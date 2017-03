No hay evidencias de que las vulnerabilidades hayan sido aprovechadas, pero algunos expertos en seguridad están alarmados.

"Esto es extremadamente negligente", dijo Eva Galperin, directora de seguridad cibernética de la organización sin fines de lucro Electronic Frontier Foundation, y describió la existencia de las vulnerabilidades como "una tremenda falla de seguridad".

En los últimos cuatro años, se han lanzado o probado varias "alarmas de emergencia" y aplicaciones para celulares en diversas partes del mundo, con resultados mixtos. Cuando son efectivas, pueden ser recursos vitales en contra de pandillas, grupos paramilitares y fuerzas de choque de regímenes represivos.

RAZÓN PARA ENTRAR EN PÁNICO

El "botón de apoyo" es distribuido por la Unidad Nacional de Protección de Colombia y es pequeño, como un llavero. La empresa china que lo fabrica lo vende bajo el nombre EV-07 y lo promueve para vigilancia de niños, mascotas y personas mayores. El aparato funciona a través de una red inalámbrica, tiene un micrófono incorporado y un receptor, y puede ser rastreado remotamente usando un software de ubicación geográfica. Tiene un botón marcado con las letras "SOS", que pide ayuda al ser presionado.

Pero algunas funciones podrían ser usadas en contra de los usuarios, según los hallazgos de la auditoría de seguridad hecha por la firma de seguridad Rapid7, con sede en Boston. La AP examinó dos dispositivos emitidos en Colombia, mientras que Rapid7 compró botones directamente al fabricante.

Las vulnerabilidades más graves permiten que cualquier persona con el número telefónico del aparato lo pueda desactivarlo y controlarlo subrepticiamente. Mensajes de texto sencillos pueden reinicializarlo o activar el micrófono remotamente, convirtiéndolo en un emisor de audio, según la auditoría. El GPS incorporado envía la ubicación del usuario.

Debido a que el aparato puede ser borrado remotamente, también puede ser reconfigurado a distancia, dijo Deral Heiland, el investigador de Rapid7 que realizó la auditoría.

No es fácil obtener el número de teléfono del dispositivo, y el gobierno dice que solo ellos saben a quiénes asignaron los aparatos.

Pero expertos en seguridad dicen que un individuo avezado puede hallar maneras de obtener los números. Por ejemplo, podría usar la tecnología de torres celulares falsas, con la que se consiguen números de celulares, y sobornar a empleados de la empresa telefónica o del gobierno.

Diego Mora, director de la Unidad Nacional de Protección, dijo que las fallas halladas por la auditoría de la AP eran exageradas. Agregó que los activistas a quienes se les han dado los aparatos corren riesgos tan bajos que habría poco interés en escuchar sus conversaciones de manera subrepticia.

"Es una medida de protección muy básica, pero muy básica, para personas que tienen unos riesgos que no son tan complejos", dijo Mora. "Este dispositivo no lo tienen los magistrados de la Corte Suprema, ni los tienen ministros, ni los tienen fiscales".

Pero las personas a quienes se les han entregado dicen que no se deben subestimar los peligros que corren. Algunas de ellas han recibido amenazas de muerte, otras han sido secuestradas, e incluso han sido forzadas al exilio. Los chalecos blindados y celulares que les dieron junto con el "botón de apoyo" son inadecuados, dijeron muchos de ellos.

"¿Qué voy hacer con un chaleco antibalas en el (bus)?", se preguntó retóricamente Amalfi Rosales, periodista de La Guajira, en la región noreste, que se vio obligada a huir tras revelar actos de corrupción del exgobernador. "¿Cómo me va a dar protección?".

INSTRUCCIONES FÁCILES DE HALLAR

Las instrucciones para reinicializar y activar la función de "celular silencioso" en el "botón de apoyo" emitido por el gobierno colombiano fueron increíblemente fáciles de encontrar. Están detalladas en un manual para usuarios publicado en línea por el fabricante, Eview Industrial Ltd.

Un funcionario de la empresa, John Chung, reconoció que Rapid7 le notificó en diciembre sobre las deficiencias. Siguiendo las regulaciones de la industria, Rapid7 esperó al menos dos meses antes de revelar públicamente las vulnerabilidades para dar a los fabricantes tiempo para resolverlas.

Chung dijo a la AP que Eview estaba actualizando el software de servidor para los EV-07, en el que Rapid7 halló fallas que podrían permitir la alteración de información del usuario, así como su ubicación geográfica.

La auditoría confirmó sospechas que surgieron luego que la periodista independiente colombiana Claudia Julieta Duque reportó en agosto que los dispositivos tienen micrófonos incorporados. El gobierno no había notificado esto a los usuarios, y muchos dejaron de usarlos.

"Para mí es un elemento como para espiarlo a uno", dijo Rocío Campos, una activista de la ciudad de Barrancabermeja, donde está la refinería más grande del país, en la zona del río Magdalena. El hermano de Campos desapareció en 1998 y ella ha estado ayudando a fiscales a buscar fosas clandestinas.

Mora niega que los aparatos puedan ser usados para oír conversaciones. La proveedora local del dispositivo, la telefónica Comcel S.A., "hizo las modificaciones correspondientes de tal forma que no se pudiera abrir el micrófono o que no se permitiera poder saber la localización del dispositivo si no has pinchado el botón", dijo Mora.

Los hallazgos de la AP contradicen esa afirmación.

UNA HISTORIA DE VIOLENCIA

Los activistas tienen buenas razones para desconfiar de funcionarios públicos en Colombia, donde los índices de mortalidad para defensores de las tierras y sindicalistas están entre los más altos del mundo, y el estado tiene la reputación de patrocinar crímenes.

El Departamento Administrativo de Seguridad, la agencia nacional de espionaje que daba guardias de seguridad y vehículos blindados a personas en gran peligro antes del 2011, fue desmantelado luego que lo hallaron espiando a jueces, periodistas y activistas.

Se han presentado cargos contra cinco exfuncionarios del DAS por presuntamente haber torturado psicológicamente a Duque y su hija después de que publicó artículos en los que implicaba a funcionarios de la agencia con el asesinato de Jaime Garzón, un activista conocido por su sátira política.

Tanya O'Carroll, de Amnistía Internacional, que ha estado desarrollando otro tipo de "botón de emergencia" desde el 2014, dice que el modelo colombiano es fundamentalmente defectuoso.

"En muchos, el gobierno colombiano es el adversario", dijo O'Carroll. "¿Cómo puede esa gente, que es el adversario mismo, estar a cargo de la vigilancia?".

Mora rechazó cualquier insinuación de que su oficina, que ofrece servicios de protección a unas 6.500 personas, distribuyó botones de emergencia con la intención de espiar a activistas.

"Estamos tranquilos", dijo.

Mora no pudo mencionar ni un ejemplo de una situación en la que un botón de apoyo ha salvado una vida o ayudado a librar alguien de un peligro.

Cuando se presiona el botón "SOS", notifica al centro de operaciones que funciona 24 horas al día, siete días a la semana, en Bogotá. Los operadores llaman al usuario, y si la persona está en peligro, notifican a la policía.

Campos no portaba un dispositivo en septiembre cuando dos hombres trataron de volcar su motocicleta en una parada de tránsito. Uno de ellos sacó un arma, y ella escapó hasta una estación policial cercana, inclinándose hacia adelante para ser un blanco más difícil de dar.

"A uno no le da tiempo de activar un botón como estos, y mucho menos de que le llame y pregunte: '¿qué le pasó?, ¿dónde está?", dijo.

Astrid Sabogal de Pereira, una activista colombiana defensora de los derechos sobre tierras, dijo que ella presionó el botón el año pasado cuando estaba afuera de la cuidad y unos hombres entraron a su casa y robaron documentos en presencia de su hijo de 11 años. El dispositivo no funcionó. Luego le asignaron guardias armados.

OTROS LUGARES

En México, la Procuraduría General de la República ha entregado más de 200 botones de emergencia a periodistas y activistas desde el 2013. Pero ha habido varias quejas.

Una de estas quejas es la poca confiabilidad en áreas donde la señal de servicio celular es mala. Otras quejas son más graves: Se han documentado casos de policías que no han respondido o que han contestado diciendo que no pueden brindar ayuda.

O'Carroll, de Amnistía Internacional, dijo que los comentarios de participantes de pruebas en 17 países de tres continentes, incluyendo Filipinas, El Salvador y Uganda, indican que es mejor alertar a personas confiables: amigos, familiares o colegas. Estas personas pueden luego ir con autoridades confiables.

El grupo activista Civil Rights Defenders (Defensores de Derechos Civiles), con sede en Suecia, ofrece un botón de emergencia que cuesta 300 euros, que se lanzó primero en la región del Cáucaso Norte, en Rusia, en el 2013, y ahora es usado por más de 70 personas en el oriente de África, el centro de Asia, los Balcanes, el sureste de Asia y Venezuela, dijo Peter Oholm, un experto en seguridad de la organización sin fines de lucro.

La sede de la organización en Estocolmo siempre es notificada, y generalmente se usan las redes sociales para correr la voz de rápidamente cuando un activista está en peligro.

La aplicación de Amnistía Internacional para celulares Android todavía está en proceso de prueba. Se activa cuando uno golpetea el botón para prender el dispositivo. Pero ha habido muchas falsas alarmas.

Norma Trujillo es reportera en Veracruz, uno de los estados más peligrosos para los periodistas en México. La procuraduría federal le dio un botón de emergencia hace dos años. No cree que le ayudará en caso de emergencia, pero no tiene planes de devolverlo, ya que cree que así pone la responsabilidad de protegerla sobre el gobierno.

"Sube tu costo político", dijo.

