Los presuntos hackeos, que se produjeron en medio de un entorno cada vez más hostil en El Salvador para los medios de comunicación y las organizaciones de derechos bajo el presidente populista Nayib Bukele, fueron descubiertos a finales del año pasado por The Citizen Lab, que estudia el software espía en la Escuela Munk de Asuntos Globales de la Universidad de Toronto. El grupo de derechos humanos Amnistía Internacional, que colaboró con Citizen Lab en la investigación, dice que posteriormente confirmó una muestra de los hallazgos de Citizen Lab a través de su propia rama tecnológica.
Citizen Lab dijo que encontró pruebas de incursiones en los teléfonos que se produjeron entre julio de 2020 y noviembre de 2021. Dijo que no podía identificar al responsable del despliegue del programa espía diseñado por Israel. Conocido como Pegasus, el software ha sido adquirido por actores estatales de todo el mundo, algunos de los cuales han utilizado la herramienta para vigilar a periodistas.
En el ataque de El Salvador, la fuerte focalización en editores, reporteros y activistas que trabajan dentro de ese único país centroamericano apunta a un cliente local con un interés particular en sus actividades, dijo Scott-Railton, investigador principal de Citizen Lab.
"No puedo pensar en un caso en el que el objetivo casi exclusivo de Pegasus en un país no haya terminado siendo un usuario en ese país", dijo Scott-Railton.
Citizen Lab publicó un informe sobre sus hallazgos el miércoles.
En una declaración a Reuters, la oficina de comunicaciones de Bukele dijo que el gobierno de El Salvador no era cliente de NSO Group Technologies, la empresa que desarrolló Pegasus. Dijo que la administración está investigando el supuesto hackeo y que tenía información de que algunos altos funcionarios de la administración también podrían haber tenido sus teléfonos infiltrados.
"Tenemos indicios de que nosotros, los funcionarios del gobierno, también somos víctimas de los ataques", decía el comunicado.
Pegasus permite robar mensajes cifrados, fotos, contactos, documentos y otra información sensible de los teléfonos infectados sin que los usuarios lo sepan. También puede convertir los teléfonos en dispositivos de espionaje al activar silenciosamente sus cámaras y micrófonos, según los manuales del producto revisados por Reuters.
NSO, que durante mucho tiempo ha mantenido la confidencialidad de su lista de clientes, se negó a comentar si El Salvador era cliente de Pegasus. La compañía dijo en un comunicado que sólo vende sus productos a agencias de inteligencia y de aplicación de la ley "examinadas y legítimas" para combatir el crimen y que no está involucrada en operaciones de vigilancia. NSO dijo que tiene una política de "tolerancia cero" para el uso indebido de su software espía para actividades como la vigilancia de disidentes, activistas y periodistas y que ha rescindido los contratos de algunos clientes que lo han hecho.
Los investigadores de Citizen Lab dijeron que empezaron a realizar un análisis forense de los teléfonos de El Salvador en septiembre, tras ser contactados por dos periodistas de ese país que sospechaban que sus dispositivos podían estar comprometidos.
Los investigadores dijeron que finalmente encontraron pruebas de que se había plantado software espía en un total de 37 dispositivos pertenecientes a tres grupos de derechos humanos, seis publicaciones de noticias y un periodista independiente.
El más afectado fue el sitio de noticias en línea El Faro. Los investigadores de Citizen Lab dijeron haber encontrado rastros reveladores de infecciones de software espía en los teléfonos móviles de 22 reporteros, editores y personal administrativo -más de dos tercios de la plantilla de la empresa- y pruebas de que se habían robado datos de muchos de esos dispositivos, incluidos algunos a los que se les habían extraído varios gigabytes de material.
El Faro estuvo bajo vigilancia constante durante al menos 17 meses, entre el 29 de junio de 2020 y el 23 de noviembre de 2021, y el teléfono del redactor jefe, Óscar Martínez, fue infiltrado al menos 42 veces, afirmó Citizen Lab.
"Me resulta difícil pensar o concluir que algo que no sea el gobierno de El Salvador" estuvo detrás de los supuestos hackeos, dijo Martínez. "Es evidente que hay un interés radical en entender lo que hace El Faro".
Durante la época de las supuestas infiltraciones con Pegasus, El Faro informó ampliamente sobre los escándalos relacionados con el gobierno de Bukele, incluidas las acusaciones de que estaba negociando un acuerdo financiero con las violentas pandillas callejeras de El Salvador para reducir la tasa de homicidios con el fin de impulsar el apoyo popular al partido Nuevas Ideas del presidente.
Bukele, que discute frecuentemente con la prensa, condenó públicamente la información de El Faro sobre esas supuestas conversaciones como "ridícula" e "información falsa" en un mensaje de Twitter del 3 de septiembre de 2020.
El espionaje telefónico no es nuevo en El Salvador, según Citizen Lab. En un informe de 2020 alegó que El Salvador se encontraba entre al menos 25 países que utilizaban una tecnología de vigilancia masiva fabricada por una empresa israelí llamada Circles. La tecnología Circles difiere de Pegasus en que aspira datos de la red telefónica mundial en lugar de plantar programas espía en dispositivos específicos. El informe afirmaba que el sistema Circles había estado en funcionamiento en El Salvador desde 2017.
No fue posible contactar inmediatamente con Circles para obtener comentarios.
Sofía Medina, secretaria de comunicaciones de Bukele, señaló que su administración no estaba en el poder en 2017 y afirmó, sin aportar pruebas, que los supuestos ataques de Pegasus parecían ser una continuación de la vigilancia lanzada por un "grupo poderoso" desconocido.
La última investigación de Citizen Lab en El Salvador se llevó a cabo en colaboración con el grupo de derechos digitales Access Now, con la asistencia de investigación de los grupos de derechos humanos Frontline Defenders, SocialTIC y la Fundación Acceso.
