La primera vez que John Scott-Railton entró en contacto con Pegasus, el software espía de la empresa israelí NSO Group, fue en 2016. Luego de recibir mensajes sospechosos en su teléfono, Ahmed Mansoor, un prominente defensor de derechos humanos de los Emiratos Árabes Unidos, buscó a Citizen Lab, el laboratorio de la Universidad de Toronto que en los últimos años ha estado tras la caza del programa de espionaje Pegasus en más de una decena de países. El teléfono de Mansoor fue infectado por ser una voz disidente.
Scott-Railton, investigador sénior de Citizen Lab, ha orquestado el análisis de cientos de teléfonos con sospecha de haber sido blancos de ataques cibernéticos, a través de esta herramienta que busca extraer toda la información almacenada en un dispositivo. Ha trabajado en países como Hungría, Polonia, La India, Arabia Saudí y México para detectar el uso de este programa. Hace un mes, una investigación conjunta con Access Now, otra organización que vela por derechos digitales, concluyó que 35 personas fueron intervenidas en El Salvador con Pegasus, de las que 22 son miembros de El Faro.
A un mes de esa publicación, Scott-Railton enumera los problemas que ha detectado luego de confirmarse que existe un sistema activo de Pegasus en El Salvador. Sobre todo, no ve un interés de parte del Gobierno salvadoreño en esclarecer los hechos. “Si el Gobierno no lo hizo, tienen que investigar; si ellos lo hicieron, debería ser investigado”, sostiene. “Es preocupante el hecho de que no vemos fuertes señales de ninguna de las dos cosas.”
Contrasta el caso de El Salvador con el de Polonia, donde en 2021 detectaron el uso de Pegasus contra cinco miembros de la oposición y activistas. En ese país, dice Scott-Railton, se ha abierto una investigación en el Congreso y se han tomado testimonios de las víctimas e incluso de expertos como él.
El New York Times Magazine describió Pegasus como la “joya de la corona de la industria de defensa israelí”, por su reclutamiento sin iguales de exoperadores élite de la inteligencia israelí y por el aval del Ministerio de Defensa de cada venta al extranjero. Shalev Hulio, CEO de NSO, declaró ante una corte estadounidense que únicamente venden el software a “Estados soberanos como agencias de inteligencia y fuerzas de seguridad estatales” para combatir el crimen y terrorismo. Sin embargo, lejos de ese argumento, Amnistía Internacional considera que el uso de Pegasus “facilita la comisión de abusos sistemáticos” y de violaciones de derechos humanos.
Las tensiones entre los gobiernos de Israel y Estados Unidos en torno a Pegasus se agravaron el pasado noviembre, cuando el Departamento de Comercio de Biden prohibió los negocios entre NSO Group y abastecedores estadounidenses bajo el argumento de que la empresa socava los intereses de seguridad nacional y de política exterior de ese país. Para mediados de diciembre, 18 congresistas demócratas pidieron a Biden imponer duras sanciones a NSO bajo el Global Magnitsky Act, una medida que implica la revocación de visas o la congelación de bienes de violadores de los derechos humanos.
En noviembre, la empresa estadounidense Apple incluyó a 11 empleados de la Embajada estadounidense en Uganda en una serie de correos a usuarios por todo el mundo que advertían la posibilidad de haber sido espiados con Pegasus. En la misma fecha, la empresa también informó a 14 miembros de El Faro que “su iPhone podría ser el blanco de atacantes patrocinados por un Estado”. Para ese día, El Faro ya llevaba dos meses de trabajar en los análisis con Citizen Lab y Access Now, y sus miembros ya habían sido advertidos de que estaban intervenidos con Pegasus. El mismo día de las notificaciones a El Faro, Apple demandó a NSO Group en Estados Unidos por explotar sus sistemas operativos para vigilar a sus usuarios.
Al menos cuatro diputados del oficialismo dijeron haber recibido el correo de Apple en un esfuerzo por desvirtuar que se tratase de un ataque gubernamental. Sin embargo, Scott-Railton sostiene: “Es una práctica común que los autócratas monitoreen a sus aliados y amigos”. A esto añade que a menudo encuentran “evidencia de auto-ataques en torno a alianzas y disputas internas de los partidos y hasta para seguirle el rastro a negociaciones”.
El caso de Pegasus en El Salvador no es el primero en Centroamérica. Un analista del Consejo de Seguridad Nacional de Panamá declaró bajo juramento que el expresidente Ricardo Martinelli (2009 - 2014) consiguió el software de espionaje en 2012 y lo utilizó para seguir el rastro a decenas de adversarios en la política y el empresariado, así como a su amante. Estados Unidos se negó a venderle equipo de espionaje, según WikiLeaks, pero consiguió Pegasus en paralelo a una serie de votos en Naciones Unidas en apoyo a Israel. Las cortes panameñas absolvieron a Martinelli de las acusaciones de espionaje en noviembre.
En el caso de El Salvador, Scott-Railton dice que las percepciones internacionales de Bukele —sobre todo en la comunidad de criptomonedas— como un líder de vanguardia chocaron con los hallazgos de su investigación. Añade que nadie en el Gobierno salvadoreño ha buscado a Citizen Lab para dar seguimiento a su informe. “El Salvador ahora tiene la oportunidad de confrontar aparentes abusos de poder del actual Estado, pero, contrario a eso, la legislatura se mueve en un sentido distinto al autorizar y dar el pretexto jurídico para consolidar más de ese poder”, afirma. “Eso es extremadamente preocupante”.
Tras las revelaciones de Pegasus en El Salvador, ¿cuál fue el impacto internacional que observaron?
Uno de los elementos más interesantes es el número de comunidades que usualmente no ponen atención a los problemas de privacidad y seguridad, pero que esta vez lo hicieron. Pero lo que realmente me llamó la atención es que algunos que sí se preocupan por la privacidad y seguridad, principalmente del mundo de criptomonedas, preguntaron sobre lo que pasaba en El Salvador. Buena parte de las respuestas que vimos fue en forma de pregunta: El Salvador es un gran experimento de criptomonedas, pero ¿habrá un lado más oscuro? ¿Qué más está pasando? Y esa es una conversación interesante para iniciar. Además vimos un número de noticias y publicaciones especializadas en criptomonedas en las que realmente se preguntaban: “¿Es El Salvador el lugar correcto para este experimento de criptomonedas?”.
El uso de Pegasus en El Salvador ha despertado la preocupación de la comunidad de criptomonedas, algo que no vimos cuando la Asamblea removió a los magistrados de la Corte Suprema. ¿Por qué piensa que el uso de un programa de espionaje resonó en la comunidad de criptomonedas?
La comunidad cripto piensa mucho sobre la privacidad y seguridad, sobre cómo resguardar los bienes de uno y sobre cómo usar las criptomonedas como una herramienta de liberación y para resistir frente a abusos gubernamentales. Si tú contrastas eso con el uso de Pegasus, Pegasus es como el ejemplo más claro de un abuso gubernamental que se me ocurre. Tristemente, entonces, hay esta disonancia en el caso de El Salvador y no es abstracto. No es que solo periodistas y otros en El Salvador fueron blancos de Pegasus. La preocupación es que si potencialmente tú, como inversor de criptomonedas, vas a El Salvador, existe la duda de si también podrías convertirte en blanco de ataque. Eso hace que las cosas sean muy concretas y preocupantes para muchas personas.
Podemos afirmar que en El Salvador se confirmó un sistema activo de Pegasus, y su reporte técnico demostró que hay un uso obsesivo del programa, pero aún vemos que hay silencio desde el Gobierno. ¿Qué le dice esto a usted?
Creo que si el Gobierno no lo hubiera hecho, hubieran hecho un mayor esfuerzo para desmentir, o hubieran dicho, “miren, seremos transparentes”. Aquí está lo que tenemos y lo que no”. Esto no es lo que hemos visto en el caso de El Salvador. Y así terminan pareciendo culpables.
En su experiencia, ¿es común que los gobiernos ignoren este tipo de investigaciones?
Diferentes gobiernos lo manejan de distintas maneras. Pero lo que me sorprendió del caso de El Salvador fue que hay dos posibilidades de lo que está ocurriendo aquí: o la Administración Bukele generó este ataque o fue otro gobierno. Si se trata de otro gobierno, claramente hay motivo de preocupación por la seguridad nacional de El Salvador. Si se trata de la Administración Bukele, entonces queda la pregunta muy seria de si los derechos constitucionales y civiles de los ciudadanos han sido violados. Evidentemente, el Gobierno no quiere abordar ninguna de estas preguntas. Eso es muy preocupante, considerando que El Salvador, al menos en teoría, es una democracia.
Según el fiscal general de la República, se investigará el uso de Pegasus. ¿La Fiscalía les ha buscado?
Hasta donde sé, nadie del Gobierno de El Salvador ha entrado en contacto conmigo o alguien más para hacernos más preguntas. De nuevo, eso es preocupante debido al alcance y la escala de los abusos que fueron revelados.
En caso de hacer una investigación, ¿tendrían que buscarles para obtener más información, ¿no?
Creo que eso sería una parte natural de cualquier investigación. Pero dicho eso, nuestro método y la evidencia son muy claros y el reporte que publicamos fue validado independientemente por Amnistía Internacional. Eso es suficiente para empezar cualquier tipo de investigación. A menos que haya una investigación en curso y ellos no la hayan mencionado, no he visto ninguna señal de ello. Pero, de nuevo, podría haber cosas de las que no estoy al tanto.
La semana pasada vimos a la Asamblea Legislativa aprobar algunas reformas al Código Procesal Penal que prácticamente legalizan el espionaje. Considerando que hace apenas unas semanas fue publicada la investigación sobre las intervenciones de Pegasus, ¿qué opina al respecto?
Hay una pregunta abierta: ¿deberían la Policía y los servicios de seguridad pública estar tecnológicamente capacitados para realizar investigaciones? ¿Debería incluir la capacidad de hacer un monitoreo muy invasivo? Un requisito, en cualquier Estado democrático debe ser la supervisión y rendición de cuentas. El problema que hemos visto en El Salvador es lo que aparenta ser un uso de Pegasus sin rendición de cuentas. Si el Gobierno no lo hizo, tienen que investigar; si ellos lo hicieron, debería ser investigado. Es preocupante el hecho de que no vemos fuertes señales de ninguna de las dos cosas. Ciertamente es preocupante el uso de esas herramientas y tecnologías. Creo que muchos quisiéramos ver señales del Gobierno de que están tomando esto con seriedad, en vez de crear estructuras legales que pueden justificar potenciales abusos a futuro.
¿Por qué la ciudadanía y la sociedad civil salvadoreña también deberían estar preocupadas por esto?
El Salvador tiene una larga y preocupante historia con el poder desmesurado del Estado, y con el abuso por parte del Estado de herramientas tecnológicas y capacitación desde el extranjero. El caso Pegasus parece ser un capítulo más en esta preocupante historia y, si en verdad fue el Gobierno de El Salvador, esto es una señal fuerte de que muchas otras cosas también están mal. Pegasus es solo una tecnología, hay muchas otras tecnologías de monitoreo para seguimiento de personas, para ubicarlas, y buena parte de los gobiernos tienen accesos a esas tecnologías. Los salvadoreños deberían preguntarse si estas tecnologías, como la intervención de teléfonos a escala masiva, la intercepción de mensajes de texto y el rastreo de teléfonos a través de la red de telecomunicaciones, también están siendo desplegadas en su contra. De ser así, ¿para qué?
Luego de confirmarse el uso de Pegasus en un país, ¿cómo reaccionan los gobiernos? ¿También aprueban reformas para legalizar el espionaje?
El caso que se me viene a la mente es uno que pasó casi al mismo tiempo de El Salvador: el de ataques de Pegasus contra varios miembros de la sociedad civil y de la oposición en Polonia. Es interesante ver que ahora la historia es muy diferente allá. Pegasus ha sido un escándalo nacional en Polonia. El Senado polaco ha abierto una comisión de investigación que está tomando testimonios, incluidos el mío y el de mi colega de Citizen Lab, Bill Marczak, de investigadores de Amnistía Internacional y de las víctimas, para tratar de llegar al fondo de lo que ha pasado. Para mí, eso parece ser una secuencia de eventos más natural tras una revelación como esta en una democracia. Esto realmente exige una investigación. Es profundamente alarmante el hecho de que, en lugar de ello, lo que vemos es un proyecto jurídico que potencialmente proporcionó más autorización y justificación para este tipo de comportamiento, que es claramente abusivo.
¿Cuántos casos encontraron en Polonia?
Polonia tiene un escándalo sustancial, pero creo que nosotros, como investigadores, solo confirmamos cinco casos. El caso más conocido fue el de un miembro del Parlamento que lideró las elecciones del Parlamento en 2019 y él fue blanco mientras realizaba la estrategia electoral. Es muy preocupante para la democracia —y en Polonia en general— el rol que posiblemente esté desempeñando este software. También conocimos el caso de alguien que había escrito un libro crítico sobre el partido oficialista. Vimos a un fiscal que había hecho preguntas muy duras al partido oficialista, un abogado prominente cuyos clientes incluían políticos polacos de larga trayectoria y el líder de un movimiento de trabajadores agrícolas. Ninguno de ellos encaja en el perfil de mercadeo de Pegasus, ¿no? Supuestamente está diseñado para rastrear a terroristas y tal. En lugar de ello, estas son personas que realmente parecen amenazar al partido oficialista.
¿Qué diferencias hay entre este caso y el de El Salvador?
Para mí, algo que es especialmente preocupante sobre este caso: El Salvador tiene una historia de abusos de poder desde el Estado. Ahora tiene la oportunidad de confrontar aparentes abusos de poder del actual Estado, pero contrario a eso, la legislatura se mueve en un sentido distinto al autorizar y dar el pretexto jurídico para consolidar más de ese poder. Para mí, eso es extremadamente preocupante.
Sobre el Proyecto Pegasus, desarrollado en una docena de países en los que se confirmó el uso de este programa, ¿qué tipo de países son estos?
El Proyecto Pegasus fue liderado por un consorcio de organizaciones de noticias, bajo la colaboración de Forbidden Stories, y con el soporte técnico de Amnistía Internacional. Desde Citizen Lab hicimos una “revisión de pares” de la metodología técnica. Como investigadores, hemos visto que muchas de las infecciones de Pegasus alrededor del mundo han ocurrido en dictaduras, pero en años recientes hemos descubierto cada vez más casos en democracias. Muy frecuentemente son democracias en declive autoritario: Polonia y Hungría lo ejemplifican. Pegasus es gasolina para los incendios autoritarios. Concede a un Estado un acceso asombroso y sin precedentes a un mundo personal, a su historia, a sus comportamientos, a todo lo dicho y hecho y a las relaciones interpersonales. Es tremendamente invasivo y peligroso en una democracia que un Estado asuma ese poder. Es aún más peligroso cuando ese poder es usado irresponsablemente y sin rendición de cuentas.
¿Se sorprendió al encontrar Pegasus en El Salvador?
Estaba consternado y decepcionado. Creo que mucha gente alrededor del mundo vieron el experimento de Bukele desde lejos y pensaron: ‘aquí hay un gobernante millenial moderno, a la moda. Además, está hablando sobre bitcoin y de libertad financiera y autonomía’. Pero el contraste entre esa percepción y los hallazgos de nuestra investigación es realmente dramático. Lo que encontramos en nuestra investigación fue el intenso y obsesivo ataque a periodistas y otras personas que están siendo críticas de esta administración y han revelado escándalos en este gobierno. Eso es un contraste disonante y muy preocupante.
¿Qué pasó después? ¿Otras personas les contactaron en busca de ayuda?
Citizen Lab no brinda comentario sobre investigaciones activas y que no han sido publicadas, pero puedo decir que estamos muy interesados en el caso de El Salvador. Estén atentos.