El tal “hackeo” sí existe*



Pronunciamiento Fundación Karisma

Bogotá, 9 de diciembre de 2015

El 7 de diciembre, en una entrevista con la W, le preguntaron al General Palomino sobre el hecho de que a un periodista, del equipo de Vicky Dávila que era parte de la investigación sobre actos de corrupción en la policía, se le desapareció una información que tenía en su computador. El periodista describió cómo frente a sus ojos vió la flecha del mouse desplazarse como poseída y borrar la información. A la pregunta el general respondió que no cree que la policía tenga esa capacidad, dijo: “que la policía tenga aparatos que sean capaces a distancia de interferir y hacer manipulaciones, yo no lo creo”. Para la Fundación Karisma la respuesta del general Palomino es ingenua como mínimo, pues está probado que las autoridades colombianas tienen herramientas de control remoto entre la tecnología de vigilancia que han adquirido; lo que hace esa respuesta del General Palomino es desconocer los riesgos y problemas que sobre el marco legal colombiano y sobre las prácticas de las autoridades de vigilancia hemos monitoreado y denunciado desde Karisma.

Que la policía colombiana cuenta con una importante estructura para la interceptación de comunicaciones y de vigilancia fue lo que describió en un reciente informe la organización británica Privacy International y que Fundación Karisma describe en la infografía “Los sistemas de vigilancia en Colombia al descubierto” y lo que preocupa más es que de acuerdo con las noticias de estos días, incluso estos análisis están desactualizados.

La Fundación Karisma rechaza la vigilancia abusiva e ilegal a la que aparentemente fueron sometidos los y las periodistas en este caso. Con el fin de aportar información para el debate público analizamos en este documento las palabras del general Palomino a la luz de las capacidades del Estado para usar herramientas de control remoto que popularmente se llaman herramientas de “hackeo”. Explicamos también cómo su alcance obliga a afirmar que su uso por autoridades exige una reforma legislativa. Hasta tanto esta reforma no se dé su uso es ilegal.

Lo primero es establecer si con la información pública que existe podemos afirmar que la policía tiene herramientas de hackeo. La respuesta es un rotundo sí.

A raíz del escándalo de Hacking Team en 2015, la propia policía admitió que adquirió herramientas de control remoto. La filtración de información de la empresa Hacking Team, que ofrece a los Estados herramientas de hackeo o control remoto, estableció que la Dirección de la Policía Nacional (DIPON), con presupuesto de PUMA, avanzó con dos procesos de contratación a través de intermediarios para adquirir herramientas ofrecidas en el mercado internacional por esta empresa. El primer contrato está vigente hasta 2016, mientras que el segundo era tan solo un proceso de contratación cuando estalló el escándalo. La oferta de Hacking Team es ejemplo de herramientas de control remoto que hacen precisamente lo que el periodista miembro del equipo de Vicky Dávila describió, el computador queda como “poseído” y un tercero puede controlarlo a distancia, por ejemplo, puede borrar archivos.

Si la policía tiene herramientas de control remoto, lo siguiente es establecer si las ha usado. Nuevamente la respuesta es sí. De hecho, aunque los medios no han sido muy prolíficos en datos sobre la forma como se usan estas herramientas por parte de las autoridades, Fundación Karisma ha hecho seguimiento a las noticias sobre este tema y podemos decir que no solo la Policía tiene estas herramientas, sino que hay información pública que nos permite saber que sí las usan:

Hacking Team. Las filtraciones de Hacking Team en 2015 también revelaron detalles sobre su uso por la policía que no ha sido desmentidos aún por la entidad. Entre los documentos filtrados aparecen correos provenientes de cuentas de la policía donde se pide a Hacking Team la creación de “exploits” para usarlos en 2015. Es decir, los correos muestran cómo la policía pide que Hacking Team les prepare los archivos con los que infectarán los dispositivos de unas personas concretas para poder controlar sus equipos y recoger así información sobre ellas. No es posible saber si esto sucede en desarrollo de acciones de vigilancia legítimas o no. Tan solo se documenta el hecho que desde correos de la policía se pide en varias oportunidades archivos que iniciarán un proceso de este tipo.

Los 13 acusados por los atentados en Bogotá en 2015. También durante este año las descripciones de las noticias sobre la forma como se identificó a las personas acusadas de los atentados de la calle 72 con carrera 10 y el de la carrera 13 con calle 46 en Bogotá incluye la descripción del uso por parte de la policía de información obtenida de los celulares de las personas acusados. En este caso, la forma más probable de obtener esta información fue usando un UFED: un dispositivo universal de extracción forense para teléfonos móviles. y luego con otro software asociado a esa misma herramienta, analizaron la información del dispositivo para establecer la red de contactos. Esta noticia da cuenta de la las diversas herramientas que usa la policía que tienen fines similares y que no son solo las de “hackeo”. Establezcamos eso sí, que en este caso su uso se hizo en el marco de una investigación criminal.

Andrómeda. En 2014 las noticias sobre Andrómeda sugerían que la fachada de la inteligencia militar tenía como propósito “chuzar” a los equipos negociadores del proceso de paz (tanto de la guerrilla como del gobierno) en La Habana. Desde allí, “hackers” militares y civiles habían accedido a correos e información de este proceso de negociación, incluso se dijo que también se había chuzado a periodistas y opositores en ese proceso. Sobre lo que se hizo y las herramientas con que se trabajó es poco lo que se sabe, Sin embargo, en el artículo de hoy, 9 de diciembre, en que colaboramos con ENTER.CO no solo se confirma que personas vinculadas a Andrómeda estaban accediendo a información del proceso y negociando con ella, sino que se establece que por la época en que operó Andrómeda se identificó en el país el uso de una herramienta de Control Remoto que apuntaba al mismo servidor donde se encontraba alojada la página de Buggly –el hackerspace que servía de fachada a Andrómeda–. Esta información sugiere que aunque tampoco tienen facultades para hacerlo, la inteligencia militar también tiene la capacidad tecnológica de interceptación de comunicaciones y aún así sabemos menos sobre cómo la usan.

Como vemos, contrario a lo que cree el general Palomino, incluso sin los datos de este nuevo escándalo sabemos que la policía no solo cuenta con estas capacidades sino que tiene diversas herramientas. Además está documentado que en varios casos se ha hecho uso de estas. El problema central es precisamente que estas herramientas tienen una capacidad de intromisión en la vida íntima de las personas tan grande que supera incluso a las que son el punto de referencia de la ciudadanía colombiana –las que usó el DAS en el sonado caso de las chuzadas–.

Las herramientas de vigilancia de las comunicaciones hoy en día son mucho más intrusivas que el imaginario de la interceptación de comunicaciones que supone a una persona escuchando al otro lado del teléfono lo que se dice. Cuando se intercepta un teléfono se da acceso a las comunicaciones de alguien solo desde el momento en que inicia la interceptación hasta cuando termina. Con las capacidades de vigilancia actuales el vigilante puede realmente entrar “en cuerpo ajeno” y conocer las actividades en línea de las personas, ver el tráfico de su correo, tiene acceso a todo lo que hay en el dispositivo de la persona (contactos, historial de navegación, archivos, etcétera) e incluso lo que sucede en torno al aparato (prender cámaras y micrófonos para ver y oír). La vigilancia se hace por un período indefinido y sin consideración por quién está usando el dispositivo (por ejemplo si es el computador de la casa y lo usan todos los miembros de la familia). Esta estructura y su potencial abuso –que se materializa en cada escándalo sobre seguimientos ilegítimos como los que se hacen a periodistas, personas defensoras de derechos humanos u opositoras políticas– nos obliga a afirmar no solo que las prácticas de abuso de la inteligencia no se ha detenido, sino que,además, tenemos problemas con el marco legal actual que está desactualizado y que carece de controles necesarios para evitar abusos del tipo que se están denunciando.

En el análisis “Cuando el Estado hackea”, que publica Fundación Karisma hoy se profundiza en la naturaleza de estas herramientas, en sus riesgos y se expone cómo su uso por parte de las autoridades colombianas es ilegal. Fundación Karisma cree que las autoridades colombianas deben contar con todas las herramientas necesarias para combatir el crimen, pero deben hacerlo bajo el mandato de la ley, en un marco garantista que le dé seguridad jurídica a las autoridades y busque algún grado de confianza en la relación autoridad-ciudadanía para evitar abusos y accesos ilegítimos. La respuesta del general Palomino es, por tanto, muy desafortunada. Minimiza y desconoce la capacidad de vigilancia del Estado y, en particular, de la entidad que dirige. Lo peor es que haciéndolo evita la discusión más profunda que se deriva de los riesgos para la intimidad de la ciudadanía en el uso de estas herramientas.

Fundación Karisma publica tanto la infografía como el análisis sobre las herramientas de Control Remoto para contribuir con información a esta discusión pública. Si este tema le interesa comparta estos documentos con el general Palomino (@GeneralPalomino), y con los miembros de la Comisión de Seguimiento a la Ley de Inteligencia –único órgano que tiene alguna capacidad de control sobre esta actividad– (@jaimeduranbar @jimmychamorro @PaolaHolguin @carlosfgalan @MIgueBarretoC @OPedroorjuela @Tatacabello) usando el númeral #ElTalHackeoSíExiste para que en 2016 el debate se abra y nuestros derechos a la privacidad, libertad de expresión y libertad de prensa se protejan.

* “Hackear” es una expresión que identifica una ética que consiste en propiciar el acceso a la tecnología para empoderar a las personas, luego se entendió como la actividad de encontrar vulnerabilidades en sistemas de información pero esencialmente con la idea de reportarlas y repararlas. Finalmente se empezó a usar en el sentido de buscar vulnerabilidades en sistemas de información y aprovecharlas en forma ilícita. Para Karisma la expresión correcta cuando se “hackea” para hacer daño es la de “crackear” y por tanto decir “hackear” en ese sentido es incorrecto, sin embargo éste el uso que se ha popularizado. Para facilitar la comprensión del documento, hemos decidido usar el término “hackear” en el sentido de “crackear” aunque somos conscientes de que es sólo uno de los sentidos de esa palabra.