En junio de este año, Citizen Lab, centro de investigación de Munk School of Global Affairs en Toronto, publicó un reporte que expone las posibles actividades del gobierno mexicano para intervenir las comunicaciones de políticos, activistas y ciudadanos de oposición, por medio de un programa de spyware conocido como Pegasus.
De acuerdo con datos publicados por dicha institución, este software generado por la compañía israelí NSO Group es distribuido a gobiernos con fines de uso en materia de inteligencia y seguridad nacional, permitiéndoles acceder a distintas funciones de dispositivos electrónicos de usuarios selectos. Pegasus infecta los dispositivos de la víctima por medio de una técnica conocida como spear phishing, es decir, mensajes maliciosos que invitan a un usuario en específico a dar click en un link, abriendo así una puerta hasta su información privada.
Si bien la probable invasión a la privacidad por parte de actores gubernamentales resulta por sí mismo un tema de gran relevancia, dada la falta de información al respecto en este artículo no buscaré ahondar en la veracidad de la anécdota. Más bien, me dedicaré a explicar con mayor profundidad en qué consiste esta tecnología, cómo ha sido utilizada en otros países, qué retos presenta y cuáles son sus implicaciones en materia de ciberseguridad y privacidad en el contexto mexicano.
¿Qué es spyware y por qué existe?
Las redes de comunicaciones y dispositivos tecnológicos que utilizamos actualmente son producto del desarrollo de sistemas que originalmente no fueron diseñados para salvaguardar información, sino más bien para distribuirla. Dadas las circunstancias, hoy todos los individuos e instituciones son vulnerables a ataques cibernéticos que afectan la integridad, confidencialidad o disponibilidad de nuestra información.
Partiendo de este contexto, spyware es un programa o software que es instalado en un dispositivo electrónico sin el conocimiento del usuario. Su finalidad es recopilar información sobre el uso del dispositivo, rastreando por ejemplo los sitios que son visitados en línea, las aplicaciones utilizadas, los archivos guardados, textos enviados u otras comunicaciones audiovisuales.
Aunque la descripción de las capacidades de este tipo de software puede resultar alarmante, en realidad éste es bastante común. Aplicaciones similares son utilizadas regularmente por organizaciones para controlar el tráfico en sus sistemas o por autoridades para realizar investigaciones en temas de seguridad. Algunas de las mayores empresas de tecnología cuentan con nuestra aprobación “voluntaria” para monitorear nuestras preferencias (incluyendo Google, Facebook o Amazon, que continuamente nos sugieren productos personalizados con base en nuestros hábitos en línea).
La verdadera problemática radica en el uso malicioso de estas herramientas, ya que vulneran la privacidad de los usuarios. Dado el rápido desarrollo tecnológico y la dependencia que experimentamos en nuestros dispositivos, en la actualidad los riesgos a la privacidad y la seguridad cibernética resultan más claros que nunca. Nuestra información es un blanco fácil para individuos, empresas, organizaciones criminales e incluso gobiernos que tengan los recursos y el conocimiento para recurrir a las tecnologías indicadas.
Tecnología para monitoreo de ciudadanos
A mediados de 2013 fue expuesta por primera vez a nivel global la capacidad de los gobiernos para acceder a las comunicaciones de los ciudadanos de forma masiva. Según las revelaciones del caso de Edward Snowden, el gobierno estadounidense contaba con un programa avanzado de monitoreo de señales para fines de seguridad nacional, mejor conocido como PRISM. Más aún, este programa era respaldado por el grupo de países angloparlantes conocido como Los Cinco Ojos, conformado por Australia, Nueva Zelanda, Canadá, Estados Unidos y Reino Unido.
A partir de que dicha información fue publicada, se desató en todo el mundo un debate sobre privacidad contra seguridad, dando pie a la adopción de la resolución 68/167 sobre el derecho a la privacidad en la era digital, por parte de la Asamblea General de las Naciones Unidas bajo el liderazgo de Brasil y Alemania. A pesar de que el diálogo comenzó, aún no existe solución alguna al problema e incluso en algunos países el uso de la tecnología no es sólo monitoreado, sino también censurado.
En el caso particular de spyware como el que se atribuye al gobierno mexicano, hay antecedentes sobre otras regiones en que se han contratado servicios para vigilar a los ciudadanos. Entre éstos destaca el monitoreo del activista de derechos humanos Ahmed Mansoor de Emiratos Árabes Unidos o el desvío de fondos del expresidente de Panamá, Ricardo A. Martinelli, para la contratación de NSO Group. Más dispositivos Android infectados con este malware han sido ubicados en Israel, Georgia, Turquía, Kenia, Nigeria y por supuesto México, entre otros.
De hecho, NSO Group no es la única compañía que se encarga de desarrollar este tipo de software; existen supuestos competidores en otros países. Su labor consiste en un servicio de software común: encontrar puertas de entrada a sistemas de dispositivos populares por medio de vulnerabilidades en su código. Esto también ha sido realizado por otras instituciones, como lo comprueba la información filtrada por Wikileaks (en marzo de 2017) sobre las prácticas de la CIA (Agencia Central de Inteligencia de los Estados Unidos).
Privacidad y seguridad en la era digital
A pesar de que las acusaciones sobre el monitoreo de redes ciudadanas en México hayan generado disgusto y puedan invitar a las audiencias a exigir respuestas inmediatas, es muy poco probable que vaya a darse alguna respuesta en el corto plazo. Hay un vacío en términos de ciberseguridad en el país, tanto en materia de infraestructura y conocimientos avanzados, como en cuestión regulatoria y de conciencia a nivel ciudadanía. Es necesario invertir más recursos para evitar que este tipo de actividad se convierta en una práctica regular.
Por lo tanto, la anécdota presentada debería más bien funcionar como un recordatorio en torno a la necesidad de fortalecer el diálogo sobre seguridad y privacidad en México. Debe tratarse con mayor profundidad el análisis del rumbo de los avances en tecnología, así como sus posibles implicaciones en distintas áreas, combinando los esfuerzos de profesionales con distintas habilidades técnicas y no técnicas.
Finalmente, no hay que olvidar la importancia del factor humano en este proceso, pues al final él es quien decide si un programa es utilizado para mejorar servicios, mantener la seguridad nacional y protegernos de cibercriminales, o para monitorear las comunicaciones del vecino.