Primero fue FinFisher, el software espía de Gamma Group detectado en México en el 2013. Después, los malware DaVinci y Galileo de la empresa Hacking Team descubiertos en el 2014. Y más recientemente está Pegasus, de NSO Group, hallado en 2016 y 2017. Los casos de espionaje gubernamental mediante software malicioso continúan saliendo a la luz y confirman el abuso que hacen las autoridades en el uso de tecnología en contra de la sociedad civil, con un costo millonario para las arcas del país.

Los investigadores del Citizen Lab, un instituto de la Universidad de Toronto, Canadá, han descubierto estas campañas de espionaje y reconocen que en México existe un grave problema de espionaje ilegal, con tecnología de uso exclusivo del gobierno.

NOTICIA: PGR, Veracruz y PGJDF, los que más vigilan las comunicaciones

Esperamos que nuestro trabajo ayude a resaltar a los periodistas y otros investigadores que se está realizando muchos ataques en México. Esta puede ser la punta del iceberg , dijo John Scott-Railton, investigador del Citizen Lab y uno de los autores del reporte.

El pasado 11 de febrero, el instituto de investigación publicó su más reciente reporte llamado Bitter Sweet donde documentó el uso de la solución Pegasus de la firma israelí NSO Group para espiar al investigador Simón Barquera del Instituto Nacional de Salud Pública (INSP); Alejandro Calvillo, director general de la organización Al Poder del Consumidor; y Luis Encarnación, coordinador de la Coalición ContraPESO quienes impulsaron el impuesto a las bebidas azucaradas.

Pero Scott-Railton advierte sobre una muy alta posibilidad de que existan más víctimas del espionaje gubernamental.

Creemos firmemente que hay otros blancos , aseguró el experto contactado por El Economista vía correo electrónico.

NOTICIA: La protección de datos personales en la era de los leaks

En las investigaciones previas de espionaje a través de software malicioso de uso exclusivo del gobierno, los expertos han determinado que el móvil ha sido político dado que los objetivos han sido defensores de los derechos humanos y periodistas. Pero la campaña Bitter Sweet deja entrever una posible corrupción de funcionarios o agencias de seguridad quienes intervinieron las comunicaciones privadas para beneficiar los intereses comerciales.

Este caso sugiere que las herramientas de espionaje de NSO Group, de uso exclusivo del gobierno, pueden ser utilizadas por una entidad gubernamental en nombre de intereses comerciales, y no por razones de seguridad nacional o la lucha contra la delincuencia , consideran los investigadores del Citizen Lab.

La adquisición y el uso abusivo de estas tecnologías además corre a cargo del erario. Scott-Railton dice que el impacto es millonario, aunque ante la falta de transparencia y controles, es difícil saber el costo exacto.

NOTICIA: Faltan reformas para frenar el espionaje de gobiernos en América Latina

Sabemos de informes anteriores que las herramientas de NSO Group son muy caras, con un costo de millones. El alto costo de las herramientas de NSO, combinado con el hecho de que si un cliente los utiliza imprudentemente, todos los clientes están expuestos, hace que el uso evidente aquí aún más alarmante , comentó.

Lo cierto es que las autoridades del país son ávidas compradoras de malware para espionaje. Versiones periodísticas han mencionado que el gobierno mexicano pagó 20 millones de dólares para adquirir las soluciones de NSO Group en 2012; mientras que las filtraciones de la firma italiana Hacking Team revelaron que las autoridades de México son los clientes principales de la compañía al pagar más de 5.8 millones de euros.

Un historial de abusos

En diversas investigaciones realizadas por organizaciones como la Red en Defensa de los Derechos Digitales (R3D) así como por El Economista, se ha documentado que el gobierno mexicano abusa de la vigilancia, ya sea al solicitar datos y metadatos de las comunicaciones de los ciudadanos sin control, o al utilizar herramientas tecnológicas de hackeo e intervención de dispositivos con fines distintos al combate al crimen o protección de la seguridad nacional.

Y es que la adquisición y uso de malware ha sido una herramienta de las autoridades mexicanas para evadir tanto los controles judiciales como la colaboración de las empresas de telecomunicaciones para realizar campañas de espionaje a los usuarios del país.

NOTICIA: Rastreo de llamadas no culmina en averiguaciones

Estas prácticas permanecen en las sombras y exponen a los ciudadanos a potenciales abusos del gobierno.

En su reporte El estado de la vigilancia: fuera de control , presentado en diciembre pasado, R3D consignó que el excesivo gasto del gobierno de software malicioso, el alto nivel de invasión a la vida privada de los ciudadanos que representa un hackeo de este nivel por parte de las autoridades y la opacidad en la que operan estas herramientas están lejos de cumplir los principios de necesidad y proporcionalidad.

La utilización de esta técnica de vigilancia no requiere la colaboración de empresas de telecomunicaciones, y que resulta sumamente complicada la detección de dispositivos infectados, existen menos controles y puntos de detección de la utilización abusiva de esta forma de vigilancia. La difícil detección de instancias de vigilancia a través de este método también genera poderosos incentivos para eludir el control judicial de las medidas , advirtió entonces.

NOTICIA: Usuarios de redes sociales, en la mira del gobierno de México

Scott-Railton, del Citizen Lab, es enfático en que la detección, investigación y divulgación de estas prácticas requiere la colaboración entre la sociedad civil, los expertos y las organizaciones defensoras de los derechos humanos. En la documentación de Bitter Sweet, participaron las organizaciones R3D y SocialTIC así como un investigador de Amnistía Internacional.

Esperamos que otras organizaciones mexicanas se sientan empoderadas para buscar mensajes sospechosos. Si creen que fueron testigos de esta campaña, pueden ponerse en contacto con nosotros directamente en bittersweet@citizenlab.ca. O, si tienen un problema de seguridad digital de manera más general, pueden ponerse en contacto con la línea de ayuda de Access Now: https://www.accessnow.org/help/ , escribió el experto.

julio.sanchez@eleconomista.mx

erp