La admisión de Guerrero contradice la negativa que los gobiernos de Baja California, Durango y otras entidades federativas realizaron frente a la publicación de evidencia de adquisición de software espía de Hacking Team.
Este artículo fue publicado originalmente en r3d.mx el 17 de febrero de 2022.
Ante una corte federal en los Estados Unidos, el 15 de febrero de 2022, el empresario Carlos Guerrero admitió su culpabilidad en la venta de equipo de espionaje a diferentes gobiernos estatales en México y aceptó haber negociado con pleno conocimiento del uso ilegal de estos sistemas.
Guerrero admitió haber vendido equipo de espionaje de la firma italiana Hacking Team a los gobiernos de Baja California y Durango a través de la empresa Elite by Carga entre 2014 y 2015. En su declaración, el empresario señaló que tenía conocimiento de que esos sistemas de vigilancia “podían y probablemente serían utilizados con fines políticos” e incluso confesó haber ayudado a un alcalde en Morelos a acceder ilegalmente a cuentas de correos y redes sociales de un rival político.
Guerrero también admitió que, entre 2016 y 2017, comercializó bloqueadores de señal, herramientas de intercepción de Wi-Fi, antenas falsas de telefonía móvil (IMSI catchers) y la capacidad de hackear mensajes de WhatsApp de clientes prospectivos en Estados Unidos y México. Igualmente, Guerrero aceptó haber usado las tecnologías de vigilancia que vendía a gobiernos con fines comerciales y personales de clientes privados.
La admisión de Guerrero contradice la negativa que los gobiernos de Baja California, Durango y otras entidades federativas realizaron frente a la publicación de evidencia de adquisición de software espía de Hacking Team. Además, aporta aún más evidencia de que la compra y utilización de tecnologías de vigilancia en México se realizan con fines distintos al combate a la delincuencia, como presumen las empresas que fabrican estos productos y los gobiernos que las adquieren.
Este caso demuestra la incompatibilidad de estas tecnologías con la democracia, la necesidad urgente de su regulación, así como de la investigación y deslinde de responsabilidades de las autoridades que compraron y utilizaron ilegalmente este sistema intrusivo.
LA RED DE ELITE EN MEXICO
El rastro de las operaciones de Carlos Guerrero en México se extiende mucho más allá de los casos abordados por la justicia estadounidense. Las actividades de Elite by Carga, y su empresa matriz Grupo Armor, han sido documentadas por R3D: Red en Defensa de los Derechos Digitales a partir de las filtraciones realizadas por Wikileaks en 2015 a los correos electrónicos internos de Hacking Team.
A partir de dicha labor de investigación ha sido posible reconstruir no solamente los casos de Baja California y Durango, sino de sus operaciones de negociación y venta del sistema Remote Control System (RCS) a los gobiernos de Chihuahua, Morelos, Tabasco, Sonora y Yucatán. A continuación, presentamos una reconstrucción extensa de los hechos a partir de la información analizada.
BAJA CALIFORNIA (2014-2015)
De acuerdo con los correos filtrados, la dependencia asociada con la compra de software de espionaje a Hacking Team fue la Secretaría de Planeación y Finanzas, identificada en los e-mails con el código “SEPYF”, a través de la intermediaria Elite Tactical.
Una comunicación fechada el 29 de septiembre de 2014 relata la entrega e instalación del equipo de vigilancia, ocurrida durante la administración del gobernador Francisco Vega de Lamadrid.
“Domingo,
Llegamos a San Diego en la noche y el socio nos recogió para cruzar la frontera mexicana y movernos a Mexicali en coche, llegando alrededor de la 1 am del lunes.
Lunes,
La instalación se realizó en Mexicali en un edificio gubernamental. El socio ya había instalado los servidores, NAS, firewall y switch en un rack en un CDP [centro de procesamiento de datos] del cliente. Todo el HW [hardware] fue igualado a nuestras solicitudes. (…) El primer día tuvimos un montón de problemas por un problema de certificación por un cambio en la licencia del RCS [Remote Control System].”
Más adelante, el autor del correo (Sergio Rodriguez-Solís y Guerrero, ingeniero de aplicación en campo) relata que el martes [23/09/2014], se trasladaron de Mexicali a Tijuana para “un par de demostraciones”. En el mismo mensaje, Rodríguez-Solís reconoce que:
“El cliente está manteniendo el RCS muy secreto, así que pocas personas ahí saben acerca de él. Mi acento en español era muy diferente al de los mexicanos, por lo que la mañana del miércoles [24/09/2014] trabajé desde un hotel, conectado remotamente con Eduardo [Pardo, ingeniero de aplicación de campo de Hacking Team] en el sitio. En la tarde ya estábamos infectando la computadora objetivo de Eduardo y algunas computadoras en la oficina del cliente.”
El ingeniero aclaró que brindó capacitación a dos personas “basadas en Tijuana”, señalando que probablemente usarían el sistema a través de una VPN. También menciona “un momento conflictivo” cuando el jefe de “Misael” (uno de las personas técnicas que recibía capacitación) llegó y preguntó por los ataques en el sistema operativo móvil iOS. Así mismo, Rodríguez-Solís señala que “Misael” firmó como representante de la SEPYF. Posteriormente, la prensa local identificó al jefe de “Misael” como Oscar Germán Sánchez, secretario particular de Antonio Valladolid, titular de la Secretaría de Finanzas.
Otro correo de Rodríguez-Solís, fechado el 10 de octubre de 2014, amplía la relación entre Hacking Team y el gobierno de Baja California. En el mensaje, se indica que el proceso de preventa se realizó en agosto de 2014, tras una reunión en el hotel Hyatt. El 14 y 15 de ese mes, los integrantes de Hacking Team fueron a las instalaciones de Elite Tactical a hacer demostraciones “para diferentes clientes, incluyendo SEPYF”.
En la parte de posventa, Rodríguez-Solís indica que Misael –quien estaba operando el sistema– tenía muchas quejas y que “la mayoría de los tickets eran solicitudes de exploits [archivos que, una vez instalados en un dispositivo, abren una puerta trasera al sistema para que desde ahí se pueda filtrar información o adquirir control de sus funciones]”.
En dicho correo, el ingeniero relata una reunión con los clientes de Baja California, donde menciona la presencia de Misael, Óscar y Antonio Valladolid, así como a tres integrantes de la empresa intermediaria Elite Tactical: Carlos Guerrero, Victor Gallardo y Daniel Moreno.
En un correo fechado el 29 de mayo de 2015, Philippe Vinci de Hacking Team señala que conversó con Moreno sobre la renovación de la licencia y que él le solicitó “una propuesta para iniciar el trabajo administrativo con el Estado para tenerla a tiempo.” También se da un costo estimado de 210 mil dólares y se menciona que el estado de Tabasco está interesado en sus servicios.
De acuerdo con un reportaje de Zeta, publicado el 18 de julio de 2015, Antonio Valladolid, titular de la Secretaría de Planeación y Finanzas de Baja California, se jactaba del uso del equipo de espionaje:
Entrado en copas, Antonio Valladolid se relajaba y alardeaba que tenía a todos los funcionarios bien agarrados. Que sabía todo lo que hacían, con quién salían, si tenían novias, si hacían negocios, con quién se mensajeaban y con quién hablaban; que sabía todo porque tenía un equipo de espionaje para mantenerlos a raya.
Por su parte, cuando se reveló el escándalo, el gobernador Vega de Lamadrid negó las acusaciones sobre la adquisición y uso del sistema de Hacking Team.
CHIHUAHUA (2014)
La negociación de Hacking Team con el gobierno de Chihuahua fue conducida inicialmente por Adolfo Grego, jefe de tecnología de la compañía Grupo RF, durante la administración de César Duarte.
***
