todavía un organismo mundial que regule el uso de spyware. Se ha dejado principalmente a los periodistas que descubran los casos de abuso, e incluso así, está claro que nadie está supervisando casos para asegurarse de que esto no vuelva a suceder. De hecho, estas herramientas digitales sólo se están extendiendo a más gobiernos, muchos de ellos con terribles historiales de derechos humanos, y resulta preocupante saber que probablemente sólo hemos rozado la superficie del problema.

No hay comentarios: