Tres casos en los que el gobierno ha comprado software espía

El objeto fue: "Servicio de localización geográfica en tiempo real para equipos de comunicación móvil asociados a una línea telefónica, consistente en instalación puesta a punto, configuración y liberación de 135,000 búsquedas, sin que exista un límite de búsquedas diarias", según el reporte del órgano interno de la FGR.

Además el caso no es aislado y forma parte de otra polémica sobre el uso de este tipo de software por parte de instituciones de gobierno. En diciembre de 2020 la empresa de vigilancia Circles tenía al menos 10 clientes utilizando sus sistema de espionaje en el país, entre ellos la Secretaría de Marina y el Gobierno de Durango, esto de acuerdo a un reporte publicado por Citizen Lab, de la Universidad de Toronto.

Los sistemas empezaron a ser utilizados en 2015 y muchos de ellos siguieron su curso hasta 2020. De acuerdo con la investigación, uno de los sistemas fue vinculado con dominios y certificados TLS del sitio semar.gob.mx, así como varias plataformas de la Semar.

Además, otro sistema, sin nombre, fue presuntamente utilizado por el estado de Durango, debido a que se identificó el dominio de durango.gob.mx. En cuanto a los demás clientes, la investigación de Citizen Lab no encontró más detalles.

Según los informes, la compañía Circles fue fundada en 2008, adquirida en 2014 por Francisco Partners y luego fusionada con NSO Group. Circles es conocida por vender sistemas para explotar las vulnerabilidades SS7 y afirma vender esta tecnología exclusivamente a los estados nación.

A diferencia del software espía Pegasus de NSO Group, el mecanismo SS7 mediante el cual opera el producto de Circles no tiene una firma obvia en el teléfono de un objetivo, como el mensaje de detección de SMS con un enlace malicioso que a veces está presente en un teléfono dirigido a Pegasus. Aunque es relevante que ambas empresas hayan sido parte de polémicas en el país, pues Pegasus fue otro de los software espías que adquirió gobierno hace unos años.

En junio de 2019 el diario The New York Times implicó al gobierno mexicano en un supuesto caso de espionaje contra activistas y periodistas mexicanos. El diario identificó el software como Pegasus, y dijo en su momento que el director general del Instituto Mexicano para la Competitividad (Imco), Juan Pardinas, y la periodista Carmen Aristegui habían recibido mensajes en sus móviles para que los hackers lograrán tener acceso a sus celulares.

En su momento, el caso de Pegasus despertó un gran debate sobre las consecuencias que deberían tener las instituciones involucradas en el caso señalado por el NYT, sin embargo el caso no ha sido revisado de manera correcta, y aún se mantiene una postura de vigilancia, de acuerdo con la organización civil Red para la Defensa de los Derechos Digitales (R3D).

“De nueva cuenta queda en evidencia que la adquisición y uso de herramientas de vigilancia en México continúa fuera de control, a pesar de las promesas de la administración en turno por erradicar estas prácticas. Las omisiones del Estado mexicano no solo han mantenido en la impunidad los casos documentados de espionaje en contra de periodistas, activistas y personas defensoras de derechos humanos en el sexenio pasado, sino que toleran el incremento de capacidades de vigilancia sin mecanismos de control y rendición de cuentas”, indicó sobre el último caso R3D, en un comunicado.

México

La FGR de Gertz Manero contrató software de espionaje, según El País