Estado mexicano debe cumplir con el compromiso sobre controles democráticos para la intervención de comunicaciones y esclarecer el uso de #Pegasus
El Núcleo de Organizaciones de la Sociedad Civil (NOSC) que forman parte de la Alianza para el Gobierno Abierto (AGA) llama al gobierno de México a continuar el trabajo multisectorial como parte del compromiso “Controles democráticos a la intervención de comunicaciones privadas” a la luz de las nuevas revelaciones por el uso del malware Pegasus en México.
La investigación Pegasus Project, publicada el 18 de julio de este año y coordinada por Forbidden Stories y Amnistía Internacional, reveló nueva información y complementaria sobre el uso del malware de espionaje Pegasus en contra de periodistas, personas defensoras de derechos humanos y otros integrantes de la sociedad civil alrededor del mundo, incluyendo México.
Más de 50 mil números de teléfono aparecen como potenciales objetivos de Pegasus, de los cuales más de 15 mil poseen el código de país de México y que incluyen a familiares de los 43 estudiantes de la Normal Rural de Ayotzinapa, investigadores de la CIDH y más de 25 periodistas —incluyendo al periodista guerrerense Cecilio Pineda Brito, quien fue asesinado en marzo de 2017, apenas unas semanas después de haber sido atacado con Pegasus, según la información publicada—. También se identificó que, en la lista de números, figuran personas cercanas al presidente Andrés Manuel López Obrador.
La Alta Comisionada de la ONU para los Derechos Humanos, Michelle Bachelet, calificó como “extremadamente alarmante” el espionaje a periodistas y personas defensoras de derechos humanos que indican “algunos de los peores temores sobre el posible uso indebido de la tecnología de vigilancia para socavar ilegalmente los derechos humanos de las personas”.
Pegasus Project confirma lo que desde 2017 una investigación conjunta realizada por Citizen Lab, ARTICLE 19, R3D y SocialTIC reveló sobre cómo el gobierno mexicano destinó recursos públicos para adquirir el malware Pegasus. Este programa malicioso fue creado y ofrecido exclusivamente a gobiernos por la empresa israelí NSO Group con el objetivo de combatir a los grupos criminales y el terrorismo. Sin embargo, en gobiernos autoritarios y con falta de controles democráticos se utiliza para tomar control de los dispositivos e intervenir comunicaciones de periodistas, activistas, personas defensoras de derechos humanos, entre otros de manera ilegal.
El 23 de mayo de 2017 las organizaciones de la sociedad civil que integran la AGA en México suspendieron su participación en los trabajos ante la inacción del gobierno del entonces presidente Enrique Peña Nieto por la revelación de los casos de espionaje a periodistas, activistas y personas defensoras de derechos humanos. En 2019, las organizaciones reanudaron el diálogo, ahora con el gobierno encabezado por Andrés Manuel López Obrador, al acordar la integración de un compromiso para atender la vigilancia ilegal y desproporcionada en el país.
Desde la primera revelación de casos, los organismos internacionales –incluyendo a diversos procedimientos especiales de las Naciones Unidas– han recomendado al Estado mexicano garantizar una investigación independiente, así como establecer un marco legal para proteger la privacidad de las personas conforme a los estándares internacionales. A la fecha, ninguna de las recomendaciones ha sido atendida.
Actualmente, la investigación oficial en México fue retomada por la Fiscalía General de la República (FGR), misma que inició con la entonces Procuraduría General de la República, quien ha sido la dependencia que adquirió y operó el malware Pegasus durante el periodo de los ataques en 2017. En febrero de 2019 la FGR señaló al INAI que no contaba con “bitácoras de uso o registros, bases de datos y aplicaciones que dieran cuenta de la utilización del sistema adquirido”.
La investigación realizada por Citizen Lab de la Universidad de Toronto demostró que el uso del malware Pegasus en contra de periodistas y personas defensoras de derechos humanos no se limita al análisis forense de los teléfonos. Sobre todo, porque el malware tiene características que le permiten no dejar rastro en los teléfonos móviles y, a la fecha, la autoridad investigadora no ha demostrado garantías mínimas como la independencia en el análisis forense y una metodología robusta de investigación.
La evidencia que detectó Citizen Lab en su análisis se refiere a la infraestructura que usa la empresa israelí y a los intentos de infección. Es decir, que el uso del malware queda registrado en los servidores de NSO Group a los cuales la compañía tiene acceso de acuerdo a las declaraciones de su director, Shalev Hulio al medio Die Zeit. O bien, al identificar la url contenida en los mensajes SMS que recibieron las personas en el teléfono y su coincidencia con los dominios conocidos de Pegasus. Además de la infraestructura de NSO Group es, la de los operadores como la PGR, SEDENA y el CISEN, en donde también se puede detectar información técnica relevante para contar con elementos concretos sobre el uso del malware Pegasus en México.
Preocupa que la FGR insista en esperar a que las personas denunciantes “puedan aportar sus teléfonos” cuando Citizen Lab ha explicado al Ministerio Público la metodología que siguieron y que les permitió afirmar con una base científica que las personas denunciantes fueron atacadas con el malware Pegasus. Citizen Lab también ha entregado al Ministerio Público una lista con diversos actos de investigación con el fin de generar evidencia técnica que permita la identificación de perpetradores y víctimas sobre el uso del malware Pegasus en México, los cuales, inexplicablemente, no fueron atendidos.
México requiere de un marco regulatorio para evitar abusos
Los hechos expuestos demandan una respuesta coordinada para impulsar modificaciones regulatorias administrativas y de operación que contribuyan a la transparencia y la rendición de cuentas en la compra, uso y supervisión de tecnologías de intervención de comunicaciones privadas, acceso a datos conservados y geolocalización estatal.
La adquisición y uso de tecnologías de vigilancia se ha realizado sin transparencia ni mecanismos efectivos para la rendición de cuentas, por lo que la falta de regulaciones y medidas de control ha fomentado su uso ilegal. Lo anterior ha generado que las recomendaciones y observaciones de organismos internacionales y de derechos humanos sean desconocidas y resulten sin efecto ante la promesa de la actual administración de no espiar.
La vigilancia en México se ejerce frecuentemente por autoridades que carecen de las facultades legales para hacerlo y/o de autorización o supervisión judicial, porque no existe una regulación específica de herramientas altamente intrusivas de vigilancia como el software malicioso Pegasus. No obstante, la legislación reconoce la posibilidad de que algunas autoridades puedan requerir autorización judicial federal para la intervención de comunicaciones privadas para fines específicos.
Ante estos hechos, el Núcleo de Organizaciones de la Sociedad Civil de la Alianza para el Gobierno Abierto (AGA) instamos:
- Al presidente Andrés Manuel López Obrador para que instruya a la Secretaría de la Función Pública (SFP) y demás dependencias de gobierno para que cumplan con el compromiso “Controles democráticos a la intervención de comunicaciones privadas” del Cuarto Plan de Acción de la Alianza para el Gobierno Abierto.
- A la Fiscalía General de República a realizar una investigación exhaustiva e integral sobre el uso del malware Pegasus en contra de periodistas y activistas, así como integrarse a los trabajos del Cuarto Plan de Acción para, en un ejercicio de gobierno abierto, abrir la información de interés público que sirva para la rendición de cuentas y para evitar el uso arbitrario de éstas y otras herramientas de vigilancia.
- A las instituciones de seguridad, procuración de justicia e inteligencia a cumplir con sus obligaciones de transparencia establecidas en la Ley General de Transparencia y Acceso a la Información Pública, haciendo públicos los contratos generados para comprar con recursos públicos este tipo de herramientas de vigilancia.
- Al gobierno mexicano para que imponga una moratoria inmediata a la exportación, venta, transferencia, uso o prestación de servicios de asistencia para instrumentos de vigilancia desarrollados por empresas privadas hasta que se establezca un régimen de salvaguardias que respete los derechos humanos”.
A T E N T A M E N T E
NÚCLEO DE ORGANIZACIONES DE LA SOCIEDAD CIVIL
DE LA ALIANZA PARA EL GOBIERNO ABIERTO EN MÉXICO
Artículo 19 Oficina para México y Centroamérica; Contraloría Ciudadana para la Rendición de Cuentas, A.C.; Causa Natura, A.C.; Equis Justicia para las Mujeres, A.C.; Fundar Centro de Análisis e Investigación, A.C.; GESOC, Agencia para el Desarrollo A.C.; Instituto de Liderazgo Simone de Beauvoir, A.C.; Instituto Mexicano para la Competitividad, A.C.; México Evalúa Centro de Análisis de Políticas Públicas A.C.; Observatorio Ciudadano de Seguridad, Justicia y Legalidad, A.C.; SocialTIC, A.C. y Transparencia Mexicana, A.C.