¿Cómo espía el gobierno de México?
El gobierno mexicano se ha visto involucrado en varias ocasiones en compra de software espía. Y el país también ha sido espiado por otros gobiernos y organizaciones extranjeras. Un resumen.
Diversos capítulos de compra de espionaje
Pegasus. A mediados de este mes de septiembre, se conocía la noticia de que la Procuraduría General de la República (PGR) durante la Administración de Jesús Murillo Karam había adquirido el software de nombre Pegasus, el cual, según los conocedores, destaca por ser el más sofisticado en el mercado y que es capaz de escuchar, ver, capturar texto, imagen y contactos de cualquier teléfono inteligente.
Esta solución ha sido desarrollada por la firma israelí NSO Group, pero lo que no han preciado los medios que se hicieron eco de esta información, no se precisó la institución responsable de adquirirlo. Se dice que el PGR pagó 15 millones de dólares por este sistema de intercepción. Se cree que estas compras pudieron haber sido en 2014 y en 2015.
Zamir Dahbash, vocero de NSO Group, explicó que la venta de este spyware se limitaba a Gobiernos autorizados y que se usaba únicamente para investigaciones criminales y sobre terrorismo.
Hacking Team. Esta no es la primera vez que el gobierno mexicano se ve implicado en la compra de software de espionaje. El pasado año, una de las más importantes compañías de hackers del mundo sufrió de su propia medicina. La firma Hacking Team recibió un ataque y se pudieron desvelar muchas informaciones secretas y muchas de ellas relacionadas con América Latina. La lista de clientes en la región incluía a Chile, Colombia, Ecuador, Honduras, México y Panamá, siendo el país norteño el que se llevó el primer puesto en cantidad de dinero invertido en herramientas de la empresa, llegando casi a los 6 millones de euros. Según afirmaba la política de la empresa, esta solo hace negocios con los gobiernos.
Destaca que el producto estrella de la firma italiana era el llamado Sistema de Control Remoto Galileo (RCS por Remote Control System Galileo en inglés), un software que permite interceptar computadores, llamadas por Skype, emails, mensajes instantáneos y contraseñas, dando la posibilidad de interferir comunicaciones de todo tipo. Este software permite infiltrarse a distancia en cualquier tipo de dispositivo, fijo o móvil, y evadir cualquier mecanismos de protección como la criptografía o los antivirus, según el anuncio promocional.
FinFisher. En noviembre se descubría la existencia de un nuevo software, de nombre FinFisher, que usan, que se sepa hasta ahora, más de 30 gobiernos de todo el mundo, con el objetivo de espiar a sus ciudadanos. También había gobiernos latinos que usaban esta solución de espionaje, de acuerdo con CitizenLab en su último reporte.
Esta, se explicaba, es una suite de spyware, creada y comercializada por la empresa Gamma International, y tiene como clientes exclusivos los gobiernos. Se sabe que países como México, Paraguay o Venezuela han contratado el FinFisher, el cual no es detectable por los antivirus tradicionales, aunque sí hay una herramienta llamada Detekt que puede ayudar a averiguar si un ordenador tiene software espía como el desarrollado por Gamma o aquel comercializado por Hacking Team y que los creadores recomiendan a aquellos usuarios que creen que puedan estar infectados.
¿Debe desvelar el gobierno qué software de espionaje ha comprado?
El mayo pasado, la organización R3D por los Derechos Digitales solicitaba que se conociese la información sobre cuántos dispositivos y personas fueron espiados en 2014 por el Gobierno mexicano y el Instituto de Acceso a la Información consideró que esta debería ser información de carácter público.
Dicha solicitud, avalada por el INAI, pretendía transparentar las operaciones de la inteligencia mexicana, el Centro de Investigación y Seguridad Nacional (Cisen), como ya publicó SiliconWeek.
De todos modos, hace un par de semanas, la Consejería Jurídica del ejecutivo pedía a la Suprema Corte de Justicia de la Nación que no se divulgue la información estadística solicitada por la organización R3D por los Derechos Digitales. La razón esgrimida es que el hecho de aportar esta información haría peligrar la seguridad nacional.
Así, que, mientras se resuelve una decisión, los mexicanos pasarán, al menos, seis meses más, sin conocimiento sobre algún posible atentado contra su privacidad.
Además de la compra de software espía, la asociación considera que el gobierno mexicano habría intervenido comunicaciones sin conocimiento del ciudadanos y alegan que existe una legislación muy ambigua a este respecto.
Dicen en el blog de la asociación que “como ha sido argumentado por R3D y el INAI, la información estadística como el número de personas y dispositivos no pone en riesgo alguno la seguridad nacional. No se revelan nombren ni circunstancias específicas sobre las operaciones del CISEN, por lo que la Suprema Corte debe confirmar la publicidad de la información y obligar al CISEN a proporcionarla lo más pronto posible”.
¿Y quién investiga a México?
De todos modos, estas prácticas que atentan contra la privacidad, no solo van desde gobiernos a los ciudadanos. La ciberguerra a nivel internacional es un hecho. Los países se vigilan mutuamente. En el año 2013, el ex presidente de la República, Vicente Fox, alegaba públicamente que nadie debería escandalizarse ante las denuncias de espionaje de parte de Estados Unidos porque esta es una práctica común de todos los países, incluido México. Esto vino después de que se supiera que el gobierno del pais vecino espiaba a México, al igual que hace con otras naciones.
De acuerdo con el informe de Symantec sobre su descubrimiento, “los desarrolladores de Regin hecho un esfuerzo considerable por lo que es muy poco visible. Su carácter discreto significa que potencialmente puede ser utilizado en campañas de espionaje que duran varios años“. En su comunicado, los portavoces de la empresa de seguridad explican que “incluso cuando se detecta su presencia, es muy difícil determinar lo que está haciendo”.
Algunos de los principales objetivos de Regin incluyen proveedores de servicios de Internet y empresas de telecomunicaciones, incluso el coftware puede usarse para controlar las llamadas y comunicaciones direccionadas mediante la infraestructura de las empresas.
Y este año, Kaspersky descubrió que el grupo ‘Saguaro’ espía diversos países de América Latina utilizando técnicas sencillas, pero eficaces, de acuerdo con el último informe de Kaspersky Lab que dice haber descubierto una nueva campaña de ciberespionaje bautizada como ‘Saguaro‘, y que se trata de “un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware“.
Según los descubrimientos, “esta campaña ha sido dirigida desde el año 2009 a víctimas importantes, entre ellas las instituciones financieras, de salud y de investigación, así como los proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística”. El campo principal de operación es América Latina, y la gran mayoría de sus víctimas está ubicada en México. Otros países afectados son Colombia, Brasil, Estados Unidos, Venezuela y República Dominicana, entre otros. El objetivo de los atacantes es espiar y robar información confidencial de sus víctimas.