¿Cómo opera la vigilancia ilegal en el sector telecom en México?

SonTusDatos elaboró un reporte para el Relator de la ONU, David Kaye, con información de diversos casos que revelan prácticas y procesos de empresas de telecom en México que vulneran derechos humanos.

Imagen tomada de Flickr, usuario Emory Allen. CC BY-NC 2.0

Atendiendo el llamado del Relator Especial de las Naciones Unidas sobre la libertad de expresión, SonTusDatos participó con su Estudio sobre el sector de telecomunicaciones en México. El informe aporta información sobre las prácticas que autoridades de gobierno y empresas de telecomunicaciones realizan actualmente en México y que vulneran derechos humanos, en particular, la libertad de expresión, el derecho a la privacidad y a la protección de datos personales.

El reporte revela la existencia de un mercado negro que trafica con los datos personales de las y los usuarios de los servicios de telecomunicaciones en el país, advierte cómo estos servicios ilegales funcionan al interior de las empresas de telecomunicaciones – por la intermediación de empleados corruptos y debido a la falta de medidas de seguridad adecuadas – muestra cómo son utilizados para fines de espionaje político, y denuncia la falta de transparencia por parte de las empresas de telecomunicaciones en los procesos de manejo de datos de sus usuarios.

Además de una primera parte sobre la regulación actual en materia de geolocalización, acceso a metadatos e intervención de telecomunicaciones, el reporte se enfoca en tres grandes secciones que detallamos a continuación:

Obstáculos para acceder a datos personales

En esta sección SonTusDatos logró corroborar que, tanto empresas de telefonía celular como proveedores de Internet, obstaculizan el proceso de solicitud de entrega de datos a sus clientes y no comparten información precisa. Incluso, en algunos casos, las compañías admiten no estar preparadas para recopilar y resguardar los metadatos, a pesar de que la Ley los obliga a cumplir con esas obligaciones.

Tal es el caso de un cliente de la empresa de telecomunicaciones AT&T México a quien la empresa se rehusó a darle acceso a sus metadatos – tal como lo estipula el artículo 190 de la Ley Federal Federal de Telecomunicaciones y Radiodifusión en su segunda fracción. Después de varias dilaciones y negligencias por parte de AT&T México, la persona en cuestión acudió ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) para inconformarse por la medida, lo cual desencadenó un proceso que duró tres meses, durante los cuales el INAI solicitó en diversas ocasiones a AT&T México información sobre el caso, así como los alegatos que considerara pertinentes para su defensa. AT&T ignoró a la autoridad y no respondió a ninguna de sus comunicaciones. Tampoco respondió a la invitación para conciliar con el denunciante.

Con base a lo anterior, el pleno del INAI dictaminó el 13 de julio de 2016:

  1. que la información señalada en el artículo 190, fracción II, de la LFTR constituye “datos personales”.
  2. que las respuestas otorgadas por AT&T no fueron adecuadas respecto a lo que el solicitante requirió.

Así, dado que los metadatos son considerados datos personales, actualmente las y los titulares tienen el derecho a acceder a los mismos y el acceso debe cumplirse otorgando una respuesta comprensible. Esto abre la posibilidad de que los clientes de las empresas de telecomunicaciones que operan en el país puedan ejercitar su derecho de acceder a los metadatos de sus comunicaciones.

Intervenciones de telecomunicaciones extrajudiciales

En esta sección evidenciamos la existencia de un mercado negro en donde se ofrecen servicios ilegales de intervención activa de comunicaciones privadas y señalamos que, aún cuando probablemente esto se realiza sin el consentimiento de las empresas de telefonía móvil, estos servicios se logran utilizando la propia infraestructura de los operadores.

De esta manera, prácticamente cualquier persona que trabaje en un centro de atención a clientes de las empresas de telefonía móvil puede acceder a información confidencial que incluye, entre otras cosas, la lista de llamadas entrantes y salientes, los detalles de mensajes de texto y datos personales de titulares de las líneas teléfonicas, ocasionando que el precio de este servicio ilegal sea relativamente accesible y los “proveedores” tan abundantes.

SonTusDatos obtuvo evidencia que permite comprobar que este servicio se ofrece para líneas telefónicas de suscriptores de los operadores Telcel, Movistar, Nextel y Iusacell (adquiridas por AT&T en 2015) y AT&T.

Geolocalizaciones extrajudiciales

En este mercado negro de intervención de telecomunicaciones en México (del cual forman parte medular empleados y empleadas de las empresas de telecomunicaciones) también se ofrece el servicio de geolocalización de dispositivos celulares con el cual se puede acceder en tiempo real a la ubicación precisa de cualquier persona a través de su dispositivo móvil.

SonTusDatos tuvo acceso al manual de usuario de uno de estos sistemas de geolocalización llamado “Lighthouse”. El informante que proporcionó este material confirmó que el sistema se encuentra actualmente activo y fue adquirido por una agencia de seguridad gubernamental. Más aún, corroboramos que cualquier persona con las credenciales de acceso puede ingresar al sistema de geolocalización a través de cualquier computadora o dispositivo móvil conectado a internet, únicamente se requiere establecer una conexión VPN con el servidor ubicado físicamente en las instalaciones del cliente.

A pesar de que este tipo de sistemas de geolocalización pudieran ser utilizados para actividades de investigación policial legítimas, la ley estipula que los datos de geolocalización deben ser solicitados a las compañías de telecomunicaciones mediante una autorización judicial. En ningún caso se debería facultar a ninguna autoridad a obtener esta información sin dicho permiso.

Conclusiones y recomendaciones

Entre algunas de las propuestas realizadas por SonTusDatos a la luz de nuestra investigación, se encuentran las siguientes:

  • Empresas de telecomunicaciones deben realizar auditorías internas sobre accesos no autorizados o atípicos a sus bases de datos, así como limitar, monitorear y auditar el acceso a los datos de los clientes (historial de llamadas, datos del titular, geolocalización, etc.).
  • Empresas de telecomunicaciones deben contar con un oficial de protección de datos personales, mantener actualizados y activos sus medios de contacto y responder a solicitudes de derechos ARCO (acceso, rectificación, cancelación, oposición) de titulares y a las solicitudes del INAI en tiempo y forma. Tales respuestas deben proporcionarse en un formato inteligible, en particular aquellas solicitudes de acceso a metadatos.
  • Instancias de seguridad y procuración de justicia deben informar de forma transparente la adquisición de equipos de intercepción telefónica y sistemas de geolocalización, así como justificar legalmente su uso.

DOCUMENTOS DE REFERENCIA:

Stay tuned for the English version of the full report, e.g. by subscribing to our posts through email or our RSS Feed.

ESCRITO POR: SonTusDatos.

AUTORES DE LA INVESTIGACIÓN: 
Cédric Laurant, Daniel Villegas, Valentín Fuentes.

By Giovanna Salazar

Giovanna Salazar fue Oficial de Incidencia y Comunicación y Oficial de Recaudación de Fondos del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12” entre septiembre 2016 y noviembre 2017. Más información sobre Giovanna: https://sontusdatos.org/staff/giovanna-salazar/.