“¿Quién la bajó? ¿Cuándo se localizó? ¿Qué acciones en contra de la página podemos realizar?”, pregunta el General Secretario, Luis Crescencio Sandoval, al personal del Centro de Operaciones del Ciberespacio (C.O.C.), una unidad dependiente de la Subjefatura de Inteligencia del Estado Mayor Conjunto de la Defensa Nacional.
El objetivo del Centro de Operaciones del Ciberespacio es realizar “operaciones militares en el ciberespacio”. Entre sus tareas se encuentran las actividades defensivas orientadas a proteger la infraestructura militar, pero también otras acciones de “ciberinteligencia” e incluso operaciones de “defensa reactiva”, como denominan a las operaciones ofensivas.
Las dudas de Sandoval se encuentran consignadas en una tarjeta informativa elaborada por el C.O.C. en marzo de 2020, filtrada por el colectivo Guacamaya. Pero lo que le inquieta tanto al General no es un ataque informático que ponga en peligro la seguridad nacional. Tampoco es una respuesta a alguna ciberamenaza de algún actor hostil o una respuesta a una ofensiva digital.
El General quiere saber quién está detrás de una cuenta de Twitter que criticó al gobierno.
¿QUÉ ES EL CENTRO DE OPERACIONES DEL CIBERESPACIO?
Desde 2016, la Secretaría de la Defensa Nacional ha invertido cientos de millones de pesos en el Centro de Operaciones del Ciberespacio, una unidad que cuenta aproximadamente con 178 efectivos militares asignados, organizada en seis secciones: 1) Monitoreo, 2) Respuesta a Incidentes, 3) Seguridad de la Información, 4) Operaciones, 5) Doctrina y Desarrollo, y 6) Administrativa.
El C.O.C. se encuentra ubicado en el Campo Militar 1-A, en un edificio gris de concreto en forma semicircular. Su sala de operaciones es contigua al Centro Militar de Inteligencia, una agencia militar secreta que ha operado ilegalmente el malware Pegasus durante los gobiernos de Felipe Calderón, Enrique Peña Nieto y Andrés Manuel López Obrador.
Bajo el vago concepto de “operaciones militares en el ciberespacio”, el C.O.C. lleva a cabo actividades de monitoreo de personas usuarias de redes sociales que hacen publicaciones críticas hacia las Fuerzas Armadas o al gobierno federal. No solo las vigilan en plataformas digitales: también crean perfiles falsos para obtener más información sobre sus amistades, sus familiares y sus redes de contactos. Además, emplean un software especializado para operar granjas de usuarios simulados (bots) para “ejercer influencia suave sobre la opinión pública”.
Por ejemplo, en marzo de 2020, el Centro de Operaciones del Ciberespacio elaboró una tarjeta informativa para informar al General Secretario, Luis Crescencio Sandoval, sobre las cuentas de Twitter @soy_militar, @soy_militarmx y @yosoyyoio. Este usuario, presuntamente un integrante de las Fuerzas Armadas, solía difundir publicaciones favorables al Ejército. Sin embargo, en ocasiones se mostraba crítico de las acciones del gobierno, como en la liberación de Ovidio Guzmán.
En la tarjeta informativa, el C.O.C reporta que la cuenta había sido desactivada el 2 de marzo, presuntamente por el propio usuario, después de percatarse de varios intentos de reestablecimiento de contraseña no autorizados, además de admitir que la cuenta estaba siendo monitoreada por el C.O.C. desde noviembre de 2019.
Cuando el General Secretario preguntó “qué acciones en contra de la página podemos realizar”, el personal del C.O.C. contestó que, debido a que los servidores de Twitter son de empresas privadas de Estados Unidos y otros países, resulta difícil que bajen cuentas debido a que “las empresas, en cumplimiento de sus leyes, buscan respetar el ejercicio de la libertad de expresión”.
Sin embargo, el Centro de Operaciones del Ciberespacio le propuso al General Secretario, además de continuar con el monitoreo de la cuenta, utilizar “usuarios simulados para ubicar al administrador de la cuenta @yosoyyoio, con el fin de ganar la confianza y obtener mayor información”. El plan también incluía emplear estos usuarios simulados para “comentar favorablemente las publicaciones que realice sobre las FF.AA. y del Ejecutivo Federal [y] comentarios en contra de las publicaciones que realice sobre las FF.AA.”.
El General Luis Crescencio Sandoval incluso envió una carta dirigida al Comandante Supremo de las Fuerzas Armadas, el Presidente Andrés Manuel López Obrador, para informarle sobre el estatus de la cuenta @Soy_Militar.
Ese no es el único caso de monitoreo de redes sociales por parte del Centro de Operaciones del Ciberespacio. Otra tarjeta informativa, elaborada en octubre de 2021, se informa al director del C.O.C. sobre un usuario de Facebook que “realizaba señalamientos contra de personal del 65/o Btn. Inf.” (65 Batallón de Infantería). En el documento, se solicita que “se le dé seguimiento al usuario en mención, a fin de identificar y detectar oportunamente nuevas publicaciones, así como su impacto”.
Más recientemente, en mayo de 2022, un correo electrónico da cuenta de la elaboración rutinaria de fichas de usuarios de redes sociales que difunden información crítica sobre el gobierno, como es el caso de la cuenta @ryo_hermoso, que tiene más de 100 mil seguidores y hace publicaciones en contra del gobierno actual y en favor de partidos políticos de la oposición.
Vigilar y manipular: detrás del ejército de bots
Para realizar sus acciones de monitoreo, el Centro de Operaciones del Ciberespacio utiliza el software HIWIRE, desarrollado por la empresa israelí WebintPro. La Secretaría de la Defensa Nacional adquirió este sistema a través del Contrato DN-10 SAIT-186/P/2020 No. SIA: 4500035850 de 31 julio de 2020 con el objeto “Adquisición de una Plataforma de Análisis de Información de Ciberamenazas”.
El proveedor fue Scitum S.A. de C.V., empresa de ciberseguridad controlada por Grupo Carso, propiedad del magnate Carlos Slim Helú, y con múltiples contratos con otras dependencias de la administración pública federal para temas de seguridad informática.
Al igual que otras adquisiciones sobre capacidades de vigilancia del Ejército, no se ha encontrado registro de esta contratación en las bases de datos abiertos de la Secretaría de la Defensa Nacional ni en las bases de datos abiertos de Compranet.
De acuerdo con un documento de ventas, HIWIRE tiene poderosas capacidades de monitoreo de redes sociales, incluyendo la capacidad de “identificar activistas e influenciadores clave” y “monitorear redes opositoras en tiempo real”. Además, HIWIRE permite vigilar en tiempo real a usuarios específicos en distintas redes sociales, mapear automáticamente los vínculos entre usuarios y analizar el contenido de sus publicaciones.
Otra de las funcionalidades de HIWIRE es la creación y utilización de usuarios simulados o bots para manipular la conversación pública en línea. Según la documentación del fabricante, este software permite a un solo operador manejar múltiples “avatares” para “ejercer influencia suave sobre la opinión pública” y “diseminar mensajes orgánicamente”
Estas actividades de manipulación son desplegadas desde el Estado Mayor Conjunto de la Defensa Nacional (EMCDN), incluyendo el Centro de Operaciones del Ciberespacio.
De acuerdo al Manual de Organización y Funcionamiento (M.O.F.), se establece un “Grupo de Operaciones de Influencia y Sensibilización”, que tiene como parte de sus objetivos 1) “analizar la ideología de los grupos desafectos al Ejército Mexicano, a fin realizar campañas que logren desvirtuarlas”; 2) “desvirtuar las frases que han originado daño a la imagen institucional del Ejército Mexicano”; y 3) “desvirtuar la propaganda que busca vulnerar la imagen, identidad, cohesión, existencia y permanencia del Ejército Mexicano”.
Un ejemplo de estas “operaciones de influencia” está reflejada en un documento elaborado por el C.O.C. en febrero de 2021, donde identifica las publicaciones con más interacciones relacionadas a la exoneración del General Salvador Cienfuegos por parte de la FGR y medir la cantidad de comentarios positivos o negativos al respecto. Reportes similares fueron elaborados acerca de otros temas, como la creación de la Guardia Nacional.
El monitoreo y registro de estas publicaciones parece una actividad habitual. Otros documentos muestran órdenes para elaborar fichas de “medios de comunicación y líderes de opinión”, donde se identifique si realizan señalamientos positivos o negativos acerca de las Fuerzas Armadas.
Así mismo, un documento elaborado por la S-2 de Inteligencia del E.M.C.D.N. revela que, durante el año 2020, el “Grupo de Operaciones de Influencia” operó al menos 6 “cuentas no oficiales” de la SEDENA, desde las cuales difundió 5259 “productos de persuasión” (infografías, videos, publicaciones), para influenciar la opinión pública en conversaciones relacionadas a la militarización, la exoneración del Gral. Cienfuegos, las violaciones a derechos humanos cometidas por integrantes del ejército en Nuevo Laredo, entre otros casos que suscitaron críticas a las Fuerzas Armadas.
LEY DE CIBERSEGURIDAD: MILITARIZAR EL INTERNET
Las actividades del Centro de Operaciones del Ciberespacio no se encuentran contempladas dentro del marco legal. Por ello, una de las prioridades de la Secretaría de la Defensa Nacional ha sido impulsar la creación de un marco jurídico “que dé sustento legal a la actuación de las Fuerzas Armadas en el Ciberespacio”.
Gracias a múltiples correos electrónicos filtrados por el colectivo Guacamaya, es posible atestiguar los esfuerzos que ha emprendido la SEDENA para convencer a diputados y senadores que aprueben estas “operaciones militares en el ciberespacio” en el Congreso de la Unión, que incluyan la posibilidad de realizar ataques informáticos y monitorear masivamente las redes sociales.
En estos días, en febrero de 2024, el Congreso pretende discutir y aprobar la iniciativa de la Ley Federal de Ciberseguridad, presentada por el diputado del Partido Verde, Javier López Casarín el 25 de abril de 2023.
A través de esta ley, se busca otorgar a las Fuerzas Armadas la cobertura legal para que sigan llevando a cabo estas acciones, incluyendo operaciones ofensivas (“defensa reactiva”), el monitoreo de redes sociales, las operaciones de influencia y acciones de “ciberinteligencia”, dentro de las cuales el Ejército ha incluído la operación de sistemas de espionaje, como el malware Pegasus.
Esta nueva evidencia sobre qué entienden las Fuerzas Armadas por “operaciones militares en el ciberespacio” se suma a otros documentos previamente publicados que han revelado, por ejemplo, que el Ejército monitoreó a colectivos feministas y espió ilegalmente con Pegasus a múltiples periodistas y personas defensoras de derechos humanos, como Raymundo Ramos y el Centro Prodh, a quienes incluso ha clasificado como “grupos de presión”.
No hay que olvidar tampoco que la SEDENA se ha negado a rendir cuentas sobre sus acciones de vigilancia, ha obstaculizado investigaciones de la Fiscalía General de la República y ha desacatado resoluciones definitivas del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI). Considerar a periodistas, personas defensoras, colectivos feministas e incluso personas usuarias de redes sociales como una “ciberamenaza” es la última muestra de que el Ejército está fuera de control.
La posible aprobación de la Ley Federal de Ciberseguridad representa la consolidación de una infraestructura autoritaria, el avance de la militarización y una grave amenaza para los derechos humanos y la democracia en el país.