Privacy International: Dipol adquirió su propio sistema de vigilancia masiva

 

 

 

A continuación, la introducción del informe:

 

 

El gobierno colombiano ha reformado su legislación sobre vigilancia, cuestionado  sus capacidades técnicas, e incluso disuelto uno de sus organismos de seguridad tras conocerse el uso indebido de los sistemas de vigilancia. Esta investigación de Privacy International, basada en testimonios y documentos confidenciales, muestra que las recientes reformas se han visto menoscabadas por el despliegue subrepticio de sistemas de vigilancia automatizada y masiva de las comunicaciones, llevado a cabo por varios organismos del Estado fuera del ámbito de lo proscrito por la deficiente legislación colombiana sobre actividades de inteligencia.

 

La azarosa historia de Colombia es bien conocida. Más de 220.000 personas han perdido la vida desde 1958 en un conflicto brutal, como consecuencia del cual millones más se han visto desplazadas internamente y más de 25.000 han desaparecido, según algunas estimaciones. La vigilancia de las comunicaciones es parte integrante del conflicto. Las escuchas telefónicas han ayudado a localizar a líderes del grupo rebelde de las Farc. En 2002 se supo que se habían intervenido alrededor de 2.000 líneas telefónicas, entre ellas las de grupos que representaban a familias de las personas desaparecidas. 

 

En 2007 se destituyó a 11 generales de la Policía tras saberse que el organismo estaba haciendo escuchas a políticos de la oposición, periodistas, abogados y activistas. En 2009 se reveló que el Departamento Administrativo de Seguridad (DAS) había sometido a vigilancia y hostigamiento a más de 600 figuras públicas. En 2014, la revista Semana reveló que la unidad del ejército colombiano con el nombre en clave de “Andrómeda” había estado espiando durante más de un año al equipo negociador del gobierno en las conversaciones de paz entabladas con las Farc. 

 

Los escándalos han conmocionado a la sociedad civil y a los ciudadanos de a pie de Colombia y los han movilizado. Pero también los ha reafirmado en su convencimiento de que se los está monitoreando siempre. Los principales organismos de Colombia que monitorean las comunicaciones compiten por recursos y capacidades. Debido a ello coexisten sin control sistemas de vigilancia, que se prestan para ser utilizados indebidamente.

 

El sistema de interceptación de las comunicaciones más notorio de Colombia es Esperanza, que recibe mucho apoyo de la Administración para el Control de Drogas (DEA) de Estados Unidos. La Fiscalía General de la Nación (Fiscalía) gestiona y administra la plataforma, que puede conseguir datos y contenido de llamadas de telefonía móvil y fija. Esperanza, al que tienen acceso varias autoridades policiales. 

 

Un estado en la sombra: vigilancia y orden público en Colombia está conectado a los operadores de telecomunicaciones del país. Se utiliza con el fin de conseguir elementos probatorios para entablar acciones judiciales caso por caso. Es necesario que un agente de la Fiscalía solicite materialmente que se intercepte un registro telefónico concreto, para que esto suceda. Otras salvaguardias incorporadas al sistema Esperanza son su mecanismo de presentación electrónica de órdenes judiciales y los jueces de control de garantías.

 

No obstante, como muestra la presente investigación, Esperanza adolecía de varias vulnerabilidades de seguridad, y su restricción del acceso a datos sólo para objetivos concretos predefinidos y en virtud de una orden judicial era un punto de fricción para otras autoridades policiales. Pero, aparte de Esperanza, en Colombia existen muchos otros sistemas de interceptación de las comunicaciones, que funcionan ilegalmente o con dudosa justificación legal. La Dirección de Investigación Criminal e INTERPOL (DIJIN) ha creado la Plataforma Única de Monitoreo y Análisis (PUMA), sistema de monitoreo telefónico y de Internet vinculado directamente a la infraestructura de red los proveedores de servicios por una sonda  que copia enormes cantidades de datos y los envía directamente al centro de monitoreo de la DIJIN. PUMA tienen capacidad para interceptar y almacenar potencialmente todas las comunicaciones que pasan por sus sondas. Los proveedores de servicios de comunicaciones conocen su existencia y han colaborado en su instalación, pero están excluidos de su funcionamiento diario.

 

PUMA fue adquirido en 2007. En 2013, la Policía presentó propuestas para su ampliación, alegando que de este modo el sistema podría captar el triple de datos y llamadas telefónicas. La ampliación de PUMA incluía un módulo de monitoreo para proveedores de servicios de Internet (PSI) y hasta 700 estaciones de trabajo en todo el país. Sin embargo, la falta de acuerdo entre la Fiscalía y la Policía acerca de su gestión impidió la ampliación, por lo que el proyecto quedó en suspenso. De todos modos, todavía se están negociando nuevos contratos.

 

Mientras la Fiscalía y la DIJIN desplegaban Esperanza y PUMA, respectivamente, la Dirección de Inteligencia Policial (DIPOL) adquirió y desplegó su propio sistema de vigilancia masiva y automatizada de las comunicaciones, el Sistema Integral de Grabación Digital (SIGD). Establecido 2005, el SIGD monitorea el tráfico masivo de comunicaciones por líneas E1 y el tráfico de telefonía móvil 3G. Al igual que PUMA, está instalado con el conocimiento de los proveedores de servicios, y el monitoreo se hace sin su conocimiento. Tras analizar la tecnología, consideramos que el sistema puede recopilar 100 millones de registros de datos de llamada al día e interceptar 20 millones de SMS diarios.

 

Este enorme almacén de datos se procesa y combina luego otros tipos de datos, como imágenes, vídeo y datos biométricos. Este tipo de vigilancia masiva y automatizada no está autorizada de forma expresa por la legislación colombiana. Si bien la Fiscalía podría autorizar la interceptación de las comunicaciones con el fin de buscar elementos probatorios para entablar acciones judiciales, como establecen la Constitución y el Código de Procedimiento Penal, el ejercicio de tal facultad no concuerda con el tipo de monitoreo y análisis en masa y pasivo de Internet y telefónico que PUMA y el SIGD hacen posible.