Por Maricarmen Sequera | #Boletín15

Los avances de la red viene aparejada de ejercicios y disputas de derechos. Antes estos avances también hay retrocesos en el cumplimiento de los derechos humanos. En 2014, la Oficina del Alto Comisionado de Naciones Unidas para los Derechos Humanos señaló que: “Así como éstas tecnologías facilitan la vida y están al alcance de todos, igualmente se encuentran a disposición de los gobiernos, para los cuales conducir actividades de vigilancia, censuras a la población nunca fue más sencillo, barato y eficiente”[1].

La vigilancia digital es una de las formas mas intrusivas de vigilancia Estatal o corporativa que existe hasta el momento. Actualmente la tecnología facilita la vigilancia de forma fácil, eficiente y de bajo costo. Paraguay ha obtenido una serie de herramientas que sirve para este propósito. En el 2015, según la publicación de las investigaciones de Citizen Lab de la Universidad de Toronto de Canadá[2] se adquirió en México, Venezuela y Paraguay el software Finfisher[3], un malware de vigilancia altamente invasivo desarrollado por la empresa norteamericana Gamma.

¿Qué es FinFisher y cómo funciona?

Finfisher permite a las autoridades seguir los movimientos de cada usuario de celular u otro dispositivo seleccionado. Específicamente, da la posibilidad de: navegar por el historial de las ubicaciones de un usuario por años; grabar, encubiertamente, audio y video de micrófonos y cámaras del teléfono inteligente y laptop del objetivo; recuperar la lista de contactos o remotamente implantar evidencia incriminatoria en el dispositivo del usuario.

Para infectar un celular o computadora, el medio mas común que utilizan es “phishing”, son unos links generalmente de descarga “adecuado” al target de la persona espiada.

Ejemplo de un caso de estudio por CitizenLab: La página Web FinFly, solicitando a los usuarios que instalen Adobe Reader XI. El enlace de descarga apunta a una muestra de software espía de FinFisher.

Los cables del año 2010 de Wikileaks en la sección “SpyFiles” explican el funcionamiento de este malware.

En Paraguay fue adquirido por la Secretaría Nacional Antidroga (SENAD)[4], según consta en publicaciones de facturas y recibos de compra del periódico ABC Color en el año 2013.

Más allá de acusaciones de corrupción que según la factura el mismo equivale a 1.500.000 USD un monto sobre valuado cinco veces mas, en las publicaciones se puede ver una factura de venta de la Empresa Televox a la SENAD y un acta de entrega y recepción de equipos de comunicación donde consta la compra de “un sistema FinFisher de instrucción táctica informática”[5]. Cabe destacar que el acta de recepción tiene la firma del actual ministro de la SENAD.

Luego de la publicación de TEDIC en el informe de la “Vigilancia Estatal de las Comunicaciones y los derechos fundamentes en Paraguay[6], en colaboración con la EFF en mayo de 2016. La SENAD responde al informe negando algunas de las acusaciones[7] ante la prensa. Meses mas tarde, Luis Rojas, el entonces ministro de la SENAD renuncia[8] por presión mediática sobre continuos sucesos violentos que realizaban sus agentes en las intervenciones de la institución en el interior del país, acarreando la muerta de una niña de 5 años de edad.

En noviembre del 2016, la Fiscalía de la Unidad de Delitos Económicos y Anticorrupción imputa al entonces Ministro de la SENAD y otros, por presunta lesión de confianza, producción de documentos no auténticos y contrabando que corresponde a la compra de tecnología FinFisher realizada en el año 2013. Lo curioso de la situación es que no se cuestiona el peligroso uso que se puede realizar con el malware, ni se analiza los supuestos mínimos legales ni garantías para justificar su uso.

No existen dudas que el Estado debe modernizarse para la persecución de los hechos punibles, en especial al terrorismo y crimen organizado, pero tampoco debe dejar de lado las principios de proporcionalidad, idoneidad y transparencia para garantizar la protección de los derechos fundamentales de los ciudadanos a través del uso racional de tecnologías. Urge una regulación y transparencia para las compras y el uso de los sistemas de vigilancias. Es indispensable conocer el procedimiento y protocolo de uso para operar un software tan intrusivo como FinFisher, así como la naturaleza del mismo, el target la cantidad, los debidos procesos legales previos para realizar dicha vigilancia e inclusive los casos que fueron resueltos gracias al malware, asi como sanciones en el uso indebido.

Para proteger nuestra privacidad de las vigilancias intrusivas de malwares como FinFisher, no basta con protección tecnológica como las prácticas de protección y seguridad digital individual, la batalla también se encuentra en defenderlo políticamente, a través del involucramiento de la ciudadanía en el monitoreo de las actividades de los gobernantes y la exigencia de respuestas ante nuestras inquietudes a través de las solicitudes de información Pública, así como presionar a los demás poderes del Estado en supervisar y contrarrestrar los posibles abusos del poder Ejecutivo, porque FinFisher y tecnologías similares podrían presentar riesgos jurídicos como nuestros derechos a la libertad de expresión, privacidad y amenazas a las bases de una sociedad democrática.

[1]United Nations, “The right to privacy in the digital age Report of the Office of the United Nations High Commissioner for Human Right”, 2014. pp. 3-4. https://eff.org/r.hz9z [Fecha de consulta: 8 de abril, 2017].

[2]Disponible en https://citizenlab.org/ [Fecha de consulta: 20 de abril, 2017].

[3]Más preguntas y dudas sobre software malicioso adquirido por SENAD. Disponible en https://www.tedic.org/mas-preguntas-y-dudas-sobre-software-malicioso-adquirido-por-senad/ y Maping Finfisher https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/ [Fecha de consulta: 11 de abril, 2017].

[4]Disponible “En Senad gastó casi G. 200 millones solo en “montaje y configuración” http://www.abc.com.py/edicion-impresa/judiciales-y-policiales/senad-gasto-casi-g-200-millones-solo-en-montaje-y-configuracion-590062.html?fb_comment_id=419236824858112_2094744#f1c83727667f9fc y Senad niega la compra del software http://www.hoy.com.py/nacionales/senad-niega-negociado-en-compra-de-equipo-de-escuchas [Fecha de consulta: 10 de abril, 2017].

[5] Disponible en “Compra de equipo de escuchas para Senad “suena” a negociado”. http://www.abc.com.py/edicion-impresa/judiciales-y-policiales/compra-de-equipo-de-escuchas-para-senad-suena-a-negociado-589352.html [Fecha de consulta: 10 de abril, 2017].

[6]Disponible en TEDIC.org https://www.tedic.org/wp-content/uploads/sites/4/2016/05/Paraguay-ES.pdf

[7]Disponible en «Más preguntas y dudas sobre software malicioso adquirido por SENAD”

https://www.tedic.org/mas-preguntas-y-dudas-sobre-software-malicioso-adquirido-por-senad/ [Fecha de consulta: 10 de abril, 2017].

[8]Luis Rojas deja la SENAD http://www.paraguay.com/nacionales/luis-rojas-deja-la-senad-146266 [Fecha de consulta: 10 de abril, 2017].

Maricarmen Sequera – Dirige proyectos y campañas de derechos digitales en la organización TEDIC de Paraguay. Miembro fundadora y activista de iniciativas de la ONG: HacklabAsu, Creative Commons Py y OKFpy. Abogada de la Universidad Nacional de Asunción, investigadora en Derechos Humanos y Tecnología. Trabajó en la Dirección de Relaciones Internacionales de la Presidencia de la República del Paraguay (2009-2011). Realizó investigaciones sobre Política y Derecho en Beijing- China en el año 2011. Trabajó en Axial con comunidades Indígenas en Alto Paraguay: Ybytoso y Tomaraho.