Un nuevo reporte de Citizen Lab de la Universidad de Toronto, “Running in Circles: Uncovering the Clients of Cyberespionage Firm Circles”, reveló que la empresa de vigilancia Circles tiene al menos 10 clientes que han utilizado su sistema en México entre 2015 y 2020. En algunos casos, continúan operativos hasta la actualidad, a pesar de los compromisos del gobierno actual de acabar con las prácticas de espionaje.

Entre las entidades identificadas se encuentran la Secretaría de Marina (Semar) ─la cual no tiene facultades legales para intervenir comunicaciones─ y el gobierno del estado de Durango. El informe no ha podido proporcionar la identidad de los otros clientes, referidos bajo seudónimos.

De acuerdo con la investigación de Citizen Lab, en México se encontró el sistema Mercedes Ventura, que fue vinculado a dominios y certificados TLS del sitio semar.gob.mx y otros vinculados a la Semar, además de un sistema sin nombre que también parecería haber sido utilizado por el gobierno de Durango.

Circles es una empresa de tecnologías de vigilancia fundada en 2008. En 2014, fue adquirida por la firma de inversión Francisco Partners, y posteriormente fue fusionada con NSO Group ─compañía responsable del malware Pegasus─. Circles es reconocida por explotar vulnerabilidades de las redes telefónicas y alega que únicamente vende sus productos a gobiernos.

La tecnología de Circles explota las vulnerabilidades del sistema SS7, utilizado principalmente en redes de telefonía móvil 2G y 3G, pero que también afectan a las redes 4G por la necesidad de interconexión entre ellas. Estas vulnerabilidades permiten a la empresa interceptar llamadas, mensajes de texto (SMS) y la ubicación de los dispositivos a través de las redes.

La mayoría de los clientes mexicanos inició operaciones de Circles en 2015, durante la gestión del entonces presidente Enrique Peña Nieto. Durante ese sexenio también se documentó el caso conocido como Gobierno Espía, en el que decenas de activistas, periodistas y personas defensoras de derechos humanos fueron espiados usando el malware Pegasus.

En esa misma administración, el gobierno mexicano adquirió otras tecnologías de vigilancia SS7, como ULIN de la empresa Ability y Skylock de Verint Systems. Un excolaborador de NSO Group declaró recientemente a Motherboard que Pegasus tenía una “enorme integración con Circles” y que eso le había permitido “exagerar las habilidades del sistema”.

La investigación de Citizen Lab indica que al menos otros 25 gobiernos del mundo ─como Chile, Australia, Dinamarca, Ecuador, Kenia, Perú y Emiratos Árabes Unidos─ utilizan la invasiva tecnología de espionaje de la empresa Circles.

“El #GobiernoEspía sigue sin ser esclarecido: sigue impune y sigue sin ser reformado. Seguiremos viendo escándalos de espionaje en México mientras no haya un esfuerzo serio de verdad, de combate a la impunidad y de reforma a la adquisición y uso de tecnología de vigilancia”, consideró Luis Fernando García, director ejecutivo de R3D, tras conocerse el informe de Citizen Lab.


Imagen de Presidencia de la República (CC BY 2.0)