Por: Carolina Botero Cabrera

Malware de Gobierno

El malware Galileo, que comercializaba Hacking Team entre agencias de inteligencia no es un malware cualquiera. Las características de este tipo de software tiene abierta la polémica sobre su uso por gobiernos.

Galileo es un CNE (computer network exploitation) que Hacking Team personaliza a petición del cliente (agencia de inteligencia) con base en el perfil del objetivo. Difícilmente, el blanco del ataque lo puede evitar, pues se esconde en correos y archivos reales. Una vez infectado, el equipo es controlado remotamente, los agentes pueden acceder indiscriminadamente a la información del dispositivo e instalarle programas y archivos, también pueden recopilar, retener y usar incontables datos personales. Además de los riesgos a la intimidad que se avizoran, los CNE pueden usarse para sembrar evidencia y para afectar la reputación de las personas que no pocas veces son solo contradictores.

Ya en 2008 la Corte alemana señaló que no pueden usarse sin orden judicial y que la integridad de las comunicaciones es un derecho. Por documentos desclasificados se supo que el FBI creía poder usarlas sin perjuicio de la cuarta enmienda. Sin embargo, hay jueces que han negado autorizaciones y hay académicos estadounidenses pidiendo regular el “malware del gobierno”. En Inglaterra, en respuesta a la regulación sobre “interferencia de equipos”, organizaciones de la sociedad civil no solo cuestionaron la norma, también afirman que aún no se ha establecido que haya argumentos que justifiquen el uso de CNE por inteligencia.

A raíz de la filtración de Hacking Team, la policía colombiana reconoce que tiene CNE desde 2013, sin mencionar el marco legal que soporta su uso, lo que sí sabemos es que tanto el acceso abusivo a sistemas informáticos, como el desarrollo y circulación de software malicioso son delitos (269E y 269F, Ley 1273/09).

Las relatorías de libertad de expresión desde 2011 han pedido cautela. Recientemente, el Relator de la OEA publicó una nueva declaración, donde se lee: “el uso de programas o sistemas de vigilancia en las comunicaciones privadas debe estar establecido de manera clara y precisa en la ley, ser verdaderamente excepcional y selectivo, y estar limitado en función a lo estrictamente necesario para el cumplimiento de fines imperativos”. Seguimos rajados en derechos humanos. 

Buscar columnista