Por primera vez, se puede documentar que el CISEN y Sedena compraron Pegasus para realizar espionaje informático, publica Aristegui Noticias en un reporta especial.
Por Juan Omar Fierro y Sebastián Barragán/ Aristegui Noticias
La Procuraduría General de la República (PGR), el Centro de Investigación y Seguridad Nacional (Cisen) y el Ejército mexicano pagaron 489 millones de pesos a una sola empresa para actualizar el sistema Pegasus y escalar sus capacidades de espionaje.
Cuatro facturas digitales y un documento interno de PGR indican que la empresa beneficiada es Proyectos y Diseños VME, una firma que tiene oficinas en las delegaciones Cuauhtémoc y Miguel Hidalgo en la Ciudad de México.
Los comprobantes fiscales en poder de Aristegui Noticias confirman que el Cisen y Sedena también poseen la plataforma de espionaje Pegasus que se ha utilizado para atacar a periodistas, activistas anticorrupción y defensores de derechos humanos.
La información si bien era pública, solamente había sido revelada a través de correos filtrados por Wikileaks, pero no se había podido documentar.
Los documentos revelan que la Secretaría de Gobernación, PGR y Sedena incrementan de forma constante su capacidad de espionaje para intervenir las comunicaciones electrónicas, ampliando modelos de teléfonos inteligentes y nuevas versiones de sistemas operativos.
Esta cifra solamente refleja el costo de #GobiernoEspía para tres dependencias federales: el Cisen, dependiente del Secretario de Gobernación, Miguel Ángel Osorio Chong; la Sedena bajo el mando del general Salvador Cienfuegos y la propia PGR.
La cantidad de dinero gastado en el malware desarrollado por la compañía israelí NSO Group Technologies LTD no contempla la compra del software y el equipo necesario para su operación, además de que todavía se desconoce lo erogado por la Secretaría de Marina para su adquisición y uso.
Pegasus es el sistema de espionaje que se utilizó para tratar de infectar los teléfonos de periodistas, activistas anticorrupción y defensores de derechos humanos entre los años 2014 y 2016, de acuerdo con una investigación científica realizada por el laboratorio Citizen Lab de la Universidad de Toronto.
Cisen: 1250 consultas o dispositivos bajo vigilancia
Un documento de la PGR revela que el 13 de octubre de 2015, esa dependencia desembolsó 145 millones de pesos por una primera actualización de Pegasus.
Para el 2016, el gobierno volvió a incrementar la capacidad del programa espía a un costo de 344 millones 525 mil pesos, según consta en cuatro facturas filtradas de manera anónima.
De las cuatro facturas obtenidas por este medio, dos fueron emitidas por esa empresa a nombre de la Secretaría de Gobernación (Segob) y amparan el monto global de 210 millones 581 mil pesos. El contrato permite al Cisen vigilar y “consultar” el contenido de mil 250 blancos o dispositivos móviles.
Una carta enviada por la propia Segob a la empresa intermediaria revela que el Cisen ya contaba con anterioridad con el software malicioso y que el objetivo del nuevo contrato correspondía a la “actualización y mantenimiento” de la plataforma.
En el caso de la Secretaría de Gobernación, la oferta de la compañía se entregó en Camino Real de Contreras 35, colonia La Concepción, delegación Magdalena Contreras en la Ciudad de México. Esa dirección corresponde a la sede principal del Cisen.
Sedena: un millón de dólares para espiar objetivos
Una tercera factura corresponde a la Secretaría de la Defensa Nacional (Sedena) y ampara la cifra de un millón 113 mil 600 dólares, documento que fue emitido el 1 de septiembre del 2016.
Si bien se trata de un comprobante fiscal que fue cancelado, un oficio firmado por el Director General de Transmisiones de Sedena, el general Saúl Contreras Ojeda, comprueba que la transacción es real y que fue necesario expedir una factura nueva por dos errores cometidos durante su elaboración.
“Le solicito que realice la corrección y reposición de la referida factura, toda vez que no cuenta con el requisito fiscal con la anotación del número de cta. de pago (0100), y el método de pago debe especificarse como 03-transferencia electrónica de fondos, de conformidad (…) con la resolución de la miscelánea fiscal (RMF), vigente a partir del 15 de julio del 2016”, aclara el oficio SGE-7829.
El servicio amparado por el comprobante fiscal es “Servicio de Monitoreo Remoto de Información en el periodo del 1ro al 31 de agosto del 2016”.
Una prueba más de que la operación se llevo a cabo es su inclusión en la página web de Datos Abiertos de la dependencia. En el rubro de “Contratos formalizados por la Sedena durante el primer trimestre del 2016” aparece el número de contrato, el monto, el objeto del mismo y el nombre de Proyectos y Diseños VME como empresa beneficiada por una adjudicación directa, es decir, sin competencia.
Esta factura corresponde a un contrato que se muestra en la página de Datos Abiertos de Sedena: coinciden con exactitud la cantidad pagada (un millón 113 mil 600 dólares) y el objeto visible del contrato (servicio de monitoreo remoto de información).
La evolución del virus Pegasus en la plataforma de PGR
La Procuraduría General de la República (PGR) pagó entre 2015 y 2016 más de 258 millones pesos a Proyectos y Diseños VME por actualizar y obtener nuevas licencias para el uso del malware Pegasus.
Al momento de su adquisición el 29 de octubre del 2014, la versión vigente del malware desarrollado por NSO Group era la 2.17. Según el contrato revelado por Televisa, la compra le costó a PGR 32 millones de dólares en ese momento.
El 13 octubre de 2015 se pagaron 145 millones de pesos para escalar la versión de Pegasus a 2.18.
En agosto de 2016, una serie de oficios enviados por la empresa intermediaria al Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (CENAPI), organismo que administra la plataforma de espionaje al interior de PGR, advirtieron a la dependencia que era necesario instalar nuevos controladores en la plataforma para que el programa espía accediera a dispositivos móviles y sistemas operativos más recientes.
Por ello, en septiembre de 2016 se instaló la versión 2.24 en la plataforma de PGR. El costo de la nueva actualización fue de 113 millones 41 mil pesos pesos.
Una factura emitida el 5 de septiembre del 2016, indica que PGR erogó 56 millones como anticipo del 50 por ciento para concretar el “servicio de actualización del licenciamiento y de nuevos dispositivos del software, instalación de un módulo de análisis y las actualizaciones y mejoras en servicios, servidores y estaciones de la plataforma Pegasus NSO”.
En un primer momento, el Pegasus en poder de PGR era capaz de infectar y robar la información de los iPhone 4, 4s y 5, sistemas operativos iOS hasta la versión 6.1.4; el sistema Android hasta su desarrollo 4.2; el software Symbian usado por Nokia y los modelos de Blackberry hasta su versión 7.1.
La actualización de la plataforma adquirida en septiembre de 2016 escaló la vigilancia intrusiva a los iPhone 5 y 6, al sistema operativo iOS 9.2; a los teléfonos Android Samsung GT y a la Blackberry 8520.
La conexión de Proyectos y Diseños VME con Tech Bull y la israelí NSO Group
Documentos adicionales también comprueban que Diseños y Proyectos VME es una compañía intermediaria entre el gobierno mexicano y la israelí NSO Group Technologies LTD, experta en espionaje informático.
El 18 de agosto del 2016, la empresa mexicana transfirió a NSO Group 10 millones 851 mil pesos en moneda nacional, según consta en un comprobante expedido por Casa de Bolsa Ve por Más.
El 21 de octubre de ese mismo año, la empresa mexicano transfirió a los creadores de Pegasus un millón de dólares, equivalente a 15 millones 540 mil pesos al tipo de cambio vigente en esa fecha. El vehículo para esta segunda transferencia de efectivo fue Vector Casa de Bolsa.
Fuente: Aristegui Noticias