telecomunicaciones en México³n... · operadores Telcel, Movistar y AT&T (antiguamente Nextel y...

Cédric Laurant, SonTusDatos (Artículo 12, A.C.)

Hacker Garage, Guadalajara, Estado de Jalisco – MÉXICO

5 de diciembre de 2016

Vigilancia en México: Un ataque a los derechos humanos

Estudio sobre el sector de las

telecomunicaciones en México

Estudio disponible en https://sontusdatos.org

ESTUDIO SOBRE EL SECTOR DE LAS TELECOMUNICACIONES EN MÉXICO

• 1. Obstáculos para acceder a datos personales

• 2. Intervenciones de telecomunicaciones

extrajudiciales

• 3. Geolocalizaciones extrajudiciales

• Conclusiones y recomendaciones

1. OBSTÁCULOS PARA ACCEDER A DATOS PERSONALES

Actuación de AT&T México:

- Dilación

- Negligencia

- Falta de capacitación adecuada del personal

Titular:

- 3 procedimientos distintos en un periodo de 6 meses


Documento que envió finalmente AT&T México al titular:

-Texto plano de 755 páginas con todas sus llamadas entre el 13 sept. 2014 y el 26 feb. 2016.

-Formato no entendible: con códigos y abreviaturas técnicas


Procedimiento frente al INAI:

-Verificación; 3 meses.

-AT&T México ignoró las solicitudes del INAI.

-AT&T México no respondió a la invitación para conciliar con el denunciante.

-Conclusión: resolución de protección de derechos del INAI: considera los metadatos datos personales; titular tiene derecho a obtenerlos de las compañías de telecomunicaciones.

-Inicia el procedimiento de imposición de sanciones.


Precedente importante: cada usuario puede ahora conocer todos los metadatos que las empresas de telecomunicaciones poseen sobre ellos a los que puede acceder el gobierno a través de las instancias de seguridad, procuración y administración de justicia.

El problema fundamental queda:

-Uso abusivo de los meta-datos por las autoridades.

-Corrupción, penetración de las instituciones por el crimen organizado.

-Riesgo de que caigan en manos criminales los metadatos de los usuarios de servicios de telecomunicaciones, en particular sus datos de geolocalización

- Peligro de las inferencias sobre hábitos, rutas, domicilios, lugar de trabajo, familiares y círculo cercano del titular, pero también datos personales sensibles como preferencias sexuales, creencias religiosas, afiliación política, condición médica.




extrajudiciales



2. INTERVENCIONES DE TELECOMUNICACIONES EXTRAJUDICIALES

• Realizar una intervención telefónica en México es relativamente sencillo.

• Mercado negro para comprar servicios de intervención activa de comunicaciones privadas ilegalmente.

• Aunque probablemente se llevan a cabo sin el consentimiento de las empresas de telefonía móvil, se realizan utilizando la infraestructura de los operadores.


• Servicios ilegales de espionaje: servicio de clonación de llamadas de voz a través de la infraestructura de telecomunicaciones: 35,000 pesos/mes (1,850 USD).

• Proceso: • 1) Cliente contacta a intermediario.

• 2) Intermediario solicita a un trabajador dentro de la empresa de telecomunicaciones que active el servicio de clonación de llamadas.

• 3) Trabajador hace uso de su posición estratégica dentro de la empresa para activar el servicio de “mirror call” o clonación de llamadas en la línea telefónica del objetivo a espiar.

• 4) Trabajador entrega a Intermediario una tarjeta SIM con el servicio espía activado.

• 5) Intermediario recibe pago; entrega la tarjeta SIM y un teléfono móvil con aplicaciones para almacenar las llamadas.

• 6) Cliente recibe el servicio mes por mes.

MERCADO DE NEGRO DE INTERVENCIÓN DE TELECOMUNICACIONES

Clonación de comunicaciones de voz $35,000 MXN por mes ($1850 USD)

Clonación de mensajes de texto $15,000 MXN por mes ($800 USD)

Registros históricos $5,000 MXN detalles de llamadas de los

tres meses más recientes ($260 USD)

Información del suscriptor (IMEI,

titular, domicilio)

$3,000 - $5,000 MXN

($150 - $260 USD)


• Espionaje de estado: al principio, se realizaba únicamente entre agentes de inteligencia del Gobierno federal dedicados al espionaje telefónico.

• Investigaciones policiales extrajudiciales: se desarrolló para incluir a las autoridades policiales federales y estatales (como “favores”, para fomentar la “cooperación” extrajudicial entre agencias).

• Servicios de espionaje de comunicaciones a particulares: después y al menos desde el año 2010, algunos agentes de investigación policial – principalmente de nivel estatal – comenzaron a ofrecer estos servicios al público como parte de “consultorías de investigaciones privadas”.

• Rol crucial de los empleados de empresas de telecomunicaciones: abusan de sus privilegios.


• Anuncio de “detectives privados” que ofrecen intervenciones telefónicas, publicado en blogspot el 30 de septiembre de 2011.

• Clonación de mensajes de texto: 15,000 pesos (800 USD): copia de todos los mensajes de texto SMS enviados y recibidos de una línea de teléfono celular.


• “Sábanas telefónicas”: facturas telefónicas o historial de llamadas de una línea telefónica. Desde 5,000 pesos por factura telefónica o desde 50,000 pesos/mes por hasta 15 consultas mensuales.


Información obtenida de “sábanas telefónicas”:

• Lista de llamadas entrantes de los últimos 3 meses;

• Lista de llamadas salientes de los últimos 3 meses;

• Tiempo de duración de cada llamada;

• Número de mensajes de texto entrantes de los últimos 3 meses;

• Número de mensajes de texto salientes de los últimos 3 meses;

• Hora y fecha en la que se realizaron o recibieron tanto llamadas como mensajes;

• Datos del titular de la línea telefónica:

• Nombre del titular;

• Domicilio;

• Registro Federal de Contribuyentes (RFC);

• Antigüedad de la línea;

• Identificador IMSI de la línea telefónica;

• Identificador IMEI de los teléfonos en los que se utilizó la línea telefónica;

• Lista de la radio base más cercana desde donde se realizó cada llamada y envío de mensajes de texto. Se puede así inferir la localización del usuario de la línea telefónica: colonia, municipio, ciudad y estado.

Anuncio de venta de sabanas telefónicas en MercadoLibre.com


Obtuvimos evidencia que permite comprobar que el servicio de facturas telefónicas se ofrece para líneas telefónicas de suscriptores de los operadores Telcel, Movistar y AT&T (antiguamente Nextel y Iusacell).

Sábana de llamadas vendida por

un empleado de Telcel, junio 2016.


• Ejemplo de información confidencial obtenida de servicios de intervención activa de comunicaciones privadas: llamadas telefónicas grabadas, mensajes de texto y facturas telefónicas.

Mensajes SMS entrantes y salientes de una víctima.


• En anuncios de Internet se oferta el servicio de clonación de llamadas y mensajes de texto para cualquier compañía telefónica en México.

Anuncio de venta de sabanas telefónicas de AT&T y localización de teléfonos en tiempo real, e intercepción de llamadas, sept. 2016.




extrajudiciales



3. Geolocalizaciones extrajudiciales

En el mercado negro de intervención de telecomunicaciones en México, también se ofrece el servicio de geolocalización de dispositivos celulares.

Con este servicio, se puede acceder en tiempo real a la geolocalización precisa de cualquier persona a través de su dispositivo móvil.

3. GEOLOCALIZACIONES EXTRAJUDICIALES

Página de “investigadores privados” que ofrecen intervenciones telefónicas, dada de alta el 19 de marzo de 2014.


• Tuvimos acceso al manual de usuario de uno de estos sistemas de geolocalización: “Lighthouse”. Es actualmente activo y lo adquirió una agencia de seguridad gubernamental. A petición del informante, no se puede revelar la instancia de gobierno que realizó la compra.

• Ni el manual de usuario del sistema, ni en el interfaz del software se menciona la identidad de la empresa que diseñó el software.

• Cualquier persona con credenciales de acceso puede ingresar al sistema de geolocalización a través de cualquier computadora o dispositivo móvil conectado a Internet vía un VPN conectado al servidor de la entidad de gobierno.

• Pudimos corroborar a través de una videograbación el funcionamiento del sistema de geolocalización extrajudicial.


• El sistema Lighthouse: • Solución en tiempo real.

• De alta precisión.

• Sirve a localizar geográficamente teléfonos móviles GSM.

• Totalmente indetectable por la víctima y por la red de telefonía móvil.

• Obtiene sigilosamente datos de señalización de telefonía móvil explotando una vulnerabilidad en las redes (SS7) que ya ha sido expuesta desde el año 2008.

• No es el objetivo de esta presentación detallar técnicamente el funcionamiento de este tipo de sistemas, sino describir su funcionamiento y alcance.

• Implicaciones a la violación de los derechos humanos, sobre todo de la privacidad y a la libertad de expresión.

El sistema se compone de 4 módulos

principales:

1.Módulo “Localizador”: ofrece

consultas manuales de rastreo en

tiempo real, y también consultas

automáticas periódicas para seguir a

varias víctimas.


El resultado del localizador visualiza

los resultados de la consulta

incluyendo información sobre el

país donde se encuentra la víctima,

el código de celda y las

coordenadas de ubicación, los

datos son presentados de manera

clara en un mapa digital que utiliza

la API de Google Maps.


2. Módulo “Funciones Geo”: herramientas

automáticas de consulta y análisis que

permiten al usuario establecer los criterios

para rastrear automáticamente a una

víctima. Las consultas complejas se

definen por un conjunto de reglas, por

ejemplo una zona geográfica o la alerta de

entrada/salida del país, la proximidad de

múltiples víctimas, el número y frecuencia

de las consultas, el tipo de consulta y el

fin de una consulta y se pueden configurar

avisos automáticos en cuanto se cumplan

los criterios establecidos.


3. Módulo “Historial”: recoge, analiza

y presenta los resultados de las

consultas del sistema usando varios

criterios, como: usuario del sistema,

fecha, o número MSISDN (consiste en

el código del país + no. de abonado a

la red del teléfono). Incluye también

el análisis de los datos de un usuario

individual o de todos los usuarios.


El informante aseguró que el

sistema Lighthouse es “revendido”

por agentes policiales a personas

privadas, quienes lo anuncian por

Internet a través de agencias

clandestinas de investigaciones

privadas.


El informante afirmó que agentes de

gobierno (federales y estatales) y

civiles utilizan este tipo de servicios de

forma clandestina para realizar

actividades de espionaje político y

obtener información sensible que

termina en amenazas, intimidación,

amenazas de muerte, persecución,

secuestro o desaparición de disidentes

, periodistas , activistas y defensores

de derechos humanos.


La terrible ola de asesinatos a

periodistas en varios estados de

México, sobre todo en el estado de

Veracruz, la intimidación a reporteros

en el Estado de Quintana Roo o el

allanamiento de domicilios de

activistas en la capital del país , no se

puede imaginar sin información

crítica que la geolocalización brinda

sobre sus hábitos, rutinas y

domicilios.





extrajudiciales



CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES:

•Espionaje político: instrumento común en México y se da a niveles federal y estatal. •Responsables: funcionarios públicos corruptos y empleados de empresas de telecomunicaciones. •Impacto: las comunicaciones privadas obtenidas por este tipo de espionaje ha afectado a personalidades de la política, pero también a activistas, estudiantes, disidentes, reporteros y defensores de derechos humanos.


• Crimen organizado: es muy probable que estos servicios ilegales de intervención de telecomunicaciones, geolocalización y obtención de metadatos y facturas telefónicas hayan caído en manos del crimen organizado.

• Responsabilidad de las empresas de telecomunicaciones: por parte responsables por haber descuidado la seguridad de sus redes y sus procesos internos y no haber implementado las medidas de seguridad necesarias para monitorear, y loguear actividades ilegales al interior de su compañía.


RECOMENDACIONES:

•1. Empresas de telecomunicaciones deben: • informar al público sobre las solicitudes hechas por las

autoridades, p.ej. con informes de transparencia; • realizar auditorías internas sobre accesos no autorizados a

sus bases de datos, así como limitar, monitorear o auditar el acceso a los datos de los clientes.

• enviar una notificación automática a sus usuarios cada vez que su historial de llamadas sea consultado y cada vez que un servicio como “mirror call” o “call forwarding” sea dado activado.


RECOMENDACIONES:

•2. Autoridades deben: • abstenerse de requerir información de metadatos

conservados y geolocalizaciones sobre usuarios de servicios de telecomunicaciones de forma indiscriminada y sin fundamento legal.

• realizar auditorías internas sobre accesos no autorizados o atípicos a los sistemas de geolocalización con los que cuentan. Estos sistemas deben ser utilizados únicamente para fines legítimos de investigación policial y procuración de justicia.


RECOMENDACIONES:

•2. Autoridades deben: • abstenerse de contratar servicios extrajudiciales de

intervención de telecomunicaciones, geolocalización y detalles de facturas telefónicas.

• investigar y proteger a los activistas, periodistas y defensores de derechos humanos que denuncian espionaje político, persecución y amenazas.

¡ G R A C I A S !

Twitter: @sontusdatos

Facebook: SonTusDatos

[email protected]

https://sontusdatos.org

https://sontusdatos.org/

telecomunicaciones en México³n... · operadores Telcel, Movistar y AT&T (antiguamente Nextel y...

Documents

Transcript of telecomunicaciones en México³n... · operadores Telcel, Movistar y AT&T (antiguamente Nextel y...