APRO/Mathieu Tourliere
Contrario a lo que afirmó en varias ocasiones el presidente Andrés Manuel López Obrador, cuatro agencias mexicanas de seguridad siguieron usando tecnologías de espionaje en los tiempos de la llamada Cuarta Transformación, y dos de ellas todavía las utilizan, según el Citizen Lab, un laboratorio adscrito a la Universidad de Toronto.
La tecnología en cuestión aprovecha fallas en el Sistema de Señalamiento 7 (SS7) que permite interceptar llamadas telefónicas y mensajes de texto; de acuerdo con Citizen Lab, la Secretaría de Marina (Semar) lo usó por lo menos entre junio de 2015 y agosto de 2017; el gobierno de Durango, por su parte, lo usó entre junio de 2015 y abril de 2020.
Además, otras ocho agencias mexicanas no identificadas por Citizen Lab usaron esta tecnología; y por lo menos dos de ellas las siguen usando a la fecha: una no tiene más que una dirección de IP, las demás están identificadas como “Mercedes Panda”, “Mercedes Koala”, “Mercedes Dathomir”, “Mercedes Sirius”, “Mercedes Camelot” y “Mercedes Nightingale”, los nombres que la empresa Circles –que desarrolló la solución– dio a sus clientes en México, cuyo nombre en clave era “Mercedes”.
En 2014, Circles fusionó con la empresa israelí NSO Group, la cual se hizo famosa por vender el spyware Pegasus a varios países del mundo, México incluido. En 2016, el Citizen Lab realizó la investigación que reveló cómo algunos de estos gobiernos autoritarios –el de Enrique Peña Nieto, entre otros – usaron Pegasus para espiar a periodistas, defensores de derechos humanos y adversarios políticos.
En un amplio estudio publicado, el Citizen Lab identificó y siguió el rastreo de 252 direcciones IP usadas para redirigir las comunicaciones interceptadas, y se percató que la empresa Circles identificaba los países que usaron su tecnología con marcas de automóviles.
En su informe, el Citizen Lab planteó que existen evidencias de que agencias del Estado mexicano adquirieron otras tecnologías que utilizan la SS7, como los sistemas ULIN y SkyLock, desarrollados por las empresas israelíes Ability y Verint Systems, respectivamente.
Y señaló que la Semar “ha sido responsable de muertes de civiles en conflictos, así como de violaciones a derechos humanos, incluyendo detenciones arbitrarias, secuestros, tortura y tortura sexual”.
El laboratorio canadiense determinó que, aparte de México, otros 24 gobiernos usaron la tecnología de Circles: Australia, Bélgica, Botswana, Chile, Dinamarca, Ecuador, El Salvador, Estonia, Guinea Ecuatorial, Guatemala, Honduras, Indonesia, Israel, Kenia, Malasia, Marruecos, Nigeria, Perú, Serbia, Tailandia, los Emiratos Árabes Unidos, Vietnam, Zambia y Zimbabue.
Varios de estos clientes, según el laboratorio canadiense, “tienen un pésimo historial en materia de abusos contra los derechos humanos”, y abundó: “muchos no son transparentes ni rinden cuentas, e implementan sistemas de supervisión mínimos o incluso inexistentes sobre sus agencias de seguridad”.
En su informe, el Citizen Lab subrayó que resulta complicado investigar sobre este tipo de ataques, pues no dejan rastro y aprovechan la opacidad con la que operan los proveedores de telecomunicaciones en el mundo.
“A diferencia de Pegasus, el mecanismo de SS7 a través del cual el producto de Circles opera no deja rastros evidentes en el celular de un blanco, como los mensajes de texto que incluían un vínculo malicioso a veces presente en aparatos atacados por Pegasus”.
