Por René Valencia y Karla Cejudo para e-consulta y CONNECTAS
“No vamos a espiar a nadie, nunca lo hemos hecho, (…) ¿qué sentido tiene?; ¿qué caso tiene, si ya sabemos que están en contra de nosotros?”, sostuvo el presidente de la República, Andrés Manuel López Obrador, ante las acusaciones de vigilar a sus rivales políticos. Pero lo que evitó comentar el mandatario es que, entre 2018 y 2021, tanto su administración Federal como la de otros 16 gobiernos estatales invirtieron millones de dólares en decenas de softwares o tecnología que pueden utilizarse para intervenir comunicaciones privadas de ciudadanos.
Las compras de estos artefactos se plantearon como una solución para combatir la delincuencia y rescatar a víctimas cuya vida está en riesgo, pero los resultados de las vigilancias son un misterio por la falta de información oficial. La mayoría de los Estados intentaron negar dichas contrataciones, para luego reconocerlas y justificar que jamás se ejecutaron. Tres gobiernos que adquirieron estos productos, incluso, carecen de facultades legales para utilizarlos. Mientras tanto, el marco regulatorio mantiene inconsistencias que facilita el uso -a veces ilegal- de los dispositivos.
A pesar de la escasa información pública, e-consulta y CONNECTAS, con apoyo de la Red en Defensa de los Derechos Digitales (R3D), elaboraron una base de datos sobre contrataciones de equipos de vigilancia, que identificó al menos 80 contratos de distintas administraciones, que destinaron 293.4 millones de pesos (14.4 millones de dólares) para la adquisición de distintos aparatos y softwares especializado en espionaje entre 2018 y 2021. Las operaciones, que fueron concretadas por la mitad de los estados del país y también por el Ejército, podrían ser muchas más ya que se desconoce la cantidad real de compras públicas por la opacidad del sistema.
Estas adquisiciones facilitan a las autoridades del país ejecutar tres tipos de vigilancias: geolocalizaciones para conocer el historial de ubicaciones en las que se encuentran en tiempo real las personas mediante sus dispositivos o celulares; la intervención de comunicaciones privadas; y la extracción de los archivos que contienen los dispositivos, así como pueden superar las contraseñas de bloqueo para acceder a los contenidos.
Los gobiernos adquirieron, principalmente, el sistema Geomatrix con la empresa Neolinx de México SA de CV, especializado en intervenir geolocalizaciones, con una inversión nacional superior a los 147 millones de pesos (7.3 millones de dólares). También compraron diversas licencias de UFED, un programa que sirve para extraer datos de dispositivos móviles y localizar información de ciudadanos en Internet, con un pago total de 34.2 millones de pesos (1.7 millones de dólares).
Durante el último trienio, los mayores interesados en adquirir estas tecnologías fueron cuatro fiscalías estatales: Jalisco, Estado de México, Ciudad de México y Puebla, que acumularon en conjunto 25 contrataciones para adquirir plataformas para el rastreo de ubicaciones y licencias de extracción de datos de dispositivos por 227.7 millones de pesos (11.4 millones de dólares), según pudo reconstruir esta investigación. Estas administraciones sumaron más del 77 por ciento de los gastos del país en esta materia. La Federación, por su parte, reportó con el Ejército una inversión de 18.4 millones de pesos (930 mil 558 dólares) en artefactos.
La información recolectada para esta base de datos se desprende de 614 solicitudes de acceso a la información pública, la revisión de los 32 portales de transparencia estatales y los resultados de contrataciones Federales en el sistema Compranet. El proceso incluyó la negativa de 14 gobiernos estatales y la Fiscalía General de la República (excepto Puebla, Yucatán, la Secretaría de la Defensa Nacional), que nunca respondieron a solicitudes de entrevistas o peticiones de aclaraciones.
México tiene antecedentes que refuerzan las sospechas sobre el abuso de estos dispositivos de vigilancia. La organización Forbidden Stories publicó que con el software Pegasus de la empresa israelí NSO Group se espió a opositores del gobierno de Enrique Peña Nieto, como activistas, periodistas y también al propio López Obrador y su familia. Pese a los abusos pasados, las autoridades mexicanas firmaron compras en el primer trienio Obradorista, herramientas que permiten continuar con la vigilancia de la ciudadanía. A pesar de que el Presidente fue víctima de vigilancia ilegal y se manifiesta en contra de las intervenciones, durante su administración no se reportaron cambios legales relevantes para reducir abusos en la materia.
Hubo antecedentes recientes de vigilancias ilegales; una víctima fue el Fiscal General de la República, Alejandro Gertz Manero. En marzo del 2021 se filtró una llamada telefónica privada en la que confirmó conocer antes de discutirse el proyecto de la Suprema Corte de Justicia de la Nación (SCJN) para liberar a su cuñada, Alejandra Cuevas, en ese momento acusada del supuesto homicidio de Federico Gertz Manero, hermano del funcionario. Durante marzo pasado, los medios nacionales publicaron que la autoridad investiga el origen de los audios filtrados, que no contaban con autorización judicial.
Otra posible víctima de las intervenciones a comunicaciones privadas posiblemente ilegales fue el dirigente nacional del Partido Revolucionario Institucional (PRI) y exgobernador de Campeche, Alejandro Moreno Cárdenas. Su sucesora en el gobierno estatal, Layda Sansores San Román, compartió en sus redes sociales múltiples audios en los que, supuestamente, el político comparte opiniones como “a los periodistas no hay que matarlos a balazos (…); hay que matarlos de hambre” o habla de presuntas triangulaciones millonarias que involucran a la madre del priista.
Los expertos consultados para esta investigación coinciden en que uno de los inconvenientes es la dificultad de detectar cuándo se ejecutaron estos artefactos, ya que no dejan rastros. Tampoco es fácil que una persona identifique con qué software lo vigilaron o saber por cuánto tiempo fue intervenido, lo que impide reconocer señales de alerta y denunciar posibles abusos, explica el encargado de Seguridad Digital de la organización SocialTIC, Paul Aguilar, especializados en la protección digital en el país.
Aguilar advierte que las tecnologías existentes permiten borrar fácilmente el registro de actividades realizadas; por ejemplo, dice, Geomatrix necesita un lugar para usarse y pueden eliminar las localizaciones buscadas; para UFED puede destruirse su equipamiento, así como en los softwares forenses pueden desaparecer los datos de actividades. “Es muy fácil borrar lo que pasó. La única manera de saberlo es teniendo acceso a todos los equipos en los que se utilizó”, comenta el especialista.
Los gobiernos pueden realizar intervenciones a comunicaciones privadas través de dos vías legales: una es por petición a un juez Federal que considere útil esa información para la persecución de delitos; mientras que, en el caso de intervención a geolocalizaciones, la Suprema Corte de Justicia de la Nación resolvió en el amparo de revisión número 964/2015 que “cuando se presuma que existe un peligro para la vida o integridad de una persona” puede hacerse sin orden judicial, aunque no se definen criterios para prevenir interpretaciones erróneas.
Si bien existe una regulación que permite las vigilancias, la ley no menciona de forma precisa quiénes pueden vigilar: “La ley es ambigua, habla de las instituciones de seguridad y procuración de justicia, entonces cualquier autoridad, por ejemplo, una Policía Municipal, entra en el rango”, advierte el coordinador de la Licenciatura en Derecho de la Universidad Iberoamericana (UIA) campus Puebla, Simón Hernández León. Ante la falta de precisiones, la organización Red en Defensa de los Derechos Digitales emprendió acciones para que la Suprema Corte de Justicia de la Nación (SCJN) se pronunciara sobre la falta de claridad legal.
Durante la primera mitad de su la administración de López Obrador tampoco existen se promovieron modificaciones legislativas relevantes que reduzcan riesgos con las tecnologías, opina el director Ejecutivo de la Red en Defensa de los Derechos Digitales, Luis Fernando García Muñoz. “El entramado jurídico, los mecanismos institucionales que permitieron abusos documentados en gobiernos pasados, permanecen prácticamente intactos”, añade el experto.
García Muñoz advierte que otro de los mayores problemas que se mantienen en las adquisiciones de tecnologías para intervenir comunicaciones privadas de ciudadanos es que carecen de una regulación que fije límites. “Nadie (reglamenta las contrataciones). Es lo mismo comprar un paquete hojas o de plumas que comprar Geomatrix. No hay requisitos, específicos”, sostiene. Y agrega que esto representa distintos riesgos, como que las autoridades que vigilen no necesiten del apoyo de permisionarios de telecomunicaciones, porque el aparato supera sus limitaciones.
Por la falta de criterios que definan a las autoridades competentes, R3D presentó un amparo de revisión ante la Suprema Corte de Justicia de la Nación. La respuesta se obtuvo mediante la resolución número 964/2015, en la que definieron que solo las fiscalías estatales y la federal, junto con la GN, así como el Centro Nacional de Inteligencia pueden solicitar a jueces federales las intervenciones, por lo que también deberían ser las únicas que podrían ejecutar estas tecnologías.
Aunque los gobiernos de Baja California Sur y Tabasco, así como el Ejército, no poseen facultades para pedir intervenciones a través de autorizaciones judiciales, esta investigación detectó que estas dependencias igualmente compraron licencias para identificar geolocalizaciones y softwares para la extracción de datos de teléfonos celulares desde 2018. Ninguno de estos gobiernos estatales respondió las preguntas enviadas para este reportaje sobre qué aparatos adquirieron y qué tipo de uso les dieron.
La Secretaría de Defensa respondió vía transparencia que en sus archivos que no cuentan con aparatos para intervenir comunicaciones privadas e informáticas, pero los contratos indican que entre 2018 y 2021 se destinaron por lo menos 18.4 millones de pesos (unos 892 mil 967 dólares) a Nuga Sys SA de CV, intermediara en la venta de distintos softwares UFED de la empresa israelí Cellebrite. Este programa puede utilizarse para extraer datos de dispositivos y para revisar el contenido mencionado en internet de cualquier persona, aunque ésta última práctica no está legislada por considerarse en los límites de información pública, explicaron los expertos consultados. El ejército reiteró en una ficha informativa para este reportaje que “esta Secretaría no cuenta con citadas tecnología”.
Otra de las dependencias que no está legalmente habilitada para pedir a jueces intervenir geolocalizaciones y niega tener aparatos es la Secretaría de Seguridad Pública (SSP) de Baja California Sur, pero eso no impidió que gastaron 2.9 millones de pesos (144 mil dólares) entre 2019 y 2020, cuando gobernó el militante del Partido Acción Nacional (PAN), Carlos Mendoza Dravis, por dos contratos con Neolinx de México SA de CV por licencias de Geomatrix, así como una compra con Inteliproof S de RL de CV, que sirve para intervenir comunicaciones privadas. Al solicitar comentarios de las compras, la dependencia no respondió.
Un caso más ocurrió en el gobierno del entonces mandatario de Tabasco, Adán Augusto López Hernández, antes de solicitar licencia para convertirse en el titular de la Secretaría de Gobernación (Segob) en el gabinete de López Obrador y manifestar interés por ser candidato a la presidencia de la República en 2024. Durante 2020, la Comisión Estatal de Búsqueda de Personas (CEBP) compró dos licencias de Geomatrix con Neolinx de México por 1.3 millones de pesos (66 mil 755 dólares).
Después de adquiridas las tecnologías, la CEBP tabasqueña reservó los contratos que tiene con Neolinx de México por 5 años, aunque esta investigación detectó dos contratos en el portal Compranet. La administración, sin embargo, reconoció en una petición de acceso a la información que no tiene atribuciones legales para pedir a jueces federales vigilar ubicaciones, una función que le corresponde a la fiscalía estatal. La autoridad no respondió las preguntas enviadas para este reportaje.
Las compras de tecnologías que pueden utilizarse para intervenir comunicaciones privadas se caracterizaron por su opacidad: 16 administraciones estatales informaron vía transparencia que no contaban con información relacionado con este tipo de compras. Sólo cinco estados admitieron las adquisiciones (Nuevo León, Baja California Sur, Oaxaca, Puebla y San Luis Potosí), luego de cientos de peticiones de acceso a la información pública. Once gobiernos estatales, más la Fiscalía General de la República, el Centro Nacional de Inteligencia y la Secretaría de la Defensa Nacional negaron o reservaron la información por supuestas vulneraciones a la seguridad.
Tampoco la Fiscalía General mostró transparencia en sus compras, porque al cuestionar vía transparencia sobre si adquirieron aparatos o tecnologías de intervención a comunicaciones privadas, ésta respondió que la información estaba reservada por vulnerar la seguridad nacional. No obstante, el diario español El País publicó en abril del 2021 que la dependencia encabezada por Alejandro Gertz Manero destinó destinó 5.6 millones de dólares en licencias de Geomatrix con Neolinx de México SA de CV, durante la primera mitad del gobierno Obradorista.
Esta investigación se encontró también con el ocultamiento de 24 contratos, que no existen en ningún portal de transparencia, pero que se obtuvieron mediante la presentación de decenas de solicitudes de acceso a la información. Los principales proveedores de estos 24 contratos los obtuvieron Neolinx de México SA de CV y Nuga Sys SA de CV, con 21 de las adquisiciones. Estos recibieron beneficios de por lo menos 120.1 millones de pesos (5.9 millones de dólares) por estas compras.
Un buen ejemplo es lo ocurrido con la Fiscalía General de Yucatán: vía transparencia contestó que “no se encontró documento alguno que contenga la información” de aparatos adquiridos, aunque después admitieron en una ficha informativa para este reportaje que realizaron compras desde 2016 para extraer datos de dispositivos con la licencia de UFED. La adquisición costó 200 mil pesos (9 mil 875 dólares) y no hay rastro de información pública sobre la compra.
El cambio de respuesta de la fiscalía de Yucatán también se contradice, ya que esta investigación detectó tres contratos por 1.6 millones de pesos (80 mil 378 dólares), destinados para adquirir la plataforma Geomatrix con Neolinx de México SA de CV para intervenir geolocalizaciones y las tecnologías de Sym Servicios Integrales SA de CV para extraer datos de dispositivos, un conjunto de adquisiciones que no mencionó en su respuesta oficial.
Los gobiernos estatales son los principales clientes de artefactos de vigilancia a ciudadanos a nivel nacional y también los que menor información pública poseen. El gobierno de Jalisco, encabezado por Enrique Alfaro Ramírez, negó en un principio poseer tecnologías de intervención, pero es unos los principales compradores en el país con 105.5 millones de pesos (5.2 millones de dólares) destinados a monitoreos de geolocalizaciones y extracciones de datos de dispositivos. La mayoría de esos contratos no aparece en el portal de transparencia.
Otro caso de información incompleta fue el gobierno de la Ciudad de México, presidido por Claudia Sheinbaum Pardo, una de las políticas interesadas en ser candidata a la presidencia de la República en 2024. Durante la primera mitad de su administración, la fiscalía capitalina negó poseer aparatos, lo que se contradice con sus dos contratos con Arcafa SA de CV, para adquirir una licencia de búsquedas de geolocalización. Sólo una de las de compras fue pública y la otro se obtuvo mediante vía transparencia.
Otro problema para auditar el uso de los equipos y software para vigilancia es que no se puede conocer cuántas veces las autoridades los pusieron en funcionamiento. Pese a los pedidos realizados para esta investigación, se desconoce el número total de peticiones realizadas por las fiscalías estatales y la FGR al Poder Judicial de la Federación. El Consejo de la Judicatura Federal negó poseer los datos a detalle de los solicitantes de vigilancias. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ratificó su postura, pues “se encuentra impedido para entregar la información con los parámetros establecidos”.
Todas las peticiones de intervención a comunicaciones privadas que posee el Poder Judicial de la Federación se limitan a un número global de 63 mil 527 tramitadas a nivel nacional, entre 2018 y 2021, publicado en su sección de estadística judicial. Aunque, hay otros dos registros que, en ningún caso, coinciden: las fiscalías del país reportan 39 mil 268 peticiones formales de vigilancia en los informes trimestrales que están obligados a presentar sobre las solicitudes que hacen al Poder Judicial; mientras que un tercer registro obtenido vía transparencia indicó que se pidieron 20 mil 396 autorizaciones.
También existen discordancias sobre la cantidad de peticiones para vigilar a ciudadanos en el país. Uno de los casos con mayores diferencias fue la fiscalía de la Ciudad de México, por un lado, reporta en su portal de transparencia que no hubo registros de solicitudes, pero en una petición de información indicaron que se registraron más de 2 mil peticiones. Al solicitar una postura para este reportaje no emitió comentarios la autoridad.
Otros impedimentos para acceder a la información sobre vigilancia. La fiscalía de Puebla indicó que si se quería conocer la cantidad de ocasiones que pidieron vigilar geolocalizaciones había que pagar 428 mil 625 pesos (20 mil 877 dólares) para recibir las 17 mil 145 copias certificadas de distintas carpetas de investigación. La oficina de Comunicación Social de la autoridad no respondió a ninguna de las preguntas para este reportaje y se limitó a decir que “te sugiero meter una solicitud de información vía transparencia”.
Tras solicitar miles de intervenciones a comunicaciones privadas en México, Tamaulipas fue el único estado del país que reconoció el aseguramiento de 11 personas. El resto de las entidades y la Federación dijo no saberlo o negó poder probarlo por tener que revisar miles de carpetas de investigación. Las vigilancias tampoco cumplieron con su propósito de rescatar a víctimas con intervenciones: sólo los estados de Chiapas y Morelos encontraron a 398 personas cuya vida estaba en riesgo. Las demás entidades negaron tener esa información.
Los gobiernos tampoco dicen saber la cantidad de ocasiones que ejecutaron los aparatos comprados. El Ejército fue el único que justificó la utilización de las tecnologías, al responder que por su inversión de 10.1 millones de pesos (526 mil 886 dólares) con Nuga Sys SA de CV lo utilizaron 62 veces para la supuesta recuperación de datos de dispositivos que forman parte de sus investigaciones. El resto de las autoridades no poseen un control o aseguraron no tener registros.
Estas adquisiciones de aparatos y softwares de vigilancia continúan en la agenda pública después del caso Pegasus. La Comisión Nacional de Derechos Humanos (CNDH) advirtió en su Recomendación General número 47/2022 que “la redacción actual de estas normas (leyes) facilita a las autoridades el uso de tecnologías de espionaje tan avanzadas como Pegasus, al ser susceptible de una interpretación subjetiva para justificar, con el discurso de seguridad nacional o investigación de delitos graves”.
Ante los problemas en la legislación, el organismo de derechos humanos exhortó a los legisladores federales a que trabajen para reducir el margen que permite este abuso de las tecnologías, refuercen las reglas de comercialización de aparatos y obliguen a las autoridades a rendir cuentas mediante un informe al Poder Judicial de la Federación.