Privacy encontró que en Colombia funcionan tres grandes sistemas de vigilancia masiva: Esperanza, Puma y SIGD (Sistema Integrado de Grabación Digital). Esperanza, según el informe, está amparada por la Ley; y la actividad de Puma es considerada como legal por la Policía, pero –según la ONG–, “la interceptación masiva o automatizada de las comunicaciones con fines de recopilación de información de inteligencia no está contemplada ni autorizada expresamente en la legislación colombiana” .

La Policía quería ejercer vigilancia masiva en Colombia al menos desde 2005

El SIGD, desconocido hasta ahora, es un poderoso centro de monitoreo de comunicaciones que recoge y retiene información de varias fuentes, “como monitoreo de Internet, de ubicación, de teléfonos y audio vigilancia”, y las analiza de forma centralizada. Esta autoridad, según Privacy, carece de “autoridad clara ni escrutinio público”.

Este sistema comenzó a ser desarrollado en 2005 por la Dipol (Dirección de Inteligencia Policial), y pretendía realizar una interceptación y almacenamiento masivo de la información que circula por las redes colombianas. “Los analistas de sus 20 estaciones de trabajo eran capaces, al menos en teoría, de grabar conversaciones de un objetivo seleccionado, captar 100 millones de registros de datos de llamadas al día e interceptar 20 millones de SMS diarios”, dice Privacy en su reporte.

Puma podría vigilar todo el tráfico de internet originado en Colombia

A pesar de esto, la Policía no logró hacer que el sistema funcionara del todo bien, y no pudo articularlo con otras redes de inteligencia del Gobierno. En vista de esa limitación, nació el sistema Puma, que actualmente “puede interceptar, almacenar y analizar cantidades masivas de tráfico telefónico, y está previsto que crezca y pueda también interceptar el tráfico de Internet” .

Puma funciona gracias a las ‘puertas traseras’ que la regulación colombiana obliga a las ISP a tener disponibles para las autoridades. De hecho, está diseñado para capturar información de voz y datos de 12 operadores colombianos: Claro, Tigo, Avantel, Movistar, Une, Telefónica, Emcali, Metrotel, ETB, Telmex y EPM; es decir, prácticamente todo el tráfico de internet originado en Colombia.

El sistema, según su proveedor, iba a tener la capacidad de rastrear hasta 20.000 objetivos al día, y tenía la capacidad técnica de llegar a los 100.000 objetivos diarios. Sin embargo, su escalamiento ha estado estancado por diferencias entre la Policía y la Fiscalía: según Privacy, “la Policía niega públicamente tener en la actualidad la capacidad de intervenir el tráfico de internet”, y de hecho, el informe asegura que los equipos que permiten la vigilancia más sofisticada están guardados en cajas de cartón. Mientras la Policía asegura que la Ley le permite desplegar y administrar estas tecnologías de vigilancia, la Fiscalía dice ser la única autoridad que puede administrar y operar estas salas.

Los equipos de Puma están guardados en cajas de cartón 

Este conflicto revela la principal conclusión a la que llega la ONG: en Colombia, el marco regulatorio de las actividades de inteligencia y vigilancia electrónica es deficiente. No es claro cómo ni con qué condiciones y controles deben operar estas herramientas de vigilancia. Y el problema es que ese hueco legal concede, en la práctica, “facultades de vigilancia masiva” a la policía.

Imágenes: Privacy International, ashyarku (vía Shutterstock).

Por Ericka Duarte, Mateo Santos y José Luis Peñarredonda

Menos de un mes después de que se conocieran las primeras noticias sobre la Plataforma Única de Monitoreo y Análisis (PUMA), que permitirá interceptar comunicaciones en internet en Colombia, casi todo está listo. ENTER.CO pudo conocer, de fuentes de la Policía Nacional, que la plataforma entrará en funcionamiento el próximo 16 de julio y que su sede estará ubicada en la localidad de Los Mártires, en el occidente de Bogotá. 

Según un reporte conocido por El Tiempo, el sistema es la evolución de una plataforma llamada Esperanza, con la que ya cuenta la Fiscalía General de la Nación. Analizará hasta 20.000 comunicaciones al mismo tiempo y le costará 100.000 millones de pesos a las arcas del país.

A las pocas horas de conocerse el hecho, el director general de la Policía Nacional, general José Roberto León Riaño, hizo una rueda de prensa en la que confirmó las informaciones iniciales. Insistió que las interceptaciones “solo se harán con orden judicial” y dijo que la plataforma “aumenta la capacidad de las autoridades judiciales“.

Muchas preguntas siguen en el aire: ¿Cómo va a funcionar técnicamente PUMA? ¿Cuál es el papel de las ISP (proveedoras del servicio de internet) en el proyecto? ¿Qué pueden y qué no pueden hacer las autoridades colombianas con las comunicaciones digitales de los ciudadanos? ¿Cómo funcionan programas similares en otros países?

¿Qué es y qué no es PUMA?

La versión inicial decía que, según la Policía Nacional, “la función de PUMA será únicamente judicial y no se utilizará en inteligencia“. Esa es una diferencia sustancial con el programa PRISM, y sobre el papel es un mensaje tranquilizador: PUMA no sería usado para intentar prevenir delitos, solo para investigar los que ya han ocurrido. No haría pesquisas en los archivos de personas inocentes en busca de pistas, sino que solo investigaría cuando haya un proceso judicial en marcha.

El Tiempo afirma que el presupuesto fue aprobado por un documento Conpes –un tipo de documento redactado por el Departamento de Planeación Nacional que traza los lineamientos de lo que el Estado debe hacer en el futuro– de 2011 . Otros medios luego precisaron que se trata del Documento Conpes 3701, titulado ‘Lineamientos de Política para la Ciberseguridad y Ciberdefensa’, en el que se delinea la forma en la que el Estado colombiano debe organizar su sector defensa para actuar en internet.

El objetivo del Documento, sin embargo, es mucho más ambicioso: “Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su seguridad y defensa en el ámbito cibernético (ciberseguridad y ciberdefensa)“. Y por supuesto, PUMA es solo una pequeña parte de la estrategia. Esta también determinó, entre otras cosas, la creación de un Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), que funciona desde 2011; y la posterior puesta en marcha de un Comando Conjunto Cibernético de las Fuerzas Militares.

Aunque no tenemos motivos para suponer que PUMA vaya a ser una herramienta de inteligencia, sí forma parte de un plan que busca defender “la seguridad del Estado” en la red, el cual está explícitamente motivado –entre otras cosas– por los ataques de Anonymous tras la primera ‘Ley Lleras’. No solo se trata de que la Policía pueda buscar pruebas para perseguir a los delincuentes. Según el Conpes, lo que busca la política es que las autoridades puedan “prevenir y contrarrestar toda amenaza o ataque de naturaleza cibernética que afecte los valores e intereses nacionales“.

En resumen: el ‘papá’ de PUMA es mucho más que una simple herramienta de investigación judicial: es un programa de defensa cuyas motivaciones son muy parecidas a las que, según las autoridades estadounidenses, están detrás de PRISM.

¿Cómo va a conseguir y manejar PUMA los datos de los usuarios?

Tecnológicamente, PUMA sigue siendo un misterio. A diferencia de  PRISM, nuestras instituciones no tienen la jurisprudencia para obligar a empresas estadounidenses, como Facebook, a entregar información.

El as debajo de la manga de PRISM es el hecho de que la NSA tiene una conexión directa con las empresas que necesita monitorear. Además, cuenta con las herramientas legislativas para poder obtener la información de los usuarios.

De implementarse como se reportó, PUMA tendría serias complicaciones para cumplir con lo que se dijo. El Tiempo tituló asegurando que la Policía podría interceptar Facebook, Twitter y Skype en Colombia. Pero, técnicamente, ¿es posible interceptar las comunicaciones de estos servicios?

La única forma de hacer eso en la escala que se plantea en las informaciones es instalar unas máquinas en los nodos de salida de internet, o directamente en los ISP. “Tendrían que poner un servidor en las salidas de internet para poder atrapar la información”, dijo Diego Osorio, CTO de LockNet, una empresa dedicada a la seguridad informática en Colombia. “De esta forma, la Policía puede ir replicando los datos necesarios para la investigación”, agregó el experto en seguridad.

De hecho, desde el año pasado, en Colombia, las ISP están obligadas a abrir ‘puertas traseras’ a las autoridades. Para facilitar las interceptaciones, el Decreto 1704 de 2012 exige a estas empresas “implementar y garantizar en todo momento la infraestructura tecnológica necesaria que provea los puntos de conexión y de acceso a la captura del tráfico de las comunicaciones que cursen por sus redes“.

Pero aun contando con las ‘puertas traseras’, hay otra dificultad técnica: Si se dan cuenta, cuando alguien ingresa a Facebook, por ejemplo, la dirección ‘http’ se convierte en ‘https’, una forma más segura de transferir información. “Se necesitaría demasiado poder de computo para romper ‘https’ en casos específicos. Hacerlo a gran escala es básicamente imposible”, dijo German Realpe, uno de los fundadores de Tienda Cloud y experto en las leyes alrededor de la seguridad informática.

Sin embargo, hay algunas formas de recolectar la información sin tener que romper el cifrado. La primera sería contar con una copia del certificado y crear un hack que se llama ‘Man in the Middle‘, solución que necesita de la improbable colaboración de las empresas estadounidenses. Pero por otro lado, como plantea Osorio, en varios servicios web lo único cifrado es  el ‘login’. Otras partes del servicio quizá no cuenten con ese nivel de seguridad, lo que haría posible que la Policía replique ciertos datos que no estén protegidos con seguridad adicional.

Es posible que simplemente se recolecten los metadatos. En una llamada telefónica, los metadatos son, por ejemplo, el origen, el receptor y la duración de la comunicación, pero nunca su contenido. Sin tener que romper los cifrados, es posible que la Policía Nacional solo replique ciertos metadatos de algunos servicios de internet.

Las ISP también están obligadas a remitir esta información a las autoridades. El Decreto dice que deberán suministrar datos “como sectores, coordenadas geográficas y potencia, entre otras, que contribuyan a determinar la ubicación geográfica de los equipos terminales o dispositivos que intervienen en la comunicación“. Además, de acuerdo con la norma, también tienen la obligación de “mantener actualizada la información de sus suscriptores y conservarla por el término de cinco años“.

PUMA no será la primera vez que la entidades oficiales y los diferentes operadores del país colaboran para obtener los datos de los usuarios. “Actualmente, hay un convenio entre las autoridades judiciales y todos los operadores, en el que es posible hacer interceptaciones de llamadas de voz móviles y fijas. Si hay una orden judicial previa sobre un caso específico, esas interceptaciones se pueden hacer sin ningún inconveniente. El tema de la interceptación de datos móviles, que está relacionado con Puma, está en construcción”, indicó un experto del sector que pidió no ser identificado.

Sin embargo, los voceros de dos ISP prefirieron no pronunciarse oficialmente y nos remitieron a la Policía Nacional. La Policía, a su turno, nos dijo que responderá nuestras preguntas luego del lanzamiento oficial de la plataforma.

¿Quién se encarga de que esa información no caiga en malas manos?

El Decreto dice que todo aquel que entre en contacto con información privada de los usuarios debe “garantizar la reserva de los datos y la confidencialidad de la información“, y que el Ministerio TIC “ejercerá labores de inspección, vigilancia y control” del cumplimiento de esas obligaciones.

Preguntado sobre esto, el ministro Diego Molano Vega nos dijo que el buen uso de esa información “es un tema de la justicia colombiana y de las labores de inteligencia de las autoridades respectivas“, y que la implementación del programa “es un tema de la Policía Nacional“.

Por otra parte, algunos abogados han expresado preocupación porque, según dicen, no es claro si PUMA solo funcionará con orden judicial. El Decreto nunca habla de la intervención de los jueces, y el general León Riaño no desmiente esa suposición, aunque tampoco la confirma: lo único que dice al respecto es que PUMA estará “bajo el control directo de la Fiscalía General de la Nación“.

No sabemos si en realidad PUMA necesitará o no de la autorización de un juez. Que eso ocurra es importante. Como señala Vivian Newman, subdirectora del centro de estudios Dejusticia, esa es la única garantía real de que la plataforma no sea utilizada para cometer excesos contra los civiles. Si se pide la autorización judicial, dice, “la Fiscalía tiene que probar que no está investigando a cualquiera porque quiere investigarlo. Pero si el control solo lo hace la Fiscalía, no va a tener los límites que va a tener un tercero de fuera”.

Otro aspecto que anota Newman es que la condición de almacenar la información privada de los usuarios es muy complicada. “¿Cómo va a ser manejada esa información? Puede ser que se la vendan a terceros, que no tengan el control“, señala.

Además, la abogada añade que debe haber claridad sobre lo que ocurrirá con los datos que sean inútiles en las investigaciones, pues no deberían quedar guardados eternamente. “Tienen que inventarse un sistema en el que puedan eliminar la información que no van a utilizar y qué es privada”, dijo a ENTER.CO.

Cabe recordar que el artículo 15 de la Constitución Nacional asegura que las personas tienen derecho “a su intimidad personal y familiar” y a que “su correspondencia y demás formas de comunicación privada [… sean] inviolables“, y solo puedan “ser interceptadas o registradas mediante orden judicial“. El abogado Alexander Díaz, experto en derecho informático, señaló en su Twitter que PUMA podría violar este mandato constitucional porque no requiere la orden de un juez.

¿Cuáles son los antecedentes en el mundo?

Muchos países ya cuentan con sistemas similares a PUMA y los usan en labores de ciberdefensa. Entre otros, Alemania, Cánada, Francia y Estados Unidos tienen instalaciones que les permiten responder a ciberataques, reforzar la seguridad en línea y proteger su posición estratégica.

Mantener niveles mínimos de seguridad informática es crítico para la integridad de los países. Ya se han registrado ataques a la infraestructura crítica de varios países. Para los gobiernos es prioridad que las redes de instalaciones críticas como termoeléctricas, plantas nucleares, centros de investigación u hospitales funcionen adecuadamente y estén a salvo de ataques, pues las consecuencias de que no lo hicieran serían desastrosas.

Pero el otro lado de la moneda es el que resaltó Julian Assange, el cofundador de Wikileaks, cuando decía que “internet es la máquina de espionaje más grande del mundo”. PRISM solo es el caso más llamativo en el momento, pero, durante años, países como China han estado espiando las actividades de los ciudadanos en la red.

Un caso entre muchos: en 2011, durante los disturbios en Medio Oriente que fueron impulsados a través de redes sociales, Wikileaks reveló unos documentos que indicaban que los gobiernos de 25 países, entre ellos algunos como Egipto y Siria, contaban con sistemas de vigilancia para perseguir a los opositores mediante sus teléfonos móviles, cuentas de correo electrónico o historiales de búsqueda en internet.

En ese momento se descubrió que varios países utilizan herramientas como FinFisher, un programa espía que puede pasar por alto los sistemas de antivirus para robar datos, grabar lo que teclea el usuario, intervenir las llamadas por Skype y convertir tanto los micrófonos como las cámaras de los equipos en dispositivos de espionaje. Según Wikileaks, la idea de los gobiernos es utilizar este software, desarrollado por la compañía alemana Gamma, para monitorear las actividades de los usuarios en la red.

Con la llegada de PRISM, se descubrió que muchas de las grandes compañías de internet ayudaban al gobierno estadounidense en los movimientos de espionaje. En estas semanas se ha revelado que Skype, y luego muchas otras empresas, colaboraban con el programa estadounidense.

Los opositores de estos programas aseguran que estas acciones de los gobiernos están injustificadas, pues los terroristas no se valen de herramientas sociales para llevar a cabo sus actividades. Por ende, poco o nada usan redes sociales como Facebook o Skype. Entonces, ¿realmente en contra de quién están diseñados estos programas?