En México la privacidad más que un derecho, se ha convertido en un lujo. Sin controles y de manera arbitraria, las principales instituciones de seguridad tanto a nivel nacional como estatal, han adquirido y utilizado hardware y software para fines de espionaje.
La compra de estas herramientas no es ilegal, sin embargo, su uso sin cumplir con las leyes que marca la Constitución, sí lo es, pues con ellas se vulneran derechos fundamentales como la privacidad, el acceso a la información y la presunción de inocencia.
“Hasta donde nosotros sabemos el uso de estos programas se hace de manera legal, sin embargo, también se pueden usar de manera arbitraria por un mando, o incluso por la encargada que está ahorita, o del RT, que es el Responsable técnico; el señor conoce a gente de SEIDO y de los Ministerios Públicos a quienes sencillamente puede manejar.
La adquisición de Geomatrix
El 2 de abril de 2018, la Dirección General de Cuerpo Técnico de Control de la Subprocuraduría Especializada en Investigación de Delincuencia Organizada, la cual dependía de la entonces Procuraduría General de la República (PGR), hoy Fiscalía General de la República (FGR), adquirió por un monto total de 4 millones 564 mil 252 dólares norteamericanos, el software de espionaje Geomatrix, el cual podría ser utilizado hasta el 31 de diciembre del mismo año con posibilidades de extender su uso por hasta tres meses más, es decir, hasta marzo de 2019.
La adquisición de esta tecnología, la cual desarrolla la empresa israelí Rayzone Group, se realizó a través de una compañía intermediaria en México llamada “NEOLINX DE MÉXICO”, S.A. DE C.V., misma que en junio de 2014 fue reconocida por la empresa de tecnología italiana Hacking Team como su intermediaria exclusiva, la cual, a su vez, está ligada a la presunta compra por parte de la Secretaría de la Defensa Nacional (Sedena) en 2015 del Servicio de Monitoreo Remoto de Información, mejor conocido como Galileo.
Un programa que un año antes compró la PGR a través de Tomás Zerón, el entonces jefe de la Agencia de Investigación Criminal, y cuya función es infectar las computadoras y celulares de blancos distintos para robar toda su información.
De acuerdo con el Anexo Técnico del contrato —el cual se encuentra en posesión de Reporte Indigo— para la compra del programa Geomatrix, el cual menciona como administrador del mismo al Director General del Cuerpo Técnico de Control, José Sigifredo Valencia Rodríguez, el Servicio de Localización Geográfica en Tiempo Real para equipos de comunicación móvil asociados a una línea telefónica para 25 usuarios con acceso al servidor simultáneamente, dotó a esta institución con la capacidad para realizar 255 mil 500 búsquedas sin que exista un límite diario para teléfonos con tecnología 2G, 3G y 4G (LTE).
Llama la atención el periodo en el que se adquirió el elevado número de geolocalizaciones, pues dos días antes de que se firmara y reservara la información del contrato por 5 años, comenzaron las campañas electorales de 2018 (30 de marzo de 2018).
“En su momento estos programas se usaron cuando estaban las campañas para espiar a todos los candidatos”, revela una de las fuentes que pidió conservar su anonimato al interior de la SEIDO.
Incongruencia en los datos
La fracción XLVII del artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública establece que para efectos estadísticos, el listado de solicitudes a las empresas concesionarias de telecomunicaciones y proveedores de servicios o aplicaciones de Internet para la intervención de comunicaciones privadas, el acceso al registro de comunicaciones y la localización geográfica en tiempo real de equipos de comunicación debe transparentarse y contener el objeto, el alcance temporal y los fundamentos legales del requerimiento, así como, en su caso, la mención de que el solicitante cuenta con la autorización judicial correspondiente.
Entre abril y diciembre de 2018, de acuerdo con los informes trimestrales de solicitudes de acceso al registro de comunicaciones y localización geográfica, la entonces PGR informó que el Ministerio Público de la Federación o Juzgados Especiales requirieron 69 búsquedas de geolocalización a la Dirección General de Cuerpo Técnico de Control.
Mientras que en el primer trimestre de 2019, ya en la gestión de Alejandro Gertz Manero, fiscal General de la República, hay registro de 32 solicitudes al Cuerpo Técnico de Control para geolocalizaciones.
Sin embargo, la hoy FGR, no indica cuántos teléfonos incluyen las 101 solicitudes realizadas ni el tiempo que serán monitoreados, lo que imposibilita saber cómo se utilizaron las 255 mil 500 geolocalizaciones que se adquirieron el 2 de abril del año pasado con la compra del programa Geomatrix.
De acuerdo con datos proporcionados por la organización civil Red en Defensa de los Derechos Digitales (R3D), entre 2016 y 2017, solamente alrededor del uno por ciento de las veces que se ejerció Localización Geográfica en Tiempo Real se hizo con una autorización judicial previa.
En el resto de los casos se utilizó el mecanismo excepcional, mediante el cual la autorización judicial se puede obtener una vez que se ejerce este tipo de vigilancia.
No obstante, en el 85.6 por ciento de los casos en que se hizo uso del mecanismo excepcional, la autoridad judicial no ratificó el ejercicio de éste tipo de vigilancia, en otras palabras, en todos estos casos la medida de vigilancia no estaba justificada.
La triada espía
La compra de software para geolocalización no es la única herramienta de espionaje que utiliza tanto la Fiscalía General de la República como las estatales de manera arbitraria.
De acuerdo con dos personas que laboran en la SEIDO y cuya identidad pidieron se mantenga en el anonimato, a lo largo del sexenio pasado se utilizaron otros programas y equipos de espionaje (sin contar el de geolocalización Geomatrix) que se complementan entre ellos para poder atender una amplia gama de investigaciones. Hoy en día, dos de estas plataformas siguen activas.
El primero se llamó Tayopa (este programa se puso en pausa el 31 de diciembre de 2018), y se desarrolló bajo el mando y con conocimiento explícito del exprocurador General de la República, Jesús Murillo Karam.
El programa consistió en el armado de una serie de camionetas equipadas con hardware y software de espionaje, cuya finalidad era acotar el área de una geolocalización para dar de manera precisa con el aparato rastreado.
“En el Centro de Control Técnico contábamos con 5 sets de 3 camionetas: una llamada pasiva, otra activa y otra inhibidora o jammer; eso componía un set.
“La pasiva funciona como un “sniffer”, sirve para interceptar y escuchar llamadas. La activa funge como una antena BTS y suplanta una antena de telecomunicación; ‘es un ataque hombre en el medio’: yo hablo y pienso que me conecto a una de las antenas de la compañía que me brinda el servicio de comunicación pero realmente me estoy conectando a la camioneta, pero parece ser todo normal.
“La Jammer funciona como un inhibidor de frecuencias de señal, las bandas en donde fluctúan las comunicaciones de las compañías que brindan servicio. Es para cuando llegas a una zona y no quieres que la persona investigada se pueda seguir comunicando, entonces bajas todas las comunicaciones con ese equipo, es decir, metes frecuencia dependiendo del equipo que sea, y ya no llegan llamadas”, explican.
El costo aproximado de las camionetas fue de 8 millones de dólares norteamericanos según las fuentes.
Escuchas, una práctica vigente
Aunado al armado de estas camionetas, la Dirección General de Cuerpo Técnico de Control, la cual se encuentra adscrita a la SEIDO, también cuenta con dos plataformas que les permiten tanto extraer información como interceptar llamadas de cualquier teléfono celular y las cuales funcionan en conjunto.
La primera de ellas, bautizada como JCI, se comenzó a utilizar desde principios del sexenio pasado y fue entregada a las autoridades mexicanas por la embajada de Estados Unidos gracias a la Iniciativa Mérida.
No obstante, en el 2015, fecha en la que José Sigifredo Valencia Rodríguez, actual Director General del Cuerpo Técnico de Control, ocupó el cargo, las actualizaciones para el correcto funcionamiento de este sistema se dejaron de pagar y buscó desarrollar su propia plataforma que les brindara el mismo servicio.
Un año más tarde, bajo la gestión de Arely Gómez González como Procuradora General de la República, comienzan a diseñar con un presupuesto de 10 millones de dólares norteamericanos un nuevo sistema denominado Trinity, y para 2017 ya se encontraba operando a prueba y error con el conocimiento de Alberto Elías Beltran, quien finalmente fue el que autorizó su uso.
Actualmente, JCI se utiliza para interceptar las llamadas que provienen de la compañía AT&T exclusivamente, mientras que Trinity lo ocupan para escuchar las conversaciones de la líneas telefónicas pertenecientes a Telcel y Movistar, aseguran las fuentes.
En conjunto, ambas personas que laboran al interior de la SEIDO, coinciden en que diariamente se realizan de manera exitosa cerca de 3 mil intercepciones telefónicas.
De acuerdo con el Informe Anual de Labores 2018 del Consejo de la Judicatura Federal, las autoridades investigadoras presentaron ante los Juzgados Federales penales especializados en cateos, arraigos e intervención de comunicaciones y Juzgados de Distrito especializados en medidas cautelares y control de técnicas de investigación 34 mil 80 solicitudes, de las cuales 8 mil 611 corresponden a intervención de comunicaciones y 949 a requerimientos a concesionarios.
Asimismo, en el Portal de Servicios en Línea del Poder Judicial de la Federación, las Procuradurías y Fiscalías Generales de los Estados de la República solicitaron 8 mil 439 intervenciones de comunicación y 7 mil 255 autorizaciones de requerimientos a concesionarios de telecomunicaciones.
Con esto se concluye que al igual que en la utilización del software para geolocalización Geomatrix, la FGR incumplió con su responsabilidad de publicar información estadística sobre el ejercicio de vigilancia correspondiente a los años que van del 2015 al 2018 al no publicar información en su sitio, solamente en la Plataforma Nacional de Transparencia y al no presentar la información siguiendo el formato establecido por los lineamientos de la Ley General de Transparencia y Acceso a la Información, lo que pone en evidencia la falta de controles institucionales para la realización de estas prácticas.
Estados, los otros clientes
NEOLINX DE MÉXICO S.A. DE C.V. empresa que vendió Geomatrix a nivel federal, también tuvo vínculos con fiscalías estatales para comercializar sus productos.
El 9 de enero de 2017, diecinueve días después de que Miguel Ángel Pech Cen fuera nombrado fiscal General de Quintana Roo, instruyó al director de administración y a la subdirectora de planeación y control de recursos federales, la gestión y trámites para la compra de programas prioritarios para cumplir con las metas del Fondo de Aportaciones para la Seguridad Pública del 2016 (FASP).
En el contrato FGE/FASP/006/2017 quedó asentada la “adquisición de equipamiento para la Fiscalía General del Estado de Quintana Roo consistente: a la Partida 5 (software)”. La empresa prestó su servicio de geolocalización por 12 meses a cambio de un millón 879 mil 200 pesos.
Al final del documento, aparecen las firmas de Bernabé Cesáreo Lira Uribe, apoderado legal de NEOLINX desde abril de 2016; el exfiscal Miguel Ángel Pech, quien renunció al cargo en septiembre de 2018; y dos funcionarios más.
En la descripción del Acta Administrativa de Entrega-Recepción con fecha del 10 de marzo de 2017, se describe que la FGE compró un “software para geolocalización (incluye 2,700 consultas) marca Geomatrix, sin modelo, sin número de serie”. Es decir, que cada localización tuvo un costo de 696 pesos.
Para la compra de Geomatrix, la FGE hizo uso de recursos federales que le fueron entregados mediante el FASP, derivado del Ramo 33 del Presupuesto de Egresos de la Federación.
Además de la adquisición de un geolocalizador, la Fiscalía de Quintana Roo licitó y compró un sistema GAXG a la empresa alemana Rohde & Shcwars para intervenir líneas telefónicas. Lo anterior formó parte de la Partida 4 (Equipo de comunicaciones y telecomunicaciones) y tuvo un costo de 14 millones 750 mil pesos.
Entre las funciones que tiene el equipo GAXG se encuentra la operación con teléfonos de las compañías Telcel, Movistar y AT&T; puede realizar llamadas silenciosas para activar los equipos en sistema 3G o 2G; control remoto vía smartphone; detectar la presencia del objetivo; clonación de tarjetas SIM y bloqueo de llamadas de forma selectiva.
Neolinx y Rohde & Schwarz no son las únicas compañías de software que ofrecen soluciones de espionaje, en el radar también se encuentran Acumen Telecomunicaciones SA de CV y Eyetech Solutions SA de CV, quienes también concretaron negocios con fiscalías o procuradurías de los estados, de acuerdo con documentos en poder de R3D.
El contrato PGJDF-173/2016 señala el monto total de la adquisición por 25 millones 520 mil pesos.
El GI2, de origen israelí, es una unidad portable para apoyar operaciones encubiertas en campo. El sistema crea una red virtual que emula antenas celulares públicas transmitiendo en el área de su operación.
Los teléfonos se conectan a esta antena sustituta y el software puede obtener el control activo de los equipos conectados.
En el apartado en el que se desglosa el monto del contrato, la empresa Eyetech Solutions hizo una rebaja de un millón de pesos bajo el concepto “descuento especial cliente premium PGJDF”, por lo que el último precio no fue de 26.5 millones, sino de 25.5 millones de pesos.
La promesa de la compañía fue entregar el servicio antes del 30 de diciembre de 2016 y contó con una “licencia perpetua” y 12 meses de garantía.
El descuento de Eyetech Solutions a la Procuraduría capitalina no fue una casualidad, debido a que tres años antes ya habían celebrado el contrato PGJDF-145/2013 por un monto de 17 millones 250 mil pesos.
En el acuerdo comercial de 2013 la entonces PGJDF adquirió “un equipo activo GSM para identificación y monitoreo”. El producto incluyó la capacitación de funcionarios públicos para operarlo.
Baja California también optó por contratar los servicios de Eyetech y el 11 de noviembre de 2016 adjudicó de manera directa el contrato DAD-ADQ-PGJE-113-16 por la compra de equipamiento de vigilancia, análisis de comunicaciones y forense celular para la Procuraduría General de Justicia del Estado por 16 millones de pesos.
En la descripción del servicio, presente en el Anexo I del contrato, se describe que el Estado de Baja California tuvo un “descuento superior al 50% especial”.
La empresa Acumen Telecomunicaciones SA de CV concretó la venta de un sistema GI2 marca Verint con el gobierno del Estado de México en enero de 2015 por 62 millones 345 mil 538 pesos.
Este software cuenta con funciones similares al mismo GI2 vendido a la PGJ de la Ciudad de México; entre las diferencias se encuentra que fue Acumen -y no Eyetech- la empresa encargada de comercializarlo.
Los controles necesarios
La Fiscalía General de la República cuenta con atribuciones para intervenir comunicaciones privadas y obtener datos conservados, siempre y cuando consiga la autorización de un juez de control, quien evalúa la necesidad de realizar una investigación de este calado, según lo estipula el artículo 291 del Código Nacional de Procedimientos Penales (CNPP).
Con lo anterior, la FGR puede hacer revisión de todo el sistema de comunicación o programas que permitan el intercambio de datos, informaciones, audio, video o mensajes.
La solicitud de un agente del Ministerio Público para intervenir datos privados necesita cumplir requisitos como explicar los motivos para hacer esta acción, precisar la persona o personas que serán averiguadas e identificar los lugares dónde se realizará.
Además, se debe aclarar el tipo de comunicación a ser revisada, la duración, el proceso que se llevará a cabo, números telefónicos y la denominación de las empresas concesionadas al servicio de telecomunicaciones, dicta el artículo 292 del CNPP.
La falta de autorizaciones judiciales para que se inicie una investigación con acceso a archivos privados por parte de agentes del Ministerio Público deja al descubierto que de estas tareas de investigación no existe un registro claro y homologado que permita conocer los motivos exactos y las reglas mediante las cuales se efectúan este tipo de indagatorias.
Las fuentes al interior de la SEIDO que hablaron con Reporte Indigo aclararon también que desconocen las reglas de control interno para realizar la búsqueda de geolocalizaciones o de escucha de llamadas y los archivos en los que se organice toda la información resultante.
Además informan que quienes están al interior haciendo uso de estos programas son militares, algunos en activo y otros jubilados, situación que no corresponde a las atribuciones con las que cuentan los elementos de la Secretaría de la Defensa Nacional.
En sus reportes trimestrales del 2018 el Ministerio Público de la Federación fundamentó sus peticiones de averiguación en el artículo 303 del CNPP, en el que la “localización geográfica en tiempo real y solicitud de entrega de datos conservados” es considerado un acto de investigación.
En la Ley Federal contra la Delincuencia Organizada, se menciona que el Cuerpo Técnico de Control es el ente al interior de la FGR encargado de realizar las intervenciones de comunicaciones.
Y en el artículo 20 de la misma ley se estipula que las intervenciones deben ser registradas por cualquier medio que no altere la fidelidad, autenticidad y contenido de las mismas por quienes ejecutan esta acción, con el fin de que sean ofrecidos como prueba para la comprobación de un delito. Este lineamiento también explica que de toda acción debe quedar indicio.
“El registro contendrá las fechas de inicio y término de la intervención, un inventario pormenorizado de los documentos, objetos y los medios para la reproducción de sonidos o imágenes captadas durante la misma, cuando no se ponga en riesgo a la investigación o a la persona, la identificación de quienes hayan participado en los actos de investigación, así como los demás datos que se consideren relevantes para la investigación. El registro original y el duplicado, así como los documentos que los integran, se numerarán progresivamente y contendrán los datos necesarios para su identificación”, se lee en el artículo 20.