El ministro (E) de Justicia exhibió pruebas de la contaminación de su teléfono con el software espía Pegasus y señaló que la orden para espiarlo habría sido emitida desde el interior del Ministerio de Defensa, coincidiendo con las investigaciones que, en su momento, adelantaba el entonces secretario de Transparencia sobre presuntos hechos de corrupción en las Fuerzas Armadas. Aunque parezca arando en un desierto, insisto en la necesidad de regular este tipo de herramientas.
En respuesta a las acusaciones, el ministro de Defensa negó la existencia de seguimientos ilegales y afirmó, además, que Pegasus dejó de utilizarse en 2022. Efectivamente en 2024 nos enteramos que en 2022, durante el gobierno de Iván Duque, Estados Unidos adquirió Pegasus para nuestra inteligencia militar, dijo que lo hacía para apoyar la lucha contra el narcotráfico. Su uso habría sido suspendido posteriormente porque Estados Unidos concluyó que ese software era riesgoso en materia de derechos humanos.
Es de esperarse que se inicie una investigación que partirá del informe con detalles técnicos elaborado por una firma forense reconocida, y de la orden de inteligencia militar que acompaña las afirmaciones del ministro (E) de Justicia. Pero además debería servir para promover la regulación sobre el uso de este tipo de herramientas por los Estados.
Empezaré por decir que en el mundo se piensa la regulación respondiendo a la pregunta de cómo evitar que esa tecnología sea abusada. Hagamos un paneo de lo que está pasando haciendo énfasis en Pegasus como la más conocida.
En 2022, tras las revelaciones del Pegasus Project, que evidenciaron el uso de esta herramienta en Europa para espiar a periodistas, opositores políticos y defensores de derechos humanos, se creó un comité en el Parlamento Europeo para investigar los hechos. Aunque el informe con sus recomendaciones se publicó en 2023, los avances han sido escasos. La Comisión Europea no ha impulsado acciones concretas al considerar que la regulación corresponde a los Estados miembros, mientras que el Parlamento Europeo prevé crear un “grupo de interés contra el uso ilegal del software espía”. Esta iniciativa presenta al menos dos limitaciones: se restringe al uso calificado como “ilegal” y, al ser un grupo informal, no conlleva compromisos regulatorios vinculantes.
La iniciativa Pall Mall impulsada por el Reino Unido y Francia en 2024 es un proceso global para autoimponerse normas frente a los riesgos y amenazas que suponen las herramientas y servicios de intrusión cibernética de origen comercial. Aunque tiene el valor de poner los temas sobre la mesa, su incapacidad para imponer reglas a esa poderosa industria termina favoreciéndola. No las obliga jurídicamente y tienen un amplio margen de interpretación que se ajusta a cualquier contexto político. Además, la participación de América Latina es mínima y Estados Unidos tampoco se ha involucrado.
A primera vista Estados Unidos parece tener una posición más firme: restringió en 2023 el uso de software espía comercial mediante una orden ejecutiva, invocando razones de seguridad nacional y derechos humanos, además tiene una lista negra de proveedores en la que está el NSO Group -responsable de Pegasus-. Sin embargo, la prohibición no es total, se refiere a su uso contra ciudadanos estadounidenses y en operaciones que involucren la violación de derechos humanos. Además, mantiene excepciones para fines de inteligencia considerados legítimos. E incluso el gobierno de Trump ha dado señales de flexibilizarla aún más: retiró las sanciones a algunos ejecutivos de la proveedora Intellexa, por ejemplo.
En ese escenario también hay que ver que NSO Group ha hecho cambios para revertir la sanción -fue adquirida por un fondo de inversión gringo y su nuevo director es de ese país- y como ha hecho desde 2022 publicó su “Informe de transparencia de 2025”. Sin embargo, las críticas se mantienen porque para muchos el documento parece más una lista de afirmaciones sin sustento, sin datos que permitan comprobar sus compromisos ni servir de herramienta para hacer seguimiento a la acción estatal. Conviene recordar que el modelo de negocio de NSO Group se basa en contratos exclusivos con Estados y en un software cuya operación implica la participación directa de la empresa, que conoce qué países lo utilizan, cómo lo hacen y bajo qué condiciones, por lo que esa información es clave para cualquier iniciativa de control.
Es evidente que sin importar la evidencia de los abusos, no existe una apuesta seria por regular y controlar estas herramientas, tampoco en Colombia. Tengo pocas esperanzas de que lleguemos a tener más información sobre lo sucedido con el celular del ministro (E) de Justicia. Pero sobre todo lo que me parece más frustrante es que, a pocos meses de la finalización de este gobierno, no parece que haya sospecha o evidencia que consiga impulsar al menos la reflexión al estilo del Pall Mall, mucho menos acciones hacia una regulación clara, efectiva y democrática de las capacidades tecnológicas de espionaje por el Estado.
