Ciudad de México, 7 de julio (SinEmbargo).– La Red en Defensa de los Derechos Digitales difundió la factura de un contrato suscrito el pasado 24 de abril del 2015 por el Centro de Investigación y Seguridad Nacional (Cisen) y la empresa italiana Hacking Team, dedicada a vender herramientas que ayudan a violar la seguridad de computadoras y teléfonos.

El día de ayer, Miguel Ángel Osorio Chong, Secretario de Gobernación, confirmó que el gobierno de México compró software a la empresa italiana, pero negó que esto ocurriera en la administración de Enrique Peña Nieto.

Osorio Chong fue cuestionado en el marco del Tercer Encuentro Nacional de Legisladoras de las Comisiones para la Igualdad de Género, realizado en Mérida, Yucatán. Al Secretario le preguntaron sobre la información difundida en la prensa internacional donde se incluía a México entre los gobiernos que habrían comprado un sistema de vigilancia a Hacking Team, a lo que respondió:

“Respecto a los equipos que usted refiere, fueron comprados en la administración pasada. Esta administración no ha comprado ningún equipo a este gobierno”.

No obstante, en la documentación hecha publica se asegura que el Centro de Investigación y Seguridad Nacional es la única agencia federal que aún tiene activo su servicio. Aunado a ello está la factura difundida este día por la Red en Defensa de los Derechos Digitales la cual da cuenta del Contrato No. CISEN/020/15 por un monto de 205 mil euros.

Dice @OsorioChong que sólo se compró software a #HackingTeam el sexenio pasado, pero aquí una factura de abril 2015: pic.twitter.com/ftkXcMoKDp — R3D (@r3dmx) julio 7, 2015

“Los documentos que fueron filtrados contradicen su dicho [de Chong] e incluso la mayoría de las facturas a nombre de la Secretaría de Gobernación y el Cisen son posteriores al gobierno de Felipe Calderón”, dijo Luis Fernando García, director de Red en Defensa de los Derechos Digitales (R3D).

“Sí hay algunas previas, pero la mayoría de ellas son posteriores. Incluso la más cercana, en abril de 2015 apenas, existe una factura de Hacking Team al Cisen”, comentó.

En entrevista para SinEmbargo, el director de R3D dijo que la lista de clientes en México de la empresa con sede en Milán es bastante amplia. “Es el país que tiene más clientes… Y que incluye tanto a autoridades federales como estatales”, comentó.

“Si se confirma que no hay autoridades con facultades de espionaje… que han contratado esto, pues podría tener consecuencias legales muy graves, incluso penales para las autoridades que hayan contratado estos servicios”, dijo García.

“Tendría que investigarse cuáles son los usos que se le han dado a estas facultades… Contra quién se ha utilizado este espionaje”, agregó.

Hacking Team es una empresa que vende sistemas de vigilancia a varios países. La firma fue víctima de sus propias prácticas y desde el domingo han sido exhibidos 400 gigas de información en la que aparecen sus contratos con diferentes gobiernos, como el de México.

La compañía ofrece servicios de seguridad que utilizan malware y vulnerabilidades para obtener acceso a las redes de destino. The Guardian publicó este lunes que se trata de una empresa de seguridad que vende “software malicioso a los gobiernos nacionales, lo que les permite acceder a los ordenadores de sus objetivos”.

En el caso de México, se identificaron hasta 14 contratos individuales con la compañía, por parte del gobierno federal y los gobiernos estatales, algunos de ellos sin facultades legales para la intervención de comunicaciones privadas.

Junto a la Red en Defensa de los Derechos Digitales y a las organizaciones mexicanas Enjambre Digital y Contingente MX otras organizaciones internacionales como Artículo 19, Derechos Digitales y EFF rechazaron la venta y adquisición de estos programas de vigilancia, “que sin controles adecuados, ponen en riesgo los derechos humanos de la región”.

Mediante un posicionamiento difundido este día denunciaron el proceso de compra que los gobiernos han realizado con total opacidad. “Exigimos que los Estados involucrados realicen esfuerzos para asegurar la transparencia de sus actividades de inteligencia, en particular relativos a la compra y tipo de utilización efectiva de tecnologías”, dijeron.

En particular manifestaron su preocupación de que este software esté siendo utilizado para espiar a activistas y disidentes sin causa justificada. En este contexto, exigieron que los Congresos de los países de Chile, Colombia, Ecuador, Honduras, México y Panamá discutan un marco legal para regular las actividades de vigilancia.

“Ante la posibilidad técnica de que estas actividades pongan en riesgo derechos humanos, estas legislaciones deben reflejar los estándares más altos y sujetar las acciones de los organismos de inteligencia a la autorización previa de un organismo judicial imparcial e independiente”, indicaron.

De igual forma exigieron que las labores de vigilancia de los gobiernos de América Latina involucrados con la firma italiana se rijan bajo el principio de proporcionalidad, “agotando todas las instancias legales posibles antes de violar la privacidad de un individuo”.

“Se debe abogar por las medidas menos intrusivas y por la existencia de puntos de control estrictos. De lo contrario, no solo se violenta el derecho a la privacidad, sino que se atenta contra la libertad de expresión, el derecho a la información, la libertad de circulación y de asociación; así como el completo ejercicio de los derechos humanos”, dijeron.

“También hemos detectado ya que personas del Gobierno de Baja California han negado la contratación de estos servicios. Sin embargo, los documentos señalan que muchos de estos estados habrán contratado estos servicios por medio de empresas intermediarias… para la operación de compra y venta de estos productos de vigilancia y espionaje”, dice García.

De acuerdo con R3D, las empresas que hasta ahora han sido identificadas como intermediarias son las siguientes: Sym Servicios Integrales S.A. de C.V., Teva Tech S.A. de C.V., Dynamic Trading Exchange Technologies Corporativo México, S. de R.L. y Elite By Carga, S.A. de C.V., siendo esta última relacionada con las compras realizadas en Baja California.

En México, en concreto, los clientes con datos filtrados que aparecen en la lista son:

Mexico Police – ExpiredDurango State Government 11/30/2015 ActiveQueretaro State Government 3/31/2014 ExpiredPuebla State Government 7/31/2014 ExpiredMexico Police – ExpiredMexico Navy – ExpiredArmy Mexico 3/31/2015 Not ActivePolicia Federal – ExpiredProcuradoria General De Justicia 12/31/2014 ActiveCampeche State Governement 6/30/2014 ExpiredSeg. National de Gobernacion (CISEN) 12/31/2014 ActiveTaumalipasState Government 7/20/2015 ActiveYucatan State Government 11/30/2015 Active

Mexico Police – Expired

Durango State Government 11/30/2015 Active

Queretaro State Government 3/31/2014 Expired

Puebla State Government 7/31/2014 Expired

Mexico Police – Expired

Mexico Navy – Expired

Army Mexico 3/31/2015 Not Active

Policia Federal – Expired

Procuradoria General De Justicia 12/31/2014 Active

Campeche State Governement 6/30/2014 Expired

Seg. National de Gobernacion (CISEN) 12/31/2014 Active

TaumalipasState Government 7/20/2015 Active

Yucatan State Government 11/30/2015 Active

El documento sobre los supuestos contratos entre los gobiernos y la empresa fue difundido en la página PASTEBIN. En éste se da cuenta de que los supuestos clientes incluyen a la Policía Federal, el Ejército Mexicano, la Armada de México, el Cisen, así como los gobiernos del Estado de México, Distrito Federal, Durango, Querétaro, Puebla, Tamaulipas, Yucatán, Campeche y Baja California.

En la lista de compradores algunos aparecen como “activos”, es decir, actuales clientes de Hacking Team. Por otro lado hay quienes aparecen con el estatus “expired” o “not active”, lo que indica que su contrato ha sido presuntamente concluido.

Los contratos con los gobiernos de Querétaro, Puebla, Campeche, Distrito Federal, el Ejército y la Policía Federal están expirados, mientras que el de la Armada está inactivo.

Mediante las redes sociales se publicaron facturas a nombre del gobierno de Querétaro por 240 mil euros y una del Estado de México por una cantidad de 273 mil euros.

El activista Jesús Robles Maloof difundió además seis facturas de Hacking Team a nombre de la empresa SYM Servicio Integrales que dan cuenta de la compra del programa Da Vinci que oscilan entre los 319 mil euros hasta los 925 mil euros.

“Fue una sorpresa para todos que se haya filtrado y no usaran la plataformas convencionales. Lo hicieron de manera que también protegiera la fuente de la filtración”, dijo Robles Maloof a SinEmbargo.

La agrupación Reporteros Sin Fronteras colocó en su listado de “Enemigos de Internet” de 2013 a la empresa, debido a sus prácticas, principalmente a través de la herramienta de espionaje “Da Vinci”.

Hacking Team es una empresa que vende sistemas de vigilancia a varios países. La firma fue víctima de sus propias prácticas y desde el domingo han sido exhibidos 400 gigas de información en la que aparecen sus contratos con diferentes gobiernos, como el de México.

La compañía ofrece servicios de seguridad que utilizan malware y vulnerabilidades para obtener acceso a las redes de destino. The Guardian publicó este lunes que se trata de una empresa de seguridad que vende “software malicioso a los gobiernos nacionales, lo que les permite acceder a los ordenadores de sus objetivos”.

Entre la información revelada aparecen sus contratos con Etiopía, Chile o incluso Sudán, país con el que se negó ningún tipo de acuerdo durante una investigación de las Naciones Unidas”, agrega el diario español.

Entre los documentos publicados, refirió la agencia Reuters, se encontró una hoja de cálculo que pretende mostrar a los clientes activos e inactivos de la compañía a finales de 2014.

El medio dijo que dichas listas contenían las agencias policiales de varios países europeos, la Administración de Drogas (DEA) y del FBI de Estados Unidos, así como la policía y los organismos de seguridad del Estado en países relacionados con abusos de derechos humanos, entre ellos Egipto, Etiopía, Kazajstán, Marruecos, Nigeria , Arabia Saudita y Sudán.

En respuesta, los responsables de Hacking Team negaron la autenticidad de las filtraciones. “No crean todo lo que vean. Mucho de lo que los atacantes han dicho no es verdad. Se están propagando un montón de mentiras sobre nuestra empresa. El fichero torrent con la información robada contiene un virus”, dijo Christian Pozzi, uno de los miembros de la empresa.

Sin embargo, Reuters aseguró que la compañía no respondió a los correos electrónicos o las llamadas que buscaban confirmar la veracidad de los documentos. En una declaración anterior realizada en marzo, la compañía dijo que no podía revelar a sus clientes, “ya que de hacerlo podría poner en peligro las investigaciones policiales en curso”.