Sobre hacking Team en Colombia

2015-07-24 Leer en voz alta

Reclamamos transparencia y garantías en el uso de malware (software malicioso) para el acceso abusivo a sistemas informáticos (hacking) por la inteligencia colombiana

La sociedad civil colombiana, en diversas oportunidades, ha manifestado su preocupación por la debilidad de la legislación de inteligencia frente a consideraciones de derechos humanos. Pese a los abusos protagonizados por el Departamento Administrativo de Seguridad (DAS) con las llamadas ‘chuzadas’, que evidenciaron el uso indebido de la capacidad de inteligencia contra magistrados, periodistas, defensores de derechos humanos y opositores políticos, el actual marco legal colombiano sobre inteligencia no pudo contender nuevas extralimitaciones de las autoridades, como se demostró en el reciente escándalo de ‘Andrómeda’.

El marco legal colombiano actual no permite pensar que hay un panorama adecuado para el uso de tecnologías de vigilancia de última generación extremadamente invasivas en una forma que protejan los derechos humanos de los colombianos y colombianas. El sistema legal de inteligencia ni siquiera cuenta con controles efectivos, independientes y autónomos. Por el contrario, de una parte, las disposiciones legales de inteligencia se han caracterizado por un excesivo celo de confidencialidad y secreto que no permite el correcto monitoreo de estas actividades. De otra, nuestro sistema penal ha reconocido el riesgo de estas tecnologías para la intimidad y la seguridad de la ciudadanía, consagrando como delitos tanto el acceso abusivo a sistemas informáticos, como el desarrollo y circulación de software malicioso (artículos 269E y 269F de la ley 1273 de 2009), siempre que no haya una autorización o facultad expresa, respectivamente. En este contexto, la denuncia sobre la existencia de un sistema de control remoto, proveído por Hacking Team en manos de la inteligencia colombiana provoca sospechas acerca de la imposibilidad del estado de controlar usos indebidos.

La cuestionada empresa italiana ‘Hacking Team’ comercializa herramientas tecnológicas de espionaje y de invasión a la intimidad. Hace unos días su información empresarial fue filtrada por otros hackers, que expusieron en internet 400GB de documentos (ej. facturas, correos electrónicos, código fuente de sus productos, etc.). Esta filtración desveló el uso de estas herramientas por gobiernos alrededor del mundo, entre los que se encuentran algunos latinoamericanos: Chile, Colombia, Ecuador, Honduras, México y Panamá.

El principal producto comercializado por ‘Hacking Team’ es un  un sistema de control remoto conocido como Galileo. Este programa opera a través de un software malicioso, malware o spyware, que infecta el computador o celular de la persona atacada. Una vez comprometido el equipo, el atacante puede acceder abusivamente, a escondidas, al computador o al celular para sustraer datos, mensajes, llamadas y correos. El malware también le da al atacante acceso al micrófono y cámara del dispositivo y al registro del teclado del computador o celular. El software le permite al atacante hacerse a datos personales del individuo atacado, grabar imágenes, audio o cualquier otra actividad que se desarrolle en el computador o celular (o cerca del dispositivo), sin que la persona se percate. Se trata de una herramienta supremamente invasiva lejos de cualquier otra actividad tradicional de espionaje conocida –como el uso de micrófonos o la interceptación de llamadas–. Es eso y mucho más (piense tan solo en la línea de tiempo: no solo se accede a las comunicaciones del futuro, también a las pasadas; no solo a comunicaciones en sí mismas, sino también a las bases de datos, al historial de navegación, etcétera).

La policía, en comunicado de prensa, ha reconocido que adquirió una plataforma tecnológica para potencializar la capacidad de detección de amenazas del terrorismo y la criminalidad organizada en el ciberespacio colombiano. Esta compra se realizó  a través de la empresa colombiana Robotec. Afirmó que la compra tiene fines legales y señaló que la adquisición se hizo a través de un proceso contractual legal. La seguridad nacional y de la ciudadanía es un fin legítimo de los gobiernos, es una obligación de los Estados que debe ser garantizada y requiere de las herramientas necesarias. Sin embargo, la impresionante capacidad de intrusión de Galileo en la vida de las personas y la potencialidad de su abuso obligan al Estado a explicar mucho más. Pareciera que para garantizar la seguridad de la sociedad colombiana debiéramos resignarnos a perder la propia, y esto es un falso dilema.

De los documentos filtrados sabemos que, en Colombia, Galileo ha sido objeto de dos procesos contractuales. El primero con Robotec que está vigente hasta 2016. El otro en proceso de contratación con NICE (empresa israelí) que debería entrar en vigencia este año. Sin embargo, hace falta aclarar y revisar los procesos contractuales, las motivaciones y evaluaciones realizadas por el gobierno para establecer si se ajustan a la ley. La policía aún no ofrece pruebas al respecto. De hecho, contrario a lo que dice la Policía en su comunicado, los correos filtrados muestran relaciones con ‘Hacking Team’, al menos a través de los contratistas de la policía. Finalmente, preocupan supuestos cuestionamientos a las capacidades técnicas de los negociadores del ente colombiano, que ,entre otros temas, no dominan el idioma en que se desarrolla la negociación y se maneja la información del producto.

Adicionalmente, de las filtraciones podemos afirmar que la adquisición del software por la inteligencia de la policía no es la única preocupación. Surgen otras dudas que no han sido respondidas por la policía. Se menciona que el presupuesto de adquisición de Galileo proviene de los rubros de PUMA, una herramienta para procesos penales y no para inteligencia, una herramienta que desde hace meses la fiscalía suspendió porque estableció que podía ser usada en forma inapropiada. En otros correos, se habla de la posible existencia de una oficina de la DEA en el país que tendría acceso a todo el tráfico en línea que pasa por los proveedores de acceso a Internet en Colombia. Son temas que deben ser aclarados sin vacilar.
Pedimos al gobierno colombiano:

  1. Explicar el proceso de compra de Galileo. Especialmente, deben explicar los esfuerzos del Estado colombiano para asegurar la transparencia que facilite el control individualizado y detallado sobre el uso de esta tecnología.
  2. Explicar el uso que se hace de Galileo. Se pone de presente que el uso, producción, adquisición, distribución o tráfico de estas herramientas sin autorización  o facultad legal para ello constituye delito en Colombia de conformidad con la Ley 1273 de 2009. Es importante que el gobierno explique el procedimiento que permite hacer uso legal de herramientas de este tipo y quienes son los organismos autorizados para ello. Debe demostrarse que tal procedimiento se ha cumplido desde la adquisición del mencionado elemento en 2013.
  3. Rendir cuentas sobre los riesgos de vulneración de derechos humanos como la intimidad y el habeas data que acarrea el uso de estas herramientas así como analizar los retos a la seguridad personal que conlleva dicho uso. Con base en este análisis, explicar si en Colombia existen en la actualidad controles para garantizar que esta herramienta -y otras presentes en el mercado y que puedan estar en manos de la inteligencia colombiana- no sean utilizadas para espiar a periodistas, activistas y disidentes sin causa justificada.
  4. Comprometerse a adelantar las reformas y ajustes legales necesarios para impedir al máximo la violación de derechos fundamentales.
  5. Apoyar al Congreso para activar los escasos mecanismos de control legal que permitan indagar la forma como se han usado y se piensan usar estas herramientas en Colombia. 

Además:

  1. Pedimos que cuando se hable del marco legal de inteligencia e investigación criminal en Colombia se haga tanto énfasis en la intimidad y seguridad ciudadana como se hace en la seguridad nacional.
  2. Recordamos que la actividad de inteligencia y la investigación criminal deben estar orientadas por principios como los de necesidad y proporcionalidad que castigan especialmente herramientas tan intrusivas como Galileo.
  3. Insistimos en que el uso de herramientas tecnológicas en la actividad de inteligencia o en la investigación criminal debe estar sujeto a controles estrictos que incluyan la participación de la sociedad civil. 

Creemos que el gobierno tiene la oportunidad y puede aprovechar estas revelaciones en forma positiva para evitar aumentar la vulnerabilidad de la ciudadanía colombiana en el ejercicio de sus derechos constitucionales. Colombia debe fortalecer los derechos a la intimidad, a la libertad de expresión, a la información, la libertad de circulación y la de asociación.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.