Introducción
El OSINT, Open Source INTelligence o Inteligencia de Fuentes Abiertas, consiste en una serie de técnicas para recolectar y analizar datos que se encuentren alojados en fuentes de información de libre acceso. En la actualidad, suele realizarse mediante software aplicados a la web, los cuales extraen y descargan información de fuentes públicas de Internet, como redes sociales.
Cuando el Estado usa herramientas OSINT contra la ciudadanía, puede tratarse de un caso de vigilancia masiva dado que este tipo de programas recolectan de forma indiscriminada, y sin que exista una justificación legal para ello, datos e información privada de miles y miles de ciudadanos.
En el caso Colombiano, el Estado suele llamar al uso de software de fuentes abiertas como Ciberpatrullaje. Desde Fundación Karisma, hemos identificado y analizado cinco contratos recientes para ello. Las entidades que compraron OSINT fueron el Comando Conjunto Cibernético (CCOCI), la Dirección de Investigación Criminal e Interpol (DIJIN), el Ejército Nacional, la Policía Nacional y la Fiscalía. Además, si se tiene en cuenta la solicitud de asistencia técnica para su uso de OSINT que hizo Colombia ante la ONU, podemos advertir que es posible que el Estado continúe usando estas herramientas.
Dado el impacto negativo en los derechos humanos que puede tener el OSINT contra las personas por parte del Estado, es muy importante que desde la sociedad civil se pueda controlar y hacer veeduría sobre la compra y uso de estos programas.
En línea con lo anterior, publicamos el informe, “Cuando el Estado vigila Ciberpatrullaje y OSINT en Colombia”, que aborda en profundidad las capacidades del Estado para monitorear internet y las implicaciones en los derechos de la ciudadanía, sobre todo porque se trata de una actividad no regulada. Ahora, en esta tercera entrega sobre este tema, nos concentramos en exponer de forma breve cinco problemas de transparencia que encontramos con motivo de contratación y uso de OSINT en Colombia:
Es muy difícil saber con exactitud qué software OSINT adquiere el Estado dado que las especificaciones técnicas son reservadas
Del análisis de los contratos para adquirir herramientas OSINT identificados, pudimos establecer que las autoridades con frecuencia declaran reservada las especificaciones de los productos que contratan. De los cinco documentos que encontramos, en dos (CCOCI y Ejército), hay reserva en los aspectos técnicos de la contratación y únicamente los oferentes de estas tecnologías, pudieron tener acceso a dichas especificaciones bajo compromiso de confidencialidad; adicionalmente, el Ejército también solicitó la reserva de la necesidad.
La reserva de información impide saber qué herramienta o productos tienen las entidades en su poder, debido a que en la mayoría de los casos no se adquiere un producto determinado, sino que se solicita que cumpla con ciertas funciones. Esto quiere decir que tenemos idea de qué quiere el Estado y es posible contratar con el catálogo del contratista, pero en cuatro de los cinco contratos no sabemos con exactitud qué se compró ni cuáles son las capacidades reales de dichos programas.
Un ejemplo de esto es el contrato del Comando Conjunto Cibernético con la empresa, Desarrollo e Integración de Tecnología y Comunicaciones S.A.S. (Deinteko), firmado el 31 de marzo de 2020 con el objetivo de la “adquirir servicio a la plataforma de inteligencia DEEP-DARWEB/FUENTES ABIERTAS- de acuerdo con la especificaciones técnicas reservadas”. En este caso el CCOCI clasificó las especificaciones del producto comprado, sin justificación detallada, como reservadas, razón por la cual no es posible acceder a la totalidad de la información en el SECOP; solo se encuentra información limitada.
Las solicitudes de información pública sobre información contractual de tecnología del Estado son inefectivas
Durante la investigación, desde Fundación Karisma enviamos derechos de petición a 10 entidades: Fiscalía General de la Nación, Ministerio de las TIC, Presidencia de la República, Policía Nacional, DIJIN, Ejército Nacional, Fuerza Aérea Colombiana, Comando General de las Fuerzas Militares, Dirección Nacional de Inteligencia y Ministerio de Defensa Nacional. En los 10 casos, solicitamos información acerca de los procesos de contratación mediante los cuales cada entidad hubiera cotizado o adquirido, desde enero de 2019 hasta agosto de 2022, tecnología que le permitiera llevar a cabo monitoreo de internet.
Además, preguntamos sobre el tratamiento de la eventual información monitoreada, del rol de las tecnologías en su participación en el PMU-Ciber y sobre los criterios usados para el monitoreo en internet. Las peticiones replicaban el lenguaje usado en los objetos de los contratos previamente encontrados, pero sólo tres entidades remitieron una parte de su contratación (un contrato cada una). Mientras que, las demás se negaron a hacerlo señalando que trás revisar los archivos físicos y digitales no encontraron en sus registros procesos relacionados con los objetos de la petición.
La negativa en el reporte se dió a pesar de que, en casi todos los casos, Karisma ya había encontrado contratos para adquirir herramientas de este tipo por las entidades consultadas. Este comportamiento de las entidades del Estado, al responder negando la existencia de información disponible, evidencia una práctica repetida que vulnera el derecho a obtener respuestas de fondo, claras, completas y oportunas conforme a lo determinado por la Constitución y la ley.
Este tipo de comportamiento de las autoridades no solo tiene implicaciones individuales, sino que afecta también pilares de la democracia como lo son acceder a información pública y a hacer solicitudes a las autoridades. Además es un problema especialmente grave si consideramos que este es uno de los pocos controles que existen para las actividades de vigilancia del Estado.
Puede que algunos contratos no hayan sido publicados en el SECOP argumentando motivos de seguridad nacional
La Dirección Nacional de inteligencia -DNI-, es la única entidad de la cual no encontramos contratos referentes a OSINT en el periodo de estudio. Que la DNI, entidad que se encarga de labores de inteligencia y contrainteligencia para proteger los derechos y libertades de los ciudadanos y de las personas residentes en Colombia, no cuente con herramientas OSINT, pero sí otras entidades como la DIJIN o Fiscalía, resulta inesperado y nos motiva a considerar que, dada la alta opacidad del Estado colombiano, es probable que si esta entidad cuenta con contratos de este tipo no los haya subido al SECOP argumentando confidencialidad por seguridad nacional. Después de todo, la naturaleza del OSINT, que da la posibilidad de ser usada para la vigilancia de personas o para recabar información en operativos de inteligencia estatal, permite pensar que algunas autoridades pueden usar la excepción de seguridad nacional o de gastos públicos reservados como justificación para no hacer públicos estos contratos.
Un indicio de ello, lo dió a conocer El Espectador en una publicación conjunta con Forbidden Stories en donde señaló que según la documentación que obtuvieron existen referencia que la empresa Mollitiam ha contratado este tipo de sistemas con la DNI.
A pesar de los esfuerzos de Fundación Karisma por encontrar la mayor cantidad de contratos posibles sobre OSINT, creemos que los cinco contratos que encontramos son apenas una muestra de la totalidad de las facultades adquiridas por el Estado. De forma tal que todos los hallazgos que presentamos no son nada más que la punta del iceberg de los problemas con la adquisición y uso de programas OSINT en el país.
La tecnología de ciberpatrullaje se adquiere por la modalidad de contratación directa evitando así otros controles democráticos
De los cinco contratos que encontramos, tres se celebraron bajo la modalidad de contratación directa y dos por selección abreviada de menor cuantía. Dado que los pliegos de condiciones de los procesos de contratación suelen ser muy específicos, este proceso se hace de forma directa con casi siempre las mismas empresas, ya que son las las únicas representantes de un producto concreto. En la investigación de Karisma la tendencia en las modalidades de contratación terminaron beneficiando tecnología de origen israeli y a la empresa DEINTEKO SAS, como contratista recurrente. Este sistema de contratación, nos plantea serias incertidumbres porque elimina la posibilidad de la competencia, afecta el control de precios, lo que puede facilitar escenarios de corrupción.
Adicionalmente, cabe resaltar que los contratos de OSINT suelen ser multimillonarios. En los casos de la DIJIN y la Policía la modalidad de contratación fue selección abreviada por mínima cuantía, pero el valor estimado de los contratos respectivamente fue de $3.992.900.000 y $4.385.742.606.
Además, en los casos en que no hay multiplicidad de oferentes no se sube la información de las propuestas al SECOP y se limita, de nuevo, la posibilidad de contratar y revisar qué está comprando el Estado.
No está claro quién usa la herramienta o por qué se relaciona con sus competencias
Las herramientas de OSINT que el Estado colombiano ha adquirido, no solo tienen la capacidad de buscar información en internet, sino que permiten también acciones como perfilamientos y desanonimización de las personas, localización de perfiles y eliminación de datos de las búsquedas hechas por el Estado. Sin embargo, de la información precontractual y contractual publicada en el SECOP, nos quedan muchas dudas sobre cómo usan estas herramientas, hacía quién apuntan, y en ocasiones, incluso, en el marco de qué facultades legales es en el que las entidades implementan su uso. Es importante extender la transparencia a la ejecución de estos contratos para saber el cómo, con qué frecuencia y hacía quién se usa el OSINT por parte del Estado.
La falta de transparencia, ya no sobre qué y cómo se está contratando, sino sobre cómo se usan los software OSINT, también nos plantea dudas sobre qué tipo de categorías o publicaciones en línea están siendo sistematizadas y por orden de quién. Si tenemos en cuenta que algunas de las adquisiciones de los organismos de seguridad tienen modalidades de perfilamiento, hacen búsquedas anónimas, intentan localizar y relacionar cuentas, es sumamente importante, dado el historial del Estado colombiano, que los software no se utilice contra la ciudadanía, personas opositoras, periodistas o activistas.
Lamentablemente, las investigaciones que han adelantado la Fundación para la Libertad de Prensa y ElEspectador demuestran que los software OSINT ya se han utilizado en contra de personas activistas y periodistas. Por lo tanto, es imperativo que se regule el uso y se creen mecanismos de contrapeso en el Estado y de veeduría desde la ciudadanía.
La transparencia es una garantía del respeto a los derechos humanos
Existe una necesidad latente de que las entidades estatales, en particular aquellas con facultades militares, de inteligencia y de investigación, cumplan con sus obligaciones constitucionales de transparencia para la adquisición y uso de herramientas tecnológicas. En especial de aquellas cuyas capacidades permiten actividades ilegales como la vigilancia masiva o que ponen en riesgo los derechos de la ciudadanía, como es el caso de los software OSINT.
La falta de transparencia sobre la adquisición y uso de tecnologías crean un ambiente de desconfianza y pone en duda la legitimidad de las actuaciones estatales. Además, sirve como obstáculo para el control por parte de la ciudadanía, puesto que, la falta de recursos para encontrar información relacionada con el Estado, imposibilita el ejercicio de veeduría y participación ciudadana.
Por tanto, es imperativo publicar toda la información contractual y crear mecanismos que permitan el seguimiento de los usos de las herramientas tecnológicas. Además es necesario empezar a discutir mecanismos de control en la adquisición y uso de tecnologías, entendiendo las necesidades técnicas del Estado, pero siempre con una perspectiva de derechos humanos.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: La punta del iceberg. Los problemas de transparencia del OSINT en Colombia
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co
Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok.