Que el Estado colombiano actúa como un ente de control, vigilancia y represión no es algo que sea extraño mencionar. Pero que dichas dinámicas se hacen cada vez más en el mundo digital es algo que no está tan ampliamente conocido. Vamos a describir en este artículo cómo se ha configurado esta amenaza para la sociedad civil y cuáles son los actuales riesgos que enfrentamos en el mundo virtual.
De las salas de interceptación a la cibervigilancia
Desde la fatídica época de gobierno de Uribe Velez, se instaló para la Policía Nacional en el 2007 el Sistema de interceptación Puma (Plataforma Única de Monitoreo y Análisis). Este fue montado por la israelí Verint Systems y ampliado por su compatriota NICE Systems. Verint logró vender a Colombia sus productos de interceptación Vantage y Relian, los cuales también sirvieron para constituir el Sistema Integral de Grabación Digital de la Policía Nacional de Colombia.
Estas empresas no funcionaban solas. En el caso de Nice Systems, trabajaba de la mano de Eagle Comercial SA, la cual mantiene venta de máquinas para el militarismo en Colombia como el Taser con que fue asesinado Javier Ordoñez en el 2020.
Las salas de interceptación de llamadas que utilizaban equipos como Puma, manejadas por distintas entidades del Estado colombiano, sumaban más de 100 en todo el país para el 2014. Desde estas salas, se capturó información de defensores de derechos humanos, magistrados de las altas cortes, periodistas independientes y políticos de la oposición en el conocido caso del “chuzadas” del Departamento Administrativo de Seguridad (DAS), revelado en el 2009.
De forma similar se instaló una sala de interceptación en la Fiscalía que ha existido desde el 2004 con el nombre de Esperanza. En esta se evidenció como las empresas que venden las armas de vigilancia promueven mediante la corrupción sus ventas; entre el 2008 y 2009 el director de sistemas Vladimir Flórez Beltrán fue invitado por la comercializadora colombiana de equipos de cibervigilancia STAR a almuerzos. En 2011, STAR corrió también con los gastos de billetes, hotel y demás costes de viaje de otro funcionario de la Fiscalía que tuvo que viajar a Reino Unido para verifica dos vehículos de vigilancia para los que tenía un contrato de compra con la empresa británica LMWElectronics.
Durante la presidencia de Juan Manuel Santos, en el 2014 The Citizen Lab identificó el uso del sistema de control remoto de equipos conocido como Galileo, distribuido por la empresa italiana Hacking Team. Según la fundación Karisma, “Este programa opera a través de un software malicioso, malware o spyware, que infecta el computador o celular de la persona atacada. Una vez comprometido el equipo, el atacante puede acceder abusivamente, a escondidas, al computador o al celular para sustraer datos, mensajes, llamadas y correos. El malware también le da al atacante acceso al micrófono y cámara del dispositivo y al registro del teclado del computador o celular. El software le permite al atacante hacerse a datos personales del individuo atacado, grabar imágenes, audio o cualquier otra actividad que se desarrolle en el computador o celular (o cerca del dispositivo), sin que la persona se percate”.
Fue en esta época en que se reveló la existencia de la sala de haqueo e interceptaciones “Andrómeda” escondida tras un restaurante en Bogotá, desde donde el ejército colaboraba con hackers independientes para espiar a periodistas, políticos, negociadores del Gobierno y de las Farc en Cuba y varios líderes de ONG.
Posteriormente empezaron a actualizar varias de estas tecnologías; en octubre 2019, durante la presidencia de Duque, el ejército compra el software conocido como “Hombre Invisible”, que es una herramienta destinada a interceptar correos, llamadas y mensajes de texto, y WhatsApp. En los siguientes meses, en el caso conocido como “las Carpetas Secretas”, se revelaron perfilamientos del ejército basados en el uso de esta y otras herramientas, contra varios senadores y periodistas nacionales e internacionales.
Según uno de los oficiales designados a esa tarea, “Por instrucciones de mi general, había que conseguir todo lo que se pudiera sobre el periodista gringo [del New York Times], especialmente porque consideraban que, por lo que publicó, estaba atacando a la institución y, en particular, a mi general Martínez. Había que averiguar con quién habló para eso y, además, conseguir elementos para tratar de desprestigiarlo a él y al medio.”
A los pocos meses de este escándalo, Duque anunció el retiro del comandante del ejército, en lo que luego se revelaría como control de daños frente al uso ilegal de Hombre Invisible en el batallón de ciberinteligencia de Facatativá. Esta vez, los pocos blancos confirmados de la vigilancia incluían la magistrada de la Corte Suprema Cristina Lombana y el senador Roy Barreras.
Justo durante la presidencia de Duque se intensificaron los casos de cibervigilancia y ataques cibernéticos mientras la represión se agudizó durante el Paro Nacional del 2021. El 3 de mayo en la ciudad de Cali se transmitió en vivo el asesinato de un manifestante; esa misma noche, se denunció la muerte de al menos tres personas en el sector de Siloé, al occidente de la ciudad.
Herramientas cada vez mas sofisticadas
En medio de la tensión, la noche del 4 de mayo muchas organizaciones de derechos humanos y medios alternativos denunciaron en redes que en los puntos de concentración en Cali (especialmente en Siloé) se estaba bloqueando completamente la conexión a internet. Tres días después, el 6 de mayo, muchas personas empezaron a reportar que las historias en Instagram relacionadas con #ParoNacional desaparecían. A las pocas horas, la plataforma informó que se trataba de una situación global y generalizada, no relacionado con algún tema en particular. Sin embargo, estos reportes provenían casualmente de Colombia, comunidades indígenas en Estados Unidos y Canadá, y Palestina. Vaya coincidencia!
Unos meses después, en julio del 2021 la Policía celebró un contrato para la adquisición de un “sistema de ciberinteligencia basado en inteligencia artificial” a la Unión Temporal Phoenix, por valor de más de cuatro mil millones de pesos. Este contrato incluye un software para monitorizar redes como Facebook, Telegram, Twitter, Instagram y perfilar las cuentas más influenciadoras o con mayor interacción, facilitando su geolocalización o ubicación. En esta unión temporal estaría la misma empresa española que le vendió al ejército el “Hombre Invisible”.
Al finalizar ese año, documentamos que durante la feria de armas Expodefensa la cibervigilancia era uno de los campos más importantes dentro de las empresas israelíes que participan en Expodefensa. Algunas de estas empresas son Jenovice, Voyager Labs y Cognyte Technologies. Esta última antes era conocida como Verint Systems.
Otra de las empresas en este rango es Cellebrite, una empresa originalmente fundada en Israel que provee herramientas de investigación forense digital al Estado colombiano. Estas son herramientas que usa el Estado en la búsqueda de información para acusar de delitos a alguien. Esta empresa le ha vendido al gobierno colombiano herramientas llamadas UFED que sirven para desbloquear y extraer información de teléfonos celulares. También a finales de ese año, The Citizen Lab identificó que en Colombia se estaba utilizando el software espía Predator, vendido por la empresa de capital israelí Cytrox.
Una reciente filtración demuestra que en el 2022 el ejército seguía en la búsqueda de nuevas armas de Inteligencia de Fuentes Abiertas (OSINT por sus siglas en inglés). Estas herramientas se crearon con la misión de recolectar y analizar datos de fuentes disponibles en internet, pero se han ampliado sus capacidades para incluir datos privados y la infiltración de grupos activistas en línea. Según esa fuente, una de las empresas de OSINT fue Cognyte, empresa israelí “con la que las Fuerzas Militares se reunieron, luego de conocer a uno de sus directivos en la feria Expodefensa, en 2021”.
Una Colombia sin cibervigilancia es posible
Como hemos escrito en este informe, el Estado colombiano ha consolidado una estructura de cibervigilancia y represión que debe ser no solo cuestionada sino desmontada. Por eso, en este día de acción global contra el software espía, el cual convocamos con decenas de organizaciones en el mundo, planteamos que “el software espía otorga un poder ilimitado a cualquiera que lo utilice. No hay forma de realizar un análisis forense del teléfono u computador que ha sido infectado para saber de qué manera fue manipulado. Sólo se puede saber que fue hackeado en algún momento. Esto permite a las personas de las fuerzas de seguridad que tienen acceso a esta tecnología fabricar pruebas, recopilando mucha más información que la que permite una orden judicial”.
Desde Tadamun Antimili, no solo llamamos a la denuncia global contra estos software de cibervigilancia sino también cuestionamos la estructura misma de vigilancia digital a la población en Colombia, por lo que soñamos con una sociedad libre de ella, de salas de interceptación y de ejércitos que usan esas herramientas para dañar la vida de periodistas, defensores de derechos humanos y en general que atemorizan con sus acciones a la sociedad. Una Colombia sin cibervigilancia es posible.
