Empresas tecnológicas de vigilancia negocian sin control en México y América Latina: informe

Griselda Triana, viuda del periodista Javier Valdez, asesinado en Sinaloa en mayo del 2017, denunció ser uno más de los objetivos del software malicioso (malware) Pegasus, una herramienta de vigilancia comercializada por la compañía israelí NSO Group, que sólo se comercializa a gobiernos. Este caso se suma a otros 24 objetivos del uso de este malware, entre periodistas, organizaciones de la sociedad civil, activistas, políticos y abogados.  

El anuncio es a su vez el más reciente ejemplo hecho público de cómo “la adquisición y uso de herramientas de vigilancia por parte de estados en América Latina, sin la debida protección, ha ocasionado en años recientes abusos en contra de defensores de derechos humanos, periodistas y activistas”, según consta en el informe La adquisición y el abuso de tecnologías de vigilancia privada en América Latina, firmado por Al Sur, un grupo de organizaciones de América Latina “que busca fortalecer los derechos humanos en el entorno digital”, según su propia descripción.

Basta recordar que el malware Pegasus ha sido utilizado en contra de periodistas como Carmen Aristegui, Rafael Cabrera e Ismael Bojórquez; Karla Michel Salas y David Peña, representantes legales de los familiares de las víctimas del multihomicidio de la colonia Narvarte; Simón Barquera, investigador del Instituto Nacional de Salud Pública (INSP); Alejandro Calvillo, de El Poder del Consumidor, y Luis Encarnación, de la coalición Contra Peso, activistas a favor del impuesto especial a las bebidas azucaradas; Ricardo Anaya Cortés, excandidato presidencial del PAN, y Roberto Gil Zuarth y Fernando Rodríguez Doval, también de extracción panista, y hasta los miembros del Grupo Interdisciplinario de Expertos Independientes (GIEI), que investigó el asesinato de 43 estudiantes de la Escuela Normal de Ayotzinapa.  

El contexto en que se da este auge de adquisiciones y uso de sofisticadas herramientas de vigilancia en América Latina es uno de “dictaduras y conflictos armados” en los que “se violan sistemática y generalizadamente los derechos humanos con recursos como la recolección y vigilancia de datos de manera poco clara y desproporcionada, en una cultura de falta de transparencia, corrupción e impunidad”, de acuerdo con el informe.

“Este escenario no hace más que promover o, por decir lo menos, no evitar la apropiación indebida de fondos públicos para adquirir tecnología de vigilancia, el uso de tecnologías de vigilancia generalizada por parte del propio sector privado o en asociación con el sector público, ni el abuso de este tecnologías contra la población civil, incluidos periodistas y defensores de derechos humanos”, advierte y enfatiza que es necesaria la existencia de una legislación apropiada para limitar, regular y controlar la exportación, adquisición y despliegue de herramientas de vigilancia.

Seguridad, el argumento

Citando un reporte de la organización Privacy International, el documento suscrito por la Asociación por los Derechos Civiles (ADC) de Argentina; Coding Rights, Instituto Brasileiro de Defesa do Consumidor y de Brasil; Fundación Karisma, de Colombia, Hiperderecho de Perú; IPANDETEC de Panamá; Red en Defensa de los Derechos Digitales (R3D) de México; TEDIC, de Paraguay y Derechos Digitales que trabaja en toda América Latina, enlista a Estados Unidos, Reino Unido, Francia, Alemania e Israel como los cinco países principales que son sede de compañías que desarrollan herramientas de vigilancia las cuales se comercializan en la región latinoamericana. 

La investigación añade también a China, que recientemente tuvo acercamientos con Brasil para la instalación de cámaras de reconocimiento facial en este país, con el fin “combatir el crimen”. Aunque el documento enfatiza el vínculo del gobierno brasileño con la extrema derecha, en el Metro de la Ciudad de México, cuya actual administración se identifica con la izquierda, se instalarán cámaras de reconocimiento facial, según declaraciones de Florencia Serranía, directora del Sistema de Transporte Colectivo Metro, recogidas por el periódico Excélsior.

Ya sea en Brasil o en México, como es el caso de las cámaras con reconocimiento facial en el Metro, el principal argumento de las autoridades para adquirir tecnologías de vigilancia es la seguridad. Frente a esto, el informe destaca el hecho de que la mayoría de las adquisiciones de estas tecnologías se ha realizado mediante procedimientos opacos e irregulares.

“Existe una falta general de transparencia con respecto a estos procedimientos bajo el pretexto de "seguridad nacional", por lo que la mayor parte de la información relacionada con dichas adquisiciones ha sido hecha pública por denunciantes, informes de los medios de comunicación e investigaciones de la sociedad civil”, asegura el reporte.

La Procuraduría General de la República (PGR) destinó al menos 800 millones de pesos para la adquisición de Pegasus en 2014 y la renovación de las licencias de operación del malware en 2016 y 2017. El documento advierte que pese a la gravedad de los casos de abuso con estas herramientas, la mayoría de los casos no se han investigado ni procesado de forma adecuada. “Existe una falta general de responsabilidad por la adquisición irregular de tecnología de vigilancia privada y el abuso de dichas herramientas contra la sociedad civil”. 

En México, hasta el momento, ningún individuo o institución ha sido imputada por las autoridades judiciales por la adquisición y el uso del malware Pegasus o de otras herramientas de vigilancia. Lo más cercano a una sanción es la resolución del pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) del 20 de febrero pasado. Esta refiere que la entonces PGR (ahora Fiscalía General de la República) violó la ley de protección de datos personales con la compra y uso de Pegasus, por lo que ordenó la presentación de denuncias ante el Ministerio Público para sancionar a los responsables. Sin embargo, dicha sanción no tendrá lugar, debido a que se cree que en la PGR se borraron las evidencias de la utilización de Pegasus y de la información recabada con él.

Los Estados nación no son los únicos que despliegan herramientas de vigilancia en los países latinoamericanos. La seguridad nacional tampoco es el único argumento para este despliegue. Compañías privadas como las mineras Vale S. y Anglo American, que realizan actividades mineras en Brasil, han utilizado estas tecnologías a defensores de derechos de la tierra, activistas, periodistas, civiles y hasta a sus propios trabajadores para proteger sus intereses en estos países ante las protestas que generan sus actividades.    

Bajo el pretexto de la innovación y el despliegue de ciudades inteligentes (smart cities) y dado que los gobiernos son muchas veces incapaces de manejar las bases de almacenamiento de los datos que generan estas herramientas, compañías como IBM, Cisco y Microsoft han hecho alianzas con gobiernos de la región  para administrar dichas bases de datos.   

Casos de acuerdos para adquirir herramientas de vigilancia en países de América Latina según el informe:

México

El gobierno de México adquirió un software malicioso (malware) sumamente sofisticado e instrusivo conocido como Pegasus, comercializado por la empresa israelí NSO Group que permite tener acceso irrestricto a dispositivos en los cuales es instalado lo que hace posible activar de manera remota cámaras, micrófonos, sistemas de localización y grabar la información accesada a través del teclado.

Diversas autoridades también adquirieron un malware de la empresa italiana Hacking Team y se presume que se han realizado adquisiciones a la británica Gamma Group de su malware FinFisher.

Argentina

El Ministerio de Defensa argentino firmó un contrato por 5.2 millones de dólares con su contraparte de Israel para proveer servicios de ciberdefensa y ciberseguridad. 

Colombia

Las compañía israelí-estadounidense Verint Systems Ltd proveyó a Colombia de infraestructura crítica de intercepción, lo mismo que las estadounidenses NICE Sytems, Pen-Link y Palantir, las británicas Smith Myers, Network, Critical y Komcept y la finlandesa Exfo.

Chile  

El gobierno chileno inició negociaciones con su contraparte alemana para adquirir tecnologías de vigilancia.

La compañía Global Systems Chile SpA, afiliada a la compañía israelí Rebrisa ha vendido globos de vigilancia a la comunidad de Las Condes en la provincia de Santiago.

Las fuerzas de seguridad pública adquirieron en 2015 un software malicioso de la empresa italiana Hacking Team con el propósito declarado de usarlo como una herramienta para acceder a datos de las IP de usuarios y acceder a información que no se obtendría sin una orden judicial.

Brasil     

Se ha anunciado que el estado de Río de Janeiro en Brasil establecerá una alianza con la compañía de telecomunicaciones Oi Telecom para desplegar una prueba sobre cámaras de reconocimiento facial en el barrio de Copacabana durante el carnaval brasileño.

En 2018, Via Quatro, el principal concesionario del Metro de Sao Paulo instaló un grupo de puertas interactivas que despliegan anuncios comerciales e información en tres estaciones. Esta plataforma utiliza sensores y reconocimiento facial para supervisar las reacciones de los espectadores ante dichos anuncios.

En Río de Janeiro, el programa "Sentinela Carioca" supone el uso de drones para monitorear "lugares concurridos y grandes eventos". El programa permite a los drones volar sobre la capital de Río de Janeiro, recolectando información de automóviles, edificios y de personas.    

El negocio se mantiene

De acuerdo con el informe, en Argentina, México, Brasil, Chile, Colombia, Ecuador, Honduras y Panamá, diversas autoridades, muchas de las cuales no están autorizadas para llevar a cabo labores de vigilancia, han adquirido un poderoso y sofisticado malware comercializado por la empresa Hacking Team. También se menciona el caso de que países como México, Paraguay y Venezuela pudieron ser usuarios del malware FinFisher, de la compañía británica Gamma Group International.

Ecuador, Honduras y Uruguay son otros de los países latinoamericanos que también aparecen en el informe, ya sea porque han adquirido y utilizado alguna de estas tecnologías o porque han entrado en negociaciones con las compañías y los estados que los comercian. Según el documento, “todas las compañías mencionadas continúan vendiendo y apuntando a América Latina para hacer negocios”.   

En el caso de Pegasus, de acuerdo con los más recientes reportes del centro de investigación de la Universidad de Toronto Citizen Lab, uno de los operadores de este malware en México seguía realizando operaciones hasta septiembre del 2018.  

Por esta razón, las organizaciones que firman el informe enlistan una serie de recomendaciones a los estados y a las empresas que comercializan herramientas tecnológicas de vigilancia:

A los estados:

1) Implementar el marco regulatorio adecuado para garantizar la transparencia y la rendición de cuentas en la adquisición de tecnología de vigilancia.

2) Implementar el marco legislativo apropiado para regular e imponer límites al uso estatal de la tecnología de vigilancia, que debe incluir el establecimiento de las garantías necesarias contra el abuso, que incluyen:

Regulación específica sobre el uso de herramientas de vigilancia como piratería, malware, drones y tecnologías biométricas, que incorpore los principios de necesidad y proporcionalidad.

Autorizaciones judiciales independientes y mecanismos de supervisión.

Regulaciones que aseguran que el uso de la tecnología de vigilancia privada sea auditable por los organismos de supervisión.

Transparencia con respecto a las capacidades de vigilancia general del Estado e información significativa sobre el alcance y el alcance del uso de la tecnología de vigilancia privada.

Garantizar que las personas que son objetivos de tecnologías de vigilancia privada sean notificadas y tengan acceso a una remediación.

3) Garantizar la existencia de organismos de supervisión independientes e imparciales, dotados de los poderes necesarios para auditar, investigar y procesar eficazmente cualquier abuso en el uso de tecnologías de vigilancia por parte de actores estatales, lo que incluye tener acceso absoluto a cualquier información, instalación o equipo necesario para llevar sus funciones;

4) Adoptar medidas de diligencia debida en materia de derechos humanos en la adquisición de tecnologías de vigilancia para evaluar y monitorear posibles abusos y / o violaciones a los derechos humanos que ofrece el despliegue de dichas tecnologías.

5) Supervisar e imponer las sanciones adecuadas y garantizar el cumplimiento de las mismas a las empresas que implementan tecnologías privadas de vigilancia para su propio negocio con el fin de violar los derechos humanos y socioambientales. 

A las compañías que comercializan y despliegan tecnologías de vigilancia:

1) Evitar causar o contribuir a los impactos adversos en los derechos humanos derivados del despliegue de las tecnologías que venden y abordar dichos impactos cuando ocurren.

2) Tratar de prevenir o mitigar los impactos adversos en los derechos humanos que están directamente relacionados con el despliegue de las tecnologías de vigilancia que venden, incluso si no han contribuido a esos impactos.

3) Reconocer su responsabilidad y función dado el tipo de tecnología que proporcionan y las consecuencias de la misma, independientemente de su tamaño, contexto operativo, propiedad y estructura.

4) Las empresas solo podrán desplegar herramientas de tecnología de vigilancia si están asociadas con las autoridades públicas, de conformidad con los principios de necesidad y proporcionalidad, así como con las medidas y salvaguardas de transparencia y rendición de cuentas.

5) Establecer políticas y procesos que incluyan:

Un compromiso político para cumplir con su responsabilidad de respetar los derechos humanos, incluida la realización de una investigación propia sobre cualquier supuesto uso indebido de sus productos o servicios y la rescisión de cualquier contrato siempre que sea el caso;

Un proceso de debida diligencia en materia de derechos humanos para identificar, prevenir, mitigar y explicar cómo abordan sus impactos en los derechos humanos.

Contar con mecanismos efectivos de cooperación con respecto a cualquier investigación sobre la adquisición o despliegue de sus productos y servicios;

Establecer mecanismos de remediación para cualquier impacto adverso sobre los derechos humanos que causen o al que contribuyan.

rodrigo.riquelme@eleconomista.mx