Poucos param para pensar que seus telefones podem ser transformados em dispositivos de vigilância, com alguém a milhares de quilômetros de distância extraindo silenciosamente suas mensagens, fotos e localização, ativando seu microfone para gravá-las em tempo real.

Essas são as capacidades do Pegasus, o spyware fabricado pelo NSO Group, o fornecedor israelense de armas de vigilância em massa.

O Grupo NSO rejeita este rótulo. Insiste que apenas as agências de inteligência governamental e de aplicação da lei cuidadosamente examinadas podem usar o Pegasus, e apenas para penetrar nos telefones de “alvos criminosos legítimos ou grupos terroristas”.

Ainda assim, nos próximos dias, o Guardian revelará as identidades de muitas pessoas inocentes que foram identificadas como candidatas a uma possível vigilância por clientes do NSO em um vazamento massivo de dados.

Sem a perícia em seus dispositivos, não podemos saber se os governos visaram com sucesso essas pessoas. Mas a presença de seus nomes nesta lista indica até onde os governos podem ir para espionar críticos, rivais e oponentes.

Primeiro, revelamos como jornalistas em todo o mundo foram selecionados como alvos potenciais por esses clientes antes de um possível hack usando as ferramentas de vigilância NSO.

Na próxima semana, revelaremos a identidade de mais pessoas cujos números de telefone aparecem no vazamento. Eles incluem advogados, defensores dos direitos humanos, figuras religiosas, acadêmicos, empresários, diplomatas, altos funcionários do governo e chefes de estado.

Nossos relatórios são baseados no interesse público. Acreditamos que o público deve saber que a tecnologia da NSO está sendo abusada pelos governos que licenciam e operam seu spyware. Mas também acreditamos que é do interesse público revelar como os governos procuram espionar seus cidadãos e como processos aparentemente benignos, como pesquisas de HLR, podem ser explorados nesse ambiente.

O projeto Pegasus é um projeto colaborativo de reportagem liderado pela organização francesa sem fins lucrativos Forbidden Stories , incluindo o Guardian e 16 outros meios de comunicação. Por meses, nossos jornalistas têm trabalhado com repórteres em todo o mundo para estabelecer as identidades das pessoas nos dados vazados e ver se e como isso se vincula ao software da NSO.

Não é possível saber sem uma análise forense se o telefone de alguém cujo número aparece nos dados foi realmente alvejado por um governo ou se foi hackeado com êxito com spyware do NSO. Mas quando nosso parceiro técnico, o Laboratório de Segurança da Anistia Internacional, conduziu análises forenses em dezenas de iPhones que pertenciam a alvos potenciais no momento em que foram selecionados, eles encontraram evidências da atividade de Pegasus em mais da metade.

Um telefone que continha indícios de atividade da Pegasus pertencia à nossa estimada colega mexicana Carmen Aristegui, cujo número estava no vazamento de dados e que foi alvejado após sua denúncia de um escândalo de corrupção envolvendo o ex-presidente de seu país Enrique Peña Nieto.

A jornalista mexicana Carmen Aristegui. Fotografia: Agência de Notícias EFE / Alamy

O vazamento de dados sugere que as autoridades mexicanas não pararam em Aristegui. No vazamento aparecem os telefones de pelo menos quatro de seus colegas jornalistas, além de sua assistente, sua irmã e seu filho, que na época tinha 16 anos.

Investigar software produzido e vendido por uma empresa tão secreta como a NSO não é fácil. Afinal, seu negócio é vigilância. Significou uma revisão radical de nossos métodos de trabalho, incluindo a proibição de discutir nosso trabalho com fontes, editores ou advogados na presença de nossos telefones.

A última vez que o Guardian adotou tais medidas extremas de contra-espionagem foi em 2013, quando relatou documentos que vazaram pelo denunciante Edward Snowden .Essas revelações abriram as cortinas do vasto aparato de vigilância em massa criado após o 11 de setembro por agências de inteligência ocidentais, como a National Security Agency (NSA) e seu parceiro britânico, GCHQ.

Ao fazer isso, eles instigaram um debate global sobre as capacidades de vigilância do estado ocidental e levaram países, incluindo o Reino Unido, a admitir que seu regime regulatório estava desatualizado e aberto a abusos em potencial.

O projeto Pegasus pode fazer o mesmo para a indústria de vigilância governamental privatizada, que transformou a NSO em uma empresa de bilhões de dólares.

Empresas como a NSO operam em um mercado quase totalmente desregulamentado, possibilitando ferramentas que podem ser usadas como instrumentos de repressão para regimes autoritários como os da Arábia Saudita, Cazaquistão e Azerbaijão.

O mercado de serviços de vigilância sob demanda no estilo NSO disparou pós-Snowden , cujas revelações levaram à adoção em massa da criptografia pela Internet. Como resultado, a Internet se tornou muito mais segura e a coleta em massa de comunicações muito mais difícil.

Mas isso, por sua vez, estimulou a proliferação de empresas como a NSO, oferecendo soluções para governos que lutavam para interceptar mensagens, e-mails e chamadas em trânsito. A resposta do NSO foi contornar a criptografia hackeando dispositivos.

Dois anos atrás, o então relator especial da ONU para a liberdade de expressão, David Kaye, pediu uma moratória na venda de spyware do tipo NSO aos governos até que controles viáveis ​​de exportação pudessem ser implementados. Ele alertou sobre uma indústria que parecia “fora de controle, irresponsável e irrestrita em fornecer aos governos acesso de custo relativamente baixo aos tipos de ferramentas de espionagem que apenas os serviços de inteligência de estado mais avançados eram capazes de usar”.

Seus avisos foram ignorados. A venda de vigilância continuou inabalável. O fato de que ferramentas de vigilância semelhantes ao GCHQ agora estão disponíveis para compra por governos repressivos pode fazer com que alguns dos críticos de Snowden parem para pensar.

No Reino Unido, os detratores do denunciante argumentaram despreocupadamente que espionar era o que as agências de inteligência deveriam fazer. Foi-nos garantido que cidadãos inocentes da aliança Five Eyes de potências de inteligência, incluindo Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos, estavam protegidos de abusos. Alguns invocaram o ditado: “Se você não fez nada de errado, não tem nada a temer”.

É provável que o projeto Pegasus acabe com esse tipo de pensamento positivo. Pessoas que cumprem a lei – incluindo cidadãos e residentes de democracias como o Reino Unido, como editores-chefes de jornais importantes – não estão imunes à vigilância injustificada. E os países ocidentais não detêm o monopólio das tecnologias de vigilância mais invasivas. Estamos entrando em uma nova era de vigilância e, a menos que as proteções sejam implementadas, nenhum de nós está seguro.

Na terça-feira, 27 de julho, às 20h BST, junte-se ao chefe de investigações do The Guardian, Paul Lewis, para um evento ao vivo do Guardian Live sobre as implicações do projeto Pegasus. Reserve sua passagem aqui .