:format(jpeg)/s3.amazonaws.com/arc-authors/elespectador/24c6dc9b-7a53-4316-87fd-eaca85d91eed.png){kind=small}
El “Proyecto Pegasus” es una investigación en la que colaboran más de 80 periodistas de 17 medios desde 10 países. Durante varios días publicarán historias bajo la coordinación de la organización “Forbidden Stories”, analizando los hallazgos que hizo el laboratorio de seguridad digital de Amnistía Internacional al que le filtraron una lista de 50.000 números telefónicos que habrían sido objetivos de vigilancia estatal con el software “Pegasus”. Esta investigación habla de la urgencia de regular las facultades de vigilancia de los Estados que se abusan fácilmente y terminan alimentando una multimillonaria y oscura industria.
La investigación identificó los celulares vigilados y no encontró a los criminales más buscados o terroristas más miedosos, sino a cientos de periodistas, dirigentes políticos -incluidos tres primeros ministros y un rey-, activistas e investigadores de una decena de países como México, Arabia Saudita, India o Azerbaiyán.
“Pegasus”, es un software que la firma israelí NSO Group comercializa solo para Estados. Es similar a “Galileo”, software que el Estado colombiano compró en 2013 y habría estado negociando nuevamente en 2015 con la empresa italiana Hacking Team. Estos softwares son “herramientas de control remoto” que usualmente funcionaban así: la víctima recibe un correo o mensaje de texto que puede estar muy bien personalizado según sus intereses -para ser eficaz- pues incluye la invitación a abrir un archivo o enlace que está contaminado. Si la víctima cae en la trampa, su dispositivo es infectado con un software de control remoto que, precisamente, toma control del aparato pudiendo escuchar sus llamadas, tomar fotos, grabar videos, escarbar archivos, enviar correos en su nombre, etcétera.
Atención, digo “funcionaban” porque por CitizenLab ya sabíamos que en ocasiones versiones de Pegasus se instalaban incluso sin que la víctima abriera un archivo o enlace. Los nuevos métodos de infección son “Zero Click”, se activan sin participación de la víctima, por ejemplo, solo requieren que una llamada suene en el dispositivo. Para lograr esto, los victimarios aprovecharon vulnerabilidades previamente desconocidas (0days), en servicios como WhatsApp o en sistemas operativos como iOS -antes de la versión 14-. Si el software de su dispositivo está desactualizado, ¡actualícelo ya mismo, y hágalo con frecuencia!
Empiezo por reiterar que la función de vigilancia estatal es importante y necesaria, queremos un Estado con las suficientes capacidades para protegernos, sin embargo hay que pensar esas facultades como si fueran la sal, es necesaria pero solo un poco, exagerar en su uso tiene resultados desastrosos. La vigilancia estatal contribuye a la seguridad y la estabilidad, pero su abuso amenaza la intimidad, la libertad de expresión, el derecho de asociación y reunión, tiene efectos inhibidores en la expresión y en general es la contradicción de los valores democráticos.
El nuevo escándalo no dirá tecnológicamente nada nuevo, lo que sí hará será entregarnos las historias y las explicaciones que recogen, materializan y explican el alcance ilegítimo de este “hackeo de Estado” contra personas que ejercen su ciudadanía y por tanto no deberían ser objetivos de vigilancia. Ahora bien, de todo lo que se puede decir hay algo en lo que los diferentes análisis coinciden, las capacidades que ofrecen estos softwares de control remoto, son tan exageradas, tan difíciles de investigar y tan fáciles de abusar que ya no hay excusa para que no hablemos de su regulación, incluso para debatir si debemos prohibirlas.
La investigación evidencia que existe una floreciente y muy rentable industria internacional que comercializa herramientas de vigilancia a los Estados. Por ejemplo, recientemente Citizen Lab desveló la existencia de Candiru, otra empresa israelí que vende software de espionaje a los Estados. En la lista de precios de su catálogo se incluye lo que parece ser un servicio de instalación de un troyano con una vulneración de día cero (0day, que no se ha reportado al fabricante) que cuesta la módica suma de seis millones de euros.
Este ejemplo no solo me deja preguntas sobre quiénes tienen la capacidad de adquirir las herramientas y la competencia que debe haber por dominarlas, sino que habla de una “industria mercenaria”, un negocio que desconoce sus responsabilidades de derechos humanos, no es transparente, ni rinde cuentas. De hecho, David Kaye -antiguo relator de libertad de expresión de la ONU- y Marietje Schaake - antigua parlamentaria europea- han dicho que la comunidad internacional tiene un desafío, debería crear un código de conducta global que frene la proliferación de estas herramientas represivas que atentan contra la democracia.
¿Qué pasa en el vecindario? México es el país que está en la mira de esta investigación y obliga a recordar que, de acuerdo con un reciente informe de AlSur, en América Latina las funciones de vigilancia cuentan con legislaciones que protegen la intimidad, sin embargo, lo hacen con estándares de la era pre internet, no se han actualizado. En general desarrollan controles vagos y solo políticos, sin que contemos con datos sobre su eficacia. Los controles judiciales o independientes (por organismos autónomos) brillan por su ausencia, aunque ya han hecho carrera en Europa, por ejemplo.
En Colombia cada tanto tenemos un escándalo por abuso de las facultades de vigilancia que se usan contra periodistas, defensores de derechos humanos, opositores políticos, líderes sociales, activistas, etcétera. Como en la región, en Colombia tampoco hemos regulado bien todos los casos de vigilancia en lo digital. Eso sí, nuestra Constitución solo autoriza la interceptación de comunicaciones en materia de investigación penal -no hay facultades de este tipo para la inteligencia-. Las actividades de inteligencia desde 2013 cuentan con un control político que debería ejercer una comisión legal del Congreso -comisión que hasta la fecha tan solo se ha reunido un par de veces con resultados mínimos de control-, no existe control judicial y sí mucho secretismo asociado con la “seguridad nacional”.
Es decir, localmente también se requiere abrir la discusión sobre los límites a estas actividades en la era de internet. Evaluar y corregir en la práctica el control político, desarrollar controles judiciales y fortalecer las funciones de la autoridad de protección de datos que no debería tener vedas para investigar a la inteligencia y que en Colombia exige hablar también de la Procuraduría, que debe actuar como la autoridad que puede sancionar a quienes trabajan con el Estado. Además, deberíamos poder incorporar acciones judiciales y administrativas directas para que las personas puedan acceder y conocer información sobre si fueron vigiladas por las autoridades. ¿Se le medirá el Congreso a aprovechar el momento internacional de debate y concientización?