Het sms'je bleef bijna onopgemerkt. Maar achter het tekstbericht ging een ultramoderne surveillanceoperatie schuil. Of dat was toch de bedoeling. In het voorjaar van 2016 was de Mexicaanse journalist Jorge Carrasco net zijn Panama Papers-onderzoek aan het afronden voor het magazine Proceso. Plots kreeg hij een sms'je van een onbekend nummer:

'Hallo Jorge. Ik deel deze memo die Animal Politico vandaag publiceerde. Ik denk dat het belangrijk is om hem verder te delen.' In het tekstberichtje stond ook een link.

'Wie ben jij?', stuurde Carrasco terug. De afzender antwoordde nooit.

Uit een technische analyse door een team digitale beveiligingsspecialisten van mensenrechtenorganisatie Amnesty International, in samenwerking met Forbidden Stories, blijkt nu wat er écht aan de hand was. Verborgen achter het mysterieuze sms'je zat een poging om toegang te krijgen tot Carrasco's telefoon. Dat zou gebeuren met behulp van de beruchte Pegasus-spyware, die het Israëlische bedrijf NSO Group verkocht aan meerdere overheidsklanten in Mexico. Officieel is Pegasus ontwikkeld om terrorisme en georganiseerde misdaad te bestrijden.

Wanneer je op de link uit zo'n sms'je klikt, dan wordt op je gsm onzichtbare software geïnstalleerd die alle gegevens van het toestel - inclusief sms-berichtjes - opzuigt. De software maakt het ook mogelijk om de microfoon en de camera van je gsm op afstand te activeren - een nachtmerrie voor journalisten die vaak werken met confidentiële informatie.

Jorge Carrasco, hoofdredacteur van het Mexicaanse magazine Proceso., Forbidden Stories
Jorge Carrasco, hoofdredacteur van het Mexicaanse magazine Proceso. © Forbidden Stories

'Ik heb het berichtje destijds wel opgemerkt, maar ik ontvang veel van dat soort berichten', zegt Carrasco, die nu hoofdredacteur is van Proceso.

'Het sms'je dat we onderzochten was waarschijnlijk onderdeel van een campagne die destijds in Mexico liep', zegt Claudio Guarnieri van Amnesty Security Lab. Volgens Amnesty was het telefoonnummer dat het berichtje naar Carrasco verstuurde, ook al gebruikt om links met malware te sturen naar Carmen Aristegui - een van Mexico's bekendste onderzoeksjournalisten.

De domeinnaam achter de link werd in 2017 ook al eens gebruikt met dezelfde software om in Mexico voorstanders van een belasting op frisdrank te targeten.

Jorge Carrasco is nu de tiende Mexicaanse journalist wiens telefoon sporen vertoont van (pogingen tot een) spyware-aanval met Pegasus.

Israëlische technologie

Het voorbije decennium was Mexico een belangrijke invoerder van surveillancetechnologie, ondanks herhaalde schandalen rond het gebruik van die tools tegen journalisten en activisten.

Volgens een hooggeplaatste functionaris van de Amerikaanse Drug Enforcement Administration (DEA) hebben ongeveer 20 private spywarebedrijven software verkocht aan Mexicaanse politiediensten, zowel op het niveau van de federale staat als op dat van de deelstaten.

Mexico was lange tijd een van de grootste klanten van de NSO Group. Na een eerste contract met de Mexicaanse Secretary of National Defense, verstevigde het Israëlische bedrijf zijn positie op de Mexicaanse markt in 2014 dankzij een contract ter waarde van 32 miljoen dollar met het Mexicaanse parket-generaal.

In 2019 werd bekend dat de NSO Group erin geslaagd was om ook een kwetsbaarheid in de versleutelde berichtendienst WhatsApp te gebruiken om telefoons binnen te dringen. Daarvoor hoefde je zelfs niet eens op een link te klikken.

'Ik ben ervan overtuigd dat problemen inzake misbruik (van spytools, nvdr) wereldwijd alleen maar zijn toegenomen', zegt John Scott-Railton van Citizen Lab, een organisatie in Toronto gespecialiseerd in de detectie van cyberspionage. 'Maar het is gewoon veel moeilijker om ze nog te ontdekken.'

Voor de export van Pegasus moet de NSO Group een vergunning krijgen van de Israëlische overheid. 'Elke vergunningsbeoordeling wordt gemaakt in het licht van verschillende overwegingen, waaronder de veiligheidsmachtiging van het product en een beoordeling van het land waar het product op de markt zal worden gebracht', reageert een woordvoerder van het Israëlische ministerie van Defensie. 'Mensenrechten, beleids- en veiligheidskwesties worden allemaal in overweging genomen.'

Pedofilienetwerken

In antwoord op onze vragenlijst stuurde NSO een lange geschreven reactie naar Forbidden Stories.

'De hoogste prioriteit van de NSO is de bescherming van het leven van burgers over de hele wereld', schrijft het bedrijf onder meer. 'Daarom hebben we technologie ontwikkeld die uitsluitend in licentie wordt gegeven aan inlichtingendiensten en wetshandhavingsinstanties van de overheid, om hen te helpen bij de bestrijding van terrorisme en zware criminaliteit, met inbegrip van de activiteiten van drugskartels en pedofilienetwerken. NSO neemt de kwestie van het juiste gebruik van onze producten zeer serieus. We onderzoeken elke geloofwaardige bewering over misbruik - met inbegrip van beweringen dat onze technologie werd gebruikt voor een ander doel dan het wettelijk voorkomen en onderzoeken van gevallen van terreur en andere ernstige misdrijven.'

Wanneer een onderzoek gevallen van misbruik ontdekt, hebben we de mogelijkheid om het systeem volledig af te sluiten, een stap die we in het verleden hebben gezet.

'Alle verkopen aan onze klanten worden pas goedgekeurd nadat de klant is beoordeeld in het kader van een strikt due diligence-proces dat rekening houdt met mogelijke risico's van mensenrechtenschendingen.' Dat proces wordt bovendien jaarlijks herzien alvorens de verlenging van de onderhoudsovereenkomsten goed te keuren.

'Wanneer een onderzoek gevallen van misbruik ontdekt, hebben we de mogelijkheid om het systeem volledig af te sluiten, een stap die we in het verleden hebben gezet', aldus NSO.

Vage grens tussen overheid en misdaad

Landen als Mexico staan erop dat ze zich moeten kunnen wapenen tegen machtige georganiseerde misdaadgroeperingen.

'Veiligheidsproblemen in Mexico worden gebruikt als excuus om grote sommen geld te besteden aan technologieën om zogezegd te strijden tegen de georganiseerde misdaad', zegt Luis Fernando García, directeur van RD3, een Mexicaanse organisatie voor digitale rechten. 'Nochtans weten we in Mexico dat de grens tussen de georganiseerde misdaad en de overheid ofwel onbestaande is, ofwel vaak zeer vaag.' Met name op het niveau van de deelstaten geldt dat, waar ambtenaren soms banden hebben met de kartels uit hun regio.

Tijdens de rechtszaak tegen Sinaloa-kartelleider Joaquín 'El Chapo' Guzmán gaf een ingenieur die voor hem werkte toe dat hij 'interceptieapparatuur had gekocht die toegang gaf tot telefoongesprekken, het internet en tekstberichten.'

Volgens een hooggeplaatste ambtenaar van de DEA hebben bepaalde corrupte ambtenaren steekpenningen aangenomen van drugshandelaren om de surveillancesoftware te gebruiken tegen doelwitten die door de trafikanten werden aangeduid. En eveneens volgens DEA zijn er politiediensten die zulke technologie verkopen aan kartels.

HackingTeam

Forbidden Stories sprak ook met voormalige medewerkers van het Italiaanse softwarebedrijf HackingTeam, dat met Remote Control System soortgelijke surveillancetechnologie op de markt bracht en ook verkocht aan lokale overheden in Mexico.

In één deelstaat was een voormalige werknemer van Hacking Team naar eigen zeggen aanwezig toen een gouverneur vanuit zijn kantoor een journalist monitorde. 'Hij was trots', zegt de voormalige medewerker.

Maar wat als niet enkel overheden maar ook kartels toegang zouden krijgen tot de technologie? 'Als een overheidsagentschap onze technologie liet gebruiken door een kartel, dan konden wij dat niet weten', zegt een andere ex-werknemer. 'Het enige dat we konden doen wanneer we toch op de hoogte waren van inbreuken, was de licentie van de technologie niet vernieuwen. Maar we konden niet van een afstand ingrijpen.'

HackingTeam heeft sinds 2019 nieuwe eigenaars. De voormalige directeur van Hacking Team reageerde niet op de vragen van Forbidden Stories.

Niet de eerste keer

In 2017 onthulde The New York Times op basis van onderzoek door Citizen Lab al dat Mexicaanse journalisten, mensenrechtenadvocaten en anticorruptieactivisten bespioneerd waren door Pegasus-software. De Mexicaanse regering reageerde toen dat de interceptie van communicatie nooit gebeurt zonder voorafgaandelijke juridische toestemming. NSO Group stelde in de Amerikaanse krant dat het niet kan achterhalen wie precies schuilgaat achter bepaalde hackingpogingen.

Een groep deskundigen van de Verenigde Naties vroeg de Mexicaanse regering om de surveillance onmiddellijk stop te zetten. De regering beloofde een onderzoek in te stellen.

Het openbaar ministerie wilde dat de telefoons die het doelwit waren van besmettingspogingen werden ingeleverd.

'Het analyseren van telefoons is bijzonder moeilijk in situaties als deze, deels omdat Pegasus antiforensische middelen heeft ingebouwd', zegt John Scott-Railton van Citizen Lab. 'We hebben erop gewezen dat er veel meer betrouwbare locaties waren om bewijs te vergaren - zoals het telefoonnetwerk en de logs over de inzet van Pegasus.'

De betrokken ngo's stelden de onpartijdigheid van het Openbaar Ministerie in vraag. Hoe kon die een technologie onderzoeken die het zelf gebruikt?

'Het is mij niet duidelijk dat de regering op het goede spoor zit om een echt serieus onafhankelijk onderzoek uit te voeren', zegt David Kaye, tot juli 2020 de speciale VN-rapporteur voor de vrijheid van meningsuiting. Forbidden Stories contacteerde het Openbaar Ministerie, maar dat geeft geen commentaar op lopende onderzoeken.

Straffeloosheid

In 2018 verklaarde de president van Mexico, Andrés Manuel López Obrador, dat de regering zou stoppen met het gebruik van Pegasus-software. 'Maar daarover hebben we sindsdien niets meer gehoord in zijn dagelijkse briefings', zegt Luis Fernando García van RD3. 'We kunnen zijn verbintenis niet verifiëren.' De Mexicaanse president reageerde niet op onze vragen over dit thema.

Volgens David Kaye 'bevinden we ons in een situatie waarin we moeten aannemen dat deze tools nog steeds beschikbaar zijn om gebruikt te worden' en is het aan de Mexicaanse regering om aan te tonen dat ze de surveillancetools onder restricties heeft geplaatst.

Geen enkele van de gebruikers van de spionagetools van HackingTeam of NSO Group is in Mexico voor de rechtbank gebracht.

'Het meest waarschijnlijke is dat je niet gepakt wordt', zegt Luis Fernando García. 'Als je gepakt wordt, is het zeer onwaarschijnlijk dat er een onderzoek wordt geopend. Als er een onderzoek wordt ingesteld, is het zeer onwaarschijnlijk dat je vervolgd wordt. En zelfs als je vervolgd wordt, is het zeer onwaarschijnlijk dat de vervolging zal worden voortgezet en dat je veroordeeld wordt.'

Wat overblijft, is een gevoel van straffeloosheid.

Dit artikel is een vertaling, inkorting en bewerking van 'Spying on Mexican journalists: investigating the lucrative market of cyber-surveillance' door Cécile Schilis-Gallego van Forbidden Stories. Het volledige artikel kan u lezen op www.forbiddenstories.org

The Cartel Project, Forbidden Stories
The Cartel Project © Forbidden Stories
Het sms'je bleef bijna onopgemerkt. Maar achter het tekstbericht ging een ultramoderne surveillanceoperatie schuil. Of dat was toch de bedoeling. In het voorjaar van 2016 was de Mexicaanse journalist Jorge Carrasco net zijn Panama Papers-onderzoek aan het afronden voor het magazine Proceso. Plots kreeg hij een sms'je van een onbekend nummer: 'Hallo Jorge. Ik deel deze memo die Animal Politico vandaag publiceerde. Ik denk dat het belangrijk is om hem verder te delen.' In het tekstberichtje stond ook een link. 'Wie ben jij?', stuurde Carrasco terug. De afzender antwoordde nooit. Uit een technische analyse door een team digitale beveiligingsspecialisten van mensenrechtenorganisatie Amnesty International, in samenwerking met Forbidden Stories, blijkt nu wat er écht aan de hand was. Verborgen achter het mysterieuze sms'je zat een poging om toegang te krijgen tot Carrasco's telefoon. Dat zou gebeuren met behulp van de beruchte Pegasus-spyware, die het Israëlische bedrijf NSO Group verkocht aan meerdere overheidsklanten in Mexico. Officieel is Pegasus ontwikkeld om terrorisme en georganiseerde misdaad te bestrijden. Wanneer je op de link uit zo'n sms'je klikt, dan wordt op je gsm onzichtbare software geïnstalleerd die alle gegevens van het toestel - inclusief sms-berichtjes - opzuigt. De software maakt het ook mogelijk om de microfoon en de camera van je gsm op afstand te activeren - een nachtmerrie voor journalisten die vaak werken met confidentiële informatie. 'Ik heb het berichtje destijds wel opgemerkt, maar ik ontvang veel van dat soort berichten', zegt Carrasco, die nu hoofdredacteur is van Proceso.'Het sms'je dat we onderzochten was waarschijnlijk onderdeel van een campagne die destijds in Mexico liep', zegt Claudio Guarnieri van Amnesty Security Lab. Volgens Amnesty was het telefoonnummer dat het berichtje naar Carrasco verstuurde, ook al gebruikt om links met malware te sturen naar Carmen Aristegui - een van Mexico's bekendste onderzoeksjournalisten. De domeinnaam achter de link werd in 2017 ook al eens gebruikt met dezelfde software om in Mexico voorstanders van een belasting op frisdrank te targeten. Jorge Carrasco is nu de tiende Mexicaanse journalist wiens telefoon sporen vertoont van (pogingen tot een) spyware-aanval met Pegasus. Het voorbije decennium was Mexico een belangrijke invoerder van surveillancetechnologie, ondanks herhaalde schandalen rond het gebruik van die tools tegen journalisten en activisten. Volgens een hooggeplaatste functionaris van de Amerikaanse Drug Enforcement Administration (DEA) hebben ongeveer 20 private spywarebedrijven software verkocht aan Mexicaanse politiediensten, zowel op het niveau van de federale staat als op dat van de deelstaten. Mexico was lange tijd een van de grootste klanten van de NSO Group. Na een eerste contract met de Mexicaanse Secretary of National Defense, verstevigde het Israëlische bedrijf zijn positie op de Mexicaanse markt in 2014 dankzij een contract ter waarde van 32 miljoen dollar met het Mexicaanse parket-generaal.In 2019 werd bekend dat de NSO Group erin geslaagd was om ook een kwetsbaarheid in de versleutelde berichtendienst WhatsApp te gebruiken om telefoons binnen te dringen. Daarvoor hoefde je zelfs niet eens op een link te klikken. 'Ik ben ervan overtuigd dat problemen inzake misbruik (van spytools, nvdr) wereldwijd alleen maar zijn toegenomen', zegt John Scott-Railton van Citizen Lab, een organisatie in Toronto gespecialiseerd in de detectie van cyberspionage. 'Maar het is gewoon veel moeilijker om ze nog te ontdekken.' Voor de export van Pegasus moet de NSO Group een vergunning krijgen van de Israëlische overheid. 'Elke vergunningsbeoordeling wordt gemaakt in het licht van verschillende overwegingen, waaronder de veiligheidsmachtiging van het product en een beoordeling van het land waar het product op de markt zal worden gebracht', reageert een woordvoerder van het Israëlische ministerie van Defensie. 'Mensenrechten, beleids- en veiligheidskwesties worden allemaal in overweging genomen.'In antwoord op onze vragenlijst stuurde NSO een lange geschreven reactie naar Forbidden Stories. 'De hoogste prioriteit van de NSO is de bescherming van het leven van burgers over de hele wereld', schrijft het bedrijf onder meer. 'Daarom hebben we technologie ontwikkeld die uitsluitend in licentie wordt gegeven aan inlichtingendiensten en wetshandhavingsinstanties van de overheid, om hen te helpen bij de bestrijding van terrorisme en zware criminaliteit, met inbegrip van de activiteiten van drugskartels en pedofilienetwerken. NSO neemt de kwestie van het juiste gebruik van onze producten zeer serieus. We onderzoeken elke geloofwaardige bewering over misbruik - met inbegrip van beweringen dat onze technologie werd gebruikt voor een ander doel dan het wettelijk voorkomen en onderzoeken van gevallen van terreur en andere ernstige misdrijven.''Alle verkopen aan onze klanten worden pas goedgekeurd nadat de klant is beoordeeld in het kader van een strikt due diligence-proces dat rekening houdt met mogelijke risico's van mensenrechtenschendingen.' Dat proces wordt bovendien jaarlijks herzien alvorens de verlenging van de onderhoudsovereenkomsten goed te keuren.'Wanneer een onderzoek gevallen van misbruik ontdekt, hebben we de mogelijkheid om het systeem volledig af te sluiten, een stap die we in het verleden hebben gezet', aldus NSO.Landen als Mexico staan erop dat ze zich moeten kunnen wapenen tegen machtige georganiseerde misdaadgroeperingen. 'Veiligheidsproblemen in Mexico worden gebruikt als excuus om grote sommen geld te besteden aan technologieën om zogezegd te strijden tegen de georganiseerde misdaad', zegt Luis Fernando García, directeur van RD3, een Mexicaanse organisatie voor digitale rechten. 'Nochtans weten we in Mexico dat de grens tussen de georganiseerde misdaad en de overheid ofwel onbestaande is, ofwel vaak zeer vaag.' Met name op het niveau van de deelstaten geldt dat, waar ambtenaren soms banden hebben met de kartels uit hun regio. Tijdens de rechtszaak tegen Sinaloa-kartelleider Joaquín 'El Chapo' Guzmán gaf een ingenieur die voor hem werkte toe dat hij 'interceptieapparatuur had gekocht die toegang gaf tot telefoongesprekken, het internet en tekstberichten.' Volgens een hooggeplaatste ambtenaar van de DEA hebben bepaalde corrupte ambtenaren steekpenningen aangenomen van drugshandelaren om de surveillancesoftware te gebruiken tegen doelwitten die door de trafikanten werden aangeduid. En eveneens volgens DEA zijn er politiediensten die zulke technologie verkopen aan kartels. Forbidden Stories sprak ook met voormalige medewerkers van het Italiaanse softwarebedrijf HackingTeam, dat met Remote Control System soortgelijke surveillancetechnologie op de markt bracht en ook verkocht aan lokale overheden in Mexico. In één deelstaat was een voormalige werknemer van Hacking Team naar eigen zeggen aanwezig toen een gouverneur vanuit zijn kantoor een journalist monitorde. 'Hij was trots', zegt de voormalige medewerker. Maar wat als niet enkel overheden maar ook kartels toegang zouden krijgen tot de technologie? 'Als een overheidsagentschap onze technologie liet gebruiken door een kartel, dan konden wij dat niet weten', zegt een andere ex-werknemer. 'Het enige dat we konden doen wanneer we toch op de hoogte waren van inbreuken, was de licentie van de technologie niet vernieuwen. Maar we konden niet van een afstand ingrijpen.' HackingTeam heeft sinds 2019 nieuwe eigenaars. De voormalige directeur van Hacking Team reageerde niet op de vragen van Forbidden Stories. In 2017 onthulde The New York Times op basis van onderzoek door Citizen Lab al dat Mexicaanse journalisten, mensenrechtenadvocaten en anticorruptieactivisten bespioneerd waren door Pegasus-software. De Mexicaanse regering reageerde toen dat de interceptie van communicatie nooit gebeurt zonder voorafgaandelijke juridische toestemming. NSO Group stelde in de Amerikaanse krant dat het niet kan achterhalen wie precies schuilgaat achter bepaalde hackingpogingen.Een groep deskundigen van de Verenigde Naties vroeg de Mexicaanse regering om de surveillance onmiddellijk stop te zetten. De regering beloofde een onderzoek in te stellen. Het openbaar ministerie wilde dat de telefoons die het doelwit waren van besmettingspogingen werden ingeleverd. 'Het analyseren van telefoons is bijzonder moeilijk in situaties als deze, deels omdat Pegasus antiforensische middelen heeft ingebouwd', zegt John Scott-Railton van Citizen Lab. 'We hebben erop gewezen dat er veel meer betrouwbare locaties waren om bewijs te vergaren - zoals het telefoonnetwerk en de logs over de inzet van Pegasus.'De betrokken ngo's stelden de onpartijdigheid van het Openbaar Ministerie in vraag. Hoe kon die een technologie onderzoeken die het zelf gebruikt? 'Het is mij niet duidelijk dat de regering op het goede spoor zit om een echt serieus onafhankelijk onderzoek uit te voeren', zegt David Kaye, tot juli 2020 de speciale VN-rapporteur voor de vrijheid van meningsuiting. Forbidden Stories contacteerde het Openbaar Ministerie, maar dat geeft geen commentaar op lopende onderzoeken. In 2018 verklaarde de president van Mexico, Andrés Manuel López Obrador, dat de regering zou stoppen met het gebruik van Pegasus-software. 'Maar daarover hebben we sindsdien niets meer gehoord in zijn dagelijkse briefings', zegt Luis Fernando García van RD3. 'We kunnen zijn verbintenis niet verifiëren.' De Mexicaanse president reageerde niet op onze vragen over dit thema. Volgens David Kaye 'bevinden we ons in een situatie waarin we moeten aannemen dat deze tools nog steeds beschikbaar zijn om gebruikt te worden' en is het aan de Mexicaanse regering om aan te tonen dat ze de surveillancetools onder restricties heeft geplaatst. Geen enkele van de gebruikers van de spionagetools van HackingTeam of NSO Group is in Mexico voor de rechtbank gebracht.'Het meest waarschijnlijke is dat je niet gepakt wordt', zegt Luis Fernando García. 'Als je gepakt wordt, is het zeer onwaarschijnlijk dat er een onderzoek wordt geopend. Als er een onderzoek wordt ingesteld, is het zeer onwaarschijnlijk dat je vervolgd wordt. En zelfs als je vervolgd wordt, is het zeer onwaarschijnlijk dat de vervolging zal worden voortgezet en dat je veroordeeld wordt.' Wat overblijft, is een gevoel van straffeloosheid.