Investigación
‘Proyecto Osint’: la inteligencia militar colombiana se acerca a la vigilancia masiva
Las Fuerzas Militares de Colombia quieren fortalecer sus labores de inteligencia en la web y documentos reservados muestran su interés por adquirir herramientas vinculadas a campañas de desinformación o utilizadas para perfilar y perseguir a periodistas y defensores de derechos humanos. La información muestra, además, que el Ministerio de Defensa colombiano, bajo el gobierno de Iván Duque, aprobó en 2022 una partida presupuestaria para adquirir una herramienta que le permita “estar a la vanguardia” para identificar amenazas en redes sociales. Lo que no muestran los documentos es cómo se van a prevenir abusos de la herramienta.
Se trata de tecnologías muy similares a las que derivaron, en 2020, en el conocido como escándalo de las carpetas secretas: un centenar de periodistas y activistas perfilados por el Ejército, sin justificación. Los archivos filtrados ahora muestran que, tras ese episodio, en las Fuerzas Militares se realizó una auditoría que concluyó que sí hubo irregularidades e impartió recomendaciones para prevenir futuros abusos. Sin embargo, en los documentos del nuevo plan del Comando General, no hay mención alguna a esas recomendaciones. En cambio, queda en evidencia que se reunieron con empresas que han sido cuestionadas alrededor del mundo y cuyas herramientas parecen ir más allá de un monitoreo de redes sociales.
En el centro de ambos asuntos, el escándalo de las carpetas secretas y el interés por adquirir nuevas herramientas para controlar internet, se encuentra una compañía española: Mollitiam Industries. En el primer caso fue la empresa que vendió a las Fuerzas Militares el sistema informático utilizado para perfilar a periodistas y activistas; en el segundo, fue una de las tres empresas que enviaron una propuesta detallada con las herramientas que comercializan.
Mollitiam Industries fue constituida en Toledo hace menos de cinco años, en mayo de 2018, pero sus creadores llevan muchos años en el campo de la ciberinteligencia. Los socios mayoritarios son los hermanos Esther y Samuel Álvarez González, quienes en 2007 crearon el Grupo In-Nova para trabajar en el sector, y el otro accionista principal es Antonio Ramos Varón, personaje con cierta proyección pública porque fue presentador de un programa de televisión llamado Mundo Hacker, emitido en 2013 en Discovery Max y en 2016 en TVE. También se ha difundido en Canal 13 de Colombia.
En sus pocos años de existencia, llaman la atención dos cuestiones: el apoyo económico recibido de fondos de inversión y la importante cantidad de dinero público que financia sus proyectos.
Entre los accionistas de Mollitiam figuran Sabadell Venture Capital, filial del cuarto banco de España para invertir en proyectos de emprendedores en su fase inicial; Easo Ventures, sociedad de capital riesgo con sede en San Sebastián y que capta fondos entre otros del Gobierno vasco, y Torsa Capital, un fondo que agrupa dinero de algunos de los principales empresarios asturianos.
En cuanto al dinero público, ha recibido subvenciones por más de 1,6 millones de euros, la mayoría procedentes del Gobierno español y de la UE [puedes leer aquí una detallada información sobre Mollitiam Industries, sus socios, sus clientes y sus productos de espionaje invasivo]
¿Ciberinteligencia o vigilancia masiva?
Correos internos del Comando General de las Fuerzas Militares filtrados por el colectivo de hackers Guacamaya, a los que El Espectador tuvo acceso a través de Forbidden Stories, muestran que la iniciativa para adquirir una herramienta para hacer inteligencia en redes sociales lleva varios años cocinándose. En concreto, forma parte de un proyecto que le presentó el Departamento Conjunto de Inteligencia y Contrainteligencia (CGDJ2) al Ministerio de Defensa para crear un “Sistema Integrado de Información de Inteligencia Conjunta Para la Defensa Nacional” (SI3CD), siguiendo recomendaciones de Estados Unidos y de la OTAN. Propuesta que acabó recibiendo luz verde del Gobierno.
En la filtración hay diapositivas, correos y formularios que explican, una y otra vez, que la inteligencia militar tiene falencias por su escasa capacidad tecnológica. En uno de ellos, se plantea, como solución, adquirir un software de inteligencia con fuertes abiertas: Osint, por sus siglas en inglés. El documento, de hecho, se llama “Proyecto Osint” y marcó el inicio de un camino en el que lograron que la iniciativa fuera aprobada casi unánimemente en el Ministerio de Defensa. Solo en una dependencia del Ministerio hubo oposición, pero por errores administrativos en la propuesta, no porque se consideraran los desafíos para la privacidad o el historial de abusos que cargan los militares.
Para Pilar Sáenz, coordinadora del Laboratorio de Seguridad digital K+LAB de la Fundación Karisma, “no es irracional que el Estado tenga una herramienta así para hacer investigaciones”. Sin embargo, explicó que con este tipo de herramientas de ciberseguridad se puede caer en vigilancia masiva. Ella definió este último escenario así: “Una revisión de forma indiscriminada y que no necesariamente sigue una investigación particular, de fuentes abiertas en internet. Tienes a unos actores que están hablando en redes sociales sobre las cosas que están pasando y a la fuerza pública, mirando la conversación en redes sociales y haciendo filtros para ver qué pesca”.
Las empresas a las que se acercaron los militares
El proyecto Osint pasó casi sin oposición por todas las instancias en el primer trimestre de 2022. En ese tiempo, miembros de las Fuerzas Militares tuvieron reuniones o recibieron propuestas de al menos siete representantes de empresas que ofrecen este tipo de herramientas: Mollitiam Industries, S2T Unlocking Cyberspace, Voyager Labs, Cognyte, AWS (de Amazon), IQ Lab y Dreamlab Technologies. Algunas conocidas contratistas de los militares colombianos, otras con antecedentes cuestionados en varios países.
De las siete empresas, al menos tres enviaron propuestas detalladas de los productos que ofrecen: Mollitiam Industries, Voyager Labs y S2T Unlocking Cyberspace. Estos documentos ofrecen una mirada inédita a una industria que se mueve en la oscuridad, pues la mayoría de sus contratos con los Estados tienen reserva y pocas veces se conocen las capacidades de las herramientas que venden. Además, expertos consultados plantean preocupaciones por la cantidad y el tipo de información que podría ser recogida sin filtros ni controles.
Lo que recuerda, inevitablemente, al escándalo de carpetas secretas. No es para menos, pues hay coincidencias. En 2020, cuando se conoció que el Ejército había perfilado con herramientas similares a un centenar de periodistas y políticos, El Espectador reveló los contratos de esa institución con una de las empresas con las que se reunieron las Fuerzas Militares en 2021 para el Proyecto Osint: Mollitiam Industries. Según al menos dos documentos filtrados, representantes de esa empresa española se reunieron directamente —no a través de distribuidores colombianos— con quienes lideraban la propuesta de fortalecimiento de inteligencia digital.
La primera mención a Mollitiam en la filtración está en un correo, de agosto de 2021, entre los suboficiales que estructuraron el Proyecto Osint. Uno de ellos explicaba que en esta empresa “tienen herramientas bien interesantes para acoplar al trabajo de CEICO”, en referencia al Centro de Inteligencia Conjunto. Y agregaba: “Así mismo, conozco que ha venido contratando con Dipol (dirección de Inteligencia de la Policía), DNI (Dirección Nacional de Inteligencia) y unidades del Ejército”. Según el mensaje, hay un producto en especial de esa compañía que les podría interesar a las Fuerzas Militares: un curso “donde se estudian, de manera muy técnica, los pasos para el desarrollo de operaciones de ciberinteligencia”.
A comienzos de 2022, la compañía española envió dos documentos a las Fuerzas Militares. Uno llamado Propuesta Mollitiam y otro Propuesta Técnica Mollitiam. Ambos aparecen referenciados en otro correo en el que fueron adjuntados, junto a una propuesta más de S2T Unlocking Cyberspace. Sin embargo, los dos primeros tienen el acceso restringido por una contraseña.
Mollitiam Industries no respondió a ninguna de las preguntas que le plantearon los periodistas sobre sus relaciones con las Fuerzas Armadas colombianas.
El correo enviado por uno de los líderes del Proyecto Osint advierte: “Al momento, se ha establecido contacto de forma presencial con seis empresas, mas no se ha definido la herramienta a adquirir, el presupuesto establecido se determinó como uno general producto de las cotizaciones [las propuestas económicas] y de las visitas efectuadas, por lo cual el proceso sigue”.
La otra propuesta que aparece adjunta en ese correo, que oferta una herramienta de S2T Unlocking Cyberspace, es una de las más detalladas en toda la filtración. Entre las capacidades que ofrece su producto, llamado WebINT, está la creación de avatares (perfiles), que desarrollan así: “El sistema permite a los usuarios crear, administrar y cultivar muchos avatares en línea, incluida la creación automática y las actividades automáticas para estos avatares. Esto permite desbloquear la información en plataformas de acceso restringido, mientras se emplean sofisticados mecanismos de seguridad para enmascarar la identidad real del usuario”.
Es decir, permite crear perfiles falsos y esconder su origen. Un diagrama que ofrecen, de ejemplo, explica cómo funcionaría un “flujo de trabajo de operación de información”: se identifica un tema de interés (como problemas políticos locales); se encuentra contenido en internet sobre el tema; luego se identifican los “elementos clave” y los “sentimientos”. Es decir, se miden los términos usados en las conversaciones públicas de redes sociales para posteriormente hacer una “publicación automática y comentario” por un avatar, que será compartido por “nuestros otros avatares”. Así, finaliza la ilustración, se “identifican objetivos para investigaciones más profundas”.
Una vez se define un objetivo, la herramienta puede recopilar datos sobre esa persona o empresa, como su “ubicación, vehículos, números de teléfono, medicamentos, identificaciones, nombres de usuario, billeteras de Bitcoin y direcciones de correo electrónico”. Esta información es recogida de forma “automática y continua”, según añade el documento. Además, quien use la herramienta puede definir a través de qué avatar (perfil falso) pretende recopilar la información. También puede crear “casos”, es decir, seguir a un grupo de personas que están conectadas en internet por algún rasgo común o por la palabra clave que se defina.
Aunque no aparece un remitente de la propuesta, metadatos del documento indican que fue elaborado por Anirudha Sharma Bhamidipati, exrepresentante comercial de la empresa colombiana Delta IT Solutions. Consultados por este consorcio, la compañía aseguró que en septiembre de 2021 sí enviaron una propuesta a las Fuerzas Militares de Colombia, a través de Bhamidipati, “quien se desempeñaba en ese entonces como asesor de la empresa”.
La tercera propuesta que aparece en los documentos filtrados de las Fuerzas Militares es de otra empresa conocida en esa industria: Voyager. De hecho, cuando se revelaron los perfilamientos de las carpetas secretas, se supo que se habían hecho con una herramienta que ofrece esta compañía. En Colombia, los representa una sociedad llamada Ecomil, que en marzo de 2022 les envió una propuesta económica a quienes dirigían el Proyecto Osint, en un correo en el que le recomiendan, además, dos de sus herramientas en concreto: Voyager Analytics y Voyager Vision. Este último, explica el mensaje, “es para correlacionar imágenes y video con reconocimiento facial”.
La herramienta Voyager Analytics, de otro lado, recopila información de redes sociales de los objetivos y dice que diagnostica patrones “relacionales y conductuales”. Según explica la descripción que envió Ecomil a las Fuerzas Militares, “esto ayuda a los analistas a entender las narrativas actuales y cruciales en torno a un determinado tema”. Supuestamente, se puede determinar quiénes son las personas más influyentes alrededor de una discusión pública. “Esta capacidad hace que el debate pase de los que están más involucrados en línea a los que están más involucrados de corazón”, añade el documento sobre una tercera herramienta que ofrecen, Voyager Discover.
El Centro Brennan para la Justicia, una ONG de Estados Unidos, analizó las herramientas de Voyager, después de que la policía de Los Ángeles recibiera una demostración. Rachel Levinson Waldman, directora del programa de libertad y seguridad nacional de la ONG, analizó la propuesta enviada a militares colombianos y aseguró en entrevista con este consorcio: “Dado el alcance de la información que la compañía promete obtener, es probable que se descubra mucha información sobre los patrones de vida de una persona. Si usted es un gobierno interesado en intimidar a periodistas, tendría mucho con qué trabajar para alejarlo de una historia”.
De otro lado, está Cognyte, empresa israelí con la que las Fuerzas Militares se reunieron, luego de conocer a uno de sus directivos en la feria Expodefensa, en 2021, según muestran algunos correos. Hace un par de años que está inmersa en polémicas, después de que Meta (compañía dueña de Facebook, Instagram y WhatsApp) decidiese remover alrededor de 100 cuentas de sus distintas plataformas, tras concluir que sus productos fueron usados para hacer ingeniería social y vigilancia masiva en redes sociales. “Sus objetivos incluyeron a periodistas y políticos alrededor del mundo”, se lee en el reportede amenazas de Meta.
El informe finaliza con una lista de los países en los que Cognyte tenía clientes, entre los que está Colombia. Si bien no hay registro de la propuesta que presentaron para el Proyecto Osint, sí hay otros rastros de la relación de la compañía con las Fuerzas Militares. Por ejemplo, documentos de la filtración muestran que, en febrero de 2022, Ecomil, la misma empresa que presentó la propuesta Voyager a los militares, les envió un presupuesto de servicios de una herramienta de Cognyte: un sistema para monitorear comunicaciones, interceptar teléfonos y localizarlos. La compañía no respondió a las preguntas de los periodistas sobre la propuesta que enviaron a las Fuerzas Militares.
El Comando General de las Fuerzas Militares no le contestó a este consorcio si el proceso siguió adelante o fue suspendido.
Entretanto, documentos reservados muestran que tras el caso carpetas secretas, la inteligencia del Ejército atravesó una auditoría que, en abril de 2020, sugirió ajustar la doctrina de inteligencia y contrainteligencia para respetar la labor de periodistas, líderes sociales, misiones médicas, sindicalistas y otras personas que podrían ser estigmatizadas.
Pese a que esa auditoría la hizo el propio Comando General y a que está probado que herramientas muy similares a las que buscaba el Proyecto Osint fueron utilizadas para perseguir a periodistas, no aparece en los documentos cómo se va a evitar que se repita. En ese sentido, Etienne Maynier, de Amnistía Internacional, le dijo a este consorcio: “Creo que hay un alto riesgo de abuso. Quiero decir, sabemos que exactamente estas mismas herramientas fueron abusadas por este Ejército hace dos años”. Una advertencia que sigue vigente, pues los documentos muestran que estas herramientas de vigilancia ya son ampliamente utilizadas por otras dependencias de la Fuerza Pública.
_______
Con información de Manuel Rico (infoLibre)