Por: Carolina Botero
Acceder a la publicación original de esta columna de opinión.
Con el ciberpatrullaje nos familiarizamos en Colombia desde la pandemia por Covid19 y luego durante el Paro Nacional de 2021 porque supimos que el Ministerio de Defensa monitorea internet para decidir qué era verdad y qué no en los contenidos que circulaban en internet (además durante la protesta analizaba miles de videos para identificar responsables de “actos de vandalismo”). El director de la Policía llegó a describir el ciberpatrullaje como “patrullar internet como lo hacen en la calle”. Sin embargo, la realidad es que va más allá.
Karisma, donde trabajo, publicó “Cuando el Estado vigila” un informe en el que se analiza el ciberpatrullaje a la luz de la tecnología que lo facilita, el OSINT, pues creemos que esa es la forma de saber realmente qué es lo que están haciendo.
Por OSINT, se conoce al Open Source INTelligence o Inteligencia de Fuentes Abiertas que consiste en una serie de técnicas para recolectar y analizar datos que se encuentren alojados en fuentes de información de libre acceso con fines ofensivos o defensivos. En la actualidad la fuente abierta más conocida en internet son las redes sociales, monitorear lo que la gente sube a estos espacios públicos.
Queríamos ir más allá de lo que diga el marco jurídico o las propias autoridades, para entender cuál es la real capacidad tecnológica del Estado para monitorear internet a través de los contratos de adquisición de herramientas OSINT. No sin importantes barreras, debido a la falta de una efectiva transparencia en la contratación pública, encontramos cinco contratos de este tipo adquiridos por: el Comando Conjunto Cibernético, la DIJIN, el Ejército Nacional, la Policía Nacional y la Fiscalía General de la Nación.
Estos contratos muestran que las autoridades adquieren estas herramientas para tener capacidades para las que las entidades no tienen facultades legales, vimos objetos contractuales abiertamente ilegales y también confirmamos que el OSINT se usa como parte del manejo de la “marca” de las entidades con el propósito de cuidar su “buen nombre” aunque ellas no tienen tal derecho y ahora sabemos también que no se trata solo de cuidar la marca. Con OSINT las entidades adquieren capacidades de monitoreo masivo con fuentes abiertas para perfilar, des-anonimizar perfiles, localizar usuarios de internet, en algunos contratos incluso piden capacidades para ocultar las huellas de sus actividades.
Técnicamente los programas adquiridos por el Estado son herramientas con “crawlers” – que hacen búsquedas, indexación y etiquetamiento automatizado de contenido en la web-, que monitorean constantemente para generar alertas, identificar actores definidos y hacer perfilamientos, algunos piden capacidades para investigar desde el anonimato. También vimos requerimientos contractuales para que las búsquedas en redes sociales eviten los controles de las plataformas, respecto de bots por ejemplo, es decir, solicitan que se violen las normas comunitarias de esos sitios.
Lo que aprendimos fue que las autoridades encargadas de responder a la inconformidad social adquieren capacidades de vigilancia masiva sin que paralelamente el Estado desarrolle un marco jurídico garantista que reglamente tales capacidades en el marco de los estándares internacionales de derechos humanos: legalidad, necesidad y proporcionalidad. Tampoco contamos con mecanismos de control, seguimiento o remedio para los posibles abusos. Se estableció también que algunas de estas herramientas que se presentan como OSINT, en la práctica, incluyen capacidades que van más allá de la información pública y permiten cruzar esa información con otra de fuentes cerradas, lo que aumenta la capacidad del sistema.
Veamos por ejemplo lo que aprendimos del contrato mediante el cual el Ejército Nacional adquirió un software OSINT producido por la compañía española 4IQ (hoy conocida como Constella Intelligence).
En la Resolución de apertura del proceso se justifica la compra para “fortalecer las capacidades de guerra electrónica del ejército nacional” y se solicita que el objeto del contrato sea reservado por motivos de seguridad nacional. La reserva fue aceptada pues ya en el Estudio Previo la justificación es: “averiguar lo que las personas están diciendo”, proporcionando a la fuerza información adicional en caso de un suceso que las relacione, para “saber quiénes están hablando de la institución y los hechos que las rodean”. El contrato indica que el propósito era reaccionar rápidamente a crisis sociales y hechos dañinos, se buscaba monitorear fuentes consideradas “competencia o el enemigo”, saber qué información se publica y cómo están siendo percibidos. Sí, entre las capacidades está encontrar trinos que se califiquen como “falsos”, y hayan sido publicados por “enemigos”. Aunque cambió la justificación, la nueva no deja de preocupar.
Al mirar cómo ofrece Constella Intelligence su producto, confirmamos los propósitos. Algunos de sus productos se venden como herramientas para realizar Monitoreo de Inteligencia Geopolítica. La descripción de los productos en su sitio web se acompaña con imágenes de protesta social y párrafos en donde el ejercicio de este derecho se presenta como un problema que puede dañar la reputación de una marca.
Es decir, el Ejército contrató tecnología OSINT que ofrece una empresa internacional como un producto customizado para este tipo de clientes. Se trata de vigilar a las personas que ejercen su derecho a la protesta o expresan su opinión a través de medios digitales, a quienes ven como “enemigos” en un lenguaje de guerra. El objeto es evidentemente ilegal pues busca monitorear la opinión pública sobre el ejército en respuesta a crisis sociales. Sin olvidar que su motivación reservada es la de adquirir capacidades de ciberguerra, la cual entendemos que piensa usar contra la ciudadanía.
El Ejército tenía este software durante el Paro Nacional de 2021 cuando la CIDH en su visita al país con ocasión de esta protesta, incluyó en su informe la recomendación 40 en la que solicita “Cesar las actividades de categorización policial de contenidos como “falsos” o “verdaderos” y abstenerse de asignar calificaciones estigmatizantes o tendientes a la criminalización de quienes se expresan a través de internet sobre las protestas.” Lo que sabemos ahora es que la CIDH se quedó corta, bajo la etiqueta de “ciberpatrullaje” las autoridades han desarrollado importantes capacidades de vigilancia masiva que van más allá de ser policías de la verdad.
Entonces, no solo en Colombia no hay un marco jurídico garantista en materia de capacidades de inteligencia, sino que se viene adquiriendo tecnología con propósitos ilegales, no de otra forma se pueden calificar las narrativas en las que se ve a la ciudadanía como amenaza y un enemigo a vencer. Las herramientas OSINT se nos presentan como tecnologías que se basan en información disponible públicamente y, que, por tanto, no tienen ninguna restricción. Sin embargo, ver el OSINT solo desde esta característica minimiza su contexto e impacto en términos de vigilancia de las personas. Lo que es claro es que el marco legal colombiano debe actualizarse para contemplar las capacidades tecnológicas actuales y evitar sus abusos. Para profundizar, recientemente la FLIP y El Espectador también han hablado de este tipo de vigilancia.
A continuación, puedes acceder a todos los detalles del informe: Cuando el estado vigila. Ciberpatrullaje y OSINT en Colombia.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Cuando el Estado vigila: el ciberpatrullaje.
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co
Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok