Una pequeña empresa de Nebraska está ayudando a las fuerzas del orden de todo el mundo a espiar a los usuarios de Google, Facebook y otros gigantes tecnológicos. Una presentación grabada en secreto para la policía revela hasta qué punto PenLink se ha integrado en la maquinaria de vigilancia de Estados Unidos.
Puede que PenLink sea la empresa de escuchas telefónicas más extendida de la que nunca has oído hablar.
La empresa, con sede en Lincoln, Nebraska, suele ser la primera opción de las fuerzas del orden que quieren vigilar las comunicaciones de los sospechosos de delitos. Probablemente sea más conocida, si es que lo es, por su trabajo para ayudar a condenar a Scott Peterson, que asesinó a su esposa Laci y a su hijo no nacido en un caso que fomentó un frenesí sensacionalista a principios de la década de 2000. En la actualidad, la empresa ha ayudado a la policía a vigilar a los usuarios de Google, Facebook y WhatsApp, es decir, a cualquier herramienta web que soliciten las fuerzas del orden.
Con unos ingresos de 20 millones de dólares al año procedentes de clientes del gobierno estadounidense, como la Administración para el Control de Drogas, el FBI, el Servicio de Aduanas e Inmigración (ICE) y casi todas las demás agencias policiales del directorio federal, PenLink disfruta de un flujo de ingresos constante. Eso no incluye sus ventas a la policía local y estatal, donde también hace un negocio importante pero del que no hay cifras de ingresos disponibles. Forbes vio contratos en todo Estados Unidos, incluyendo pueblos y ciudades de California, Florida, Illinois, Hawai, Carolina del Norte y Nevada.
“PenLink se enorgullece de apoyar a las fuerzas de seguridad de Estados Unidos y de todo el mundo en sus esfuerzos por combatir las infracciones”, afirma la empresa. “No discutimos públicamente cómo utilizan nuestra solución nuestros clientes”.
A veces hace falta un espía para conseguir la transparencia de una empresa de vigilancia. Jack Poulson, fundador de la organización de vigilancia tecnológica Tech Inquiry, acudió de incógnito a la conferencia de invierno de la Asociación Nacional de Sheriffs en Washington. Grabó a un antiguo empleado de PenLink mostrando lo que la empresa podía hacer por las fuerzas del orden y hablando de la magnitud de sus operaciones. La grabación no sólo revela el grado de implicación de PenLink en las operaciones de espionaje telefónico en Estados Unidos, sino que también revela con detalle cómo proveedores de tecnología como Apple, Facebook y Google proporcionan información a la policía cuando se enfrentan a una orden o citación válida.
Scott Tuma, veterano de PenLink desde hace 15 años, explicó a los asistentes a la conferencia que la empresa se puso en marcha en 1987, cuando un organismo policial tenía una gran cantidad de registros de llamadas que necesitaba ayuda para organizar. Fue en 1998 cuando la empresa desplegó su primer sistema de escuchas telefónicas. “Los tenemos, en general, repartidos por todo Estados Unidos y por todo el mundo”, dijo Tuma. Aunque no describió esa herramienta en detalle, la empresa la llama Lincoln.
En la actualidad, son las redes sociales, más que los teléfonos, las que están demostrando ser un terreno fértil para PenLink y sus clientes de las fuerzas de seguridad. Tuma describió su trabajo con un investigador de bandas del Departamento de Justicia en California, diciendo que estaba llevando a cabo hasta 50 “interceptaciones” de redes sociales. El negocio de PenLink consiste en recopilar y organizar esa información para la policía a medida que llega de Facebook y Google.
El representante de PenLink dijo que se puede pedir a las empresas tecnológicas que proporcionen un seguimiento casi en vivo de los sospechosos de forma gratuita. Uno de los inconvenientes es que los datos de las redes sociales no llegan en tiempo real, como las escuchas telefónicas. Hay un retraso: 15 minutos en el caso de Facebook y su filial, Instagram. Sin embargo, Snapchat no proporciona a la policía datos más allá de cuatro veces al día, dijo. Sin embargo, en algunas “circunstancias exigentes”, Tuma dijo que había visto a empresas que proporcionaban interceptaciones casi en tiempo real.
Para complicar las cosas a la policía, para obtener los datos de interceptación de Facebook, tienen que entrar en un portal y descargar los archivos. Si un investigador no se conecta cada hora durante una interceptación, queda bloqueado. “Así de molesto es Facebook”, dice Tuma. Sin embargo, PenLink automatiza el proceso, de modo que si los agentes de la ley tienen que tomarse un descanso o su jornada laboral termina, seguirán teniendo la respuesta de la interceptación cuando vuelvan.
Un portavoz de Meta, propietaria de Facebook, dijo: “Meta cumple con los procesos legales válidos presentados por las fuerzas del orden y sólo produce la información solicitada directamente al funcionario de las fuerzas del orden que la solicita, incluyendo la garantía de que el tipo de proceso legal utilizado permite la divulgación de la información”.
Jennifer Granick, asesora en materia de vigilancia y ciberseguridad de la Unión Americana de Libertades Civiles, analizó los comentarios de Tuma. Planteó su preocupación por la cantidad de información que el gobierno estaba recogiendo a través de PenLink. “La ley exige que la policía minimice los datos interceptados, así como que los notifique y demuestre su necesidad”, dijo. “Es difícil imaginar que la intervención de 50 cuentas de redes sociales sea necesaria con regularidad, y me pregunto si la policía se dirige luego a todas las personas que comentan en las publicaciones de Facebook o son miembros de grupos para decirles que han sido interceptadas”.
Sugirió que la afirmación de Tuma de que una “simple citación” a Facebook podría arrojar información detallada -como cuándo y dónde se subió una foto, o cuándo se realizó una transacción con tarjeta de crédito en Facebook Marketplace- puede ser una extralimitación de la ley.
Hay muchos matices en cuanto a los casos en los que las acciones del gobierno pueden sobrepasar la línea, dijo Randy Milch, profesor de derecho de la Universidad de Nueva York y ex consejero general del gigante de las telecomunicaciones Verizon Communications. “Aunque comprendo la idea de que el gobierno va a pedir más de lo que necesita, decir simplemente ‘demasiados datos debe significar una extralimitación’ es el tipo de regla arbitraria que no es viable”, dijo a Forbes. “El gobierno no sabe la cantidad de datos que busca” antes del hecho. Milch señaló que la Ley de Comunicaciones Almacenadas permite explícitamente las citaciones para recopilar registros que incluyan nombres, direcciones, medios y fuentes de pago, así como información sobre los tiempos y la duración de las sesiones.
Google es el mejor
En su charla en Washington, Tuma se deshizo en elogios hacia los datos de localización de Google. Google “puede situarme a un metro de una ubicación precisa”, dijo. “No puedo decir cuántos casos sin resolver he ayudado a trabajar en los que esto tiene cinco, seis, siete años y la gente necesita situar [al sospechoso] en un atropello o en una agresión sexual que tuvo lugar”. Si la gente lleva sus teléfonos y tiene cuentas de Gmail, dijo, las fuerzas del orden “pueden tener mucha suerte. Y eso ocurre a menudo”. Facebook, en comparación, obtendrá un objetivo dentro de 60 a 90 pies, dijo Tuma, mientras que Snapchat ha comenzado a proporcionar información de ubicación más precisa dentro de 15 pies.
Snapchat no respondió a las solicitudes de comentarios.
Tuma también describió haber tenido mucho éxito al pedir a Google los historiales de búsqueda. “He visto múltiples investigaciones de homicidios: ‘Cómo deshacerse de un cuerpo humano’, ‘el mejor lugar para tirar un cuerpo’. Lo juro por Dios, eso es lo que buscan. Está en su historial de Google. Han borrado su navegador y sus cookies y cosas, creen que ha desaparecido. Google es el mejor”. Un portavoz de Google dijo que la compañía intenta equilibrar las preocupaciones sobre la privacidad con las necesidades de la policía. “Al igual que con todas las solicitudes de las fuerzas del orden, tenemos un proceso riguroso que está diseñado para proteger la privacidad de nuestros usuarios y al mismo tiempo apoyar el importante trabajo de las fuerzas del orden”, dijo el portavoz.
Tuma describió las órdenes de iCloud de Apple como “fenomenales”. “Si hiciste algo malo, te apuesto a que podría encontrarlo en esa copia de seguridad”, dijo. (Apple no respondió a las solicitudes de comentarios.) También era posible, dijo Tuma, mirar los mensajes de WhatsApp, a pesar de las garantías de seguridad estricta de la plataforma. Los usuarios que hacen copias de seguridad de los mensajes eliminan la protección que ofrece el cifrado de extremo a extremo de la aplicación. Tuma dijo que estaba trabajando en un caso en Nueva York en el que tenía “unas mil grabaciones de WhatsApp”. Sin embargo, la aplicación propiedad de Facebook puede no ser tan susceptible de ser interceptada casi en tiempo real, ya que las copias de seguridad sólo pueden hacerse con una frecuencia de una vez al día. Los metadatos, sin embargo, que muestran cómo se ha utilizado una cuenta de WhatsApp y qué números se han puesto en contacto entre sí y cuándo, pueden rastrearse con una tecnología de vigilancia conocida como pen-register. PenLink ofrece esa herramienta como servicio.
Todos los mensajes de WhatsApp están encriptados de extremo a extremo, dijo un portavoz de la empresa, y ésta es transparente sobre cómo trabaja con las fuerzas de seguridad. “Sabemos que la gente quiere que sus servicios de mensajería sean fiables y seguros, y eso requiere que WhatsApp tenga datos limitados”, dijo el portavoz. “Revisamos, validamos y respondemos cuidadosamente a las solicitudes de las fuerzas del orden basándonos en la legislación aplicable y de acuerdo con nuestras condiciones de servicio, y somos claros al respecto en nuestra página web y en los informes de transparencia periódicos. Este trabajo nos ha ayudado a liderar la industria en la entrega de comunicaciones privadas manteniendo la seguridad de las personas, y ha llevado a detenciones en casos criminales.” Señalaron el lanzamiento el año pasado de una función que permite a los usuarios cifrar sus copias de seguridad en iCloud o Google Drive, al tiempo que señalaron que cuando responden a una solicitud de las fuerzas del orden, no proporcionan los datos a ninguna empresa privada como PenLink, sino directamente a las fuerzas del orden.
¿Oscurecer o nadar en los datos?
En los últimos años, el FBI y varias agencias policiales han expresado su preocupación por el hecho de que el cifrado de extremo a extremo de Google o Facebook corte fuentes de datos valiosas. Pero Tuma dice que no es probable que los pesos pesados de Silicon Valley empiecen a ocultar información a la policía porque eso significaría hacer lo mismo con los anunciantes. “Siempre digo que no es cierto por esta razón: Los ingresos publicitarios de Google en 2020 fueron de 182.000 millones de dólares”, dijo Tuma.
Granick, de la ACLU, dijo que tales afirmaciones mostraban que el FBI, al contrario de lo que afirmaba la oficina, no estaba perdiendo de vista a los sospechosos por culpa de las apps encriptadas como WhatsApp. “El hecho de que las copias de seguridad y otros datos no estén encriptados crea un tesoro para la policía”, dijo Granick. “Lejos de quedarse a oscuras, están nadando en datos”. Cabe destacar que Signal, una app de comunicaciones cifradas que se ha hecho enormemente popular en los últimos años, no tiene una función que permita a los usuarios hacer una copia de seguridad de sus datos en la nube.
De hecho, la cantidad de datos que envían empresas como Google y Facebook a la policía puede ser sorprendente. Forbes analizó recientemente una orden de registro en la que se enviaron a la policía 27.000 páginas de información sobre la cuenta de Facebook de un hombre acusado de dar visitas ilegales al Gran Cañón. Tuma dijo que había visto rendimientos aún mayores, el mayor de ellos en torno a los 340.000.
Aunque su plantilla es pequeña -menos de 100 empleados, según LinkedIn-, la capacidad de PenLink para aprovechar una amplia gama de negocios de telecomunicaciones e Internet a escala ha hecho que la empresa sea muy atractiva para la policía en las últimas dos décadas. Sólo en el último mes, la DEA pidió casi 2 millones de dólares en licencias y el FBI 750.000 dólares.
A través de una solicitud de la Ley de Libertad de Información, Forbes obtuvo información sobre un contrato de 16,5 millones de dólares de PenLink con el ICE que se firmó en 2017 y continuó hasta 2021. Detalla una necesidad de la suite de aplicaciones de software de análisis e interceptación de telecomunicaciones de la compañía, incluyendo lo que llamó su herramienta PLX. El contrato requiere que PenLink, como mínimo, ayude a intervenir un gran número de proveedores, incluyendo AT&T, Iridium Satellite, Sprint, Verizon, T-Mobile, Cricket, Cablevision, Comcast, Time Warner, Cox, Skype, Vonage, Virgin Mobile y lo que el gobierno llama “sitios web de medios sociales y publicidad” como Facebook y WhatsApp.
El trabajo de PenLink no sería posible sin el cumplimiento de los proveedores de tecnología, que, según Granick, “están almacenando demasiados datos durante demasiado tiempo, y luego entregan demasiados a los investigadores”. Las empresas de redes sociales pueden filtrar por fecha, tipo de datos e incluso por remitente y destinatario. Los terabytes de datos casi nunca van a responder a una causa probable, que es lo que exige la Cuarta Enmienda”.