¿Cómo nos afecta a los ciudadanos el uso de herramientas de cibervigilancia?
Los casos asociados con la empresa NSO y su herramienta Pegasus han abierto un controvertido debate sobre el uso de herramientas de hacking, cibervigilancia o ciberespionaje en el seno de la Unión Europea. Tras haberse visto afectados distintos personajes relevantes a nivel mundial, se hace necesario extraer conclusiones y proponer medidas de control y mejora.
Este tipo de herramientas y servicios, típicamente, buscan tomar el control de dispositivos asociados a las personas que se desea vigilar. Generalmente, con cierto foco en los dispositivos móviles que, dotados de micrófono, cámara y GPS, el propio afectado lleva voluntariamente consigo.
Se suelen aprovechar defectos y debilidades en los sistemas operativos o las aplicaciones conocidas como vulnerabilidades. Entre ellas, por ejemplo, la famosa llamada perdida en WhatsApp, que permitía ejecutar código malicioso sin intervención alguna del usuario e instalar así un ‘Caballo de Troya’. En el caso de NSO, la herramienta Pegasus.
Una vez dentro del dispositivo de la víctima, se puede acceder a todo: contraseñas, correo electrónico, documentos, detalles de navegación, conversaciones y llamadas, posición geográfica y, no lo olvidemos, micrófono, cámara y cualesquiera que sean los sensores que el dispositivo incorpore.
El problema de la cibervigilancia no es ni mucho menos nuevo. Desde hace años existen diversas aproximaciones al hacking de dispositivos. Como ejemplos evidentes, tenemos a organizaciones del cibercrimen, cuyo modus operandi es exactamente el mismo.
En cualquier caso, no hablamos solo de cibercriminales, sino de empresas como HBGary o HackingTeam, perfectamente oficializadas y dedicadas a este tipo de intrusiones como servicio que, con el paso del tiempo y su evolución comercial, han ido demostrando que existe un grave problema de control.
Tanto que, ambas empresas sufrieron incidentes severos que expusieron sus listados de clientes o, más revelador, el código fuente de sus herramientas de espionaje. En el caso de HBGary, supuestamente el colectivo Anonymous y en el de HackingTeam, un hacker solitario conocido como Phineas Fisher. En el caso de HackingTeam, una de las cosas más preocupantes que podemos encontrar en su código fuente filtrado es que existen diversas capacidades para colocar evidencias. Es decir, las herramientas no solamente permiten adquirir evidencias y leer detalles desde los dispositivos infectados, sino que permiten fabricar y colocar evidencias en dispositivos donde no las había.
Por otro lado, otra conclusión clara e inmediata es que estas empresas incluso han vendido estas herramientas a naciones consideradas antidemocráticas y que claramente las han usado con propósitos poco éticos. En la lista de clientes de HackingTeam, disponible en los repositorios de Wikileaks, aparecen ofertas, cobros e intercambios de correos electrónicos con países como Sudán, nación con quien habían negado sistemáticamente estar trabajando ante comisiones de la ONU.
En un mundo hiperdigitalizado, las fuerzas policiales y las agencias de inteligencia afrontan importantes retos. Naturalmente, la investigación tradicional sigue funcionando, con el importante obstáculo derivado del uso de las citadas tecnologías de protección por parte de los criminales y cibercriminales.
El uso generalizado de estas medidas de protección nos lleva a que, en muchos casos, la única forma que tienen las agencias policiales para monitorizar al criminal es instalar algún tipo de herramienta spyware en esos dispositivos. Un ejemplo interesante fue el del famoso cartel de Cali, que hacía un uso intensivo de tecnologías de protección y cifrado. Por ello, este uso, siempre avalado por un proceso judicializado, debe ser legítimo para que las fuerzas policiales puedan investigar y realizar su función de Guardianes dentro del ámbito democrático y constitucional.
El problema esencial del uso de este tipo de herramientas reside en la brecha entre países asumidos como plenamente democráticos y otros países. En las naciones que consideramos democráticas, la cuestión de si las empresas especialistas en spyware pueden o no vender estas herramientas también se diluye. Equiparable a la regulada venta de armas, encontramos numerosos problemas cuando el control no es suficiente. Además, los escenarios son muy subjetivos y nos llevan a sesgos de legitimidad.
En cualquier caso, en el caso de los países que podemos no considerar plenamente democráticos reside el mayor problema. Pues, en un complejo escenario geopolítico, ¿cómo se decide que una nación concreta pueda o no adquirir estas soluciones? La situación es complicada, pues nuestros derechos fundamentales están en juego. Si no existen los adecuados controles, se van a producir abusos, como los ya evidenciados a periodistas, activistas, ciudadanos inocentes o, incluso, personas del sector privado. Si como sociedad impedimos el uso de herramientas spyware, podríamos enfrentarnos a consecuencias aún más graves. Además, cualquier medida, lamentablemente, no impide al criminal realizar sus actividades y sí erosiona de forma grave los derechos de los ciudadanos.
Por ello, habilitar este tipo de herramientas es la opción menos perjudicial y deberíamos exigir que las fuerzas policiales y las agencias de inteligencia realicen su función. No obstante, con los pertinentes y rigurosos controles y registros auditables, que aporten el máximo de garantías en el respeto estricto a los Derechos Fundamentales. Así mismo, todo mal uso o abuso debería tener consecuencias extraordinarias. Recordemos que los ciudadanos otorgamos poderes excepcionales a los Guardianes para que, en nuestro nombre, defiendan la Democracia.