Documentos internos desnudan el virus
usado para espiar: se puede autodestruir; la información va a plataforma de NSO
Group antes de llegar a servidores del gobierno.
El programa Pegasus de NSO
Group que usa el gobierno federal para espiar teléfonos inteligentes, también
se puede “distribuir” mediante estaciones transmisoras colocadas cerca del
objetivo o correos electrónicos, y se autodestruye para borrar todas sus
huellas si detecta el peligro de que sea descubierto, señalan documentos anexos
al contrato de compra.
Aristegui Noticias presenta
la documentación íntegra de la compra que realizó la Procuraduría General de la
República (PGR) a la empresa Grupo Tech Bull, que incluye: la cotización del
programa malicioso, el contrato firmado el 29 de octubre del 2014, un convenio
entre la dependencia y la empresa para reconocer un adeudo y los anexos
técnicos que detallan los alcances del software.
Parte del contrato original
para adquirir el software utilizado para espiar a periodistas, activistas,
líderes partidistas e investigadores internacionales del caso Ayotzinapa fue
revelado por Noticieros Televisa el pasado 29 de junio.
Sin embargo, todavía faltaban
diferentes piezas para retratar de cuerpo entero los alcances del “agente”
Pegasus, denominación que utiliza el contrato para referirse al programa espía.
LA COTIZACIÓN
Una primera revelación del
nuevo paquete de documentos señalan que la adquisición de Pegasus se realizó
con prisa. La cotización del software desarrollado por NSO Group está fechada
el 24 de octubre del 2014, es decir, cinco días antes de que se concretara la
operación de compra venta.
EL CONTRATO ORIGINAL
El contrato original para la
adquisición del programa espía tiene fecha del 29 de octubre de 2014 y el costo
de la transacción comercial fue de 32 millones de dólares. El dinero utilizado
para la compra salió de la partida 55102 asignada a la PGR, denominada “Equipo
de seguridad pública y nacional”.
Por parte de Grupo Tech Bull,
firmó el ciudadano Luis Armando Pérez Herrero. De acuerdo con el registro de
profesiones de la Secretaría de Educación Pública (SEP), Pérez Herrero es
ingeniero en Sistemas Computacionales, por la Universidad del Valle de Orizaba,
Veracruz.
Por parte de PGR, avalaron la
compra Tomás Zerón de Lucío, jefe de la Agencia de Investigación Criminal
(AIC); el titular del Centro Nacional de Planeación, Análisis e Información
para el Combate a la Delincuencia (Cenapi), Vidal Diazleal Ochoa; y el director
de información sobre actividades delictivas del Cenapi, Rigoberto García
Campos.
El documento incluye dos
justificaciones para la adquisición del malware: riesgo y urgencia. Según la
PGR, la carencia del programa vulnera su capacidad de operación y su margen de
operación frente a las organizaciones delictivas.
La urgencia obedece a la
situación que atraviesa el país y a que la PGR es “un blanco para la
delincuencia organizada”, derivado de sus funciones para perseguir el delito y
combatir a los grupos criminales.
LA CONFIDENCIALIDAD Y LA RESCISIÓN DEL CONTRATO
El contrato para la
adquisición del programa espía reconoce que los empleados de Grupo Tech Bull
tienen acceso a información confidencial y de seguridad nacional, por lo que se
obliga a esa empresa y a sus empleados a respetar la secrecía en torno a Pegasus
y todo lo relacionado con su operación.
No respetar la
confidencialidad, advierte el acuerdo comercial, puede derivar en que se
presenten denuncias penales, civiles o de otra índole en contra de la empresa y
de quienes violen la secrecía del contrato.
Además, se obliga a Tech Bull
a responder por los daños y perjuicios que sufra la PGR como consecuencia de
una filtración o mal uso de los datos obtenidos mediante el programa de
espionaje.
“El Proveedor (Tech Bull)
queda obligado a guardar absoluta confidencialidad, así como a no utilizar por
sí o por interpósita persona la información, datos y resultados derivados de su
participación en la entrega de ‘EL BIEN’ objeto del presente contrato. Para el
caso de incumplimiento la Procuraduría se reserva el derecho de ejercitar la
acción que corresponda ante las autoridades respectivas, las cuales pueden ser
civiles, penales o de otra índole”, advierte el documento.
CONVENIO DE RECONOCIMIENTO DE ADEUDO
El 29 de julio del 2015, PGR
y Grupo Tech Bull firmaron un acuerdo para reconocer un adeudo de la
dependencia federal con la empresa intermediaria del programa de espionaje
informático.
El convenio señala que la PGR
adeudaba 145 millones 989 mil pesos a la compañía derivado de los servicios
prestados por Pegasus hasta esa fecha, condicionado el pago del adeudo a un
mejoramiento y actualización del “agente” Pegasus.
En el documento se señala que
previo al pago de cualquier cantidad de dinero, Tech Bull debería entregar a la
empresa israelí NSO Group Technologies una copia de los protocolos de prueba
realizados el 21 de julio del 2015 en las instalaciones de la PGR.
Posteriores al pago realizado
por la PGR, la compañía mexicana tendría que actualizar Pegasus a su versión
2.17 y dar acceso a esa dependencia al software Nagios, un programa
desarrollado por una tercera compañía para monitorear la infraestructura del
programa de espionaje y evitar el mal uso del mismo mediante un sistema de
alertas.
LA RADIOGRAFÍA DEL ANEXO TÉCNICO
El Anexo Técnico para la
compra y operación de Pegasus revela características poco conocidas del
“agente” espía: es autodestructible, se roba las contraseñas de todas las
aplicaciones utilizadas por un smartphone y tiene la posibilidad de realizar
infecciones mediante correos electrónicos o estaciones de transferencia
cercanas al objetivo.
El documento también explica
las capacidades de monitoreo en tiempo real de un blanco, el mecanismo para
analizar “offline” la información recopilada de los dispositivos intervenidos y
hasta el uso de la memoria de los móviles y los paquetes de datos de las
propias víctimas de espionaje.
La autodestrucción “en caso
de exposición de riesgo” funciona de la siguiente manera: cuando el “agente”
Pegasus es detectado o existe la posibilidad de que se vea expuesto, el malware
se desinstala de forma automática y autodestruye todos sus rastros dentro del
teléfono intervenido.
La autodestrucción del
programa espía también se da cuando el programa de espionaje no logra
comunicarse por “mucho tiempo” con los servidores que sirven para monitorear la
información extraída.
En ambos casos, la empresa
NSO Group garantiza que los datos que ya fueron robados de un dispositivo, se
conservaran en la plataforma offline.
El software malicioso también
ofrece la posibilidad de ser desinstalado una vez que ya cumplió sus objetivos,
opción que se puede realizar de manera remota y sin dejar ningún tipo de
evidencia.
LA INFECCIÓN CON ESTACIONES TRANSMISORAS Y CORREOS
Sobre las formas de
infección, el anexo técnico reconoce que la instalación de Pegasus “es la fase
más sensible e importante de la operación”, pues se requiere que el blanco haga
clic en los mensajes de texto o correos electrónicos que le fueron enviados,
previo conocimiento de sus formas de comunicación.
Por lo mismo, NSO Group
ofrece la posibilidad de enviar “mensajes de ingeniería social mejorados” con
altos niveles de credibilidad para hacer caer en la trampa a los objetivos.
Pero una solución todavía más
intrusiva es el uso de estaciones transmisoras de red táctica, las cuales
tienen un rango de acción limitado y
para lo cual se requiere que el blanco del espionaje, se encuentre muy cercano
a este tipo de redes de intercepción de telecomunicaciones que primero
localizan el dispositivo y posteriormente “inyectan” al agente espía.
La información personal o de
seguridad nacional viaja en la infraestructura de NSO Group antes de depositarse en servidores del
gobierno mexicano.
ESPIONAJE EN ZONA CALIENTE Y CON TU PROPIO PAQUETE DE
DATOS
El virus informático de NSO
Group puede mandar la información que extrae de los dispositivos a las
plataforma que opera el gobierno mexicano mediante las redes de telefonía móvil
pagadas por las propias víctimas de espionaje, las redes wifi e, incluso,
mediante mensajes SMS.
Sin embargo, el documento
incluye una alerta: no sobrepasarse con la comunicaicón mediante SMS, porque
puede aparecer en la factura de los servicios teléfonicos del usuario.
Si no hay una forma de
conectarse al exterior, el malware desarrollado por NSO Group sigue trabajando
de forma silenciosa y crea una memoria interna dentro del equipo infectado para
encriptar y guardar los datos, hasta que sea posible enviarlos a los espías de
la plataforma.
Las intervenciones para
activar el micrófono o las cámaras fotográficas se pueden programar usando el
GPS del teléfono celular, con el fin de vigilar de manera más intensa a un
objetivo cuando abandona o se acerca a una zona geográfica específica o cuando
tiene contacto con otra persona sujeta a investigación.
El anexo denomina a esta
situación alertas de “zona caliente y el área de espionaje o la persona de
interés debe programarse previamente.
(ARISTEGUI NOTICIAS/ JUAN OMAR FIERRO Y
SEBASTIÁN BARRAGÁN/ REDACCIÓN AN/ JULIO 12, 2017 9:09 PM)