El National Cyber Security Centre (NCSC) del Reino Unido hospedó en Londres, junto con su homólogo francés, una conferencia internacional titulada “Abordando la proliferación y el uso irresponsable de las capacidades comerciales de intrusión cibernética” (busquen más con #PallMallProcess). El grupo de análisis de amenazas de Google publicó para ese evento el informe “Buying spying” que se ocupa de la industria comercial de la vigilancia digital -del software espía- y el rol de los Estados que incentiva una industria altamente lucrativa y peligrosa para los derechos humanos.
El informe sostiene que esta industria ha crecido para satisfacer un nicho de mercado: la venta de tecnología de punta a gobiernos de todo el mundo que explotan vulnerabilidades en dispositivos y aplicaciones digitales para instalar subrepticiamente software espía en los dispositivos de las personas. Instalan el software espía en el equipo objetivo aprovechando y explotando vulnerabilidades del software o aplicaciones de tales equipos, es decir, las empresas venden productos para que los gobiernos afecten la seguridad digital de la ciudadanía que deben proteger.
En el informe se lee: “el daño no es hipotético. Los proveedores de software espía apuntan al uso legítimo de sus herramientas para propósitos de cumplimiento de la ley y para el contraterrorismo. Sin embargo, lo que se ha documentado es que el software espía es ampliamente desplegado contra periodistas, personas defensoras de los derechos humanos, disidentes y oposición política (lo que Google llama ‘usuarios de alto riesgo’)”. Para Google, aunque esto afecta a pocas personas -comparado con otras amenazas, como la del ransomware por ejemplo-, los efectos son más complejos por sus impactos para la libertad de expresión y la libertad de prensa. Además, Google también llama la atención de su uso en el contexto político impactando la integridad de las elecciones a nivel mundial.
Google es afectado por esta industria pues atacan sus programas y servicios para llegar a las personas objetivo. Esa empresa indica que se toman en serio la seguridad de quienes usan sus servicios y concluyen que mientras los gobiernos demanden tecnología privada de vigilancia, la industria la desarrollará y ofrecerá esos productos. Por eso es que Google pide a los gobiernos, a los privados y sociedad civil trabajar para modificar la estructura de incentivos que propaga el software espía.
El análisis de Google incluye detalles sobre quiénes están involucrados en el desarrollo, venta y despliegue del software espìa, habla de cómo operan las empresas, los productos que ofrecen y con esos datos llegan a unas conclusiones. Entre ellas, afirman que además de los sospechosos usuales (como la israelita NSO group) hay muchas pequeñas empresas que venden esta tecnología o que son parte de la cadena de producción.
Otra cosa que afirman es que el desarrollo de esta tecnología que se usa para la vigilancia está dominada por el sector privado. Si alguna vez los Estado tuvieron el monopolio para el desarrollo de capacidades sofisticadas de vigilancia, dice Google, eso es el pasado, hoy esa capacidad está en manos d´el sector privado.
Me pareció particularmente interesante un efecto que para Google tiene esa situación. La empresa indica que esa tercerización, donde los gobiernos compran en el mercado las herramientas, ha naturalizado esta forma de espionaje y trasladado el costo reputacional de los escándalos mediáticos -cuando se descubren estos espionajes-, del Estado a las empresas que desarrollan y venden el software espía. Es decir, aunque el Estado, como principal comprador, mantiene e incentiva el mercado, el costo de su abuso recae sobre las empresas que lo surten.
La investigación de Google sobre los ataques que reciben sus servicios, para aprovechar eventuales vulnerabilidades, le permite afirmar que esta industria está detrás de la mayoría de los ataques que sufren sus sistemas. Debido a esto Google considera a estas empresas como una amenaza y en el informe reafirma que mantienen su compromiso en proteger a las personas que usan sus servicios. Resulta importante resaltar también que Google habla de compartir y publicar información sobre las vulnerabilidades como una forma de contrarrestar colectivamente el riesgo. Esta afirmación de Google debería animar a los Estados, en particular a Colombia, a trabajar en rutas de reporte de vulnerabilidades que es una forma de aprovechar estas buenas prácticas.
Sorprende que este informe no haya atraído importante atención mediática. No encontré artículos periodísticos que lo analicen o comenten, mucho menos que informen sobre la recepción que tuvo entre los representantes gubernamentales presentes en la conferencia internacional. Lo que sí puedo hacer es felicitar que los gobiernos están problematizando esta situación como un tema de ciberseguridad, esta reflexión puede contribuir a contrarrestar las recurrentes propuestas regulatorias que buscan debilitar el cifrado o impedir el anonimato en línea.
Ahora, sobre la conferencia, de la información pública sabemos que el evento se cerró con la Declaración PallMall: abordando la proliferación y el uso irresponsable de las capacidades comerciales de intrusión cibernética. Este es un documento de alto nivel que recoge mucho más que temas de software espía, incorpora puntos interesantes pero no tiene mucha sustancia sobre cómo enfrentarlos. Esta declaración da inicio a un proceso “colaborativo e internacional” en el que se espera facilitar el diálogo sobre temas relacionados con la capacidad de intrusión con herramientas tecnológicas en los que algunos participantes incluyeron robo de información privada, exposición de datos, manipulación de imágenes, deterioro de procesos democráticos, violencia digital de género, comercio de vulnerabilidades, operación remota de cámaras y micrófonos.
En todo caso me permito hacer eco del llamado que hace Ian Brown sobre la ausencia de algunos actores importantes en esta conferencia. Basados en la lista de firmantes de la declaración faltaron las organizaciones de derechos digitales, las que representan poblaciones afectadas y el país que tiene especial influencia en esto: Israel, por no decir que gobiernos del mundo en desarrollo, América Latina incluída, estuvo ausente.
PS. No olviden mantener sus dispositivos actualizados, eso ayuda a evitar que se exploten algunas vulnerabilidades -al menos las que las empresas responsables del software encuentran y reparan-, pero tengan presente que hacerlo no significa que no podamos exigir que los gobiernos no sean la amenaza de la que debamos cuidarnos.