Amnistia Internacional, en associació amb The Washington Post, ha revelat detalls nous i alarmants sobre l'ús continuat del programari espia altament invasiu Pegasus d'NSO Group contra periodistes de renom a l'Índia, un dels quals ja havia estat víctima d'un atac amb el mateix programari espia.

Investigacions forenses del Laboratori sobre Seguretat d'Amnistia Internacional van confirmar que Siddharth Varadarajan, editor fundador de The Wire, i Anand Mangnale, editor d'Àsia meridional del Projecte de Recerca sobre el Crim Organitzat i la Corrupció, es trobaven entre els professionals del periodisme els telèfons iPhone dels quals havien estat atacats recentment amb el programari espia Pegasus; el darrer cas identificat es va produir a l'octubre del 2023.

L'ús de Pegasus, un tipus de programari espia altament invasiu desenvolupat per l'empresa de vigilància israeliana NSO Group, es produeix enmig d'una campanya de repressió sense precedents de la llibertat d'expressió i de reunió pacífiques endegada per les autoritats índies i tingut un efecte dissuasiu en organitzacions de la societat civil, periodistes i activistes.

“Les nostres darreres troballes mostren que, cada cop més, els i les professionals del periodisme a l'Índia afronten l'amenaça de la vigilància il·legítima només per fer la seva feina, juntament amb altres eines de repressió, com l'empresonament en aplicació de lleis draconianes, campanyes d’estigmatització, fustigació i intimidació”, ha declarat Donncha Ó Cerbhaill, director del Laboratori sobre Seguretat d'Amnistia Internacional.

"Malgrat les reiterades revelacions, hi ha una vergonyosa absència de rendició de comptes per l'ús del programari espia Pegasus a l'Índia que només aguditza la sensació d'impunitat per aquestes violacions de drets humans".

Proves forenses revelen activitat de Pegasus

El Laboratori sobre Seguretat d'Amnistia Internacional va observar per primera vegada indicis de noves amenaces del programari espia Pegasus contra persones a l'Índia durant un control tècnic periòdic el juny de 2023, diversos mesos després que els mitjans de comunicació informessin que el govern indi estava mirant d'adquirir un nou sistema de programari espia comercial.

L'octubre del 2023, Apple va emetre una nova ronda de notificacions globals d'amenaces a totes les persones usuàries del telèfon iPhone que podrien haver estat víctimes de “atacants patrocinats per l'Estat”. Segons informes, aquestes notificacions han rebut més de 20 periodistes i figures polítiques de l'oposició de l'Índia.

Com a conseqüència, el Laboratori sobre Seguretat d'Amnistia Internacional va fer una anàlisi forense dels telèfons de persones de tot el món que havien rebut aquestes notificacions, entre les quals Siddharth Varadarajan i Anand Mangnale, i va trobar rastres d'activitat del programari espia Pegasus en dispositius propietat de tots dos periodistes indis.

El Laboratori sobre Seguretat va recuperar del dispositiu d'Anand Mangnale proves d'un exploit de dia zero que havia estat enviat al telèfon a través d'iMessage el 23 d'agost de 2023 i que estava dissenyat per instal·lar de manera encoberta el programari espia Pegasus. El telèfon tenia el sistema operatiu iOS 16.6, la versió més recent disponible en aquell moment.

Els exploits de dia zero són programari maliciós que permet la instal·lació d'un programari espia en un dispositiu sense que la persona afectada hagi de fer res, com ara clicar en un enllaç.

El Laboratori sobre Seguretat també va identificar una adreça de correu electrònic controlada per l'atacant utilitzada com a part de l'atac de Pegasus al dispositiu. Les mostres recuperades són compatibles amb l'exploit BLASTPASS de NSO Group, identificat públicament per Citizen Lab el setembre de 2021 i aplicat per Apple al seu iOS 16.6.1 (CVE-2023-41064).

El telèfon d'Anand Mangnale era vulnerable a aquest exploit de dia zero al moment de l'atac. Actualment, no queda clar si l'intent d'introduir exploit va aconseguir comprometre el dispositiu.

L'intent d'atacar el telèfon d'Anand Mangnale es va produir en un moment en què treballava en una notícia sobre una presumpta manipulació d'accions per un gran conglomerat multinacional a l'Índia.

El lloc web del Laboratori sobre Seguretat d'Amnesty Tech conté una anàlisi tècnica més detallada de l'exploit i les proves forenses complementàries.

Un historial d'usos abusius del programari espia

Amnistia Internacional havia documentat amb anterioritat que el telèfon de Siddharth Varadarajan va ser atacat i infectat amb programari espia Pegasus el 2018. Els seus dispositius van ser sotmesos posteriorment a una anàlisi forense a càrrec d'un comitè tècnic establert pel Tribunal Suprem de l'Índia el 2021 després de les revelacions del Projecte Pegasus.

El 2022 el comitè va finalitzar la investigació, però el Tribunal Suprem no ha fet públiques les conclusions de l'informe tècnic. Tot i això, el Tribunal sí que ha assenyalat que les autoritats índies “no van cooperar” amb les investigacions d'aquest comitè.

Siddharth Varadarajan va ser atacat de nou amb Pegasus el 16 d'octubre de 2023. Al telèfon es va identificar la mateixa adreça de correu electrònic controlada per l'atacant utilitzada en l'atac amb Pegasus contra Anand Mangnale, cosa que confirmava que els dos periodistes havien estat atacats pel mateix client de Pegasus.

No hi ha dades que indiquin que l'atac amb Pegasus tingués èxit aquesta vegada.

“Atacar periodistes només per fer la seva feina constitueix un atac il·legítim contra la seva privadesa i viola el seu dret a la llibertat d'expressió. Tots els Estats, inclòs l'Índia, tenen l'obligació de protegir els drets humans protegint les persones de la vigilància il·legítima”, va dir Donncha Ó Cearbhaill.

Periodistes de The Washington Post van contactar amb NSO Group per conèixer la seva resposta a les troballes més recents.

L'empresa va dir: “Encara que NSO no pot comentar sobre clients concrets, tornem a subratllar que tots ells són agències d'aplicació de la llei i d'intel·ligència aprovades que concedeixen llicència a les nostres tecnologies per a l'exclusiu fi de combatre el terrorisme i els delictes greus. Les polítiques i els contractes de l'empresa proporcionen mecanismes per evitar atacar periodistes, professionals de l'advocacia i els que defensen els drets humans o dissidents polítics que no estan implicats en el terrorisme ni en delictes greus. L'empresa no té visibilitat dels objectius ni de la informació recollida”.

NSO Group afirma que els seus productes ven únicament a agències d'intel·ligència i d'aplicació de la llei governamentals. Les autoritats índies no han aportat fins ara claredat ni transparència sobre si han adquirit o utilitzat el programari espia Pegasus a l'Índia.

"Amnistia Internacional demana a tots els països, inclosa l'Índia, que prohibeixin l'ús i l'exportació de programari espia altament invasiu que no es pugui auditar o limitar en les seves funcions", va dir Donncha Ó Cearbhaill.

L'organització també demana que immediatament es donin les conclusions de l'informe del comitè tècnic del Tribunal Suprem sobre l'ús de Pegasus a l'Índia. A més, el govern indi ha de dur a terme una investigació immediata, independent, transparent i imparcial sobre tots els casos de vigilància selectiva, fins i tot sobre aquestes revelacions més recents.

Per garantir la transparència, les autoritats índies també han de revelar públicament informació sobre qualsevol contracte anterior, actual o futur amb empreses de vigilància privada, inclosa NSO Group”.

Informació complementària

L'octubre del 2022, el Projecte d'Informació sobre Crim Organitzat i Corrupció va informar, basant-se en anàlisi de bases de dades sobre comerç, que la principal agència nacional d'intel·ligència de l'Índia, l'Oficina d'Intel·ligència, havia rebut l'abril del 2017 un enviament de maquinari de NSO Group que coincidia amb la descripció dels equips usats per executar el sistema Pegasus. Els primers atacs de Pegasus identificats per Amnistia Internacional a l'Índia es van produir a principis de juliol del 2017.

El 2020, Amnistia Internacional i Citizen Lab van donar a conèixer una operació coordinada contra defensors i defensores dels drets humans a través de programari espia comercial llest per utilitzar a l’Índia.

El 2021, com a part del Projecte Pegasus, Amnistia Internacional, en associació amb Forbidden Stories, va revelar que s'estaven atacant i infectant dispositius de nombrosos membres de la societat civil i periodistes de l'Índia amb el programari espia Pegasus de NSO Group, inclòs Siddharth Varadarajan.

El Laboratori sobre Seguretat seguirà sotmetent a observació i donant suport a la societat civil de tot el món preocupada per atacs amb programari espia i la vigilància digital il·legítima.

Amnistia Internacional agraeix al Digital Security Lab de Reporters sense Fronteres el suport en matèria de divulgació i anàlisi en el marc d'aquesta investigació.

Defensors i defensores dels drets humans, activistes i periodistes que hagin rebut una alerta de seguretat similar d'Apple o d'altres plataformes ens poden contactar per rebre suport de peritatge digital.