La distracción del (inexistente) contrato con Hacking Team

• Julio 27, 2015 •

En el Ecuador, ¿quién vigila a los vigilantes?

Las filtraciones de la empresa italiana Hacking Team (HT) han generado reacciones dispares (y a veces insuficientes) del gobierno ecuatoriano. Por un lado el presidente Correa y la Secretaría Nacional de Inteligencia (SENAIN) niegan la existencia de un contrato entre el Estado ecuatoriano y Hacking Team. Han llamado al episodio un “show político” y un ataque a su  “buen nombre y prestigio, del que se reservan el derecho a defenderse. El presidente ha indicado en múltiples ocasiones cómo en el pasado los servicios de inteligencia del Ecuador estaban infiltrados por agentes extranjeros con intereses en conflicto con el Estado. Ha dicho, además, que hoy se usan los bienes de banqueros prófugos para instalaciones de la Secretaría. Diario El Telégrafo se refiere al caso como un linchamiento de “quienes antes nos espiaban” contra SENAIN. Su director, Orlando Pérez, trata a la evidencia como pura especulación y la minimiza indicando que los productos de infiltración de teléfonos móviles y computadores no fueron usados “a plenitud”. El asambleísta Fernando Bustamante, presidente de la Comisión de Seguridad Integral de la Asamblea Nacional ofreció una visión algo más centrada: mostró preocupación acerca de cualquier indicio de violación a la privacidad de las personas, y señaló —correctamente— que el único caso en que es permisible es el que tiene una orden judicial específica y bien motivada de por medio (por ejemplo para ayudar en investigaciones criminales). Dicho esto, Bustamante también nos deja saber que ninguno de los datos a los que él ha tenido acceso indican que se haya violado privacidad alguna, sino que se trata de conversaciones entre ejecutivos hablando de un servicio. En su conjunto, los argumentos oficiales apenas tocan la superficie del problema, y hasta ahora solo evitan lidiar con el asunto central: ¿qué herramientas de contrapeso y control existen para los servicios de inteligencia y hasta qué punto se cumplen?

En la filtración de HT con respecto a Ecuador pueden distinguirse dos grandes grupos: información de nexos, y perfiles de objetivos a infiltrar. Los datos del primer grupo incluyen tablas de clientes y contactos, valores cancelados por concepto de servicios prestados, intercambio de mensajes de soporte técnico, envío de licencias de uso de programas, minutas de reuniones con el entonces secretario de Inteligencia, Pablo Romero, e incluso disputas por la calidad del servicio y tiempo pactado por uso del software. La conclusión más natural luego de examinar este cuerpo de datos es que entre HT y SENAIN existe una relación de proveedor y cliente. 

Si no fuese este el caso, HT no tendría razón de dedicarle tiempo y recursos (incluyendo acceso al sistema que le representa dinero y el tiempo de sus ejecutivos y técnicos) a SENAIN. De hecho, los datos en este grupo resultan tan normales y llevan un paralelo tan cercano a lo que uno podría encontrar en cualquier relación de negocios diarios, que tratar de desmentir la relación alegando inexistencia de un contrato entre las partes es un disparate. En primer lugar, porque los datos revelan la existencia de intermediarios: las empresas Robotec y Theola. Y en segundo lugar, si bien es completamente normal en la vida diaria de personas la prestación de servicios sin que se exista un contrato escrito entre ellas, cabría preguntarse si ello le es permitido a una institución pública. En otras palabras: si esta relación existe, ¿por qué no existe un contrato?. Entre ambos grupos, la información de nexo es la única que nos puede llevar a una conclusión de hecho, pero es el segundo grupo el que provoca más preguntas y es el origen de los reclamos.

El segundo grupo incluye los correos electrónicos que revelan el perfil de las personas que están siendo investigadas. En su mayor parte, este grupo no menciona nombres ni números telefónicos específicos de los objetivos, y está conformado por solicitudes de soporte técnico de operadores de SENAIN a técnicos de HT. Un típico mensaje en este grupo consiste en la creación de enlaces que infecten un dispositivo a través de una página web legítima que sirve como carnada. Puesto que para que la infección sea exitosa la persona investigada debe interesarse lo suficiente para abrir el enlace, resulta lógico que se pueda deducir información acerca del objetivo a partir del tema referido en la carnada. Por ejemplo, si vemos que SENAIN prepara un mensaje con un anuncio acerca de un congreso médico como carnada, podemos deducir que la persona investigada probablemente se dedique al servicio de salud. Podemos hacer el mismo ejercicio a partir de los archivos adjuntos y sitios web mencionados en los correos de soporte. Aunque la mayoría de mensajes solo dan indicios de quiénes pueden ser los objetivos, existe una excepción notoria: uno de ellos incluye capturas de pantalla de carpetas de operaciones de SENAIN llamadas CONAIE, CNE y JUECES. Las preguntas que surgen ante esta información tienen varias aristas ¿Significan estos nombres que se está investigando a personas en estas instituciones? ¿Existe el respaldo jurídico para ello? ¿Qué tan común es encontrar criminales dentro ellas? ¿Hay más casos similares?

Es importante indicar que si bien lo anterior demuestra que los sistemas de HT están siendo usados activamente por los servicios de Inteligencia del Ecuador, ello no implica necesariamente que estas infecciones sean ilegales —decir aquello sería una especulación. La ilegalidad de estos actos no se puede determinar a partir únicamente de los datos y archivos de HT, porque no contienen ni deben contener su justificación legal. Por el contrario, la carga de la prueba de que se respeta la privacidad y el debido proceso recae sobre el Estado, quien debe demostrar la existencia de las órdenes judiciales que deben acompañar a cada uno de los casos filtrados. Si las órdenes existen y son válidas, enhorabuena por el manejo estatal. Si no existiesen o no fuesen válidas, deberá lidiarse con los responsables y tomar correctivos. Pero en ninguno de estos casos la “plenitud” de uso del sistema, las intenciones con la que haya sido creada SENAIN, ni el origen de sus bienes inmuebles resultan relevantes.

¿Cuál debe ser el reclamo de la sociedad civil y la respuesta del estado ante este caso? Una llamada a la transparencia. La privacidad es un derecho consagrado legalmente, y por tanto resulta esencial que este tipo de investigaciones se ajuste al debido proceso. Esto no significa que se deban poner en riesgo investigaciones legítimas en curso publicando en prensa, Internet y radio nombres de personas peligrosas y poniéndolas sobre aviso de que hay alguien tras su pista. Existen otras formas de asegurarse que Inteligencia actúa transparentemente. Por ejemplo, Fiscalía podría investigar a SENAIN, solicitar las órdenes judiciales pertinentes, y una comisión mixta de legislativos y académicos del Derecho podría dar fe de su validez legal a sus representados. Por desgracia, el gobierno y sus voceros se han dedicado a lo más inútil: desmentir lo que ya está demostrado, negarse a investigar, y evitar responder la pregunta que surge cuando se ven los procesos internos de una institución necesaria, pero potencialmente peligrosa: ¿quién vigila a los vigilantes?