Ejército monitorea críticas en redes sociales y manipula la conversación: R3D

Desde 2016, la Secretaría de la Defensa Nacional ha invertido cientos de millones de pesos en el Centro de Operaciones del Ciberespacio, una unidad del Ejército que cuenta aproximadamente con 178 efectivos militares asignados, organizada en seis secciones: 1) Monitoreo, 2) Respuesta a Incidentes, 3) Seguridad de la Información, 4) Operaciones, 5) Doctrina y Desarrollo, y 6) Administrativa.

“¿Quién la bajó? ¿Cuándo se localizó? ¿Qué acciones en contra de la página podemos realizar?”, pregunta el general secretario, Luis Crescencio Sandoval, al personal del Centro de Operaciones del Ciberespacio (C.O.C.), una unidad dependiente de la Subjefatura de Inteligencia del Estado Mayor Conjunto de la Defensa Nacional.

Entre las tareas del Centro de Operaciones del Ciberespacio se encuentran las actividades defensivas orientadas a proteger la infraestructura militar, pero también otras acciones de “ciberinteligencia” e incluso operaciones de “defensa reactiva”, como denominan a las operaciones ofensivas.

Las dudas de Sandoval se encuentran consignadas en una tarjeta informativa elaborada por el C.O.C. en marzo de 2020, filtrada por el colectivo Guacamaya, revelada por una investigación de la organización R3D. Pero lo que le inquieta tanto al general no es un ataque informático que ponga en peligro la seguridad nacional. Tampoco es una respuesta a alguna ciberamenaza de algún actor hostil o una respuesta a una ofensiva digital.

Lo que el general quiere saber es quién está detrás de una cuenta de Twitter que criticó al gobierno.

El C.O.C. se encuentra ubicado en el Campo Militar 1-A, en un edificio gris de concreto en forma semicircular. Su sala de operaciones es contigua al Centro Militar de Inteligencia, una agencia militar secreta que ha operado ilegalmente el malware Pegasus durante los gobiernos de Felipe Calderón, Enrique Peña Nieto y Andrés Manuel López Obrador.

De acuerdo con R3D, bajo el vago concepto de “operaciones militares en el ciberespacio”, el C.O.C. lleva a cabo actividades de monitoreo de personas usuarias de redes sociales que hacen publicaciones críticas hacia las Fuerzas Armadas o al gobierno federal. No solo las vigilan en plataformas digitales: también crean perfiles falsos para obtener más información sobre sus amistades, sus familiares y sus redes de contactos. Además, emplean un software especializado para operar granjas de usuarios simulados (bots) para “ejercer influencia suave sobre la opinión pública”.

Por ejemplo, en marzo de 2020, el Centro de Operaciones del Ciberespacio elaboró una tarjeta informativa para informar al general secretario, Luis Crescencio Sandoval, sobre las cuentas de Twitter @soy_militar, @soy_militarmx y @yosoyyoio. Este usuario, presuntamente un integrante de las Fuerzas Armadas, solía difundir publicaciones favorables al Ejército.

Sin embargo, en ocasiones se mostraba crítico de las acciones del gobierno, como en la liberación de Ovidio Guzmán. En la tarjeta informativa, el C.O.C reporta que la cuenta había sido desactivada el 2 de marzo, presuntamente por el propio usuario, después de percatarse de varios intentos de reestablecimiento de contraseña no autorizados, además de admitir que la cuenta estaba siendo monitoreada por el C.O.C. desde noviembre de 2019.

Cuando el general Secretario preguntó “qué acciones en contra de la página podemos realizar”, el personal del C.O.C. contestó que, debido a que los servidores de Twitter son de empresas privadas de Estados Unidos y otros países, resulta difícil que bajen cuentas debido a que “las empresas, en cumplimiento de sus leyes, buscan respetar el ejercicio de la libertad de expresión”. 

Sin embargo, el Centro de Operaciones del Ciberespacio le propuso al General Secretario, además de continuar con el monitoreo de la cuenta, utilizar “usuarios simulados para ubicar al administrador de la cuenta @yosoyyoio, con el fin de ganar la confianza y obtener mayor información”. El plan también incluía emplear estos usuarios simulados para “comentar favorablemente las publicaciones que realice sobre las FF.AA. y del Ejecutivo Federal [y] comentarios en contra de las publicaciones que realice sobre las FF.AA.”.

El general Luis Crescencio Sandoval incluso envió una carta dirigida al Comandante Supremo de las Fuerzas Armadas, el Presidente Andrés Manuel López Obrador, para informarle sobre el estatus de la cuenta @Soy_Militar. 

R3D apunta que ese no es el único caso de monitoreo de redes sociales por parte del Centro de Operaciones del Ciberespacio. Otra tarjeta informativa, elaborada en octubre de 2021, se informa al director del C.O.C. sobre un usuario de Facebook que “realizaba señalamientos contra de personal del 65/o Btn. Inf.” (65 Batallón de Infantería). En el documento, se solicita que “se le dé seguimiento al usuario en mención, a fin de identificar y detectar oportunamente nuevas publicaciones, así como su impacto”. 

En mayo de 2022, un correo electrónico da cuenta de la elaboración rutinaria de fichas de usuarios de redes sociales que difunden información crítica sobre el gobierno, como es el caso de la cuenta @ryo_hermoso, que tiene más de 100 mil seguidores y hace publicaciones en contra del gobierno actual y en favor de partidos políticos de la oposición.

Para realizar sus acciones de monitoreo, el Centro de Operaciones del Ciberespacio utiliza el software HIWIRE, desarrollado por la empresa israelí WebintPro. La Secretaría de la Defensa Nacional adquirió este sistema a través del Contrato DN-10 SAIT-186/P/2020 No. SIA: 4500035850 de 31 julio de 2020 con el objeto “Adquisición de una Plataforma de Análisis de Información de Ciberamenazas”. 

El proveedor fue Scitum S.A. de C.V., empresa de ciberseguridad controlada por Grupo Carso, propiedad del magnate Carlos Slim Helú, y con múltiples contratos con otras dependencias de la administración pública federal para temas de seguridad informática.

Al igual que otras adquisiciones sobre capacidades de vigilancia del Ejército, no se ha encontrado registro de esta contratación en las bases de datos abiertos de la Secretaría de la Defensa Nacional ni en las bases de datos abiertos de Compranet.

De acuerdo con un documento de ventas, HIWIRE tiene poderosas capacidades de monitoreo de redes sociales, incluyendo la capacidad de “identificar activistas e influenciadores clave” y “monitorear redes opositoras en tiempo real”. Además, HIWIRE permite vigilar en tiempo real a usuarios específicos en distintas redes sociales, mapear automáticamente los vínculos entre usuarios y analizar el contenido de sus publicaciones.

Otra de las funcionalidades de HIWIRE es la creación y utilización de usuarios simulados o bots para manipular la conversación pública en línea. Según la documentación del fabricante, este software permite a un solo operador manejar múltiples “avatares” para “ejercer influencia suave sobre la opinión pública” y “diseminar mensajes orgánicamente”.