Experto alerta que software de inteligencia usados por gobiernos ponen en riesgo la privacidad de las personas

Entre 2018 y 2021, diversas autoridades mexicanas firmaron 80 contratos por US$ 14,4 millones, con empresas de inteligencia digital israelíes como Cellebrite y NSO Group, para adquirir dispositivos de extracción de datos de teléfonos móviles los que fueron utilizados por la mitad de los estados de ese país y el Ejército para vigilar a los ciudadanos e intervenir acomunicaciones privadas. El caso llegó a la Suprema Corte de Justicia, tras un recurso de amparo presentado por la ONG mexicana Red en Defensa de los Derechos Digitales (R3D).

El tema volvió a cobrar relevancia, porque la Oficina Federal de Investigación (FBI) de Estados Unidos (EEUU) utilizó un software de Cellebrite para desbloquear el celular de Thomas Matthew Crooks, quien fue abatido por el servicio secreto de este país, tras intentar asesinar a Donald Trump. Luego se supo, que esta empresa suministra tecnología a diferentes agencias federales de este país.

“Estamos llegando a una etapa de vigilancia masiva en donde, como ciudadanos, estamos perdiendo derechos fundamentales, estamos perdiendo nuestra privacidad y tampoco estamos seguros”.

Adriel Araujo,  CEO de Hackmetrix, startup chilena basada en México que desarrolló un software para que pequeñas y medianas empresas cumplan con certificaciones en ciberseguridad, alertó que estas tecnologías a las que hoy tienen acceso los gobiernos son “críticas” en materia de privacidad.

Comentó que a nivel global muchos gobiernos las usan “arbitrariamente”, por sobre el bien de la población o de la justicia, donde, “a través de cruces de favores con el poder judicial”, obtienen órdenes para intervenir las comunicaciones o los sistemas de las personas, sin que “siquiera haya una causa que lo debiese permitir”.

Señaló, por ejemplo, que la Agencia Nacional de Seguridad de EEUU protagonizó un caso masivo de espionaje a extranjeros amparado en un artículo de la  Ley de Vigilancia de la Inteligencia Extranjera de 2008, la que se derogó en 2017. Aquí, la agencia valiéndose de dispositivos de inteligencia accedió a comunicaciones y almacenó información privada de extranjeros, sin necesidad de orden judicial.

Vulnerabilidad cero

Araujo alertó que las empresas que desarrollan software de inteligencia entrenan a sus modelos con datos que se transan en plataformas e incluso, en el mercado negro, los son comercializados por ciberdelincuentes.

Explicó que en la industria de la ciberseguridad existen las llamadas “vulnerabilidades de día cero”, es decir, debilidades o fallas presentes en un software y sistemas operativos que solo son conocidas por quien las descubre e incluso, sus propios desarrolladores las desconocen.

En general, estas personas son delincuentes que luego comercializan las vulnerabilidades en la Dark Web para que otros las usen para concretar ciberataques. Sin embargo, también existen profesionales especializados que se dedican a identificar vulnerabilidades y venderlas en plataformas legales. Por ejemplo, la compañía estadounidense de seguridad informática, Zerodium, orientada a detectar “vulnerabilidades e alto riesgo”, paga a investigadores de seguridad por vulnerabilidades de día cero, con recompensas de hasta US$ 2,5 millones por entrega.

En 2020, Reporters Without Borders, una organización internacional sin fines de lucro con sede en París que defiende la libertad de prensa, afirmó que una vulnerabilidad comercializada por Zerodium se utilizó para espiar a Ahmed Mansoor, bloguero de Emiratos Árabes Unidos. Se trata de un periodista que cubre las violaciones de derechos humanos en su país y que además ayudó a descubrir Pegasus, un spyware que fue usado por gobiernos, que infecta los teléfonos móviles aprovechando las vulnerabilidades para acceder a toda la información, incluida contraseñas, de ciudadanos.

Araujo afirmó que empresas como Cellebrite o NSO Group, creadora de Pagasus, son los principales compradores de vulnerabilidades, con las que entrenan sus desarrollos y posteriormente los venden a las agencias de inteligencia gubernamentales, por licencias que van desde los US$ 100 mil mensuales.

“Estamos llegando a una etapa de vigilancia masiva, en donde, como ciudadano, estamos perdiendo nuestros derechos fundamentales, estamos perdiendo nuestra privacidad y tampoco estamos seguros”, afirmó el emprendedor y experto en ciberseguridad.

Protección de datos

Araujo comentó que si bien estas vulneraciones por ahora se están dando en países desarrollados como EEUU, y en México, Chile podría adelantarse y tomar precauciones para proteger la privacidad de las personas.

En este contexto valoró la Ley de Protección de Datos Personales que está próxima a aprobarse en el país, pero señaló que el desafío está en cómo operará una vez que se apruebe y entre en vigencia.

Explicó que México tiene una Ley Federal de Protección de Datos, la que no se ha puesto “muy” en práctica. Si bien se multa a las empresas que no tienen la declaración correcta en su sitio web, en la práctica, si hay una filtración de datos, solo las compañías financieras las reportan.

Araujo añadió que hay que preguntarse cómo está estructurada la regulación y enfocarse en la preocupación de los ciudadanos en la países de Latinoamérica “para que no se le permita a un gobierno hacer este tipo de espionaje masivo”.