Dado el momento intenso que se vive alrededor de este tema, en el que han intervenido los gobiernos de Israel, Colombia y Estados Unidos, vale la pena volver atrás y recordar las razones por las que el gobierno de Estados Unidos sancionó a NSO Group, presentar a Pegasus desde una perspectiva objetiva. Finalmente, es importante recordar la situación geopolítica mundial actual frente al spyware, en la que los gobiernos deberán en el futuro mediato tomar decisiones mediante las que expresarán su aprobación o su rechazo a la proliferación y uso de spyware comercial.
Sanciones de EE. UU. contra NSO Group
En noviembre de 2021, el Departamento de Comercio de EE. UU. añadió a NSO Group a la Lista de Entidades, una lista de restricciones comerciales, debido a actividades consideradas contrarias a los intereses de seguridad nacional y política exterior de los Estados Unidos. Esta acción impone efectivamente sanciones que limitan el acceso de la empresa a tecnología y mercados estadounidenses. La decisión se basó en pruebas de que NSO Group desarrolló y suministró software espía a gobiernos extranjeros, quienes luego utilizaron estas herramientas contra funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas.
El gobierno de EE. UU. destacó específicamente el uso de Pegasus para la “represión transnacional,” una práctica en la cual los gobiernos autoritarios atacan a disidentes, periodistas y activistas fuera de sus fronteras. Esta supresión de la disidencia representa una amenaza significativa para el orden internacional.
Pegasus: Una herramienta para el bien y el mal
Sin embargo, el potencial de abuso es inherente a una herramienta tan poderosa. Las mismas capacidades que hacen a Pegasus eficaz en investigaciones legítimas también lo convierten en un arma formidable para regímenes represivos. Los gobiernos pueden explotar Pegasus para monitorear y silenciar a críticos, figuras de la oposición y defensores de derechos humanos sin el debido proceso. El Pegasus Project, una investigación periodística internacional, expuso un patrón alarmante de tales abusos, identificando miles de posibles objetivos de Pegasus, incluidos periodistas, activistas y políticos en numerosos países del mundo.
La necesidad de regulación y supervisión
Las sanciones del gobierno de EE. UU. contra NSO Group, junto con las revelaciones del Pegasus Project, subrayan la necesidad urgente de una mayor regulación y supervisión de la industria de software espía. Si bien las tecnologías de vigilancia potentes como Pegasus pueden ser beneficiosas en la lucha contra el crimen y el terrorismo, su potencial de abuso es innegable. El desafío actual radica en encontrar un equilibrio entre aprovechar estas herramientas para fines legítimos y proteger los derechos humanos fundamentales y los valores democráticos. Alcanzar este equilibrio requiere una cooperación internacional sólida, transparencia de las empresas tecnológicas y un compromiso firme de los gobiernos para asegurar el uso responsable y ético de tecnologías tan poderosas.
¿Es justificada la controversia?
Diferentes técnicas de interceptación de comunicaciones han sido usadas en América Latina desde mediados de la década de 1950. Inicialmente, estas prácticas eran rudimentarias y se realizaban mediante acceso físico a las líneas telefónicas. Con el tiempo, se profesionalizaron y modernizaron gracias a avances tecnológicos, como la llegada de la telefonía digital y las redes celulares en la década de 1990.
Las técnicas más comunes de interceptación telefónica, a lo largo de las décadas, han sido las siguientes:
- Pinchazo o acceso a líneas analógicas: Esta técnica era común en la telefonía fija tradicional. Implicaba la conexión física a una línea telefónica para escuchar o grabar conversaciones.
- Uso de estaciones de monitoreo: Con la digitalización de las redes, las autoridades comenzaron a emplear estaciones de monitoreo equipadas con tecnología que permitía interceptar llamadas directamente desde las centrales telefónicas.
- Intercepción en redes celulares (IMSI Catchers): Dispositivos como los IMSI catchers (por ejemplo, el StingRay) simulan ser torres celulares y permiten captar el tráfico de comunicaciones móviles, incluidos mensajes y llamadas, en tiempo real.
- Colaboración con operadores de telecomunicaciones: En muchos países de América Latina, las autoridades trabajan directamente con las empresas de telecomunicaciones para acceder a las comunicaciones de ciertos individuos mediante órdenes legales.
Estas técnicas son utilizadas por autoridades de todos los países y no hay en realidad discusión alguna acerca de su necesidad para combatir diferentes formas de delincuencia. De vez en cuando, afortunadamente no con frecuencia, aparecen casos en los que el teléfono de alguien es monitoreado sin orden judicial, pero esto ocurre más de manera excepcional, obviamente hablando de los países que respetan el rule of law.
Lógicamente Pegasus tiene un alcance que va mucho más allá de una simple interceptación telefónica, permitiendo al operador acceder a fotografías, mensajes de texto, email y otras clases de datos (en reposo) de la víctima. Pero el concepto es el mismo: un uso intrusivo de la tecnología que puede ser hecho legalmente si se sigue el debido proceso, que puede ser diferente en cada país.
¿Entonces por qué el escándalo si desde siempre han existido tecnologías que permiten la interceptación de, y el acceso a, comunicaciones ajenas?
Probablemente sea por razones políticas. Que las autoridades de un país hayan adquirido la herramienta no quiere decir por defecto que la utilizaron de forma ilegal, que atacaron los dispositivos de la oposición o de periodistas contrarios al gobierno. Ojalá (con seguridad así será) las investigaciones judiciales sobre el uso de Pegasus sean adelantadas con imparcialidad y el más alto nivel de profesionalismo.
El escenario multilateral
Esto nos lleva a un tema de un nivel más alto, que tiene que ver con la postura real de los gobiernos frente a la proliferación de spyware comercial. Por un lado, tenemos a Estados Unidos en donde el Presidente firmó la Orden Ejecutiva Prohibiendo el Uso de Spyware Comercial Que Represente Riesgos a la Seguridad Nacional. Además, el gobierno americano publicó, junto con otros 45 gobiernos, los Principios Guía sobre el Uso Gubernamental de Tecnologías de Vigilancia que fue definida por consenso por los entonces 36 miembros de la Freedom Online Coalition. Al tiempo, los gobiernos del Reino Unido y Francia lanzaron el Pall Mall Process, cuyo objetivo fundamental es el “Abordar la Proliferación y el Uso Irresponsable de Capacidades Comerciales de Intrusión Cibernética”.
De América Latina, solamente Argentina, Chile, Colombia, Costa Rica y México hacen parte del Freedom Online Coalition (no hay información pública acerca de qué países de la región participaron activamente en la redacción de los Principios Guía mencionados arriba). Y ningún país de la región participa o ha participado en el Pall Mall Process.
Y, frente a estas dos iniciativas, tenemos la Convención de Cibercrimen de Naciones Unidas, que tristemente evita prohibir la proliferación y el uso comercial de herramientas de spyware (incluso teniendo en cuenta los human rights safeguards que fueron incluidos en su texto, que básicamente son de libre elección por parte de los estados miembro). Sobre esto, vale la pena leer un excelente artículo de Lawfare sobre el tema. Y, para hacer las cosas más claras aún, conviene recordar una Declaración Conjunta Para Contrarrestar la Proliferación y el Uso Indebido de Spyware Comercial publicada por Estados Unidos junto con otros 11 gobiernos el 11 de marzo de 2024, actualizada dos veces desde entonces y en la que, de la región, participa solamente Costa Rica – ningún otro gobierno Latinoamericano la ha suscrito a la fecha.
Entonces, hay mucho ruido mediático porque un país descubrió que una administración anterior adquirió y usó Pegasus, junto con una participación regional casi totalmente ausente de tres de las más relevantes iniciativas gubernamentales globales contra el spyware comercial.
¿Qué viene ahora? La votación en Naciones Unidas en las que los estados miembros adoptarán el texto de la convención, tras lo que cada país puede entrar a ratificar y suscribir el tratado. Será muy interesante ahora observar cómo cada gobierno define su posición, como lo ha hecho ya el gobierno americano al declarar que es poco probable que firme o ratifique a menos de que vea la implementación de protecciones significativas de derechos humanos y otras garantías legales por parte de los signatarios de la Convención.
¿Algún gobierno de América Latina se pronunciará de forma similar? ¿Lo harán solamente después de leer notas como esta o lo harán, si es que lo hacen, gracias a su propio análisis? ¿Habrá algún gobierno que critique a sus antecesores por usar Pegasus pero mantenga silencio frente a las preocupaciones de derechos humanos de la Convención de Cibercrimen y vote aprobando la adopción de su texto sin ninguna clase de reserva o comentario?
Amanecerá y veremos.
Carlos Alvarez
blogladooscuro @ gmail.com