#iDATOS
México y EU tejen una red bilateral de vigilancia y espionaje que excede a Pegasus
El software Pegasus de NSO Group ha sido utilizado por gobiernos para espiar a periodistas y disidentes políticos, pero no es la única tecnología que utilizan los gobiernos para esta tarea. En la última década el gobierno estadounidense impulsó una industria de vigilancia masiva exclusiva para gobiernos que se salió de control y que afectó a México, por la cercanía con el territorio estadounidense, donde las prácticas de vigilancia se extendieron a ciudadanos mexicanos, y por la colaboración binacional para combatir el crimen organizado, de la que se desprendieron estrategias que implicaron la compra excesiva de tecnología de vigilancia bajo hermetismo y con irregularidades en su aplicación.
En la última década el Gobierno estadounidense impulsó a la industria del espionaje a nivel global que se ha excedido en la recolección masiva de datos personales y en la invasión de la privacidad. Tras diez años de colaborar en conjunto gobiernos y empresas privadas de ciberseguridad, EU admitió que están fuera de control, mientras el espionaje a periodistas y disidentes políticos se ha incrementado.
En 2017, la revelación de que gobiernos como el de México espiaron a periodistas, activistas y disidentes políticos con el software Pegasus, desarrollado por NSO Group, abrió una caja de Pandora. En la última década el catálogo que ofrecieron las compañías de seguridad en el sector gubernamental multiplicó las posibilidades para realizar espionaje y extraer datos personales sin que los usuarios tengan conocimiento.
En casos como el de México, las personas son objeto de prácticas de vigilancia binacionales, fomentadas desde marcos jurídicos como el Entendimiento Bicentenario para combatir al crimen organizado que considera estrategias de ciberseguridad.
Estas medidas han justificado el empleo de antenas interceptoras de señales de teléfono, software de geolocalización, monitoreo y recolección de datos personales desde plataformas digitales, y el uso de malwares de espionaje en los que prevalece el hermetismo y la ausencia de diagnósticos de riesgo para la población.
A finales de marzo, el presidente estadounidense, Joe Biden, puso fin a la adquisición de softwares de espionaje por parte del gobierno de EU. Semanas después, durante el mes de abril (23.04.2023), el Consejo Nacional de Inteligencia desclasificó parcialmente el informe NICA 2022-22810 en el que señaló que al menos 24 gobiernos de países en todo el mundo utilizan software de espionaje como Pegasus o similares para vigilar a opositores políticos.
De acuerdo con los datos proporcionados en el informe, el gobierno estadounidense reconoció que la industria de cibervigilancia, diseñada para atacar teléfonos celulares, ha mostrado un crecimiento exponencial en la última década, y ha acumulado un valor estimado de 12 mil millones de dólares.
MIGRANTES EN LA MIRA
EU recurre al uso de tecnologías de vigilancia masiva como parte de estrategias de seguridad interior para combatir al terrorismo y al crimen organizado que han facilitado la participación de provedores, que gracias a su colaboración con el gobierno han adquirido una posición relevante en el mercado. Es el caso de Pen-link, LTD, una firma, con sede en Nebraska, que ofrece tecnologías de espionaje utilizadas en la última década por oficinas de inteligencia.
La firma cuenta con una plataforma llamada PLX que permite recolectar datos de llamadas telefónicas, análisis forense móvil, volcados de torres de telefonía móvil, además de que en comunicaciones a través de Internet, redes sociales, correos electrónicos y aplicaciones. Sin embargo, esta plataforma ha sido utilizada para vigilar a migrantes.
El Departamento de Seguridad Interior (DHS, por sus siglas en inglés) del Gobierno de Estados Unidos, a través de el Servicio de Inmigración y Control de Aduanas (ICE, por sus siglas en inglés) y del Programa de Estudiantes y Visitantes de Intercambio, ha contratado a un grupo de compañías, entre las que destaca Pen-Link para llevar a cabo monitoreos en tiempo real e histórico de perfiles de personas migrantes en redes sociales, e interceptar teléfonos con el fin de evitar supuestas amenazas.
La firma fue fundada en 1987 en Nebraska con el número de registro 0906875 y es presidida por Michael L. Murman. Aunque fue creada hace casi cuatro décadas, la compañía tuvo sus mejores años a partir del inicio de la Guerra Contra el Terrorismo. El Sistema Federal de Datos de Adquisiciones (FPDS, por sus siglas en inglés), señala que el ICE pagó cuatro millones 600 mil dólares a esta empresa por contratos firmados entre el 2004 y el 2017.
Contratos entregados a Pen-Link LTD por ICE. Fuente: Elaboración propia con información del FPDS.
ESPIONAJE FACILITADO POR EL TERRITORIO
A lo largo de los 3 mil 169 kilómetros de extensión de la frontera méxico-estadounidense el ICE utiliza un sistema de intervención de teléfonos conocido como CSS (Cell site simulator, por sus siglas en inglés) stingray, rayas o IMSI-catchers. Se trata de un dispositivo que simula ser una torre de recepción de señal de telefonía celular que engaña a los teléfonos celulares con el fin de extraer información de manera masiva, ya que estos simuladores no distingue entre un teléfono que represente riesgo, de otro que no. Esta tecnología invade la privacidad de los usuarios sin que sean advertidos de que sus datos están siendo analizados por una unidad de inteligencia del Estado.
El ICE ha implementado el uso de CSS a través del Servicio Secreto y de la Oficina de Investigaciones de Seguridad Nacional (HSI), el principal órgano de investigación del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés), que tiene como principal función desarticular organizaciones criminales internacionales.
Los simuladores CSS, o también conocidos como rayas han sido implementadas para poder monitorear, geolocalizar y acceder a datos de usuarios de teléfonos celulares con el fin de combatir el contrabando, el tráfico de personas, pandillas, lavado de dinero, falsificación y otros delitos financieros. Sin embargo, estas tecnologías han sido implementadas sin apegarse a las leyes estadounidenses.
En febrero de este año, la Oficina del Inspector General (OIG) publicó una reporte en el que concluyó que tanto el Servicio Secreto como el ICE no se apegaban a los estatutos gubernamentales en el empleo de los CSS.
En el documento desclasificado el 23 de febrero de este año, se dirigieron seis recomendaciones a ambas dependencias encabezadas por Kimberly A. Cheatle y Tae D. Johnson debido a que el ICE no siempre obtuvo las órdenes judiciales requeridas para el uso de CSS, no se adhirió a la política de privacidad del DHS, ni a la Ley de Gobierno Electrónico de 2002, la cual exige que el uso de CSS o rayas se lleve a cabo una vez que se ejecute una evaluación de impacto de privacidad (PIA, por sus siglas en inglés) que no se realizó hasta el 2022.
De acuerdo con el informe, el ICE no realizó pruebas de impacto por que tuvieron cambios de personal y recursos limitados, por lo que antes del 2022 existió un amplio margen de operación de los CSS sin identificar riesgos en la violación de la privacidad de los usuarios, ni mitigarlos.
Los simuladores CSS permiten identificar teléfonos celulares, tanto de quienes ya se encuentran en la base de datos de las autoridades, como de otros pertenecientes a personas que no tienen relación con delitos. En el reporte se precisa que esta tecnología interviene las comunicaciones de presuntos infractores de la ley pero también de sus víctimas.
El HSI cuenta con 250 oficinas en el territorio estadounidense, incluidas ciudades estadounidenses fronterizas con núcleos de población de México, entre ellas Nogales, San Ysidro, Caléxico, El Paso y otras. Además, cuenta con oficinas de investigación criminal en 53 países, entre ellos México, en donde operan seis oficinas en Ciudad de México, Hermosillo, Matamoros, Monterrey, Tijuana y Ciudad Juárez.
Debido al alcance que tiene los CSS, hasta el 2022 la población mexicana de la frontera con EU pudo estar expuesta a los riesgos de invasión a la privacidad, que afectaron a los estadounidenses y a las personas migrantes en ese país.
Ubicación de oficinas del HSI. Fuente: DHS.
LA VIGILANCIA SE EXTIENDE A MÉXICO
En México los servicios de geolocalización han sido adquiridos por la mayoría de los gobiernos estatales durante la última década. Entre los proveedores destacan dos compañías por concentrar el mayor número de contratos: Neolinx de México, S.A. de C.V. y Eyetech Solutions, S.A. de C.V.
La entrega de estos contratos se ha caracterizado por su opacidad y hermetismo. En el año 2018, la compañía Grupo Profesional Shalom, S.A. de C.V. cerró un negocio con la Fiscalía General de Veracruz, entonces encabezada por el exfiscal Jorge Winckler, para proporcionar un software de geolocalización de teléfonos celulares llamada Black Dome.
El Órgano de Fiscalización del Estado de Veracruz (ORFIS), realizó una observación al contrato AD 12/2018 entregado a Grupo Shalom, por adjudicación directa en ese año. En el informe Individual de la Fiscalización Superior, correspondiente al 2018, el organismo detectó que la Unidad Especializada de Combate al Secuestro reportó que sólo solicitó 2 mil consultas de geolocalización mediante el software de Black Dome, pero, en el contrato se indicaron 2 mil 150 consultas. En la observación FP-010/2018/026 ADM, el ORFIS sostuvo que 150 de estas consultas no fueron justificadas. En este caso se encontraron inconsistencias. Sin embargo, otras compañías realizan los mismos seguimientos sin que las autoridades hicieran públicos los informes sobre el uso de esta tecnología para vigilar a ciudadanos.
Casos como el de Hidalgo revelan la falta de información referente al uso de tecnologías de vigilancia. Aunque esta entidad ha hecho público un gasto por 12 millones 990 mil 866 pesos en la compra de Geomatrix a la empresa Neolinx de México, S.A. de C.V., los informes de la Procuraduría Estatal respecto a las solicitudes de acceso al registro de comunicaciones y localización geográfica de equipos telefónicos, no permiten corroborar que las intervenciones realizadas coincidan con los contratos de software efectuados.
Fuente: Elaboración propia con información de Transparencia de la Procuraduría del Estado de Hidalgo.
El software Geomatrix ha sido adquirido por gobiernos de Chiapas, Baja California Sur, Oaxaca, Sonora, Hidalgo, Veracruz, desde el 2015. Este programa puede ser adquirido de manera legal bajo la justificación de fortalecer la seguridad nacional, pero la falta de transparencia en su uso permite que sea utilizado con fines arbitrarios.
La mayoría de estos estados no cuentan con informes o auditorías sobre su empleo. Además de Geomatrix otras compañías han celebrado contratos con gobiernos estatales para realizar el mismo tipo de vigilancia. De manera pública existe información de algunas de estas contrataciones que fueron concretadas entre el 2014 y el 2023. El mapa que dibujan estos contratos muestra como casi en todo el territorio mexicano opera esta tecnología de vigilancia.
REDES SOCIALES Y NUEVAS FORMAS DE VIGILANCIA
Desde el 2014, el Gobierno estadounidense ha ampliado sus prácticas de vigilancia masiva y las han trasladado a las redes sociales. El interés de los estadounidenses por monitorear las redes sociales ha favorecido a empresas como Giant Oak, INC que recibió un contrato por 11 millones 992 mil dólares para implementar un sistema de monitoreo en las redes sociales y de extracción masiva de datos.
En el informe de Privacy International publicado en 2018, señalan a esta compañía como uno de los cinco principales proveedores de tecnologías de vigilancia masiva para el ICE, entre ellos, Palantir, T-Rex Consulting Corporation y dos agencias pertenecientes al corporativo Thomson Reuters.
En este informe, se señala que Giant Oak ha recibido desde el 2014 por lo menos 45 millones de dólares (mdd). En junio del 2017, la empresa recibió un contrato por 37 mdd por realizar recolección o scraping de datos abiertos de redes sociales, conocidos como OSINT (Open Source Intelligence).
Giant Oak proporciona a diferentes departamentos del gobierno de EU un software de nombre GOST (Giant Oak Search Technology), que realiza monitoreos en la red pública (portales, redes sociales y otras fuentes de datos) y le deep web para identificar actores que impliquen un riesgo.
OSINT EN MÉXICO
A finales del 2021, Meta identificó y vetó a siete compañías similares a Giant Oak que realizaban espionaje en su plataforma. Tras una investigación interna, la empresa encontró que estas compañías afectaron a más 48 mil usuarios de Facebook y de Whatsapp, de más de 100 países, entre ellos, México.
En el “Informe de Amenazas sobre la Industria de Vigilancia por Contrato”, Meta denunció en 2021 que las empresas Cognyte Software, LTD. y Cobwebs Technologies, LTD, ambas reconocidas como líderes en el sector de webint fueron contratadas en México para realizar prácticas de espionaje a través de Facebook y Whatsapp en contra de periodistas y políticos de oposición.
Cognyte cuenta registro de marca en México, con el número de expediente 2430610, con fecha del 2020 y bajo la titularidad de Verint Systems, LTD. de origen estadounidense. En 2018 esta compañía intentó fusionar su sección de seguridad con la compañía israelí NSO Group, desarrolladora de Pegasus.
A pesar del esfuerzo de Meta por vetar a las compañías que realizan labores de espionaje por medio de metodologías OSINT (Inteligencia de Fuentes Abiertas) empleada para recolectar grandes volúmenes de información de usuarios, otras empresas mantienen vigentes sus contratos con el gobierno para llevar a cabo tareas de vigilancia.
A finales del 2022, cuando iniciaba en Hidalgo el gobierno de Julio Ramón Menchaca Salazar y la gestión de Santiago Nieto Castillo como procurador General de Justicia, se concretó un contrato para recolectar más datos a través de las redes sociales.
Aunque la empresa señalada no fue identificada por Meta en el reporte, la descripción de la orden de servicio coincide con las actividades que realizan otros competidores del sector webint para seguridad digital. Este sistema fue puesto en operación de manera simultánea a Geomatrix.
El contrato fue entregado en noviembre del 2022 por la Procuraduría General de Justica de Hidalgo a la empresa CISMEX Soluciones Integrales en Ciberseguridad, S.A.P.I. de C.V para realizar diversas tareas relacionadas con vigilancia en las redes sociales.
A través del folio AD-113-2022, relativo a “licencias informáticas e intelectuales (Módulo redes sociales) se describe que la compañía realizó servicios de rastreamiento en redes sociales, que implicó un centro de datos que procesa información de inteligencia para contrarrestar el crimen y el terrorismo que fue descrito como “oráculo de fusión de datos”.
En la orden de servicio se detalló que este centro de datos recurre a diversos “motores de recolección” para procesar datos y arrojar resultados en tiempo real. También se señala que esta metodología emplea datos de imagen. Sin embargo, en la orden de servicio no se proporciona información sobre la compañía desarrolladora del software que se emplea para estas tareas. El contrato se entregó con una vigencia de 12 meses y mil 200 créditos para realizar consultas.
