Las capacidades cibernéticas defensivas y ofensivas desarrolladas por compañías como la israelí NSO seguirán formando parte del arsenal de espionaje de regímenes autoritarios en tanto existan firmas sin escrúpulos dispuestas a transferir su sofisticada tecnología al mejor postor.
En la actualidad, el único que puede impedir que un software similar a Pegasus sea aplicado en el lado oscuro del ciberespionaje mundial, es el país responsable de avalar la licencia de exportación, Israel, en este particular.
Más allá de este trámite, por lo regular realizado sin el rigor requerido, no hay instrumento que imposibilite la transferencia de estas armas digitales, mucho menos existe una instancia encargada de supervisar el quebrantamiento de la licencia de exportación, dicen expertos consultados por El Universal.
Una investigación patrocinada por la plataforma Forbidden Stories y Amnistía Internacional, y en la que participaron varios medios internacionales, reveló que más de 50 mil activistas, políticos y periodistas fueron espiados durante años por regímenes que adquirieron el software Pegasus.
Stéphane Duguin, director general del CyberPeace Institute, afirma que en tanto este mercado continúe operando como en la actualidad, seguirá habiendo una amenaza sistemática a las garantías individuales.
“No habrá seguridad, dignidad y equidad en el ciberespacio en tanto continúe este modelo de negocio, un modelo sin control, sin claro escrutinio.
“La proliferación de herramientas de ICT [tecnologías de la información y comunicación] no es más una teoría, sino una realidad”, apunta.
Emily Taylor, investigadora asociada del Programa de Seguridad Internacional del centro de investigación londinense Chatham House, llega a una conclusión similar. “Lo que nos dice este escándalo es que el mundo de la industria privada que ofrece spyware a una amplia gama de clientes y al mejor postor, tiene muy poca consideración sobre si la venta implica un riesgo de derechos humanos”.
“Estoy realmente horrorizada, ¿cuáles son las reglas que rigen a esta industria? ¿Qué controles usan las empresas para elegir quién recibe este poderoso ciberarmamento? Por el momento, parece que no hay frenos y contrapesos”.
No repetición
La solución que Duguin vislumbra para la no repetición, es una moratoria sobre la venta de softwares maliciosos. Esta duraría hasta contar con un marco regulatorio específico y los Estados desarrollen capacidades para una estricta supervisión de las exportaciones y el uso.
“La industria se encarga de todo, uno pensaría que el espionaje es conducido por el gobierno, pero al final del día es la industria la que decide qué se desarrolla, quién lo puede comprar, quién lo puede usar y quién puede espiar a quién”.
El resultado de conceder dichos poderes a los productores, continúa, ha sido la creación de una estructura de negocios tan compleja como la de los paraísos fiscales, en la que resulta imposible seguir la pista a los vendedores, clientes, inversores y socios. Señala que frente a gobiernos, la industria goza de una posición de fuerza, al administrar tanto la oferta como los precios.
Emily Taylor sostiene que es difícil ponerle alto a esta industria cuando hay suficientes clientes dispuestos a pagar el precio que se les imponga.
Dice que el embargo no es solución, tampoco considera probable un acuerdo internacional dirigido a imponer límites a estas tecnologías de espionaje.
El freno está en el endurecimiento de las reglas de exportación y de control sobre su uso, así como garantizar que hay transparencia sobre la actividad de la industria, aunque esto genera un conflicto al interior de los Estados, al ser clientes en su actuación como garantes de la seguridad nacional.
Visibilidad
No obstante, el misterio que prevalece sobre el uso de estas tecnologías, las víctimas no están en la indefensión.
En Europa es posible acudir al Tribunal de Justicia de la Unión Europea o a las cortes nacionales. El caso de los cuatro ejecutivos de las empresas de vigilancia francesa Amesys y Nexa Technologies inculpados en junio por complicidad en torturas en relación con la venta de tecnología a gobiernos de Libia y Egipto, es ejemplo de que estas empresas no están por encima de la ley. “Si eres víctima de Pegasus, ¿a quién acudes? ¿En dónde puedes quejarte? ¿Cómo puedes obtener reparación y justicia? Es responsabilidad de los Estados tener las capacidades para investigar y mostrar públicamente que las contramedidas legales funcionan”, dice Duguin.
Lo importante, señalan los analistas, es alzar la voz y buscar el acompañamiento de Amnistía Internacional y CyberPeace Institute para evitar que el caso sea archivado como un expediente entre miles.