29 julio, 2021

El caso NSO: una explicación

¿Cuándo es legítimo usar un software de vigilancia y cuándo su uso cruza la raya? El software de vigilancia, que incluye programas de escucha y recopilación de información, está permitido en determinadas circunstancias: primero, cuando lo utilizan las autoridades policiales; segundo, cuando se usa para el propósito específico de investigar delitos específicos; y tercero, sujeto […]

Vista aéra de una de las filiales del NSO Group en el desierto de Aravá en el sur de Israel Foto: REUTERS/Amir Cohen

¿Cuándo es legítimo usar un software de vigilancia y cuándo su uso cruza la raya?

El software de vigilancia, que incluye programas de escucha y recopilación de información, está permitido en determinadas circunstancias: primero, cuando lo utilizan las autoridades policiales; segundo, cuando se usa para el propósito específico de investigar delitos específicos; y tercero, sujeto a la supervisión que generalmente brindan los tribunales.

Pegasus y programas similares tienen características muy singulares: no son software de ataque cibernético, ya que no paralizan los sistemas ni borran o alteran la información en las computadoras de destino. En cambio, solo recopilan información, que posteriormente puede ser utilizada de diferentes maneras por quienes la reciben. Por tanto, estos programas pueden utilizarse para todo tipo de propósitos, tanto legítimos como ilegítimos (lo que significa que son lo que se denomina sistemas de “doble propósito”). La mayoría de las ventas de Pegasus se han realizado a organismos encargados de hacer cumplir la ley en países que lo utilizan de manera muy específica, con la supervisión de los tribunales. Sin embargo, informes recientes indican que también ha sido utilizado por agencias políticas, o con fines políticos, en países no democráticos o semidemocráticos. Además, se ha desplegado de forma desenfocada, para recopilar todo tipo de información de todo tipo de personas; en lugar de utilizarse únicamente contra los sospechosos de delitos graves, se ha utilizado contra activistas de derechos humanos y periodistas, sin supervisión judicial.

En otras palabras, el problema ha sido el amplio alcance del uso ilegítimo que se ha hecho de Pegasus, como una herramienta para que los líderes encarcelen o dañen físicamente a personas inocentes, distinto de los importantes usos legítimos para los que se puede implementar.

¿Por qué el Ministerio de Defensa no bloqueó las ventas a regímenes no democráticos que utilizan estas herramientas con fines ilegítimos?

Cabe señalar que el Ministerio de Defensa aprobó estas ventas y muy probablemente las apoyó. Las dos divisiones relevantes del ministerio son la División de Exportación de Defensa, que apoya y fomenta las ventas al exterior de tecnología de defensa; y la División de Supervisión de Exportaciones de Tecnología de Defensa, responsable de la supervisión de estas ventas. En gran medida, esta antigua división es un caso del zorro que custodia el gallinero.

Para ser claros, la supervisión de las exportaciones de defensa de Israel (incluidas las exportaciones de tecnologías de defensa como Pegasus) es extremadamente minuciosa. Toda empresa exportadora debe superar cuatro obstáculos reglamentarios:

(1) registrar la empresa en el Registro de Exportadores de Defensa; (2) registrar el producto y recibir la correspondiente autorización de seguridad; (3) obtener una licencia de comercialización (aprobación para ofrecer a la venta un producto en particular, en un país en particular); y (4) si una venta se convierte en un prospecto relevante, obtener una licencia de venta. Este régimen regulatorio draconiano está diseñado para mantener una supervisión integral de las exportaciones de defensa por parte del Estado de Israel y, por lo tanto, sería falso afirmar que el Estado no sabe o no le importa a quién se venden estas tecnologías.

Aquí es donde aplican las consideraciones tomadas en cuenta por el Ministerio de Defensa, de las cuales hay cuatro tipos principales:

  1. Consideraciones de defensa diseñadas para garantizar la superioridad militar continua de Israel y evitar que los productos lleguen a elementos hostiles. (¿Existe alguna posibilidad de que un producto que se vende ahora llegue a manos de Hezbolá?)
  2. Consideraciones internacionales, en las que también participa el Ministerio de Relaciones Exteriores, relacionadas con las guerras comerciales internacionales. (Israel no vende a China para no enojar a Estados Unidos).
  3. Relaciones Internacionales. (Israel no vende a Ucrania para no enojar a Rusia, pero sí vende a Hungría e India y otros regímenes «amistosos» en el Medio Oriente que buscan silenciar a sus críticos).
  4. Consideraciones de derechos humanos, en particular con respecto al temor de que los activistas de derechos humanos puedan llevar casos a los tribunales contra el Ministerio de Defensa.

¿Cómo afectará este asunto a la ciberindustria local?

Incidentes como este pueden dañar a la industria cibernética israelí en su conjunto, y no solo a la empresa en particular involucrada. El caso Pegasus presenta a toda esta industria como una que en gran medida no es beneficiosa para el mundo en general, sino que exporta armamento sofisticado a Estados con un historial espantoso en materia de derechos humanos. La industria cibernética es un motor importante que impulsa la economía israelí y, por lo tanto, el Estado tiene un doble papel que desempeñar: por un lado, quiere hacer avanzar la industria y fomentar la innovación, y por el otro, está movido a frenarlo debido a consideraciones estratégicas locales e internacionales, como en este caso y en instancias anteriores similares.

Si empresas como Amazon deciden apagar los servidores de las compañías israelíes (como hicieron con NSO), esto podría dañar a toda la industria. Si empresas como Microsoft deciden dejar de invertir en empresas israelíes de recopilación de datos y cibernética, como ha sucedido en el pasado, otros inversores lo seguirán. Es importante entender que en la era actual, los gigantes globales de la alta tecnología no anda con juegos, dejan de lado sin piedad a aquellos que no siguen sus reglas, ya sea que sus decisiones nos parezcan justificadas o no.

El mundo de la ciberseguridad se divide en gran medida en dos áreas: defensiva y ofensiva. Este caso es inusual porque se refiere a una tercera área: la recopilación de datos. Cuando una empresa como NSO inserta Pegasus en un teléfono, los datos del usuario no se eliminan ni se corrompen, sino que se recopilan. Según los informes, varios Estados y agencias de todo el mundo utilizaron estas capacidades para intimidar y perseguir a periodistas y activistas de derechos humanos.

La cuestión que tenemos ante nosotros es, por tanto, más amplia. Necesitamos decidir qué hacer con los sistemas que simplemente recopilan información, en un mundo en el que la información y los datos son extremadamente valiosos y pueden utilizarse para oprimir a poblaciones enteras.

Fuente: IDI The Israel Democracy Institute

#, #, #, #

Más sobre Diplomacia y Defensa