El Laboratorio Citizen Lab confirmó que en mayo de 2017 se utilizó el software Pegasus para espiar a dos periodistas de Ríodoce, pero tanto la Procuraduría General de la República (PGR) como la hoy Fiscalía General de la República (FGR) declararon al Instituto Nacional de Acceso a la Información (INAI) que en dicha fecha el programa no se utilizó.
Lea: Documentan espionaje contra Ríodoce https://bit.ly/2EbSped
En el informe sobre el resultado de la verificación del caso Pegasus realizado por el INAI y fechado el 20 de febrero de 2019, el Instituto le solicitó aclarar a la PGR si de 2015 a julio de 2018 realizó adquisiciones diversas del software Pegasus o de sus actualizaciones, debiendo indicar si aún cuenta con la licencia que le permita el uso de la tecnología.
La PGR respondió que no realizó “adquisición diversa, ni actualización alguna del software mencionado”; y que la vigencia del contrato de adquisición de la tecnología mencionada fue del 29 de octubre al 31 de diciembre de 2014.
La versión de la PGR fue desmentida el 18 de febrero pasado por la FGR, la cual informó al INAI que la anterior Procuraduría gastó 220 millones de pesos entre 2016 y 2017 en la contratación de actualizaciones de la licencia del programa Pegasus, pero que no lo utilizó.
La PGR también le dijo al INAI que desinstaló el programa, pero no acreditó cuándo ni bajo qué circunstancias lo hizo. Tampoco aclaró por qué siguió contratando la actualización de licencias, si no hizo uso del software.
Las inconsistencias y contradicciones de las respuestas proporcionadas por la PGR y FGR, llevaron a que el Instituto Nacional de Acceso a la Información ordenara que se presentara una denuncia penal para que se investigue y sancione a los responsables.
“A la luz de las constancias que obran en la investigación preliminar y la verificación realizadas por este Instituto quedan abiertas algunas dudas razonables… como: las razones para adquirir en repetidas ocasiones los derechos para utilizar el software a pesar de no utilizarlo, o bien, las razones que llevaron a decidir no utilizarlo a pesar de contar con él. Toda inversión de recursos públicos debe probar su eficiencia, eficacia y efectividad. Los indicios advertidos por esta ponencia motivan a analizar la pertinencia de interponer una denuncia penal en contra de quien resulte responsable”.
El INAI aclara que no advirtió elementos para acreditar que personas u organizaciones hayan sido objetivos de intentos de infección del software Pegasus atribuibles a la PGR, pero no pudo corroborarlo.
“La Unidad de Investigaciones (Cibernéticas y Operaciones Tecnológicas) recibió dicho activo (en octubre de 2017 del Centro Nacional De Planeación, Análisis e Información para el Combate a la Delincuencia) cuando el contrato de licenciamiento respectivo aún se encontraba vigente. En tal sentido, no se advierte por qué y en qué condiciones, iniciada la investigación de la Fiscalía Especial para la Atención de Delitos cometidos contra la Libertad de Expresión (FEADLE), se permitió la desinstalación del software y, consecuentemente, este Instituto no pudo corroborar si el software fue usado o no al momento de realizar visita de verificación”, indica el informe presentado por el comisionado Joel Salas Suárez.
La información proporcionada por la PGR y la FGR al INAI se contrapone al resultado de la investigación publicada en noviembre de 2018 por Citizen Lab de la Universidad de Toronto, en conjunto con Artículo 19, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, que documentó que seis mensajes con enlaces a la infraestructura del malware Pegasus fueron enviados a los teléfonos de Andrés Villarreal e Ismael Bojórquez, jefe de Información y director de Ríodoce, respectivamente, entre el 17 y el 26 de mayo de 2017, dos días después del asesinato de Javier Valdez, también periodista y fundador del semanario.
Lea: Pegasus y el gobierno espía que nos infectó https://bit.ly/2UfEito
En todos los mensajes se enviaron contenidos noticiosos suplantando a sitios como UNO Noticias y el diario La Jornada, otros fueron de carácter personal e incluso sobre la investigación del crimen de Javier Valdez, y que de acuerdo a Citizen Lab en realidad dirigían a dominios utilizados por la compañía israleí NSO Group, que diseñó y vendió el programa de espionaje al gobierno mexicano.
La investigación concluyó que al igual que en febrero de 2018, cuando se denunció por primera vez el uso de Pegasus para espiar a periodistas como Carmen Aristegui, así como a defensores de derechos humanos y los diplomáticos del GIEI, se utilizó la misma tecnología para robar información.
“El uso de infraestructura común, así como el método de infección y su uso en coyunturas que afectan al gobierno federal saliente, sugieren un atacante común en los casos documentados en los últimos dos años”, concluye el informe.
En su informe sobre la investigación de Pegasus, el INAI da vista al Órgano de Control Interno de la Fiscalía General para que establezcan las siguientes medidas:
PRIMERA. Se instruye al responsable para que acredite de manera formal que se ha corroborado que el sistema denominado Pegasus, para la realización de actividades sustantivas de la entonces PGR, ha sido desinstalado del hardware en posesión de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas de la Agencia de Investigación Criminal y que dicho software no se encuentra instalado en ningún equipo en posesión de la ahora Fiscalía General de la República.
SEGUNDA. Se instruye al responsable para que precise las políticas, métodos y técnicas que utilizó durante la desinstalación del sistema denominado Pegasus para la realización de actividades sustantivas de la entonces PGR, así como que acredite que no es factible instalar nuevamente el software en algún equipo en posesión de la ahora FGR, considerando la irreversibilidad, seguridad y confidencialidad.
Artículo publicado el 24 de febrero de 2019 en la edición 839 del semanario Ríodoce.
