Los periodistas italianos no se quedaron de brazos cruzados. En febrero, la Federación Nacional de la Prensa Italiana y la Orden de Periodistas anunciaron la presentación de una denuncia penal tras el bloqueo del gobierno de extrema derecha de preguntas parlamentarias sobre el uso ilegal de software espía por parte del Estado.

Esta decisión surgió como respuesta a pruebas contundentes de que el Estado había empleado software espía para vigilar a activistas y periodistas. El WhatsApp de Francesco Cancellato, redactor jefe del portal de noticias de investigación Fanpage, fue hackeado con el spyware Graphite, producido por la empresa israelí Paragon. Fanpage había publicado previamente una investigación encubierta que revelaba el apoyo al fascismo entre las juventudes del partido en el poder. Todo indica que Cancellato fue atacado por razones políticas, y no por motivos legítimos de seguridad.

El de Cancellato no es un caso aislado. El gobierno ha confirmado la infección de al menos siete teléfonos con Graphite. Entre los afectados se encuentran los activistas Luca Casarini y Giuseppe Caccia, fundadores de Mediterranea Saving Humans, una organización de la sociedad civil que brinda asistencia a personas en situación de riesgo en la ruta migratoria del Mediterráneo. También han presentado denuncias policiales por spyware otras personas vinculadas a la organización, como el padre Mattia Ferrari, capellán del barco de rescate.

Hay un patrón evidente: el gobierno italiano parece estar espiando sistemáticamente a quienes critican sus agresivas políticas anti-migrantes. En 2017, Italia suscribió un acuerdo con el gobierno libio para pagarle a cambio de que interceptara personas y las retuviera en Libia, donde muchas terminan recluidas en condiciones inhumanas. Humam El Gomati, activista libio radicado en Suecia que denuncia abusos contra derechos humanos en centros de detención libios, figura entre los objetivos del spyware. El activista David Yambio, quien proporcionó a la Corte Penal Internacional evidencias sobre violaciones de derechos de personas migrantes en Libia, también reportó haber sufrido un ataque con software espía. A las personas detenidas en Libia no se las escucha; ahora el gobierno parece determinado a silenciar también a quienes intentan hablar por ellas.

El gobierno ordenó a la Agencia Nacional de Ciberseguridad que investigara los hechos, y negó cualquier implicación. Sin embargo, esta postura fue contradicha por un funcionario que admitió que el gobierno había aprobado el uso de programas espía contra Casarini y Caccia. En una maniobra que el activismo calificó como encubrimiento, el presidente del Parlamento, Lorenzo Fontana, dictaminó que las normas de seguridad estatales impedían revelar información adicional en respuesta a las preguntas parlamentarias.

El empleo de software espía, junto con el endurecimiento de las restricciones sobre las protestas, ha llevado a la inclusión de Italia en la más reciente lista de vigilancia del CIVICUS Monitor, que identifica países donde se está produciendo un grave deterioro del espacio cívico. A estas restricciones se suma una nueva ley de seguridad en proceso de aprobación, que amenaza con expandir aún más las facultades de vigilancia estatal y con incrementar las sanciones por protestar.

WhatsApp confirmó en enero que, a nivel mundial, cerca de 100 usuarios pertenecientes a la sociedad civil y medios de comunicación habían sido atacados con el spyware de Paragon. Los términos de servicio de Paragon supuestamente prohíben este tipo de uso, y en febrero la empresa rompió su relación con el gobierno italiano. No obstante, se estima que unos 35 gobiernos son actualmente clientes de Paragon, entre ellos democracias consolidades como Australia, Canadá, Chipre y Dinamarca. En términos más generales, se ha registrado el uso de software espía contra la sociedad civil y medios de comunicación en todos los continentes habitados, con casos en países tan diversos como El Salvador, Lituania, Marruecos y Togo.

El problema Pegasus

Todo esto sugiere que el problema transciende ampliamente a Italia y al spyware de Paragon. Por ahora, la mayor parte de la atención mundial se concentra en Pegasus, un paquete de software espía que, al igual que Graphite, proviene de una empresa israelí llamada NSO, y se comercializa exclusivamente a gobiernos. Ambos sistemas funcionan como “ataques de clic cero”, es decir, a diferencia de muchos virus, no requieren que el usuario haga clic en un enlace o descargue algo. Esta característica los vuelve prácticamente indetectables y extremadamente invasivos. Ofrecen al operador acceso completo al teléfono, incluidos cámara, micrófono, datos y geolocalización.

La magnitud del uso de Pegasus es alarmante. En 2020, el Proyecto Pegasus, fruto de la colaboración entre organizaciones de sociedad civil y medios de comunicación, reveló que el software había sido utilizado por diversos gobiernos contra casi 50.000 objetivos en 24 países. Entre los afectados figuraban activistas de la sociedad civil, periodistas, políticos de la oposición y empresarios, pese a que este software supuestamente solo debería utilizarse para ayudar a prevenir delitos graves como el terrorismo. Claramente, no se justifica su uso contra las acciones legítimas de la sociedad civil.

Cinco años después de estas impactantes revelaciones, los problemas persisten. Siguen surgiendo pruebas de la utilización de software espía por parte de numerosos Estados, que permanecen impunes.

Jordania figura entre los Estados donde recientemente se ha descubierto el uso de Pegasus contra activistas. Una investigación del grupo internacional de la sociedad civil Access Now reveló que las autoridades han dirigido ataques a al menos 35 personas, aunque los expertos estiman que la cifra real podría ser considerablemente mayor. Entre los objetivos se encuentran activistas, periodistas y abogados. El uso de software espía por parte del gobierno jordano se enmarca en una creciente represión estatal más amplia, que incluye tácticas como la detención y encarcelamiento de activistas, periodistas y sindicalistas por protestar o expresar opiniones críticas en Internet. Recientemente, las autoridades han estado criminalizando a quienes protestan o expresan solidaridad con Palestina.

Por su parte, el gobierno autoritario de Ruanda ha empleado Pegasus contra unas 3.500 personas, entre ellas personas exiliadas. Esto evidencia el uso del software espía como herramienta de represión transnacional. El gobierno ha transformado esta tecnología en un arma efectiva para vigilar e intimidar a sus críticos, tanto dentro del territorio nacional como en el extranjero.

Los efectos de la vigilancia pueden afectar con particular severidad a miembros de grupos excluidos. En Tailandia, al menos 35 teléfonos fueron infectados con Pegasus como respuesta a las manifestaciones masivas por la democracia y contra la monarquía ocurridas en 2020 y 2021. Las mujeres y personas LGBTQI+ constituyeron blancos prioritarios, lo que despertó temores sobre posibles chantajes y hostigamientos derivados de los hackeos de teléfonos.

Otros Estados han dirigido ataques basados en género. El año pasado se divulgó que la Agencia Polaca de Seguridad Interna había atacado con Pegasus a Krystyna Suchanow, líder de la Huelga de Mujeres de toda Polonia. El Estado ejecutó esta acción durante el apogeo de las protestas masivas de 2020 contra la imposición de una prohibición casi total del aborto. En un ejemplo poco común de rendición de cuentas, el gobierno que asumió el poder en 2023 se comprometió a investigar el uso indebido de software espía por parte de su predecesor. Su indagación reveló que, entre 2017 y 2022, el Estado vigiló a 578 personas, incluyendo activistas, periodistas y opositores políticos.

Aun cuando se descubre el uso de software espía, persiste el desafío de que los Estados rindan cuentas. Existe al menos cierta esperanza de justicia en España, donde el año pasado la Audiencia Nacional reabrió una investigación sobre el uso de Pegasus contra políticos de alto perfil, incluido el presidente del Gobierno, Pedro Sánchez. Las revelaciones de 2022 sobre periodistas, abogados y políticos vinculados al movimiento independentista catalán vigilados con Pegasus desencadenaron un escándalo político.

Pero si eventualmente se hace justicia en España, será una excepción. Mientras el nuevo gobierno polaco parece intentar dar vuelta a la página, Hungría mantiene un gobierno nacionalista de derecha, lo que explica las escasas consecuencias tras las revelaciones sobre el uso estatal de Pegasus contra periodistas y críticos del líder de línea dura Viktor Orbán. En Tailandia tampoco parece haber perspectivas de reparación. El pasado noviembre, un tribunal rechazó una demanda contra NSO presentada por el activista democrático Jatupat Boonpattararaksa. El tribunal argumentó que no existían pruebas suficientes para demostrar que su dispositivo había sido infectado.

Una industria poderosa

Los Estados suelen invocar motivos legítimos para el uso de spyware, como la lucha contra la delincuencia organizada o la desarticulación de complots terroristas. Sin embargo, como demuestra un caso tras otro, muchos utilizan estos motivos como excusa, mientras otros quizás iniciaron con justificaciones válidas, pero no ofrecen garantías contra el abuso de la tecnología una vez adquirida. El poder extraordinario de estas herramientas vuelve el abuso casi inevitable en ausencia de una supervisión rigurosa e independiente, un elemento que muchos Estados que han adquirido programas espía no tienen.

Sin embargo, los proveedores, intermediarios y revendedores de estos programas suelen conformar intrincadas redes que complican el rastreo de ventas y usos de spyware y dificultan la exigencia de cuentas a los Estados. El año pasado, por ejemplo, se reveló que una empresa luxemburguesa, Q Cyber Technologies SARL, integraba la cadena de suministro que vendía Pegasus a Indonesia.

En 2023, la Fiscalía Europea inició una investigación contra el gobierno griego por otorgar licencias ilegales de exportación de otro paquete de software espía, Predator, a países de África y Asia. Esto ocurrió tras revelaciones de que el propio gobierno griego había utilizado Predator contra periodistas y políticos, lo que desató un escándalo político y una moción de censura que el gobierno logró superar. Este caso ilustra un aspecto especialmente preocupante: la posibilidad de que los Estados miembros de la Unión Europea (UE) estén facilitando la proliferación de tecnología de vigilancia en países con débiles garantías de derechos humanos.

Los casos documentados de abusos con spyware podrían ser apenas la punta del iceberg. Existen más programas espía además de Graphite, Pegasus y Predator, y el sector evoluciona con rapidez. Es probable que otras empresas intenten desarrollar programas aún más intrusivos, pues siempre habrá Estados dispuestos a adquirir versiones mejoradas. Por ejemplo, en 2023 se informó que el gobierno de India exploraba alternativas a Pegasus tras descubrirse su empleo contra activistas. En vez de renunciar a la vigilancia después de ser descubiertos, los Estados podrían buscar opciones más discretas.

El rol de Israel merece un escrutinio particular. Las empresas tecnológicas israelíes ocupan un lugar central en el comercio mundial de software espía y están estrechamente vinculadas al Estado: es común que exmilitares trabajen en el sector tecnológico israelí. Casi todos los investigadores de NSO, por ejemplo, han trabajado en la agencia de inteligencia militar de Israel.

Esta “puerta giratoria” entre el ejército israelí y el sector tecnológico privado garantiza que las fuerzas armadas tengan acceso a herramientas de vigilancia de última generación. A la vez, convierte a Palestina en un laboratorio: un banco de pruebas para tecnologías que luego se exportan al resto del mundo. El gobierno israelí ha utilizado Pegasus para infiltrar dispositivos de activistas palestinos de derechos humanos, comprometiendo así su seguridad. El software espía forma parte del esquema israelí de vigilancia sistémica contra palestinos, que incluye también el uso creciente de cámaras de reconocimiento facial e interceptaciones telefónicas.

NSO no realiza ventas a ningún gobierno sin la autorización del Estado israelí, que determina la concesión de licencias de exportación para spyware y puede utilizar esta facultad como herramienta de influencia diplomática. La comercialización a países de Oriente Medio como Arabia Saudí y los Emiratos Árabes Unidos posiblemente contribuyó, al menos antes de la actual ofensiva israelí contra Palestina y Líbano, al deshielo de las relaciones.

Durante la administración Biden, el gobierno estadounidense incluyó a NSO y otras empresas israelíes de software espía en una lista negra, lo que les impide comerciar con empresas estadounidenses, y anunció la denegación de visados a las personas involucradas en el uso indebido de spyware comercial. La actual administración debería comprometerse a mantener estas salvaguardias.

Normativa necesaria

Ante las incertidumbres actuales, como la identidad y cantidad de personas vigiladas y la naturaleza opaca de las estructuras estatales que utilizan estos sistemas, resulta imperativo implementar una moratoria mundial sobre el suministro y el uso de spyware. Los Estados democráticos deberían liderar esta iniciativa.

La necesidad de regulación es indiscutible, tanto a nivel nacional como global, y la sociedad civil, frecuente objeto de estos ataques, debe poder desempeñar plenamente su papel en el diseño de estas normas. Sin embargo, hasta el momento el panorama ha sido, en el mejor de los casos, irregular. Los intentos regulatorios han tendido a ser fragmentarios, reactivos y fácilmente eludibles.

El Pacto Digital Global, acordado el año pasado en la Cumbre del Futuro de las Naciones Unidas (ONU), no abrió nuevos caminos. Si bien los Estados se comprometieron a garantizar que las tecnologías de vigilancia cumplan con la legislación internacional, el texto aborda menos la ciberseguridad de lo que esperaba la sociedad civil, y tampoco menciona explícitamente los desafíos específicos que plantea el software espía.

Otro desarrollo de 2024 amenaza con intensificar la vigilancia en vez de limitarla. La Convención de la ONU sobre Ciberdelincuencia, una obra de Estados represivos liderados por Rusia, fue aprobada en diciembre pasado. La sociedad civil y los Estados más democráticos se esforzaron por mitigar los peores excesos de un borrador de tratado que habría proporcionado a los regímenes autoritarios más instrumentos para reprimir la expresión en línea bajo el pretexto de combatir la ciberdelincuencia. No obstante, el tratado en su versión final aún carece de protecciones claras, específicas y ejecutables de los derechos humanos, incluido el derecho a la intimidad, delegándolo a las legislaciones nacionales. El texto deja amplios márgenes para la cooperación internacional en recolección e intercambio de datos, lo que plantea un preocupante potencial para la expansión de facultades estatales de vigilancia.

El año pasado se produjo un avance potencialmente más favorable con la adopción de la Ley Europea de Libertad de los Medios de Comunicación. Entre otras disposiciones, la ley protege en gran medida a los periodistas frente a la vigilancia, incluido el uso de spyware, con el objetivo de salvaguardar la confidencialidad de las fuentes periodísticas. Sin embargo, al tratarse de una ley de medios de comunicación, sólo protege a los periodistas, dejando desprotegidos a otros sectores.

Además, la ley contiene excepciones preocupantes: por ejemplo, permite la vigilancia con autorización judicial previa o en relación con “delitos graves”. También posibilita que los Estados empleen vigilancia encubierta por motivos de seguridad nacional, y externalicen actividades de vigilancia a empresas privadas. En los Estados menos democráticos de la UE, como Hungría, esto abre la posibilidad de que los gobiernos etiqueten el escrutinio legítimo como amenaza a la seguridad nacional o que califiquen el disenso como delito grave, aprovechando el control del ejecutivo sobre el poder judicial.

La incidencia de la sociedad civil logró evitar excepciones aún más regresivas, pero persiste la necesidad, tanto con la Ley Europea de Libertad de los Medios de Comunicación como con el Convenio sobre Ciberdelincuencia, de supervisar la aplicación de las nuevas normativas y documentar y denunciar los abusos estatales.

Ciertos grupos de la sociedad civil como Access Now, Amnistía Internacional y Citizen Lab han trabajado incansablemente para investigar y exponer el uso de spyware. Los Estados no deberían obstaculizar esta labor vital de la sociedad civil. Aquellos que se autodenominan democracias, como Italia, no deberían temerle a una sociedad civil activa que ejerce su rol de control del poder estatal. Por el contrario, deberían acoger este escrutinio y garantizar la justicia cuando se descubren usos ilegales de software espía.

Para entrevistas o más información, póngase en contacto con research@civicus.org