A la mayorรญa de los investigadores acadรฉmicos les cuesta mucho que el pรบblico le preste atenciรณn a sus investigaciones. Por eso, es una gran sorpresa que alguien estรฉ dispuesto a dedicar tiempo y dinero a espiar un centro de investigaciรณn acadรฉmica. Sin embargo, de acuerdo con un informe publicado por Associated Press (AP) la semana pasada, eso es exactamente lo que les sucediรณ a los investigadores de Citizen Lab de la Universidad de Toronto, dedicados a revelar las iniciativas de vigilancia, monitoreo y hackeo perpetradas por el Estado.
En diciembre y enero dos investigadores de Citizen Lab fueron contactados por hombres que se hicieron pasar por ejecutivos de la industria de la tecnologรญa para organizar reuniones en nombre de empresas falsas. El New York Times identificรณ a uno de los impostores como Aharon Almog-Assoulin, un agente de seguridad israelรญ retirado. Hasta el momento, no queda claro para quiรฉn trabajaban los agentes encubiertos, aunque interrogaron reiteradamente a los investigadores sobre el trabajo del equipo relacionado con un programa de vigilancia israelรญ vendido por NSO Group. (NSO Group negรณ cualquier tipo de implicaciรณn y le dijo a AP que nunca habรญa contratado ni le habรญa pedido a nadie que contratase agentes para investigar Citizen Lab). Lo que sรญ queda claro es que el tipo de trabajo que realiza Citizen Lab โrevelar las herramientas y tรฉcnicas que los gobiernos y otros agentes utilizan para realizar trabajos de vigilancia digital y para comprometer los dispositivos de periodistas, activistas de derechos humanos y opositores polรญticos en todo el mundoโ es mรกs importante y mรกs difรญcil que nunca.
Citizen Lab, dirigido por el profesor de Ciencias Polรญticas Ron Deibert, en Toronto, es muy conocido por sus investigaciones detalladas sobre cรณmo operan los hackers respaldados por el estado alrededor del mundo. Al combinar anรกlisis geopolรญticos con un avanzado conocimiento tรฉcnico, los investigadores del grupo pueden rastrear estas operaciones y explicar exactamente cรณmo se implementan las diferentes misiones de vigilancia. Su enfoque, asรญ como su alcance geogrรกfico, es lo que diferencia al laboratorio de muchos otros que trabajan con asuntos de vigilancia digital. Tan solo en 2018, Citizen Lab publicรณ informes sobre cรณmo los tibetanos eran el blanco de campaรฑas fraudulentas por Internet y sobre cรณmo el software comercial desarrollado por NSO Group fue utilizado para atacar a periodistas mexicanos y a Omar Abdulaziz, un opositor saudรญ en Canadรก, quien era una persona de confianza de Jamal Khashoggi, el periodista del Washington Post asesinado. Despuรฉs del asesinato de Khashoggi en el consulado de Arabia Saudita en Estambul y la revelaciรณn de que el telรฉfono de Abdulaziz habรญa sido vulnerado, CNN analizรณ mรกs de 400 mensajes de WhatsApp entre Khashoggi y Abdulaziz. CNN descubriรณ que los mensajes contenรญan duras crรญticas al prรญncipe heredero de Arabia Saudita, Mohammed bin Salman, y que posiblemente se habรญa accedido a ellos a travรฉs de malware descargado en el telรฉfono de Abdulaziz.
En diciembre, sรณlo dos dรญas despuรฉs de que CNN publicara su artรญculo sobre los mensajes de WhatsApp, el investigador de Citizen Lab, Bahr Abdul Razzak, fue contactado a travรฉs de LinkedIn por un hombre llamado Gary Bowman. Bowman se hizo pasar por un ejecutivo sudafricano de tecnologรญa financiera de una empresa con sede en Madrid llamada FlameTech (una empresa que no existe). Dijo que estaba interesado en trabajar con Abdul Razzak, y ambos hombres se encontraron en el hotel Shangri-La, en Toronto, el 18 de diciembre. Abdul Razzak le dijo a AP que Bowman procediรณ a interrogarlo sobre el trabajo de Citizen Lab relacionado con el spyware de NSO y que el hombre leรญa tarjetas con indicaciones y hacรญa preguntas como โยฟPor quรฉ solo escribe sobre NSO?โ, โยฟEscribe sobre NSO porque es una empresa israelรญ?โ y โยฟOdia Israel?โ.
Un mes mรกs tarde, despuรฉs de que Associated Press y Citizen Lab determinaran que la empresa FlameTech no existรญa, otro investigador de Citizen Lab, John Scott-Railton, recibiรณ un mensaje de un representante de otra empresa ficticia, esta vez, una empresa de tecnologรญa agrรญcola con sede en Parรญs llamada CPW-Consulting. Preparado esta vez, Scott-Railton se reuniรณ con el representante de CPW-Consulting en el hotel Peninsula, en Nueva York, con una cรกmara GoPro y otros dispositivos de grabaciรณn, mientras que dos periodistas de AP se ubicaron en una mesa cercana. Scott-Railton fue interrogado sobre si tenรญa amigos judรญos cuando era niรฑo y si habรญa algรบn โcomponente racistaโ en las investigaciones de Citizen Lab de software desarrollado en Israel. Luego, al final de la comida, los periodistas de AP confrontaron al hombre y le preguntaron por quรฉ no habรญa registros de su empresa. El hombre se fue sin responder ninguna de sus preguntas.
Los sitios web falsos tanto de FlameTech como de CPW-Consulting desaparecieron poco tiempo despuรฉs de que AP publicara su artรญculo sobre la operaciรณn, pero los periodistas no pudieron descubrir para quiรฉn trabajaban; no fue posible encontrar evidencia de que habรญan sido contratados por NSO Group. Scott-Railton y Abdul Razzak le dijeron a AP que sospechaban que habรญan sido grabados durante sus respectivas reuniones (Scott-Railton notรณ un bolรญgrafo en la mesa del restaurante que parecรญa tener una cรกmara) y que, probablemente, los agentes encubiertos pretendรญan que hicieran declaraciones sobre Israel o sobre su trabajo que desprestigiaran el centro de investigaciรณn y comprometieran la integridad de su trabajo.
Los dos intentos fallidos de engaรฑar a los investigadores de Citizen Lab son tan surrealistas como escalofriantes. Hay partes de la historia que, prรกcticamente, parecen esfuerzos caricaturescos por infiltrar un grupo de expertos en detecciรณn de fraudes y mentiras en Internet: en los sitios web de las dos empresas, creados de manera apresurada, se usaron imรกgenes de archivo para las fotografรญas de los ejecutivos; y la manera inexperta e inusual de interrogar a los investigadores sobre si tenรญan opiniones negativas sobre Israel o la comunidad judรญa. Ademรกs, mรกs allรก de lo torpe e inexperto de los intentos, resulta perturbador que alguien se tomase la molestia y corriese con los gastos necesarios para crear esos sitios web y para contratar a esos hombres para que se reunieran con Abdul Razzak y Scott-Railton con el objetivo de desacreditar o entorpecer la investigaciรณn sobre vigilancia en lรญnea y spyware comercial.
El hecho de que la รบnica forma de comprometer al grupo fuera organizar reuniones en persona es un indicio de lo sรณlidas que deben ser las protecciones digitales de los investigadores del laboratorio (algo para nada sorprendente). Y ademรกs de todo eso: es un recordatorio de que hacer este tipo de trabajo sobre vigilancia digital no solo requiere habilidades y recursos impresionantes, sino que tambiรฉn es importante contar con el valor y el respaldo institucional para confrontar a quienes intentan, a toda costa, mantener en secreto esa vigilancia; sean quienes sean.
Este artรญculo es publicado gracias a una colaboraciรณn de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
profesora asistente de polรญticas de ciberseguridad en la Tufts Fletcher School of Law and Diplomacy.
