Pegasus, sin control en el mundo
Las capacidades cibernéticas defensivas y ofensivas desarrolladas por compañías como la israelí NSO, seguirán formando parte del arsenal de espionaje de regímenes autoritarios en tanto existan firmas sin escrúpulos dispuestas a transferir su sofisticada tecnología al mejor postor. En la actualidad, el único que puede impedir que un software similar a Pegasus sea aplicado en el lado oscuro del ciberespionaje mundial, es el país responsable de avalar la licencia de exportación, Israel, en este particular.
Más allá de este trámite, por lo regular realizado sin el rigor requerido, no hay instrumento que imposibilite la transferencia de estas armas digitales; mucho menos existe una instancia encargada de supervisar el quebrantamiento de la licencia de exportación, dicen expertos consultados. Una investigación patrocinada por la plataforma Forbidden Stories y Amnistía Internacional, y en la que participaron varios medios internacionales, reveló que más de 50 mil activistas, políticos y periodistas fueron espiados durante años por regímenes que adquirieron el software Pegasus.
"Estamos ante un momento decisivo, porque evidencia la magnitud de una industria desconocida, así como aporta información sobre la falsa impresión de seguridad", dice Stéphane Duguin, director General del CyberPeace Institute. "Así que más allá de Pegasus y NSO, aporta información sobre el agresivo modelo de negocios en el ámbito de las capacidades cibernéticas; hay una industria, un mercado en desarrollo y expansión, en el que se exporta a clientes spyware que terminan siendo herramientas con fines de violencia política".
El titular de la organización con sede en Ginebra y especializada en apoyar a víctimas de ataques cibernéticos, afirma que en tanto este mercado continúe operando como en la actualidad, seguirá habiendo una amenaza sistemática a las garantías individuales. "No habrá seguridad, dignidad y equidad en el ciberespacio en tanto continúe este modelo de negocio, un modelo sin control, sin claro escrutinio".
"La proliferación de herramientas de ICT [tecnologías de la información y comunicación] no es más una teoría, sino una realidad", apunta. Emily Taylor, investigadora asociada del Programa de Seguridad Internacional del centro de investigación londinense Chatham House, llega a una conclusión similar. "Lo que nos dice este escándalo es que el mundo de la industria privada que ofrece spyware a una amplia gama de clientes y al mejor postor, tiene muy poca consideración sobre si la venta implica un riesgo de derechos humanos".
"Estoy realmente horrorizada, ¿cuáles son las reglas que rigen a esta industria? ¿Qué controles usan las empresas para elegir quién recibe este poderoso ciberarmamento? Por el momento, parece que no hay frenos y contrapesos".
No repetición
La solución que Duguin vislumbra para la no repetición, es una moratoria sobre la venta de softwares maliciosos. Esta duraría hasta contar con un marco regulatorio específico y los Estados desarrollen capacidades para una estricta supervisión de las exportaciones y el uso.
"La industria se encarga de todo, uno pensaría que el espionaje es conducido por el gobierno, pero al final del día es la industria la que decide qué se desarrolla, quién lo puede comprar, quién lo puede usar y quién puede espiar a quién".
El resultado de conceder dichos poderes a los productores, continúa, ha sido la creación de una estructura de negocios tan compleja como la de los paraísos fiscales, en la que resulta imposible seguir la pista a los vendedores, clientes, inversores y socios. Señala que frente a gobiernos, la industria goza de una posición de fuerza, al administrar tanto la oferta como los precios.
"Si la responsabilidad del espionaje para luchar contra el crimen y el terrorismo recae en el Estado, éste debería asegurar que los instrumentos que usa son compatibles con los derechos humanos y las leyes domésticas e internaciones; hoy no es el caso".
"El comportamiento malicioso avanza a velocidad de la luz, mientras que los gobiernos ni siquiera son capaces de responder a velocidad de la ley, porque las herramientas están ahí, pero no son puestas en la práctica".
El experto hace referencia a la estrategia de seguridad cibernética de la Unión Europea (UE), así como a las recomendaciones emitidas en marzo por el Grupo de Trabajo de Composición Abierto de Naciones Unidas (OEWG) en la esfera de la información y las telecomunicaciones.
Emily Taylor sostiene que es difícil ponerle alto a esta industria cuando hay suficientes clientes dispuestos a pagar el precio que se les imponga.
Dice que el embargo no es solución, tampoco considera probable un acuerdo internacional dirigido a imponer límites a estas tecnologías de espionaje. El freno está en el endurecimiento de las reglas de exportación y de control sobre su uso, así como garantizar que hay transparencia sobre la actividad de la industria, aunque esto genera un conflicto al interior de los Estados, al ser clientes en su actuación como garantes de la seguridad nacional. El cambio, señala Taylor, vendrá más bien de la presión que ejercerán los gigantes tecnológicos, debido a que sus intereses se están viendo afectados por el uso de un software que socava la seguridad de sus productos y la credibilidad ante sus clientes. "Empresas como Apple o WhatsApp suponen una amenaza más inmediata para NSO que los propios Estados, además de que tienen grandes bolsillos y son muy influyentes". "La forma de hacer negocios de quienes suministran estos poderosos instrumentos de espionaje los está colocando en dirección a una confrontación con algunas de las compañías más poderosas del mundo", indica.
Visibilidad
No obstante, el misterio que prevalece sobre el uso de estas tecnologías, las víctimas no están en la indefensión. En Europa es posible acudir al Tribunal de Justicia de la Unión Europea o a las cortes nacionales. El caso de los cuatro ejecutivos de las empresas de vigilancia francesa Amesys y Nexa Technologies inculpados en junio por complicidad en torturas en relación con la venta de tecnología a gobiernos de Libia y Egipto, es ejemplo de que estas empresas no están por encima de la ley. "Si eres víctima de Pegasus, ¿a quién acudes? ¿En dónde puedes quejarte? ¿Cómo puedes obtener reparación y justicia? Es responsabilidad de los Estados tener las capacidades para investigar y mostrar públicamente que las contramedidas legales funcionan", dice Duguin.
"Aunque es un proceso extremadamente difícil por la complejidad como operan estas corporaciones y porque los Estados en donde éstas operan no son muy elocuentes sobre cómo perciben este modelo de negocios", reconoce.
Lo importante, señalan los analistas, es alzar la voz y buscar el acompañamiento de Amnistía Internacional y CyberPeace Institute para evitar que el caso sea archivado como un expediente entre miles.