La red Cyber Stewards y activistas locales investigan a FinFisher en México

Map of FinFisher products detected worldwide. Created by John Scott Railton and the Citizen Lab.

Mapa de productos FinFisher detectados en todo el mundo. Creado por John Scott Railton y el Citizen Lab.

La versión original de este artículo se publicó en el sitio web de Cyber Stewards del Citizen Lab [en]. 

Aunque hace tiempo se sospecha que el gobierno mexicano compra equipos de vigilancia, la frecuencia de dichas compras y el nivel de fondos públicos asignados a ellas aumentan rápidamente. El pasado mes de febrero, el New York Times publicó un informe de investigación [en] sobre el gasto de 355 millones de dólares por la Secretaría de Defensa mexicana en sofisticados equipos de vigilancia. Seis meses antes de la investigación del Times, Carmen Aristegui, una famosa periodista de investigación en México, publicó un informe documentando cinco contratos de la Secretaría de la Defensa Nacional para la compra de tecnologías de vigilancia. Los cinco contratos fueron confidenciales y otorgados a una única empresa con sede en el estado de Jalisco llamada Security Tracking Devices, Inc. 

En marzo de 2013, el Citizen Lab de la Universidad de Toronto publicó «Sólo haces click dos veces: la proliferación mundial de FinFisher» [en], donde los investigadores llevaron a cabo un escaneo global de Internet para detectar servidores de “mando y control” del software de vigilancia FinFisher. Citizen Lab encontró servidores de FinFisher alojados por dos proveedores de servicios de Internet mexicanos: Iusacell, un  pequeño proveedor de servicio y UniNet, uno de los mayores proveedores de Internet en México.

Era evidente que los resultados revelaban posibles violaciones legales. Como parte de mi trabajo investigando la vigilancia en el Triángulo Norte para el proyecto Cyber Stewards de Citizen Lab, compartí esta investigación con grupos de derechos humanos y colectivos de tecnología en México.

Los resultados fueron ampliamente distribuidos en las redes sociales [en] y luego traducidos por el grupo activista en línea YoSoyRed. Poco después, la revista mexicana Proceso publicó un informe de investigación sobre el acoso a los defensores de derechos humanos en línea. El informe pedía a Iusacell y UniNet explicar la presencia de FinFisher en sus servidores. Ninguno de los ISPs respondió a las preguntas de la revista.

Me puse en contacto con activistas de derechos humanos en Ciudad de México y trabajamos juntos para crear conciencia sobre los esfuerzos de la sociedad civil en otros países, que han dado lugar a acciones legales contra el uso de la tecnología de vigilancia por parte de regímenes represivos, incluyendo casos contra Amesys en Francia [en] y Finfisher en Pakistán. Una coalición de abogados de derechos humanos y expertos internacionales, entre ellos Citizen Lab, ISOC México, Privacy International y otras organizaciones, debatió la posibilidad de emprender acciones legales para revelar la identidad de las partes responsables de la adquisición y utilización de software FinFisher en México. Sin embargo, en ese momento no teníamos suficiente información para presentar un caso sólido.

En mayo de 2013, Citizen Lab publicó “Sólo para sus ojos: la comercialización del espionaje digital,” que una vez más implicaba a ISPs mexicanos en la implantación de software de vigilancia FinFisher. Dos organizaciones no gubernamentales de derechos humanos con sede ​​en Ciudad de México, Propuesta Cívica y ContingenteMx, solicitaron un procedimiento de verificación sobre la presencia de FinFisher en México [en] ante el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), la autoridad competente en materia de privacidad en México. Su solicitud mencionaba la investigación de FinFisher por el Citizen Lab.

"Sólo para sus ojos," informe de Citizen Lab.

«Sólo para sus ojos,» informe de Citizen Lab.

El IFAI está legalmente obligado a proteger los datos de los ciudadanos e investigar posibles violaciones de datos personales por entidades del sector privado, según lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. También tiene la obligación de imponer sanciones si una ley ha sido violada. El IFAI tiene la capacidad de iniciar un procedimiento ya sea por iniciativa propia o a petición de las partes afectadas. Si, después de las conclusiones preliminares, el IFAI determina que hay pruebas suficientes para anunciar que se ha producido una filtración de datos, se abre una investigación formal y posibles sanciones.

El IFAI posteriormente abrió una investigación preliminar oficial, preguntando a los ISPs si alojaban servidores de FinFisher y qué medidas estaban tomando para proteger los datos de sus clientes. Al mismo tiempo, el diputado federal Juan Pablo Adame propuso una resolución ante el Senado y el Congreso mexicanos, alentando al IFAI a investigar el uso de FinFisher con referencia a los hallazgos por Citizen Lab y las peticiones presentadas por la sociedad civil para investigar la implantación de FinFisher (registradas como IFAI/SPDP/DGV/544/2013 y IFAI/SPDP/DGV/545/2013). La Comisión Permanente aprobó la moción de Adame, imponiendo así al organismo de protección de datos la obligación de responder a todas las preguntas planteadas por el gobierno.

Después de que el Congreso y el Senado aprobaron una resolución conjunta, el IFAI anunció que necesitaba más información de ISPs y agencias gubernamentales con poderes para adquirir tecnologías de vigilancia, antes de decidir si abriría un proceso de verificación para Iusacell y UniNet. UniNet negó toda responsabilidad por los programas que los clientes ejecutan en sus servidores, mientras que Iusacell no hizo ningún comentario.

Adquisición de FinFisher confirmada por las autoridades

El 6 de julio, a raíz de la resolución del Congreso y un comunicado público del IFAI anunciando la investigación, YoSoyRed publicó un contrato y otros documentos filtrados [en] implicando al Gobierno Federal de México en la compra de software FinFisher. La Procuraduría General de la República (PGR) compró la herramienta de vigilancia de Obses, una empresa de seguridad, por casi 15.5 millones de dólares. José Ramírez Becerril, un representante de Obses, dio a conocer detalles sobre el equipo proporcionado a la PGR y alegó que otras instituciones gubernamentales mexicanas también compraron el software. Las autoridades mexicanas confirmaron que los equipos se compraron directamente, en lugar de a través del sistema de licitación gubernamental que suele caracterizar los contratos de defensa, para no «alertar al crimen organizado.»

Los medios de comunicación examinaron en gran detalle los contratos filtrados de FinFisher. La prensa, sin embargo, estaba más preocupada por la cantidad de fondos públicos asignados a la compra de estas tecnologías que por las propias tecnologías. Al eludir el procedimiento de licitación pública, FinFisher y otra herramienta de vigilancia llamada Hunter Punta Tracking /Locsys se vendieron a las autoridades mexicanas a un precio excesivo durante el gobierno de Felipe Calderón. En respuesta, las autoridades indicaron que procesarían a las personas culpables de realizar actividades de vigilancia ilegal. Hasta la fecha, no se ha presentado ninguna querella criminal, a pesar de las estrictas disposiciones que prohíben la interceptación de comunicaciones sin autorización de un juez federal y una orden judicial. El contenido completo de los contratos aún no se ha hecho público.

Mientras se desataba el escándalo, el Congreso ofreció ayuda a los activistas sobre el terreno para exigir una mayor transparencia y rendición de cuentas. El 11 de julio, el Senado y el Congreso mexicanos aprobaron una resolución conjunta donde exigieron una investigación completa y la divulgación de cualquier contrato entre la Secretaría de Gobernación, la PGR, así como cualquier otra institución pertinente. Se les pidió que enviasen un informe completo sobre la compra de sistemas de vigilancia y de hackeo, capaces de vigilar teléfonos móviles, comunicaciones electrónicas, chats y datos de geolocalización, de Obses, Gamma Group, Intellego y EMC Computer Systems, y sus filiales. El Congreso también pidió leyes para regular y restringir la compra de equipos de vigilancia, citando extensamente el informe de Citizen Lab en su petición. Las entidades comerciales mencionadas aún no han respondido. El IFAI también informó al Congreso que continuaría con la investigación.

Iusacell y UniNet siguieron negando alojar servidores de FinFisher. Iusacell indicó que los servidores se encuentran en Malasia. La evidencia adicional indica lo contrario: la publicación por Wikileaks y La Jornada de «Archivos de Espionaje 3″ reveló que los desarrolladores de FinFisher visitaban y estaban activos en México.

Todos los mexicanos gozan de un derecho constitucional a la privacidad de acuerdo con el recientemente enmendado [en] Artículo 16 de la Constitución Mexicana [en] y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares [en], un marco general de privacidad. El mandato [en/es] del IFAI asegura competencias de control plenas y verificación del cumplimiento de estas leyes. Si el IFAI no abre una investigación exhaustiva podrían presentarse querellas criminales y constitucionales, y toda ausencia de investigación será cuestionada bajo el fundamento jurídico de flagrancia. La asistencia técnica es a menudo necesaria para poner a prueba los dispositivos y encontrar ejemplos de individuos infectados para apoyar cualquier curso de acción legal.

La investigación del IFAI se encuentra actualmente en curso. Citizen Lab y Cyber Stewards Network continuarán apoyando la causa, y ayudando tanto a las autoridades mexicanas como a los ciudadanos a comprender cómo funcionan los sistemas de vigilancia, de manera que puedan evaluar si los que los utilizan están infringiendo la ley.

Renata Avila es investigadora en Cyber Stewards [en], una red internacional de académicos, abogados y profesionales de ciberseguridad de países del Sur, facilitada por el Citizen Lab [en] de la Universidad de Toronto.

 

Recursos relevantes:

Gobierno mexicano adquirió software espía de FinFisher [en], Daily Dot

México: Activistas piden investigación de software espía FinFisher, Global Voices Advocacy

Propuesta Cívica y ContingenteMX presentan denuncia ante PGR por presunto espionaje telefónico, Animal Político

México, en alerta por riesgo de espionaje digital, El Economista

Declaración de apoyo de Jacob Appelbaum [en], ContingenteMX

Privacy International solicita al IFAI que inicie investigación sobre FinFisher, ContingenteMX

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.