Un informe de la Red en Defensa de los Derechos Digitales (R3D) documentó en junio de 2017 doce casos de espionaje con el malware Pegasus, presuntamente comprado por el Gobierno mexicano. Esta investigación sería solo el principio de la red de víctimas por este malware, entre las que se encuentran abogados del caso Ayotzinapa, políticos del Partido de Acción Nacional (PAN) y activistas de derechos humanos. Carmen Aristegui, Carlos Loret de Mola, Sebastián Barragán y Rafael Cabrera fueron los periodistas afectados por Pegasus pero no han sido los primeros, ni serán los últimos.

Carlos Loret de Mola, Carmen Aristegui y otros, espiados en México

En un artículo escrito para Nieman Reports, la periodista Marcela Turati recuerda su respuesta ante la pregunta de si estaba sorprendida por los casos de espionaje a comunicadores en México. "No. Eso siempre lo hemos sabido".

En lo que llevamos de 2017, se han asesinado a once periodistas en México, convirtiendo al país en el tercer lugar más peligroso del mundo para ejercer esta profesión, según datos de Reporteros Sin Fronteras (RSF). Más allá de la violencia física, perpetrada en la mayoría de los casos por narcotraficantes, los profesionales de la información tienen que enfrentarse en la actualidad a otro tipo de retos a nivel de seguridad. Desde que se ha podido demostrar la presencia de malwares espías en México, los periodistas son uno de los principales objetivos, además de ser vulnerables a hackeos y ataques cibernéticos para acceder a datos personales.

"Pegausus resultará nuevo para algunos en su modalidad, pero estamos más que conscientes que nuestro trabajo es vigilado", afirmó Jane Ramírez, coordinadora de redes y libertad de expresión en la red Periodistas de Pie, en entrevista con Hipertextual. La experta recordó que, antes de este malware, se utilizaba Galileo y FinFisher con el mismo fin. Por lo tanto, estas prácticas no son nuevas, resalta Ramírez, quien destacó que la única diferencia es que este caso se ha visibilidad más y ha estado en el punto de mira de la opinión pública.

Ante esta panorama de inseguridad digital, algunas prácticas periodísticas deberían cambiarse. Por ejemplo, se recomienda no realizar entrevistas sobre tema delicados a través de redes sociales como Facebook y utilizar aplicaciones encriptadas y seguras. Jade Ramírez se encarga de enseñar este tipo de prácticas a periodistas de todas las edades en sus talleres de seguridad. "Muy poca gente conoce alternativas de comunicación segura como Telegrama o Signal", explicó. El problema consiste en que la personas que sí las conocen, tampoco las utilizan. Ramírez que calcula que dos de diez periodistas han cambiado sus prácticas de reportería.

Aunque la responsabilidad del estado sea garantizar las condiciones para hacer el periodismo, nosotros también tenemos una responsabilidad.

En una época en la que los dispositivos electrónicos pueden ser micrófonos o fuentes de espionaje, algunos periodistas han optado por dejar los celulares fuera de la sala de juntas cuando van a tratar temas sensibles. Sin embargo, esta precaución podría tomarse solamente en casos extremos o por parte de las organizaciones civiles que tienen un conocimiento más amplio de la situación de inseguridad cibernética.

Una de las recomendaciones que propone Jade Ramírez es no compartir información delicada en el mismo dispositivo en el que se utilizan aplicaciones como Facebook. La coordinadora de redes y libertad de expresión en la red Periodistas de Pie apunta a que a tecnología busca precisamente todo lo contrario y está intentando integrar todas las acciones en un mismo aparato. Esta integración, sin embargo, no es buena para los periodistas.

Por otro lado, la geolocalización es una herramienta que puede resultar de ayuda en muchas ocasiones, pero en otras también puede ponernos en peligro. Si un periodista va a reportar a una zona de riesgo, el tener activado esta opción puede salvar la vida del profesional en el caso de que se viole su seguridad. "Pero si todos los días tienes actividad la geolocalización, los aparatos de vigilancia del estado sabrán donde está tu familia, tus hijos y dónde comiste", alerta Ramírez.

Los investigadores del caso Ayotzinapa fueron espiados usando Pegasus

Las aplicaciones seguras como Signal no solamente son utilizadas por los periodistas. La prevención ha llegado, según la experta, hasta el ámbito político. Más allá de evitar el espionaje, el objetivo de utilizar estas aplicaciones sería el de evitar que cierta información pueda ser consultada por transparencia. Algunos correos institucionales, por ejemplo, dejarían de enviarse por el correo ordinario para hacerlo a través de aplicaciones de mensajería encriptada "para evadir transparentar cosas a la población y protegerse del espionaje".

El futuro no parece ser muy prometedor. A pesar de que cada vez son más los profesionales de la información que toman precauciones en seguridad cibernética, todavía hay muchos que siguen exponiendo información delicada por no utilizar plataformas seguras. Por otro lado, el espionaje en países como México no parece tener una fecha de caducidad y los próximos Pegasus seguirán existiendo para espiar el trabajo de periodistas, activistas y defensores de derechos humanos.

La situación según expertos en ciberseguridad

La seguridad cibernética se ha convertido en un reto en todo el mundo. Los ataques han aumentado con los años, poniendo en jaque a las empresas y a los Gobiernos. En México, el número de casos en ciberdelincuencia se ha triplicado. "Estas prácticas se han convertido muy comunes en varios países incluyendo México ya que su equipo ha encontrado rastros de programas de vigilancia digital en dispositivos de periodistas y activistas aquí en México", explicó Jim Gil, un experto de ciberseguridad y forense digital de International Institute of Cyber Security (IICS), para Hipertextual.

A pesar de que no hay pruebas que demuestren que estos programas de vigilancia digital como Pegasus han sido comprados por el Gobierno, sí es un hecho que están espiando a varias personas en el país. El IICS apunta, sin embargo, que Pegasus no es realmente un malware porque cualquier antivirus o firewall no lo detectaría como tal y que debe ser considerados como programas de vigilancia digital.

En el caso específico de los periodistas, el investigador en programas de vigilancia digital del instituto, Ricky Jais, recomienda usar navegadores anónimos, Red Privada Virtual (VPN) y sistemas operativos como Tails para estar más seguros. Por otro lado, recomienda usar una computadora o celular diferente para el trabajo confidencial y uso personal, además de evitar la compra de dispositivo en línea por el peligro a ser interceptadas durante el envío.

¿El Gobierno mexicano ha comprado Pegasus? El Senado mexicano podría exigir respuestas

Asimismo, subraya la necesidad de utilizar sistemas seguros para intercambiar archivos y comunicarse con sus fuentes como SecureDrop or OnionShare. Finalmente, explica el punto que también comparte Jade Ramírez: utilizar aplicaciones como Signal y cifrar los correos electrónicos y discos duros.

De acuerdo con una investigación de Webimprints, una empresa de seguridad informática y socio de IICS, existen empresas en México que venden programas de vigilancia digital a gobiernos y empresas privadas, quienes posteriormente utilizan la información para vigilar e investigar criminales o el comportamiento de los empleados.

En este contexto, la prevención se ha convertido en un factor clave. Los periodistas que realizan reportajes e investigaciones deben tener muy en cuenta las medidas de prevención aunque, según la información obtenida, todos los ciudadanos podríamos estar expuestos a estos programas de espionaje.

El International Institute of Cyber Security (IICS) compartió algunas medidas de seguridad para todas aquellas personas que utilicen dispositivos móviles en su trabajo y quieren aumentar su seguridad cibernética.

  • Evitar abrir correos electrónicos de fuentes desconocidos, especialmente si incorporan archivos adjuntos y nunca hacer clic en un enlace desconocido.
  • Nunca usar Wi-Fi abiertas o compartidas.
  • Proteger las redes de casa, trabajo y vigilar también la seguridad en aparatos que se han incorporado últimamente a internet.
  • Actualiza el software de sistema periódicamente.
  • Usar doble autenticación y contraseñas fuertes en cuentas de correo o redes sociales o sitos importantes y cámbialas cada seis meses.
  • Usar las redes sociales con cuidado y usar diferentes cuentas para diferentes propósitos.