Múltiples gobiernos europeos están utilizando herramientas de vigilancia avanzadas para espiar a su propia gente, según un nuevo informe del Parlamento Europeo. “Los Estados miembros de la Unión Europea han estado utilizando software espía contra sus ciudadanos con fines políticos y para encubrir corrupción y actividad delictiva”, se lee en el informe. “Algunos fueron incluso más allá e instalaron software espía de un sistema diseñado deliberadamente para regímenes autoritarios”.
El Parlamento Europeo comenzó esta indagación después de la publicación en 2021 del Proyecto Pegasus, una investigación sobre software espía conducida por 16 medios de comunicación de todo el mundo. Los reporteros descubrieron que los gobiernos habían seleccionado como objetivos más de 50 mil números de teléfono en todo el mundo utilizando la herramienta de vigilancia Pegasus, fabricada por la empresa israelí NSO Group. Las personas en la lista incluían editores y reporteros de CNN, The New York Times, Reuters y France 24, así como activistas de derechos humanos, abogados y personas cercanas a Jamal Khashoggi, el periodista asesinado por el gobierno de Arabia Saudita en 2018. El informe deja claro que, aunque escuchamos con mayor frecuencia que esta tecnología es utilizada por gobiernos autoritarios como China e Irán, las democracias también se involucran en abusos de spyware. Reducir el daño de la vigilancia en todo el mundo requiere confrontar esta realidad y presionar a las democracias para que mantengan un estándar de comportamiento más alto.
El spyware hace posible rastrear y extraer secretamente información de un dispositivo. Una vez que el software accede al teléfono o la computadora del objetivo, quienquiera que lo haya instalado puede extraer mensajes de texto y correos electrónicos, descargar todas las fotos en el dispositivo e incluso rastrear su ubicación GPS. Este software espía –a menudo denominado “stalkerware“– ha sido utilizado para vigilar, atormentar e incluso dañar físicamente a otras personas, incluidas sus parejas actuales y anteriores. (Es inquietante que 1 de cada 10 estadounidenses admite haber instalado stalkerware en el dispositivo de su pareja o ex, según una encuesta de NortonLifeLock de 2020). Los gobiernos también usan spyware, observando en silencio a sus objetivos para una variedad de propósitos policiales, de inteligencia y/o represivos.
Pegasus, el tema principal del reporte, permite a los usuarios extraer silenciosamente contraseñas, listas de contactos, eventos del calendario, mensajes de texto, llamadas de voz en vivo y otros datos del teléfono de un objetivo. Incluso deja que el operador del software encienda la cámara y el micrófono del teléfono para observar a la persona y su entorno. Y olvídate de engañar a una persona para que haga clic en un enlace; Pegasus puede aprovechar las debilidades de “clic cero” para instalar el malware sin ninguna interacción del usuario, lo que hace que sea prácticamente imposible que la persona promedio sepa cuándo comienzan a observarlo.
Notoriamente, NSO Group, la compañía que fabrica Pegasus, muestra cero respeto por los derechos humanos. El Citizen Lab de la Universidad de Toronto ha publicado numerosas investigaciones que revelan el uso de Pegasus por parte de gobiernos represivos de todo el mundo, afectando a un defensor de los derechos humanos de los Emiratos Árabes Unidos, un activista saudita y más; los partidarios del impuesto a los refrescos en México incluso fueron blanco de lo que podría haber sido un actor comercial. Los miembros del Parlamento Europeo tenían muchas razones, entonces, para estar muy preocupados cuando el Proyecto Pegasus 2021 destacó el ataque a los ciudadanos europeos.
Si bien uno podría imaginar casos legítimos de uso de spyware –por ejemplo, dirigido a funcionarios extranjeros con fines tradicionales de espionaje, cuidadosamente controlados y supervisados–, las actividades detalladas en el informe del Parlamento Europeo destacan la vigilancia antidemocrática diseñada para reprimir la expresión y la competencia política. Se descubrió que funcionarios polacos compraron Pegasus en 2017, en parte utilizando fondos destinados a las víctimas de delitos, para dañar a numerosas figuras de la oposición con el spyware. El gobierno húngaro compró Pegasus en 2017 después de reunirse con el primer ministro polaco Mateusz Morawiecki y el exprimer ministro israelí Benjamin Netanyahu. Aunque afirman que se usó por razones puramente de seguridad nacional, las autoridades húngaras atacaron a más de 300 personas, desde abogados y periodistas hasta empresarios de alto perfil, activistas y un político de la oposición, según el informe.
La lista continúa: personal de seguridad en Grecia compró un software espía llamado Predator, que se cree que pertenece a la compañía Cytrox de Macedonia del Norte, y lo usó contra figuras políticas a nivel nacional. Los funcionarios de Chipre adquirieron tecnología de vigilancia de la empresa europea Intellexa Alliance, una aparente organización paraguas para Cytrox y, según se informa, rastrearon ilegalmente a más de 9.5 millones de dispositivos móviles. Las autoridades españolas parecen haber espiado a personas en Cataluña con Pegasus de NSO Group.
Los gobiernos podrían haber adquirido estas tecnologías de spyware para investigar amenazas de ataques extremistas violentos o perseguir delitos reales. También podrían haberlo usado para lo que parece ser un espionaje tradicional de un país a otro: por ejemplo, las autoridades marroquíes supuestamente atacaron al primer ministro español, al ministro de Defensa y al ministro del Interior usando Pegasus. En cambio, el informe indica que muchos de estos gobiernos europeos compraron software espía en silencio, específicamente para atacar a los críticos y opositores en casa.
Los investigadores no se anduvieron con rodeos: los autores del informe escribieron que el abuso del spyware “expone sin piedad la inmadurez y la debilidad de la UE como entidad democrática”. El “mercado interno y la libre circulación” de la UE han beneficiado el comercio de spyware, dice el informe, y algunos proveedores incluso utilizan la frase “regulado por la UE” para enmascarar sus actividades de vigilancia no reguladas como controladas de manera responsable, lo que ciertamente no es así. A pesar de que algunos de los hallazgos del informe ya se habían informado, sigue siendo un recordatorio fuerte y, para algunos, impactante. Aunque Estados Unidos y los países europeos hablen de “tecnodemocracia” y la importancia de la privacidad, los gobiernos democráticos también abusan del spyware.
Existe una diferencia clara y considerable entre el spyware y los abusos de vigilancia en los países democráticos y los de muchas autocracias. El parlamento de Rusia, esencialmente un apéndice del régimen de Putin, nunca llevaría a cabo ninguna investigación real sobre los abusos de vigilancia del gobierno. Tampoco hay un mundo en el que este tipo de investigación de varios cientos de páginas sobre los abusos de la privacidad impulsados por el Estado suceda en la China moderna. El estado de derecho y la existencia de medios relativamente independientes, entre muchos otros factores, brindan mucho más espacio para el escándalo y la reforma.
Pero esa es exactamente la razón por la cual el informe de la UE sobre abusos de spyware es un recordatorio vital. Algunos gobiernos nominalmente democráticos están utilizando spyware para atacar a políticos de la oposición, periodistas y otras personas con el falso pretexto de luchar contra el crimen o proteger la seguridad nacional. Esto socava la privacidad y la expresión política. También mina los mensajes de las democracias sobre la lucha contra la vigilancia autocrática. Y, al hacerlo, algunos de estos gobiernos están ayudando a impulsar un mercado de herramientas de vigilancia y ayudando a pagar, aquí, una empresa ampliamente conocida por vender la misma tecnología a los opresores. El informe en realidad elogió al gobierno de Estados Unidos por sus acciones contra el software espía, aunque los funcionarios estadounidenses aún pueden hacer más a nivel nacional y también deberían aumentar sus esfuerzos con socios en Europa y en otros lugares para garantizar que este tipo de actividades no ocurran.
Controlar esta tecnología es extremadamente difícil, ya que los tipos de controles de exportación que los gobiernos imponen a los bienes físicos, como armas y productos químicos, no se traducen de la misma manera en un software. Pero para luchar por proteger la privacidad en la era moderna, las democracias también deben poner sus propias casas en orden.
Este artículo es publicado gracias a una colaboración de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
es estudiante en la universidad de Duke, miembro del Duke Center on Law & Techonology y asociado de políticas de ciberseguridad en New America.
