Al DAS también le ofrecieron el cuestionado software espía

Software de espionaje que compró la Policía puede interceptar cualquier chat o contraseña. La Comisión de Inteligencia del Congreso no puede hacer aún control político. De nuevo, director de la Policía se negó a dar entrevista a este diario.

Escuchar y hasta grabar llamadas de Skype. Acceder a emails y a aplicaciones de chat como Whatsapp, Viber, Hangout o Telegram. Activar el micrófono y la cámara de los celulares. Detectar la ubicación de un teléfono. Registrar todas las acciones que se realicen con el teclado, lo que puede incluir contraseñas. Todo esto es lo que ofrece el programa de espionaje que la empresa italiana Hacking Team (HT) bautizó en honor a dos de sus más prominentes compatriotas: “Galileo” y “Da Vinci”. El mismo software que le presentaron a la Fiscalía el año pasado. Ése que la Policía adquirió en 2013. El que en 2008 le ofrecieron nada más y nada menos que al DAS.

A estas alturas se sabe que los equipos y las licencias de HT (una multinacional que pasó de reputada a cuestionada por los alcances de su software de espionaje y los clientes a los que se lo ha vendido) llegaron a Colombia en 2013 a través de la Policía Nacional. Cinco años atrás, en la era Uribe, HT ya había buscado hacer negocios con el DAS. Para esa época, se sabría después, en el Departamento Administrativo de Seguridad se interceptaban ilegalmente las comunicaciones de magistrados de altas cortes, periodistas, opositores y defensores de derechos humanos.

En 2008, en Bogotá, se dio la reunión entre representantes de HT y del DAS: así lo dejó saber uno de los asistentes por parte del organismo de seguridad, William Merchán López, en un mensaje que envió el 14 de agosto del año pasado a [email protected]. Ese correo hace parte del universo de miles de mensajes que entraron o salieron de cuentas de HT y que fueron filtrados hace dos semanas (se pueden consultar en Wikileaks). Merchán escribió también: “Estamos interesados en saber si tienen un proveedor en Colombia (del software “Galileo”) para contactarlo y pedirle información y un presupuesto”. “Estamos”, ¿quiénes? La Fiscalía.

Porque Merchán es uno de los casi 4.000 agentes del DAS que, cuando éste fue liquidado en 2011, llegó al organismo investigativo. Y ahora, mientras es una pieza importante del CTI, es a la vez investigado por la misma entidad para la que trabaja por cuenta de las ‘chuzadas’ ilegales del DAS.

El pasado miércoles 15 de julio, El Espectador se reunió con un funcionario de alto rango de la Fiscalía para discutir el tema del programa “Galileo”. El funcionario, que está al tanto de todo lo que hace el CTI, dijo no tener mayor información sobre este software o sobre HT. Los correos filtrados, sin embargo, dicen todo lo contrario: un mes después del correo de Merchán, un delegado de la compañía Robotec -empresa socia de HT en Colombia desde 2009- le confirmó a HT que se había reunido con el director del CTI, Julián Quintana; William Merchán, y otros dos funcionarios de la Fiscalía.

En ese encuentro, el vocero de Robotec fue Hugo Ardila, director de Defensa y Seguridad Nacional de la compañía. Sus conclusiones fueron: “Les encantó el sistema, la demostración estuvo buena. Están expandiendo su sistema actual de interceptaciones legales (…) Hoja de ruta: esperar a la próxima semana para la retroalimentación. Saludos. Hugo Ardila”. El Espectador comprobó que el alto funcionario de la Fiscalía –el mismo que dijo no saber mayor cosa de “Galileo”–, conoció hasta el último detalle de esa reunión que tuvo lugar el 16 de septiembre del año pasado a las 9 a.m.

Ardila no sólo ayudó a HT a conseguir un contrato con la Policía por el que ésta pagó 335.000 (dólares o euros, los documentos filtrados no especifican la moneda) para obtener las licencias de “Galileo”: fue, además, la persona que impulsó las negociaciones con la Secretaría Nacional de Inteligencia de Ecuador (Senain). El gobierno de Ecuador negó cualquier “relación contractual” con HT, mientras los correos revelados mostraban que, en octubre del año pasado, Senain hasta discutía con HT y con Robotec por unos pagos. La Policía colombiana, por su parte, señaló en un escueto comunicado lo mismo que Ecuador: que no había relación comercial con HT.

En Colombia, explicó este diario hace una semana, era cierto que no había relación entre la empresa italiana y la Policía: el negocio se hizo con Robotec como intermediario y en Ecuador, dejan ver los correos, el negocio se cerró de la misma manera. El vecino país pagó 535.000 (dólares o euros). Así, sin firmar contratos con Hacking Team directamente, tanto Colombia como Ecuador adquirieron este software de espionaje. En el caso ecuatoriano, reportó el diario El Universo, el ministro de Defensa de ese país aseguró que “ningún funcionario público está autorizado para espiar a nadie, ni siquiera en nombre de la seguridad nacional”.

El Espectador buscó con a Hugo Ardila. Lo llamó a su oficina de Robotec y a su celular, pero no respondió. Valga decir que la semana pasada el gerente de Robotec, Jaime Caicedo, atendió los requerimientos de este diario y afirmó que “el propósito de la tecnología de Hacking Team y la razón por la cual fue desarrollada es proporcionar a las agencias de ley una herramienta que les permita llevar a cabo sus investigaciones, prevenir el crimen y perseguir a aquellos responsables de haberlo cometido. Es una herramienta de vigilancia que solamente se vende a agencias gubernamentales”.

Ya viene Puma

Esta semana, de nuevo, El Espectador pidió entrevista con el director de la Policía, el general Rodolfo Palomino, por las inquietudes que genera un software que permite tener control total sobre el computador o el celular que se hackea. Y el general Palomino, de nuevo, no atendió el requerimiento de este diario, a pesar de nuestras llamadas diarias a su oficina de prensa.

Para este diario, el asunto de Hacking Team es de importancia por tres razones. La principal: las dudas que causa el mismo software sobre sus usos y posibles abusos. Segundo: los cuestionables clientes que tenía HT, como el Batallón de Acción Rápida de Bangladesh, señalado desde hace cuatro años por Human Rights Watch de ser un escuadrón de la muerte. Y, por último, por lo que está pasando en el mundo desde que se filtraron los archivos de HT: hace una semana, por ejemplo, renunció el jefe del Servicio de Inteligencia de Chipre cuando se supo que el organismo había adquirido el programa “Galileo”.

Lo que sí quedó claro esta semana, por la entrevista que Palomino le dio al diario El Tiempo hace cinco días, es que la Plataforma Única de Monitoreo y Análisis (Puma) de la Policía podría arrancar muy pronto. “Yo esperaría a (que en) dos meses esto pueda avanzar”, señaló el alto oficial. Puma fue suspendida por el fiscal general, Eduardo Montealegre, en agosto del año pasado argumentando que con esa plataforma la Policía iba a poder hacer interceptaciones de manera independiente, cuando solo podía hacerlo bajo la coordinación de Esperanza, el sistema de la Fiscalía.

Desde entonces, la Policía y la Fiscalía han estado trabajando coordinadamente para que Puma pueda funcionar. Al fin y al cabo, en esa plataforma se hizo una inversión de $48.000 millones en 2007 con el consorcio Nice-Eagle. Nice es una empresa israelí que también ha ejercido como socia de Hacking Team en sus negocios en Colombia con la Policía. El año pasado se compraron equipos para salas Puma en Bucaramanga y Villavicencio. Y, además, se compraron licencias para el software “Galileo”, vigentes hasta 2016. Si Puma lleva casi un año suspendida, eso quiere decir que “Galileo” lleva casi un año sin usarse.

En la Fiscalía, además, confirmaron que lo único que falta para que Puma arranque es que, tecnológicamente hablando, se hagan los ajustes necesarios para que toda la plataforma quede subordinada al sistema Esperanza, y no que sea una rueda suelta de interceptaciones.

Y, ¿quién controla?

El Espectador le preguntó a la Fiscalía quién ejerce control sobre sus salas de interceptación. La respuesta fue que, cada mes, el director del CTI hace una auditoría en la que se revisa que lo que se está interceptando corresponda con lo que han aprobado los jueces. En la Policía, se supone –el general Palomino podría explicar mejor–, también hay controles internos. ¿Puede un país como Colombia confiar en el autocontrol de sus autoridades? ¿Es suficiente el autocontrol con programas como “Galileo”, cuyos fabricantes aseguran que solo quienes tienen acceso a él (los investigadores judiciales) pueden rastrear su uso, dificultando establecer cuándo la herramienta fue usada?

Javier Pallero, analista de Access (una organización internacional que monitorea temas de derechos humanos en entornos digitales), le expresó a este diario su principal preocupación sobre “Galileo”: “Las herramientas de HT son demasiado invasivas. Es un sistema de control remoto absoluto. Trabaja a modo de virus troyano. Uno de los principios que se manejan en asuntos de vigilancia y derechos humanos es que las acciones deben ser necesarias y proporcionales, pero se vuelve muy complicado cuando son herramientas demasiado invasivas”.

Privacy International, organización con sede en Londres que también monitorea temas de privacidad en línea, le dijo a este diario: “Las tecnologías invasivas son capaces recolectar, modificar y extraer toda la información almacenada en un dispositivo. El tipo de “malware” (software malicioso) que vende Hacking Team esencialmente hackea equipos para leer emails y mensajes incluso si esos mensajes nunca han sido enviados. Es una herramienta útil si se enfoca en los ‘tipos malos’, como narcotraficantes o pedófilos, con orden judicial. Pero es igual de mala si se usa contra periodistas, opositores…”.

Con la ley de inteligencia que el Congreso aprobó en 2013, se creó la Comisión de Inteligencia que hoy preside el senador Carlos Fernando Galán, de Cambio Radical. “Durante mucho tiempo los aparatos de inteligencia del país operaron sin un marco legal apropiado; la ley 1621 de 2013 no solo pretende superar estos problemas sino establece el control político en cabeza del Congreso”. Pero ese control está en ‘stand by’ porque, primero, la Comisión debe establecer unos protocolos para manejar información sensible. Los borradores están en manos de las mesas directivas de Senado y Cámara pero no se han aprobado “y, en consecuencia, la Comisión no ha podido avanzar”.

Galán concluye: “Solamente con un adecuado control sobre la inteligencia del país, dados los antecedentes lamentables que llevaron a la eliminación del DAS, es posible garantizar que la actividad se realice adecuadamente y respetando los derechos humanos”.

Epílogo: el asunto Merchán

Otro aspecto importante en esta historia es la presencia de Merchán en la Fiscalía. Fuentes del organismo explicaron que Merchán “está gerenciando el laboratorio de informática del CTI que se va a establecer en el búnker, razón por la cual ha tenido contacto con posibles contratistas”, lo que explicaría su iniciativa para buscar a la gente de HT. Pero, a la vez, Merchán está siendo investigado: en 2012, cuando el exdirector del DAS, Jorge Noguera, fue llamado a juicio, la Fiscalía 11 Delegada ante la Corte Suprema ordenó que Merchán fuera vinculado a un expediente en el que se indagan delitos como violación ilícita de comunicaciones y abuso de autoridad.

En la condena a exfuncionarios del DAS como Enrique Ariza (exdirector de inteligencia), Martha Leal (exsubdirectora de análisis) y Jackeline Sandoval (exsubdirectora de contrainteligencia), se lee que Merchán era subordinado de Sandoval y que apoyó el trabajo del llamado G3, el grupo del DAS que seguía a “blancos políticos”. El coordinador del G3, el fallecido Jaime Ovalle, le dijo a la justicia que Merchán era “quien entregaba los informes y resúmenes de las interceptaciones”. Sandoval defendió la labor de Merchán, señalando que tanto ella como él seguían órdenes de quienes, como Ovalle, tenían autoridad para hacerles requerimientos.

El 18 de septiembre del año pasado, en el curso de la investigación, la Fiscalía determinó que no había razones para que Merchán fuera detenido preventivamente. En los altos mandos del organismo, aseguran que no pueden ignorar que está siendo investigado, pero tampoco violar la presunción de su inocencia. “Es muy bueno en lo que hace. Es la única persona en Colombia certificada como hacker ético. Es profesor, conferencista, se ha formado empíricamente. Pero, eso sí: lo pusimos en un cargo administrativo mientras la investigación sigue, él no tiene acceso a equipos de interceptación”, aseguraron en la Fiscalía.

 

*Santiago La Rotta contribuyó con reportería de este artículo.
 

Temas relacionados