En marzo de 2013, el Citizen Lab de la Universidad de Toronto publicó el informe For Their Eyes Only: The Commercialization of Digital Spying (Sólo para sus ojos: La comercialización del espionaje digital). Para México, el reporte marcaba un momento de inflexión sobre tecnologías de vigilancia en el país: los investigadores denunciaban haber encontrado el software de vigilancia FinFisher operando dentro de dos redes de telecomunicaciones: Iusacell y UniNet (una filial de Telmex).

Por: Pepe Flores, Digital Rights Latin America & The Caribbean*

FinFisher es un software de espionaje de la empresa Gamma International que se vende –supuestamente– a oficiales de seguridad nacional. El programa se instala en los dispositivos de la persona vigilada (teléfono celular, ordenador) haciéndose pasar por un programa legítimo. Por ejemplo, en mayo de 2013 la Fundación Mozilla denunció que FinFisher suplantó la marca Firefox para pasar inadvertido. Una vez que FinFisher se aloja en el dispositivo, le da control remoto al atacante, permitiéndole grabar conversaciones; tener acceso a los archivos guardados; descargar listas de contactos, correos electrónicos, mensajes de texto, entre otros contenidos. FinFisher también puede intervenir la cámara web y el micrófono del aparato infectado.

El hallazgo movilizó a activistas mexicanos a realizar una petición al Instituto Federal de Acceso a la Información (IFAI, hoy INAI) en 2013 para que iniciara una investigación pertinente, sobre todo, por la sospecha de que activistas, periodistas y defensores de derechos humanos fuesen blanco de este programa. El abogado Jesús Robles Maloof publicó la columna “Sonríe, te están espiando”, en la que señalaba que FinFisher pudo haber sido adquirido por el gobierno federal o por algún gobierno estatal; o incluso, por algún organismo de la delincuencia organizada.

Estas revelaciones hicieron que el diputado Juan Pablo Adame lanzara un punto de acuerdo para que la administración federal rindiera un informe sobre el uso de FinFisher en actividades de recolección de inteligencia, exhortando tanto al IFAI como a la Secretaría de Gobernación a indagar acerca del tema. En ese mismo mes, integrantes del grupo Desobediencia Civil reportaron haber encontrado rastros del spyware en sus teléfonos móviles y en sus computadoras.

Sin embargo, dos años han pasado y sigue la incertidumbre sobre la rendición de cuentas del gobierno en la adquisición y uso de FinFisher. Recién en abril de 2015, la Comisión Especial de Agenda Digital y Tecnologías de la Información de la Cámara de Diputados –presidida, justamente, por Adame– recibió a diversos especialistas para tocar el tema de FinFisher. Ante los legisladores, La organización SonTusDatos presentó el informe Global Information Society Watch 2014. Communications surveillance in the digital age. (GISWatch 2014).

Durante su intervención en la reunión con la Comisión Especial de Agenda Digital y Tecnologías de la Información de la Cámara de Diputados, Korina Velázquez de la organización SonTusDatos enfatizó que “México tiene la presidencia de la AGA, que es la Alianza por el Gobierno Abierto. En este sentido sería totalmente congruente que el gobierno mexicano intentara resolver algunos temas como la poca transparencia y rendición de cuentas por parte del gobierno para hacer compras y uso de software de vigilancia. No se sabe cuánto se gasta, en qué se gasta, a quién se vigila y con qué fin se vigila.” Sin embargo, la investigación sobre FinFisher –que continúa en curso– no ha mostrado intencionalidad por parte del gobierno para esclarecer los puntos comentados.

El capítulo referente a México del GISWatch 2014, elaborado por Korina Velázquez, Cédric Laurant y Monserrat Laguna Osorio, detalla que una investigación periodística del diario Reforma, publicada en julio de 2013, halló que Obses de México vendió FinFisher a la Procuraduría General de la República, así como a otras instancias de seguridad en el país. IFAI investigó a la empresa Obses, que falló en proveer información suficiente sobre las transacciones y fue multada con aproximadamente 100,000 USD por obstrucción de la investigación.

La comercialización por parte de Obses contradecía las supuestas políticas de no reventa de Gamma International. Ante un cuestionamiento de Privacy International frente a la Organización para la Cooperación y Desarrollo Económicos (OCDE) sobre la compra de FinFisher por parte de países como Baréin, Gamma International afirmó que únicamente proveía servicios a fuerzas de seguridad en estados soberanos, argumentando que hay naciones que emplean copias no legítimas de su software. Sin embargo, una posterior filtración de WikiLeaks en septiembre de 2014 mostró que Gamma International sí está al tanto de quiénes distribuyen su software y con qué propósitos; además de notificar sobre la visita de los dueños de esta empresa en instalaciones gubernamentales de México en 2013.

Una investigación independiente conducida por ContingenteMX y Propuesta Cívica halló que FinFisher había sido empleado por al menos cuatro dependencias de seguridad en México: la Secretaría de Seguridad Pública, la Procuraduría General de la República, el Centro de Investigación y Seguridad Nacional, y el Estado Mayor Presidencial. Por su parte, las empresas implicadas en el caso mexicano (Uninet y Iusacell) respondieron en agosto de 2013 que no tenían equipos con FinFisher instalado dentro de sus centros de datos, pero como señaló el activista Jacobo Nájera, tampoco descartaron la posibilidad de que alguno de sus usuarios lo estuviera haciendo. Así mismo, el Citizen Lab reportó que, al menos hasta septiembre de 2013, se tenía información de que el programa seguía activo dentro de las redes monitoreadas.

Entre enero y junio de 2014, los abogados Luis Fernando García y Jesús Robles Maloof realizaron un informe sobre tecnologías de vigilancia en México, citando el caso de FinFisher, entre otros. “La información obtenida a través de la investigación ha hecho posible documentar que hay una alta presunción de que las medidas de vigilancia son usadas con fines políticos contra grupos determinados”, señalan en las conclusiones. “Hay indicios suficientes de que las medidas de vigilancia son usadas contra defensores de derechos humanos, activistas y periodistas.”

Así mismo, un reportaje de agosto de 2014 de la periodista Martha Martínez en Reforma (original y libre acceso) señala que “la intervención ilegal de comunicaciones privadas no es un tema presente en la agenda del gobierno federal y el Congreso” y que probablemente “esto se debe a que el espionaje es un arma que también utilizan los encargados de sancionar este delito.”

El reporte de García y Robles también sitúa a México entre los cinco principales compradores de tecnologías de vigilancia, señalando un incremento en su adquisición por parte de los gobiernos federal, estatal y municipal. El documento indica que hay indicios de que estos métodos están siendo empleados al menos en las entidades de Chiapas, Coahuila, Quintana Roo, Puebla, Tamaulipas y Veracruz; mientras que la fiscalización del uso apropiado está en entredicho por la carencia de un esquema legal que permita la transparencia y la rendición de cuentas. Al respecto, también se mencionó ante la comisión de diputados que “los viajes documentados en las filtraciones de WikiLeaks [en 2014] hacen que México quede a nivel de Siria, Rusia, China” respecto a los países que adquieren tecnologías de vigilancia.

Desafortunadamente, como se ha expuesto en estas líneas, el caso FinFisher evidencia el poco compromiso de las autoridades mexicanas con la transparencia y rendición de cuentas en la compra y utilización de tecnologías de vigilancia; sobre todo, en una administración cuyo historial de espionaje y violación a la privacidad fomentan una duda razonable sobre el uso ilegal de estas herramientas. Mientras tanto, este tipo de programas y dispositivos siguen en manos de los gobiernos sin ninguna garantía de fiscalización ni posibilidad de documentar sus abusos. Así que, a dos años de la denuncia original, cierro con una lamentable continuación de la célebre columna de Robles: Sonríe, te siguen espiando.

*Pepe Flores (@padaguan) es editor de Digital Rights Latin America & The Caribbean desde marzo de 2015. Es coordinador editorial de FayerWayer y ha reportado el tema de FinFisher en México desde 2013 en diferentes medios de comunicación en línea.