CIDH: el espionaje contra periodistas y activistas “debe ser drásticamente sancionado”

El espionaje clandestino “debe ser drásticamente sancionado”, señala la Comisión Interamericana de Derechos Humanos (CIDH), a través de su Relatoría Especial para la Libertad de Expresión. Por ello, insta al Estado mexicano a investigar de forma independiente y exhaustiva las denuncias de intervenciones ilícitas de comunicaciones contra periodistas y defensores.

“La vigilancia de las comunicaciones y las injerencias a la privacidad que exceden lo estipulado en la ley, que se orienten a finalidades distintas a las autorizadas por ésta o las que se realicen de manera clandestina deben ser drásticamente sancionadas. Esta injerencia ilegítima incluye aquellas realizadas contra defensores de derechos humanos, periodistas y medios de comunicación tanto por motivos políticos, como para conocer sus fuentes de información”, observa la Relatoría Especial.

La institución también se manifiesta preocupada por los señalamientos del uso indebido del malware Pegasus, en el que habrían incurrido agentes del gobierno mexicano.

Y es que “entre enero de 2015 y agosto de 2016, se habrían registrado 97 intentos de infección de los teléfonos portátiles de periodistas, defensores de derechos humanos, abogados y políticos con un software malicioso (malware) de espionaje, conocido como Pegasus”.

A través de un comunicado, la Relatoría Especial de la CIDH “recuerda que el uso de cualquier programa o sistema de vigilancia en las comunicaciones privadas debe estar establecido de manera clara y precisa en la ley, ser verdaderamente excepcional y selectivo, y estar limitado en función a lo estrictamente necesario para el cumplimiento de fines imperativos como la investigación de delitos graves definidos en la legislación, y contar con control judicial previo”.

La Relatoría Especial llama “al Estado [mexicano] a investigar la posible vinculación de entidades estatales en estos hechos y, con ese fin, disponer de todos mecanismos legales e institucionales a su alcance para dotar de garantías de independencia e imparcialidad a la investigación, en consulta con la sociedad civil y los afectados”.

Respecto del derecho que tiene la sociedad a saber cómo se emplean los recursos de intervención de comunicaciones, la Relatoría señala que, “bajo ninguna circunstancia, los periodistas, integrantes de medios de comunicación o miembros de la sociedad civil que difundan información sobre este tipo de programas de vigilancia –por considerarla de interés público–, pueden ser sometidos a sanciones ulteriores. Esta obligación debe ser satisfecha sin perjuicio del derecho de acceso a la justicia y a privacidad de quienes habrían sido afectados o sufrido intentos de afectación por este tipo de programas”.

Contralínea


Comunicado de prensa de la Relatoría Especial de la CIDH sobre denuncias de espionaje

12 de julio, 2017

La Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos (CIDH) manifiesta preocupación ante las denuncias sobre supuesto espionaje ilegal a periodistas y defensores de derechos humanos en México e insta al Estado a llevar a cabo una investigación exhaustiva e independiente.

Según información difundida por un conjunto de organizaciones de la sociedad civil, entre enero de 2015 y agosto de 2016, se habrían registrado 97 intentos de infección de los teléfonos portátiles de periodistas, defensores de derechos humanos, abogados y políticos con un software malicioso (malware) de espionaje, conocido como “Pegasus”. De acuerdo con la información revelada, el malware afectaría al teléfono inteligente, permitiendo “el acceso a los archivos guardados en el equipo, así como a los contactos, mensajes, correos electrónicos. El malware también obtiene permisos para usar, sin que el objetivo lo sepa, el micrófono y la cámara del dispositivo”. Los hechos también fueron informados e investigados por el diario The New York Times y expertos informáticos independientes.

Entre las 19 personas que habrían sido objeto de intentos de infección con “Pegasus” en México, se encuentran los periodistas Carmen Aristegui y Carlos Loret de Mola, los defensores Mario Patrón, Santiago Aguirre y Stephanie Brewer del Centro de Derechos Humanos Miguel Agustín Pro Juárez (Centro PRODH) y al menos un integrante del Grupo Interdisciplinario de Expertos Independientes (GIEI), creado mediante un acuerdo firmado en noviembre de 2014 por la CIDH, el Estado mexicano y representantes de los 43 estudiantes desaparecidos en Ayotzinapa. Al momento de los ataques denunciados, las víctimas investigaban e informaban sobre hechos de marcado interés público y/o desarrollaban acciones de defensa de graves violaciones a los derechos humanos.

Durante la audiencia sobre Justicia e Impunidad en México, celebrada el jueves 6 de julio de 2017 en el 163 periodo de sesiones de la CIDH, las organizaciones de derechos humanos participantes expresaron su alarma por las denuncias de espionaje a personas críticas al gobierno mexicano. Estimaron además que la Procuraduría General de la República (PGR) “no puede garantizar una investigación imparcial y autónoma”, dado que su agencia de investigación criminal es una de las entidades que habría adquirido el referido malware. En tal sentido, afirmaron que “la única ruta posible hacia la justicia es por medio de la conformación de un panel internacional de expertas y expertos”. Igualmente, durante la audiencia sobre Mecanismo Especial de Seguimiento de Ayotzinapa, México, también celebrada por la CIDH en su 163 período de sesiones, el Centro PRODH denunció los intentos de espionaje en contra de miembros de esa organización.

En estas audiencias, el Estado indicó que la Fiscalía Especial para la Atención de Delitos Cometidos contra la Libertad de Expresión (Feadle) de la PGR inició una investigación por estos hechos y que los denunciantes han sido invitados a rendir declaraciones y otros elementos necesarios para adelantar la investigación. Asimismo, informó que la Feadle ha propuesto establecer una colaboración con agencias nacionales e internacionales para “fortalecer cualquier investigación y determinar, de ser el caso, las responsabilidades correspondientes”.

La Relatoría Especial toma nota que el 21 de junio de 2017, mediante comunicado de prensa DGC/203/17, la Comisión Nacional de Derechos Humanos de México informó que requirió a distintas dependencias del gobierno federal (entre ellas la Secretaría de la Defensa Nacional SEDENA, la Secretaría de Marina SEMA, el Centro de Investigación y Seguridad Nacional y la PGR) a “implementar acciones para que en caso de poseer programas para intervenir comunicaciones de aparatos telefónicos y computadoras, se abstengan de emplearlo contra periodistas, organizaciones de la sociedad civil y defensores de derechos humanos, así como contra cualquier otra persona contraviniendo el orden jurídico constitucional”. A su vez, se solicitó que, “en caso de haberse obtenido información mediante este tipo de programas, se abstengan de utilizarla o difundirla y sea valorada su legalidad por las instancias competentes” y que se “realice la investigación de los hechos con profesionalismo, exhaustividad, objetividad y diligencia”.

Asimismo, esta oficina observa que el Estado mexicano, a través de un comunicado conjunto de 10 de julio de 2017, expresó su “rechazo a cualquier acto que atente en contra de la libertad de expresión y del derecho a la privacidad de las personas”.

La Relatoría Especial recuerda que el uso de cualquier programa o sistema de vigilancia en las comunicaciones privadas debe estar establecido de manera clara y precisa en la ley, ser verdaderamente excepcional y selectivo, y estar limitado en función a lo estrictamente necesario para el cumplimiento de fines imperativos como la investigación de delitos graves definidos en la legislación, y contar con control judicial previo. La vigilancia de las comunicaciones y las injerencias a la privacidad que excedan lo estipulado en la ley, que se orienten a finalidades distintas a las autorizadas por ésta o las que se realicen de manera clandestina deben ser drásticamente sancionadas. Esta injerencia ilegítima incluye aquellas realizadas contra defensores de derechos humanos, periodistas y medios de comunicación tanto por motivos políticos, como para conocer sus fuentes de información.

La Relatoría Especial insta al Estado a garantizar una investigación exhaustiva e independiente respecto de los hechos denunciados y, en su caso, juzgar y sancionar a los responsables. En particular, la Relatoría Especial llama al Estado a investigar la posible vinculación de entidades estatales en estos hechos y, con ese fin, disponer de todos mecanismos legales e institucionales a su alcance para dotar de garantías de independencia e imparcialidad a la investigación, en consulta con la sociedad civil y los afectados.

En todo caso, corresponde al Estado garantizar el derecho de todas las personas a acceder a la información pública sobre programas de vigilancia o espionaje, su alcance y los controles existentes. Esta obligación abarca la información sobre su marco regulatorio, los contratos para la adquisición de estos programas, los protocolos y procedimientos de autorización, de selección de objetivos y de manejo de datos, así como información sobre el uso y control de estas técnicas. Bajo ninguna circunstancia, los periodistas, integrantes de medios de comunicación o miembros de la sociedad civil que difundan información sobre este tipo de programas de vigilancia, por considerarla de interés público, pueden ser sometidos a sanciones ulteriores. Esta obligación debe ser satisfecha sin perjuicio del derecho de acceso a la justicia y a privacidad de quienes habrían sido afectados o sufrido intentos de afectación por este tipo de programas.

La Relatoría Especial para la Libertad de Expresión es una oficina creada por la Comisión Interamericana de Derechos Humanos (CIDH), a fin de estimular la defensa hemisférica del derecho a la libertad de pensamiento y expresión, considerando su papel fundamental en la consolidación y el desarrollo del sistema democrático.

Relatoría Especial de la CIDH <


El expediente Pegasus en PGR: radiografía de un sistema de espionaje

El programa Pegasus de NSO Group que usa el gobierno federal para espiar teléfonos inteligentes, también se puede “distribuir” mediante estaciones transmisoras colocadas cerca del objetivo o correos electrónicos, y se autodestruye para borrar todas sus huellas si detecta el peligro de que sea descubierto, señalan documentos anexos al contrato de compra.

Aristegui Noticias presenta la documentación íntegra de la compra que realizó la Procuraduría General de la República (PGR) a la empresa Grupo Tech Bull, que incluye: la cotización del programa malicioso, el contrato firmado el 29 de octubre del 2014, un convenio entre la dependencia y la empresa para reconocer un adeudo y los anexos técnicos que detallan los alcances del software.

Parte del contrato original para adquirir el software utilizado para espiar a periodistas, activistas, líderes partidistas e investigadores internacionales del caso Ayotzinapa fue revelado por Noticieros Televisa el pasado 29 de junio.

Sin embargo, todavía faltaban diferentes piezas para retratar de cuerpo entero los alcances del “agente” Pegasus, denominación que utiliza el contrato para referirse al programa espía.

LA COTIZACIÓN

Una primera revelación del nuevo paquete de documentos señalan que la adquisición de Pegasus se realizó con prisa. La cotización del software desarrollado por NSO Group está fechada el 24 de octubre del 2014, es decir, cinco días antes de que se concretara la operación de compra venta.

EL CONTRATO ORIGINAL

El contrato original para la adquisición del programa espía tiene fecha del 29 de octubre de 2014 y el costo de la transacción comercial fue de 32 millones de dólares. El dinero utilizado para la compra salió de la partida 55102 asignada a la PGR, denominada “Equipo de seguridad pública y nacional”.

Por parte de Grupo Tech Bull, firmó el ciudadano Luis Armando Pérez Herrero. De acuerdo con el registro de profesiones de la Secretaría de Educación Pública (SEP), Pérez Herrero es ingeniero en Sistemas Computacionales, por la Universidad del Valle de Orizaba, Veracruz.

Por parte de PGR, avalaron la compra Tomás Zerón de Lucío, jefe de la Agencia de Investigación Criminal (AIC); el titular del Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (Cenapi), Vidal Diazleal Ochoa; y el director de información sobre actividades delictivas del Cenapi, Rigoberto García Campos.

El documento incluye dos justificaciones para la adquisición del malware: riesgo y urgencia. Según la PGR, la carencia del programa vulnera su capacidad de operación y su margen de operación frente a las organizaciones delictivas.

La urgencia obedece a la situación que atraviesa el país y a que la PGR es “un blanco para la delincuencia organizada”, derivado de sus funciones para perseguir el delito y combatir a los grupos criminales.

LA CONFIDENCIALIDAD Y LA RESCISIÓN DEL CONTRATO

El contrato para la adquisición del programa espía reconoce que los empleados de Grupo Tech Bull tienen acceso a información confidencial y de seguridad nacional, por lo que se obliga a esa empresa y a sus empleados a respetar la secrecía en torno a Pegasus y todo lo relacionado con su operación.

No respetar la confidencialidad, advierte el acuerdo comercial, puede derivar en que se presenten denuncias penales, civiles o de otra índole en contra de la empresa y de quienes violen la secrecía del contrato.

Además, se obliga a Tech Bull a responder por los daños y perjuicios que sufra la PGR como consecuencia de una filtración o mal uso de los datos obtenidos mediante el programa de espionaje.

“El Proveedor (Tech Bull) queda obligado a guardar absoluta confidencialidad, así como a no utilizar por sí o por interpósita persona la información, datos y resultados derivados de su participación en la entrega de ‘EL BIEN’ objeto del presente contrato. Para el caso de incumplimiento la Procuraduría se reserva el derecho de ejercitar la acción que corresponda ante las autoridades respectivas, las cuales pueden ser civiles, penales o de otra índole”, advierte el documento.

CONVENIO DE RECONOCIMIENTO DE ADEUDO

El 29 de julio del 2015, PGR y Grupo Tech Bull firmaron un acuerdo para reconocer un adeudo de la dependencia federal con la empresa intermediaria del programa de espionaje informático.

El convenio señala que la PGR adeudaba 145 millones 989 mil pesos a la compañía derivado de los servicios prestados por Pegasus hasta esa fecha, condicionado el pago del adeudo a un mejoramiento y actualización del “agente” Pegasus.

En el documento se señala que previo al pago de cualquier cantidad de dinero, Tech Bull debería entregar a la empresa israelí NSO Group Technologies una copia de los protocolos de prueba realizados el 21 de julio del 2015 en las instalaciones de la PGR.

Posteriores al pago realizado por la PGR, la compañía mexicana tendría que actualizar Pegasus a su versión 2.17 y dar acceso a esa dependencia al software Nagios, un programa desarrollado por una tercera compañía para monitorear la infraestructura del programa de espionaje y evitar el mal uso del mismo mediante un sistema de alertas.

LA RADIOGRAFÍA DEL ANEXO TÉCNICO

El Anexo Técnico para la compra y operación de Pegasus revela características poco conocidas del “agente” espía: es autodestructible, se roba las contraseñas de todas las aplicaciones utilizadas por un smartphone y tiene la posibilidad de realizar infecciones mediante correos electrónicos o estaciones de transferencia cercanas al objetivo.

El documento también explica las capacidades de monitoreo en tiempo real de un blanco, el mecanismo para analizar “offline” la información recopilada de los dispositivos intervenidos y hasta el uso de la memoria de los móviles y los paquetes de datos de las propias víctimas de espionaje.

La autodestrucción “en caso de exposición de riesgo” funciona de la siguiente manera: cuando el “agente” Pegasus es detectado o existe la posibilidad de que se vea expuesto, el malware se desinstala de forma automática y autodestruye todos sus rastros dentro del teléfono intervenido.

La autodestrucción del programa espía también se da cuando el programa de espionaje no logra comunicarse por “mucho tiempo” con los servidores que sirven para monitorear la información extraída.

En ambos casos, la empresa NSO Group garantiza que los datos que ya fueron robados de un dispositivo, se conservaran en la plataforma offline.

El software malicioso también ofrece la posibilidad de ser desinstalado una vez que ya cumplió sus objetivos, opción que se puede realizar de manera remota y sin dejar ningún tipo de evidencia.

LA INFECCIÓN CON ESTACIONES TRANSMISORAS Y CORREOS

Sobre las formas de infección, el anexo técnico reconoce que la instalación de Pegasus “es la fase más sensible e importante de la operación”, pues se requiere que el blanco haga clic en los mensajes de texto o correos electrónicos que le fueron enviados, previo conocimiento de sus formas de comunicación.

Por lo mismo, NSO Group ofrece la posibilidad de enviar “mensajes de ingeniería social mejorados” con altos niveles de credibilidad para hacer caer en la trampa a los objetivos.

Pero una solución todavía más intrusiva es el uso de estaciones transmisoras de red táctica, las cuales tienen un rango de acción limitado y para lo cual se requiere que el blanco del espionaje, se encuentre muy cercano a este tipo de redes de intercepción de telecomunicaciones que primero localizan el dispositivo y posteriormente “inyectan” al agente espía.

La información personal o de seguridad nacional viaja en la infraestructura de NSO Group antes de depositarse en servidores del gobierno mexicano.

ESPIONAJE EN ZONA CALIENTE Y CON TU PROPIO PAQUETE DE DATOS

El virus informático de NSO Group puede mandar la información que extrae de los dispositivos a las plataforma que opera el gobierno mexicano mediante las redes de telefonía móvil pagadas por las propias víctimas de espionaje, las redes wifi e, incluso, mediante mensajes SMS.

Sin embargo, el documento incluye una alerta: no sobrepasarse con la comunicaicón mediante SMS, porque puede aparecer en la factura de los servicios teléfonicos del usuario.

Si no hay una forma de conectarse al exterior, el malware desarrollado por NSO Group sigue trabajando de forma silenciosa y crea una memoria interna dentro del equipo infectado para encriptar y guardar los datos, hasta que sea posible enviarlos a los espías de la plataforma.

Las intervenciones para activar el micrófono o las cámaras fotográficas se pueden programar usando el GPS del teléfono celular, con el fin de vigilar de manera más intensa a un objetivo cuando abandona o se acerca a una zona geográfica específica o cuando tiene contacto con otra persona sujeta a investigación.

El anexo denomina a esta situación alertas de “zona caliente y el área de espionaje o la persona de interés debe programarse previamente.

Aristegui Noticias