“Los derechos no se borran por su violación digital”: Fundación Karisma

Para la Fundación Karisma, el espía digital Pegasus cuya presencia y aplicación subrepticias en Colombia han creado una tormenta política, ¿existe o es una ficción?

La existencia y el uso en el país de Pegasus, un producto de la empresa israelí NSO Group, no se ha cuestionado, en términos generales. Su utilización ya se ha comprobado en más de treinta países. En Colombia se ha confirmado, por distintas fuentes, que hubo pagos al grupo israelí para adquirir ese programa espía. Aún no sabemos quiénes fueron las víctimas de su aplicación, pero no hay duda de que Pegasus se adquirió durante el gobierno Duque.

Entonces, ¿por qué lo niega esa administración? Pegasus es un programa de espionaje digital que se negocia entre Estados, en el caso que tratamos, entre Israel y Colombia ¿Cuál puede ser el motivo para que el gobierno Duque lo haya adquirido en efectivo pese a su alto monto ($11 millones de dólares) y de manera clandestina si podía hacerlo de manera legal y abierta?

No. No podía comprarlo de manera abierta y mediante los mecanismos previstos en una adquisición de gobierno a gobierno porque las capacidades y características que tiene Pegasus superan lo que permite la ley colombiana en materia de actividades de inteligencia.

¿Qué hace Pegasus que la ley colombiana no permite?

Según el principio de legalidad, el Estado solo puede hacer lo que la ley permite de manera expresa. Así lo dijo la Corte Constitucional en su sentencia C-710 de 2001 cuando señaló que “el uso del poder de coerción (de las autoridades) será legítimo solo si está previamente autorizado por la ley”. Las capacidades de penetración de Pegasus, entonces, superan lo que está considerado en la normatividad colombiana.

Más allá de la legalidad o ilegalidad de la adquisición de Pegasus, una de las más graves preocupaciones de su aplicación en Colombia, es la violación de los derechos fundamentales de las personas ¿De qué manera actúa ese programa u otros similares, y cómo se efectúa la penetración de los dispositivos (celulares y computadores) de las personas para apropiarse de sus datos privados?

Pegasus y otros programas similares de espionaje, se aprovechan de las debilidades de seguridad de las redes de comunicación y celulares para acceder a ellos ¿Cómo lo hacen? Doy un ejemplo sencillo: una casa ha sido dotada con una puerta muy segura, con distintas llaves y claves. Alguien que quiera ingresar a ella de manera ilegal, puede descubrir que, a diferencia de la puerta, las ventanas se abren fácilmente. Quien descubre esta falla, cuenta con varias opciones: informar a la dueña de casa; entrar y robar, o ‘vender’ la información. En seguridad digital, las debilidades son más valiosas entre más desapercibidas pasen. Y los programas espías aprovechan las vulnerabilidades para entrar al dispositivo y quedarse ahí vigilando, sigilosamente. Pegasus puede instalarse, en los móviles, luego de dar click en un enlace o, incluso, sin que la persona afectada, realice alguna actividad en el celular.

¿Es posible determinar quiénes fueron víctimas del espionaje de Pegasus entre los que podría haber ciudadanos del común o personajes de la vida pública? O ¿esos datos ya no existen por la manipulación y eliminación de los rastros de su actividad por parte de sus operadores?

Desafortunadamente existe la probabilidad de que, en este momento, ya no se pueda conocer el uso que se le dio a Pegasus porque, hasta donde sabemos, su adquisición ocurrió en 2021. Además, el programa se diseñó precisamente para ser indetectable, aún por encima del cumplimiento de su objetivo. Por ejemplo, si la penetración de un celular pusiera en riesgo la existencia de Pegasus o su forma de operar, sus agentes preferirían detener el ataque. Sin embargo, tenemos que esforzarnos en obtener la información sobre su uso: no solo sobre quiénes fueron las víctimas sino también sobre la identidad de los involucrados en la compra y aplicación de ese programa espía.

Si, además de todos los datos que ya se han publicado, se comprueba que, en efecto, ha sido usado en el país, ¿Karisma cree que se debe ahondar la investigación judicial para saber si se utilizó en contra personas y entidades, por qué se les escogió para someterlos a ese espionaje tecnológico y quiénes manejaron el programa?

Desde luego. Es necesario saber cómo se empleó Pegasus en el país. Especialmente, cuáles autoridades lo usaron, a quiénes afectaron, cómo usaron los resultados de esas operaciones y quiénes recibieron la información que obtuvieron por ese medio. Además, es indispensable tomar las medidas disciplinarias y penales que procedan, así como la reparación a las víctimas, incluyendo la garantía de la eliminación de sus datos en donde se encuentren alojados. Reitero que la interceptación de comunicaciones en Colombia tiene una regulación estricta y las capacidades de Pegasus, como ya lo he dicho, van mucho más allá de la simple interceptación de comunicaciones.

Repita, por favor, ¿cuáles otras potencialidades caracterizan a Pegasus?

Pegasus puede acceder a todas las informaciones que contenga el dispositivo penetrado, incluyendo fotografías, mensajes, claves, otros datos privados y hasta archivos eliminados. También puede encender la cámara y el micrófono del móvil sin que la persona se dé cuenta y puede ver, en tiempo real, cuando el usuario opere su celular.

Una cosa es cómo ese tipo de malware penetra los dispositivos y se apropia de nuestros datos; y otra cosa es cuáles de mis derechos se violan durante esa operación ilegal. Además de la ruptura de la intimidad y privacidad, ¿cuáles otros de mis derechos son irrespetados por los espías digitales cuando activan sus armas en mi contra?

Cuando se vulnera la intimidad, se afectan otros derechos por la vigilancia e intromisión de los espías tecnológicos en los celulares o computadores: el derecho a formar, autónomamente, la imagen de uno mismo y la manera en cómo decide representarse ante los demás, medio por el cual se afecta el derecho a la dignidad; se hace más difícil formar libremente sus opiniones y de expresarse de manera libre, entre otras razones, porque se incrementa el temor a las consecuencias de tener ciertos pensamientos y de divulgarlos. Cuando se vulnera la intimidad, también se impide el derecho a tomar decisiones propias sobre los datos personales. Y las afectaciones trascienden las de la persona vigilada, porque violan el derecho al disfrute de la vida familiar, el derecho de asociación y el derecho a la protesta.

Del otro lado, ¿cuáles delitos habrían cometido los agentes que aplicaron el espía Pegasus de manera ilícita en contra – presuntamente – de los jóvenes líderes de las manifestaciones que se realizaron durante el estallido social?

En la operación de compra y uso de Pegasus en Colombia, se habrían cometido varios delitos fuera de los que se desprenden de su adquisición por fuera de la ley: violación ilícita de comunicaciones, utilización delictiva de redes de comunicaciones, violación de derechos de reunión y asociación y violación de los derechos humanos como ya lo hemos comentado, entre otros.

Se sabe que los Estados y los gobiernos que los representan, tienen un alto nivel de autorización legal y constitucional para supervigilar lo que pasa en sus territorios. Pero, ¿hasta dónde pueden llegar y cuáles son sus límites para que no terminar atropellando los derechos fundamentales?

El Estado tiene el deber de respetar, proteger y promover los derechos humanos en todo el territorio y en todas las circunstancias. La Constitución exige que la intromisión en la vida privada de las personas y la afectación de otros de sus derechos, sea necesaria, proporcional y predeterminada en las leyes. Según la Carta Política y el Código de Procedimiento Penal, la fiscalía y los organismos de policía judicial pueden interceptar comunicaciones, previa autorización de un juez. En cambio, los organismos de inteligencia, a pesar de que ejecutan una actividad legítima y necesaria, no tienen autorización, bajo ninguna circunstancia, de realizar esas actividades, de acuerdo con la ley colombiana. Como cualquier facultad de vigilancia implica un riesgo muy alto de incurrir en abusos, la normatividad debe definir detalladamente las facultades, los controles, los responsables de la operación para evitar abusos y poder investigar y castigar a los involucrados.

La tecnología especializada en seguridad se ha desarrollado en el mundo legal para proteger a las naciones y descubrir crímenes y complots de terrorismo pero ha terminado, al menos parcialmente, siendo usada por los propios agentes estatales como arma política contra sus opositores ¿Se puede controlar la mala utilización de estas armas digitales por parte de los gobiernos?

Se puede controlar con herramientas legales y con vigilancia ciudadana a través de los mecanismos otorgados por la ley como la fiscalización estricta de los gastos financieros de los Estados en esta materia, y la supervisión de los presupuestos de inteligencia con lo cual podremos obtener información oportuna sobre quiénes y con cuáles fines adquieren software espías. Esto es, precisamente, lo que se pretende con el proyecto de reforma a la ley de inteligencia nacional (proyecto de ley 225/24, Senado).

Estos programas caen en manos de organizaciones delictivas ¿Existen formas de bloquear o desactivar el ciberespionaje criminal?

Así como no es posible controlar completamente la criminalidad tradicional, tampoco se pueden dominar esas actividades en un 100%, , en el mundo digital. Pero los Estados tienen hoy, herramientas mejores y más potentes para enfrentar la ciberdelincuencia.

De acuerdo con la información que Karisma ha recopilado, ¿cuáles son; cómo se usan y cuánta penetración y capacidad de vigilancia tienen las tecnologías que usan las unidades de inteligencia del Estado colombiano?

Aunque las autoridades estatales no informan, abiertamente, sobre las capacidades de vigilancia que han adquirido, hoy conocemos algunas, gracias al trabajo de muchos periodistas. Sabemos que la Policía usa herramientas de identificación biométrica IMSI Catchers, incluso en niveles masivos, que tienen capacidad de hacerse pasar por una torre legítima y, de este modo, desviar, interceptar o bloquear las comunicaciones; también sabemos que tienen programas de captura y análisis de información de fuentes abiertas y perfilamientos OSINT (Open Sources Intelligence), y drones, entre otros. Pero no se trata solo de la Policía. También ejercen funciones de inteligencia otros organismos que cuentan con aparatos de “monitoreo del espectro electromagnético” y con herramientas directas para interceptar, como se supo por el escándalo de las carpetas secretas del Ejército, en el año 2020. Fue cuando se reveló que esta fuerza habría comprado un software espía para hackear, posiblemente, a políticos, magistrados y periodistas. Entre las herramientas que habrían usado sus cuerpos de inteligencia y contrainteligencia, se hallarían equipos conocidos como Stingray (interceptores IMSI) que detectan señales móviles; y un sistema informático llamado “hombre invisible”, un software para infiltrar computadores y celulares.

El mundo digital parece funcionar sin códigos ni leyes ¿Cómo opera la vida tecnológica, bajo cuáles normas de conducta?

Los derechos humanos son de obligatorio cumplimiento en todos los contextos. Como no podemos pretender regular cada uno de los desarrollos tecnológicos, hay que entender que las leyes nos dan marcos dentro de los cuales evaluamos si hay situaciones injustas que requieren la intervención del Estado. Han surgido derechos nuevos como la protección de datos, y los jueces han reconocido, explícitamente, los derechos que ya existían cuando surgen conflictos derivados de la tecnología. Dicho de otro modo, la vulneración de los derechos en el mundo digital o real no los desaparece ni los borra.

Hay mucho desconocimiento sobre cómo defenderse de un enemigo que no se ve ni se siente ¿Karisma tiene líneas de acción o un catálogo de conductas para intentar proteger los datos personales que cada vez más se encuentran alojados en nuestros dispositivos electrónicos?

Las tecnologías de intrusión y vigilancia son cada vez más potentes razón por la cual las personas no pueden hacer mucho para protegerse de un atacante suficientemente desarrollado y con recursos casi infinitos. Debido a esta realidad, el énfasis en materia de protección personal y social tiene que estar en asegurarnos que ni el Estado ni los privados puedan abusar de sus facultades o capacidades de vigilancia. Desafortunadamente, los defensores de derechos humanos y los periodistas, entre otros grupos, suelen ser víctimas de abusos en este campo. Por eso se les recomienda a todas las personas, especialmente si pertenecen a agrupaciones como las mencionadas, cifrar los datos que se tienen en el celular o computador; y usar programas de mensajería que implementen el cifrado, punto a punto. Respecto de Pegasus, la multinacional tecnológica Apple ofrece a los usuarios de su línea telefónica iPhone, un sistema de notificación de amenazas.

Pero, entonces, los usuarios estamos casi desprovistos de protección ante los intrusos tecnológicos…

No hay que perder de vista que, en lugar de que las personas tengan que proveerse de formas de autoprotección, es el Estado el que tiene la obligación de proteger a sus ciudadanos estableciendo fuertes controles en el uso de programas espía para evitar los ciberdelitos y abusos de intromisión y penetración ilegal de nuestros dispositivos.

Hasta las plataformas más potentes han sido atacadas y a veces, han sufrido robos masivos de la identidad y datos de sus millones de clientes ¿Deben conformarse cuerpos especiales de ciberpolicías para combatir a los delincuentes del mundo tecnológico?

Hay que diferenciar entre perseguir delitos cuando se cometen en contextos tecnológicos, y las garantías de las personas para disfrutar de sus derechos en el mundo digital. En cuanto al primer caso, la Fiscalía y la Policía continúan adquiriendo capacidades tecnológicas aun cuando, periódicamente, se conoce el abuso que se hace de esas mismas capacidades. En cuanto al segundo, es decir, la seguridad digital, se requieren, aún, trabajo, recursos y apoyo de distintos sectores. Existen documentos CONPES de seguridad digital pero no se ha logrado establecer agencias coordinadoras de este asunto específico como ha sucedido en otros países. Actualmente hay dos propuestas en el Congreso – una del Gobierno y otra, del senador David Luna –, para crear una agencia de seguridad digital que se concentre en la prevención y respuesta a incidentes de este tipo.

La propiedad intelectual de libros, estudios, informes, textos académicos, imágenes e, incluso, obras de arte en varias modalidades, ¿están en peligro en el mundo tecnológico?

Al contrario. La cultura se ha diversificado, ha crecido, y ha llegado a muchas personas que antes no tenían acceso, gracias a las tecnologías digitales. Hay que balancear las protecciones al derecho a explotar económicamente la propiedad intelectual con el derecho al acceso a la cultura, a la educación y a la participación en los desarrollos científicos y tecnológicos. La oferta comercial de toda clase de obras de forma práctica y a precios competitivos, puede ser un camino para balancear estos derechos.

“No se puede concluir que el uso de la tecnología siempre será catastrófico”

¿Es cierto que en un futuro no muy lejano la inteligencia artificial reemplazará al ser humano o se trata de historias fantásticas?

En Karisma partimos de la base de que la tecnología es política. El futuro también es un espacio político que tenemos el deber y el derecho de reclamar. La inteligencia artificial es un conjunto muy diverso de tecnologías entre las cuales, cada una ocupa un lugar diferente en la vida social. Así como los dueños de las empresas que producen inteligencia artificial pueden presionar para consolidar aún más su dominio, el Estado, la sociedad civil e, incluso, las mismas empresas tienen el poder de incidir en la búsqueda de un futuro en que seamos más libres y autónomos.

Pero, ¿cómo y con cuáles herramientas? No parece que tengamos el control…

Por el lío de Pegasus y su aplicación ilícita, no se puede llegar a la conclusión fatalista de que debemos renunciar a nuestros derechos o de que el uso de la tecnología siempre será catastrófico: si bien puede ser dañino, también puede resultar beneficioso para la sociedad dependiendo de la orientación y utilización que se le dé en cada ocasión.

“Mucho cuidado con la regulación en las redes sociales”

La población, sobre todo, la gente joven, acude cada vez con mayor frecuencia a la publicación, en redes, de cada detalle de sus vidas. En materia de seguridad personal, ¿esa modalidad les trae alto riesgo a los activistas digitales y deberían moderarse para no revelar sus aspectos íntimos o esa es la manera moderna de comunicarse con los demás?

Primero, es necesario formar y construir capacidades; y, después, hay que mostrar los riesgos y beneficios de las tecnologías. Esto les permite a las personas decidir, por sí mismas, hasta dónde toleran el riesgo, por ejemplo, de que muchos conozcan o incluso filtren su información personal, o sus imágenes y fotografías. La responsabilidad por el abuso de la información que se recibe o se encuentra en internet debe recaer en el agresor y no la víctima. Los jóvenes, aunque comparten información en internet, también promueven el debate sobre los comportamientos que son aceptables y sobre las materias en las que se requiere regulación. Es un tema de mucho cuidado porque la regulación para controlar el comportamiento de los usuarios de redes sociales, podría anular el derecho a la libre expresión por lo que la imposición de normas no es, necesariamente, una buena solución.

Para la Fundación Karisma, el espía digital Pegasus cuya presencia y aplicación subrepticias en Colombia han creado una tormenta política, ¿existe o es una ficción?

La existencia y el uso en el país de Pegasus, un producto de la empresa israelí NSO Group, no se ha cuestionado, en términos generales. Su utilización ya se ha comprobado en más de treinta países. En Colombia se ha confirmado, por distintas fuentes, que hubo pagos al grupo israelí para adquirir ese programa espía. Aún no sabemos quiénes fueron las víctimas de su aplicación, pero no hay duda de que Pegasus se adquirió durante el gobierno Duque.

Entonces, ¿por qué lo niega esa administración? Pegasus es un programa de espionaje digital que se negocia entre Estados, en el caso que tratamos, entre Israel y Colombia ¿Cuál puede ser el motivo para que el gobierno Duque lo haya adquirido en efectivo pese a su alto monto ($11 millones de dólares) y de manera clandestina si podía hacerlo de manera legal y abierta?

No. No podía comprarlo de manera abierta y mediante los mecanismos previstos en una adquisición de gobierno a gobierno porque las capacidades y características que tiene Pegasus superan lo que permite la ley colombiana en materia de actividades de inteligencia.

¿Qué hace Pegasus que la ley colombiana no permite?

Según el principio de legalidad, el Estado solo puede hacer lo que la ley permite de manera expresa. Así lo dijo la Corte Constitucional en su sentencia C-710 de 2001 cuando señaló que “el uso del poder de coerción (de las autoridades) será legítimo solo si está previamente autorizado por la ley”. Las capacidades de penetración de Pegasus, entonces, superan lo que está considerado en la normatividad colombiana.

Más allá de la legalidad o ilegalidad de la adquisición de Pegasus, una de las más graves preocupaciones de su aplicación en Colombia, es la violación de los derechos fundamentales de las personas ¿De qué manera actúa ese programa u otros similares, y cómo se efectúa la penetración de los dispositivos (celulares y computadores) de las personas para apropiarse de sus datos privados?

Pegasus y otros programas similares de espionaje, se aprovechan de las debilidades de seguridad de las redes de comunicación y celulares para acceder a ellos ¿Cómo lo hacen? Doy un ejemplo sencillo: una casa ha sido dotada con una puerta muy segura, con distintas llaves y claves. Alguien que quiera ingresar a ella de manera ilegal, puede descubrir que, a diferencia de la puerta, las ventanas se abren fácilmente. Quien descubre esta falla, cuenta con varias opciones: informar a la dueña de casa; entrar y robar, o ‘vender’ la información. En seguridad digital, las debilidades son más valiosas entre más desapercibidas pasen. Y los programas espías aprovechan las vulnerabilidades para entrar al dispositivo y quedarse ahí vigilando, sigilosamente. Pegasus puede instalarse, en los móviles, luego de dar click en un enlace o, incluso, sin que la persona afectada, realice alguna actividad en el celular.

¿Es posible determinar quiénes fueron víctimas del espionaje de Pegasus entre los que podría haber ciudadanos del común o personajes de la vida pública? O ¿esos datos ya no existen por la manipulación y eliminación de los rastros de su actividad por parte de sus operadores?

Desafortunadamente existe la probabilidad de que, en este momento, ya no se pueda conocer el uso que se le dio a Pegasus porque, hasta donde sabemos, su adquisición ocurrió en 2021. Además, el programa se diseñó precisamente para ser indetectable, aún por encima del cumplimiento de su objetivo. Por ejemplo, si la penetración de un celular pusiera en riesgo la existencia de Pegasus o su forma de operar, sus agentes preferirían detener el ataque. Sin embargo, tenemos que esforzarnos en obtener la información sobre su uso: no solo sobre quiénes fueron las víctimas sino también sobre la identidad de los involucrados en la compra y aplicación de ese programa espía.

Si, además de todos los datos que ya se han publicado, se comprueba que, en efecto, ha sido usado en el país, ¿Karisma cree que se debe ahondar la investigación judicial para saber si se utilizó en contra personas y entidades, por qué se les escogió para someterlos a ese espionaje tecnológico y quiénes manejaron el programa?

Desde luego. Es necesario saber cómo se empleó Pegasus en el país. Especialmente, cuáles autoridades lo usaron, a quiénes afectaron, cómo usaron los resultados de esas operaciones y quiénes recibieron la información que obtuvieron por ese medio. Además, es indispensable tomar las medidas disciplinarias y penales que procedan, así como la reparación a las víctimas, incluyendo la garantía de la eliminación de sus datos en donde se encuentren alojados. Reitero que la interceptación de comunicaciones en Colombia tiene una regulación estricta y las capacidades de Pegasus, como ya lo he dicho, van mucho más allá de la simple interceptación de comunicaciones.

Repita, por favor, ¿cuáles otras potencialidades caracterizan a Pegasus?

Pegasus puede acceder a todas las informaciones que contenga el dispositivo penetrado, incluyendo fotografías, mensajes, claves, otros datos privados y hasta archivos eliminados. También puede encender la cámara y el micrófono del móvil sin que la persona se dé cuenta y puede ver, en tiempo real, cuando el usuario opere su celular.

Una cosa es cómo ese tipo de malware penetra los dispositivos y se apropia de nuestros datos; y otra cosa es cuáles de mis derechos se violan durante esa operación ilegal. Además de la ruptura de la intimidad y privacidad, ¿cuáles otros de mis derechos son irrespetados por los espías digitales cuando activan sus armas en mi contra?

Cuando se vulnera la intimidad, se afectan otros derechos por la vigilancia e intromisión de los espías tecnológicos en los celulares o computadores: el derecho a formar, autónomamente, la imagen de uno mismo y la manera en cómo decide representarse ante los demás, medio por el cual se afecta el derecho a la dignidad; se hace más difícil formar libremente sus opiniones y de expresarse de manera libre, entre otras razones, porque se incrementa el temor a las consecuencias de tener ciertos pensamientos y de divulgarlos. Cuando se vulnera la intimidad, también se impide el derecho a tomar decisiones propias sobre los datos personales. Y las afectaciones trascienden las de la persona vigilada, porque violan el derecho al disfrute de la vida familiar, el derecho de asociación y el derecho a la protesta.

Del otro lado, ¿cuáles delitos habrían cometido los agentes que aplicaron el espía Pegasus de manera ilícita en contra – presuntamente – de los jóvenes líderes de las manifestaciones que se realizaron durante el estallido social?

En la operación de compra y uso de Pegasus en Colombia, se habrían cometido varios delitos fuera de los que se desprenden de su adquisición por fuera de la ley: violación ilícita de comunicaciones, utilización delictiva de redes de comunicaciones, violación de derechos de reunión y asociación y violación de los derechos humanos como ya lo hemos comentado, entre otros.

Se sabe que los Estados y los gobiernos que los representan, tienen un alto nivel de autorización legal y constitucional para supervigilar lo que pasa en sus territorios. Pero, ¿hasta dónde pueden llegar y cuáles son sus límites para que no terminar atropellando los derechos fundamentales?

El Estado tiene el deber de respetar, proteger y promover los derechos humanos en todo el territorio y en todas las circunstancias. La Constitución exige que la intromisión en la vida privada de las personas y la afectación de otros de sus derechos, sea necesaria, proporcional y predeterminada en las leyes. Según la Carta Política y el Código de Procedimiento Penal, la fiscalía y los organismos de policía judicial pueden interceptar comunicaciones, previa autorización de un juez. En cambio, los organismos de inteligencia, a pesar de que ejecutan una actividad legítima y necesaria, no tienen autorización, bajo ninguna circunstancia, de realizar esas actividades, de acuerdo con la ley colombiana. Como cualquier facultad de vigilancia implica un riesgo muy alto de incurrir en abusos, la normatividad debe definir detalladamente las facultades, los controles, los responsables de la operación para evitar abusos y poder investigar y castigar a los involucrados.

La tecnología especializada en seguridad se ha desarrollado en el mundo legal para proteger a las naciones y descubrir crímenes y complots de terrorismo pero ha terminado, al menos parcialmente, siendo usada por los propios agentes estatales como arma política contra sus opositores ¿Se puede controlar la mala utilización de estas armas digitales por parte de los gobiernos?

Se puede controlar con herramientas legales y con vigilancia ciudadana a través de los mecanismos otorgados por la ley como la fiscalización estricta de los gastos financieros de los Estados en esta materia, y la supervisión de los presupuestos de inteligencia con lo cual podremos obtener información oportuna sobre quiénes y con cuáles fines adquieren software espías. Esto es, precisamente, lo que se pretende con el proyecto de reforma a la ley de inteligencia nacional (proyecto de ley 225/24, Senado).

Estos programas caen en manos de organizaciones delictivas ¿Existen formas de bloquear o desactivar el ciberespionaje criminal?

Así como no es posible controlar completamente la criminalidad tradicional, tampoco se pueden dominar esas actividades en un 100%, , en el mundo digital. Pero los Estados tienen hoy, herramientas mejores y más potentes para enfrentar la ciberdelincuencia.

De acuerdo con la información que Karisma ha recopilado, ¿cuáles son; cómo se usan y cuánta penetración y capacidad de vigilancia tienen las tecnologías que usan las unidades de inteligencia del Estado colombiano?

Aunque las autoridades estatales no informan, abiertamente, sobre las capacidades de vigilancia que han adquirido, hoy conocemos algunas, gracias al trabajo de muchos periodistas. Sabemos que la Policía usa herramientas de identificación biométrica IMSI Catchers, incluso en niveles masivos, que tienen capacidad de hacerse pasar por una torre legítima y, de este modo, desviar, interceptar o bloquear las comunicaciones; también sabemos que tienen programas de captura y análisis de información de fuentes abiertas y perfilamientos OSINT (Open Sources Intelligence), y drones, entre otros. Pero no se trata solo de la Policía. También ejercen funciones de inteligencia otros organismos que cuentan con aparatos de “monitoreo del espectro electromagnético” y con herramientas directas para interceptar, como se supo por el escándalo de las carpetas secretas del Ejército, en el año 2020. Fue cuando se reveló que esta fuerza habría comprado un software espía para hackear, posiblemente, a políticos, magistrados y periodistas. Entre las herramientas que habrían usado sus cuerpos de inteligencia y contrainteligencia, se hallarían equipos conocidos como Stingray (interceptores IMSI) que detectan señales móviles; y un sistema informático llamado “hombre invisible”, un software para infiltrar computadores y celulares.

El mundo digital parece funcionar sin códigos ni leyes ¿Cómo opera la vida tecnológica, bajo cuáles normas de conducta?

Los derechos humanos son de obligatorio cumplimiento en todos los contextos. Como no podemos pretender regular cada uno de los desarrollos tecnológicos, hay que entender que las leyes nos dan marcos dentro de los cuales evaluamos si hay situaciones injustas que requieren la intervención del Estado. Han surgido derechos nuevos como la protección de datos, y los jueces han reconocido, explícitamente, los derechos que ya existían cuando surgen conflictos derivados de la tecnología. Dicho de otro modo, la vulneración de los derechos en el mundo digital o real no los desaparece ni los borra.

Hay mucho desconocimiento sobre cómo defenderse de un enemigo que no se ve ni se siente ¿Karisma tiene líneas de acción o un catálogo de conductas para intentar proteger los datos personales que cada vez más se encuentran alojados en nuestros dispositivos electrónicos?

Las tecnologías de intrusión y vigilancia son cada vez más potentes razón por la cual las personas no pueden hacer mucho para protegerse de un atacante suficientemente desarrollado y con recursos casi infinitos. Debido a esta realidad, el énfasis en materia de protección personal y social tiene que estar en asegurarnos que ni el Estado ni los privados puedan abusar de sus facultades o capacidades de vigilancia. Desafortunadamente, los defensores de derechos humanos y los periodistas, entre otros grupos, suelen ser víctimas de abusos en este campo. Por eso se les recomienda a todas las personas, especialmente si pertenecen a agrupaciones como las mencionadas, cifrar los datos que se tienen en el celular o computador; y usar programas de mensajería que implementen el cifrado, punto a punto. Respecto de Pegasus, la multinacional tecnológica Apple ofrece a los usuarios de su línea telefónica iPhone, un sistema de notificación de amenazas.

Pero, entonces, los usuarios estamos casi desprovistos de protección ante los intrusos tecnológicos…

No hay que perder de vista que, en lugar de que las personas tengan que proveerse de formas de autoprotección, es el Estado el que tiene la obligación de proteger a sus ciudadanos estableciendo fuertes controles en el uso de programas espía para evitar los ciberdelitos y abusos de intromisión y penetración ilegal de nuestros dispositivos.

Hasta las plataformas más potentes han sido atacadas y a veces, han sufrido robos masivos de la identidad y datos de sus millones de clientes ¿Deben conformarse cuerpos especiales de ciberpolicías para combatir a los delincuentes del mundo tecnológico?

Hay que diferenciar entre perseguir delitos cuando se cometen en contextos tecnológicos, y las garantías de las personas para disfrutar de sus derechos en el mundo digital. En cuanto al primer caso, la Fiscalía y la Policía continúan adquiriendo capacidades tecnológicas aun cuando, periódicamente, se conoce el abuso que se hace de esas mismas capacidades. En cuanto al segundo, es decir, la seguridad digital, se requieren, aún, trabajo, recursos y apoyo de distintos sectores. Existen documentos CONPES de seguridad digital pero no se ha logrado establecer agencias coordinadoras de este asunto específico como ha sucedido en otros países. Actualmente hay dos propuestas en el Congreso – una del Gobierno y otra, del senador David Luna –, para crear una agencia de seguridad digital que se concentre en la prevención y respuesta a incidentes de este tipo.

La propiedad intelectual de libros, estudios, informes, textos académicos, imágenes e, incluso, obras de arte en varias modalidades, ¿están en peligro en el mundo tecnológico?

Al contrario. La cultura se ha diversificado, ha crecido, y ha llegado a muchas personas que antes no tenían acceso, gracias a las tecnologías digitales. Hay que balancear las protecciones al derecho a explotar económicamente la propiedad intelectual con el derecho al acceso a la cultura, a la educación y a la participación en los desarrollos científicos y tecnológicos. La oferta comercial de toda clase de obras de forma práctica y a precios competitivos, puede ser un camino para balancear estos derechos.

“No se puede concluir que el uso de la tecnología siempre será catastrófico”

¿Es cierto que en un futuro no muy lejano la inteligencia artificial reemplazará al ser humano o se trata de historias fantásticas?

En Karisma partimos de la base de que la tecnología es política. El futuro también es un espacio político que tenemos el deber y el derecho de reclamar. La inteligencia artificial es un conjunto muy diverso de tecnologías entre las cuales, cada una ocupa un lugar diferente en la vida social. Así como los dueños de las empresas que producen inteligencia artificial pueden presionar para consolidar aún más su dominio, el Estado, la sociedad civil e, incluso, las mismas empresas tienen el poder de incidir en la búsqueda de un futuro en que seamos más libres y autónomos.

Pero, ¿cómo y con cuáles herramientas? No parece que tengamos el control…

Por el lío de Pegasus y su aplicación ilícita, no se puede llegar a la conclusión fatalista de que debemos renunciar a nuestros derechos o de que el uso de la tecnología siempre será catastrófico: si bien puede ser dañino, también puede resultar beneficioso para la sociedad dependiendo de la orientación y utilización que se le dé en cada ocasión.

“Mucho cuidado con la regulación en las redes sociales”

La población, sobre todo, la gente joven, acude cada vez con mayor frecuencia a la publicación, en redes, de cada detalle de sus vidas. En materia de seguridad personal, ¿esa modalidad les trae alto riesgo a los activistas digitales y deberían moderarse para no revelar sus aspectos íntimos o esa es la manera moderna de comunicarse con los demás?

Primero, es necesario formar y construir capacidades; y, después, hay que mostrar los riesgos y beneficios de las tecnologías. Esto les permite a las personas decidir, por sí mismas, hasta dónde toleran el riesgo, por ejemplo, de que muchos conozcan o incluso filtren su información personal, o sus imágenes y fotografías. La responsabilidad por el abuso de la información que se recibe o se encuentra en internet debe recaer en el agresor y no la víctima. Los jóvenes, aunque comparten información en internet, también promueven el debate sobre los comportamientos que son aceptables y sobre las materias en las que se requiere regulación. Es un tema de mucho cuidado porque la regulación para controlar el comportamiento de los usuarios de redes sociales, podría anular el derecho a la libre expresión por lo que la imposición de normas no es, necesariamente, una buena solución.