A la mayoría de los investigadores académicos les cuesta mucho que el público le preste atención a sus investigaciones. Por eso, es una gran sorpresa que alguien esté dispuesto a dedicar tiempo y dinero a espiar un centro de investigación académica. Sin embargo, de acuerdo con un informe publicado por Associated Press (AP) la semana pasada, eso es exactamente lo que les sucedió a los investigadores de Citizen Lab de la Universidad de Toronto, dedicados a revelar las iniciativas de vigilancia, monitoreo y hackeo perpetradas por el Estado.
En diciembre y enero dos investigadores de Citizen Lab fueron contactados por hombres que se hicieron pasar por ejecutivos de la industria de la tecnología para organizar reuniones en nombre de empresas falsas. El New York Times identificó a uno de los impostores como Aharon Almog-Assoulin, un agente de seguridad israelí retirado. Hasta el momento, no queda claro para quién trabajaban los agentes encubiertos, aunque interrogaron reiteradamente a los investigadores sobre el trabajo del equipo relacionado con un programa de vigilancia israelí vendido por NSO Group. (NSO Group negó cualquier tipo de implicación y le dijo a AP que nunca había contratado ni le había pedido a nadie que contratase agentes para investigar Citizen Lab). Lo que sí queda claro es que el tipo de trabajo que realiza Citizen Lab —revelar las herramientas y técnicas que los gobiernos y otros agentes utilizan para realizar trabajos de vigilancia digital y para comprometer los dispositivos de periodistas, activistas de derechos humanos y opositores políticos en todo el mundo— es más importante y más difícil que nunca.
Citizen Lab, dirigido por el profesor de Ciencias Políticas Ron Deibert, en Toronto, es muy conocido por sus investigaciones detalladas sobre cómo operan los hackers respaldados por el estado alrededor del mundo. Al combinar análisis geopolíticos con un avanzado conocimiento técnico, los investigadores del grupo pueden rastrear estas operaciones y explicar exactamente cómo se implementan las diferentes misiones de vigilancia. Su enfoque, así como su alcance geográfico, es lo que diferencia al laboratorio de muchos otros que trabajan con asuntos de vigilancia digital. Tan solo en 2018, Citizen Lab publicó informes sobre cómo los tibetanos eran el blanco de campañas fraudulentas por Internet y sobre cómo el software comercial desarrollado por NSO Group fue utilizado para atacar a periodistas mexicanos y a Omar Abdulaziz, un opositor saudí en Canadá, quien era una persona de confianza de Jamal Khashoggi, el periodista del Washington Post asesinado. Después del asesinato de Khashoggi en el consulado de Arabia Saudita en Estambul y la revelación de que el teléfono de Abdulaziz había sido vulnerado, CNN analizó más de 400 mensajes de WhatsApp entre Khashoggi y Abdulaziz. CNN descubrió que los mensajes contenían duras críticas al príncipe heredero de Arabia Saudita, Mohammed bin Salman, y que posiblemente se había accedido a ellos a través de malware descargado en el teléfono de Abdulaziz.
En diciembre, sólo dos días después de que CNN publicara su artículo sobre los mensajes de WhatsApp, el investigador de Citizen Lab, Bahr Abdul Razzak, fue contactado a través de LinkedIn por un hombre llamado Gary Bowman. Bowman se hizo pasar por un ejecutivo sudafricano de tecnología financiera de una empresa con sede en Madrid llamada FlameTech (una empresa que no existe). Dijo que estaba interesado en trabajar con Abdul Razzak, y ambos hombres se encontraron en el hotel Shangri-La, en Toronto, el 18 de diciembre. Abdul Razzak le dijo a AP que Bowman procedió a interrogarlo sobre el trabajo de Citizen Lab relacionado con el spyware de NSO y que el hombre leía tarjetas con indicaciones y hacía preguntas como “¿Por qué solo escribe sobre NSO?”, “¿Escribe sobre NSO porque es una empresa israelí?” y “¿Odia Israel?”.
Un mes más tarde, después de que Associated Press y Citizen Lab determinaran que la empresa FlameTech no existía, otro investigador de Citizen Lab, John Scott-Railton, recibió un mensaje de un representante de otra empresa ficticia, esta vez, una empresa de tecnología agrícola con sede en París llamada CPW-Consulting. Preparado esta vez, Scott-Railton se reunió con el representante de CPW-Consulting en el hotel Peninsula, en Nueva York, con una cámara GoPro y otros dispositivos de grabación, mientras que dos periodistas de AP se ubicaron en una mesa cercana. Scott-Railton fue interrogado sobre si tenía amigos judíos cuando era niño y si había algún “componente racista” en las investigaciones de Citizen Lab de software desarrollado en Israel. Luego, al final de la comida, los periodistas de AP confrontaron al hombre y le preguntaron por qué no había registros de su empresa. El hombre se fue sin responder ninguna de sus preguntas.
Los sitios web falsos tanto de FlameTech como de CPW-Consulting desaparecieron poco tiempo después de que AP publicara su artículo sobre la operación, pero los periodistas no pudieron descubrir para quién trabajaban; no fue posible encontrar evidencia de que habían sido contratados por NSO Group. Scott-Railton y Abdul Razzak le dijeron a AP que sospechaban que habían sido grabados durante sus respectivas reuniones (Scott-Railton notó un bolígrafo en la mesa del restaurante que parecía tener una cámara) y que, probablemente, los agentes encubiertos pretendían que hicieran declaraciones sobre Israel o sobre su trabajo que desprestigiaran el centro de investigación y comprometieran la integridad de su trabajo.
Los dos intentos fallidos de engañar a los investigadores de Citizen Lab son tan surrealistas como escalofriantes. Hay partes de la historia que, prácticamente, parecen esfuerzos caricaturescos por infiltrar un grupo de expertos en detección de fraudes y mentiras en Internet: en los sitios web de las dos empresas, creados de manera apresurada, se usaron imágenes de archivo para las fotografías de los ejecutivos; y la manera inexperta e inusual de interrogar a los investigadores sobre si tenían opiniones negativas sobre Israel o la comunidad judía. Además, más allá de lo torpe e inexperto de los intentos, resulta perturbador que alguien se tomase la molestia y corriese con los gastos necesarios para crear esos sitios web y para contratar a esos hombres para que se reunieran con Abdul Razzak y Scott-Railton con el objetivo de desacreditar o entorpecer la investigación sobre vigilancia en línea y spyware comercial.
El hecho de que la única forma de comprometer al grupo fuera organizar reuniones en persona es un indicio de lo sólidas que deben ser las protecciones digitales de los investigadores del laboratorio (algo para nada sorprendente). Y además de todo eso: es un recordatorio de que hacer este tipo de trabajo sobre vigilancia digital no solo requiere habilidades y recursos impresionantes, sino que también es importante contar con el valor y el respaldo institucional para confrontar a quienes intentan, a toda costa, mantener en secreto esa vigilancia; sean quienes sean.
Este artículo es publicado gracias a una colaboración de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
profesora asistente de políticas de ciberseguridad en la Tufts Fletcher School of Law and Diplomacy.