Proyecto OSINT: cómo la inteligencia militar se acerca a la vigilancia masiva
Documentos reservados dejan al descubierto el proyecto de las Fuerzas Militares para incrementar sus capacidades de inteligencia en la web y ofrecen una mirada inédita a la industria de la vigilancia masiva en internet, vinculada también a campañas de desinformación. Este año, se compraría una poderosa herramienta por $3.500 millones.
Felipe Morales Sierra
Las Fuerzas Militares colombianas quieren fortalecer sus labores de inteligencia en la web y documentos reservados muestran que han considerado adquirir herramientas que han sido vinculadas a campañas de desinformación o utilizadas para perfilar y perseguir a periodistas y defensores de derechos humanos. La información muestra, además, que el Ministerio de Defensa, bajo el gobierno de Iván Duque, aprobó en 2022 gastar $3.500 millones para adquirir este año una herramienta que les permita “estar a la vanguardia” para identificar amenazas en redes sociales. Lo que no muestran los documentos es cómo se van a prevenir abusos de la herramienta.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
Las Fuerzas Militares colombianas quieren fortalecer sus labores de inteligencia en la web y documentos reservados muestran que han considerado adquirir herramientas que han sido vinculadas a campañas de desinformación o utilizadas para perfilar y perseguir a periodistas y defensores de derechos humanos. La información muestra, además, que el Ministerio de Defensa, bajo el gobierno de Iván Duque, aprobó en 2022 gastar $3.500 millones para adquirir este año una herramienta que les permita “estar a la vanguardia” para identificar amenazas en redes sociales. Lo que no muestran los documentos es cómo se van a prevenir abusos de la herramienta.
(Lea otras entregas de Story Killers: Un exministro, un exembajador y más poderosos que querían borrar su pasado de la web)
Se trata de tecnologías muy similares a las que generaron, en 2020, el escándalo de las “carpetas secretas”, cuando un centenar de periodistas y activistas fueron perfilados por el Ejército, sin justificación. Los archivos filtrados ahora muestran que, tras ese episodio, en las Fuerzas Militares se realizó una auditoría que concluyó que sí hubo irregularidades e impartió recomendaciones para prevenir futuros abusos. Sin embargo, en los documentos del nuevo plan del Comando General no hay mención alguna a esas recomendaciones. En cambio, queda en evidencia que se reunieron con empresas que han sido cuestionadas, cuyas herramientas parecen ir más allá de un monitoreo de redes sociales.
El Espectador tuvo acceso a estos documentos como parte del proyecto Story Killers (Asesinos de historias), una investigación colaborativa liderada por Forbidden Stories, consorcio que se dedica a continuar el trabajo de periodistas asesinados o amenazados. Junto a medios como “El País”, “The Washington Post”, “The Guardian”, “Le Monde” y otros, este proyecto ofrece una mirada inédita a la industria de la desinformación, en el que juegan las empresas con las que las Fuerzas Militares colombianas estaban negociando.
¿Ciberinteligencia o vigilancia masiva?
Correos internos del Comando General de las Fuerzas Militares filtrados por el colectivo de hackers Guacamaya, a los que este diario tuvo acceso a través de Forbidden Stories, muestran que la iniciativa para adquirir una herramienta para hacer inteligencia en redes sociales data de hace varios años. En concreto, hace parte de un proyecto que le presentó el Departamento Conjunto de Inteligencia y Contrainteligencia (CGDJ2) al Ministerio de Defensa para crear un “Sistema Integrado de Información de Inteligencia Conjunta Para la Defensa Nacional” (SI3CD), siguiendo recomendaciones de Estados Unidos y la OTAN. Propuesta que acabó recibiendo luz verde del Gobierno.
(Lea también: Eliminalia: una lavandería de reputación para delincuentes)
En la filtración hay diapositivas, correos y formularios que explican, una y otra vez, que la inteligencia militar tiene falencias por su escasa capacidad tecnológica. En uno de ellos se plantea, como solución, adquirir un “software” de inteligencia con fuertes abiertas (OSINT por sus siglas en inglés). El documento, incluso, se llama “Proyecto OSINT” y marcó el inicio de un camino en el que lograron que la iniciativa fuera aprobada casi unánimemente en el Ministerio de Defensa. Solo en una dependencia del Ministerio hubo oposición, pero por errores administrativos en la propuesta, no porque se consideraran los desafíos para la privacidad o el historial de abusos que cargan los militares. Al final, el valor a invertir en esta herramienta se fijó en $3.573 millones, además de otros $2.500 millones para comprar equipos, como monitores y cables de datos.
Para Pilar Sáenz, coordinadora del Laboratorio de Seguridad digital K+LAB de la Fundación Karisma, “no es irracional que el Estado tenga una herramienta así para hacer investigaciones”. Sin embargo, explicó que con este tipo de herramientas de ciberseguridad se puede caer en vigilancia masiva. Ella definió este último escenario así: “Una revisión de forma indiscriminada y que no necesariamente sigue una investigación particular, de fuentes abiertas en internet. Tienes a unos actores que están hablando en redes sociales sobre las cosas que están pasando y a la fuerza pública, mirando la conversación en redes sociales y haciendo filtros para ver qué pesca”.
(Le puede interesar: Socios del paramilitarismo pagan por borrar su pasado de internet)
Las empresas a las que se acercaron los militares
A pesar de ser una discusión vigente en el mundo de la ciberseguridad, no aparece mención a cómo prevenir que esto ocurra. El proyecto OSINT pasó casi sin oposición por todas las instancias en el primer trimestre de 2022. Por ejemplo, en ese tiempo, miembros de las Fuerzas Militares tuvieron reuniones o recibieron propuestas de al menos siete representantes de empresas que ofrecen este tipo de herramientas. En concreto, de S2T Unlocking Cyberspace, Voyager Labs, Mollitiam Industries, Cognyte, AWS (de Amazon), IQ Lab y Dreamlab Technologies. Algunas conocidas contratistas de los militares colombianos, otras con antecedentes cuestionados en varios países.
De las siete empresas, al menos tres enviaron propuestas detalladas de los productos que ofrecen: Voyager Labs, Mollitiam y S2T Unlocking Cyberspace. Estos documentos ofrecen una mirada inédita a una industria que se mueve en la oscuridad, pues la mayoría de sus contratos con los Estados tienen reserva y pocas veces se conocen las capacidades de las herramientas que venden. Además, expertos consultados plantean preocupaciones por la cantidad y el tipo de información que podría ser recogida sin filtros ni controles.
Lo que recuerda, inevitablemente, al escándalo de las “carpetas secretas”. No es para menos, pues hay coincidencias. En 2020, cuando se conoció que el Ejército había perfilado con herramientas similares a un centenar de periodistas y políticos, El Espectador reveló los contratos de esa institución con una de las empresas con las que se reunieron las Fuerzas Militares en 2021 para el Proyecto OSINT: Mollitiam Industries. Según al menos dos documentos filtrados, representantes de esa empresa se reunieron directamente —no a través de distribuidores colombianos— con quienes lideraban la propuesta de fortalecimiento de inteligencia digital.
(Lea sobre el proyecto ‘Story Killers’: así funciona la industria de la desinformación)
La primera mención a Mollitiam en el “leak” está en un correo, de agosto de 2021, entre los suboficiales que estructuraron el Proyecto OSINT. Uno de ellos explicaba que en esta empresa “tienen herramientas bien interesantes para acoplar al trabajo de CEICO” (Centro de Inteligencia Conjunto). Y agregaba: “Así mismo, conozco que ha venido contratando con DIPOL (Dirección de Inteligencia de la Policía), DNI (Dirección Nacional de Inteligencia) y unidades del Ejército”. Según el mensaje, hay un producto en especial de esa compañía que les podría interesar a las Fuerzas Militares: un curso “donde se estudian, de manera muy técnica, los pasos para el desarrollo de operaciones de ciberinteligencia”.
A comienzos de 2022, Mollitiam envió dos documentos a las Fuerzas Militares. Uno llamado “Propuesta Mollitiam” y otro “Propuesta Técnica Mollitiam”. Ambos aparecen referenciados en otro correo en el que fueron adjuntados, junto a una propuesta más de S2T Unlocking Cyberspace. Sin embargo, los dos primeros tienen el acceso restringido por una contraseña. El correo enviado por uno de los líderes del Proyecto OSINT advierte: “Al momento, se ha establecido contacto de forma presencial con seis empresas, mas no se ha definido la herramienta a adquirir, el presupuesto establecido se determinó como uno general producto de las cotizaciones y de las visitas efectuadas, por lo cual el proceso sigue”.
La otra propuesta que aparece adjunta en ese correo, que oferta una herramienta de S2T Unlocking Cyberspace, es una de las más detalladas en toda la filtración. Entre las capacidades que ofrece su producto, llamado WebINT, está la creación de avatares (perfiles), que desarrollan así: “El sistema permite a los usuarios crear, administrar y cultivar muchos avatares en línea, incluida la creación automática y las actividades automáticas para estos avatares. Esto permite desbloquear la información en plataformas de acceso restringido, mientras se emplean sofisticados mecanismos de seguridad para enmascarar la identidad real del usuario”.
Una vez se define un objetivo, la herramienta puede recopilar datos sobre esa persona o empresa, como su “ubicación, vehículos, números de teléfono, medicamentos, identificaciones, nombres de usuario, billeteras de bitcóin y direcciones de correo electrónico”. Esta información es recogida de forma “automática y continua”, según añade el documento. Además, quien use la herramienta puede definir a través de cuál avatar (perfil falso) pretende recopilar la información. También puede crear “casos”; es decir, seguir a un grupo de personas que están conectadas en internet por algún rasgo común o por la palabra clave que se defina.
Aunque no aparece un remitente de la propuesta, metadatos del documento indican que fue elaborado por Anirudha Sharma Bhamidipati, exrepresentante comercial de la empresa colombiana Delta IT Solutions. Consultados por este consorcio, la compañía aseguró que en septiembre de 2021 sí enviaron una propuesta a las Fuerzas Militares de Colombia, a través de Bhamidipati, “quien se desempeñaba en ese entonces como asesor de la empresa”. También confirmaron que son “aliados estratégicos” de S2T Unlocking Cyberspace y añadieron: “Ya una vez saliera publicado el proceso en el SECOP II, y si el pliego de contratación lo requiriera, se ejecutaría un demo, antes no”.
La tercera propuesta que aparece en los documentos filtrados de las Fuerzas Militares es de otra empresa conocida en esa industria: Voyager. De hecho, cuando se revelaron los perfilamientos de las “carpetas secretas”, se supo que se habían hecho con una herramienta que ofrece esta compañía. En Colombia, los representa una compañía llamada Ecomil, que en marzo de 2022 les envió cotizaciones a quienes dirigían el Proyecto OSINT, en un correo en el que le recomiendan, además, dos de sus herramientas en concreto: Voyager Analytics y Voyager Vision. Este último, explica el mensaje “es para correlacionar imágenes y video con reconocimiento facial”.
La herramienta Voyager Analytics, de otro lado, recopila información de redes sociales de los objetivos y dice que diagnostica patrones “relacionales y conductuales”. Según explica la descripción que envió Ecomil a las Fuerzas Militares, “esto ayuda a los analistas a entender las narrativas actuales y cruciales en torno a un determinado tema”. Supuestamente, se puede determinar quiénes son las personas más influyentes alrededor de una discusión pública. “Esta capacidad hace que el debate pase de los que están más involucrados en línea a los que están más involucrados de corazón”, añade el documento sobre una tercera herramienta que ofrecen: Voyager Discover.
De otro lado, está Cognyte, empresa israelí con la que las Fuerzas Militares se reunieron, luego de conocer a uno de sus directivos en la feria Expodefensa, en 2021, según muestran algunos correos. Hace un par de años está inmersa en polémicas, luego de que Meta (compañía dueña de Facebook, Instagram y WhatsApp) decidió remover alrededor de 100 cuentas de sus plataformas, en diciembre de 2021, tras concluir que sus productos fueron usados para hacer ingeniería social y vigilancia masiva en redes sociales. “Sus objetivos incluyeron a periodistas y políticos alrededor del mundo”, se lee en el reporte de amenazas de Meta.
La lista de empresas con las que se reunieron los arquitectos del Proyecto OSINT termina con AWS, IQ Lab, Dreamlab Technologies, sobre las que no hay más información. El Comando General de las Fuerzas Militares no le contestó a este consorcio si el proceso siguió adelante o fue suspendido. Entre tanto, documentos reservados muestran que luego del caso de “carpetas secretas”, la inteligencia del Ejército atravesó una auditoría, que en abril de 2020, sugirió ajustar la doctrina de inteligencia y contrainteligencia para respetar la labor de periodistas, líderes sociales, misiones médicas, sindicalistas y otras personas que podrían ser estigmatizadas.
Pese a que esa auditoría la hizo el propio Comando General y a que está probado que herramientas muy similares a las que buscaba el Proyecto OSINT fueron utilizadas para perseguir a periodistas, no aparece en los documentos cómo se va a evitar que se repita. En ese sentido, Etienne Maynier, de Amnistía Internacional, le dijo a este consorcio: “Creo que hay un alto riesgo de abuso. Quiero decir, sabemos que exactamente estas mismas herramientas fueron abusadas por este Ejército hace dos años”. Un llamado que sigue vigente, pues los documentos muestran que estas herramientas de vigilancia ya son ampliamente utilizadas por otras dependencias de la fuerza pública.