Autor: Susana B. García para CIBERPRISMA

El 18 de julio 2021 el diario Washington Post publicó que el spyware Pegasus de NSO Group de Israel habría sido utilizado para hackear 37 smartphones de periodistas, activistas de derechos humanos, ejecutivos de empresas y algunas mujeres cercanas al periodista saudi Jamal Khashoggi. Khashoggi, corresponsal del Washington Post y mordaz crítico del gobierno árabe, fue asesinado dentro del consulado saudita en la ciudad turca de Estambul por agentes sauditas.

Día atrás Microsoft y la unidad de investigación de la Universidad de Toronto, CitizenLab denunciaron que un spyware comercializado por otra empresa israelí, Candiru, aprovecha vulnerabilidades del sistema Windows y de los navegadores Google Chrome y Explorer para desplegar un malware destinado a obtener información de disidentes políticos y periodistas en al menos 10 países.

Esta noticia vuelve a poner en el tapete la cuestión no resuelta de la responsabilidad del diseñador y/o fabricante de sofware en relación con las fallas y vulnerabilidades de sus productos y con el empleo que se dé al mismo por parte del usuario/cliente. En este caso son los spyware, o software espías como se los conoce generalmente, los que están en el ojo de la tormenta. Sin embargo, justo es señalar que no resulta una cuestión menor, de cara a las innovaciones tecnológicas asociadas a la Inteligencia Artificial, la Internet de las Cosas y la Internet del Todo, que ya se asoman en nuestro horizonte. Conceptos como privacidad y libertad,tan sensibles al ánimo de los ciudadanos, y como seguridad y protección de datos que desvelan a todas las organizaciones, se entrecruzan cada vez que uno de estos eventos sale a la luz.

Otro de los puntos controvertidos surge de la dualidad de empleo que tienen algunas tecnologías. Los spyware son una herramienta legítima de investigación criminal, en tanto el marco normativo así lo autorice y regule su empleo, utilizada por organismos gubernamentales y fuerzas de seguridad para combatir flagelos tan terribles como el cibercrimen, el crimen organizado y el terrorismo en todo el mundo. Sin embargo, la fragilidad jurídico-institucional de algunos gobiernos se convierte en un campo fértil para el empleo «no legítimo» de estas tecnologías: la persecución a disidentes y opositores políticos, sus familiares y amigos, sus asesores legales, periodistas y organizaciones vinculadas a la defensa de los derechos humanos.

Tampoco es novedad la preocupación general que existe en torno a los innumerables eventos de ciberseguridad vinculados a debilidades intrínsecas de los productos de software que ocasionan pérdidas millonarias a las organizaciones y grandes beneficios económicos a los actores del cibercrimen. La industria del software, que involucra la investigación, desarrollo, distribución y comercialización de software. es una de las más prolíficas cuyos ingresos alcanzaron en 2020 los 500 mil millones de dólares y existen pronósticos que aseguran que en 2025 casi habrán duplicado esa cifra.

Microsoft lidera este mercado y no podemos no mencionar la preocupación que sus directivos han de tener ante la publicidad de las vulnerabilidades y fallos de sus software asociados a los últimos megaincidentes de robo de información, ataques ransomware y de cadena de suministro. El no resuelto dilema de la atribución y los pronósticos de aumento del cibercrimen no han colaborado para reducir el grado de responsabilidad que pudiera caberle ante estos incidentes. ¿Podría esto explicar la puesta en evidencia de las empresas israelíes? Convengamos que tan condenable es el empleo de estas herramientas para persecusión política como debiera ser la falta de responsabilidad de comercializar software sin la debida verificación de seguridad.

Y no sólo se trata de Microsoft, sino que todas las empresas denominadas «BigTech» se encuentran en la misma y delicada posición. Además, pocos se sorprenden ya de la difusa relación amor-odio que estas empresas tienen con el gobierno de EEUU y las implicancias de orden geopolítico que resultan de la misma. Esto nos lleva a preguntarnos ¿cuál habrá sido el pecado capital de la industria israelí? ¿serán destinatarios del mismo castigo que Mark Zuckerberg en 2018 por no haber informado debida y oportunamente?

A mediados de 2019, David Kaye, Relator Especial sobre libertad de opinión y expresión, solicitó a Naciones Unidas la implementación de una moratoria inmediata que prohiba la venta, transferencia y empleo de tecnologías de vigilancia hasta que se diseñe un mecanismo efectivo que garantice la protección de los derechos humanos.

Naciones Unidas y la Unión Europea. iniciaron anteriormente acciones en torno a establecer algún tipo de control a la a venta, transferencia y empleo de tecnologías de vigilancia pero ante las presiones de la industria del software por temor a que estos controles se generalicen a todo tipo de software, nunca avanzaron.

Muchos son los temas que deberíamos profundizar para entender estos incidentes que, como habrán podido observar, contribuyen a complejizar la trama de intereses que se tejen en el ciberespacio. Condenamos el abuso y uso ilegal de estas tecnologías, pero decididamente esa es sólo una cara del poliedro.