Mexico
Organization
Website
El caso FinFisher
Traduccion de Korina Velázquez Ríos
Introducción
El derecho a la privacidad está protegido por la Constitución Política de los Estados Unidos Mexicanos. Ahí se establece que la información que se refiere a la vida privada (de su persona, familia, residencia, documentos o posesiones) será protegida. También, la Constitución reconoce el respeto a los derechos humanos,así como a los compromisos que México ha firmado en tratados internacionales. Sin embargo, fue hasta el año 2007 que México comenzó a legislar en el ámbito de la protección de datos: se modificó la Constitución con objeto de garantizar el derecho a la protección de datos y se estableció que cualquier interferencia en las comunicaciones debe ser aprobada por un juez. En julio de 2010, el Congreso de la Unión promulgó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Su ámbito de aplicación incluye a los individuos y las empresas, no a los gobiernos ni a otras entidades públicas.
Política y antecedentes políticos
El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) es la institución autónoma encargada de salvaguardar los derechos individuales a la protección de datos. En el principio, el IFAI sólo existía para garantizar el derecho de los ciudadanos a acceder a la información pública gubernamental. Sin embargo, desde 2010 sus atribuciones se ampliaron con objeto de garantizar también el derecho a la protección de datos personales.
En marzo de 2013, Privacy Internacional publicó un informe sobre el derecho a la privacidad en México [1] donde externó su preocupación por las prácticas de vigilancia en este país. Destacó que entre 2011 y 2012, la Secretaría de la Defensa Nacional compró 350 millones de dólares en software de vigilancia para ser utilizado por el ejército mexicano. Su preocupación consiste en la falta de transparencia en la compra y uso de este software. Noticias recientes también revelaron que dependencias federales habían comprado un software que ponía en riesgo el derecho a la privacidad de los individuos.
Al respecto, hay dudas acerca de si México cuenta con leyes e instituciones que estén preparadas para hacer frente a cualquier violación de los derechos de sus ciudadanos en términos de privacidad y protección de datos, teniendo en cuenta que el responsable podría ser, incluso, su propio gobierno.
FinFisher en México
En marzo de 2013, Citizen Lab, [2] un centro de investigación interdisciplinario de la Universidad de Toronto publicó una investigación sobre un programa de spyware llamado “FinFisher”, comercializado por la empresa Gamma Internacional.
FinFisher es un software malicioso que requiere que el usuario descargue actualizaciones falsas de fuentes aparentemente fiables, como Adobe Flash, iTunes y BlackBerry. Una vez que se instalan en un sistema informático, un tercero puede controlar de forma remota la computadora del usuario y acceder a él tan pronto como el dispositivo está conectado a Internet. Tan pronto como el dispositivo se infecta por FinFisher, el hacker que lo utiliza es capaz de ver mensajes de correo electrónico del usuario y conversaciones de mensajería sociales, realizar capturas de pantalla, obtener contraseñas, y encender los micrófonos y cámaras. Otra característica es que FinFisher no puede ser fácilmente detectado por un antivirus o antispyware.
Citizen Lab detectó a 25 países que alojan el programa en sus servidores. [3] En México, un servidor infectado fue detectado en el proveedor de UNINET S.A. de C.V., mientras que otro se detectó en IUSACELL S.A. de C.V. en Malasia, donde la compañía cuenta con algunos de sus servidores. [4]
Informes previos han revelado que activistas y miembros de la oposición política en todo el mundo han sido intervenidos tanto en sus teléfonos como en sus computadoras a través de FinFisher. Por ejemplo, en febrero de 2013, el Centro Europeo para los Derechos Constitucionales y Humanos (ECCHR), Reporteros sin Fronteras, Privacy International, Bahrain Watch y el Centro de Bahrein para los Derechos Humanos presentaron una queja ante la Organización para la Cooperación y el Desarrollo Económico (OCDE) contra Gamma Internacional por la exportación de tecnología de espionaje a Bahrein. [5] El software fue utilizado para espiar a activistas en Bahrein. Cuando se le preguntó acerca de esto, Gamma Internacional declaró que sólo se vende FinFisher a los gobiernos. No obstante, admitieron que han identificado copias de sus productos, y también han detectado robos de demos que han sido utilizados en regímenes represivos. [6]
El 20 de junio de 2013, las asociaciones civiles mexicanas, ContingenteMX, Propuesta Cívica y Al Consumidor, presentaron una denuncia ante el IFAI lo cual dio lugar a que la autoridad pudiera investigar tanto a Iusacell como UNINET con el objetivo de conocer el uso de FinFisher en sus servidores y para proteger los datos personales que pudieran estar en riesgo. Asimismo, académicos, periodistas, activistas y miembros de organizaciones de la sociedad civil también se unieron a la queja. [7] Un mes más tarde, Privacy Internacional envió una carta al IFAI en apoyo a la investigación. La carta deja claro que la "presencia de un servidor de “comando y control” FinFisher en un país, no implica necesariamente que este producto está siendo utilizado por la inteligencia mexicana o las autoridades policiales". [8] El ECCHR también apoyó la denuncia solicitando al IFAI para investigar el caso.
Al principio, UNINET declaró que no tenían ninguna responsabilidad en relación con la asignación de direcciones IP asignadas a los clientes, mientras que IUSACELL afirmó que FinFisher no estaba instalado en sus servidores.
El 3 de julio de 2013, la Comisión Permanente del Congreso de la Unión exhortó al IFAI para comenzar una investigación, conforme a lo solicitado por ContigenteMX, Propuesta Cívica y Al Consumidor. [9] Siete días más tarde, el Congreso pidió a la Secretaría de Gobernación un informe detallado sobre la estrategia de Estado realizada respecto al monitoreo del ciberespacio y cómo evita infringir los derechos de privacidad de los usuarios. [10] El Congreso también solicitó a la Secretaría dar a conocer si habían adquirido el software FinFisher y pidió a la Procuraduría General de la República que explicara si se había presentado alguna queja sobre espionaje telefónico de las comunicaciones de particulares. Ninguno de los dos ha respondido a las preguntas aún.
El 11 de julio de 2013, los activistas de derechos humanos del grupo Desobediencia Civil informaron que habían encontrado rastros del programa FinFisher en sus teléfonos celulares y sus computadoras y que habían recibido varias amenazas indefinidas. [11] Las notas de periódico también informaron que la Procuraduría Geneneral de la República había pagado casi 109 millones pesos (aproximadamente 8 millones de dólares) por el software FinFisher y alrededor de 93 millones de pesos (alrededor de 7 millones de dólares) para un sistema de seguimiento por satélite llamado Hunter Punta Tracking / Locsys. Ambas compras fueron hechas por la empresa mexicana “Obses” y, de acuerdo con el diario Reforma, el contrato era demasiado costoso.
José Luis Ramírez Becerril, representante de Obses, declaró que la compañía había vendido el mismo equipo de espionaje a otras instituciones del gobierno mexicano. Pero si Gamma Internacional sólo vende a los gobiernos y no tiene revendedores, ¿cómo pudo Obses hacer el trato? Debido al procedimiento legal inicial de verificación que ContingenteMX, Propuesta Cívica y Al Consumidor presentaron contra Iusacell y UNINET para conocer el funcionamiento de FinFisher, el IFAI decidió también investigar a Obses.
El IFAI comenzó la verificación de Obses en mayo de 2013 y solicitó a la empresa conocer si había vendido el software FinFisher y si había prestado sus servicios al gobierno. La información proporcionada por Obses fue insuficiente al argumentar que estaba protegida por convenios de confidencialidad. Por lo cual, el IFAI le impuso una multa de 1 millón 295 mil 200 pesos (aproximadamente 100 mil 200 dólares) por obstruir la investigación y no proporcionar la información completa que se le solicitó. [12]
Hay registros que muestran que, en agosto y septiembre de 2013, dos ciudadanos hicieron dos solicitudes de información a la Secretaría de Gobernación a través del sistema de Internet INFOMEX, el cual está diseñado precisamente para que los ciudadanos pidan información pública sobre el gobierno. La primera solicitud pidió información sobre el uso del software FinFisher en las dependencias gubernamentales. [13] Se pidió en la segunda solicitud que se informara si se habían aplicado estrategias de espionaje en Internet y, si este fuera el caso, explicaran qué alcance tuvieron las estrategias, incluyendo los protocolos y normas utilizados para evitar violar la privacidad de los usuarios. [14] La respuesta a ambas peticiones fue que no existía la información requerida y se recomendó que se le pidiera a los organismos específicos involucrados (Secretaría de la Defensa Nacional y la Procuraduría General de la República).
El 4 de septiembre de 2013, Wikileaks reveló que los ejecutivos de Gamma Internacional visitaron México en febrero y abril de 2013. [15] Carlos Gandini, alto ejecutivo de esa empresa, estuvo en México del 14 al 17 de febrero, mientras que Martin Muench, desarrollador de FinFisher, estuvo en el país del 23 al 26 de abril. No hay información sobre cuáles fueron las oficinas que visitaron.
En septiembre de 2013, Citizen Lab informó que los centros de mando y control de FinFisher, estaban todavía activos en sus direcciones IP: FinFisher seguía instalado y operando en los servidores mexicanos que Citizen Lab había informado desde marzo de 2013. [16] Desde septiembre de 2013, no se ha presentado ninguna nueva información sobre la presencia de FinFisher en servidores mexicanos.
El 4 de agosto de 2014, un hacker con el apodo de PhineasFisher anunció que había hackeado FinFisher [17] y publicó diversos documentos confidenciales en Internet. Entre éstos se encontraban lo que parecen ser registros auténticos de clientes, manuales, folletos, listas de precios y el código fuente. De acuerdo con una descripción de la información filtrada, [18] es interesante observar que, en la lista de clientes, aparece el nombre de usuario "Cobham", probablemente refiriéndose al Grupo de Cobham, cuya división "Cobham Defence Electronics" construye productos para aplicaciones de defensa, médicos, industriales y comerciales en México. [19]
Análisis de la situación
México tiene una sola ley federal que rige la privacidad y protección de datos en posesión de particulares, la LFPDPPP. Esta ley podría ser utilizada contra UNINET y IUSACELL porque ambas son empresas privadas que han recabado y realizado tratamiento de datos de carácter personal de forma ilegal. [20] UNINET y IUSACELL deberían adherirse a los principios de legalidad, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad que establece la LFPDPPP. Esto implica que ambas empresas debieron haber implementado los procesos operativos y las medidas de seguridad de la información adecuados con objeto de garantizar la protección de estos principios. En cualquier transferencia de datos personales [21] se tiene que notificar de antemano al titular de los datos, a menos que la transferencia sea necesaria o legalmente exigida para salvaguardar el interés público, o cuando sea necesario para un procedimiento judicial.
En este sentido, la Constitución garantiza el derecho del individuo a la privacidad y protección de datos, salvo algunas excepciones, como en el caso de una invasión militar, alteración grave de la paz, o de cualquier otro evento que ponga a la sociedad en peligro o conflicto grave. De acuerdo con la Constitución, sólo la autoridad judicial federal puede autorizar escuchas telefónicas de teléfono y la interceptación de comunicaciones privadas, a petición de la autoridad federal competente o la Procuraduría General de la República.
La investigación del IFAI sigue aún en curso y no se han revelado sus conclusiones todavía. La investigación aborda varias cuestiones: los casos en los que FinFisher se ha utilizado, los fines para los que se ha utilizado, y si, ha habido debido proceso. Si FinFisher ha sido utilizado por dependencias del Estado para violar las comunicaciones de los activistas o los derechos humanos de la población en general, con fines distintos a los establecidos en el derecho, y el espionaje se ha llevado a cabo sin ningún tipo de autorización por las autoridades competentes, una grave violación de los derechos humanos protegidos por la Constitución está en juego.
Con el fin de luchar legalmente contra esta violación, se podría iniciar un proceso judicial llamado “juicio de amparo”. Este proceso se menciona en la Constitución en virtud de una sección titulada "[l]as leyes o actos de la autoridad u omisiones cometidas por la autoridad, que infrinjan los derechos fundamentales reconocidos y protegidos por esta Constitución". [22] A medida que la Constitución protege el derecho a la privacidad, la base jurídica sobre la que presentar un juicio de amparo sería, precisamente, la violación de este derecho humano y la ausencia del debido proceso de la ley: la falta de una orden de un juez que autorice la interceptación de las comunicaciones. Un juicio de amparo también puede basarse en los derechos protegidos por los tratados internacionales de derechos humanos ratificados por México. La jurisdicción que emite la decisión de la adjudicación constitucional es un tribunal federal. El recurso de revisión de la sentencia es posible ante una corte de apelaciones. Como último recurso, es la Suprema Corte de Justicia de la Nación (SCJN), máximo tribunal federal de México, que es competente para conocer el caso, pero sólo de forma discrecional por su parte y si el asunto es “de importancia y transcendencia”. En caso de denuncia, ya sea ante un tribunal federal o ante la SCJN, el tribunal restauraría el derecho reclamado por el demandante pero no emitiría ninguna sanción contra la entidad responsable de la violación del derecho.
Otro recurso, completamente diferente, sería para reclamar la responsabilidad patrimonial del Estado. Se trata de un procedimiento administrativo, no judicial, el cual está diseñado para aquellas personas cuyos derechos de propiedad se han infringido, como resultado de la actividad administrativa ilegal o inconstitucional del Estado. [23] Los poderes judicial, legislativo y ejecutivo de la Federación, los organismos constitucionales autónomos, entidades de la Administración Pública Federal, la Procuraduría General de la República, los tribunales federales, administrativos y cualquier otra entidad federal pública, están sujetos a este procedimiento administrativo. Una demanda de responsabilidad patrimonial se presenta ante la institución infractora y tiene como propósito determinar si hubo culpa – en este caso, la violación de un derecho humano. Es posible apelar la decisión del organismo ante el Tribunal de Justicia Fiscal y Administrativa. Si la culpa se puede demostrar y expresarse en términos monetarios, el demandante puede obtener una compensación económica.
El IFAI es responsable de garantizar el derecho del titular a la protección de sus datos personales. En este caso, sin embargo, su papel no está claro: puede investigar, como ya lo ha hecho, y emitir multas. Pero no hay ningún procedimiento establecido para casos de vigilancia gubernamental. También, como la cuestión en juego es una violación de derechos humanos, otra institución que podría jugar un papel relevante es la Comisión Nacional de Derechos Humanos (CNDH). Sin embargo, esa institución sólo puede hacer recomendaciones que no son vinculantes. Se puede determinar si hubo una violación de los derechos humanos y quién fue el responsable, pero esa institución sólo puede emitir recomendaciones para evitar que vuelva a suceder.
Conclusiones
México se enfrenta a una situación en que se está poniendo a prueba la solidez de su marco legal y la eficacia de sus instituciones administrativas y judiciales. La petición por ContigenteMX, Propuesta Cívica y Al Consumidor podría ser un factor que desencadene más quejas destinadas a garantizar la transparencia y el respeto de los derechos humanos por parte del gobierno mexicano – en particular sobre el derecho a la privacidad.
No importa si, un día u otro, alguien demuestra que el gobierno utilizó FinFisher y lo hizo de manera illegal. México tiene un marco legal que le permite abordar el caso FinFisher como una violación a la privacidad y una violación de los derechos humanos. Sin embargo, no se cuenta con el marco legal e institucional que le permita hacer frente de manera eficaz a los casos de vigilancia gubernamental. El espionaje gubernamental es un tema delicado porque no siempre está claro si las autoridades del gobierno están actuando para proteger los intereses de seguridad nacional o si van más allá de sus obligaciones y comienzan a infringir los derechos humanos de los ciudadanos. Es precisamente debido a que no siempre son claros los límites y a que las instituciones son falibles, que deberían existir reglas y procedimientos específicos para salvaguardar los derechos humanos individuales, así como las normas de rendición de cuentas y supervisión que el gobierno debe cumplir en estos casos.
Líneas de acción
Debe haber un número mínimo de principios, el objetivo de los cuales debe ser proteger el derecho a la privacidad y protección de datos para hacer frente a la vigilancia del gobierno. Analizando el caso FinFisher a la luz de la legislación vigente, se muestra que el gobierno está violando los derechos humanos, pero no está notificando que está espiando a los individuos, ni de la gravedad del problema. Los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones ("los Principios") son un buen punto de partida para analizar otros aspectos de casos similares. Estos principios son el resultado de una consulta mundial con grupos de la sociedad civil, la industria y expertos internacionales en el derecho de la vigilancia de las comunicaciones, en política y tecnología, y se aplican a la vigilancia llevada a cabo dentro de un Estado o fuera de su territorio, independientemente de la finalidad de la vigilancia. [24]
Con objeto de garantizar la privacidad y protección de datos, ContingenteMX, Propuesta Cívica y Al Consumidor también han propuesto que las autoridades competentes concilien su marco jurídico con los Principios. [25]Sin embargo, los primeros siete de los 13 principios (legalidad, finalidad legítima, necesidad, adecuación, proporcionalidad, autoridad judicial competente, y debido proceso) se encuentran en las salvaguardias de datos que se pueden encontrar en la Constitución mexicana, que se ocupa de los derechos humanos y los casos y las circunstancias en que el Estado sea capaz de interferir con ellos. Entonces, sería más importante que el gobierno se comprometa a cumplir con los otros seis principios (notificación al usuario, transparencia, supervisión pública, integridad de las comunicaciones y sistemas, salvaguardias para la cooperación internacional, salvaguardias contra el acceso ilegítimo y el derecho a una compensación efectiva), ya que proporcionan proposiciones centradas específicamente en la intervención de comunicaciones en el ámbito de la vigilancia.
Además de cubrir el aspecto legal, también es necesario prever la parte operativa para lograr que la ley sea aplicada: es conveniente establecer normas y procedimientos operativos derivados de los principios que permitan llevarlos a la práctica. Luego, una vez que se verifica el compromiso del gobierno, el Estado debería determinar las dependencias y entidades federales que tienen que cumplir con esas normas y procedimientos operativos con el fin de proteger a los individuos contra la vigilancia. El cumplimiento por parte del Instituto Federal de Comunicaciones (IFT) con las normas operativas antes mencionadas y procedimientos sería, por ejemplo, necesario para garantizar los principios de notificación al usuario y también para lograr la integridad de las comunicaciones y sistemas. La Procuraduría General de la República, por otra parte, ayudaría a poner en práctica los principios de legalidad, finalidad legítima, necesidad, idoneidad, proporcionalidad, autoridad judicial competente, y debido proceso. De hecho, ya que todos los principios están relacionados entre sí, cada institución y organismo federal se comprometería a proteger a los individuos contra la vigilancia y contribuiría al cumplimiento de cada uno de los 13 principios en diversos grados. El Estado también debe decidir qué institución especializada podría garantizar el cumplimiento de las normas y procedimientos operativos aplicables. En este sentido, el IFAI es un buen punto de partida ya que es una institución autónoma que tiene un alto nivel de confianza pública. De esta manera, los principios de transparencia y control público se reforzarían.
Es importante subrayar que los Principios carecen de valor si, la sociedad no se compromete para exigir el respeto de sus derechos. Así que, se recomienda que los Principios sean promovidos y ejercidos por la sociedad civil y organizaciones sin fines de lucro de México. A modo de ejemplo, el principio de legalidad sugiere que, debido a la velocidad de los cambios tecnológicos, los límites al derecho a la intimidad deberían ser objeto de revisión periódica por medio de un proceso legislativo o reglamento participativo. Por lo que, se recomienda que haya un papel preponderante de la sociedad civil en estas revisiones. En cuanto al principio de la notificación del usuario – el cual establece que los individuos deben ser notificados de la vigilancia de las comunicaciones – y el principio de transparencia – que establece que los Estados deben ser transparentes acerca de la vigilancia de las comunicaciones – ambos pueden lograrse si la sociedad civil es vigilante e informa constantemente lo que el gobierno está haciendo.
Como resultado, las líneas de acción que se recomiendan son las siguientes:
- Establecer un marco jurídico claro para el uso de software de espionaje y otras herramientas similares. Debe haber normas específicas para cuando el gobierno desea utilizar software como FinFisher. Las normas indicarían los casos en los que se permite y cómo se protege la privacidad de todos los individuos que no están siendo investigados.
- Ratificar las Directrices para la Regulación de los Archivos de Datos Personales Informatizados de la Organización de las Naciones Unidas (ONU) ya que, al hacerlo, los individuos tendrían la seguridad de obtener un marco básico de protección de su privacidad y sus datos personales. México también mostraría su compromiso hacia una mejor protección de las comunicaciones de los individuos y de la privacidad en Internet.
- Propiciar mayor involucramiento y análisis del Congreso de la Unión para discutir los temas de vigilancia del gobierno, así como proteger la privacidad de las comunicaciones.
- Organizar campañas de diffusion para que la sociedad civil esté consciente de la importancia de la privacidad y conozca cómo la vigilancia pone a la libertad de expresión y de asociación en riesgo.
References
1 Privacy International (2013). The Right to Privacy in Mexico, Stakeholder Report Universal Periodic Review 17th Session. London: Privacy International. https://www.privacyinternational.org/sites/privacyinternational.org/files/file-downloads/mexico_stakeholder_report_-_privacy_international.pdf
2 Áreas de investigación de Citizen Lab incluyen las violaciones de los derechos humanos en el entorno digital, la censura y la vigilancia.
3 Marquis-Boire, M., Marczak, B., Guarnieri, C., & Scott-Railton, J. (2013). You Only Click Twice: FinFisher’s Global Proliferation. Canada: The Citizen Lab. https://citizenlab.org/wp-content/uploads/2013/07/15-2013-youonlyclicktwice.pdf.
4 Sánchez, Julio. (2013, July 17). Fijan plazo a UniNet y Iusacell para informar sobre FinFisher. El Universal. eleconomista.com.mx/tecnociencia/2013/07/17/fijan-plazo-uninet-iusacell-informar-sobre-finfisher.
5 ECCHR, Reporters without Borders, Privacy International, Bahrain Watch & Bahrain Center for Human Rights.(2013). OECD Complaint against Gamma International for possible Violations of the OECD Guidelines for Multinational Enterprises. United Kingdom: Privacy International. https://www.privacyinternational.org/sites/privacyinternational.org/files/downloads/press-releases/jr_bundle_part_2_of_2.pdf.
6 Vermer, A. (2013, July). Corruption scandal reveals use of FinFisher by Mexican authorities. Privacy International. http://www.privacyinternational.org/blog/corruption-scandal-reveals-use-of-finfisher-by-mexican-authorities.
7 Ricaurte, P. (2013, June). IFAI: inicie investigación sobre FinFisher en México. ContingenteMX. contingentemx.net/2013/07/03/ifai-inicie-investigacion-sobre-finfisher-en-mexico/.
8 Ricaurte, P. (2013, July). Privacy International solicita al IFAI que inicie investigación sobre FinFisher. ContingenteMX. contingentemx.net/2013/07/03/privacy-international-solicita-al-ifai-que-inicie-investigacion-sobre-finfisher/.
9 H. Cámara de Diputados. (2013). Proposiciones con punto de acuerdo presentadas por diputado en la LXII Legislatura turnadas a Comisión. sitl.diputados.gob.mx/LXII_leg/proposiciones_por_pernplxii.php?iddipt=421&pert=4.
11 Jiménez, B. (2013, July). Denuncian activistas cacería cibernética. Reforma. (Link sólo disponible para subscritores pero también puede ser visto en: www.criteriohidalgo.com/notas.asp?id=180404.)
12 IFAI. (2014). Verification Process exp. PS.0025/13. sontusdatos.org/biblioteca/decisiones-judiciales-y-administrativas/.
13 INFOMEX. (2013). No. application 0000400188713. The application only can be see it as a result of a search in the Infomex system at https://www.infomex.org.mx/gobiernofederal/moduloPublico/moduloPublico.action.
14 INFOMEX. (2013). No. application 0000400230813. The application only can be see it as a result of a search in the Infomex system https://www.infomex.org.mx/gobiernofederal/moduloPublico/moduloPublico.action.
15 Ramírez, P., & Molina, T. (2013, September). Desarrollador de FinFisher y otros ejecutivos del espionaje cibernético, activos en México, revela Wikileaks. La Jornada. wikileaks.jornada.com.mx/notas/desarrollador-de-finfisher-y-otros-ejecutivos-del-espionaje-cibernetico-activos-en-mexico-revela-wikileaks.
16 Molina, T. (2013, October). Sigue activo el programa de espionaje cibernético FinFisher en México: Citizen Lab. La Jornada. http://wikileaks.jornada.com.mx/notas/sigue-activo-el-programa-de-espionaje-finfisher-en-mexico-citizen-lab.
17 http://www.reddit.com/r/Anarchism/comments/2cjlop/gamma_international_leaked/.
18 Ver: http://pastebin.com/kZQ5J0js
19 http://www.cobham.com/about-cobham/defence-systems/about-us/defence-electronics/san-diego/services/cobham-defence-electronics-mexico.aspx.
20 Por Tratamiento se entiende la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
21 Titular de los datos es la persona física a quien corresponden los datos personales.
22 Trife. (2013). Constitución Política de los Estados Unidos Mexicanos. www.trife.gob.mx/sites/default/files/consultas/2012/04/cpeum_ingles_act_08_octubre_2013_pdf_19955.pdf.
23 Cámara de Diputados. (2014). Ley Federal de Responsabilidad Patrimonial del Estado. www.diputados.gob.mx/LeyesBiblio/pdf/LFRPE.pdf.
24 https://en.necessaryandproportionate.org/text.
25 Robles, Jesús. (2013, Octubre), Comunicado de prensa sobre los avances en las investigaciones sobre #Finfisher en Mexico. ContingenteMX. http://contingentemx.net/2013/10/07/comunicado-de-prensa-sobre-los-avances-en-las-investigaciones-sobre-finfisher-en-mexico/.