El proceso Pall Mall es una iniciativa lanzada por el Reino Unido y Francia en febrero de 2024 para abordar la proliferación y el uso irresponsable de herramientas y servicios de intrusión cibernética de origen comercial.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
Este tipo de herramientas han protagonizado escándalos reales. El caso de Pegasus, el software espía del israelita NSO Group, es quizás el más conocido: se usó para espiar a periodistas, defensores de derechos humanos y figuras políticas en México, El Salvador, Arabia Saudita y otros países (incluida Colombia). Las denuncias sobre vigilancia a través de herramientas digitales han circulado en medios y organizaciones por años. En este contexto, no es menor que algunos gobiernos reconozcan el problema y propongan al menos discutir cómo actuar frente a él –ojalá Colombia incluyera esta discusión en su agenda–.
Este tipo de capacidades han generado graves preocupaciones por sus impactos en la seguridad nacional, los derechos humanos y la estabilidad del ciberespacio. La iniciativa propone un espacio multilateral y multisectorial para regular lo que, en la práctica, ya ocurre: el uso de herramientas digitales altamente invasivas, creadas y vendidas por empresas privadas, que permiten acceder y/o controlar dispositivos sin el conocimiento de la persona usuaria.
El proceso ya produjo dos documentos: El primero, una Declaración (febrero de 2025), y el segundo, el Código de Buenas Prácticas para los Estados (abril 2025). Ambos son instrumentos voluntarios, no vinculantes. Aunque es positivo que los Estados asuman compromisos, el alcance real dependerá, como siempre, de su implementación. Lo llamativo es que, a pesar del aparente carácter global, la participación latinoamericana es casi nula. Solo Costa Rica firmó la Declaración y ningún país de la región suscribió el Código. Tampoco se espera que Estados Unidos lo haga.
Desde la sociedad civil, una pregunta constante ha sido si estas herramientas son siquiera compatibles con los derechos humanos. Hace más de una década, desde la Fundación Karisma nos preguntamos si regular las CCIC era posible o si, por su propia naturaleza, deberían ser consideradas ilegales. Aunque creo que muchas de estas capacidades son incompatibles con las normas internacionales, la realidad nos pone ante un mercado activo, tolerado y en expansión. Los Estados las utilizan y no parecen dispuestos a renunciar a ellas.
El enfoque del proceso Pall Mall parte de ese realismo: ya que existen, regulemos su uso. Frente a esta posición, desde la sociedad civil debemos mantener una postura firme: si es ingenuo abogar por la eliminación total de estas herramientas, debemos exigir que cualquier regulación vaya más allá del reconocimiento de un mercado existente. El desafío es construir normas que restrinjan, controlen y limiten el uso de estas tecnologías, en lugar de legitimarlas. En este sentido, el Código de Buenas Prácticas da un primer paso, pero se queda corto frente a los estándares de derechos humanos internacionales y no recoge todas las propuestas de la relatora de la ONU contra el terrorismo en su informe de posición sobre este tema de 2023.
El Código hace un llamado a los Estados a actuar conforme a los derechos humanos y a los marcos de conducta responsable adoptados en las Naciones Unidas. Sin embargo, todavía tiene importantes debilidades. Reconoce la importancia de la rendición de cuentas y la supervisión, pero necesita incorporar más valores, como la transparencia y la proporcionalidad. Al ser voluntario, mucho de esto dependerá de los propios Estados. En la práctica el código no será el que consiga imponer límites concretos, no traza las líneas rojas, ni define sanciones. Se debe apuntar también que algunos términos, como “uso responsable” o “uso legítimo”, siguen siendo demasiado vagos para generar estándares claros, habrá que esperar cómo avanzan. Por último, queda pendiente abordar los temas más allá del mercado privado, por ejemplo para pensar en cómo regular las capacidades desarrolladas por los propios Estados.
En resumen, el proceso Pall Mall representa un intento por abordar una de las amenazas más complejas del entorno digital contemporáneo. Su principal valor es poner el tema sobre la mesa y encontrar un consenso mínimo entre algunos Estados. Sin embargo, su eficacia dependerá de si logra avanzar hacia regulaciones más ambiciosas y vinculantes. En los próximos meses, además, se espera que el proceso continúe con un código de conducta para las empresas proveedoras de CCIC, una etapa que será más contenciosa.
Quiero cerrar con una nota de optimismo. En una movida reciente, el regulador de comunicaciones del Reino Unido, Ofcom, prohibió a los operadores móviles arrendar “Global Titles” (GTs) a terceros. Estos identificadores, utilizados para enrutar señales en las redes móviles, los aprovechan actores maliciosos para interceptar llamadas y mensajes, rastrear ubicaciones o acceder a datos sensibles como códigos bancarios. Esta medida apunta a cerrar una vulnerabilidad crítica del sistema de telecomunicaciones y puede leerse como una señal del compromiso británico con el espíritu del proceso Pall Mall.
