Inteligencia en Colombia: el reino de las sombras
Esta organización británica explica cómo, en su criterio, la Policía colombiana ha construido un sistema de vigilancia que no distingue entre criminales y ciudadanos del común.
DIANA DURÁN, SANTIAGO LA ROTTA
Este lunes, la organización británica Privacy International (una de las más importantes en temas de derechos digitales) revelará un informe en el que trabajó durante más de un año, que se enfoca en la falta de transparencia del sistema de vigilancia masiva que está construyendo la Policía Nacional de Colombia. (Vea aquí el informe) Un sistema que, sostiene el reporte, es capaz de interceptar las comunicaciones de cualquier ciudadano sin importar si existen sospechas fundadas para hacerlo.
El Espectador conoció todo el documento y entrevistó a los voceros de Privacy International, quienes explicaron por qué creen que la Policía está adjudicándose facultades que no tiene.
¿Cuáles agencias usan sistemas de vigilancia masiva en Colombia?
Las que mencionamos en el reporte: la Policía y dos de sus dos ramas, Dijín y Dipol. Puede que haya más, pero estamos considerando solamente el sistema de vigilancia masiva, porque la tecnología es a gran escala, contrario a “Esperanza” (de la Fiscalía), que es un sistema de interceptación sobre blancos específicos.
Ustedes dicen que este tipo de vigilancia masiva no está explícitamente autorizada por la ley. ¿Las autoridades podrían decir que implícitamente sí lo están?
Podrían, pero es que así no funcionan las leyes. Deben ser explícitas, públicas y las deben entender los ciudadanos. De lo contrario no podríamos comprender de manera efectiva qué están haciendo las agencias y de qué son capaces, y este es un panorama aterrador. Puma (Plataforma Única de Monitoreo y Análisis de la Policía) sólo se volvió público cuando los periodistas lo mencionaron y “Esperanza” solamente ha salido a flote por el escándalo del DAS. El conocimiento del público sobre estos temas es muy bajo. Esto no es conveniente en un escenario en el cual las agencias de inteligencia o de la Policía pueden estar tomando acciones contra un derecho fundamental: la privacidad.
¿Qué significa que la Policía colombiana haya adquirido el software de Hacking Team?
Según los documentos de Hacking Team que se han filtrado, sus tecnologías de vigilancia son muy intrusivas y poderosas, van mucho más allá de la interceptación de comunicaciones y llegan hasta el “hackeo” de los dispositivos móviles de la gente, el acceso a todos sus archivos y toda su información. Para Privacy Internacional es preocupante que ese sea el nivel de acceso que la Policía está buscando tener. Obviamente estas herramientas pueden ser utilizadas para fines legítimos, como rastrear criminales, redes de narcotráfico o grupos terroristas. Pero esta tecnología no tiene parámetros de protección. En esencia, significa que no hay una clara garantía para nosotros de que se esté haciendo en el marco de la ley.
¿Con base en qué afirman que las plataformas de la Dipol (Dirección de Inteligencia de la Policía) son iguales o más sofisticadas que “Esperanza” (de la Fiscalía)?
Según documentos disponibles en los sitios de contratación del Gobierno, se puede ver que las especificaciones técnicas son muy claras: son, básicamente, sistemas de monitoreo que capturan la información que pasa a través de la infraestructura de telecomunicaciones de Colombia: es un proceso pasivo de interceptación. “Esperanza”, en cambio, está descrito como una plataforma que requiere que la Fiscalía contacte a un proveedor de comunicaciones para pedir información sobre un blanco específico: es un proceso activo de interceptación. Puma y el sistema de la Dipol son pasivos y están diseñados para la recolección y análisis de datos a gran escala.
¿Lo que les preocupa entonces es el alcance masivo de la vigilancia que podrían ejercer agencias diferentes a la Fiscalía?
Lo que a Privacy International le parece preocupante es que el contenido y los metadatos de las comunicaciones están siendo recolectados pasivamente y almacenados en servidores para ser examinados por analistas, como si se tratara del barrido que realiza una gran red.
O sea, ¿es como pescar en el mar?
Exacto. La vigilancia no se está realizando con base en sospechas fundadas de que, por ejemplo, alguien está involucrado en un crimen. Lo que sucede es que si usted es un usuario de telefonía celular en Colombia, es posible que sus comunicaciones estén siendo recolectadas. Bien sea que esta tarea la realice un humano o no, la información se guarda en una base de datos en algún lugar. Así es como funcionan estos sistemas y así son vendidos a los gobiernos. Y esto es especialmente complicado si se tiene en cuenta la historia colombiana sobre interceptaciones ilegales.
¿Cómo llegaron a esas conclusiones?
Revisamos los sistemas que la Dipol ha construido y encontramos que usan herramientas en la sombra, sistemas que no conoce el público en Colombia y que no tienen salvaguardas legales claras que impidan su abuso. Con los sistemas de la Dipol y la Dijín realmente no sabemos qué requerimientos existen para analizar los datos, ni los procedimientos que los analistas deben seguir para tener acceso a la información que las personas comunicaron de forma privada a través de celulares o correos electrónicos. La falta de transparencia es preocupante.
¿Sirve la vigilancia masiva para combatir el crimen organizado?
Lo que estamos viendo aquí, en nuestros gobiernos en Europa, es que la vigilancia masiva se está usando como un atajo a la hora de hacer trabajo de inteligencia y existe la idea de que entre más información exista, más fácil será filtrar a los criminales o a las personas de interés para las autoridades. Es atractivo. Pero estamos encontrando que muchas veces terminan con tanta información que no tiene sentido. La vigilancia masiva no es efectiva para luchar contra el crimen organizado. La vigilancia focalizada quizá lo es, combinada con otras tácticas. Si un gobierno quiere violar el derecho a la privacidad, debe hacerlo con un muy buen argumento.
¿Saben si en Colombia se está vigilando el tráfico de internet?
Hasta el otoño de 2014, cuando estábamos realizando esta investigación, un portavoz de la Policía mencionó, como lo decimos en el reporte, que sus sistemas no podían acceder al tráfico de internet ni recolectar automáticamente correos electrónicos o tráfico web en general. No sabemos actualmente si este es el caso o no. Lo que sí está claro es que con el plan de expansión del sistema Puma en noviembre de 2013 y en 2014 había una clara intención de realizar monitoreo de tráfico en línea. En el contrato de 2013 se incluyó un número de recolectores de Nice Systems (empresa israelí) diseñados para monitorear tráfico de internet. Sabemos que Puma está suspendida.
(El proyecto Puma de la Policía fue detenido temporalmente en agosto de 2014 porque, tal como estaba propuesto, usurpaba facultades de interceptación que sólo tiene la Fiscalía. En palabras del fiscal Eduardo Montealegre, podía volverse una “rueda suelta”.)
¿Por qué afirman que el Gobierno colombiano ha construido un andamiaje de vigilancia masiva sin salvaguardas adecuadas?
Las tecnologías que el reporte expone, compradas por la Policía, tienen capacidades tan poderosas de recolectar información que superan el marco legal que las regula. La vigilancia en esta escala es indiscriminada: los derechos humanos requieren que cualquier interferencia a la privacidad sea legítima, necesaria en un entorno democrático y proporcional. La pregunta que acá persiste es si se pueden tener sistemas de vigilancia masiva que cumplan los requisitos de proporcionalidad y necesidad. Varios fallos en Europa sugieren que ningún Estado ha logrado implementar medidas que eviten el abuso de estas herramientas.
¿Con base en qué afirman que el Sistema Integrado de Grabación Digital de la Dipol es capaz, por día, de recolectar 100 millones de registros de llamadas e interceptar 20 millones de mensajes de texto?
Con base en las especificaciones técnicas que la Policía estaba pidiendo en un proceso de contratación. Además, sabemos que Verint, que fue el proveedor de esta tecnología, en su material de mercadeo asegura que tiene esa capacidad.
¿Cuáles son las consecuencias que la vigilancia masiva tiene para los ciudadanos?
La amenaza de estar sujeto a este tipo de vigilancia sin sospechas bien fundadas es algo que cambia el comportamiento humano: la forma como actuamos, hablamos y nos comunicamos. Este efecto de la vigilancia es algo que pone en peligro derechos legítimos de las personas como la formación y expresión libre de opiniones, de asociarse y organizarse para estar en desacuerdo con una ideología política dominante y así exigir cambios.
En el plano global hay un debate acerca de la vigilancia masiva. ¿Creen que sea una discusión que busque acabar con esta práctica o regularla? ¿Hacia qué lado se inclinará la balanza?
Es una pregunta muy grande. Por principio, no podemos aceptar la vigilancia masiva en una sociedad democrática. Será una dura batalla, que incluirá muchas voces de muchos sectores. El pulso siempre gira alrededor de la conciencia pública sobre la escala y alcance de estos sistemas: una vez la gente comienza a entender lo que se puede hacer con estas herramientas, empieza a cuestionar el propósito para el cual fueron diseñadas y no las leyes que las regulan. Es una pelea en la cual se han dado algunos pasos en varios países, como lograr mayores niveles de transparencia acerca de cuáles son las compañías que facilitan la vigilancia masiva, por ejemplo. Pero es un proceso que crece lentamente. Es poco probable que estas prácticas se acaben mañana, pero es una meta en la que estamos trabajando.
Este lunes, la organización británica Privacy International (una de las más importantes en temas de derechos digitales) revelará un informe en el que trabajó durante más de un año, que se enfoca en la falta de transparencia del sistema de vigilancia masiva que está construyendo la Policía Nacional de Colombia. (Vea aquí el informe) Un sistema que, sostiene el reporte, es capaz de interceptar las comunicaciones de cualquier ciudadano sin importar si existen sospechas fundadas para hacerlo.
El Espectador conoció todo el documento y entrevistó a los voceros de Privacy International, quienes explicaron por qué creen que la Policía está adjudicándose facultades que no tiene.
¿Cuáles agencias usan sistemas de vigilancia masiva en Colombia?
Las que mencionamos en el reporte: la Policía y dos de sus dos ramas, Dijín y Dipol. Puede que haya más, pero estamos considerando solamente el sistema de vigilancia masiva, porque la tecnología es a gran escala, contrario a “Esperanza” (de la Fiscalía), que es un sistema de interceptación sobre blancos específicos.
Ustedes dicen que este tipo de vigilancia masiva no está explícitamente autorizada por la ley. ¿Las autoridades podrían decir que implícitamente sí lo están?
Podrían, pero es que así no funcionan las leyes. Deben ser explícitas, públicas y las deben entender los ciudadanos. De lo contrario no podríamos comprender de manera efectiva qué están haciendo las agencias y de qué son capaces, y este es un panorama aterrador. Puma (Plataforma Única de Monitoreo y Análisis de la Policía) sólo se volvió público cuando los periodistas lo mencionaron y “Esperanza” solamente ha salido a flote por el escándalo del DAS. El conocimiento del público sobre estos temas es muy bajo. Esto no es conveniente en un escenario en el cual las agencias de inteligencia o de la Policía pueden estar tomando acciones contra un derecho fundamental: la privacidad.
¿Qué significa que la Policía colombiana haya adquirido el software de Hacking Team?
Según los documentos de Hacking Team que se han filtrado, sus tecnologías de vigilancia son muy intrusivas y poderosas, van mucho más allá de la interceptación de comunicaciones y llegan hasta el “hackeo” de los dispositivos móviles de la gente, el acceso a todos sus archivos y toda su información. Para Privacy Internacional es preocupante que ese sea el nivel de acceso que la Policía está buscando tener. Obviamente estas herramientas pueden ser utilizadas para fines legítimos, como rastrear criminales, redes de narcotráfico o grupos terroristas. Pero esta tecnología no tiene parámetros de protección. En esencia, significa que no hay una clara garantía para nosotros de que se esté haciendo en el marco de la ley.
¿Con base en qué afirman que las plataformas de la Dipol (Dirección de Inteligencia de la Policía) son iguales o más sofisticadas que “Esperanza” (de la Fiscalía)?
Según documentos disponibles en los sitios de contratación del Gobierno, se puede ver que las especificaciones técnicas son muy claras: son, básicamente, sistemas de monitoreo que capturan la información que pasa a través de la infraestructura de telecomunicaciones de Colombia: es un proceso pasivo de interceptación. “Esperanza”, en cambio, está descrito como una plataforma que requiere que la Fiscalía contacte a un proveedor de comunicaciones para pedir información sobre un blanco específico: es un proceso activo de interceptación. Puma y el sistema de la Dipol son pasivos y están diseñados para la recolección y análisis de datos a gran escala.
¿Lo que les preocupa entonces es el alcance masivo de la vigilancia que podrían ejercer agencias diferentes a la Fiscalía?
Lo que a Privacy International le parece preocupante es que el contenido y los metadatos de las comunicaciones están siendo recolectados pasivamente y almacenados en servidores para ser examinados por analistas, como si se tratara del barrido que realiza una gran red.
O sea, ¿es como pescar en el mar?
Exacto. La vigilancia no se está realizando con base en sospechas fundadas de que, por ejemplo, alguien está involucrado en un crimen. Lo que sucede es que si usted es un usuario de telefonía celular en Colombia, es posible que sus comunicaciones estén siendo recolectadas. Bien sea que esta tarea la realice un humano o no, la información se guarda en una base de datos en algún lugar. Así es como funcionan estos sistemas y así son vendidos a los gobiernos. Y esto es especialmente complicado si se tiene en cuenta la historia colombiana sobre interceptaciones ilegales.
¿Cómo llegaron a esas conclusiones?
Revisamos los sistemas que la Dipol ha construido y encontramos que usan herramientas en la sombra, sistemas que no conoce el público en Colombia y que no tienen salvaguardas legales claras que impidan su abuso. Con los sistemas de la Dipol y la Dijín realmente no sabemos qué requerimientos existen para analizar los datos, ni los procedimientos que los analistas deben seguir para tener acceso a la información que las personas comunicaron de forma privada a través de celulares o correos electrónicos. La falta de transparencia es preocupante.
¿Sirve la vigilancia masiva para combatir el crimen organizado?
Lo que estamos viendo aquí, en nuestros gobiernos en Europa, es que la vigilancia masiva se está usando como un atajo a la hora de hacer trabajo de inteligencia y existe la idea de que entre más información exista, más fácil será filtrar a los criminales o a las personas de interés para las autoridades. Es atractivo. Pero estamos encontrando que muchas veces terminan con tanta información que no tiene sentido. La vigilancia masiva no es efectiva para luchar contra el crimen organizado. La vigilancia focalizada quizá lo es, combinada con otras tácticas. Si un gobierno quiere violar el derecho a la privacidad, debe hacerlo con un muy buen argumento.
¿Saben si en Colombia se está vigilando el tráfico de internet?
Hasta el otoño de 2014, cuando estábamos realizando esta investigación, un portavoz de la Policía mencionó, como lo decimos en el reporte, que sus sistemas no podían acceder al tráfico de internet ni recolectar automáticamente correos electrónicos o tráfico web en general. No sabemos actualmente si este es el caso o no. Lo que sí está claro es que con el plan de expansión del sistema Puma en noviembre de 2013 y en 2014 había una clara intención de realizar monitoreo de tráfico en línea. En el contrato de 2013 se incluyó un número de recolectores de Nice Systems (empresa israelí) diseñados para monitorear tráfico de internet. Sabemos que Puma está suspendida.
(El proyecto Puma de la Policía fue detenido temporalmente en agosto de 2014 porque, tal como estaba propuesto, usurpaba facultades de interceptación que sólo tiene la Fiscalía. En palabras del fiscal Eduardo Montealegre, podía volverse una “rueda suelta”.)
¿Por qué afirman que el Gobierno colombiano ha construido un andamiaje de vigilancia masiva sin salvaguardas adecuadas?
Las tecnologías que el reporte expone, compradas por la Policía, tienen capacidades tan poderosas de recolectar información que superan el marco legal que las regula. La vigilancia en esta escala es indiscriminada: los derechos humanos requieren que cualquier interferencia a la privacidad sea legítima, necesaria en un entorno democrático y proporcional. La pregunta que acá persiste es si se pueden tener sistemas de vigilancia masiva que cumplan los requisitos de proporcionalidad y necesidad. Varios fallos en Europa sugieren que ningún Estado ha logrado implementar medidas que eviten el abuso de estas herramientas.
¿Con base en qué afirman que el Sistema Integrado de Grabación Digital de la Dipol es capaz, por día, de recolectar 100 millones de registros de llamadas e interceptar 20 millones de mensajes de texto?
Con base en las especificaciones técnicas que la Policía estaba pidiendo en un proceso de contratación. Además, sabemos que Verint, que fue el proveedor de esta tecnología, en su material de mercadeo asegura que tiene esa capacidad.
¿Cuáles son las consecuencias que la vigilancia masiva tiene para los ciudadanos?
La amenaza de estar sujeto a este tipo de vigilancia sin sospechas bien fundadas es algo que cambia el comportamiento humano: la forma como actuamos, hablamos y nos comunicamos. Este efecto de la vigilancia es algo que pone en peligro derechos legítimos de las personas como la formación y expresión libre de opiniones, de asociarse y organizarse para estar en desacuerdo con una ideología política dominante y así exigir cambios.
En el plano global hay un debate acerca de la vigilancia masiva. ¿Creen que sea una discusión que busque acabar con esta práctica o regularla? ¿Hacia qué lado se inclinará la balanza?
Es una pregunta muy grande. Por principio, no podemos aceptar la vigilancia masiva en una sociedad democrática. Será una dura batalla, que incluirá muchas voces de muchos sectores. El pulso siempre gira alrededor de la conciencia pública sobre la escala y alcance de estos sistemas: una vez la gente comienza a entender lo que se puede hacer con estas herramientas, empieza a cuestionar el propósito para el cual fueron diseñadas y no las leyes que las regulan. Es una pelea en la cual se han dado algunos pasos en varios países, como lograr mayores niveles de transparencia acerca de cuáles son las compañías que facilitan la vigilancia masiva, por ejemplo. Pero es un proceso que crece lentamente. Es poco probable que estas prácticas se acaben mañana, pero es una meta en la que estamos trabajando.