El 10 de noviembre, 2021, Varuzhan Geghamyan, profesor asistente en la Universidad Estatal de Ereván en Armenia, recibió una notificación de Apple en su teléfono. Su dispositivo había sido comprometido por Pegasus, una pieza sofisticada de spyware creada por el grupo israelí NSO que ha sido utilizada por los gobiernos para espiar y reprimir a periodistas, activistas y grupos de la sociedad civil. Pero Geghamyan estaba desconcertado en cuanto a por qué había sido atacado.
“En ese momento, estaba dando conferencias públicas y dando comentarios, apareciendo en los medios locales y estatales”, dice. Hablaba principalmente sobre el conflicto en curso en Nagorno-Karabaj, un territorio en disputa que es reconocido internacionalmente como parte de Azerbaiyán pero que ha buscado la independencia, con el respaldo de Armenia.
En una investigación conjunta de Access Now, Citizen Lab, Amnistía Internacional, CyberHub-AM y el investigador de seguridad independiente Ruben Muradyan, el equipo concluyó que Geghamyan era uno de los 13 funcionarios públicos armenios, incluidos periodistas, extrabajadores del gobierno y al menos un miembro de United. Funcionario de las Naciones Unidas, cuyos teléfonos fueron atacados por el software espía de élite. La investigación de Amnistía encontró anteriormente que más de 1.000 azerbaiyanos también estaban incluidos en una lista filtrada de posibles objetivos de Pegasus. Se confirmó que cinco de ellos habían sido pirateados.
“Fue la primera vez que documentamos el uso de spyware en una guerra como esta”, dice Natalia Krapiva, asesora legal en tecnología de Access Now. Con él viene una gran cantidad de complicaciones.
NSO Group no proporcionó un comentario atribuible a tiempo para su publicación.
Nagorno-Karabaj ha sido escenario de continuos enfrentamientos violentos entre Armenia y Azerbaiyán desde la caída de la Unión Soviética. Pero en septiembre de 2020, estos se convirtieron en una guerra total que duró unas seis semanas y dejó más de 5000 muertos. A pesar de un acuerdo de alto el fuego, los enfrentamientos continuaron hasta 2021.
En 2022, Human Rights Watch documentó crímenes de guerra contra prisioneros de guerra armenios, y la región ha sufrido un bloqueo masivo que ha dejado a decenas de miles de personas sin sus necesidades básicas. Los investigadores descubrieron que la mayoría de las víctimas del software espía se infectaron durante la época de la guerra y después.
“La mayoría de las personas atacadas eran personas que trabajaban en temas relacionados con violaciones de derechos humanos”, dice Donncha Ó Cearbhaill, directora del Laboratorio de Seguridad de Amnistía Internacional.
Si bien los investigadores no pudieron determinar de manera concluyente quién estaba detrás de la vigilancia, NSO Group ha dicho históricamente que solo otorga licencias de sus productos a los gobiernos, en particular a las agencias de inteligencia y de aplicación de la ley. Informes anteriores han encontrado que Azerbaiyán, Bahrein, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita, Hungría, India, Togo y los Emiratos Árabes Unidos eran probablemente clientes de NSO Group. En 2022, la compañía dijo que ya no vendería a países no pertenecientes a la OTAN.
Una infección de Pegasus es un ataque de «clic cero», lo que significa que la víctima no necesita abrir un correo electrónico sospechoso o hacer clic en un enlace incorrecto. “No hay ningún comportamiento que hubiera protegido a estas personas de este software espía”, dice John Scott-Railton, investigador principal de Citizen Lab.
Si bien Pegasus históricamente ha sido utilizado por funcionarios gubernamentales contra sus propias poblaciones, en particular activistas y periodistas, por lo que la empresa ha sido objeto de escrutinio internacional, Scott-Railton dice que el uso transfronterizo en un conflicto es particularmente preocupante. “NSO siempre dice: ‘Vendemos nuestras cosas para combatir el crimen y el terror’, obviamente esto sugiere que la realidad va más allá”, dice.