Las recientes reformas relacionadas con la seguridad del país traen un artículo que ha sido calificado por expertos como “polémico” y como una “ventana” al espionaje masivo de ciudadanos a través de una nueva figura: la de los agentes encubiertos informáticos.

Este cambio se encuentra en el artículo 77 de la Ley Orgánica Reformatoria a varios cuerpos legales para el fortalecimiento de las capacidades institucionales y la seguridad integral, que modifica el artículo 483 del Código Orgánico Penal Integral (COIP), relacionado con operaciones encubiertas.

Según las reformas, que están vigentes desde el pasado 29 de marzo, la labor de estos agentes inicia con la disposición de un fiscal sin que esta orden pase por un juez. Este investigador podrá asumir una nueva identidad y con esta “realizar patrullajes o acciones digitales en el ciberespacio, penetrándose e infiltrándose en plataformas informáticas como foros, grupos de comunicación o fuentes cerradas de información o comunicación”.

Para Luis Enríquez, académico y perito informático, esto significa que un agente informático, de manera legal, podrá realizar “acciones propias de un hacker malicioso, tales como penetrar sistemas de información y acceder a la información sin la autorización de los titulares de los datos”.

Pero una de las atribuciones que tendrán este tipo de agentes y la que más preocupación ha generado tiene que ver con el siguiente párrafo: “En el desarrollo de sus actividades, podrá intercambiar, enviar de manera directa archivos, ficheros con contenido ilícito o aplicar técnicas para preservar y descifrar información recolectada que sea útil para la investigación”.

¿Qué es un fichero con contenido ilícito? En su artículo Descifrando el rol del agente informático, Enríquez explica que esta frase abre la ventana al uso de troyanos para interceptar contraseñas e información confidencial de los sospechosos de un delito. Estos virus permiten tomar fotos no consentidas, grabar audio y video desde los teléfonos celulares. También el agente encubierto, con esta reforma, estaría habilitado para “crackear” cualquier contraseña.

Este agente tendrá la facultad de seguir a personas, vigilar cosas y hasta de realizar compras controladas con el fin de “descubrir, investigar o esclarecer” hechos delictivos cometidos en plataformas digitales. Es decir, ciberdelitos o cualquier otro tipo de delito, dice el texto.

Los agentes podrán obtener imágenes y realizar grabaciones en audio o video “de las conversaciones que podría llegar a mantener con el o los investigados, dependiendo de la naturaleza y modus operandi de la organización, con la utilización de cualquier medio tecnológico”. En este último caso, el fiscal sí deberá obtener la respectiva autorización judicial.

Las sombras de Hacking Team y Pegasus

Rafael Bonifaz, de la organización internacional Derechos Digitales, coincide con las preocupaciones de Enríquez. Los agentes encubiertos, según su lectura, están autorizados para infiltrarse en foros en plataformas digitales y enviar esos ficheros que serían virus para infectar un dispositivo.

Esta es una alerta para ambos analistas porque Ecuador tiene antecedentes polémicos. En 2015 se hizo público que el Gobierno ecuatoriano había adquirido software malicioso de la empresa italiana Hacking Team. Este sistema permitía, sin dejar rastros, el acceso a archivos y comunicaciones como correos, llamadas de voz por Skype, y conversaciones de chat, en computadores y teléfonos, incluyendo WhatsApp. En ese año Hacking Team fue hackeada y así se conoció que prestaba sus servicios a la antigua Secretaría de Inteligencia (Senain), hoy CIES. El gobierno de Rafael Correa usó este sistema para espiar a periodistas, activistas y políticos de oposición.

En la actualidad, países como El Salvador y México han usado software similar para perseguir a la prensa y a sectores de la oposición. En ambos países se usó Pegasus, una aplicación de espionaje o spyware desarrollado por la empresa israelita NSO Group. Este programa es más sofisticado porque puede acceder a teléfonos celulares y otros dispositivos sin que el usuario abra un link específico para descargar el virus. El gobierno de Guillermo Lasso ha tenido acercamientos con Israel y a sus empresas para la compra de material militar con la finalidad de luchar contra el crimen organizado. Una de sus visitas fue a Start-Up Nation Central, que promueve a varias empresas entre ellas a NSO Group.

El escándalo más reciente sobre Pegasus en la región lo protagonizó el gobierno de Nayib Bukele. Al menos 22 periodistas de El Faro fueron víctimas de ataques con Pegasus, entre junio de 2020 y noviembre de 2021. Bukele ha negado haber espiado a los comunicadores, pero organizaciones como Amnistía Internacional aseguraron que el presidente salvadoreño estuvo detrás de esa acción.

Los periodistas de El Faro, de El Salvador, fueron el blanco de ataques con Pegasus para intervenir sus teléfonos.. Foto: Medio digital Avispa Media

La Asamblea de El Salvador, donde Bukele tiene amplia mayoría, aprobó también la figura de un “agente encubierto digital”, el 1 de febrero de 2022. Con ese cambio, la Policía salvadoreña podrá buscar en plataformas, incluyendo páginas de internet, “ evidencia digital que constituya el hecho punible informático o pueda servir de prueba para el mismo”, dice la reforma al Código Procesal Penal de ese país. La prensa interpretó esa reforma como una “puerta” para el espionaje de ciudadanos.

Un agente sin límites

La reforma ecuatoriana es mucho más amplia que la de El Salvador. Solo con la autorización de un fiscal, estos agentes pueden realizar ataques informáticos para perseguir a los sospechosos. Enríquez explica que entre las formas más comunes de este tipo de ataques están los siguientes:

1. La intercepción de comunicaciones digitales a través de ataques de hombre en el medio. Esta consiste en la interceptación de una conversación o de una transferencia de datos existente, y en este caso el agente podría escuchar una conversación o podría hacerse pasar por un participante.
2. Infectar con malware espía los dispositivos digitales de cualquier sospechoso. Un ejemplo de este malware son los troyanos, que se presenta al usuario como un programa aparentemente legítimo, pero que al ejecutarlo podría dar al agente acceso remoto al equipo infectado.
3. Explotar vulnerabilidades técnicas del software.
4. Engañar a través de la ingeniería social a los sospechosos para obtener información. La ingeniería social es un conjunto de técnicas de manipulación para obtener datos confidenciales de las personas o las motivan a descargar programas que no deberían.

Este tipo de ataques, afirman los expertos, pueden afectar a terceros. Por ejemplo, dice Enríquez, en el caso del delito de acceso no consentido a un sistema informático, se desconoce quién lo hizo. Solo se sabe que la intervención salió de un rango de direcciones IP de un proveedor de internet. Entonces el agente podría intervenir todas las comunicaciones de los clientes de ese proveedor solo por una sospecha.

“Los poderes son inmensos y en Ecuador existen vacíos legales”, recalca Enríquez y agrega que esa reforma no está en armonía con el artículo 7 de la Ley Orgánica de Protección de Datos Personales. Este artículo dice que el tratamiento de los datos personales será legítimo cuando el titular lo consienta o cuando exista una orden judicial, entre otros puntos.

Esto no se cumple con la reciente reforma. El agente está facultado para intervenir el teléfono de una persona, que podría ser parte de 50 grupos de WhatsApp. Entonces este investigador espiaría y obtendría los datos de cientos de personas. “¿Qué pasa con los datos de salud de una de esas personas, si estos llegan a una aseguradora médica y a partir de eso no lo aseguran?”, se pregunta el académico.

En su opinión, esta norma abona a una vigilancia masiva en el país y en caso de ser usada debería estar plenamente justificada. En la norma, los legisladores solo pusieron dos límites a los agentes encubiertos informáticos. Primero, no tienen permitido “impulsar delitos que no sean de iniciativa de los investigados, salvo en el caso de compras controladas”; y segundo, solo podrá usar su identidad encubierta durante dos años y hasta después de la audiencia de juicio en el proceso.

Las compras controladas de drogas es otro recurso nuevo que aparece en estas reformas. En una investigación, el agente encubierto informático podrá hacer esas transacciones con las personas que oferten estas sustancias, flora y fauna silvestre, falsificación de moneda o de medicamentos “u otros a consideración del agente fiscal”.

La Fiscalía, en cambio, defendió el paquete de reformas al COIP, incluido la del agente encubierto informático, porque “brindan más y mejores herramientas jurídicas para combatir la criminalidad organizada, puesto que se fortalecen las facultades de la FGE para la aplicación de actuaciones especiales relativas a contenido digital, cooperación internacional e interceptación de comunicaciones en ese contexto (...)”. 

#COMUNICADO | Respecto a la publicación en el Registro Oficial de la "Ley Orgánica Reformatoria a varios cuerpos legales para el Fortalecimiento de las Capacidades Institucionales y la Seguridad Integral", #FiscalíaEc informa a la opinión pública. Detalles pic.twitter.com/uV56ejs989

— Fiscalía Ecuador (@FiscaliaEcuador) April 3, 2023

“Es una norma que da mucho poder a la Fiscalía”, cuestiona Bonifaz y menciona el caso del programador sueco Ola Bini, que fue procesado por el delito de acceso no consentido a un sistema informático. En las audiencias, el fiscal del caso confundió TOR -una red que anonimiza el tráfico web para una navegación segura- con un lenguaje de programación. “Primero encontraron al culpable y después el delito. Nunca supieron decir qué sistema se atacó, cuándo, qué personas fueron las afectadas”, cuenta Bonifaz.

Este tipo de leyes, dice el experto, deberían venir con medidas de contrapeso, sino “¿quién audita a quiénes están en el poder?”.

Los ciberpatrullajes ya operan en Ecuador

Usuarios Digitales denunció en noviembre de 2022 que las Fuerzas Armadas inició un proceso para la compra de software para la detección de agentes hostiles en el ciberespacio, que pudieran atentar contra instalaciones hidrocarburíferas.

Ese anuncio se dio después de que el Comando Conjunto de las FFAA habría sufrido ataque que habría logrado tener acceso a documentos secretos, estrategias de guerra, planes de defensa externa e interna, datos de militares, entre otros, según esa organización. La intervención fue atribuida al grupo de ransomware ALPHV. También conocido como Blackcat, se considera que este grupo tiene el malware más sofisticado y se lo ha relacionado con extorsiones. Pero las FFAA negaron el ataque. 

Alphv #ransomware group added Comando Conjunto de las Fuerzas Armadas Del Ecuador (The Joint Command of the Armed Forces of Ecuador), to their victim list. They claim to have soldiers, defense internal & external data, secret docs, etc.#DarkWeb #Databreach #cyberrisk #Ecuador pic.twitter.com/HlAOb8k2GC

— FalconFeedsio (@FalconFeedsio) October 27, 2022

En los documentos para la compra del software, las FFAA considera como agentes hostiles a los hackers y hacktivistas, y busca que este rastreo se pueda hacer tanto en “la deep web, dark web y otras fuentes”. La compra la hizo solo en 20 días. 

#AlertaDigitalEC
Sobre el #ciberpatrullaje que podría hacer el CC @FFAAEcuador con el "software para detección de agentes hostiles en el ciberespacio", el perfilamiento por interacciones/tendencias y la categorización de mensajes humana/automatizada tienden a ser riesgosos

— Usuarios Digitales (@usuariosdigital) November 17, 2022

Alfredo Velasco, de Usuarios Digitales, cree que las reformas dieron un marco de acción a estas operaciones, que se hacen antes de la vigencia de estos textos.

Considera que en Ecuador ya existe evidencia reciente de que ciberpatrullajes se han realizado con fines no lícitos. Por ejemplo, en septiembre de 2022, la Policía dispuso el monitoreo las 24 horas del día de la cuenta de Twitter de un coronel por sus críticas a la institución. 

Aunque cree que no se puede desmerecer las operaciones que ha realizado la Policía contra el coyoterismo, a través de Facebook o Tik Tok, hay vacíos que dejan preocupaciones. “Este paquete de reformas ha legalizado este tipo de acciones sin un marco fuerte que trate de blindar a los ciudadanos del mal uso de estas normas. Y que no se use con fines políticos”, dice Velasco.