5 de septiembre, la Dirección de Inteligencia de la Policía Nacional aseguró, respondiendo a un derecho de petición, que no tenía en sus bases de datos ni contratos ni información relacionada con la compra del software espía Pegasus. La solicitud se basaba en una alocución en la que el presidente Gustavo Petro denunció la transacción, presuntamente irregular, a partir de información reservada de la UIAF.

Petro había leído una carta de la Unidad de Inteligencia Financiera de Suiza, una de las equivalentes a la UIAF con las que Colombia ya no puede cruzar información debido a la suspensión del país en el grupo Egmont. Desde entonces, la Unidad colombiana ha confirmado que tiene rastros de la compra de Pegasus, pero otras entidades presuntamente involucradas, como el Ministerio de Defensa y la Policía, lo han negado.

La Dirección de Inteligencia, en negrita, aseveró que, luego de revisar en áreas contractuales y de sistemas de la Policía, “no se cuenta con procesos contractuales, equipos o software ‘Pegasus’”. También negó haber destinado algún presupuesto a adquirir el programa. “Respecto a presuntas interceptaciones, se indica que esta actividad no corresponde a la misionalidad de la Dirección de Inteligencia Policial”, añadió.

Según el jefe de Estado, la compra se concretó entre julio y agosto de 2021 con once millones de dólares transportados en efectivo desde Bogotá hasta Tel Aviv, Israel, el país originario de Pegasus. Como se trata de una venta presuntamente irregular, por ahora no existe documentación pública que la corrobore. Sin embargo, sí hay datos de otro proceso de contratación que derivó en la compra de un software de ciberespionaje.

A falta de Pegasus, la Policía tuvo a Phoenix

En junio de 2021 la Dirección de Inteligencia, encabezada por el general Norberto Mujica Jaime, abrió un proceso de selección para adquirir un “sistema de ciberinteligencia basado en inteligencia artificial”. La Policía había determinado las condiciones desde finales de mayo, así que sabía que debía invertir más de $4,3 mil millones para quedarse con tres servidores, dos switches, otros bienes y, en concreto, un software OSINT.

OSINT agrupa las siglas de Open Source Intelligence, inteligencia de fuentes abiertas. Se trata de una modalidad de investigación adelantada a partir de información pública, como redes sociales, blogs, páginas web o interacciones de usuarios. La intención de la Dirección era comprar un programa que agrupara esos datos y, con ciertos criterios y apoyo de la inteligencia artificial, lograra perfilar a personas o entidades de interés para la Policía.

La problemática que siempre ha rodeado a la inteligencia OSINT es que puede convertirse en un mecanismo de vigilancia masiva en lo que ocurre en línea. En el caso de la Policía, uno de los requisitos era que el software suministrado permitiera conocer información como, incluso, la ubicación desde donde salía una publicación, entre otros elementos que pudiesen ocultarse en sistemas como la dark web.

De acuerdo con la fundación Karisma, que se ha especializado en la promoción de derechos humanos en entornos digitales, alertó en 2023 que “la adquisición de herramientas tecnológicas de inteligencia en fuentes abiertas (OSINT) ha aumentado la capacidad técnica del Estado para vigilar el comportamiento de las personas en Internet”, por lo que pidió seguir estándares internacionales.

El proceso de selección abreviada avanzó hasta que quedaron dos finalistas que podrían ganar el contrato: ProCibernética y la Unión Temporal Phoenix 027-2021. La UT estaba integrada en un 60% por la empresa colombiana de tecnología NewSat SAS, que ha tenido como clientes a las Fuerzas Militares o la Dirección Nacional de Inteligencia, entre otros, y en un 40% por la controversial compañía española Mollitiam Industries.

Una vieja conocida de la Fuerza Pública

Mollitiam, como NewSat, ha tenido varios contratos con las entidades castrenses, lo que en 2020 le valió ser incluida en la lista de depredadores digitales de la libertad de prensa, de la ONG Reporteros Sin Fronteras. Según la entidad internacional, el Ejército Nacional “se valió” de programas espías de la Mollitiam “para vigilar ilegalmente” a miembros de las altas cortes —como la magistrada Cristina Lombana—, personajes políticos y periodistas.

Una investigación del año pasado de la Fundación para la Libertad de Prensa, Flip, resaltó que Mollitiam, precisamente, fue la misma empresa que le vendió al Ejército el software espía Hombre Invisible por más de $3.000 millones. Desde 2019, el Comandos de Apoyo de Inteligencia Militar lo utilizó para acceder a computadores, llamadas, mensajes y cualquier información disponible de dispositivos infectados.

Según el acuerdo que dio origen a la Unión Temporal, un documento de cuatro páginas que detalla qué le corresponde a las dos empresas y designa a Carlos Enrique Rosero Cerón como su representante legal, el deber de Mollitiam fue suministrar el software espía Phoenix, una licencia para su uso, experiencia, servicios de soporte, configuración y puesta en marcha de la aplicación, preparación del programa, entre otros.

NewSat, por su parte, debía importar y suministrar el hardware necesario para implementar Phoenix según las necesidades de la Policía, codesarrollar el software según las especificaciones, gestionar servicios de soporte técnico, obtener apoyo financiero, manejar el dinero de la UT y adelantar “todas aquellas gestiones y trabajos necesarios para la tramitación de la oferta” y la formalización del contrato.

¿Favorecimiento a Phoenix?

Que la Unión Phoenix se quedara con el contrato no fue un hecho ajeno a los cuestionamientos. ProCibernética, la empresa rival en el proceso, le dijo a la Dirección de Inteligencia en dos ocasiones que el procedimiento estuvo cargado de sesgos, pues la alianza internacional, al parecer, no cumplía con la totalidad de los requisitos técnicos. Según una carta del 6 de julio, Phoenix fallaba en al menos diez funcionalidades.

El 14 de julio, en otro oficio, ProCibernética afirmó: “En conclusión, el resultado del proceso de evaluación hasta ahora llevado por la entidad es permitir que la UT Phoenix mejore su oferta”, pues la Policía, aparentemente, cambió “un requisito indispensable” a favor de NewSat y Mollitiam. La Dirección de Inteligencia, además, toleró que Phoenix presentara a “ingenieros con conocimiento en desarrollo” sin las certificaciones adecuadas.

La empresa condensó sus críticas a través de su representante, Jorge Andrés Soto Murillo. El documento firmado por Soto pidió, entonces, una “revisión detallada del proceso” y una “evaluación OBJETIVA de todos los soportes documentales” (sic), para evitar que la Policía “cometa un yerro adicional de adjudicar un contrato sin haber evaluado en igualdad de condiciones y con transparencia a todos los oferentes”.

Los reclamos de ProCibernética y Soto no detuvieron la selección de NewSat, Mollitiam y su alianza Phoenix. El 16 de julio de 2021 el coronel Juan Miguel Thiriat Tovar, como director encargado de Inteligencia Policial, firmó la Resolución 0123, de diez páginas, con la que la Policía finalmente adjudicó el contrato a la Unión Temporal Phoenix 027-2021, tras contar que los comités evaluadores y el comité de adquisiciones lo recomendaron.

El contrato, de $4.291′887.714, se ejecutó entre el 13 de agosto y el 20 de noviembre de 2021, como consta en el acta de liquidación bilateral del convenio, firmada el primero de agosto de 2022 por el ya no brigadier general, sino mayor general, Norberto Mujica Jaime, aún director de la Inteligencia Policial. La Policía “aceptó a entera satisfacción”, tras ocho informes, la entrega de los bienes y servicios acordados durante todo el proceso.