Actualidad

Espionaje digital – Muerte a la privacidad

por Walter Gassire Gallegos

 

Por Elia Baltazar

 Primero llega un mensaje de texto al celular con un link. Al acceder a este, un programa malicioso (malware) se descarga sin aviso previo y comienza a escanear el celular. A partir de ese momento, toda la información del dispositivo –correos, mensajes de texto, micrófono, cámara, ubicación y llamadas– estará intervenida.

Así opera el programa de espionaje digital Pegasus, desarrollado por la firma israelí NSO Group, que fue hallado en el sistema de los teléfonos celulares de dos activistas y un investigador del Instituto Nacional de Salud Pública (INSP).

Este caso, revelado por el periódico estadounidense The New York Times, es el más reciente de espionaje digital en México. Pero desde 2013 organizaciones civiles han denunciado la compra y el uso de software maligno para espionaje por parte de autoridades federales y estatales, que han pagado millones de dólares a empresas internacionales por estos programas.

De los conocidos hasta ahora están FinFisher, el software espía de Gamma Group; DaVinci y Galileo, de la empresa Hacking Team, y ahora Pegasus, de NSO Group. Todos desarrollados para el uso exclusivo de gobiernos.

 

¿ESPIONAJE LEGAL?

Investigadores del Citizen Lab, un instituto de la Universidad de Toronto, Canadá, advierten que en México hay un “grave problema de espionaje ilegal”, con tecnología de uso exclusivo de gobiernos.

En su más reciente informe, presentado el pasado 11 de febrero, este instituto reveló el uso del malware Pegasus para espiar al investigador Simón Barquera, del Instituto Nacional de Salud Pública (INSP); Alejandro Calvillo, director de la organización Al Poder del Consumidor, y Luis Encarnación, coordinador de la Coalición ContraPESO, quienes han impulsado el incremento de impuestos a las bebidas azucaradas, como medida para combatir el sobrepeso y la obesidad.

“Esta puede ser la punta de un iceberg”, dijo en su momento John Scott-Railton, investigador del Citizen Lab y uno de los autores del reporte Bitter Sweet que documenta el caso y advierte sobre la posibilidad de otras víctimas de espionaje en México. “Creemos firmemente que hay otros blancos”, dijo. Y los ha habido.

En 2013 una investigación de las organizaciones civiles ContingenteMx y Propuesta Cívica reveló que por lo menos cuatro dependencias del gobierno federal compraron y utilizaron el programa de espionaje FinFisher. Estas fueron la Procuraduría General de la República (PGR), el Centro de Investigación y Seguridad Nacional (Cisen), el Estado Mayor Presidencial (EMP) y la desaparecida Secretaría de Seguridad Pública.

El software FinFisher aparece como una actualización de programa instalado, que contiene un módulo con un virus o troyano. Al descargarse, puede introducirse en la computadora o el teléfono inteligente de la persona a espiar, y tomar el control del aparato sin que el usuario se dé cuenta.

Por solicitudes de información, las organizaciones civiles conocieron que la PGR compró el producto a la empresa Obses de México, durante la gestión de Marisela Morales, entre 2011 y 2012.

Este hecho llamó la atención de especialistas digitales, pues el desarrollador original, Gamma International, había asegurado ante la Organización para la Cooperación y el Desarrollo Económico (OCDE), que sólo vendía su programa a gobiernos.

“Es la primera ocasión que un revendedor está involucrado en la venta de ese sistema y contradice la declaración de Gamma”, dijo al respecto Alinda Vermeer, abogada alemana de la organización no gubernamental Privacy International.

Pero en México “hay vacíos legales que permiten a gobiernos y autoridades de todos los niveles comprar este tipo de programas de espionaje”, dice Jesús Robles Maloof, defensor de derechos humanos, especialista en derechos de internet y activista que forma parte de la organización civil Enjambre Digital.

Como abogado, es muy claro al advertir que la Constitución asienta que las comunicaciones privadas son inviolables. “Toda comunicación, sea por internet, llamada o mensajería, es inviolable. Es el único caso en que la Constitución menciona la palabra inviolable, lo que otorga a las comunicaciones un espectro particularmente protegido”.

En ese sentido, agrega, en los casos que la autoridad requiera intervenir una comunicación, sólo por excepción, deben ser los jueces y el Consejo de la Judicatura quienes lo autoricen.

No obstante, dice, hay otro ámbito donde el tema del espionaje es mucho más ambiguo y hay que poner el foco. “Se trata del ámbito de la seguridad nacional, que permite la vigilancia y el monitoreo de comunicaciones sin supervisión”.

EL OJO QUE TODO LO VE

Como parte del colectivo ContingenteMx, Robles Maloof ha participado en distintas investigaciones que revelan el uso gubernamental de malware para espionaje. Entre otras, las que ayudaron a documentar el caso de Hacking Team, la empresa italiana que vendió programas a gobiernos de América Latina, autoridades estatales mexicanas y dependencias que nada tienen que ver con la seguridad como Petróleos Mexicanos.

Así lo documentó en 2016 la organización civil Derechos Digitales, en su informe “Hacking Team: malware de espionaje en América Latina”, que reveló la compra de programas de espionaje por los gobiernos de Jalisco, Yucatán, Durango y Campeche. Estos, no obstante, negaron toda relación con la firma italiana.

Para llevar a cabo este informe, Derechos Digitales tomó sólo una parte de los 400 Gigabytes filtrados por WikiLeaks en 2015, que contenían información de la empresa Hacking Team sobre la venta de sus programas a gobiernos de 13 países latinoamericanos, entre ellos México.

Se trata de información pública, disponible en internet, que la propia empresa Hacking Team reconoció como propia y por la cual emprendió acciones legales para investigar el robo de información por tratarse de un delito cibernético.

El informe detalla las contradicciones en que han incurrido las autoridades mexicanas respecto de la adquisición del programa de Hacking Team.

Anota: “El 7 de julio (de 2015), cuando la prensa cuestionó al secretario de Gobernación, Miguel Ángel Osorio Chong, respecto de la compra del software de espionaje, el funcionario respondió que había sido comprado por la administración pasada. Es decir, por otro partido en el periodo del presidente anterior. Por otro lado, los gobiernos de los estados de Jalisco, Yucatán, Durango y Campeche negaron toda relación con dicha empresa de espionaje. Ambas afirmaciones resultaron ser falsas”.

El software que la empresa Hacking Team vendió a los gobiernos puede acceder a contraseñas, contactos, mensajes, correos electrónicos y llamadas telefónicas. También controla micrófonos y cámaras de los dispositivos personales, y tiene acceso a redes sociales.

“Puede saber dónde estamos en todo momento y registra cada una de las teclas apretadas, clics del mouse y sitios de internet visitados”, asegura Gisela Pérez de Acha, abogada, especialista en derecho internet y encargada de políticas públicas para América Latina en Derechos Digitales.

UN MÉXICO VULNERABLE

Con base en la Constitución y las leyes mexicanas, Derechos Digitales advierte en su informe que esta tecnología viola los derechos a la privacidad, la libertad de expresión y el debido proceso. “En el contexto de México, no podemos dejar pasar posibles prácticas de espionaje. En este país, donde los policías desaparecen estudiantes (refiriéndose a los estudiantes de Ayotzinapa), darles este tipo de poder con software de espionaje es más preocupante porque no hay una regulación legal adecuada”, dice Gisela Pérez de Acha.

El informe de Derechos Digitales lanza luz sobre la opacidad, la ambigüedad, los vacíos legales y las violaciones a la ley en torno de las prácticas de espionajes. Y todavía peor, sobre la comercialización internacional del software que Hacking Team vendió a autoridades latinoamericanas y gobiernos locales.

Ya la Red en Defensa de los Derechos Digitales (R3D) advirtió que “el gobierno mexicano abusa de la vigilancia al solicitar datos y metadatos de las comunicaciones de los ciudadanos, o al utilizar herramientas tecnológicas de hackeo e intervención de dispositivos con fines distintos al combate al crimen o protección de la seguridad nacional”.

En su informe “El estado de la vigilancia: fuera de control”, R3D denuncia “el excesivo gasto” del gobierno para la compra de software malicioso, el alto nivel de invasión a la vida privada de los ciudadanos que representa un hackeo de este nivel por parte de las autoridades, y la opacidad en la que operan estas herramientas están lejos de cumplir los principios de necesidad y proporcionalidad.

Esta técnica de vigilancia no requiere la colaboración de empresas de telecomunicaciones, apunta el informe. Además, anota, resulta “sumamente complicada” la detección de dispositivos infectados, porque existen menos controles y puntos de detección de la utilización abusiva de esta forma de vigilancia.

“La difícil detección de instancias de vigilancia a través de este método también genera poderosos incentivos para eludir el control judicial de las medidas”, advierte R3D.

 

INFORMACIÓN RESTRINGIDA

Incluso antes de que se conociera la filtración de WikiLeaks, el colectivo Enjambre Digital ya había solicitado información a la Secretaría de Marina sobre la compra de software de espionaje a la firma Hacking Team. La dependencia respondió que no lo habían adquirido.

Las autoridades mexicanas mintieron “de manera sistemática y deliberada”, y prueba de ellos son todas las negativas de información a las solicitudes que presentaron periodistas y otras personas que investigaban el tema de la adquisición de software para espionaje, desde 2014, explica Robles Maloof.

Enjambre Digital ubicó, además de sus propias solicitudes de información, aproximadamente 2,000 más sobre software de vigilancia. “Todas son públicas y están disponibles en la página de Infomex, y todas fueron negadas”, afirma Robles Maloof.

El artículo 16 de la Constitución establece que las comunicaciones privadas son inviolables y que “exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la interceptación de cualquier comunicación privada”.

No obstante, explica Pérez de Acha, el artículo 291 del Código Nacional de Procedimientos Penales apunta que “tanto la Procuraduría General de la República y los procuradores de los estados podrán solicitar al juez una autorización” para la intercepción de comunicaciones privadas. Estas incluyen “todo un sistema de comunicación o programas que sean fruto de la evolución tecnológica, que permitan el intercambio de datos, informaciones, audio, video, mensajes, así como archivos electrónicos, que graben, conserven el contenido de las conversaciones o registren datos que identifiquen la comunicación, las cuales se pueden presentar en tiempo real o con posterioridad al momento en que se produce el proceso comunicativo”.

            La redacción de este artículo, advierte Pérez de Acha, “es un supuesto amplísimo, que implica cualquier vigilancia de cualquier tipo de tecnología. Ese supuesto legal es contrario a los derechos humanos porque es un tipo muy amplio y muy vago que deja a la interpretación y el arbitrio de las autoridades –muchas veces corruptas– el uso del software”.

Pérez de Acha se pregunta: “Al otorgarle este tipo de software a las autoridades, sin control, ¿acaso no implica también la posibilidad dárselo al crimen organizado? ¿De verdad le vamos a dar ese poder a las autoridades, indiscriminadamente y sin control? Esa es mi pregunta”.