Em março de 2013, o Citizen Lab da Universidade de Toronto publicou o relatório For Their Eyes Only: The Commercialization of Digital Spying (Sólo para sus ojos: La comercialización del espionaje digital). Para o México, o relatório assinalou um momento decisivo nas tecnologias de vigilância no país: os pesquisadores afirmam ter encontrado o software de vigilância FinFisher operando dentro de duas redes de telecomunicações: Iusacell e UniNet (uma filial da Telmex).

Por: Pepe Flores, Digital Rights Latin America & The Caribbean*

FinFisher é um de software de espionagem da empresa Gamma International, vendido, supostamente, aos funcionários de segurança nacional. O programa é instalado nos dispositivos da pessoa sob vigilância (telefone celular, computador) passando-se como um programa legítimo. Por exemplo, em maio de 2013 a Fundação Mozilla Firefox denunciou que o FinFisher substituiu a marca Firefox para passar despercebido. Uma vez que o FinFisher fica no dispositivo, dá o controle remoto ao invasor, o que lhe permite gravar conversas; ter acesso a arquivos armazenados; baixar listas de contatos, e-mails, mensagens de texto e outros conteúdos. FinFisher pode também intervir na webcam e no microfone de uma máquina infectada.

A descoberta mobilizou ativistas mexicanos a realizarem uma petição ao Instituto Federal de Acesso à Informação Pública (IFAI, hoje INAI) em 2013 para iniciar uma investigação relevante, especialmente pela suspeita de que ativistas, jornalistas e defensores dos direitos humanos foram alvos deste programa. O advogado Jesus Robles Maloof publicou a coluna “Sorria, você está sendo espionando”, onde afirmou que o FinFisher poderia ter sido adquirido pelo governo federal ou qualquer governo estatal; ou mesmo por um corpo de crime organizado.

Estas revelações fizeram com que o deputado Juan Pablo Adame lançasse um ponto de acordo para que o governo federal emitisse um relatório sobre o uso de FinFisher em atividades de coleta de informação, incitando tanto o IFAI e a Secretaria do Interior para obter informações sobre o assunto. No mesmo mês, os membros do grupo Desobediência Civil relataram a descoberta de vestígios de spyware em seus telefones celulares e em seus computadores.

No entanto, dois anos se passaram e continua a incerteza sobre a responsabilidade do governo na aquisição e utilização do FinFisher. Apenas em abril de 2015, a Comissão Especial para a Agenda Digital e Tecnologia da Informação da Câmara dos Deputados -presidida justamente por Adame- recebeu vários especialistas para levantar a questão do FinFisher. Perante os legisladores, a organização SonTusDatos apresentou o relatório Global Information Society Watch 2014. Communications surveillance in the digital age. (GISWatch 2014).

Durante sua intervenção na reunião com a Comissão Especial para a Agenda Digital e Tecnologia da Informação da Câmara dos Deputados, Korina Velázquez da organização SonTusDatos enfatizou que “o México tem a presidência da AGA, que é a Aliança para o Governo Aberto. Nesse sentido seria inteiramente coerente que o governo mexicano tentasse resolver alguns problemas, como a falta de transparência e prestação de contas por parte do governo para fazer compras e utilizar software de monitoramento. Não se sabe o quanto é gasto, onde ele é gasto, para quem e com que finalidade se monitora.” No entanto, a investigação sobre FinFisher, que continua em curso, não tem mostrado qualquer vontade por parte do governo para esclarecer os pontos comentados.

O capítulo referente ao México do GISWatch 2014, elaborado pelo Korina Velázquez, Cédric Laurant e Montserrat Laguna Osorio, declara que uma reportagem investigativa do jornal Reforma, publicada em julho de 2013, descobriu que a empresa Obses de México vendeu o FinFisher para a Procuradoria Geral da República, bem como a outras agências de segurança do país. O IFAI investigou a empresa Obses, que falhou em fornecer informações suficientes sobre as operações e foi multada em aproximadamente 100 mil USD por obstruir a investigação.

A comercialização por parte de Obses contradiziam as supostas políticas de não revenda da Gamma International. Ante um questionamento da Privacy International frente à Organização para a Cooperação e Desenvolvimento Econômico (OCDE) sobre a compra de FinFisher por parte de países como Bahrein, a Gamma International disse que os serviços são prestados apenas a forças de segurança em Estados soberanos, argumentando que há nações que utilizam cópias não-legítimas de seu software. No entanto, uma subsequente filtragem do WikiLeaks em setembro 2014 mostrou que a Gamma Internacional tem conhecimento de quem distribui seu software e para que fins; além de informar sobre a visita dos proprietários da empresa em instalações do governo no México em 2013.

Uma investigação independente conduzida pelo ContingenteMX e Propuesta Cívica descobriu que o FinFisher tinha sido empregado por pelo menos quatro agências de segurança no México: Secretaria de Segurança Pública, Gabinete do Procurador-Geral, o Centro de Investigação e Segurança Nacional e o Estado-Maior presidencial. Por seu lado, as empresas envolvidas no caso mexicano (Uninet e Iusacell) responderam em agosto de 2013 que não tinham nenhum equipamento com FinFisher instalado em seus centros de dados, mas como observou o ativista Jacob Najera, não descartaram a possibilidade de que alguns de seus usuários estavam fazendo isso. Da mesma forma, o Citizen Lab informou que, pelo menos até setembro de 2013, teve informações de que o programa ainda estava ativo dentro das redes monitoradas.

Entre janeiro e junho de 2014, os advogados Luis Fernando Garcia e Jesus Robles Maloof realizaram um relatório sobre as tecnologias de vigilância no México, citando o caso do FinFisher, entre outros. “As informações obtidas por meio da pesquisa, tornaram possível documentar que existe uma forte presunção de que as medidas de vigilância são usadas para fins políticos contra grupos específicos”, assinalam nas conclusões. “Há provas suficientes de que as medidas de vigilância são usadas contra defensores dos direitos humanos, ativistas e jornalistas.”

Da mesma forma, um relatório de agosto 2014 da jornalista Martha Martinez no Reforma (original e acesso livre) afirma que “a intervenção ilegal de comunicações privadas não é um problema na agenda do governo federal e do Congresso” e provavelmente “isso é porque a espionagem é uma arma que os responsáveis por punir este crime também utilizam.”

O relatório de García e Robles também situa o México entre os cinco principais compradores de tecnologias de vigilância, observando um aumento da sua aquisição pelos governos federal, estadual e municipal. O documento indica que há indícios de que esses métodos estão sendo usados, pelo menos, nos estados de Chiapas, Coahuila, Quintana Roo, Puebla, Tamaulipas e Veracruz; enquanto o controle do uso adequado é desafiado pela falta de um enquadramento legal que permita a transparência e a prestação de contas. A respeito disso, também se mencionou à comissão de deputados que ” viagens documentadas nas filtragens do WikiLeaks [em 2014] fazem com que o México fique no nível da Síria, Rússia, China” em relação aos países que adquirem tecnologias de vigilância.

Infelizmente, como discutido nestas linhas, o caso FinFisher mostra a falta de compromisso das autoridades mexicanas para com a transparência e a responsabilidade na compra e utilização de tecnologias de vigilância; especialmente em uma administração cujo histórico de espionagem e violação de privacidade incentivam uma dúvida razoável sobre o uso ilegal destas ferramentas. Enquanto isso, esses programas e dispositivos permanecem nas mãos dos governos sem garantia de controle nem possibilidade de documentar seus abusos. Então, dois anos após a denúncia inicial, eu fecho com uma continuação infeliz da famosa coluna de Robles: Sorria, você ainda está sendo espionado.

*Pepe Flores (@padaguan) é editor da Digital Rights Latin America & The Caribbean desde março de 2015. É coordenador editorial da FayerWayer e relata a questão do FinFisher no México desde 2013, em vários meios de comunicação online.