Comunicado de prensa sobre los avances en las investigaciones sobre #Finfisher en Mexico

http://contingentemx.net/2013/10/07/comunicado-de-prensa-sobre-los-avances-en-las-investigaciones-sobre-finfisher-en-mexico/

México D.F. a 7 de octubre de 2012.

Comunicado de Propuesta Cívica, ContingenteMx y Alconsumidor sobre los avances en la investigación sobre el programa de espionaje Finfisher.

P o s i c i o n a m i e n t o

Con  relación a los avances de la investigación del IFAI sobre el uso en México del programa de espionaje Finfisher/FinSpy producido por Gamma Group International (ver antecedentes al final del texto) las organizaciones solicitantes manifestamos lo siguiente:

Que nuestra Constitución y los Tratados Internacionales firmados por México, establecen la inviolabilidad de las comunicaciones privadas, la importancia de la protección de los datos personales y la obligación de los Estados de garantizar un marco propicio para la libertad de expresión. La vigilancia ilegal de la actividad en internet constituye el mayor riesgo de nuestro tiempo para el ejercicio de estos derechos.

Las organizaciones solicitantes consideramos que un marco adecuado para un amplio debate público sobre la vigilancia de los gobiernos sobre la actividad en internet son los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones cuyos 13 postulados son: Legalidad, Objeto Legítimo, Necesidad, Idoneidad, Proporcionalidad, Autoridad Judicial Competente, Debido Proceso, Notificación del Usuario, Transparencia, Supervisión Pública, Integridad de las Comunicaciones y los Sistemas, Garantías para la Cooperación Internacional y Garantías contra el Acceso Ilegítimo. (ver en https://es.necessaryandproportionate.org/text)

En el contexto de revelaciones sobre la extensión de la vigilancia de los gobiernos a la actividad en internet, es preciso que el gobierno mexicano adopte una más decidida de protección de la privacidad de las comunicaciones y de garantía a la libertad de expresión, incluso frente a la vigilancia de terceros países sobre las comunicaciones de los ciudadanos mexicanos y las del propio gobierno. En congruencia con lo anterior es fundamental precisar y conocer las reglas, protocolos y las políticas públicas en esta materia que las autoridades aplican y es deseable que las mismas sean discutidas ampliamente por todos los actores involucrados y con toda la información necesaria como base.

Demandamos del Gobierno Federal la disposición que el momento requiere para generar los mecanismos concretos para un amplio debate social. Para ello es preciso clarificar el marco legal para la autorización, registro y compra de programas y equipos de espionaje y evaluar la necesidad de una reforma con perspectiva de derechos humanos. Asimismo demandamos se publique la información sobre las adquisiciones, características y los protocolos de uso, así como el número de entidades y los mecanismos de control y evaluación para su ejecución. En este sentido, el Gobierno federal debe dar respuesta inmediata al punto de acuerdo aprobado por unanimidad en el Congreso de la Unión, el 17 de julio de este año, entregando el informe detallado que la representación popular ha requerido.

Dada la manifestación de Gamma Group en el contexto de la OCDE en febrero de este año que comercializa Finfisher solo de manera directa a agencias gubernamentales y el reconocimiento de Obses de México como revendedor de este producto, demandamos al gobierno mexicano que suspenda el uso de los programas y equipos relacionados con Finfisher, hasta en tanto no se aclare públicamente el origen y legalidad de la versión del producto usado en México.

Reconocemos la investigación iniciada por el IFAI y solicitamos que, con base en las direcciones específicas de IP aportadas por el Citizen Lab, requiera a las empresas Uninet y Iusacell el nombre de los clientes que las operan, las características de los contratos contraídos y la actividad que se desarrolla en dichas direcciones.

Reconocemos la disposición de Uninet y Iusacell para responder los requerimientos del IFAI, pero consideramos que las respuestas no son lo debidamente exhaustivas, por las siguientes razones:
Las políticas de uso de ambas empresas les obligan, junto con los clientes, a cumplir en todo momento las leyes y demás disposiciones vigentes.
No es del todo cierta la afirmación que Uninet “no tiene ninguna responsabilidad sobre el uso que sus clientes hacen sobre las direcciones IP”, dado que la Ley Federal de Protección al Consumidor, la Ley Federal de Telecomunicaciones y las normas oficiales de la serie ISO 27000 eventualmente les imponen obligaciones con relación a las direcciones de IP asignadas a terceros, en temas tales como el spam, malware, pornografía infantil entre otras malas prácticas, sobre todo al hacer de su conocimiento indicios sobre la existencia de presuntas irregularidades ahí cometidas, como es el caso de los elementos de la solicitud de verificación interpuesta ante el IFAI.
El peritaje presentado por Iusacell consistió en ejecutar un análisis con un antivirus y comprobar si todos los programas instalados por el proveedor, encontraban un programa con el nombre de “FinSpy”.  Este documento resulta impreciso primero porque “FinSpy” es el nombre de la “puerta trasera” instalada en los dispositivos de los usuarios sujetos a espionaje, no en el componente de servidor del cliente o proveedor. En segundo lugar, porque este no es un análisis forense, se trata de un trabajo externo realizado remotamente.

Dados los indicios aportados al proceso de verificación, solicitamos de ambas empresas publiquen la información sobre los clientes que usan las direcciones IP asociadas a Finfisher/Finspy. Es relevante conocer  si el cliente ha instalado el programa sin conocimiento del proveedor o si ha requerido alguna cooperación de los proveedores.

Por la información revelada sabemos que Gamma Gruop vende un proxy de infección llamado “FinFly”, que se puede instalar dentro de una red de los proveedores. FinFly funciona cambiando los datos que recibe en su conexión a Internet  para insertar spyware (FinSpy u otro spyware) en archivos, páginas web y actualizaciones de software que descarga, para infectar su computadora. Una vez instalado en un proveedor, el cliente puede dirigirse a cualquier usuario. Tal sistema requiere una amplia cooperación de los proveedores para instalarse.

También es importante conocer si los proveedores han cooperado con los clientes en la instalación del sistema “FinSpy móvil” que permite que el cliente infecte teléfonos móviles con malware espía FinSpy, ya que necesitaría acceso a números especiales que no aparecen en los registros de facturación (los números telefónicos utilizados para llamar secretamente a un teléfono, para encender el micrófono, y el número de SMS se utiliza para enviar y recibir comandos).

Las organizaciones solicitantes proponemos a Uninet y Iusacell la adopción de las mejores prácticas internacionales en transparencia relacionadas con las solicitudes de información de los gobiernos sobre sus usuarios. Entre otras prácticas se encuentra la emisión periódica de un informe con información desagregada sobre el número y tipo de solicitudes, así como la autoridad que las realiza. Es deseable también que con el objetivo de construir relaciones de servicio basadas en la legalidad y la transparencia se tome  como marco los 13 principios antes citados.

Nuestras organizaciones evalúan las diferentes vías legales para obtener información pública relacionado con Finfisher y para determinar la legalidad en la operación de estos instrumentos.

Las organizaciones solicitantes llaman a las autoridades mexicanas tanto de nivel federal, como estatal para que armonicen su marco normativo a de conformidad con los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones.

Finalmente convocamos a la sociedad civil organizada y a la ciudadanía a apoyar nuestra solicitud de verificación y a emprender las medidas de autoprotección en entornos digitales necesarias para proteger su privacidad y datos personales en orden de preservar las libertades y derechos fundamentales.

________________________________________________________________________________

[1] A n t e c e d e n t e s

El 30 de abril de 2013, Citizen Lab, prestigiado laboratorio interdisciplinario de la Universidad de Toronto cuya misión es desarrollar investigación avanzada sobre tecnologías de la información, seguridad global y derechos humanos, publicó un informe sobre la proliferación del equipo de espionaje Finfisher/FinSpy capaz de intervenir las comunicaciones privadas de usuarios de internet de forma focalizada y tomar control de las funciones básicas de los dispositivos infectados. En este informe por primera vez México apareció con direcciones IP operadas por las empresas Uninet y Iusacell.

Desde el año 2011 defensores de derechos humanos y organizaciones de la sociedad civil han documentado casos del uso de este programa para intervenir comunicaciones de activistas y disidentes políticos alrededor del mundo. El 20 de Junio solicitamos al IFAI iniciara procedimiento de verificación a las empresas Uninet y Iusacell por el uso de dicho programa dentro de su red, con el objetivo de conocer los detalles específicos sobre su operación y proteger los datos personales eventualmente en riesgo. Las solicitud presentada ha recibido el apoyo de prestigiosas organizaciones internacionales como Privacy International, European Center for Constitutional and Human Rights, del propio Citizen Lab y decenas de organizaciones nacionales de derechos humanos, de periodistas y académicos, así como miles de ciudadanos en lo individual. El 26 de junio el IFAI requirió a ambas empresas información sobre la operación de Finfisher dentro de sus redes.

El 10 de julio la Comisión Permanente del Congreso de la Unión aprobó, por unanimidad, un punto de acuerdo solicitando información al IFAI sobre la solicitud de verificación, argumentado la importancia de la protección de los datos personales y la libertad de expresión en la red.

El 10 de julio Uninet dando respuesta al requerimiento del IFAI sostuvo que: “Uninet no tiene ningún servidor conectado al bloque de direcciones IP 201.122.xxx.xxx y que los servidores que Uninet utiliza para proveer servicios a sus clientes, no contienen datos personales, ni mucho menos tienen instalados el software denominado finfisher o finspy”… En su informe también sostiene que “Uninet no tienen ninguna responsabilidad sobre el uso que sus clientes hacen sobre las direcciones IP que se les asignan para el uso del servicio”.

El 17 de julio la Comisión Permanente del Congreso de la Unión aprobó por unanimidad un punto de acuerdo en el que solicita a la Secretaría de Gobernación un informe detallado “sobre la estrategia en torno al monitoreo de información en el ciberespacio, para evitar vulnerar la privacidad de los usuarios y se salvaguarden sus datos personales” incluyendo el uso del equipo Finfisher/FinSpy y a la Procuraduría General de la República solicitó un informe detallado “sobre si existen denuncias sobre una potencial intervención ilegal de los servicios de comunicación”. A la fecha dichas dependencias no han contestado este requerimiento.

El 18 de julio la Secretaría de Marina Armada de México anunció la detención de Miguel Treviño Morales alias el z-40 buscado por diferentes delitos asociados al crimen organizado. Algunos medios de comunicación refiriendo fuentes oficiales señalan que la detención se logró en parte debido a la utilización del equipo Finfisher.

El 23 de julio dando respuesta al requerimiento del IFAI, Iusacell sostuvo que “No han tenido, ni actualmente tienen instalados el programa finfisher o finspy para sustentar lo anterior… solicitó al perito en informática y sistemas computacionales Marco Antonio Ramos Rivera, que realizara una revisión de los servidores y la infraestructura informática de mi representada”.

Ante la información que en México Finfisher/FinSpy se comercializaba por medio de Obses de México, el 30 de julio el IFAI requirió a dicha empresa la forma en qué dicho programa fue adquirido, los permisos y las formas en que se comercializa y los contratos de venta celebrados con entidades públicas y privadas relacionados con Finfisher.

El 5 de agosto en un escrito de respuesta al IFAI,  Obses de México aceptó que ha vendido Finfisher a diferentes entidades del gobierno federal, asimismo manifestó que no vende este programa a entidades privadas ni a gobiernos estatales, declarando que por las cláusulas de confidencialidad firmadas en los contratos de venta de Finfisher, no puede revelar mayor detalle de los mismos y que la ley de protección de datos personales en posesión de particulares no aplica en su caso. Con base en esta respuesta el IFAI determinó iniciar el procedimiento de verificación a Obses de México.

En una revelación difundida por Wikileaks el 4 de septiembre conocimos que ejecutivos de las empresas Gamma Group y Hacking Team Ht Srl, dedicadas a vender servicios y productos de espionaje cibernético y telefónico,  visitaron México entre el 14 y el 17 de febrero estuvo en nuestro país Carlos Gandini, alto ejecutivo de Gamma International y Martin Muench, desarrollador de la cuestionada aplicación FinFisher, comercializada por esa misma corporación, fue enviado a México entre el 23 y el 26 de abril.

Con el propósito de aportar mayor información a la investigación del IFAI, el 18 de septiembre Citizen Lab envío al IFAI una comunicación donde precisa las direcciones IP de Uninet y Iusacell donde Finfisher fue detectado, las que permitirían identificar al cliente que las opera. En esa comunicación precisa además que hasta el 13 de septiembre los Centros de Comando y Control de Finfisher en tales direcciones, siguen activos.