La Fiscalía de México ha contratado en los dos últimos años programas para el espionaje masivo de teléfonos móviles, el material, con un coste de 5,6 millones de dólares, sirve para la geolocalización de celulares y el análisis de datos a gran escala. Los contratos se han hecho bajo la partida secreta de seguridad nacional y permanecen opacos.
La actual Fiscalía General de la República (FGR) ha comprado programas de inteligencia para la geolocalización de celulares y análisis de datos masivos. En 2019 y 2020, la Fiscalía firmó al menos cuatro contratos por 5,6 millones de dólares con la compañía Neolinx de México, según documentación a la que ha tenido acceso EL PAÍS. Esta firma ha fungido en el país como intermediaria de la italiana Hacking Team, señalada de haber sido una de las principales proveedoras en materia de ciberespionaje durante el Gobierno de Enrique Peña Nieto (2012-2018). Las compras se hicieron bajo la partida secreta en materia de gastos de seguridad nacional, por lo que los contratos no fueron transparentados por la Fiscalía. La Red en Defensa de los Derechos Digitales (R3D), que ha dado seguimiento a este tipo de contrataciones, considera que la operación de estos sistemas puede llegar a ser violatoria de derechos humanos porque en algunos casos constituye una vigilancia masiva que violenta los requisitos de necesidad, proporcionalidad y autorización judicial.
Neolinx es una firma mexicana creada en 2009 y vinculada a la venta de equipos de espionaje. En 2015, se dio a conocer que había servido como intermediaria de la italiana Hacking Team en México después de que se filtraran cientos de correos electrónicos y documentos internos con detalles de sus operaciones. La información dada a conocer reveló que el consorcio italiano había comercializado sus productos a 35 países, muchos de ellos señalados por violaciones a los derechos humanos. México había sido hasta entonces su principal cliente.
La Red para la Defensa de los Derechos Digitales R3D hizo un análisis de los datos divulgados tras la filtración y denunció que al menos 12 estados del país tuvieron relaciones comerciales con Hacking Team, a través de sus diversas intermediarias. Según el análisis hecho por la R3D en ese entonces Neolinx habría vendido sus productos al Gobierno de Guerrero y del Estado de México, así como a la Policía Federal, PGR y Defensa Nacional, entre otras dependencias. En abril de 2018 habría firmado el último contrato con la Fiscalía antes del cambio de administración. Ahora se sabe que Neolinx ha seguido vendiendo sus insumos y servicios al gobierno actual, esta vez como intermediaria de la empresa israelí Rayzone Group.
EL PAÍS encontró en diversos informes del órgano interno de control de la FGR que la Fiscalía al mando de Alejandro Gertz Manero ha celebrado al menos cuatro contratos para servicios de consulta y análisis de datos masivos, así como para localización geográfica. La adquisición de estos programas no es ilegal y son usados, según justifican las autoridades, para el combate a la delincuencia organizada. Sin embargo, también pueden ser utilizados de forma arbitraria, violando el derecho a la privacidad y la presunción de inocencia, como ha advertido la R3D en diversos informes. Si bien las invasiones a la privacidad por parte de la autoridad no se encuentran absolutamente prohibidas, sí existen límites estrictos a este tipo de actividades de vigilancia, afirma Luis Fernando García Muñoz, director de la R3D. Además en México la utilización de estos sistemas de vigilancia son sumamente problemáticos porque otorgan un poder invasivo amplio. “La vigilancia masiva no es compatible con los principios de necesidad y proporcionalidad”, reitera.
El primer contrato celebrado durante la gestión de Gertz Manero al frente de la FGR estuvo a cargo de la Subprocuraduría Especializada en Investigación de Delincuencia Organizada (SEIDO) y se firmó el 30 de mayo de 2019 por un monto de 2,4 millones de dólares. El objeto fue: “Servicio de localización geográfica en tiempo real para equipos de comunicación móvil asociados a una línea telefónica, consistente en instalación puesta a punto, configuración y liberación de 135.000 búsquedas, sin que exista un límite de búsquedas diarias”, según un reporte del OIC consultado por este diario. El servicio descrito en el contrato es conocido en el mercado del ciberespionaje como Geomatrix y es el mismo que había adquirido la Fiscalía en el sexenio anterior y que era usado sin controles, según una publicación de 2019 hecha por la R3D en colaboración con Reporte índigo. Este producto es desarrollado por Rayzone Group, un consorcio que diseña y fabrica soluciones cibernéticas y de inteligencia para agencias gubernamentales y federales. En su web describe el producto que vendió a la FGR a través de Neolinx como una solución única que permite a las agencias de inteligencia y de aplicación de la ley ubicar, rastrear y manipular a los suscriptores de GSM / UMTS / 3G / 4G (LTE) de manera encubierta y virtualmente desde cualquier lugar del mundo, todo en tiempo real. “La solución sigilosamente determina el estatus, la ubicación y el movimiento de los objetivos de interés, desde cualquier lugar en una ciudad o área hasta el país entero y más allá de las fronteras, localizándolos con alta precisión en tiempo real”, detalla.
Otro de los contratos firmados por la FGR con Neolinx fue para la adquisición del servicio “Echo-Plataforma de consulta y análisis de datos masivos”. La compra estuvo a cargo de la Policía Federal Ministerial, según la documentación consultada. En 2019 el costo fue de 1,1 millón de dólares, mientras que en 2020 la Fiscalía pagó 1,7 millones de dólares por el servicio. El producto también es fabricado por la empresa israelí Rayzone, que lo define como un sistema estratégico de SIGINT (Inteligencia de señales) que proporciona a las agencias de inteligencia y policiales información amplia, diversa y en profundidad sobre usuarios globales de internet. Es una plataforma que permite a los usuarios (como la FGR) obtener información sobre un punto de interés en particular o la recolección masiva de información de todos los usuarios de internet en el país. No requiere preinstalación de ningún equipo físico y opera de forma silenciosa y encubierta. Aunque se buscó la postura de la FGR a fin de saber qué uso se le estaba dando a estos servicios contratados a través de Neolinx, no se recibió respuesta.
Uno de los mayores escándalos que enfrentó el expresidente Enrique Peña Nieto fue la adquisición de programas de ciberespionaje a los consorcios Hacking Team y NSO Group. El caso que causó más indignación fue el espionaje a periodistas y activistas a través del malware Pegasus. La adquisición de este software, que se infiltraba en los teléfonos de los objetivos a espiar teniendo acceso a todos sus archivos y aplicaciones, se hizo a la israelí NSO Group (la competencia de Hacking Team), a través de diversas firmas mexicanas intermediarias. En junio de 2017 un grupo de periodistas y defensores de derechos humanos denunciaron públicamente que sus teléfonos habían sido infectados con el sofisticado software y tras el escándalo, la Fiscalía abrió una investigación que a la fecha sigue en trámite. El presidente López Obrador ha asegurado en diversas ocasiones que su Gobierno no ha usado Pegasus ni ningún otro software espía. “Desde ahora le digo que no estamos metidos en eso. Aquí se decidió que no se iba a perseguir a nadie”, dijo López Obrador en una de sus conferencias de prensa de 2019.
Vigilancia con pocos controles
Las medidas de vigilancia a través de diversas herramientas tecnológicas no deben realizarse de forma discrecional y opaca. Las autoridades, como la Fiscalía, están obligadas por ley a hacer público el listado de solicitudes que se realizan a las empresas concesionarias de telecomunicaciones y a los proveedores de servicios de aplicaciones de internet para la intervención de comunicaciones privadas y la localización geográfica en tiempo real de equipos de comunicación. La información de las dependencias que se debe publicar en la Plataforma Nacional de Transparencia (PNT) debe contener el objeto, alcance y fundamental legal del requerimiento, así como precisar si se cuenta con autorización judicial. Sin embargo, esta documentación no se presenta de forma completa ni detallada.
En 2019 cuando la FGR firmó el contrato con Neolinx para el servicio de localización geográfica en tiempo real, la Fiscalía reportó en la Plataforma Nacional de Transparencia haber solicitado autorización judicial para la localización geográfica 124 veces, explica el activista García Muñoz. “El contrato implica 135 mil búsquedas y según los datos reportados en la PNT únicamente reportó 124 veces por lo que de nuevo se presume enormemente su uso ilegal. Esto indica una enorme subutilización del sistema o, con más probabilidad, implica un uso ilegal de la herramienta”, destaca. Por ello la R3D se ha pronunciado por la aplicación de diversas medidas de control y contrapesos institucionales que impidan el ejercicio abusivo de la vigilancia gubernamental.
Las compras de estos servicios tecnológicos a Neolinx de México se hicieron con cargo a la partida 33701 denominada “gastos de seguridad pública y nacional”. En el sexenio anterior la compra del programa Pegasus con el que se espió a activistas y periodistas también se realizó con cargo a esta bolsa del presupuesto que se usa de forma discrecional y es poco transparente. En su más reciente informe la Auditoría Superior de la Federación (ASF) reveló que en los contratos suscritos por la Fiscalía General con la firma en 2019 se detectaron debilidades en la adjudicación, contratación y comprobación de los recursos ejercidos con cargo a la partida 33701. Un ejemplo de ello es que no se realizó una investigación de mercado que permitiera comparar el precio establecido por el proveedor adjudicado con otros vendedores. Al carecer de este documento no se garantizó que se obtuvieran las mejores condiciones para el Estado en cuanto a precio, calidad y financiamiento.
La ASF señaló que en el contrato de servicios de geolocalización los funcionarios de la FGR no verificaron la documentación con la que se acreditaba que el prestador del servicio (Neolinx) contaba con la capacidad técnica, el personal calificado y certificado por el fabricante del sistema para prestar los servicios, y tampoco se asegurara de que dicho personal guardara la confidencialidad absoluta respecto del servicio. “No verificaron que se contara con la evidencia que acreditó la configuración del servicio de localización para 20 equipos de cómputo, así como de la configuración de accesos y del servicio actualizado, ni que se contara con los informes detallados por cada soporte técnico requerido, así como evidencia de los certificados o constancias de la transferencia de conocimientos otorgados a 39 servidores públicos”, se lee en el informe.
En las condiciones de la prestación de los servicios se estableció que Neolinx contaba con la experiencia, capacidad técnica, financiera y laboral, así como con personal calificado, equipo adecuado y recursos para cumplir con el contrato. Sin embargo, tras una visita realizada por personal de la auditoría a la empresa, el apoderado legal de la firma manifestó que en el servicio de mantenimiento de la plataforma participó personal subcontratado con otras empresas. La Auditoría alertó que el prestador de servicios no garantizó la confidencialidad de la información sensible a la que pudo tener acceso. “No se verificó que las empresas adjudicadas acreditaran que contaban con la capacidad técnica y de recursos humanos, lo cual, al tratarse de servicios que implican confidencialidad y secrecía, se debió asegurar de que el prestador del servicio contara con el personal propio para otorgar los servicios”, quedó asentado en el dictamen.
Comentarios recientes