El caso Maloof y el software malicioso FinFisher*

CIUDAD DE MÉXICO (Proceso).- Desde finales de 2013, Jesús Robles Maloof, defensor de derechos humanos con amplia presencia en redes sociales, detectó una intrusión atípica en su teléfono celular. Meses después supo que se trataba de un software malicioso llamado FinFisher que se instala en computadoras y celulares y controla toda la información que mana de los usuarios. Y aunque presentó una denuncia ante el Ministerio Público federal, la autoridad ni siquiera instruyó el peritaje para documentar la intrusión. Presente en la historia de México, el espionaje político se modernizó en los años recientes. La tecnología de punta, contratada a corporaciones trasnacionales especializadas en seguridad, hizo masiva la vigilancia, radicalizó la intervención de activistas críticos y opositores, en clara violación a leyes nacionales e internacionales. Además, esa práctica dejó un largo rastro de corrupción y negocios hechos al amparo del poder. La filtración de la base de datos de Hacking­ Team –empresa italiana especializada en espionaje cibernético de la que México es cliente principal de su sistema Da Vinci– la semana pasada detonó el segundo escándalo de intervención masiva de comunicaciones, luego de que en 2013 se descubrió la operación de su competidora, la angloalemana Gamma International, cuyos contratos en México se relacionan con el círculo cercano al entonces secretario de Seguridad Pública, Genaro García Luna. A finales de 2013, Jesús Robles Maloof, defensor de derechos humanos con amplia presencia en redes sociales, detectó una intrusión atípica en su teléfono celular programada para ser notoria. En los meses siguientes se propuso documentar de dónde venía y concluyó que se trataba de un sistema denominado FinFisher. FinFisher es un software malicioso que requiere a los usuarios de computadoras y celulares descargar actualizaciones falsas de fuentes en apariencia fiables, como Adobe o ITunes. Ya instalado, el espía accede y controla en forma remota la computadora o el teléfono, mientras tenga conexión a internet. Así, accede a toda su información, puede activar cámara, micrófono, además de infectar y acceder a la información de sus contactos. La organización no gubernamental Privacy International, dedicada a documentar espionaje gubernamental en 50 países e impulsar iniciativas de protección de datos personales, externó su preocupación en abril de 2013, porque entre 2011 y 2012, los dos últimos años del gobierno de Felipe Calderón, la Secretaría de la Defensa Nacional (Sedena) había gastado 350 millones de dólares en sistemas de vigilancia, con poca transparencia presupuestal y en el uso que se le daba al servicio. Semanas antes, el Laboratorio Ciudadano de la Universidad de Toronto publicó un informe en el cual describió las características de FinFisher y reveló que México era uno de los principales consumidores de ese sistema. Hasta entonces, el caso más escandaloso se relacionaba con la exportación de la mencionada herramienta de espionaje a Bahrein, denunciada por numerosos visores internacionales de derechos humanos. Caso abierto Jesús Robles Maloof no pudo demostrar el origen de la intervención, pues la denuncia que interpuso ante un Ministerio Público federal sirvió de poco y ni siquiera instruyó el peritaje para documentar la intrusión. Pero las evidencias de una violación generalizada llevaron a su organización, Contingente Mx, junto con Propuesta Cívica y Al Consumidor, a denunciar ante el Instituto Federal de Acceso a la Información y Protección de Datos (hoy INAI), por vulneración masiva de privacidad. El caso posibilitó que el INAI indagara a las empresas Iusacel y Telcel, a fin de conocer si sus servidores usaban FinFisher. La denuncia recibió apoyo de organizaciones internacionales. El 3 de julio de 2013, la Comisión Permanente de la Cámara de Diputados exhortó al IFAI a seguir investigando, y al día 10 siguiente solicitó a la Secretaría de Gobernación que presentara un informe sobre vigilancia cibernética y sobre el uso de FinFisher. Además, a la Procuraduría General de la República (PGR) le pidió un informe sobre denuncias por espionaje. Un día después, el 11 de julio, el diario Reforma publicó que activistas de Desobediencia Civil denunciaron haber encontrado rastros de FinFisher en sus compu­tadoras y teléfonos celulares. También se informó que la PGR había pagado hasta entonces 109 millones de pesos (mdp) por el software FinFisher y 93 mdp para un sistema de seguimiento por satélite llamado Hunter Punta Tracking / Locsys. Ambas compras se realizaron a la empresa Obses. En entrevista con Proceso, Robles Maloof asegura que Gobernación y la PGR nunca respondieron a la solicitud de la cámara y acusa la falta de voluntad para concluir la investigación en el IFAI. El caso sigue abierto y sin avances. En tanto, los servidores empleados para el uso de FinFisher siguen activos. El menosprecio a las instituciones se patentó una vez más: requerida por el IFAI para informar si había vendido en México el FinFisher, en mayo de 2013, Obses alegó que sus contratos estaban protegidos por cláusulas de confidencialidad. La consecuencia fue que el IFAI multara a dicha empresa con 1.3 mdp. Durante las semanas de las denuncias y el informe de Toronto, dos altos ejecutivos de Gamma International visitaron diferentes dependencias mexicanas. Según documentó Wikileaks, Carlos Gandini estuvo en febrero de 2013 en México y el técnico Martin Muench (quien desarrolló FinFisher) llegó el 23 de abril y se fue tres días después. Con las rutas de investigación bloqueadas, Robles Maloof encontró otra relación a partir de un pasaje del libro México en llamas, de Anabel Hernández, donde se informa que Obses es una empresa de Gustavo Cárdenas Moreno, familiar de Luis Cárdenas Palomino, uno de los colaboradores más cercanos a García Luna. A decir de la autora, ambos se distanciaron por un pleito relacionado con el reparto de las comisiones de los contratos con Obses. Cárdenas Palomino es cuñado del actual consejero jurídico de la Presidencia de la República, Humberto Castillejos Cervantes.­ Un comparativo realizado por Robles Maloof permitió determinar que FinFisher se vendió al gobierno mexicano en montos cuatro veces superiores a lo que se cotizan en el extranjero. En tanto, organizaciones internacionales que han dado seguimiento al caso señalaron que, conforme a las leyes de la Unión Europea, a las que se atiene Gamma International, sus ventas deben ser directas, sin intermediarios y sólo a gobiernos. Obses operó entonces al margen de acuerdos internacionales. Aun peor. Cuando el 4 de septiembre de 2014, el hacker PhineasFisher anunció que había hackeado a Gamma International, entre sus clientes apareció Cobham Defence Electronics, contratista de servicios e insumos de seguridad en México, de manera que no sólo vendían a gobiernos. Impunidad y el limbo legal Un informe del Monitor Mundial sobre la Sociedad de la Información (MMSI), entregado a la Cámara de Diputados el pasado 14 de abril, advirtió la debilidad del derecho mexicano para proteger a los ciudadanos frente a las tareas de espionaje gubernamental, con base al caso FinFisher: “El espionaje gubernamental es un tema delicado porque no siempre está claro si las autoridades están actuando para proteger los intereses de seguridad nacional o si van más allá de sus obligaciones y comienzan a infringir los derechos humanos de los ciudadanos. “Es precisamente debido a que no siempre son claros los límites y a que las instituciones son falibles, que deberían existir reglas y procedimientos específicos para salvaguardar los derechos humanos, así como las normas de rendición de cuentas y supervisión que el gobierno debe cumplir”. El MMSI es una iniciativa global encabezada por la red de organizaciones ciudadanas Asociación para el Progreso de las Comunicaciones y la organización no gubernamental Instituto Humanista para la Cooperación y el Desarrollo. Cada año, el MMSI emite un informe sobre el estado de la sociedad de la información desde la perspectiva de la sociedad civil y, en su edición de 2014, encargó integrar la situación de México a Monserrat Laguna Osorio y la organización Son Tus Datos, representada por Korina Velázquez, quien lo entregó en el recinto de San Lázaro en abril pasado. Las observaciones del MMSI destacan que la prohibición del espionaje es explícita en la Constitución, también que existe un marco jurídico para protección de datos personales respecto a particulares, pero que en cuanto el espionaje es gubernamental, el marco legal es laxo. La alerta por el ciberespionaje gubernamental no es nueva. La Academia Mexicana de Derecho Informático (AMDI) ha mantenido una serie de observaciones y propuestas desde 2001. Consultado respecto a la contratación de Gamma International y Hacking Team, su presidente, Joel Alejandro Gómez Treviño, subraya la claridad de la garantía de inviolabilidad de comunicaciones estipulada en el artículo­ 16 constitucional. La excepción para la intervención de comunicaciones se establece con el control del Poder Judicial, que se supone debe autorizarla. Sin embargo, advierte que ese tipo de actividades las realizan los gobiernos de manera oculta y al margen de la ley. Pionero en el derecho informático en México, Gómez Treviño llama la atención sobre los recursos pagados a Hacking Team (5.8 millones de euros). “Yo dudo que esa cantidad se traduzca en órdenes de espionaje”, dice. El entrevistado recuerda las cifras de peticiones de investigación que el gobierno hizo a redes sociales recientemente: en 2014, pidió a Facebook información sobre 679 usuarios; en el primer semestre del mismo año había realizado pedimentos sobre 111 cuentas a Google, 460 a Microsoft para 705 usuarios, 89 peticiones a Yahoo y cinco a Twitter. “Resulta preocupante la cantidad de solicitudes para investigar cuentas de redes sociales. Si esto lo hace de manera directa, la cantidad de información con mecanismos subrepticios, ocultos o ahora con lo que sabemos de Hacking Team, debe ser muy superior”, considera Gómez Treviño. Leyes muertas La laxitud del Estado mexicano frente a la práctica de espionaje para darle un uso político no ha variado ni siquiera con los numerosos casos registrados al convertirse en escándalo a partir de filtraciones a la prensa en diferentes coyunturas. A partir del caso FinFisher, un grupo de personas, incluido Robles Maloof, formaron la asociación Enjambre Digital, que integra un informe sobre lo que desde 2013 han podido documentar. Después de más de mil solicitudes de acceso a la información, ya lograron establecer que, entre otras dependencias, Pemex contrató servicios de espionaje. Con las revelaciones de Hacking Team, Enjambre Digital espera avanzar en su diagnóstico, e inclusive promover diferentes denuncias penales por las declaratorias de inexistencia que hicieron numerosas dependencias, expuestas hoy con las facturas filtradas de la base de datos de Hacking Team. “Seguimos teniendo información sobre las compras que hacen los gobiernos sólo a través de investigaciones independientes y filtraciones y no por las obligaciones y responsabilidades de transparencia que los gobiernos tienen sobre la adquisición y operación de estos productos de vigilancia masiva. Por el contrario, el Estado se sigue mostrando omiso a la discusión y a la rendición de cuentas”, observó Enjambre en un comunicado emitido el lunes 6, luego de la filtración de la base de datos de Hacking Team. Por su parte, Gómez Treviño expone una preocupación: de acuerdo a lo filtrado hasta ahora, en el caso de Hacking Team aparecen clientes no autorizados por la Constitución: varias procuradurías estatales están haciendo vigilancia, en especial en zonas de violencia de alto impacto, donde hay menos controles que en el ámbito federal. Robles Maloof advierte que, a diferencia de lo histórico, hoy la situación es peor: “Son diferentes modalidades de tecnología, vulneran las de los contactos, se comunican, son barridos regionales, donde los datos de miles de personas son expuestos. Es una práctica ilegal, desproporcionada. Sabemos con nuestros contactos que los nodos siguen operativos de FinFisher­ y no sólo no hay voluntad sino sigue aumentando la compra. “Da Vinci superó a FinFisher, que fue desplazado como producto, pero sigue siendo usado y comercializado a costos que desconocemos”, dice el activista hackeado. Con un marco regulatorio vigente desde 1996, los numerosos casos denunciados ante la PGR no prosperan y las diferentes reformas legales en las casi dos décadas siguientes han abonado a la proliferación de “escuchas”. Fue el caso de la reciente reforma en materia de telecomunicaciones, una nueva preocupación surgió entre los interesados en el tema, tanto en la clase política como en la sociedad civil, por la redacción del artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, porque su ambigüedad parece autorizar a procuradurías estatales a tramitar, sin orden judicial, geolocalizaciones, escuchas e intervención de comunicaciones. *Este reportaje se publicó en la edición 2019 de la revista Proceso del 11 de julio de 2015.