Nuevos abusos de spyware Pegasus identificados en México

Conclusiones clave

La organización mexicana de derechos digitales R3D (Red en la Defensa de los Derechos Digitales) identificó infecciones Pegasus contra periodistas y un defensor de derechos humanos entre 2019 y 2021.
El Citizen Lab brindó soporte técnico para el análisis de R3D y validó las infecciones.
Las víctimas incluyen dos periodistas que informan sobre temas relacionados con la corrupción oficial y un destacado defensor de los derechos humanos.
Los contagios ocurrieron años después de las primeras revelaciones de los abusos de Pegasus en México.
También ocurrieron después de que el actual presidente de México, Andrés Manuel López Obrador, asegurara al público que el gobierno ya no usaría el spyware y que no habría más abusos.

Fondo

En 2017, Citizen Lab, junto con los socios R3D, SocialTic y Article19, publicaron una serie de ocho informes sobre la focalización generalizada de Pegasus en México. Muchos sectores de la sociedad civil mexicana fueron atacados, incluidos periodistas de investigación y abogados de las familias de las víctimas del cartel , grupos anticorrupción , legisladores destacados , investigadores internacionales que investigan desapariciones forzadas e incluso la esposa de un periodista asesinado en un asesinato del cartel .

Se produjo un escándalo público cuando se reveló por primera vez el objetivo de Pegasus, lo que resultó en un amplio escrutinio de las prácticas de vigilancia de las autoridades mexicanas, y especialmente de los fiscales. En México también se abrió una investigación penal aún en curso .

En 2021, como parte de las revelaciones del Proyecto Pegasus (una colaboración entre Forbidden Stories, Security Lab de Amnistía Internacional y una coalición de organizaciones de medios), se informó que al menos 50 personas en el círculo de Andrés Manuel López Obrador , el actual presidente de México , se encontraban entre las personas potencialmente seleccionadas para la vigilancia con Pegasus entre 2016 y 2017. Los objetivos incluían a los hijos y cónyuge del ahora presidente. El mismo informe indicó que al menos 45 gobernadores y exgobernadores mexicanos pueden haber sido seleccionados de manera similar para la vigilancia.

El Proyecto Pegasus también descubrió que una amplia franja de la sociedad civil mexicana , desde maestros hasta periodistas, abogados e investigadores internacionales que examinan las desapariciones forzadas, puede haber sido seleccionada para la vigilancia.

En 2019, luego de tomar el poder, López Obrador aseguró a los mexicanos en una conferencia de prensa televisada que no habría más abusos de Pegasus en México:

“ Nosotros no estamos involucrados en eso. Aquí decidimos que no habría persecución contra nadie. Cuando estábamos en la oposición nos espiaban (…) ahora eso está prohibido. No hemos comprado sistemas para interceptaciones, entre otras cosas por la corrupción que hubo en la compra de todos estos equipos a precios muy elevados, a empresas extranjeras, sistemas de espionaje, se gastó mucho dinero, todavía hay equipos sin usar comprado en el gobierno anterior. No hacemos eso. Y no lo hacemos porque sea una cuestión de principios”. [traducción informal]

En 2021, el presidente de México reiteró su afirmación de que el gobierno mexicano no estaba espiando con Pegasus y dijo en respuesta a una pregunta: “Esto no pasa. El gobierno no espía a nadie”. [traducción informal]

Los últimos hallazgos de R3D indican que los abusos de Pegasus continuaron en México. Su informe también destaca evidencia de contratos recientes entre la Secretaría de la Defensa Nacional de México (SEDENA) y empresas vinculadas a ventas anteriores de Pegasus al gobierno mexicano.

Nuevos hallazgos

R3D, con apoyo técnico de Citizen Lab, ha determinado que periodistas mexicanos y un defensor de derechos humanos fueron infectados con Pegasus entre 2019 y 2021.

Estos casos difieren de los hallazgos anteriores en dos formas importantes:

Validamos las infecciones de Pegasus 2019-2021 mediante análisis forense de artefactos recopilados de dispositivos. Los hallazgos anteriores de Citizen Lab en México solo confirmaron la orientación de Pegasus (como lo demuestra un mensaje malicioso enviado a un dispositivo).
Las infecciones de 2019-2021 aprovecharon los ataques de clic cero: no se requirió engaño para engañar a las víctimas para que hicieran clic. Los informes anteriores de Citizen Lab sobre casos mexicanos encontraron mensajes de texto maliciosos diseñados para engañar a los objetivos para que hicieran clic en un enlace que desencadenaría una infección.

Nuestra validación técnica de los artefactos forenses recopilados de los dispositivos de estas personas con su consentimiento nos lleva a concluir con gran confianza que:

El defensor de derechos humanos Raymundo Ramos fue hackeado con Pegasus al menos tres veces entre agosto y septiembre de 2020.
El periodista y autor Ricardo Raphael fue hackeado con Pegasus al menos tres veces en octubre y diciembre de 2019, y nuevamente en diciembre de 2020. Anteriormente también fue atacado e infectado en 2016 y atacado en 2017.
Un periodista anónimo del destacado medio de comunicación en línea Animal Político fue hackeado en junio de 2021.

En el Apéndice A se proporcionan más detalles para cada caso.

Evaluamos con alta confianza que estas personas fueron hackeadas con el software espía Pegasus. Los datos técnicos disponibles para estos casos recientes (2019-2021) no nos permiten atribuir el hackeo a un cliente de NSO Group en particular en este momento. Sin embargo, cada una de las víctimas sería de gran interés para las entidades dentro del gobierno mexicano y, en algunos casos, preocupantemente, para los cárteles.

Período de tiempo de hackeo

El informe publicado por R3D proporciona un contexto útil para comprender los posibles factores desencadenantes de las infecciones y la orientación de Pegasus, que resumimos aquí:

Raymundo Ramos Vázquez

Ramos lleva años documentando las violaciones a los derechos humanos cometidas por el Ejército y la Armada de México en el estado de Tamaulipas:

Ramos se infectó con Pegasus en agosto y septiembre de 2020. R3D descubrió que las infecciones ocurrieron luego de la publicación de un video que muestra la ejecución extrajudicial de civiles por parte del ejército mexicano en Tamaulipas. Ramos había hablado con los medios sobre el caso.
Durante el período del ataque, Ramos se reunió con representantes de la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos (ACNUDH), la Comisión Nacional de los Derechos Humanos de México (CNDH), funcionarios de la Armada y la Secretaría de la Defensa Nacional de México, y miembros de la medios de comunicación.

ricardo rafael

Raphael, un destacado periodista y autor que se enfoca en temas que incluyen la corrupción oficial y el nexo entre el gobierno mexicano y los cárteles, fue ampliamente atacado e infectado con el software espía Pegasus:

Raphael fue atacado e infectado por primera vez en 2016, y nuevamente en 2017 durante un período de informes críticos sobre las investigaciones de las Desapariciones Masivas de Iguala (los 43 estudiantes desaparecieron en Ayotzinapa en 2014).
- Atribuimos la focalización de 2017 a un operador que llamamos RECKLESS-1 , que también apuntó a la esposa y colegas de un periodista mexicano asesinado, así como a investigadores de salud pública mexicanos. La evidencia circunstancial conecta a RECKLESS-1 con el gobierno mexicano, ya que el operador estaba espiando exclusivamente en México.
En 2019, se infectó repetidamente con Pegasus mientras estaba de gira por un libro que brinda un relato ficticio del Cartel de Los Zetas y sus orígenes en el Ejército Mexicano.
En 2020 se contagió tras escribir sobre las detenciones extrajudiciales y la impunidad oficial, como este editorial del Washington Post . No mucho antes de infectarse en diciembre de 2020, acusó a la Fiscalía General de México de mala conducta grave en su investigación del caso de Desapariciones Masivas de Iguala. Esta crítica fue citada por el destacado medio de noticias Aristegui Noticias el día anterior al hackeo.

José Luis Abarca, pronto en libertad. Mi columna de esta semana en @proceso pic.twitter.com/AOajoDn9bJ
— Ricardo Raphael (@ricardomraphael) December 13, 2020

Según el informe de R3D, Raphael afirmó que, en 2022, se sacaron de contexto fragmentos de una comunicación privada y se compartieron con sus contactos en un aparente esfuerzo por desacreditarlo.

Periodista anónimo en Animal Político

Animal Político es un destacado sitio web de noticias en línea que informa sobre temas como la corrupción oficial, las ejecuciones extrajudiciales y la rendición de cuentas:

Un periodista del medio fue infectado el mismo día que publicaban un reportaje sobre violaciones a los derechos humanos por parte de las Fuerzas Armadas mexicanas.

Necesidad de una investigación independiente

Estos últimos casos, que se producen años después de las primeras revelaciones de la problemática orientación de Pegasus en México, ilustran el potencial de abuso del spyware mercenario en un contexto de responsabilidad pública y transparencia defectuosas. Incluso ante el escrutinio mundial, las protestas internas y una nueva administración que se comprometió a nunca usar spyware, los periodistas y defensores de los derechos humanos continuaron atacando a periodistas y defensores de los derechos humanos con el spyware Pegasus en México.

Apéndice: Detalles de la víctima

Víctima Pegaso: Raymundo Ramos

El análisis de los indicadores forenses recopilados del dispositivo del defensor de los derechos humanos Raymundo Ramos muestra que estaba infectado con el exploit de clic cero KISMET en o alrededor de:

2020-08-28
2020-09-02
2020-09-03

Víctima de Pegaso: Ricardo Raphael

Un análisis de los indicadores forenses del teléfono del periodista Ricardo Raphael indica que fue hackeado tres veces con lo que llamamos el exploit de clic cero HOMAGE en 2019, en o alrededor de:

2019-10-30
2019-11-07
2019-11-16

Luego, Raphael fue hackeado con un exploit de cero clic diferente en o alrededor:

2020-12-27

El análisis del dispositivo de Raphael también encontró evidencia de hackeo y selección previa de Pegasus desde 2016.

Raphael fue atacado por primera vez el 26 de mayo de 2016 a través de un SMS de Pegasus:

Fecha : 26 de mayo de 2016
De : +525572778337Tomar justicia x propia mano es prueba del Edo.fallido y la crisis institucional, este video es prueba ello hxxp ://bit[.]ly/1sB5xiP

La URL, que se acorta con bit.ly, redirige al dominio de infección de Pegasus hxxps://network190[.]com/5557819s/.

Esta orientación resultó en una infección persistente de Pegasus.

Raphael fue nuevamente, dos veces, atacado a través de SMS en 2017 . No encontramos evidencia de que esta orientación resultara en infecciones exitosas.

Fecha: 22 febrero 2017
De: +523338200726Mi estimado Ricardo hoy publique mi columna en 24 horas, esperando tu mejor opinión saludos: hxxp://bit[.]ly/2lM9jqpTraducción:Estimado Ricardo, mi columna fue publicada hoy en 24 Horas, I Me encantaría tu opinión, saludos: [enlace malicioso]

La URL redirige a hxxps://notisms[.]net/bNBzPerL. El dominio notisms[.]net era parte de la infraestructura de infección Pegasus de NSO Group cuando se envió el mensaje. Vinculamos el dominio notisms[.]net al operador que llamamos RECKLESS-1 , el cual vinculamos al Gobierno de México.

Fecha: 24 febrero 2017
De: +522222607851Has realizado un Retiro/Compra Tarjeta **** monto $23,500.00 MN Verifica detalles de operación: hxxps://banca-movil[.]net/Fy9yZJURTraducción:Has realizado un retiro/compra Tarjeta * *** monto $23,500.00 MN Verifique los detalles de la transacción: [enlace malicioso]

El dominio banca-movil[.]net también formaba parte de la infraestructura de infección Pegasus de NSO Group cuando se envió el mensaje. Vinculamos el dominio banca-movil[.]net al operador que llamamos RECKLESS-1 , el cual vinculamos al Gobierno Mexicano.

Víctima de Pegaso: Periodista anónimo de Animal Político

El análisis de los indicadores forenses recopilados del dispositivo de un periodista que prefiere permanecer en el anonimato muestra que se infectó una vez con el clic cero FORCEDENTRY en o alrededor:

2021-06-10

Raúl Martínez

Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Nuevos abusos de spyware Pegasus identificados en México

Conclusiones clave

Fondo

Nuevos hallazgos

Período de tiempo de hackeo

Necesidad de una investigación independiente

Apéndice: Detalles de la víctima

Víctima Pegaso: Raymundo Ramos

Víctima de Pegaso: Ricardo Raphael

Víctima de Pegaso: Periodista anónimo de Animal Político

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD