Más preguntas y dudas sobre software malicioso adquirido por SENAD

Tras dos semanas del lanzamiento de nuestro informe “Vigilancia estatal de las comunicaciones y derechos fundamentales en Paraguay“, el Ministro de la Secretaría Nacional Antidrogas (SENAD) Luis Rojas se refirió a nuestros hallazgos y confirmó en la mañana del miércoles 18 de mayo la compra de un “sistema de seguridad de georeferenciamiento“ en el 2012 de acuerdo a sus palabras.

En el informe que realizamos con la Electronic Frontier Foundation, resaltamos la gravedad que supone la adquisición de alta tecnología para la interceptación de las comunicaciones por parte del Estado paraguayo e identificamos en particular a tres sistemas que estarían en manos de las autoridades y que podrían utilizarse para la vigilancia de la comunicación. Hicimos hincapié en que estos sistemas pueden ser utilizados contra opositores, activistas y periodistas e inclusive empresarios y emprendedores.

El Ministro minimizó las capacidades del sistema que se encontraría en poder de la cartera que preside y cuestionó la integridad del informe. Sin embargo, existen llamativas contradicciones en sus afirmaciones y las del Ministro del Interior de Vargas, a juzgar por los hallazgos y la información que recabamos de investigaciones internacionales y locales sobre los sistemas que manejaría la SENAD. A diferencia de lo que dice el Ministro, nuestra investigación indica que esta Secretaría adquirió un malware de vigilancia altamente invasivo y peligroso denominado Finfisher. Por último, en contra de la opacidad con la que se manejan algunas instituciones, exigimos transparencia y rendición de cuentas sobre el alcance y la aplicación las tecnologías que utilizan las agencias de seguridad. De lo contrario, se podrían incurrir en graves abusos que ponen en peligro los fundamentos democráticos del sistema de gobierno.

El discurso de las autoridades: dudas y contradicciones

Según las declaraciones de Rojas, el software permite ubicar teléfonos celulares a través del georeferenciamiento, pero no puede escuchar ni grabar  conversaciones. Esta afirmación contradice una serie de puntos que ameritan aclaración por parte del Ministro y que citamos a continuación:

  • En nuestro informe indicamos que el dispositivo adquirido por el gobierno en el 2012 sería FinFisher, un malware de vigilancia altamente invasivo desarrollado por la empresa norteamericana Gamma. El centro de investigación* CitizenLab de Canadá había alertado que Paraguay, al igual que Venezuela, México y otros, es uno de los países que da positivo en su prueba de malware. No podían indicar con certeza en qué institución del Estado se encontraría el sistema. Cabe destacar que CitizenLab es altamente reconocido por sus rigurosas investigaciones. Sus miembros forman parte del Security and Stability Advisory Committee (SSAC) de The Internet Corporation for Assigned Names and Numbers (ICANN), la primera capa de Internet que genera los nombre de dominio para el mundo y donde la SENATICs y CNC participan, este último como administrador de los dominios .PY de ICANN.
FINFISHER

Archivo de ABC Color (Junio, 2013)

factura de compra finfisher

 

 

 

 

 

¿Qué es Finfisher?

Sobre Finfisher, los cables del año 2010 de Wikileaks en la sección “SpyFiles” explican el funcionamiento de este malware. El mismo sirve para controlar de forma remota los sistemas informáticos y obtener acceso completo a:

  • La comunicación en línea: Skype, Mensajeros, VoIP, correo electrónico, navegación y mucho más.
  • Actividad en Internet: foros de discusión, blogs, compartir archivos y más.
  • Los datos almacenados: acceso remoto al disco duro, los archivos, los contenedores de cifrado y borrado.
  • Los dispositivos de vigilancia: cámaras, micrófonos integrados, entre otros
  • Ubicación: sistema informático de seguimiento y control de localizaciones

El catálogo de la empresa Gamma que desarrolla FinFisher incorpora un video introductorio en el que se da a conocer el alcance del software, que no se restringe meramente a la localización y que es de venta exclusiva a los Estados. Está demás decir que el video corresponde al año 2010, más antiguo al documento que certifica la compra del sistema malicioso por el Estado paraguayo.

Por otro lado la geolocalización ya lo tienen las proveedoras de Internet (ISPs)  a través de la triangulación de las antenas y se puede solicitar a través de una orden judicial el acceso a ello para perseguir los hechos punibles.

Preocupa falta de transparencia y rendición de cuentas

El reconocimiento de la SENAD de la adquisición de un sistema cuyas características desconocemos es importante, pero está lejos de ser suficiente. Necesitamos respuestas urgentes ante estas preguntas: ¿Cuál es el procedimiento y protocolo de actuación para operar dicho sistema? ¿Qué razones motivan la adquisición de este sistema?. Si ya se ha utilizado, ¿cuáles han sido los propósitos y a cuántas personas se ha aplicado? ¿Ha mediado un juez competente en cada caso? ¿Cuáles han sido los resultados?

Sin duda, el Estado debe modernizar sus dispositivos para la persecución de hechos punibles, es especial aquellos del crimen organizado. Sin embargo, también debe ofrecer garantías para la protección de los derechos fundamentales de los ciudadanos a través del uso racional de tecnologías. Para ello, debe ser transparente y rendir cuentas sobre el uso y alcance de los mismos. También, es fundamental el balance de poderes. La atenta supervisión del Poder Judicial y el Poder Legislativo sobre el actuar de organismos del Ejecutivo es necesaria para contrarrestar posibles abusos, como también lo es el involucramiento de la ciudadanía en el monitoreo de las actividades de los gobernantes y la exigencia de respuestas ante nuestras inquietudes a través de las solicitudes de información Pública.

Como dice el Relator Especial de las Naciones Unidas sobre Libertad de Expresión, Frank LaRue: “La vigilancia de las comunicaciones debe ser entendida como un acto altamente intrusivo que potencialmente interfiere con los derechos a la libertad de expresión y a la privacidad, y amenaza las bases de una sociedad democrática

Por tanto,  FinFisher y otras tecnologías podrían presentar riesgos jurídicos, incluso al cumplir con la misión para la que teóricamente son adquiridos. La falta de transparencia en las compras, sumada a que muchas de estas tecnologías tienen implicancias en términos de derechos humanos, hacen que sea necesaria la supervisión del Congreso Nacional y Poder Judicial.

___________________

* Investigación CitizenLab: Entre 2010 y 2012, el gobierno de Bahrein utiliza FinFisher para controlar algunos de los mejores bufetes de abogados del país, periodistas, activistas y disidentes. Por otro lado se utilizó contra políticos de la oposición de Etiopía en el exilio en los Estados Unidos.El informe identificó clientes recientes de FinFisher, entre ellos: Angola, Egipto, Gabón, Jordania, Kazajstán, Kenya, Líbano, Marruecos, Omán, Paraguay, Arabia Saudita, Eslovenia, España, Taiwán, Turquía y Venezuela.