2022 en resumen: Hackeando gobiernos y hackeo gubernamental en América Latina

English

En 2022, los ciberataques a bases de datos y sistemas gubernamentales irrumpieron en los titulares de varios países latinoamericanos. Estos ataques han sacado a la luz las vulnerabilidades de los sistemas gubernamentales -incluidas, a veces, algunas básicas, como no mantener el software actualizado con parches críticos- y han demostrado cómo los ataques pueden afectar a los datos, servicios e infraestructuras gubernamentales. Por otra parte, también han servido para arrojar luz sobre prácticas arbitrarias de vigilancia gubernamental ocultas a una supervisión adecuada.

Por poner algunos ejemplos, ataques ransomware afectaron servicios gubernamentales en Quito, Ecuador; también al sistema judicial de Chile y el Servicio Nacional del Consumidor (Sernac); así como impactó las operaciones que dependen de las plataformas digitales de la autoridad sanitaria colombiana (Invima) y de la entidad de vigilancia de las empresas (Supersociedades). Probablemente el ataque más extenso tuvo lugar en Costa Rica, interrumpiendo los servicios gubernamentales y llevando al Presidente Rodrigo Chaves a declarar una emergencia nacional.

El grupo Conti, responsable del primer ataque a Costa Rica en abril, también ha accedido a dos buzones de correo electrónico pertenecientes a la División de Inteligencia del Ministerio del Interior de Perú (DIGIMIN), pidiendo una suma de dinero para no publicar la información obtenida. El mensaje de Conti afirma que no había cifrado de datos en la red de DIGIMIN, y que casi todos los documentos que el grupo descargó estaban clasificados como secretos. Según los informes de los medios de comunicación que analizan lo que Conti publicó finalmente en Internet, la DIGIMIN ha efectuado seguimientos -bajo la etiqueta de "terrorismo"- de actos públicos sobre personas desaparecidas y desapariciones forzadas, incluso cuando las entidades gubernamentales eran las organizadoras. La vigilancia arbitraria del Estado sobre defensores de derechos humanos, partidos políticos, periodistas y líderes de la oposición saltó con más fuerza a la palestra con las "Guacamaya Leaks".

#Guacamayaleaks y #Ejército Espía

Guacamaya es el nombre del grupo hacktivista que en septiembre filtró alrededor de 10 terabytes de correos electrónicos procedentes principalmente de instituciones militares de Chile, México, Perú, Colombia y El Salvador. Sin embargo, ésta no fue la primera ronda de "Guacamaya Leaks".

A principios de 2022, el grupo hacktivista filtró documentos relacionados con proyectos mineros en Guatemala y mineras y petroleras empresas en Chile, Ecuador, Colombia, Brasil y Venezuela. La filtración anterior dio lugar a la serie "Secretos de la minería" dee Historias Prohibidas, que denunció los alarmantes abusos del conglomerado minero suizo Solway Group en Guatemala. Profundizando en documentos de su filial local, descubrieron cómo los reporteros que publicaban sobre la mina en Guatemala eran "sistemáticamente perfilados, vigilados e incluso seguidos por drones". Por último, Guacamaya accedió a correos electrónicos de la Fiscalía de Colombia y los puso a disposición de los periodistas y otras personas interesadas en investigar los vínculos de la institución con el narcotráfico, los grupos militares y paramilitares y empresas corruptas.

En ese hack posterior publicado por primera vez en septiembre, que Guacamaya bautizó como "Fuerzas represivas", obtuvieron correos electrónicos del Estado Mayor Conjunto de las Fuerzas Armadas de Chile (EMLO), la Secretaría de la Defensa Nacional de México (SEDENA), el Ejército y el Comando Conjunto de las Fuerzas Armadas de Perú, el Comando General de las Fuerzas Militares de Colombia y la Policía Nacional Civil y las Fuerzas Armadas de El Salvador. En la mayor parte de ellos el grupo hacktivista explotó las vulnerabilidades de Proxy Shell en los servidores de correo electrónico Microsoft Exchange. Aunque Microsoft publicó actualizaciones de seguridad en 2021, los servidores atacados aún no tenían parcheada la vulnerabilidad. En el caso mexicano, la plataforma de correo electrónico era Zimbra, y diversas auditorias habían advertido al gobierno sobre sus vulnerabilidades de ciberseguridad.

A diferencia del ataque del grupo Conti, Guacamaya no se inmiscuye en los sistemas a cambio de un rescate. Su motivación es arrojar luz sobre abusos y violaciones de derechos para que la sociedad civil pueda reaccionar y exigir responsabilidades a los gobiernos. Como señala María Paz Canales, de Derechos Digitales, estas filtraciones son, a menudo, la única fuente significativa de información a disposición del público sobre las prácticas arbitrarias de las fuerzas armadas y los organismos de inteligencia en América Latina. Por lo general, los países de la región carecen de marcos jurídicos sólidos y de una infraestructura de supervisión eficaz para exigir responsabilidades a los poderes represivos y de vigilancia gubernamentales. Por otro lado, las filtraciones pueden exponer información sensible (por ejemplo, la identidad de personas que presionan internamente contra los abusos), lo que exige una cuidadosa consideración por parte de quienes divulgan los datos.

Los informes de los medios de comunicación sobre los últimos Guacamaya leaks ayudaron a destapar diferentes casos de represión y vigilancia abusiva. En Chile, informes destacaron que la Armada gastó casi 700 millones de pesos en sólo seis meses para militarizar la región del Biobío durante el estado de emergencia declarado para sofocar el conflicto con los grupos indígenas mapuches. Las Fuerzas Armadas chilenas también han supervisado organizaciones de la sociedad civil y políticos electos a través de las redes sociales. Del mismo modo, La Encerrona informó que los documentos del Ejército peruano sobre el seguimiento de las amenazas al Estado democrático incluyen actividades de partidos y políticos de izquierda. Las organizaciones de la sociedad civil, como Amnistía Internacional, que trabajan cerca de las comunidades locales en zonas mineras también son consideradas amenazas. En México documentos filtrados revelaron la influencia indebida de los militares que tratan de obstaculizar la investigación sobre la desaparición forzada de 43 estudiantes en Ayotzinapa. Y la BBC señaló que los archivos filtrados muestran la vigilancia detallada de las fuerzas militares sobre medios de comunicación, periodistas, activistas y defensores de los derechos humanos. Según la BBC, existen listas de periodistas clasificados como "a favor" y "en contra" del gobierno.

La atención se ha centrado en la SEDENA de México durante la investigación "Ejército Espía". En un esfuerzo conjunto, los grupos de derechos digitales R3D, Artículo 19 México y Centroamérica, SocialTIC y Citizen Lab reunieron pruebas de que al menos dos periodistas y un defensor de derechos humanos, que trabajaban en temas relacionados con las violaciones de derechos humanos de las Fuerzas Armadas, sufrieron ataques del software malicioso Pegasus de NSO Group entre 2019 y 2021. Las pruebas también respaldan las afirmaciones de que la SEDENA adquirió un sistema de monitoreo remoto de un proveedor privado que es el representante exclusivo de Pegasus en México.

Tales hallazgos contradicen las múltiples declaraciones del presidente Obrador, en las que aseguraba que su gobierno no tenía contratos con empresas de software malicioso y que no utilizaría sistemas de espionaje contra periodistas y defensores de derechos humanos. Las organizaciones autoras subrayan que el Ejército ni siquiera tiene facultades legales para interceptar las comunicaciones privadas de civiles. De hecho, la legislación mexicana no regula de manera clara y específica el uso de malware, a pesar de la evidencia de su uso recurrente en el país.

Una y otra vez: La propagación del pirateo gubernamental sin salvaguardias

Como hemos señalado, el uso generalizado por parte de los gobiernos de software malicioso sin criterios estrictos de necesidad y proporcionalidad, sin garantías procesales sólidas y sin controles eficaces ha tenido consecuencias nefastas en repetidas ocasiones y ha dado lugar a un llamamiento cada vez mayor para que los estados pongan fin al uso de software malicioso en ausencia de salvaguardias y mecanismos sólidos que garanticen la protección de los derechos humanos. Aunque las iniciativas reguladoras actualmente en vigor en la región no están a la altura de esta tarea, el uso gubernamental de software malicioso sigue creciendo.

El grupo de derechos digitales IP.rec subrayó esta tendencia en Brasil en un exhaustiva investigación sobre la explotación de vulnerabilidades a través del hackeo gubernamental de dispositivos digitales. El informe de IP.rec incluye tanto software de acceso remoto, como Pegasus, como herramientas forenses para dispositivos móviles (MDFT), como Cellebrite, que generalmente implica el acceso físico al dispositivo. La investigación encontró contratos para la adquisición de herramientas de hacking con el Ministerio de Defensa y el Ministerio de Justicia, a nivel federal, y con cuerpos de seguridad de todos los estados brasileños. Verint Systems figura como el principal proveedor de herramientas de acceso remoto. La empresa israelí o sus filiales tienen contratos con el Ministerio de Defensa de Brasil y con entidades gubernamentales de estados como São Paulo, Alagoas y Pará. El informe destaca que el gobernador de Pará, Helder Barbalho, utilizó la herramienta de Verint que adquirió la Policía Civil para espiar a quienes investigaban un esquema de corrupción en compras de respiradores durante la pandemia de Covid-19.

El informe de IP.rec expresa su preocupación por la aplicación analógica de otras medidas legales de vigilancia, como el registro y la incautación y la interceptación telefónica, al uso de herramientas para hackeo gubernamental. Dado que la legislación brasileña no cuenta con una regulación específica sobre el tema, las fuerzas del orden se basan en interpretaciones amplias de la legislación vigente para emplear herramientas de hackeo. Sin embargo, los requisitos y garantías de las antiguas medidas de vigilancia no reflejan adecuadamente la intrusividad de las herramientas en cuestión. Un debate legislativo en curso para modificar el Código de Procedimiento Penal de Brasil pretende supuestamente llenar esta laguna. Versiones del proyecto de ley pretendían autorizar el acceso de las fuerzas del orden a pruebas electrónicas mediante el acceso forzado y la recopilación remota. La EFF colaboró estrechamente con la coalición brasileña de organizaciones de derechos digitales, Coalizão Direitos na Rede, para subrayar los defectos del proyecto de ley. El texto del proyecto de ley actual eliminó la disposición que autorizaba la recogida remota de datos, pero la norma sobre el acceso forzoso sigue vigente y carece de salvaguardias sólidas.

Afrontar las vulnerabilidades garantizando la expresión, la privacidad y la seguridad

Las vulnerabilidades de seguridad de los sistemas y dispositivos electrónicos abren una peligrosa puerta trasera a nuestras comunicaciones, movimientos y vidas cotidianas, así como a los sistemas y bases de datos críticos de gobiernos y empresas. La preocupación de los gobiernos por la ciberseguridad debería traducirse en incentivos y acciones para solucionar las vulnerabilidades de seguridad, en lugar de explotarlas y perpetuarlas. Deberían traducirse en la adopción y el apoyo de un cifrado fuerte en sistemas y dispositivos, en lugar de repetidos intentos de socavar los cimientos del cifrado. Las preocupaciones gubernamentales en materia de ciberseguridad también deberían conllevar la protección de investigadores de seguridad y desarrolladores de software seguro, en lugar de perseguirlos sistemáticamente basandose en leyes vagas sobre ciberdelincuencia o en interpretaciones problemáticas de las disposiciones sobre ciberdelincuencia. Por último, no deberían dar lugar a políticas que opongan privacidad y seguridad, sino a medidas que reconozcan que ambos derechos están intrínsecamente relacionados.

Las prácticas arbitrarias de vigilancia gubernamental ponen en peligro la seguridad y el bienestar de las personas. La aplicación las normas de derechos humanos a la vigilancia gubernamental es un reto persistente en la región. Un caso presentado ante la Corte Interamericana de Derechos Humanos (Corte IDH) este año, en el que la EFF y organizaciones asociadas presentaron un amicus, ofrece una oportunidad crucial para que la Corte IDH garantice que las normas interamericanas de derechos humanos sirvan como control de los poderes de vigilancia sin precedentes en la era digital. La EFF seguirá vigilando la evolución de la situación y abogando por que la privacidad, la expresión, la seguridad y la protección de los derechos humanos vayan siempre de la mano.

Related Issues

International

Government Hacking and Subversion of Digital Security

Privacy

Necessary and Proportionate

Join EFF Lists

Related Updates

Deeplinks Blog by Jillian C. York | November 18, 2024

On Alaa Abd El Fattah’s 43rd Birthday, the Fight For His Release Continues

Today marks prominent British-Egyptian coder, blogger, activist, and political prisoner Alaa Abd El Fattah’s 43rd birthday—his eleventh behind bars. Alaa should have been released on September 29, but Egyptian authorities have continued his imprisonment in contravention of the country’s own Criminal Procedure Code

Deeplinks Blog by Jillian C. York | October 23, 2024

The UK Must Act: Alaa Abd El-Fattah Still Imprisoned 25 Days After Release Date

It’s been 25 days since September 29, the day that should have seen British-Egyptian blogger, coder, and activist Alaa Abd El Fattah walk free. His family continues to campaign for the UK government to pressure Egypt for his release.

Deeplinks Blog by Veridiana Alimonti | October 15, 2024

Nuevo informe de la EFF aborda como garantizar la protección de derechos humanos en el uso estatal de la IA en América Latina

Las instituciones estatales se basan cada vez más en los sistemas algorítmicos para apoyar evaluaciones y determinaciones consecuentes sobre la vida de las personas, desde juzgar la elegibilidad para la asistencia social hasta tratar de predecir la delincuencia y los delincuentes. América Latina no es...

Deeplinks Blog by Karen Gullo | October 10, 2024

Nuevo informe de IPANDETEC muestra que los ISP panameños aún están rezagados en la protección de los datos de los usuarios

A los proveedores de servicios de telecomunicaciones e Internet en Panamá se les confían los datos personales de millones de usuarios, y tienen la responsabilidad no solo de proteger la privacidad de los usuarios sino también de ser transparentes sobre sus políticas de manejo de datos. La organización de derechos...

Deeplinks Blog by Corynne McSherry | October 8, 2024

The X Corp. Shutdown in Brazil: What We Can Learn

The feud between X Corp. and Brazil’s Supreme Court continues to drag on.

Deeplinks Blog by Jillian C. York, Katitza Rodriguez | September 25, 2024

Los llamamientos para suprimir la Ley de Ciberdelincuencia de Jordania se hacen eco de los llamamientos para rechazar el Tratado sobre Ciberdelincuencia

En varios países del mundo, las comunidades -y en particular las que ya son vulnerables- se ven amenazadas por una legislación expansiva sobre ciberdelincuencia y vigilancia. Uno de esos países es Jordania, donde una ley de ciberdelincuencia promulgada en 2023 se ha utilizado contra personas LGBTQ+, periodistas, defensores de los...

Deeplinks Blog by Cindy Cohn | September 18, 2024

Las demandas de derechos humanos contra Cisco pueden avanzar (otra vez)

Google y Amazon - Deben tomar nota de su propio riesgo de complicidadLa EFF lleva mucho tiempo presionando a las empresas que proporcionan potentes herramientas de vigilancia a los gobiernos para que tomen medidas afirmativas que eviten ser cómplices de violaciones de los derechos humanos. También hemos trabajado para...

Deeplinks Blog by Guest Author, Jillian C. York | September 18, 2024

Desvelando la represión en Venezuela: Un legado de vigilancia y control estatal

El post ha sido escrito por Laura Vidal (PhD), investigadora independiente en aprendizaje y derechos digitales.Esta es la segunda parte de una serie. La primera parte, sobre vigilancia y control en torno a las elecciones de julio, está aquí.Durante la última década, el gobierno de Venezuela ha construido...

Deeplinks Blog by Guest Author, Jillian C. York | September 16, 2024

Desvelando la represión en Venezuela: Vigilancia y censura tras las elecciones presidenciales de julio

El post ha sido escrito por Laura Vidal (PhD), investigadora independiente en aprendizaje y derechos digitales.Esta es la primera parte de una serie. La segunda parte, sobre el legado de la vigilancia estatal en Venezuela, está aquí.Cuando miles de venezolanos salieron a las calles de todo el...

Deeplinks Blog by Karen Gullo, Jillian C. York | September 11, 2024

Britain Must Call for Release of British-Egyptian Activist and Coder Alaa Abd El Fattah

As British-Egyptian coder, blogger, and activist Alaa Abd El Fattah enters his fifth year in a maximum security prison outside Cairo, unjustly charged for supporting online free speech and privacy for Egyptians and people across the Middle East and North Africa, we stand with his family and an ever-growing international...

Related Issues

International

Government Hacking and Subversion of Digital Security

Privacy

Necessary and Proportionate

Search form

Search form

#Guacamayaleaks y #Ejército Espía

Una y otra vez: La propagación del pirateo gubernamental sin salvaguardias

Afrontar las vulnerabilidades garantizando la expresión, la privacidad y la seguridad

Related Issues

Related Issues

Search form

Search form

2022 en resumen: Hackeando gobiernos y hackeo gubernamental en América Latina

2022 en resumen: Hackeando gobiernos y hackeo gubernamental en América Latina

#Guacamayaleaks y #Ejército Espía

Una y otra vez: La propagación del pirateo gubernamental sin salvaguardias

Afrontar las vulnerabilidades garantizando la expresión, la privacidad y la seguridad

Related Issues

Join EFF Lists

Discover more.

Related Updates

Discover more.

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate