Las personas de todo el mundo merecen el derecho a mantener una conversación privada. La privacidad de las comunicaciones es un derecho humano, una libertad civil y una de las piezas centrales de una sociedad libre. Y aunque todos merecemos la privacidad básica de las comunicaciones, los periodistas, los trabajadores de las ONG y los activistas de los derechos humanos y la democracia entre nosotros están especialmente en peligro, ya que a menudo están en desacuerdo con los gobiernos poderosos.

Por eso no es de extrañar que personas de todo el mundo estén enfadadas al saber que el software de vigilancia vendido por NSO Group a los gobiernos se ha encontrado en teléfonos móviles de todo el mundo. Miles de ONG, activistas de los derechos humanos y de la democracia, junto con empleados del gobierno y muchos otros han sido objeto de ataques y espionaje. Estamos de acuerdo y agradecemos el trabajo realizado por Amnistía Internacional, los innumerables periodistas de Forbidden Stories y Citizen Lab para sacar a la luz esta terrible situación.

"El compromiso de ofrecer a sus propios ciudadanos una seguridad sólida es la verdadera prueba del compromiso de un país con la ciberseguridad".

Al igual que muchos otros, la EFF ha advertido durante años del peligro que supone el uso indebido de poderoso malware patrocinado por el Estado. Sin embargo, siguen apareciendo historias sobre programas maliciosos que se utilizan para vigilar y rastrear a periodistas y defensores de los derechos humanos que luego son asesinados -incluidos los asesinatos de Jamal Khashoggi o Cecilio Pineda-Birto. Sin embargo, no hemos conseguido que los gobiernos y las empresas responsables rindan cuentas realmente.

¿Qué se puede hacer para evitarlo? ¿Cómo podemos crear una responsabilidad y garantizar la reparación? Es alentador que tanto Sudáfrica como Alemania hayan prohibido recientemente la vigilancia de las comunicaciones por red, en parte porque no había forma de proteger las comunicaciones privadas esenciales de los periodistas y las comunicaciones privilegiadas de los abogados. Todos merecemos la privacidad, pero los abogados, los periodistas y los defensores de los derechos humanos corren un riesgo especial debido a su relación a menudo adversa con los gobiernos poderosos. Por supuesto, la naturaleza de doble uso de la vigilancia selectiva, como el malware que vende NSO, es más complicada, ya que está permitida en virtud de la legislación sobre derechos humanos cuando se despliega bajo los límites adecuados "necesarios y proporcionados". Pero eso no significa que estemos indefensos. De hecho, tenemos sugerencias tanto en materia de prevención como de responsabilidad.

En primer lugar, y sin lugar a dudas, necesitamos una verdadera seguridad para los dispositivos. Aunque todo el software puede tener fallos y el malware a menudo se aprovecha de esos fallos, podemos hacerlo mucho mejor. Para hacerlo mejor, necesitamos el apoyo total de nuestros gobiernos. Es vergonzoso que en 2021 el gobierno de Estados Unidos, así como muchos gobiernos extranjeros en The Five Eyes y otros lugares, estén más interesados en su propio acceso fácil y subrepticio a nuestros dispositivos que en la seguridad real de los mismos. El compromiso de ofrecer a sus propios ciudadanos una seguridad sólida es la verdadera prueba del compromiso de un país con la ciberseguridad. Según esta medida, los países del mundo, especialmente los que se consideran líderes en ciberseguridad, están fracasando actualmente.

Ahora parece dolorosamente obvio que necesitamos la cooperación internacional en apoyo de un fuerte cifrado a la par que mejor seguridad de los dispositivos. Los países deberían responsabilizarse entre sí cuando presionan a los fabricantes de dispositivos para que los reduzcan o les pongan puertas traseras y cuando acumulan ataques de día cero y de otro tipo en lugar de garantizar que esos agujeros de seguridad se solucionen rápidamente. También necesitamos que los gobiernos se obliguen mutuamente a cumplir el requisito "necesario y proporcionado" de la legislación internacional sobre derechos humanos para evaluar la vigilancia, y estos límites deben aplicarse tanto si la vigilancia se realiza con fines policiales como de seguridad nacional. Y Estados Unidos, la UE y otros países deben ejercer presión diplomática sobre los países en los que tienen su sede estas inmorales empresas de software espía para que dejen de vender equipos de piratería informática a países que los utilizan para cometer abusos contra los derechos humanos. En este punto, muchas de estas empresas - Cellebrite, NSO Group y Candiru/Saitu- tienen su sede en Israel y es hora de que tanto los gobiernos como la sociedad civil centren su atención en este país.

En segundo lugar, podemos crear una verdadera responsabilidad actualizando las leyes y los recursos en todo el mundo para garantizar que las personas afectadas por el malware patrocinado por el Estado tengan la posibilidad de presentar una demanda u obtener un recurso. Aquellos que han sido espiados deben poder obtener reparación tanto de los gobiernos que realizan el espionaje ilegal como de las empresas que les proporcionan a sabiendas las herramientas específicas para hacerlo. Las empresas cuyo buen nombre se ve empañado por este malware también merecen poder detenerlo. La EFF ha apoyado todos estos esfuerzos, pero se necesitan más. En concreto:

Apoyamos el litigio de WhatsApp contra NSO Group para que dejara de hacerse pasar por WhatsApp como estrategia para infectar a víctimas desprevenidas. El Noveno Circuito está estudiando actualmente la apelación de NSO.

Buscamos la responsabilidad directa de los gobiernos extranjeros que espían a los estadounidenses en Estados Unidos en Kidane contra Etiopía. Argumentamos que los países extranjeros que instalan programas maliciosos en los dispositivos de los estadounidenses deberían rendir cuentas, al igual que lo haría el gobierno de Estados Unidos si violara la Ley de escuchas telefónicas o cualquiera de las otras muchas leyes aplicables. Nos vimos obstaculizados por una lectura limitada de la ley en el Circuito de Columbia: el tribunal decidió erróneamente que el hecho de que el malware se enviara desde Etiopía y no desde Estados Unidos daba lugar a la inmunidad soberana. Ese peligroso fallo debería ser corregido por otros tribunales o el Congreso debería aclarar que los gobiernos extranjeros no tienen un pase libre para espiar a la gente en Estados Unidos. NSO Group dice que los números de teléfono de Estados Unidos (que empiezan por +1) no pueden ser rastreados por su servicio, pero los estadounidenses pueden tener y tienen teléfonos con base en el extranjero y, a pesar de ello, todo el mundo merece derechos humanos y reparación. Los países de todo el mundo deberían dar un paso adelante para asegurarse de que sus leyes cubren los ataques de malware patrocinados por el Estado que se producen en su jurisdicción.

También hemos apoyado a quienes piden responsabilidades a las empresas directamente, incluida la minoría religiosa china que ha sido objeto de ataques utilizando una parte especialmente construida del Gran Cortafuegos de China creado por el gigante tecnológico estadounidense Cisco.

"La verdad es que demasiados países democráticos o de tendencia democrática están facilitando la propagación de este malware porque quieren poder utilizarlo contra sus propios enemigos".

En tercer lugar, debemos aumentar la presión sobre estas empresas para que se aseguren de que no están vendiendo a regímenes represivos y seguir nombrando y avergonzando a las que lo hacen. El marco de EFF's Know Your Customer es un buen punto de partida, al igual que el State Department's draft guidance (que aparentemente nunca se finalizó). Y estas promesas tienen que tener un peso real. Al parecer, teníamos razón en 2019 en cuanto a que el anuncio inaplicable de NSO Group de que se atenía a las "normas más estrictas de la ética empresarial" era, en gran medida, un movimiento de relaciones públicas sin fundamento. Sin embargo, aunque NSO está en el punto de mira con razón, no es el único actor en este mercado inmoral. Las empresas que venden equipos peligrosos de todo tipo deben tomar medidas para comprender y limitar el mal uso y esta vigilancia. Las herramientas de malware utilizadas por los gobiernos no son diferentes.

En cuarto lugar, apoyamos al antiguo Relator Especial de las Naciones Unidas para la Libertad de Expresión David Kaye en su petición de una moratoria sobre el uso gubernamental de estas tecnologías de malware. Aunque se trata de una posibilidad remota, estamos de acuerdo en que el largo historial de uso indebido y la creciente lista de ejecuciones extrajudiciales de periodistas y defensores de los derechos humanos resultantes, junto con otros abusos de los derechos humanos, justifica una moratoria completa.

Estos son sólo el comienzo de posibles remedios y estrategias de responsabilidad. Otros enfoques también pueden ser razonables, pero cada uno debe reconocer que, al menos en este momento, las comunidades de inteligencia y de aplicación de la ley de muchos países no están definiendo la "ciberseguridad" para incluir realmente la protección de nosotros, y mucho menos de los periodistas y las ONG y los activistas que hacen el trabajo arriesgado para mantenernos informados y proteger nuestros derechos. También tenemos que entender que, a menos que se haga con cuidado, las respuestas reguladoras, como activar aún más las restricciones a la exportación de Estados Unidos, podrían resultar en menos seguridad para el resto de nosotros, mientras que no se aborda realmente el problema. El Grupo NSO pudo al parecer vender al régimen saudí con el permiso y el estímulo del gobierno israelí en virtud del régimen de exportación de ese país. La verdad es que demasiados países democráticos o de tendencia democrática están facilitando la difusión de este malware porque quieren poder utilizarlo contra sus propios enemigos.

Hasta que los gobiernos de todo el mundo no se quiten de en medio y apoyen realmente la seguridad de todos nosotros, incluyendo la rendición de cuentas y la reparación de las víctimas, estos atropellos continuarán. Los gobiernos deben reconocer que la hostilidad de las agencias de inteligencia y de las fuerzas de seguridad hacia la seguridad de los dispositivos es peligrosa para sus propios ciudadanos porque un dispositivo no puede saber si el malware que lo infecta es de los buenos o de los malos. Este hecho no va a desaparecer.

Debemos contar con una fuerte seguridad al principio y una fuerte responsabilidad después del hecho si queremos llegar a un mundo en el que todos podamos disfrutar de la seguridad de las comunicaciones. Sólo entonces nuestros periodistas, defensores de los derechos humanos y ONG podrán realizar su trabajo sin temor a ser rastreados, vigilados y potencialmente asesinados simplemente por utilizar un dispositivo móvil.