Entre el año 2013 y el 30 de junio del 2014, el gobierno del hoy flamante embajador de México en Paraguay operó ilegalmente el programa Galileo o Da Vinci, suministrado por la empresa Hacking Team, para espiar a 25 “objetivos”, principalmente activistas y disidentes. Las autoridades federales nunca iniciaron ninguna investigación penal contra Fernando Ortega, ni contra los gobiernos de los otros 6 estados que compraron el software a Hacking Team, a través de SYM Servicios Integrales. La compañía italiana buscó renovar contrato con “Alito”. Por Daniel Sánchez CAMPECHE, Cam. 19 de abril del 2016.- El gobierno de Campeche, en manos del priísta y hoy flamante embajador de México en Paraguay, Fernando Ortega Bernés, violó la Constitución federal, al operar un software de espionaje digital, principalmente dirigido contra miembros de la oposición política, activistas y disidentes, a través del Sistema de Control Remoto (RCS), comercialmente conocido como Galileo o Da Vinci, suministrado por la empresa Hacking Team. Sin embargo, las autoridades federales nunca iniciaron ninguna investigación penal contra el gobierno estatal, ni contra los gobiernos de los otros seis estados, que compraron el malware de la compañía italiana, a través de la intermediaria SYM Servicios Integrales S.A. de C.V., filial del Grupo Kabat, de origen israelí, y que no tienen facultades para vigilar comunicaciones. Según los documentos hackeados a la empresa europea y dados a conocer en julio del 2015, entre el año 2013 y el 30 de junio de 2014, la administración de Fernando Ortega erogó 386 mil 296 euros, equivalentes a unos seis millones 567 mil pesos, bajo el contrato 50SDUC, para espiar a 25 “objetivos”. Hacking Team buscó establecer contactos con el ilegítimo y espurio Alejandro Moreno Cárdenas, a través de la compañía TI Elite Tactical, para renovar el contrato, pero no hay confirmación si lo logró. En este periodo, en Campeche se registraron las movilizaciones contra las reformas estructurales impuestas por el priísta Enrique Peña Nieto, que se reflejaron en las protestas de los maestros campechanos, contra la Reforma Educativa; los productores de maíz, por el bajo precio del grano; los obreros petroleros, por el cierre de la compañía Oceanografía en Ciudad del Carmen, así como de los productores de caña, por el bajo precio de la vara. El informe “Hacking Team, malware para la vigilancia en América Latina”, realizado por Gisela Pérez de Hacha, de la organización civil Derechos Digitales, señala que “ocho de las diez autoridades (entre ellas la de Campeche) que compraron el software, no están facultadas para ejercer actividades de vigilancia de comunicaciones, y aún menos para interceptar equipos a distancia, por lo que su uso de RCS es ilegal”. “Detectamos también una tendencia particular en países como Colombia, Ecuador y México: A pesar de que existen sólidos marcos legales que protegen derechos humanos y regulan la interceptación de comunicaciones, en la práctica, las actividades de espionaje de estos países son desproporcionadas y, en muchos casos, se dirigen a miembros de la oposición política o a activistas y disidentes”, expresa la especialista. “Estos tres ejemplos muestran un riesgo creciente en la región: la impunidad y falta de aplicación de la ley son un factor extra a considerar cuando hablamos de actividades de espionaje en América Latina. Si bien en este reporte se estudia la legalidad de las acciones que pudieran ser abarcadas por el software de vigilancia de Hacking Team, eso no es todo, pues en la práctica, las actuaciones de la autoridad pueden ser contrarias a la legislación, sin que exista una sanción adecuada”, puntualiza. Intermediaria: SYM Servicios Integrales, del Grupo Kabat En el apartado donde se analiza el caso México, el documento de Derechos Digitales cita que según la Comisión Interamericana de Derechos Humanos en su informe “Situación de derechos humanos en México”, este país atraviesa una grave crisis. “En un contexto marcado por desapariciones forzadas, ejecuciones extrajudiciales, tortura, impunidad y violencia contra periodistas, el gobierno mexicano aparece además como el cliente más importante de Hacking Team a nivel mundial, gastando un total de cinco millones 808 mil 875 euros por la compra de más de 15 licencias de espionaje. La empresa que funcionó como intermediaria en las negociaciones fue SYM Servicios Integrales”, indica. “Varias dependencias realizaron esta compra: el Centro de Investigación y Seguridad Nacional; la Procuraduría General de Justicia y los Cuerpos de Seguridad Auxiliar del Estado de México; la Secretaría de Seguridad Pública de Tamaulipas; la Secretaría de Planeación y Finanzas de Baja California; la Policía Federal; la Secretaría de Marina; Petróleos Mexicanos (Pemex) y los estados de Jalisco, Querétaro, Puebla, Campeche y Yucatán”, detalla. “Tan solo el organismo de inteligencia, Cisen, pidió dos mil 74 permisos judiciales para utilizar este software. Concretamente, en el estado de Puebla, el gobierno utilizó las herramientas de Hacking Team para espiar a oponentes políticos y periodistas. Primero, al vigilar la casa de campaña de un político de oposición llamado Ernesto Cordero y después a diversos periodistas, a quienes enviaron correos engañosos para poder inocular sus aparatos”, precisa. “El siete de julio del 2015, cuando la prensa cuestionó al secretario de Gobernación, Miguel Ángel Osorio Chong, respecto a la compra del software de espionaje, el funcionario respondió que había sido comprado por la administración pasada. Es decir, por otro partido en el periodo del presidente anterior. Por otro lado, los gobiernos de los estados de Jalisco, Yucatán, Durango y Campeche negaron toda relación con dicha empresa de espionaje. Ambas afirmaciones resultaron ser falsas”, apunta. Comunicaciones privadas protegidas por el 16 Constitucional El reporte señala también que “en México existen salvaguardas constitucionales amplias en cuanto a la interceptación de comunicaciones privadas. La Constitución y las leyes exigen el requisito de orden judicial y prohíben que autoridades estatales las realicen. En este sentido, el problema radica más en la aplicación de la ley, que en su redacción misma. Sin embargo, y como es una tendencia en la región, otras actividades, como la geolocalización o incautación, no están reguladas, de acuerdo a parámetros aceptables en términos de derechos humanos”. “Como regla general, el artículo 16 de la Constitución Federal establece que las comunicaciones privadas son inviolables y que “exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la interceptación de cualquier comunicación privada”. Se prohíbe en materia electoral, fiscal, mercantil, civil, laboral o administrativo, así como en el caso de las comunicaciones del detenido con su defensor”, agrega. “Cuando pensamos en el software de Hacking Team, la regla constitucional parece traer dos problema específicos. Primero, porque no hay manera de ejercer un control sobre las materias y tipo de conversaciones que se graban e interceptan: RCS tiene acceso a prácticamente todo, lo cual abre la puerta a abusos. La segunda, porque si la Constitución establece que solo las autoridades federales con facultades legales o los Ministerios Públicos estatales pueden pedir al juez la interceptación de comunicaciones, el software comprado por los estados de Jalisco, Querétaro, Puebla, Campeche y Yucatán es ilegal, pues fueron las Secretarías de Gobierno quienes lo adquirieron sin facultades debidas para hacerlo. Según Luis Fernando García, de R3D, las únicas autoridades facultadas son la Procuraduría General de la República, las Procuradurías Estatales, la Policía Federal y el Cisen”, destaca. “De la misma forma, Petróleos Mexicanos es una empresa del Estado que se dedica a la explotación de los recursos energéticos (principalmente petróleo y gas natural) en territorio mexicano y tampoco tiene facultades para interceptar comunicaciones o incautar computadoras y celulares”, asevera. El Resumen Ejecutivo del Informe de Derechos Digitales Derechos Digitales es una Organización No Gubernamental fundada en el año 2005, cuya misión es la defensa, promoción y desarrollo de los derechos fundamentales en el entorno digital, desde el interés público. Entre sus principales ejes de interés están la libertad de expresión, los derechos de autor y la privacidad. El nuevo informe realizado por Derechos Digitales revela que la gran mayoría de los países de la región estuvieron involucrados con Hacking Team, la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo. En el resumen ejecutivo, establece que Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, pero no hay información respecto a si las ventas fueron concretadas. “Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala. “Las negociaciones se realizaron en secreto, hasta que el cinco de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team. “RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal. “Del análisis de las normas vigentes en cada uno de los países que se relacionaron con Hacking Team, así como de las notas de prensa que surgieron en la región a tras las revelaciones, el informe concluye que el software de Hacking Team es contrario a los estándares legales de cada país, y además violatorio de los derechos a la privacidad, a la libertad de expresión y al debido proceso. Considerando la relación cercana que nuestra región tiene con el autoritarismo, es especialmente preocupante que las autoridades cuenten con herramientas de este tipo. “En Ecuador, se utilizó tecnología de Hacking Team para vigilar a Carlos Figueroa, opositor del gobierno de Rafael Correa. En México, un país que vive una seria crisis de derechos humanos, ocho de las diez autoridades que compraron RCS no están facultadas para ejercer actividades de vigilancia; el Centro de Investigación y Seguridad Nacional, un organismo de inteligencia, realizó 2,074 órdenes judiciales para poder utilizar el software; hasta la fecha, no se sabe si su uso es justificado. “La filtración también reveló que de la información de Hacking Team permitió saber que la Drug Enforcement Agency (DEA) de Estados Unidos intercepta todas las comunicaciones de todos los ciudadanos colombianos. Así mismo, se sospecha del uso de herramientas de este tipo contra Vicky Dávila, periodista que investiga una red de prostitución masculina al interior de la policía. “En Panamá, el ex presidente Ricardo Martinelli estuvo personalmente al tanto de las negociaciones con Hacking Team. En Chile, en cambio, la Policía de Investigaciones dijo en un comunicado que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial. Sin embargo, las órdenes judiciales en este caso no son suficientes para garantizar el uso legítimo del software de espionaje. El RCS no está regulado en ningún país “En términos legales, este tipo de software no está regulado explícitamente en ningún país. En México y Colombia existen disposiciones amplias al respecto, pero con lenguaje vago e impreciso. La ausencia de regulación deja al arbitrio de las autoridades, muchas veces corruptos, el uso, aplicación y objetivos de RCS. “Si bien la interceptación de comunicaciones bajo orden judicial está regulada en todos los países, con mayores o menores salvaguardas, esta no es suficiente pues el software de Hacking Team es mucho más invasivo que una mera interceptación: abarca el acceso a documentos, webcam, disco duro, teclado y geolocalización de los equipos afectados. Como esto no es parte de la legislación, dudosamente es parte del orden judicial, por lo que el derecho al debido proceso también se ve vulnerado. “Cabe resaltar que en casi todos los países analizados existen sanciones penales contra quien invada o intervenga los sistemas informáticos o las comunicaciones privadas de una persona fuera de la legalidad de una investigación. Sin embargo, sólo Panamá ha abierto procesos al respecto. “El problema del espionaje indebido va mucho más allá de Hacking Team, implica a un mercado global que abusa la tecnología de vigilancia en manos de gobiernos alrededor del mundo. En este sentido debe existir mayor transparencia en el uso y adquisición de estas herramienta, una discusión abierta sobre los estándares que deben regir esta tecnología y además sanciones penales en los casos que lo ameriten. “Software para perseguir delitos, aunque en su operación se cometan delitos. Malware para preservar la seguridad, con secretismo y opacidad. Vulneración intencional de sistemas informáticos para hacer cumplir la ley, aprovechando los vacíos regulatorios de la misma. Esa es la lógica detrás de los productos de Hacking Team, la empresa italiana encargada de vender y comercializar algunos de los programas computacionales de vigilancia más invasivos que se conocen en el mundo. Con venta únicamente a gobiernos, su mensaje publicitario es claro: “El ciberespacio no tiene fronteras. Su sospechoso puede estar en cualquier lugar hoy, pero sus manos están atadas en cuanto sale del país. No podemos evitar que se muevan, pero ¿cómo puede continuar persiguiéndolos? Necesita un sistema que rodee las comunicaciones cifradas, que pueda recoger información relevante de cualquier dispositivo y que continúe monitoreando a las personas de su elección donde quiera que estén. Remote Control System hace precisamente eso. “Galileo y DaVinci son algunos de los nombres comerciales con que se conoce a Remote Control System (RCS), programa de monitoreo de comunicaciones creado con un objetivo legítimo: combatir la delincuencia. La traducción literal de RCS, “Sistema de Control Remoto”, revela el funcionamiento del programa: una vez que los dispositivos son inoculados, pueden ser controlados a distancia. Lo que distingue a RCS con el resto de formas de vigilancia tradicionales –como las escuchas telefónicas– es que no solo tiene acceso a conversaciones y comunicaciones, sino que puede capturar todo tipo de información, imágenes y datos que se encuentren en las computadoras o celulares afectados, sin que sea necesario que los mismos viajen por internet. Es decir, no interviene comunicaciones únicamente, tiene acceso a datos estáticos en los dispositivos. RCS incluso permite tener acceso a correos y comunicaciones cifradas, además de poder copiar información del disco duro de un dispositivo, grabar llamadas de Skype, mensajes instantáneos y saber qué contraseñas se escriben en cada sitio y en cada momento. Por si fuera poco, puede activar cámaras y micrófonos. “Esto representa un riesgo particularmente grave para el derecho a la privacidad, pues una búsqueda de nuestra computadora, cuentas y redes sociales puede llegar a ser más invasiva que una búsqueda profunda en nuestras casas o recámaras. Si hoy en día todo es digital, las fotografías, documentos, cartas y mensajes ya no existen de manera física. Es más: el historial de uso de dispositivos electrónicos con acceso a internet es mucho más revelador de nuestra personalidad e intereses que los rastros físicos presentes en un hogar. “En la mayoría de los casos, la interceptación de comunicaciones requiere una orden judicial. Pero como el software de RCS puede hacer mucho más, la orden referida a la mera interceptación no es suficiente. Tomando esto en cuenta, la pregunta central se convierte en: ¿Es legal este tipo de software en América Latina?

El informe completo: malware-para-la-vigilancia

Más información en: https://paginabierta.mx/sitio/revelan-espionaje-del-gobierno-de-campeche-a-sus-ciudadanos/ https://paginabierta.mx/sitio/no-sabe-gobernador-si-contrato-espionaje-cibernetico/ https://paginabierta.mx/sitio/busca-empresa-de-espionaje-prolongar-contrato-con-alito/ https://paginabierta.mx/sitio/hacking-team-tacha-de-idiotas-a-operadores-del-espionaje-en-campeche/ https://paginabierta.mx/sitio/ex-militares-mexicanos-asesoran-a-empresa-que-vendio-software-de-espionaje/