En un hecho inusual en Colombia, cuando se trata de obras públicas, el 27 de marzo de 2013 la Policía Nacional inició el proceso para la construcción de un edificio ubicado en la localidad de Puente Aranda. Un año después, desde la construcción se estaría poniendo en riesgo la privacidad de todos los colombianos.
La nueva estructura es tan solo una pequeña parte de una mega estrategia de las autoridades colombianas para crear la ciberdefensa del país. Argumentan que Colombia debe prepararse para el postconflicto y tener un mecanismo para luchar frente a una serie de amenazas a la seguridad nacional que se estarían haciendo a través de Internet usando el espectro electromagnético.
Todo el nuevo entorno tecnológico y legal en Colombia pudo abrir una caja de pandora donde periodistas, defensores de derechos humanos e incluso funcionarios públicos que manejan información sensible tendrían que valorar qué tan segura es la comunicación que realizan a través de Internet y teléfonos celulares.
Denotelopuedocreer.com investigó los contratos de acceso público de la Policía y halló, entre otras cosas, que se adquirieron equipos y software que en otros países han sido usados para espionaje masivo.
Igualmente, este portal habló con expertos de Privacy International, quienes desde Londres, ofrecieron información que permite alertar a la ciudadanía sobre la situación en Colombia.
Toda la información sobre las nuevas capacidades tecnológicas de las autoridades se confirmó con la Fundación Karisma, quienes han venido advirtiendo sobre el asunto.
Igualmente se tuvo acceso al concepto técnico del antioqueño Andrés Gómez, un estudiante de doctorado en Alemania, quién a mitad de año, en una presentación que circula en Internet y que se presentó en una convención de hackers locales, describió perfectamente el panorama.
“La privacidad de los colombianos está en riesgo. Especialmente desde la expansión de Puma. Cuando esto finalmente ocurra podrán capturar un alto volumen del tráfico de Internet, lo cual es algo nuevo en el país”, afirmó a denotelopuedocreer.com Mike Rispoli, vocero de la organización Privacy International.
Dentro de las adquisiciones tecnológicas que la Policía Nacional ha venido comprando sobresale un software llamado Reliant. Según el pliego de condiciones para la Actualización y Mantenimiento de la Plataforma Puma su compra estaba planeada desde el año 2010.
Colombia no solamente adquirió este software de la empresa israelí Verint. A esta compañía — que vende sus productos como soluciones de espionaje legal — también se le compró Vantage según afirma Privacy International y se puede leer en algunos contratos de acceso público
Pero cuál es problema de que Colombia adquiera con dineros públicos estas tecnologías. Un ejemplo internacional lo ilustra perfectamente. Autoridades de Eslovaquia, un pequeño país del centro de Europa, usaron Vantage para capturar tres millones de correos electrónicos y 12 millones de web mails por día.
Según una investigación de Privacy International disponible en línea, se había conocido que ese país había instalado el sistema Verint años atrás. “El centro de monitoreo comenzó a funcionar inadecuadamente y empezaron a monitorear a periodistas y la oposición política”, afirma el caso de estudio. “Las 16 sondas que se usaron en este ejemplo fue el mismo número que compró la policía nacional de Colombia”, afirmó Rispoli.
La compañía Israelí vende centros de monitoreo y comunicaciones, tecnologías de vigilancia en video y localización y sus productos tienen una audiencia global. Se usa en la India, Israel, Costa de Marfil, Holanda, Eslovaquia y Estados Unidos.
El problema de este tipo de tecnologías es que los países que los adquieren no tienen un marco legal claro acerca de sus alcances. Además, son las pocas personas que al interior de las naciones conocen realmente cómo funcionan y qué hacen.
“ La privacidad de los colombianos está en riesgo. Especialmente desde la expansión de Puma. Cuando esto finalmente ocurra podrán capturar un alto volumen del tráfico de Internet, lo cual es algo nuevo en el país”, Mike Rispoli, vocero de la organización Privacy International".
El mal uso de estas tecnologías pueden ocasionar amenazas a la libertad de expresión, la privacidad y pone en riesgo que las ideas fluyan a través de la web. Un peligro para los estados democráticos.
En enero del año pasado en medio del escándalo del espionaje masivo por la NSA en Estados Unidos el periodista Ryan Gallaghuerdel advirtió en la revista Slate que las tecnologías de Verint “ se pueden adaptar para interceptar llamadas telefónicas y correos electrónicos de millones de ciudadanos comunes y almacenarlos en grandes bases de datos para su posterior análisis”
Según una presentación de @Kuronosec, Andrés Gómez, en DrangonJar Security 2014 Vantage tiene la capacidad de realizar interceptación masiva. Puede recopilar e indexar aproximadamente dos millones de mensajes de correo electrónico por día. Además puede analizar 20 millones de mensajes de texto.
“Vantage analiza todo el tráfico de la red a medida que las comunicaciones atraviesan la sonda”, afirma en su presentación.
Por su parte Reliant — la otra tecnología adquirida en Colombia — es un sistema de interceptación del cable por donde viajan los datos. Tal y como Vantage ofrece un centro de monitoreo.
A pesar de las polémicas en el mundo es poca la información que se conoce acerca de cómo actúan estas tecnologías. Algunos defensores de la privacidad en Internet, entre ellos Privacy Interntational, han publicado en Internet algunos folletos promocionales de la herramienta para advertir de sus capacidades y poner en alerta a ciudadanos acerca de los efectos y consecuencias de uso.
Pero Reliant y Vantage tan solo son la punta del Iceberg. Esta no es la tecnología central y solo hace parte de un gran plan para tener el control sobre Internet y todos los datos que viajen sobre el espectro electromagnético.
La investigación de Privacy International que denuncia lo que está pasando en Colombia hablará de cómo varias entidades públicas usan una amplia gama de tecnologías de vigilancia. Este documento se hará público en los próximos días.
En Colombia se usan tecnologías que capturan grandes volúmenes de datos hasta dispositivos que lo hacen para pequeña cantidad de información.
En la primera categoría se adquirieron sondas de fibra óptica que son capaces de obtener datos del cable por donde viajan los datos que hacen posible la conexión Internet .
Igualmente se tienen evidencias de dispositivos para líneas E1, es decir, algo así, como dispositivos que pueden captar datos de líneas telefónicas y señales celulares.
“En la categoría de altos volúmenes de información nosotros hemos encontrado evidencias de compras hechas por varias entidades, no todas conectadas con Esperanza”, afirma Privacy.
En los dispositivos cuyo objetivo no es adquirir altos volúmenes de información están los IMSI Catchers – Móviles. Permiten que analistas registren identificación de quién llama y tienen la capacidad de escuchar llamadas en un centro geográfico y determinar movimientos direccionales.
Según explicó uno de los investigadores de Privacy un IMSI Catcher puede hacer una escucha de todo lo que pasa en términos de información que viaja a través del uso de celulares en un edificio. Incluso se tendrían carros a los que se les adaptó esta tecnología.
A tal punto ha llegado el uso de tecnología de espionaje en Colombia que, según esta organización se tienen evidencias de “dispositivos cuyo tamaño podría ser el de un pequeño insecto. Tienen cámaras escondidas en paquetes de chiclets”. Igualmente tecnología que puede copiar lo que tiene un computador completo no importa si tiene claves y un cierto nivel de seguridad.
Pero no solo Privacy International confirma que Colombia ingresó al club del monitoreo digital. La resolución 0589 del 18 de junio de 2013, de la dirección administrativa reconoce que “la Policía Nacional cuenta con la plataforma única de monitoreo de análisis (Puma) de referencia Reliant fabricado por la compañía Verint”.
Dentro de los equipos que se adquirieron o están en proceso de su compra se tienen: una sonda para Internet Ip – Prober marca Verint, ochenta y tres computadores un servidor de grabación AMS de 3E1 de líneas fijas, así mismo equipos de almacenamiento de datos.
Igualmente, un módulo de monitoreo de datos de los proveedores de Servicios de Internet. Es decir, que la información de empresas como Claro, UNE, ETB, entre otras, estarían siendo monitoreadas.
Datos que viajan a través de empresas como Claro, UNE, ETB, entre otras, estarían siendo monitoreadas.
Este edificio se encuentra ubicado en la carrera 63 No 19 04. Localidad de Puente Aranda. Es la primera fotografía de una de las edificaciones donde PUMA se hace realidad.
Se adquirió igualmente un predio de 7.200 metros cuadrados, se adecuó un edificio de tres pisos, un inmueble de siete pisos y se planean o ya están funcionado 700 puestos de trabajos conectados a Internet para personal humano que realizará la actividad.
La puesta en marcha de Puma le costó al país 100.000.000.000 millones de pesos y según la única respuesta oficial que se tiene de la policía en una carta del 2013 enviada a la representante Pilar Rodriguez y que firmó el general José Roberto León Riaño, director en su momento de la Policía Nacional, se invirtieron 50.000.000.000 millones de pesos este año.
Fundación Karisma advierte no solo sobre el uso de estas tecnologías y los riesgos para los derechos de los colombianos. El marco legal, la falta de veeduría y controles ciudadanos, legales y estatales nos sitúan a todos los usuarios de Internet y telefonía en una coyuntura bastante preocupante.
“Nos alarman los prolongados tiempos de almacenamiento de los datos de los usuarios. En Colombia es de cinco años. Es algo que a nivel internacional es de los mayores que se tienen en el mundo. Eso angustia”, afirmó a denotelopuedocreer.com María del Pilar Sáenz, coordinadora de proyectos, Fundación Karisma.
“Lo que es alarmante es la falta de controles y mecanismos de transparencia para que la sociedad civil revise un poco cómo está el tema realmente.”, reiteró la vocera entrevistada que hace parte de una fundación interesada en los derechos humanos en áreas digitales.
¿Y como llegó Colombia a todo esto?. Todo parece ser un problema semántico en la Ley. La diferencia entre interceptación de comunicaciones y el monitoreo del espectro electromagnético. Este tema se tratará en una siguiente entrega.
Igualmente, el decreto 1704 de 2012, que firmó el ministro Diego Molano Vega y que sería el camino legal para que las ISP tengan que dar ayuda a las autoridades para recopilar información de usuarios. Así mismo la falta de discusión pública y expertos que adviertan sobre los pros y contras que tienen estas tecnologías.
El tema legal, qué hacer ante contextos de monitoreo y por qué todos los colombianos debemos empezar a valorar el derecho a la privacidad harán parte de los artículos que se publicarán como parte de la serie sobre Tecnologías de Monitoreo en Colombia que publicaremos en este portal del 24 al 28 de noviembre.
DIego Molano Vega, ministro de MINTIC
190.242.96.49
Aparte de la adquisición y puesta en funcionamiento de tecnologías de monitoreo uno de los aspectos más preocupantes tiene que ver con la posible contratación de servicios de hackers internacionales.
Existen evidencias suficientes para pensar que alguna autoridad colombiana contactó y utilizó un sistema de espionaje (Spyware) que se usó en Colombia a finales del año pasado y se siguió usando los primeros meses de este año.
No se encuentra evidencia física de contrataciones pero sí se tienen registros de direcciones IP por donde ha pasado la información.
El Citizen Lab, un laboratorio interdisciplinario de la Escuela de Asuntos Globales de la Universidad de Toronto, documentó con lujo de detalles en febrero de este año lo que está sucediendo con este tipo de espionaje a nivel global. Dentro de sus hallazgos aparece Colombia.
Los investigadores Bill Marczak, Claudio Guarnieri, Morgan Marquis-Boire y John Scott-Railton descubrieron que gobiernos de todo el mundo estaban comprando un sofisticado sistema de espionaje (Spyware) llamado Remote Control System.
Se afirma que el gobierno colombiano o alguna autoridad nacional está involucrada con el uso de este servicio porque el grupo italiano Hacking Team, cuya sede está en Milán, solo comercializa su producto de forma exclusiva a gobiernos y además la dirección IP 190.242.96.49 quedó detectada como un punto en el cual pudo llegar información luego de un ataque.
El uso de RCS se ha conocido desde el 2012. Se usó para espiar el medio de comunicación marroquí Manfakich, un portal de Internet y periodismo ciudadano que fue galardonado por Google.
El sitio web, que no es precisamente amigo del gobierno, recibió uno de los ataques más avanzados alguna vez registrados.
Un día el editor del sitio web recibió un correo electrónico donde un anónimo compartía supuesta información confidencial sobre actos ilegales en el gobierno.
En un archivo disfrazado de documento word cuyo nombre era El Scandale (2).doc estaba escondido un troyano que se instaló en el computador y que tenían la capacidad de tomar pantallazos, leer correos electrónicos y chats, espiar conversaciones, usar micrófono y cámara del equipo y hasta evitar cualquier tipo de detección.
Los expertos del instituto canadiense de investigación han documentado que RCS ha sido usado en Arabia Saudita, contra defensores de derechos humanos y en contra de periodistas etíopes en Estados Unidos. Igualmente se tienen registros en Panamá y México.
Los investigadores que igualmente son defensores de los derechos humanos en Internet detectaron cómo se usaban proxy servers para lavar la información recolectada.
Luego de que se instala el troyano y si tiene la información requerida los datos viajan por todo el planeta en diferentes servidores y finalmente llega a un lugar con una conexión en Internet. “Creemos que este sitio (EndPoint) representa la dirección del operador gubernamental que realiza la acción”, afirmaron en su investigación.
Para el caso colombiano se detectó que el servidor 190.242.96.49 es un endpoint. Por esta razón el país se encuentran en la lista de países que han usado RCS.
Mapa de naciones que usan el spyware que solo se vende a gobiernos. Todos países con problemas en sus democracias.
Para Colombia se tienen registros de actividad de esta tecnología en esa dirección por primera vez el 21 de septiembre de 2013 y por última vez el 7 de enero de 2014. Se desconoce si se siguió usando y tampoco se sabe quiénes fueron las víctimas.
Ante las nuevas tecnologías y las evidencias de actividad ilegal a través de troyanos la gran pregunta ahora es qué está pasando y cuál es el futuro de la privacidad de los colombianos. Un derecho humano esencial no solamente protegido por la Constitución sino que hace parte de la declaración universal de derechos humanos.
Este portal se intentó comunicar con el teniente coronel Fredy Bautista quien implementó el primer gabinete de informática forense de la Policía así como la creación del Centro Cibernético de la entidad. No se obtuvo respuesta sobre varias preguntas que surgen luego de darse a conocer estas compras y la puesta en marcha de Puma.
La teniente coronel Doris del Campo Gacharná, jefe de comunicaciones estratégicas, dirección de Investigación Criminal e Interpol ,respondió en correo electrónico : “ Las preguntas que usted nos envía no están relacionadas con el tema acordado en un principio, además el tema de la sala PUMA únicamente es competencia de la Dirección General de la Policía Nacional y para lo cual el vocero autorizado es el señor General Rodolfo Palomino López, director General de la Institución”.
PUMA
– Módulo de monitoreo de voz y datos móviles.
– Adquisición de un módulo de datos de ISP.
– Adquisición de un módulo de localización de objetivos.
– Esta plataforma tendrá la capacidad de analizar cerca de 20000 objetivos de telecomunicaciones con una escalabilidad de 100000 objetivos.
Denotelopuedocreer.com envió una serie de temas que querían ser abordados y en los que se pidió respuesta de la policía.
Igualmente nos comunicamos con el Ministerio TIC en cabeza de Diego Molano Vega ya que son los encargados de garantizar la política pública de un Internet viable y seguro para todos los colombianos.
El 20 de noviembre, Viviana Pamela Leal García, funcionaria de la oficina de comunicaciones recibió estas preguntas que hasta el momento no tienen repuesta y que por supuesto necesitan ser atendidas por algún funcionario público.
Este portal queda atento a las respuestas y peticiones que se hicieron a las entidades públicas.
Es apenas obvio y necesario que las autoridades necesiten desarrollar capacidades tecnológicas para combatir el crimen en Colombia. Sin embargo, queda la duda acerca de qué tanto estamos dispuestos los colombianos a perder en aras de una sociedad supuestamente más segura.
Para Privacy International una de las mayores preocupaciones es cuánta información de gente inocente está siendo recolectada bajo el argumento del Monitoreo del Espectro.
Aunque no se ha filtrado ningún tipo de prueba que permita confirmar plenamente que se esté involucrando y guardando información de gente inocente y que no tiene nada que ver con investigaciones judiciales o que incluso se esté utilizando todo este equipo técnico para actividades por fuera de la ley, Privacy International puede confirmar que no es una preocupación teórica.
“Oficiales que han hablado bajo el anonimato afirman que se recoge más información de lo que es razonable”, le dijo a Denotelopuedocrer Mike Rispoli, vocero de la organización
*Este artículo hace parte de una serie periodística sobre Tecnologías de Monitoreo en Colombia que será publicada del 24 al 28 de noviembre.
Realizado por Camilo Andrés García | Twitter: @Hyperconectado
Sitio web: denotelopuedocreer.com
