Pegasus, um cavalo de tróia alado

Ahmed Mansoor, ativista internacional dos direitos humanos, recebeu uma mensagem de texto sugerindo um link com informa­ções confidenciais sobre a tortura de presos nos Emirados Árabes Unidos. Mansoor enviou o link para análise no Citizen Lab. Os pesquisadores identificaram que o link continha um spyware de­senvolvido pela empresa de segurança israelense NSO Group.

O Pegasus é um software espião que invade aparelhos celula­res para copiar dados pessoais e disponibilizá-los para quem estiver dispos­to em pagar mais. Como sugerido pelo desenvolve­dor, é como um “cavalo de Tróia”. Uma vez que invade um celular, o programa permite ao cliente monitorar as ligações, acessar o histórico de na­vegação, rastrear a localização do aparelho em tempo real e baixar os dados pessoais, mesmo que criptografados. Ultrapassando os limites da privacidade, o spyware permite ao controlador ativar a câmera e o microfone de um aparelho, mesmo quando desligado.

A organização Forbidden Stories, em colaboração com o Laboratório de Segurança da Anistia Internacional e outras 17 organizações de mídia em dez países diferentes, formou uma força-tarefa para investigar as consequências do spyware. A investigação resultou em uma lista de países que adquiriram o Pegasus, inclu­indo Bahrein, Togo, Emirados Árabes Unidos, Hungria, México, Índia, Ruanda, Azerbaijão e Cazaquistão, alguns com longos históricos de violação dos direitos humanos, como a Arábia Saudita, do príncipe Mohammed bin Salman. [76]

Inicialmente, a NSO se reservou ao direito de não responder às acusações, mas as denúncias atingiram tais proporções que a empresa e seus diretores logo se viram obrigados a romper o silên­cio. A NSO respondeu que o Pegasus só era vendido para agências de segurança e governos que passassem por avaliação primária do Estado de Israel, e que o software foi criado para ajudar agências governamentais a prevenir e investigar crimes como tráfico de dro­gas e pessoas, redes de pedofilia e principalmente a salvar milhares de vidas contra o terrorismo.

A força-tarefa montada para investigar as ações e consequên­cias do Pegasus identificou mais de 50 mil smartphones infectados em 45 países diferentes. Dentre os nomes mais conheci­dos estavam Imran Khan, Cyril Ramaphosa, Pedro Sánchez e Emmanuel Macron, respectivos chefes de estado do Paquistão, África do Sul, Espanha e França. Entre outros estavam exe­cutivos financeiros, líderes religiosos, acadêmicos, ativistas pelos direitos humanos, sindicalistas, funcionários públicos, advogados e parentes de che­fes de Estado.

Além dos líderes de estado, a Forbidden Stories também destacou outra característica intrigante dos compradores da NSO. A organização identificou mais de 180 alvos classificados como “terroristas”, que estavam sendo monitorados pelo spyware. Os terroristas internacionais operavam em células do The New York Times, Bloomberg, Le Monde, El País, Wall Street Journal, Al Jazeera, France 24, Radio Free Europe, Mediapart, Associated Press, Agence France-Presse, The Economist, Reuters, The Wire e Voice of America. Entre os indivíduos sob vigilância, estava Khashoggi, o jornalista esquartejado no consulado saudita.

Hanan Elatr, primeira-esposa do jornalista, entregou dois celulares para análise. Os analistas descobriram que o spyware foi implantado no aparelho manualmente, provavelmente enquanto ela estava detida por autoridades dos Emirados Árabes Unidos, no aeroporto de Dubai. Eles observaram também que o interesse do cliente estava nas conversas entre Hanan e Khashoggi. A NSO e o governo dos Emirados Árabes negaram o interesse no jornalista e sua esposa, afirmando que a acusação era uma tentativa de desa­creditar a empresa por motivos falsos. [77]

Mesmo comprovando a infecção de dois aparelhos de Hanan, a Forbidden Stories não pôde comprovar que a infecção tinha como alvo o opositor ao regime saudita, mesmo o país estando na lista de compradores do spyware.

Em entrevista concedida para a mídia de comunicação israe­lense, Yedioth Ahronoth, o CEO da NSO Group afirmou que a empresa conduziu uma investigação abrangente entre todos os seus clientes, e consta­tou que Khashoggi “não foi alvo de nenhum produto ou tecnologia da NSO, incluindo escuta, monitoramento, rastreamento de localização e coleta de dados” [78]. Embora o jorna­lista possa não ter sido diretamente monitorado, a empresa não explicou como a esposa, os filhos e outros jornalistas com os quais Khashoggi tinha relações próximas acabaram na lista de alvos rastreados. Mesmo após o assassinato, a noiva que aguardava Khashoggi no consulado e o promotor turco encarregado da inves­tigação também tiveram seus celulares alvo do Pegasus. Quando questionado se o Pegasus foi vendido para a Arábia Saudita, a resposta do CEO foi que “Não comentamos nenhuma questão sobre clientes específicos. Não vamos confirmar nem desmentir”.

Em poucos anos, a exportação de tecnologia de espionagem israelense se espalhou por diversos países ao redor do mundo, trazendo consigo consequências imensuráveis que provavelmente teremos que lidar por mais alguns anos. No México, onde foi registrado o maior número de smartphones infectados pelo Pegasus, mais de quinze mil números foram identificados, inclu­indo o do jornalista Cecilio Pineda, que divulgou um relatório denunciando envolvimento do Governador e elementos da polícia estadual em atividades ilegais. Posteriormente, ele foi assassinado após seu número aparecer na lista de dispositivos infectados pelo Pegasus; seu celular desapareceu da cena do crime. [79] Outros 26 jornalistas mexicanos também foram encontrados na lista de alvos do spyware da empresa de Israel.

Xavier Olea, Procurador-geral do estado de Guerrero, relatou em uma entrevista que recebeu a visita de um empresário mexicano acompanhado de um israelense, oferecendo o spyware. Durante a demonstração do produto, o israelense conseguiu hackear o celular da esposa do procurador em questão de minutos. Na época, o estado não possuía os recursos financeiros necessários para adquirir o produto oferecido, mas dois anos depois, o governo mexicano comprou o programa.

A NSO admitiu ter vendido vários de seus produtos para o México, incluindo o Pegasus, com o propósito de auxiliar o governo na luta contra os cartéis de drogas. Essas ferramentas, contudo, foram empregadas para monitorar jornalistas e qualquer indivíduo que criticasse o governo. Segundo o Citizen Lab, no México, o spyware foi usado contra 24 alvos associados à oposi­ção do governo. É possível que o Pegasus também tenha sido utilizado para tentar influenciar as eleições e impedir que Manuel López Obrador se tornasse presi­dente, visto que a lista de infecta­dos incluía familiares e colaboradores próximos, como o gerente de campanha do candidato favorito da esquerda mexicana.

As autoridades mexicanas não responderam às acusações da Forbidden Stories, e embora a NSO não tenha respondido às per­guntas da organização, afirmou que “continuará a investigar todas as alegações críveis de uso indevido e tomará as medidas adequa­das com base nos resultados dessas investigações”.

Desde que o caso Project Pegasus se tornou público, houve manifestações em várias partes do mundo, e o governo dos EUA impôs sanções à empresa israelense. Em 2022, o Reino do Marrocos processou o jornalista espanhol Ignacio Cembrero por publicar uma matéria denunciando o governo pelo uso do Pegasus para espionar ele e outros jornalistas. No processo, o Marrocos alegou não ter utilizado o software contra o jornalista e argumentou que a matéria prejudicou a imagem pública do reino.

Edward Snowden[1] se manifestou, afirmando que se a empresa israelense é capaz de hackear um iPhone, ela também é capaz de fazer o mesmo com qualquer outro dispositivo. Snowden explicou em uma entrevista que é difícil afirmar com precisão se o Pegasus foi usado contra o jornalista saudita, mas alguém tão experiente como Khashoggi não seria facilmente infectado por um spyware. Portanto, alvos próximos foram provavelmente escolhi­dos para atingi-lo. Snowden acrescentou que, quando trabalhava na Agência de Segurança Nacional (NSA) do governo estadunidense, era comum dizer que “uma vez é coincidência, duas vezes é coincidên­cia, três vezes é ação inimiga”. No caso de Khashoggi, parece ser um padrão familiar: um governo descontente e fora de controle procurando informações sobre críticos, utilizando poderes que su­postamente seriam usados apenas contra os terroristas.

Conforme o artigo 17 da DUDH, cada estado tem a obrigação de proteger os direitos à privacidade e intimidade de seus cida­dãos. Israel, adota uma postura oposta ao permitir que empresas privadas desenvolvam sistemas que violam esses direitos. O Pegasus, ao contrário do que é propagandeado, não está sendo usado contra traficantes, pedófilos ou terroristas, ele está sendo direcio­nado contra uma população civil. Essa ferramenta de violação de direitos humanos está sendo empregada contra líderes políticos, advogados, acadêmicos e jornalistas que lutam para res­ponsabilizar os governos por suas violações. O Estado de Israel, como disse o proprietário da empresa dona do software espião, é responsável por autorizar a venda do Pegasus para governos auto­ritários com históricos conhecidos de desrespeito aos direitos humanos, incluindo privacidade e intimidade.

[1] Edward Joseph Snowden é um analista de sistemas, ex-administrador de sistemas da CIA e ex-contratado da NSA que tornou públicos detalhes de vários programas que constituem o sistema de vigilância global da NSA americana.