Hay un nombre que destaca con particular ironía entre el diverso elenco de personajes marcados por los gobiernos que contrataron a NSO Group. Es el de Pavel Durov, el multimillonario informático nacido en Rusia que se alzó a la fama por haber creado una aplicación de mensajería inviolable.
Durov, de 36 años, es el fundador de Telegram, que dice tener más de quinientos mil millones de usuarios, y ofrece un servicio de mensajería encriptado de punto a punto y la posibilidad de crear “canales” para distribuir información rápidamente a seguidores. Es particularmente popular entre aquellos interesados por evadir la vigilancia gubernamental, ya sean criminales, terroristas o manifestantes que luchan contra regímenes autoritarios.
En los últimos años, Durov ha denostado los estándares de seguridad de sus competidores, de WhatsApp en particular, cuyo uso califica de “peligroso”. Por contraste, ha posicionado a Telegram como una valiente empresa novedosa enfocada en resguardar la privacidad de sus usuarios a cualquier costo.
Sin un análisis forense del teléfono de Durov no es posible determinar si hubo un intento de infectarlo con programas maliciosos.
Una fuente de NSO señaló que Durov no fue un objetivo, es decir, la fuente niega que fuera seleccionado para ser vigilado mediante Pegasus, el programa de espionaje de NSO. La compañía insiste en que el hecho de que un número aparezca en la lista no indica de modo alguno que fuera vigilado mediante Pegasus.
Cuando le preguntaron si el teléfono de Durov había sido objetivo de Pegasus o cualquier otra actividad vinculada al espionaje informático, un portavoz de NSO no contestó. Dijo: “Cualquier afirmación de que un nombre en esa lista está necesariamente vinculado a un objetivo real o potencial de Pegasus es errónea y falsa”. Los abogados de NSO dijeron que su decisión de no responder a ciertas afirmaciones no debería ser tomada como una confirmación.
Pero se cree que la lista, puesta a disposición de The Guardian y otros medios a través del proyecto de colaboración internacional Pegasus, identifica a los individuos como personas de interés para los clientes gubernamentales de NSO. Incluye personas que más tarde estuvieron sujetas a la vigilancia, según el análisis forense de sus teléfonos.
Los expertos en seguridad informática que examinaron el funcionamiento del programa de espionaje Pegasus de NSO dicen que la encriptación de los programas de mensajería no hace diferencia alguna, y que puede acceder a prácticamente todo el contenido del teléfono infectado. Telegram, así como WhatsApp, Signal y otras aplicaciones de mensajería que prometen encriptación de punto a punto no tendrían de hecho ningún poder si el dispositivo en el cual están instaladas es infectado por un programa pirata tan poderoso como Pegasus.
El número de Durov, que apareció en la lista a comienzos de 2018, ha estado asociado a su cuenta personal de Telegram desde hace años.
Ni Durov, reacio a la publicidad, ni el departamento de prensa de Telegram han contestado a las solicitudes de comentarios enviadas a sus cuentas de Telegram.
Es larga la lista de gobiernos y servicios de inteligencia que se alegrarían por inspeccionar los contenidos del teléfono móvil de Durov, que se fue de Rusia en 2013 y ha tenido varios conflictos con los servicios de seguridad del país. Telegram también ha tenido un papel importante en la conducción de los movimientos de protesta de Bielorrusia, Hong Kong e Irán.
Sin embargo, los análisis de las listas filtradas sugieren que Durov puede haber sido una persona de interés para el gobierno de los Emiratos Árabes Unidos (EAU).
Durov tiene un pasaporte del país caribeño de St. Kitts y Nevis y lleva una vida peripatética desde que salió de Rusia. Pero unos documentos archivados en Companies House en Londres muestran que en febrero de 2018 cambió su domicilio oficial de Finalndia a los EAU. El momento coincide con la aparición del teléfono de Durov entre los datos filtrados, y sugiere que sus nuevos anfitriones pueden haber querido vigilar a su nuevo y controversial residente.
A pesar de su rechazo explícito del concepto del Estado nacional, desde su mudanza Durov se ha acercado a los regentes de su nuevo país de residencia. En febrero de este año se reunió con Sheikh Hamdan bin Mohammed bin Rashid al-Maktoum, el príncipe de la corona de Dubai. “Seguimos recibiendo a los mayores talentos con sus ideas en Dubai, lo que ofrece un ecosistema nutritivo para que se desarrollen,” dijo Sheikh Hamdan después de la reunión, según un comunicado de prensa de las autoridades de Dubai.
Los EAU y Dubai no respondieron las solicitudes de comentarios sobre las acusaciones con respecto a Durov. The Guardian entiende que Dubai es un antiguo cliente de NSO, pero que su acceso a Peagsus fue interrumpido tras una investigación por denuncias de usos indebidos.
Durov solo hace anuncios públicos a través de su cuenta de Telegram en raras ocasiones, y suelen ser sugerencias pintorescas para la vida – vive siempre solo y sigue una vida “seagana” de peces silvestres y nada más, son dos ejemplos – o exaltaciones de las virtudes de Telegram.
Algunos dudan de la presentación de Telegram como un defensor devoto de la privacidad que no se doblegará ante ningún gobierno, señalando que las conversaciones de Telegram no están encriptadas de punto a punto por defecto, sino solo a través de la función “conversación secreta” de la aplicación. “Me inclino por sugerirle a las personas que eviten usar Telegram por completo porque hay alternativas que sí están encriptadas constantemente de punto a punto”, dijo Eva Galperin de la Electronic Frontier Foundation.
Galperin dijo que es importante saber que la encriptación de punto a punto sigue ofreciendo una protección significativa a la vasta mayoría de los usuarios, de los cuales, si fueran objetivos de vigilancia, probablemente lo serían con herramientas menos avanzadas que Pegasus.
En Bielorrusia, donde los mensajes y canales de Telegram han empujado el sentimiento revolucionario durante el último año, las autoridades debieron recurrir a tácticas crudas para acceder a los teléfonos de los activistas – obligando a los manifestantes detenidos a desbloquear sus teléfonos y forzando a un avión de Ryanair que transportaba al administrador de un canal de protestas de Telegram a aterrizar en Minsk, donde fue arrestado.
“Según nuestra información, sin acceso físico al teléfono las autoridades bielorrusas no pueden acceder a nuestros mensajes de Telegram”, dijo el administrador de otro canal de protestas bielorruso en un llamado a través de Telegram.
Pero esta ecuación cambia dramáticamente cuando las autoridades en cuestión tienen acceso a Pegasus. Bielorrusia no está entre los clientes conocidos de NSO, y no hay nada que sugiera que lo es. Pero otros regímenes represivos en países donde los activistas de Derechos Humanos y periodistas usan aplicaciones de mensajería encriptada regularmente sí han comprado Pegasus. Además, las publicaciones de la investigación sobre Pegasus de esta semana sugieren que en muchos países un amplio espectro de personas, y a veces también sus familiares o conocidos, pueden convertirse en objetivos del programa de espionaje.
Serguei Belussov, un emprendedor informático de Singapur que dirige la empresa de protección de datos Acronis, dijo que los programas como Pegasus dificultan recomendar servicios de mensajería en particular. “Proteger una aplicación particular no es posible; la principal vulnerabilidad es el dispositivo”, dijo. “El único dispositivo completamente seguro es el que está apagado”.
Traducción de Ignación Rial-Schies