Por lo menos 12 entidades del país adquirieron junto con el Ejército Mexicano software de espionaje que es capaz de infectar computadoras y teléfonos celulares de cualquier persona y robar su información, sin que tengan facultades legales para hacerlo y sin que haya evidencia de que fue utilizado en operaciones legales de intervención de comunicaciones.

Un estudio elaborado por la Red en Defensa de los Derechos Digitales (R3D)) sustentado en más de 600 solicitudes de información pública, pone en evidencia la adquisición y uso injustificado de estos programas así como el potencial riesgo que representan para millones de ciudadanos en el país que desconocen que están siendo espiados.

De acuerdo con el estudio titulado: “El Estado de Vigilancia: Fuera de Control”, revela que tres compañías mundiales –Hacking Team, NSO Group y FinFisher- especializadas en la intervención de dispositivos de comunicación y cómputo, han vendido sus programas a gobiernos estatales en México.

El caso de la empresa italiana Hacking Team es el mejor ejemplo luego de que en 2015 se filtraran al público miles de correos y documentos internos de la compañía, los cuales evidenciaban que México era el principal comprador mundial de sus programas espías con una inversión de casi seis millones de euros.

La información filtrada reveló que 12 entidades del país tenían relaciones comerciales con la compañía de hackers a través de otras empresas intermediarias. Se trata de Baja California, Chihuahua, Durango, Tamaulipas, Jalisco, Nayarit, Tlaxcala, Estado de México, Ciudad de México, Puebla, Guerrero y Campeche.

“La gran mayoría de las autoridades que adquirieron el software Hacking Team no poseen facultades legales o constitucionales para intervenir comunicaciones privadas por lo tanto su adquisición como su uso es claramente ilegal”, sostiene el estudio.

Tras la filtración de los documentos de la empresa italiana, algunos gobiernos en México justificaron la adquisición de dicho software bajo el argumento de que estaba destinado a sus fiscalías que son las únicas facultadas por la constitución para intervenir comunicaciones. Pero el informe de la organización R3D concluye que no hay sustento para hacerlo.

“Los datos obtenidos mediante solicitudes de acceso a la información pública levantan serias dudas sobre su uso legal o sobre la justificación de la inversión realizada”, indica el informe.

Engaño descubierto

En México solo las procuradurías y fiscalías de los estados, además de la PGR, el CISEN y la Policía Federal, están facultados para intervenir las comunicaciones privadas de una persona y siempre debe de existir una previa autorización de un juez federal especializado en cateos e intervenciones.

Datos oficiales proporcionados por el Poder Judicial de la Federación revelan que, con excepción de Nuevo León, no se han autorizado solicitudes de intervención de cualquier otro estado. Lo anterior significa que las 12 entidades que operan los software espía de Hacking Team lo hacen de forma ilegal.

Por otro lado las procuradurías de Baja California, Campeche, Durango, Estado de México, Tamaulipas y Yucatán respondieron vía transparencia que no han solicitado a un juez ningún permiso para intervenir comunicaciones, por lo que no hay sustento legal alguno para que los gobiernos de dichos estados posean este tipo de software.

“Es decir no existe evidencia de que el gasto público erogado por dichas autoridades haya implicado una sola intervención de comunicaciones privadas tramitada de manera legal, esto a pesar de que el monto del software en dichos estados asciende a más de 47 millones de pesos”.

En 2015 Salvador González Reséndiz, subsecretario de Planeación y Finanzas del gobierno de Jalisco, dijo que la adquisición del software espía “Galileo” a Hacking Team tenía como objetivo utilizarlo en casos de secuestro que investiga la Fiscalía del estado.

Pero el estudio de la R3D evidencia que este estado reportó solamente dos solicitudes para intervenir comunicaciones ante un juez, una de 2014 y otra de 2015

“Esto significa que la Fiscalía de Jalisco u otra autoridad perteneciente al estado están interviniendo comunicaciones privadas utilizando el software de Hacking Team sin autorización judicial, es decir de manera ilegal. De lo contrario significa que el gobierno de Jalisco gastó 748 mil euros para utilizarlo solo en dos ocasiones”, expone el estudio.

Existen otros estados que reportan algunas solicitudes de intervención de comunicaciones (no reconocidas por el Poder Judicial) que aun suponiendo que fueran reales y que en ellas se hubiera adquirido el software de Hacking Team, resultan injustificables debido al costo de los programas adquiridos.

Por ejemplo a Querétaro la única intervención de comunicación supuestamente legal con el referido software le habría representado un gasto de más de cuatro millones de pesos, mientras que a Puebla las ocho solicitudes de espionaje que informó le significaron casi 950 mil pesos cada una.

También el Ejército

Además de los estados, los miles de correos y documentos filtrados de Hacking Team revelan que la Secretaría de la Defensa Nacional se ha hecho de software de espionaje sin que dicha dependencia tenga facultades constitucionales para esta tarea.

Tan solo en la adquisición y capacitación de uso del programa espía “Galileo” de la empresa italiana, la Sedena habría desembolsado más de seis millones de pesos. Las adquisiciones se hicieron a través de dos proveedores intermediarios: Neolinx y Teva.

Pero no es todo. En la información filtrada se advierte además que la Sedena ya había adquirido previamente equipo y software tecnológico de espionaje para su Centro de Comando y Control, entre ellos el programa espía de nombre Pegasus que es capaz de tomar el control de un teléfono al punto registrar todos sus archivos, grabar las conversaciones o manipular la cámara.

El programa Pegasus es diseñado por la empresa especializada en espionaje NSO Group que ha reconocido que sus clientes son gobiernos de distintos países. México podría ser el principal de todos ellos como evidencian los dominios que ha dado de alta para disfrazar el origen de las páginas que infectan los dispositivos.

Un poder ilegítimo

El uso de software espía dedicado a infectar teléfonos y computadores no es una práctica recomendable ni siquiera como mecanismo legal de espionaje, advierte el análisis de la Red en Defensa de los Derechos Digitales (R3D).

Los expertos detallan que en primer lugar esta forma de vigilancia otorga un poder invasivo sumamente amplio que no se justifica bajo los principios de necesidad y proporcionalidad que deben regir las intervenciones de comunicaciones legales, según parámetros nacionales e internacionales.

A esto hay que sumarla que la infiltración de este software requiere en muchas ocasiones la explotación de vulnerabilidades en los equipos que no son conocidas ni informadas a fabricantes de los equipos ni a los proveedores de servicios de comunicación, lo que la hace cuestionable desde un punto de vista ético.

“Además la difícil detección de instancias de vigilancia respecto a estos métodos también genera poderosos incentivos para eludir el control judiciales de las medidas”, indica el estudio.

En resumen, los expertos de la R3D consideran que el empleo de ataques informáticos con la utilización de software malicioso para infectar equipos de comunicación “no puede considerarse un ejercicio legítimo de poder del Estado”.

***

Aquí puedes descargar toda la información pública que sustenta el estudio “El Estado de Vigilancia: Fuera de Control”.