Así nos vigilan: las herramientas con las que el Estado monitorea internet

“En Colombia hay una sensación de vigilancia que ha permeado a toda la población y, particularmente, a activistas, periodistas y defensoras de derechos humanos que sienten que sus comunicaciones todo el tiempo están intervenidas”, dice Pilar Sáenz, directora del laboratorio de seguridad digital de la Fundación Karisma. Se refiere a casos como las chuzadas del DAS, en los que el Estado ha intervenido y perseguido a quienes lo cuestionan. Sáenz añade a renglón seguido que, con las herramientas que actualmente tienen al menos las Fuerzas Militares, la Fiscalía y la Policía, los blancos de ese tipo de seguimientos “no son unos pocos. Ya somos todos”.

“En Colombia hay una sensación de vigilancia que ha permeado a toda la población y, particularmente, a activistas, periodistas y defensoras de derechos humanos que sienten que sus comunicaciones todo el tiempo están intervenidas”, dice Pilar Sáenz, directora del laboratorio de seguridad digital de la Fundación Karisma. Se refiere a casos como las chuzadas del DAS, en los que el Estado ha intervenido y perseguido a quienes lo cuestionan. Sáenz añade a renglón seguido que, con las herramientas que actualmente tienen al menos las Fuerzas Militares, la Fiscalía y la Policía, los blancos de ese tipo de seguimientos “no son unos pocos. Ya somos todos”.

(Lea también: Inteligencia estatal tiene capacidades de vigilancia masiva y sin control: FLIP)

Prácticamente cualquier persona en el país que use internet puede terminar siendo perfilada por estas entidades que son las que, según Karisma pudo demostrar, han adquirido herramientas de inteligencia de fuentes abiertas (Osint, por su sigla en inglés). La fundación publica este martes los hallazgos de su investigación “Cuando el Estado vigila”, que inició luego de quedar preocupada con el “ciberpatrullaje” que hizo la Policía durante el paro nacional de 2021, después de que anunciara que iba a monitorear las redes sociales las 24 horas del día. Para Sáenz y su equipo, lo que ocurrió en realidad fue un ejercicio de vigilancia masiva y perfilamiento de los críticos del Gobierno de ese momento.

Entonces, se propusieron revisar a qué tipo de herramientas de monitoreo de la web tenían acceso las entidades que integraron lo que durante el paro nacional se llamó el puerto de mando unificado Ciber: los Ministerios de Defensa y Tic, la Policía, la Fiscalía, el Ejército, el Comando General de las Fuerzas Militares y la Dirección Nacional de Inteligencia. Lo que encontraron fue que no solo la mayoría de estas entidades ya cuentan con software que les permite vigilar a la ciudadanía, sino que “además están comprándolas, sabiendo que sí o sí les van a servir para monitorear de forma general lo que todo el mundo está diciendo”, añade Juan Parra, investigador de Karisma.

(En contexto: Proyecto Osint: cómo la inteligencia militar se acerca a la vigilancia masiva)

Este diario había contado hace una semana cómo el Comando General de las Fuerzas Militares tiene un plan para aumentar sus capacidades de inteligencia en la web, planea comprar una herramienta así este año y se ha reunido con empresas cuestionadas. Entre ellas, Mollitiam Industries, la compañía que contrató la Dirección de Inteligencia de la Policía y que, de manera descarnada, anuncia que vende un sistema para la vigilancia masiva.

La fundación encontró que, entre 2019 y 2022, al menos cuatro entidades compraron acceso a poderosas herramientas de Osint, que en la mayoría de los casos se trató de millonarios contratos entregados de manera directa y que, al menos tres de ellos fueron asignados al mismo contratista. Además de las suspicacias que podría levantar la opacidad en la contratación de estos servicios de una alta cuantía -el de menor valor es por $370 millones-, a la Fundación Karisma le preocupa que, a la par que el Estado ha adquirido en silencio estas capacidades de vigila a los ciudadanos, no ha desarrollado un marco legal que proteja a los colombianos de abusos, como los que ya han ocurrido.

Estos software funcionan a través de “crawlers”, programas que navegan automáticamente por internet, siguen la tendencia o palabra clave que le indique quién esté al mando y almacenan toda la información, incluyendo fotos o videos, sin filtro alguno, una técnica que se llama “scraping”. Normalmente estos sistemas utilizan cuentas falsas en redes sociales, violando las normas de páginas como Facebook o Twitter. Y, a pedido del usuario, pueden recopilar toda la información disponible sobre una persona. En otras palabras, perfilar. Aunque eso de por sí es preocupante, los cinco contratos del Estado que halló Karisma incluyen capacidades aún mayores.

El contrato del Ejército

Uno de los contratos que más llamó la atención de Karisma es el que firmó el Ejército en 2016 con la empresa Gamma Ingenieros para adquirir un sistema que les permitiera “luchar contra la ciberdelincuencia” y “fortalecer las capacidades de guerra electrónica”. Además, en los documentos del contrato la entidad fue bastante franca y explicó que utilizaría este software para “averiguar lo que las personas están diciendo” sobre el Ejército. O como añade más adelante: “Saber quiénes están hablando de la institución y los hechos que las rodean”. Para la fundación es claro: este contrato tiene como objetivo vigilar a la sociedad civil, pues busca monitorear a los críticos del Ejército.

Como denuncia el informe, “el Estado colombiano parece estar enfrentando al inconformismo ciudadano, no responsabilizándose y reparando sus propios errores, sino monitoreando a quienes lo critican”. Además, el investigador Juan Parra, explica que una institución como el Ejército no tiene un derecho al buen nombre, pues no es una persona. Y, si bien Karisma explica que en principio esto no sería ilegal, sí es un ejemplo de los enormes vacíos en regulación que tiene la inteligencia en la web.

¿Agentes encubiertos?

La única actividad regulada para el uso de herramientas Osint es el uso de agentes encubiertos digitales, que está en el Código Penal, y debe cumplir una serie de requisitos. Supuestamente, para cumplir esta función, la Fiscalía y la Dijín de la Policía contrataron a la misma empresa, Deinteko SAS, por $1.087 y $3.990 millones. Esta compañía se encarga de distribuir en Colombia herramientas de este tipo, y, en el caso del ente investigador, le vendió una desarrollada por la empresa israelí Cobwebs Technologies. Según el contrato, el software recopila información de todas las redes sociales, incluidas algunas de mensajes.

De hecho, anuncian que ya se ha utilizado en el pasado para investigaciones judiciales e infiltración en organizaciones criminales. Karisma le preguntó a la Fiscalía cómo se iba a asegurar de que la herramienta se use en el marco de sus competencias, pero la entidad no contestó. Si bien para la fundación es lógico que las autoridades judiciales tengan acceso a sistemas así para perseguir el crimen, consideran que los funcionarios deben ser formados en técnicas no invasivas de la privacidad. Lo que lleva al uso que parece estar dándole la Dijín de la Policía al software que también le compró a Deinteko: “Acceso a plataformas de fuentes abiertas para ciberpatrullaje”.

Karisma observa que “de la lectura del contrato habría que deducir que la Dijín adquirió una herramienta que permite la vigilancia para la investigación criminal, pero no es posible saber si la forma como se usa viola el debido proceso (no se habla de control de un juez)”. De hecho, el concepto de ciberpatrullaje no está definido en ninguna norma. Aunque para explicarlo el contrato echa mano de una directiva que le dio capacidades a la Dijín de perseguir ciberdelitos, para la fundación las posibilidades que tiene la herramienta atentan contra el derecho a la privacidad de personas que no están inmersas en investigaciones judiciales.

Fuerzas Militares

De nuevo, para hacer inteligencia, otra instancia que adquirió una herramienta Osint fue el Comando Conjunto Cibernético de las Fuerzas Militares, que contrató de manera directa —también a la empresa Deinteko— en 2021 por $398 millones. En el contrato se asegura que el objetivo es perseguir ataques en contra de los “valores o intereses nacionales”, términos que para la fundación Karisma son preocupantemente amplios. Además, la fundación llama la atención de que, según las funciones de esta dependencia militar, se trata de una oficina que hace recomendaciones de política pública y asesora al presidente en temas de inteligencia, por lo que no tendría facultades investigativas.

Inteligencia policial

Finalmente, Karisma se refirió al contrato de la Dirección de Inteligencia de la Policía con la empresa española Mollitiam Industries, el más cuantioso de los cinco, pues se firmó en 2021 por $4.291 millones. Este ese el único contrato que funciona en servidores internos de la Policía. El programa que vende esta compañía se llama Phoenix y, en los documentos de contratación, se anuncia sin rodeos que se trata de un sistema “de monitoreo masivo en internet para generar inteligencia a partir de la descarga anónima de datos”. A la fundación le preocupa que este software tiene la capacidad de cruzar la información que baja de redes sociales con bases de datos propias.

(Lea también: Mollitiam: así es la contratista del Ejército y sus herramientas de ciberespionaje)

Karisma pone un ejemplo sacado del contrato de cómo podría operar esta herramienta. Si se le asigna la tarea de seguir el hashtag #ParoNacional, podría identificar actores importantes, quiénes interactúan allí y catalogar a estas personas. Con base en esa categorización, podría perfilarlos con otra información como su lugar de vivienda, a qué se dedican o a qué manifestaciones van a ir. Aún no es claro el nivel de precisión que tengan estos software, pero el informe advierte que catalogar a alguien como “sospechoso” por las opiniones que manifiesta y por si protesta o no, es preocupante.

Todos los datos son descargados y guardados indefinidamente por los sistemas contratados. “No sabemos por cuánto van a mantener esa información, no sabemos quiénes son los autorizados o no para poderla utilizar, bajo qué marco legal, si en algún momento la van a desclasificar, si en algún momento van a informar a las personas que pudieron haber sido parte de vigilancia”, advierte Pilar Sáenz. Con el agravante de que, salvo en el último contrato de la Policía, las entidades accedieron a que esa información sobre usted, yo y cualquier colombiano que utilice internet sea almacenada en servidores extranjeros de entidades privadas.

De allí que Karisma le haga un llamado al Congreso para que tramite una ley que defina los límites del ciberpatrullaje y de las herramientas de Osint, y a los organismos de control a que investiguen las modalidades de contratación que describen en el informe. Además, le recomienda a la Fuerza Pública establecer controles para prevenir malos usos de estos sistemas, algo que ya ocurrió, por ejemplo, con el escándalo de carpetas secretas. Un caso que se suma a otros tantos, como los que mencionaba Pilar Sáenz, en los que el Estado ha utilizado herramientas mucho más rudimentarias para perseguir a sus críticos. Y ahora que tiene acceso a tecnología avanzada, ¿qué esperar?