En un esfuerzo para que todas las personas tengan acceso al conocimiento,

Fundacin Karisma est trabajando para que sus documentos sean accesible,
es decir, tienen un formato electrnico diseado para que su contenido pueda
ser ledo por el mayor nmero de personas posible, incluidas las que tienen

Consulta este anlisis en lnea en:

Cuando el Estado hackea, por Juan Diego Castaeda, est disponible bajo
Licencia Creative Commons Reconocimiento compartir igual 4.0

siempre y cuando le de crdito al autor y licencien nuevas creaciones bajo las mismas condiciones.
 Tabla de Contenido

CUANDO EL ESTADO HACKEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Anlisis de la legitimidad del uso de herramientas de hacking en Colombia . . . 5

Hacking Team en Amrica Latina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Herramientas de hackeo en Colombia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Problemas del Hackeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

NOTAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
 Cuando el estado hackea

Cuando el Estado hackea1

Anlisis de la legitimidad del uso de herramientas
de hacking en Colombia

Por, Juan Diego Castaeda

U
n Fiscal argentino recibe un archivo PDF en su correo electrnico llamado es

fono Android. Si lo hubiera abierto en su computador el archivo no habra

2
. Un periodista
colombiano est investigando un caso de corrupcin en la Polica cuando de un mo

como si estuviera poseda o controlada remotamente y elimin el documento3 en el

que estaba trabajando. Estos casos demuestran que las comunicaciones hoy no solo
pueden ser censuradas o interceptadas, tambin pueden ser afectadas por ataques
informticos, pues los dispositivos que usamos a diario son vulnerables y guardan
mucha informacin personal que puede ser interesante para el atacante.

Internet est siendo afectado por todo tipo de medidas de control que determinan

troles de la siguiente forma4. La primera generacin de controles consiste en sistemas

colaboracin de los gobiernos con el sector privado, imponiendo o solicitando acceso

CUANDO EL ESTADO HACKEA

5
 Cuando el estado hackea

el acceso a Internet, como el registro con datos biomtricos, o prohibiendo el uso de

herramientas de seguridad y cifrado.

Los controles de tercera generacin son ofensivos e incluyen el uso de ataques di

rigidos por parte de los gobiernos, a travs de capacidades propias o empleando
tecnologas del sector privado como las que ofrece la empresa Hacking Team. Los
Estados, entonces, han estado adquiriendo capacidades tecnolgicas para acceder
subrepticiamente a dispositivos electrnicos y obtener informacin de ellos, e incluso
encender las cmaras o los micrfonos y registrar lo que ellos perciben5, es decir, para
hackearlos con propsitos que van desde la investigacin criminal hasta la supresin
de la disidencia, pasando por la recopilacin de informacin para inteligencia6.

El uso que Estados y privados hacen de estas herramientas suponen un problema

para el ejercicio de derechos humanos pues implica una intromisin total en la vida
ntima de la persona objetivo y por tanto puede afectar, entre otros, el derecho a la
libertad de expresin. Aunque estas herramientas han hecho presencia no slo en
Colombia sino tambin en varios pases de Latinoamrica, no ha habido un debate
sobre su legitimidad ni sobre los retos que estas actividades suponen para los marcos
legales de derechos humanos en nuestros pases.

dades de vigilancia es una necesidad para la lucha contra el crimen y el terrorismo,

pues iguala las capacidades de la delincuencia con las de la autoridad7. Incluso, hay
quienes sostienen que el uso de herramientas de hackeo puede ser legtimo en la
medida que exista una orden judicial para aprovechar vulnerabilidades de sistemas
informticos. La legalizacin y aplicacin de controles judiciales a esta actividad po
dra tener el efecto de ponerle lmites, as como minimizar sus efectos negativos. Esta
alternativa evitara la creacin de nuevas vulnerabilidades, pues solo explota las que
ya existen y aliviara la presin sobre fabricantes o prestadores de servicios para co
laborar con los gobiernos8. Sin embargo, stas son discusiones que no han ocurrido en
nuestro pas y que merecen atencin.

Hacking Team en Amrica Latina

En Amrica Latina, solo hasta el 2015, la ciudadana estableci que las herramientas
de hackeo forman parte del portafolio de actividades de las autoridades de vigilancia
de la regin.

En marzo de 2013, un informe del CitizenLab documenta por primera vez el uso del
9
. Poco despus, en abril del mismo ao, un nuevo in
forme de esa organizacin mostraba la ampliacin de su uso a Panam10. En el ltimo

FUNDACIN KARISMA
6
 Cuando el estado hackea

da tambin por Venezuela y Paraguay11. De otra parte, desde febrero de 2014, gracias

lombia12

de esta herramienta en la regin era mucho mayor de lo reportado inicialmente13. Se

supo tambin que Ecuador, Chile y Honduras, en algn momento, haban adquirido
14
, que Brasil haba conseguido las autorizaciones correspon
dientes para usarlo y pensaba utilizarlo como mecanismo de vigilancia en las prx
imas olimpiadas15, que en Per se realizaron demostraciones16, y que en Argentina
tambin se estaban haciendo acercamientos17.

La reaccin de los gobiernos de la regin ante estas revelaciones ha sido diversa. La

Secretara Nacional de Inteligencia de Ecuador neg su relacin con Hacking Team18.

grupos opositores19. En Chile, la Polica de Investigaciones admiti la adquisicin del

ernizacin cuyo objetivo era incrementar sus capacidades operativas en la investi

20
.

de estas actividades21
que se haya hecho de alguna corporacin pblica o privada en la historia de la com
paa, al adquirir 600 licencias para realizar monitoreos simultneos22.

Herramientas de hackeo en Colombia

lombia se haba comercializado su sistema de control remoto y que probablemente se

estara usando. El comprador result ser la Direccin Nacional de la Polica (DIPON).
En un comunicado a medios de comunicacin, la Polica no neg el uso de los pro
ductos de Hacking Team pero rechaz tener relaciones con esta empresa. Tambin

miti que adquiri una herramienta tecnolgica con la empresa Robotec Colombia
S.A.S, que ofrece equipos para la seguridad. El propsito de esta compra dijo fue
potencializar la capacidad de deteccin de amenazas del terrorismo y la criminalidad
organizada en el ciberespacio colombiano23.

CUANDO EL ESTADO HACKEA

7
 Cuando el estado hackea

Lo que adquiri la Polica fue el sistema de control remoto llamado Galileo que se
instala en el dispositivo objetivo a travs de archivos especialmente diseados para
la persona que los controla los abra, permitiendo as al atacante tomar control del

a lo que se escribe en el teclado24.

En un primer caso donde se sospecha el uso de herramientas de hackeo, el 3 de dic

iembre pasado el Fiscal General de la Nacin anunci el inicio de la investigacin por
la denuncia que present la periodista Vicky Dvila por supuestas interceptaciones
de comunicaciones privadas suyas, de su familia y de su equipo de trabajo. El motivo
de estos ataques contra periodistas parece ser el hecho de que poseen informacin

25
.

Aunque aparentemente tambin hubo seguimientos fsicos ilegales26, el periodista

Juan Pablo Barrientos, que investigaba el escndalo en la Polica, fue el protagonista
de la historia que presentamos en el primer prrafo. De repente, se borraron algunos
archivos en los que estaba trabajando en su computador, no por accidente sino como
si alguien hubiera tomado control del aparato.

Problemas del Hackeo

Tomar control de un dispositivo ajeno, sin importar el medio tcnico que se emplee,
equivale a una interceptacin de comunicaciones y por tanto en Colombia se requiere
que exista una ley que lo autorice y que haya control judicial de esa actividad27
chas de las herramientas con las que hoy cuentan las autoridades tienen, de alguna
manera, un alcance limitado. La interceptacin de llamadas o correos electrnicos
extrae solo la informacin que cursa por esos medios y que la persona afectada ha
decidido compartir con otras. En cambio, el acceso a un sistema informtico, bien sea
un computador personal o un telfono mvil, puede implicar la recoleccin de toda
clase de informacin personal como fotos, documentos de trabajo o personales, his

el dispositivo. Todo esto, sin que la persona se entere o sin que pueda establecerse un
lmite temporal a la ejecucin de la intrusin. El hackeo, claramente, entrega mucha
ms informacin que la que se obtendra, por ejemplo, en el allanamiento de la casa
de la persona afectada, aunque, por contraste, para esta ltima medida existan mu
chos ms controles que para la primera.

La intrusin en los dispositivos de las personas es una violacin a su intimidad, pero

pecial de las Naciones Unidas (ONU) para la Proteccin y Promocin del Derecho a la

FUNDACIN KARISMA
8
 Cuando el estado hackea

Libertad de Opinin y de Expresin, en la era digital, el ejercicio de estos derechos no

se limita al fuero interno de las personas, tambin se ejerce en el uso de buscadores o
en el almacenamiento de archivos que se encuentran en los dispositivos o en la nube28.

El debate sobre la legalidad del hackeo en Colombia, sobre el eventual alcance de una
ley que lo permita y la obligacin de incluir en ella controles para evitar abusos, como
por ejemplo establecer el control judicial previo, no son los nico elementos ni con
stituyen los ms altos estndares que existen actualmente para considerar que una
restriccin a derechos fundamentales como el hackeo es legtima. Para la Relatora
para la Libertad de Expresin de la Comisin Interamericana de Derechos Humanos,
la legitimidad de las medidas de vigilancia de las comunicaciones deriva del cum
plimiento de ciertas condiciones decantadas de los distintos documentos del Sistema
Interamericano de Derechos Humanos29

1. Consagracin legal
2.
3.
nalidad perseguida
4. Debido proceso y reserva judicial

El Relator para libertad de expresin de la OEA, a propsito de las revelaciones sobre

el uso de productos y servicios de la empresa italiana Hacking Team por parte de

de acuerdo con los estndares internacionales, el uso de programas o sis

temas de vigilancia en las comunicaciones privadas debe estar establecido
de manera clara y precisa en la ley, ser verdaderamente excepcional y
selectivo, y estar limitado en funcin a lo estrictamente necesario para

30
.

Finalmente, hay que tener en cuenta los Principios Internacionales sobre la Aplicacin
de los Derechos Humanos a la Vigilancia de las Comunicaciones, que fueron desar
rollados a partir de las conceptualizaciones que se han realizado en torno al derecho
internacional de los derechos humanos en el entorno digital31 en un proceso que dis
tintas organizaciones de la sociedad civil lideraron y que cont con la participacin de
representantes de la industria y expertos en la materia. Los principios que deben regir

legtimo, necesidad, idoneidad, proporcionalidad, autorizacin judicial competente,

dad de las comunicaciones y los sistemas, garantas para la cooperacin internacional

y garantas contra el acceso ilegtimo, y derecho a un recurso efectivo.

CUANDO EL ESTADO HACKEA

9
 Cuando el estado hackea

No existe todava en ningn pas de Amrica Latina un marco legal para realizar la
actividad de intrusin o hackeo de dispositivos. Por tanto, el primer requisito de
legalidad como garanta de legitimidad de una medida de restriccin de derechos no
est satisfecho. La existencia de una ley en sentido formal y material presupone un
debate pblico sobre la necesidad, proporcionalidad e idoneidad de la medida, de ah
que pueda decirse que tampoco estn cumplidos estos requisitos.

La actual ilegalidad del uso de herramientas de hackeo es ms notoria si se tiene en

cuenta que hay leyes que lo penalizan. En Colombia es delito el acceso abusivo a un

licioso, entre otros32. En Per, se penaliza el acceso ilcito a sistemas informticos y la

interceptacin de comunicaciones privadas33
comunicaciones privadas34 y en Brasil se castiga la invasin de dispositivos informti
cos35. A pesar de la aparente ilegalidad de las actividades que denunciaron los escn
dalos de Hacking Team, por lo menos en Colombia no hay investigaciones en contra
de las personas o entidades responsables.

Conclusiones
Si se propusiera una norma para legalizar el uso de herramientas de hackeo por parte
de las autoridades, dicha norma debera ser clara respecto a los tipos de herramien
ta que se pueden usar y las funciones del equipo que puede afectar, por ejemplo, el
acceso a archivos guardados dentro del dispositivo, a registrar los que se teclea o a

cunto tiempo puede emplearse una herramienta semejante, qu autoridades y bajo

qu condiciones puede hacerlo (p. ej. investigaciones de ciertos crmenes).

Tambin debe analizarse hasta qu punto est limitada la medida en cuanto a los
medios sobre los que operara (redes, computadores personales, telfonos mviles,

el tiempo mximo por el cual podra implementarse, sin olvidar que los motivos para
emplear semejante facultad tambin debera estar limitado a algunos casos puntuales.

La falta de precisin en alguno de estos temas puede ser un cheque en blanco en favor
de la autoridad que pueda desplegar la medida, de donde puede fallarse el requisito
de objetivo legtimo, pues se permitira una restriccin de derechos por razones vagas
y poco fundamentadas, y el requisito de necesidad y proporcionalidad.

Es claro que el hackeo requerira autorizacin judicial, por tanto, debe establecerse un
procedimiento de solicitud en el que se pueda comprobar la satisfaccin de los requis
itos que exigira la ley para el uso de la medida y que, adems, impida su abuso. Tam

FUNDACIN KARISMA
10
 Cuando el estado hackea

bin debe contener provisiones respecto a la observacin de la cadena de custodia,

y la presentacin de informes de transparencia por parte de las autoridades sobre la

frecuencia de uso y la efectividad de la medida.

Finalmente, hay que tener en cuenta que la medida de hackeo como una forma legti
ma de vigilancia de las comunicaciones puede contener una contradiccin respecto
a otros deberes del Estado. Por un lado, este tipo de medidas se basan en la existen
cia de vulnerabilidades informticas, es decir, en fallas de seguridad. Por el otro, los
Estados desarrollan actualmente polticas de ciberseguridad, siguiendo el deber que
tienen de garantizar la seguridad de la ciudadana. Si el Estado no reporta las vul
nerabilidades que encuentra, mantiene condiciones de inseguridad contraviniendo
sus obligaciones. Si las reporta, en cambio, reduce las oportunidades para usarlas,
desperdiciando el tiempo y los recursos que emple para explotarlas. La superacin
de esta contradiccin es un tema que debe ser parte necesariamente de la discusin
pblica sobre la legalizacin del hackeo.

Consulta este anlisis en lnea en:

CUANDO EL ESTADO HACKEA

11
 Cuando el estado hackea

NOTAS:

acceso a la tecnologa para empoderar a las personas, luego se entendi como la

actividad de encontrar vulnerabilidades en sistemas de informacin pero esen
cialmente con la idea de reportarlas y repararlas. Finalmente se empez a usar
en el sentido de buscar vulnerabilidades en sistemas de informacin y aprove
charlas en forma ilcita. Para Karisma la expresin correcta es crackear y por
tanto utilizar la expresin hackear en ese sentido es incorrecto, sin embargo
no es ste el uso que se ha popularizado. Para facilitar la comprensin del docu
mento, hemos decidido usar el trmino hackear en el sentido de crackear
aunque somos conscientes de que es slo uno de los sentidos de esa palabra.

makers. The Intercept, 21 de agosto de 2015. Recuperado de

Recuperado de
ournal of Democracy, 26(3).
Informe del Relator Especial sobre la promocin y proteccin del
derecho a la libertad de opinin y expresin
Vase Feds use keylogger to thwart PGP, Hush-
mail. CNET. Recuperado de
; Nagaraja, S., & Anderson, R. (2009). The snooping dra-
gon: social-malware surveillance of the Tibetan movement. University of Cambridge
Computer Laboratory;
The Conversation. Recuperado
de
.

International Business Times

a italiana Hacking Team.

Northwestern Journal of Technology and Intellectual

Property. 12, p. 1. Recuperado de
.

FUNDACIN KARISMA
12
 Cuando el estado hackea

For their eyes only: the commercialization of digi-

tal spying
.
You only click twice: FinFishers global prolifera-
tion
.

proxy: mapping FinFishers continuing proliferation

Lab. Recuperado de
.

.
Revista Semana. Recuperado
de

Sociedad civil de Amrica Latina rechaza sof-

tware espa de Hacking Team. Recuperado de
.
Agencia Pblica. Recuperado
de .

12 de julio). RPP noticias. Recuperado de

Panam Post. Recuperado de

vicios de espionaje (2015, 10 de julio). El Universo. Recuperado de

on opposition (2015, 6 de agosto). US New. Recuperado de

CUANDO EL ESTADO HACKEA

13
 Cuando el estado hackea

da (2015, 6 de julio).. El Mercurio. Recuperado de

El Economista. Recuperado de

Team en 2015 para espiar a 600 personas. Animal Poltico. Recuperado de

.
W
Radio. Recuperado de
.

El Espectador. Recu

ptulo IV, prr. 55.

de Derechos Humanos de la OEA (2015, 21 de julio). Comunicado de prensa

FUNDACIN KARISMA
14
 Cuando el estado hackea

sobre la adquisicin e implementacin de programas de vigilancia por parte de

CUANDO EL ESTADO HACKEA

15