Durante años el gobierno mexicano ha usado una poderosa herramienta cibernética para espiar a los ciudadanos. En teoría nadie escapó al fisgoneo de sus cuentas de correo, redes sociales, llamadas telefónicas, mensajes de texto. Y esa herramienta la maneja una compañía, Hacking Team, que tiene entre sus clientes, además de la federal, a muchas administraciones estatales. Pero la empresa del superespionaje fue espiada y vulnerada, así que la información ilegal –política, financiera e incluso personal– de sus espiados está ahora al alcance de casi cualquiera en internet.
El ataque cibernético en contra de la empresa italiana
Hacking Team –asunto que se hizo público el domingo 5– fue catastrófico para el
gobierno del presidente Enrique Peña Nieto y una docena de gobernadores. La
intervención y filtración de las bases de datos de la empresa productora de
programas y desarrollos informáticos puso al descubierto que desde el sexenio
pasado las autoridades mexicanas espían a sus ciudadanos.
Aunque la información se refiere sólo a una empresa
proveedora de ese tipo de software, las bases de datos hackeadas (es decir,
vulneradas, descifradas y robadas) demuestran la intensidad de los gobernantes
mexicanos en materia de espionaje. La referencia principal es que, hasta antes
del ataque, México era la principal fuente de ingresos de Hacking Team. Por
entidades, el Centro de Investigación y Seguridad Nacional (Cisen) era su
tercer cliente más importante en el mundo.
La puerta de entrada de Hacking Team a México fue el
propio Peña Nieto. Cuando era gobernador del Estado de México, su
administración contrató en 2009 a esa empresa de Milán. El propósito fue
equipar a los Cuerpos de Seguridad Auxiliares del Estado de México (Cusaem) con
un software que le permitiera hacer el seguimiento de personas, instituciones y
organizaciones consideradas “objetivos” de su gobierno.
Computadoras, teléfonos celulares y otros
dispositivos, cuentas de correo, redes sociales, contactos, mensajes escritos o
de voz, chats, conversaciones por Skype, imágenes… toda la información de esos
“objetivos” ha sido hurgada desde entonces no sólo por el gobierno del Estado
de México, sino por el federal y, desde hace dos años, por otros gobiernos
estatales y hasta por Petróleos Mexicanos (Pemex).
Abierto así el camino en México, Hacking Team es desde
hace seis años proveedor del gobierno federal, y desde hace dos, de una
creciente lista de administraciones estatales.
El principal producto que han comprado es un potente
sistema llamado Remote Control System, capaz de penetrar de manera simultánea
“miles” de celulares y computadoras, desde donde infiltra las cuentas
personales en Facebook, Google, Yahoo, Gmail, etcétera, para extraer imágenes,
correos, chats y mensajes de texto con archivos adjuntos de voz. También puede
extraer datos y multimedia y hacer inútil la encriptación.
Con México como uno de sus principales compradores,
hasta antes del ataque cibernético Hacking Team tenía planeado expandirse. Para
octubre próximo está anunciado como uno de los patrocinadores del encuentro
internacional Telestrategias, que se realizará en la Ciudad de México
organizado por ISS World Latin America, empresa dedicada a los sistemas de
apoyo de inteligencia para intercepción legal, vigilancia electrónica y
obtención de ciberinteligencia.
Pero más importantes eran las intenciones de compra
que le habían manifestado tanto el gobierno federal como algunos estatales, una
vez que pasaran las elecciones del pasado 7 de junio.
Tierra de oportunidades
En el gobierno federal, los programas de la empresa
italiana han sido comprados desde el sexenio pasado para las secretarías de
Gobernación (Cisen y Policía Federal), de la Defensa Nacional (Sedena), de
Marina, la Procuraduría General de la República (PGR) y hasta para Pemex.
Entre la información de la empresa hecha pública el
lunes 6, está el plan estratégico de Hacking Team para México, al cual la
empresa caracteriza como clave para sus ventas en el Continente Americano.
Además del gobierno federal, el plan identifica como
clientes a los del Estado de México, Querétaro, Puebla, Campeche, Tamaulipas,
Yucatán, Durango, Jalisco y Baja California. La peculiaridad común es que la
agencia responsable ante la empresa italiana es, en todos los casos, la
“oficina del gobernador”. Por el tiempo en que esos gobiernos compraron los
equipos se trata de los actuales mandatarios estatales.
En el caso del Estado de México, los equipos han sido
para los Cusaem y la Procuraduría General de Justicia.
Además, según la información intervenida, Sonora y
Nayarit eran considerados el año pasado por la empresa como “oportunidades”,
mientras que los actuales gobiernos de Chihuahua, Guerrero y Zacatecas, además
de la Sedena y la Policía Federal (PF), tenían prometidas compras para el
tercer trimestre del año pasado. En el caso de la Defensa, por 510 mil euros, y
en el de los gobiernos, 350 mil cada uno.
Desde 2009 la inversión conjunta del gobierno federal
y los estatales ha sido de 5 millones 808 mil euros, que al tipo de cambio
actual equivalen a unos 100 millones de pesos, que han salido de los
presupuestos públicos. Un costo relativamente bajo para las ganancias que las
autoridades federales y estatales han obtenido en el conocimiento de sus
blancos a seguir.
Pero 2015 iba a disparar esa cifra. Pasadas las
elecciones, los vendedores de Hacking- Team respondieron a solicitudes de
cotizaciones por parte de varias instituciones y entidades para adquirir la
última versión de su sistema Galileo.
Días antes del hackeo y de la exhibición de la base de
datos de la empresa, sus intermediarios advertían que los contratos estaban
prácticamente ganados. Otra vez, para el gobierno federal y otros gobiernos
estatales. Para la PF se elevaba a 785 mil euros. Para la Sedena, a más de 1
millón 500 mil euros. Para la Unidad Antisecuestro de Jalisco, a 925 mil euros.
La propuesta para Guerrero, fechada al 21 de enero de 2014 y calificada de
“extremadamente confidencial”, se elevaba a 610 mil euros.
Las bases de datos de Hacking Team incluyen listas e
historial de sus clientes, las empresas intermediarias que colocaron el equipo
en México y otros países, nombres de ejecutivos y operadores, correos
electrónicos, facturas, cartas de crédito, bitácoras y todo tipo de información
que muestra las relaciones comerciales de la empresa.
En total, más de 400 gigabytes de la empresa italiana
y sus clientes, entre los que destaca México. Otros de los compradores de
software de intrusión son Marruecos, Arabia Saudita, Malasia, Etiopía, los
Emiratos Árabes Unidos, Singapur y Chile, además de Italia y Estados Unidos.
Desde el sexenio pasado
El sofisticado ataque cibernético llevó días, incluso
semanas, superando nuestras defensas, explica a Proceso Eric Rab, jefe de
marketing y oficial de comunicaciones de Haking Team. “Hemos hablado con
nuestros clientes, les hemos explicado lo que sabemos del ataque y les hemos
pedido suspender cualquier investigación que tengan en curso. Todos los
clientes han acordado hacer eso”, respondió vía electrónica.
En esa condición se encuentran por lo menos una
veintena de compradores mexicanos, a decir de la información consultada por
este semanario. Después de las compras en 2009 del gobierno de Peña Nieto en el
Estado de México, se desató la adquisición de equipo por parte del entonces
gobierno de Felipe Calderón y luego de gobiernos estatales.
En 2010 el gobierno federal empezó a comprar a través
del Cisen y de la PF. Al siguiente año, la Marina se convirtió en nuevo cliente.
Según lo reportado por las propias dependencias a la empresa italiana, el Cisen
tenía 140 “objetivos”; la Marina, 100, y los Cusaem, 100.
A cargo entonces de Guillermo Valdés Castellanos, el
Cisen ha sido el principal comprador de software intrusivo y ofensivo a Hacking
Team.
Entre los gobiernos de Calderón y de Peña Nieto, la
agencia de seguridad del Estado mexicano ha comprado a la empresa italiana
equipos y software por 1 millón 390 mil euros.
El Cisen y los Cusaem han sido los únicos adquirientes
mexicanos directos de ese tipo de programas informáticos. Las demás autoridades
mexicanas han adquirido el llamado software “defensivo” y lo han hecho a través
de empresas privadas.
Las empresas identificadas como intermediarias son
Teva Tech de México, Sym Servicios Integrales, Elite by Carga y Dynamic Trading
Exchange, con contratos firmados. También están como distribuidores oficiales
Neolinx, Grego y Cloudsec, aunque hasta donde indica la información no habían
concretado ventas en el momento del hackeo.
El empresario de seguridad Eduardo Margolis, implicado
por Florence Cassez- en su caso judicial en México, también intentó convertirse
en intermediario de Hacking Team con su empresa Epel, al ofrecer a los
ejecutivos italianos sus “relaciones de alto nivel con el gobierno mexicano” y
sus contactos con el de Israel.
De acuerdo con las facturas exhibidas, esas empresas
intermediarias adquirieron entre 2012 y 2014 licencias para explotar el Remote
Control System, en sus sucesivas versiones, primero Da Vinci y luego el más
sofisticado Galileo, capaces de penetrar varios targets (objetivos) al mismo
tiempo.
Mina mexiquense
Después del Cisen, la entidad que más ha gastado en el
software de la empresa italiana es el Estado de México. Con Peña Nieto, en
2009, gastó 400 mil euros; después, en 2012, ya en el actual gobierno de
Eruviel Ávila, 783 mil euros para la Procuraduría General de Justicia (PGJ).
En el primer caso, el responsable de los Cusaem era
Ciro Mendoza Becerril, considerado protegido del entonces gobernador Peña
Nieto. El organismo dependía de la Agencia de Seguridad Estatal –hoy Secretaría
de Seguridad Ciudadana–, a cargo entonces de David Garay Maldonado, actual
responsable de la Unidad de Gobierno de la Secretaría de Gobernación.
Por lo que hace a la PGJ mexiquense, la primera vez
que entró en contacto con la empresa de Milán fue en 2012. Ese año la
procuraduría tuvo dos titulares: Alfredo Castillo, excomisionado del gobierno
de Peña Nieto en Michoacán y actual director de la Comisión Nacional del
Deporte; y Miguel Ángel Contreras Nieto, actual secretario de Medio Ambiente
del gobierno de Eruviel Ávila y procurador de Protección Ambiental del gobierno
estatal de Peña Nieto.
Después del Estado de México y el gobierno federal, a
partir de 2013 los gobiernos estatales empezaron a comprar el software y su
actualización. Ese año fueron Querétaro, Puebla y Campeche; además de Pemex,
con Emilio Lozoya Austin como director.
En 2014 se sumaron Tamaulipas, la Secretaría de
Planeación y Finanzas de Baja California, Yucatán, Durango y Jalisco. De
acuerdo con los reportes, durante 2015 esas entidades han hecho o tienen que
hacer pagos de mantenimiento.
En cuanto se conoció que México era un importante
comprador de software para espiar, el secretario de Gobernación, Miguel Ángel
Osorio Chong, de quien depende el actual director del Cisen, Eugenio Ímaz,
aseguró que la adquisición había ocurrido en el sexenio pasado. Pero las bases
de datos demuestran que el gobierno de Peña Nieto ha pagado 410 mil euros para
mantenimiento y actualización del software.
En México Hacking Team enfrenta a la competencia del
programa FinFischer –desarrollado por la alemana Gamma Group– y del oneroso
sistema Pegaso, producido por la israelí NSO Group y que distribuye aquí
Security Tracking Devices.
Durante las administraciones panistas, el Cisen y la
PF adquirieron, mediante esa empresa, equipo de espionaje de Estados Unidos,
según contratos del Departamento de Estado publicados por este semanario en
2013 (Proceso 1915).
Uno de los operadores fue el entonces secretario de
Seguridad Pública federal, Genaro García Luna, quien antes ya se había hecho de
equipos de espionaje también a través de esa oficina del gobierno
estadunidense, cuando era director de la entonces Agencia Federal de
Investigaciones (AFI), en el gobierno de Vicente Fox. En ese entonces, García
Luna pidió “la intercepción de llamadas objetivo y sesiones” de Telmex, Telcel,
Nextel, Telefónica, Unefon, Iusacell, Cisco y Prodigy.
La sucesora de la AFI en la PGR es la Agencia de
Investigación Criminal, a cargo de Tomás Zerón de Lucio, quien aparece en las
comunicaciones internas de Hacking Team como uno de los principales
negociadores por parte de México.
Con García Luna como secretario de Seguridad Pública,
la PF estaba a cargo de Facundo Rosas cuando Hacking Team vendió software a la
corporación en 2010. De él dependían los programas informáticos de espionaje,
pero debió salir de la institución en 2012 tras un fallido operativo en la
normal rural de Ayotzinapa, que dejó dos estudiantes muertos.
En abril siguiente fue rescatado por su paisano, el
gobernador de Puebla, Rafael Moreno Valle, quien lo designó secretario de
Seguridad Pública estatal. En 2013 Moreno Valle compró por primera vez el
software de Hacking Team para “10 objetivos”. Según las bases de datos
intervenidas, hasta agosto del año pasado la administración de Moreno Valle
había pagado 428 mil 835 euros, entre compra, mantenimiento y actualización de
los programas.
En el caso de Querétaro, la compra fue hecha también
en 2013 por el gobierno de José Calzada mediante la empresa Teva, y manifestó
sólo cinco “objetivos”. El gobierno de Fernando Ortega Barnés, en Campeche,
adquirió el software a través de Servicios Integrales para 25 “objetivos”.
En el caso de Tamaulipas, ya en 2014, el equipo fue a
parar a la Secretaría de Seguridad Pública, a cargo del general de brigada
Arturo Gutiérrez García, quien relevó a Rafael Lomelí Martínez. En Yucatán, el
software lo compró la administración de Rolando Zapata Bello; en Durango, la de
Jorge Herrera Caldera, y en Jalisco, la de Aristóteles Sandoval.
Entrevistado por Proceso, Eric Rab aseguró que con su
“código fuente imprudentemente puesto en internet, ahora está disponible a
cualquiera que le quiera dar un uso bueno o malo. Consideramos que subir este
código a la red mundial es un acto impactante e intolerable que debe ser
castigado por cualquier medio legal posible”.