Los cibermercenarios representan una grave amenaza para los derechos humanos y la libertad de expresión. Han estado implicados en la vigilancia, tortura e incluso asesinato de defensores de los derechos humanos, candidatos políticos y periodistas. Una de las formas más eficaces que tiene la comunidad de derechos humanos de hacer frente a la amenaza de la vigilancia selectiva y los cibermercenarios es investigar y denunciar a estas empresas y a sus propietarios y clientes.
Sin embargo, en los últimos meses ha surgido una campaña de intimidación y censura para eliminar las noticias sobre las campañas de piratería mercenaria de una empresa menos conocida, Appin Technology, en general, y de su cofundador, Rajat Khare, en particular. Estos esfuerzos siguen un patrón familiar: obtener una orden judicial en una jurisdicción internacional amiga y luego tergiversar la fuerza y la sustancia de esa orden para intimidar a los editores de todo el mundo para que eliminen sus historias.
Estamos ayudando a contrarrestar esta iniciativa, que pretende transformar una sentencia muy limitada y preliminar de un tribunal indio en una orden global de retirada de contenidos. Representamos a Techdirt y MuckRock Foundation, dos de las entidades periodísticas a las que se pidió que retiraran de sus sitios contenidos relacionados con Appin. En su nombre, impugnamos las afirmaciones de que el tribunal indio consideraba que la información de Reuters era inexacta o que la orden exigía a otras entidades distintas de Reuters y Google que hicieran algo. Solicitamos una respuesta, pero hasta ahora no hemos recibido nada.
Fondo
Si trabajabas en ciberseguridad a principios de 2010, es probable que recuerdes Appin Technology, una empresa india que ofrecía educación y formación en seguridad de la información con una especialización en (al menos según según muchos informes técnicos) hacking por encargo.
El 16 de noviembre de 2023, Reuters publicó un artículo titulado "How an Indian Startup Hacked the World" sobre Appin Technology y su cofundador Rajat Khare. El artículo detallaba las operaciones de pirateo informático llevadas a cabo por Appin contra objetivos privados y gubernamentales de todo el mundo mientras Khare seguía trabajando en la empresa. La historia estaba bien documentada, basada en más de 70 documentos originales y entrevistas con fuentes primarias de dentro de Appin. Pero a los pocos días de su publicación, el artículo -y muchos otros sobre el tema- desaparecieron de la mayor parte de la web.
El 4 de diciembre, un tribunal indio ordenó de forma preliminar a Reuters que retirara su artículo sobre Appin Technology y Khare mientras el caso presentado contra ellos siguiera pendiente en el tribunal. Reuters acató la orden y retiró el artículo. Desde entonces, decenas de periodistas han escrito sobre la noticia original y sobre la retirada posterior.
En el momento de escribir este artículo, más de 20 de esas historias han sido retiradas por sus respectivas publicaciones, muchas a petición de una entidad llamada "Asociación de Centros de Formación Appin (AOATC)". Los abogados de Khare también han enviado cartas a sitios de noticias de múltiples países exigiendo que retiren su nombre de reportajes de investigación. Los abogados de Khare también consiguieron que los tribunales suizos emitieran una orden judicial contra los reportajes de la televisión pública suiza, obligándoles a retirar su nombre de una historia sobre Qatar contratando a hackers para espiar a funcionarios de la FIFA en preparación para la Copa del Mundo. Las historias originales, los informes sobre ciberseguridad en los que se nombraba a Appin, las historias sobre la historia de Reuters e incluso las historias sobre la retirada han sido retiradas. Incluso la versión archivada de la historia de Reuters fue retirada de archive.org en respuesta a las cartas enviadas por la Asociación de Centros de Formación de Appin.
Una de las cartas enviadas por la AOATC a Ron Diebert, director de Citizen Lab, reza así:
El fundador y director de Citizenlab, Ron Deibert, dio la siguiente respuesta:
No todos se han mostrado tan confiados como Ron Deibert. Algunos de los artículos retirados han sido sustituidos por una nota explicativa, mientras que otros han sido redactados de forma ilegible, como por ejemplo la historia de Lawfare:
No está claro quién está detrás de la Asociación de Centros de Formación Appin, pero según los documentos sacados a la luz por Reuters la organización no existió hasta después de que se presentara la demanda contra Reuters ante un tribunal indio. Los abogados del Sr. Khare han negado cualquier conexión entre el Sr. Khare y la organización de centros de formación. Incluso si esto es cierto, está claro que los objetivos de ambas partes están fundamentalmente alineados en silenciar cualquier prensa negativa que cubra Appin o Rajat Khare.
Independientemente de quién esté detrás de la Asociación de Centros de Formación Appin, los vínculos entre Khare y Appin Technology son amplios y claros. El Sr. Khare sigue afirmando que dejó Appin en 2013, antes de que se produjera ningún pirateo por encargo. Sin embargo, los registros corporativos indios demuestran que siguió vinculado a Appin mucho después de esa fecha.
Khare también ha sido objeto de múltiples investigaciones penales. Reuters publicó una una declaración jurada de 2016 del investigador privado israelí Aviram Halevi en la que admite haber contratado a Appin para robar correos electrónicos de un empresario coreano. También publicó una presentación del fiscal dominicano de 2012 que describía a Khare como parte de una supuesta "red criminal internacional" de hackers." Una denuncia penal de acceso público presentada ante la Oficina Central de Investigación de la India muestra que Khare está acusado, junto con otras personas, de malversar casi 100 millones de dólares de una empresa india de tecnología educativa. Un reportaje de Times of India de 2013 señala que Appin fue investigado por una agencia de inteligencia india no identificada por presuntas "fechorías."
Respuesta a AOATC
La EFF está ayudando a dos organizaciones de noticias a hacer frente al acoso de la Asociación de Centros de Formación Appin: Techdirt y la Fundación Muckrock.
Techdirt recibió una petición similar a la que recibió Ron Diebert, después de que publicara un artículo sobre la retirada de Reuters, pero también recibió los siguientes correos electrónicos:
Estimado Sr./Sra,
Me dirijo a usted en nombre de la Asociación de Centros de Formación Appin en relación con la eliminación de un artículo difamatorio publicado en https://www.techdirt.com/ que hace referencia a la historia de Reuters, titulada: "How An Indian Startup Hacked The World" publicada el 16 de noviembre de 2023.
Como ya deben saber, Reuters ha retirado el artículo, respetando la orden de un tribunal de Delhi. El artículo hacía acusaciones sin aportar pruebas sustanciales y se basaba únicamente en entrevistas realizadas a varias personas.
En vista de ello, le rogamos que tenga la amabilidad de retirar la noticia, ya que nos perjudica.
Encontrará la URL mencionada a continuación.
Gracias y saludos
Asociación de Centros de Formación Appin
Y recibí el siguiente correo electrónico dos veces, con aproximadamente dos semanas de diferencia:
Hola Señor/Señora
Este correo se refiere a un artículo publicado en su sitio web,
fechada el 7 de diciembre del 2023 .
Como usted ha indicado en su artículo, la historia de Reuters fue declarada difamatoria por el Tribunal indio, que posteriormente la retiró de su sitio web.
Sin embargo, es pertinente mencionar aquí que usted extrajo una parte de su artículo del mismo artículo difamatorio que en sí mismo es una violación de una orden judicial de la India, por lo que también es responsable en virtud de la Ley de desacato a los tribunales, 1971.
Le aconsejamos que retire este artículo de su sitio web con efecto inmediato.
Gracias y saludos
Asociación de Centros de Formación Appin
Respondimos a la AOATC en nombre de Techdirt y MuckRock a las "solicitudes de asistencia" que les fueron enviadas, impugnando las afirmaciones de la AOATC sobre el fondo y el efecto de la orden provisional del tribunal indio. Señalamos que la orden del tribunal indio es sólo provisional y no una sentencia firme de que la información de Reuters era falsa, y que sólo exige que Reuters y Google hagan algo. Además, explicamos que incluso si la orden judicial se aplicara a MuckRock y Techdirt, la orden es incompatible con la Primera Enmienda y sería inaplicable en los tribunales de EE.UU. en virtud de la Ley SPEECH:
A la Asociación de Centros de Formación Appin:
Representamos y escribimos en nombre de Techdirt y MuckRock Foundation (que gestiona los servicios de alojamiento DocumentCloud), cada uno de los cuales recibió correspondencia de usted haciendo ciertas afirmaciones sobre la importancia jurídica de una orden judicial provisional en el asunto Vinay Pandey v. Raphael Satter & Ors. Por favor, diríjame cualquier correspondencia futura sobre este asunto.
Nos preocupan dos cuestiones que plantea en su correspondencia.
En primer lugar, usted se refiere al artículo de Reuters como conteniendo materiales difamatorios según lo determinado por el tribunal. Sin embargo, la orden del tribunal, por sus propios términos, es una orden provisional, que indica que las pruebas de los demandados aún no se han considerado, y que no se ha hecho una determinación final del carácter difamatorio del artículo. El propio auto establece que "se trata sólo de una opinión prima facie y los demandados tendrán oportunidad suficiente de expresar sus puntos de vista mediante réplica, impugnación en el pleito principal, etc., y la decisión final se tomará posteriormente".
En segundo lugar, usted afirma que la divulgación por otros de las controvertidas declaraciones realizadas en el artículo de Reuters "constituye en sí misma una violación de una orden judicial india, por lo que usted también es responsable en virtud de la Ley de desacato a los tribunales de 1971". Pero, de nuevo por sus términos llanos, la orden provisional del tribunal sólo se aplica a Reuters y a Google. La orden no obliga a ninguna otra persona o entidad a despublicar sus artículos u otros materiales pertinentes. Y la orden no aborda su efecto sobre quienes se encuentran fuera de la jurisdicción de los tribunales indios. La orden no es en modo alguno la orden de retirada global que su correspondencia representa. Además, tanto Techdirt como la Fundación MuckRock son entidades estadounidenses. Por lo tanto, incluso si la orden del tribunal pudiera aplicarse más allá de las partes nombradas en ella, será inaplicable en los tribunales de EE.UU. en la medida en que ella y la ley de difamación india son incompatibles con la Primera Enmienda a la Constitución de EE.UU. y 47 U.S.C. § 230, de conformidad con la SPEECH Act, 28 U.S.C. § 4102. Dado que la Primera Enmienda no permitiría una orden provisional de despublicación en un caso de difamación, la orden Pandey es inaplicable.
Si no está de acuerdo, facilítenos la autoridad legal para que podamos evaluar esos argumentos. A menos que nos comunique lo contrario, supondremos que admite que la orden solo vincula a Reuters y Google y que dejará de afirmar lo contrario a nuestros clientes o a cualquier otra persona.
Todavía no hemos recibido ninguna respuesta de la AOATC. Esperamos que otras personas que han recibido solicitudes de retirada y demandas de la AOATC examinen sus afirmaciones con ojo crítico.
Si una empresa relativamente oscura como AOATC o un oligarca como Rajat Khare consiguen mantener su nombre fuera del discurso público con demandas estratégicas, se sienta un peligroso precedente para que otras empresas más grandes, con más recursos y más conocidas, como Dark Matter o NSO Group, hagan lo mismo. Esto sería un desastre para la sociedad civil, un desastre para la investigación sobre seguridad y un desastre para la libertad de expresión.