Los teléfonos de nueve activistas de Bahréin​ fueron hackeados con Pegasus

Los teléfonos celulares de nueve activistas de Bahréin, entre ellos dos a los que se les concedió la protección mediante el asilo y que ahora viven en Londres, fueron hackeados entre junio de 2020 y febrero de 2021 con el software espía de NSO Group, de acuerdo con los nuevos hallazgos de los investigadores de Citizen Lab en la Universidad de Toronto.

Un informe que se publicará este martes revelará que entre los activistas, algunos de ellos estaba siendo monitoreados por los investigadores de Citizen Lab en el momento en que fueron hackeados, se encuentran tres miembros de Waad, un grupo político laico de izquierda que fue suspendido en 2017 durante la represión de la oposición pacífica en Bahréin.

De los nueve activistas que fueron “hackeados con éxito”, Citizen Lab considera, con un “alto grado de confianza”, que fueron objetivos del gobierno de Bahréin, el cual se cree adquirió el acceso al software espía de NSO, denominado Pegasus, en 2017.

NSO es una empresa de vigilancia israelí regulada por el Ministerio de Defensa de Israel, el cual aprueba la venta de la tecnología del software espía a clientes gubernamentales de todo el mundo. NSO afirma que únicamente comercializa su programa a agencias militares, policiales y de inteligencia de 40 países no especificados, con el fin de investigar el terrorismo y la delincuencia, y afirma que investiga rigurosamente el historial de derechos humanos de sus clientes antes de autorizarles el uso de sus herramientas de espionaje. La empresa sostiene que “no opera los sistemas que le vende a sus clientes gubernamentales investigados, y que no tiene acceso a los datos de los objetivos de sus clientes”.

La mayoría de los activistas que aparecen en el informe pidieron no ser nombrados, aunque Citizen Lab los identificó como blogueros, activistas, miembros de Waad, integrantes del Centro de Derechos Humanos de Bahréin y, en un caso, un miembro de al-Wefaq, partido político al que se le ordenó con anterioridad su disolución por parte de la familia Khalifa que gobierna el país.

Los investigadores informaron que algunos de los activistas, entre ellos, por lo menos, uno de Londres, pudieron haber sido hackeados por otro gobierno a través del software espía de NSO. Aunque es incierta la atribución del cliente de esos ataques, Citizen Lab señala que incluso si otro gobierno extranjero fuera el responsable de esos ataques, eso “no excluye la posibilidad de que el destinatario final de la información hackeada fuera el gobierno de Bahréin”.

Entre sus clientes gubernamentales anteriores figuran Arabia Saudita y los Emiratos Árabes Unidos, así como México y Hungría.

Los hallazgos se revelan semanas después de que The Guardian y otros medios de comunicación publicaron el Proyecto Pegasus, una investigación que se enfocó en la filtración de datos de más de 50 mil números telefónicos que, desde 2016, se cree fueron seleccionados como pertenecientes a personas de posible interés para los clientes gubernamentales de NSO.

Citizen Lab señala que confirmó con Forbidden Stories, el cual coordinó la investigación del Proyecto Pegasus y tuvo acceso a la información, que cinco de los dispositivos hackeados aparecían en la lista del proyecto Pegasus. Los datos del Proyecto Pegasus abarcan el periodo 2017-2019, lo que sugiere que las personas cuyos números aparecen en la lista fueron consideradas como posibles objetivos de vigilancia durante un lapso de tiempo antes de ser hackeadas.

El simple hecho de aparecer en la lista no significa que un teléfono fue un objetivo para algún cliente de NSO o que fue hackeado con éxito. Pero el análisis forense de un pequeño número de teléfonos incluidos en la lista descubrió estrechas correlaciones entre la hora y la fecha de un número incluido en los datos y el inicio de la actividad de Pegasus, en algunos casos con tan solo unos segundos de diferencia.

El gobierno de Bahréin, contactado por The Guardian a través de su embajada en Washington, no respondió a la solicitud por sus comentarios.

Tras la publicación de este artículo, un vocero del gobierno de Bahréin comentó en una declaración a The Guardian: “Estas afirmaciones se basan en alegaciones sin fundamento y en conclusiones erróneas. El gobierno de Bahréin tiene el compromiso de salvaguardar los derechos y las libertades de los ciudadanos”.

Un vocero de NSO señaló en un comunicado a The Guardian que no había recibido ningún dato de Citizen Lab y que, por lo tanto, no podía responder a los “rumores” sobre los hallazgos del grupo.

“Como siempre, si NSO recibe información fidedigna relacionada con el uso indebido del sistema, la empresa investigará exhaustivamente las denuncias y actuará en consecuencia con base en los hallazgos”, indicó el vocero.

Los nuevos hallazgos de Citizen Lab indican lo que los activistas han calificado como un marcado deterioro del historial de derechos humanos del gobierno de Bahréin en los últimos años. Los activistas, incluida Amnistía Internacional, han pedido al gobierno de Joe Biden en Estados Unidos que atienda el “ataque constante” a la sociedad civil bahreiní por parte del gobierno y que presione a este país para que elimine el uso de la tortura contra los opositores y la prohibición de los partidos de la oposición y otros grupos de la sociedad civil.

Dos de los blancos, Moosa Mohammed y Yusuf al-Jamri, son ciudadanos bahreiní que actualmente viven en exilio en Londres. El Ministerio del Interior de Reino Unido le otorgó asilo a Jamri en 2018 después de las denuncias de que fue torturado mientras estuvo bajo la custodia de la agencia de inteligencia de Bahréin, la Agencia de Seguridad Nacional. El iPhone 7 de Jamri aparentemente fue hackeado antes de septiembre de 2019, pero Citizen Lab señaló que no pudo precisar si fue hackeado mientras Jamri estuvo en Bahréin o en los Emiratos Árabes Unidos, otro cliente conocido de NSO.

Mohammed, un fotoperiodista que ha denunciado que fue víctima de un intento de asesinato por parte de oficiales de la embajada de Bahréin en Londres en 2019, comentó en un comunicado a The Guardian que quedó “impactado” por los hallazgos de Citizen Lab, incluido el hecho de que su teléfono fue infectado recientemente, a finales del año pasado.

“Cuando huí de la tortura y la persecución en Bahréin, pensé que encontraría seguridad en Londres, pero sigo enfrentándome a la vigilancia y a las agresiones físicas de los regímenes del Golfo. En lugar de protegerme, el gobierno de Reino Unido se ha quedado en silencio”, señaló.

NSO Group ha afirmado que sus clientes gubernamentales solo pueden utilizar su software espía, que esencialmente puede hackear cualquier teléfono sin que el usuario lo sepa, contra presuntos delincuentes, como terroristas o pedófilos.

Sin embargo, este argumento ha sido cuestionado tras las docenas de ejemplos del uso del software espía por parte de los clientes de NSO contra periodistas, activistas de derechos humanos y figuras políticas.

Citizen Lab señaló en su informe: “Aunque NSO Group intenta con frecuencia desacreditar los informes sobre los abusos, su lista de clientes incluye a un gran número de conocidos usuarios que hacen un mal uso de la tecnología de vigilancia. La venta del programa Pegasus a Bahréin es particularmente indignante, considerando que existen pruebas significativas, antiguas y documentadas sobre el uso indebido de productos de vigilancia por parte de Bahréin”.

En Francia, los investigadores de inteligencia confirmaron recientemente que se encontró el software espía Pegasus en los teléfonos de tres periodistas, entre ellos un directivo del canal de televisión internacional del país, France 24. Esa fue la primera vez que una autoridad independiente corroboró los hallazgos del proyecto Pegasus, el cual identificó varios casos en los que funcionarios y periodistas franceses aparentemente fueron seleccionados para una posible vigilancia por parte de los clientes de NSO.

En los últimos casos revelados por Citizen Lab, los investigadores descubrieron que, a partir de febrero de 2021, los clientes de NSO comenzaron a hacer uso de la nueva vulnerabilidad de iMessage denominada “cero clic”, la cual burlaba una función de seguridad de Apple conocida como BlastDoor, que fue diseñada para escanear los mensajes sospechosos antes de indagaran con profundidad en el teléfono. El mismo hallazgo fue reportado por Amnesty Tech, que fue un socio técnico en el Proyecto Pegasus.

Apple, el fabricante de iPhone, ha declarado que condena los ciberataques y que BlastDoor no fue el último de sus esfuerzos de asegurar su función iMessage, la cual fue catalogada como vulnerable por los investigadores de seguridad.

Bahréin fue signatario en 2020 de los acuerdos de Abraham, los cuales establecieron relaciones formales entre Israel y algunos gobiernos árabes, incluidos los Emiratos Árabes Unidos. Mientras que el acuerdo, firmado bajo la administración de Donald Trump, formalizó la cooperación entre los países, se cree que años antes Israel estableció un acuerdo de cooperación en el que se incluyó el acuerdo de venta de la tecnología de NSO tanto para Bahréin como para los Emiratos Árabes Unidos.