Investigación
Tus 'amigos' te espían: la empresa que propone a los militares la vigilancia orwelliana de las redes
Imagina que al abrir Facebook recibes una nueva solicitud de amistad. Haces clic en el perfil y ves que hay amigos comunes. La persona comparte en su perfil contenidos interesantes relacionados con tu trabajo o tu pasión. No le conoces personalmente, pero aceptas la solicitud.
Unos días más tarde, puede que te envíe un mensaje o una solicitud para unirse a un grupo cerrado que administras. También pueden pedirte tu número de WhatsApp para compartir un enlace sobre una causa que estás promoviendo en Internet. Haces clic en el enlace por curiosidad.
De repente, sin que te des cuenta, tu dispositivo se ha convertido en una máquina espía virtual. Detrás de la cuenta falsa de gran realismo, llamada avatar, hay un agente de inteligencia o de la policía que ahora tiene acceso a tu información personal e incluso puede activar la cámara del dispositivo para espiarte en tiempo real.
Las fuerzas de seguridad suelen utilizar este tipo de operaciones para seguir la pista de bandas criminales, piratas informáticos y grupos terroristas. Pero en un folleto confidencial al que ha tenido acceso Forbidden Stories, estas herramientas se comercializan para su uso potencial contra periodistas y activistas. Forbidden Stories encontró el folleto en un conjunto de más de 500.000 documentos pertenecientes a las Fuerzas Militares de Colombia, filtrados a Forbidden Stories por un colectivo de hackers conocido como Guacamaya. Ese documento lleva a una oscura empresa de ciberseguridad llamada S2T Unlocking Cyberspace, que tiene o tuvo oficinas en Reino Unido, Singapur, Israel y Sri Lanka, cotejando gráficos y descripciones técnicas de su sitio web con los del folleto. S2T no respondió a las múltiples peticiones de que ofreciera su versión sobre los hechos.
La empresa se presenta como una compañía de inteligencia de fuentes abiertas u OSINT (Open Source Intelligence en inglés) con clientes policiales y de inteligencia en los cinco continentes. Pero en el folleto se anuncian herramientas que van más allá de la típica OSINT, como una herramienta automatizada de phishing para instalar malware a distancia, bases de datos de publicidad masiva para rastrear objetivos y operaciones automatizadas de influencia mediante cuentas falsas para engañar a objetivos desprevenidos.
El proyecto Story Killers, una investigación colaborativa en la que participan más de 100 periodistas y 30 organizaciones de medios de comunicación, partió del asesinato de la periodista india Gauri Lankesh, que escribió sobre el mercado de la desinformación. Forbidden Stories investigó cómo S2T y otras empresas de OSINT se han beneficiado de este mercado no regulado, presentando y vendiendo herramientas de vigilancia digital cada vez más sofisticadas a clientes con un historial de espionaje a periodistas y disidentes. Estas empresas están lanzando estas herramientas para su posible uso contra la sociedad civil y los periodistas, una preocupación cada vez mayor a raíz de los informes que ponen de relieve los abusos cometidos por empresas OSINT.
"Este folleto, y otras publicaciones de este año sobre empresas de inteligencia web, realmente arrojan luz sobre una nueva industria de vigilancia que desconocíamos y que parece estar creciendo", sostiene Etienne Maynier, tecnólogo de Amnistía Internacional. "Realmente tenemos que prestar atención a esto porque existe un alto riesgo de que se abuse de ello en todo el mundo".
Una herramienta de vigilancia masiva
El folleto de 93 páginas de S2T parece una novela de espionaje, o un episodio de Black Mirror, con gráficos detallados que ilustran el funcionamiento de la herramienta.
Forbidden Stories compartió este documento con expertos técnicos, que coincidieron en que las capacidades propuestas superan las operaciones OSINT tradicionales y disponen del potencial para ser utilizadas como una poderosa herramienta de vigilancia masiva. "Nunca antes había visto un mapa tan exhaustivo que uniera todo el proceso y tantas técnicas con tanta claridad, especialmente si no se dirigía explícitamente a los activistas", afirmó Jack Poulson, director ejecutivo de Tech Inquiry, una organización con sede en Estados Unidos que realiza un seguimiento de la industria de la vigilancia.
"Hace tiempo que sabemos que existen plataformas de inteligencia web, pero la narrativa era que se trata de herramientas que rastrean lo que es público y haciendo un perfil de ello", pero la diferencia aquí, destaca Maynier, de Amnistía, "es que en realidad es mucho más intrusiva".
Como se describe en el folleto, el sistema OSINT integra el reconocimiento facial, la inteligencia artificial y el procesamiento del lenguaje natural. La herramienta puede, por ejemplo, utilizar la inteligencia artificial para identificar un rostro a partir de un vídeo, como grabaciones de cámaras de circuito cerrado de televisión o vídeos subidos a las redes sociales, o trazar un mapa de las opiniones o sentimientos en torno a un término o un personaje. También es preocupante, según Poulson, la capacidad de la herramienta para influir en el público.
En un gráfico, por ejemplo, los operadores parten de un "asunto político local" e "identifican los temas de conversación clave y el sentimiento" de un grupo que es el objetivo a rastrear. A continuación, los temas de conversación se comparten en las redes sociales mediante cuentas falsas –o avatares– programadas para que les gusten, compartan y comenten las publicaciones de los demás. Estos avatares se ocultan tras una compleja red de proxies que los hace casi imposibles de detectar por las plataformas de las redes sociales.
"La capacidad de obtener datos e información es sólo una parte del proceso (OSINT)", declaró a Haaretz el investigador de OSINT Dennis Citrinowicz. "La otra parte es, por supuesto, la capacidad de llevar a cabo una campaña de influencia. No se trata sólo de avatares pasivos, sino también de ingeniería social a muchos niveles diferentes, el más alto de los cuales es una campaña de influencia".
En el caso de S2T, las campañas de influencia se presentan como un método más dentro de un repertorio más amplio de actividades de vigilancia, según muestra el folleto. La herramienta facilita el seguimiento de la ubicación de un objetivo. Los datos incluidos en las aplicaciones para teléfonos móviles pueden combinarse con otras fuentes de datos que suelen poseer las agencias de defensa e inteligencia, como registros de viviendas o registros de geolocalización telefónica, para obtener una imagen más precisa de los movimientos del objetivo. "Podemos llegar a casi cualquier usuario de teléfonos inteligentes", se lee.
Periodistas y activistas en el punto de mira
La OSINT suele implicar la recopilación de información pública, como perfiles de redes sociales, resultados de búsquedas en Google y registros públicos, para crear perfiles detallados de objetivos, tal vez en los bajos fondos de la delincuencia. Un antiguo periodista de Ynet, un medio de comunicación digital israelí que, según LinkedIn, ahora escribe guiones y es gestor autónomo de contenidos digitales y redes sociales, no parece encajar en este perfil. Sin embargo, ese perfil –Ortal Mogos– aparece en un "informe objetivo" de muestra incluido en la plataforma de S2T. No está claro si su cuenta se vio comprometida o si sus datos se extrajeron automáticamente para elaborar un informe de objetivos que mostrar a los clientes. Mogos no respondió a las múltiples peticiones de comentarios.
El folleto estaba adjunto a un correo electrónico enviado entre analistas de inteligencia colombianos en marzo de 2022. El Ejército colombiano, según muestran estos documentos filtrados, se reunió con representantes de siete empresas de OSINT a principios de 2022, incluido un revendedor de S2T, como parte de un proceso de licitación para obtener una nueva herramienta de OSINT [puedes leer aquí una detallada información sobre el tema]. Una fuente con conocimiento de los asuntos militares internos colombianos confirmó la existencia de un proyecto para obtener una herramienta OSINT, pero no sabía cuál se había comprado.
Una de estas empresas, Delta IT Solutions, confirmó a Forbidden Stories que había enviado una propuesta para un sistema OSINT en septiembre de 2021 a través de un intermediario llamado Anirudha Sharma Bhamidipati, cuyo nombre aparece en los metadatos del documento S2T. En una carta, representantes de Delta IT Solutions confirmaron que eran "aliados estratégicos" de S2T y que las dos firmas tenían "un acuerdo de distribución abierto para el mercado colombiano", pero dijeron que no habían sido contratados por el Ejército.
En una carta de presentación dirigida a la inteligencia militar colombiana, S2T promociona sus herramientas como una ayuda para luchar contra grupos "malintencionados", entre los que se incluyen "terroristas, ciberdelincuentes [y] activistas antigubernamentales". Los operadores pueden "identificar objetivos para su posterior investigación" a partir de una "base de datos de activistas conocidos".
Que estas capacidades se ofrecieran en Colombia, donde las herramientas OSINT y de vigilancia se han utilizado para perfilar e intimidar a periodistas y activistas, también plantea preocupaciones. Entre 2018 y 2019, docenas de periodistas fueron blanco de la inteligencia militar colombiana utilizando una herramienta de monitoreo de fuentes abiertas llamada VoyagerAnalytics, vendida por Voyager Labs, entonces con sede en Israel. Esta empresa se reunió de nuevo con funcionarios de inteligencia colombianos en la primavera de 2022, muestran los documentos. Voyager Labs no respondió a las preguntas planteadas por los periodistas.
Una captura de pantalla sugiere que un cliente indio podría haber estado interesado en adquirir esta herramienta para vigilar los movimientos de protesta en las redes sociales. Entre al menos una docena de estudios de caso de febrero de 2020 hay ejemplos que muestran cómo se utilizó la herramienta para analizar "palabras clave dinámicas" relacionadas con protestas estudiantiles en 2020 contra la Ley de Ciudadanía de la India y lo que probablemente sea una referencia a los cierres de Internet de Jammu y Cachemira en 2019.
Incluso las herramientas destinadas únicamente a la recopilación de datos podrían utilizarse contra los periodistas para silenciar las voces críticas, advierten los expertos. "Esta es la fase de reconocimiento de un nivel de vigilancia que termina con cuentas comprometidas o dispositivos comprometidos", destaca Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, hablando de OSINT en general. "Está directamente vinculada a detenciones, a visitas del aparato de seguridad, a palizas, a torturas, a intimidaciones, a demandas".
Un mercado global
S2T fue fundada en 2002 por el empresario Ori Sasson. Afirma tener decenas de clientes en los cinco continentes y emplea a personal de agencias de inteligencia del Reino Unido, Estados Unidos, Rusia e Israel, así como de las fuerzas de seguridad locales de Oriente Próximo, Sudamérica, Centroamérica y Asia. Forbidden Stories identificó clientes en Singapur e Israel y posibles clientes en Bangladesh, Turquía, Sri Lanka, India y Malasia. Según el sitio web de S2T, otros clientes incluyen "un grupo de medios de comunicación en Centroamérica" y una "nación sudamericana" donde sus herramientas se utilizaron para encontrar "información relevante sobre el cerebro detrás de un secuestro". El folleto también habla de demostraciones que tal vez se realicen en 2020, entre ellas a la Marina india y a un hombre de negocios de Malasia.
Forbidden Stories identificó una empresa con sede en Israel que parece ser un revendedor de esta tecnología. La compañía, KS Process and Software Ltd., comparte al menos una dirección y un número de teléfono con S2T. En su sitio web, esta empresa se jacta de las tácticas de ingeniería social utilizadas para engañar a los objetivos para que compartan información personal. Según un folleto de dos páginas que puede descargarse de su sitio web, la empresa parece haber trabajado en nombre de un "partido político turco", utilizando avatares de redes sociales para unirse a grupos cerrados y recabar información sobre sus oponentes.
Un antiguo empleado de S2T que habló desde el anonimato confirmó que la empresa lleva mucho tiempo utilizando tácticas activas de recopilación de inteligencia para obtener información sobre un objetivo, ofreciendo sus servicios a clientes estatales y privados. Un informe reciente sobre una empresa similar de cibervigilancia reveló que estas herramientas se utilizaban para elaborar perfiles de posibles contrataciones y vigilar ONG en nombre de clientes privados.
Aunque no está claro qué entidades compraron la plataforma de S2T, Forbidden Stories y sus socios identificaron a un probable cliente: la Dirección General de Inteligencia de las Fuerzas Armadas de Bangladesh.
La solicitud de este tipo de herramientas por parte de Bangladesh coincide con sus declaraciones públicas. En enero, según The Business Standard, el ministro del Interior del país anunció que introduciría un sistema integrado de interceptación legal "en un intento de vigilar las plataformas de medios sociales y frustrar diversas actividades antiestatales y antigubernamentales."
El efecto amedrantador
En Colombia, los periodistas previamente perfilados por las herramientas de OSINT siguen sin saber por qué se les puso en el punto de mira hace tres años. "Que la prensa sea sometida a ese tipo de investigaciones por parte de las fuerzas militares del Estado, y no pase nada, hace que uno se haga todo tipo de preguntas", denuncia en una entrevista con Forbidden Stories la periodista María Alejandra Villamizar, que fue incluida en un informe de objetivos tras entrevistar a un líder rebelde en La Habana.
Los periodistas que cubrieron el escándalo de espionaje, conocido en Colombia como carpetas secretas, fueron amenazados. Ricardo Calderón encontró una nota pegada en su coche con la imagen de un ataúd cuando empezó a informar sobre la vigilancia militar. Su familia y sus fuentes también fueron amenazadas. "El proceso fue simultáneo: intimidar a los periodistas e intimidar a las fuentes", declaró Calderón. "Se trataba de torpedear la investigación atacando por ambos lados".
Quienes informaban de forma crítica sobre el ejército colombiano, entre ellos varios reporteros de Rutas del Conflicto, un medio de comunicación independiente que cubre los abusos contra los derechos humanos, la corrupción y la especulación con la tierra, también fueron objeto de rastreo con herramientas de OSINT. "La interpretación fue: 'Este es un medio de comunicación de izquierdas, de la oposición', y en este país, históricamente, los que han sido estigmatizados como distintos, como diferentes, han sido asesinados, amenazados, obligados a exiliarse", explicó un reportero de Rutas del Conflicto, que prefirió permanecer en el anonimato por motivos de seguridad.
En 2021, Meta, la empresa matriz de Facebook e Instagram, comenzó a tomar medidas enérgicas contra las empresas OSINT. En un informe sobre la industria de la "vigilancia por encargo", el equipo de inteligencia de amenazas de Meta identificó tres etapas de la vigilancia: reconocimiento (recopilación silenciosa de información), compromiso (contacto con los objetivos) y explotación (piratería y suplantación de identidad). La investigación concluyó que "la selección de objetivos es, de hecho, indiscriminada e incluye a periodistas, disidentes, críticos con regímenes autoritarios, familiares de opositores y activistas de derechos humanos".
En enero, Meta demandó a Voyager Labs por utilizar 38.000 cuentas falsas en Facebook para recopilar información para sus clientes, lo que afectó a 600.000 usuarios durante al menos tres meses. "Esta industria recopila de forma encubierta información que la gente comparte con su comunidad, familia y amigos, sin supervisión ni rendición de cuentas, y de una forma que puede afectar a los derechos civiles de las personas", afirmó un representante de Meta en un comunicado.
A raíz de estas revelaciones, los expertos en seguridad han manifestado a Forbidden Stories su preocupación por el riesgo de uso indebido de estas herramientas.
"Si un gobierno está interesado en intimidar y amenazar a los periodistas, es probable que descubra un montón de información sobre sus patrones de vida cotidiana, quiénes son sus familiares, el tipo de información biográfica que daría a un gobierno hostil mucho con lo que trabajar para intimidar a un periodista", indica Rachel Levinson-Waldman, directora gerente del Programa de Libertad y Seguridad Nacional del Centro Brennan para la Justicia, cuyo trabajo se centra en cómo esta tecnología afecta a los activistas.
Los periodistas colombianos ilustran el efecto amedrentador de estas herramientas OSINT. Algunos se han visto obligados a adaptar sus prácticas informativas para responder a las nuevas amenazas digitales. En las semanas posteriores a enterarse de que habían sido fichados, los periodistas de Rutas del Conflicto iniciaron sesiones de terapia de grupo, según un periodista de dicho medio. Muchos dejaron de incluir su firma y de publicar en las redes sociales. Algunos dejaron la profesión.
"Empiezas a evaluar tus opciones vitales", confiesa el periodista de Rutas. "Te preguntas si tu trabajo se va a convertir en una fuente constante de persecución".
____________________
Con información. de Omer Benjakob (Haaretz), Jurre Van Bergen (OCCRP) y Felipe Morales Sierra (El Espectador).