El experto en seguridad y hácker Morgan Marquis-Boire se dedica a investigar el turbio submundo de la vigilancia gubernamental. Aquí explica cómo los gobiernos utilizan código informático malicioso para espiar a periodistas y activistas de derechos humanos en todo el mundo.
¿Qué son los programas espía (spyware) y en qué se diferencian de otros programas maliciosos (malware)?
En términos generales, el malware es código malicioso que hace algo dañino o indeseable en el sistema de un usuario sin que este haya dado su consentimiento. La mayoría de las personas saben lo que son los virus, los troyanos, los programas delictivos (crimeware) e incluso los programas de secuestro de información (ransomware), que cifran los datos del usuario y exigen un “rescate” por su devolución. En los últimos años ha aumentado la sensibilización sobre los programas maliciosos que se utilizan con fines de vigilancia, también conocidos como programas espía o spyware. Estos programas son instalados en el ordenador de la víctima por agentes del Estado, espías y la policía, y no por delincuentes informáticos. Les proporcionan acceso a las comunicaciones por Internet de la víctima, y dado que hoy en día una gran parte de nuestra vida transcurre en Internet, ahí es donde el Estado lleva a cabo la mayor parte de sus operaciones de vigilancia.
¿Cuánto pueden ver?
Depende del uso que se haga del dispositivo que está siendo interceptado. Por ejemplo, como los teléfonos móviles cada vez se utilizan menos para hacer llamadas y más para comunicarse a través de Internet, hemos observado que ha surgido el correspondiente mercado de los llamados programas espía de “interceptación legal” de teléfonos móviles. Si tienes uno de estos programas instalado en el teléfono sin saberlo, pueden determinar tu ubicación mediante GPS, acceder a tu lista de contactos, espiar los mensajes SMS que envías y recibes, grabar tus llamadas de teléfono y ver de qué estás hablando en el chat de Facebook, entre otras cosas.
Si tienes uno de estos programas instalado en el teléfono sin saberlo, pueden determinar tu ubicación mediante GPS, acceder a tu lista de contactos, espiar los mensajes SMS que envías y recibes y grabar tus llamadas de teléfono.
Morgan Marquis-Boire
¿Quiénes están siendo vigilados?
Un grupo de periodistas y activistas marroquíes conocido como Mamfakinch fue espiado con programas maliciosos que, según parece, habían sido distribuidos por las autoridades marroquíes. Les enviaron un documento “carnada” en forma de un comunicado que simulaba ser una primicia. Al analizarlo, encontré que el documento contenía código malicioso que, de forma secreta, instalaba programas espía en los dispositivos, de manera que el gobierno podía ver lo que iban a escribir los miembros de Mamfakinch y cuáles eran sus fuentes.
También descubrí que Ahmed Mansoor, un destacado defensor de los derechos humanos en Emiratos Árabes Unidos, ha sido vigilado con programas espía comerciales. Está sometido de forma constante a vigilancia física y electrónica, y ha sido golpeado y agredido físicamente. También ha recibido numerosas amenazas de muerte por su activismo pacífico.
Durante la Primavera Árabe, el gobierno de Bahréin utilizó programas espía adquiridos a una empresa del Reino Unido para vigilar a un grupo llamado Bahrain Watch que vigila el comercio de armas. Y en Estados Unidos un canal de televisión por satélite llamado ESAT que informa sobre Etiopía fue sometido a vigilancia con programas maliciosos creados por otra empresa europea.
¿Qué empresas venden programas espía?
Hay empresas pequeñas que han cobrado notoriedad por vender este tipo de programas a regímenes represivos. Una empresa británico-germana, Gamma International, distribuyó los programas espía que se utilizaron para vigilar a los activistas de Bahréin. También está Hacking Team, una empresa italiana que participó en el ataque a Mamfakinch y que ya antes había vendido programas espía a diferentes gobiernos represivos, incluidos Sudán, Etiopía, Bahréin, Egipto, Kazajistán y Arabia Saudí. Una fuga de información reciente reveló que, hace relativamente poco, el pasado mes de mayo, la empresa estaba planteándose vender a Libia. Y luego están las empresas multinacionales más grandes, como Lockheed-Martin, BAE Systems y Raytheon, que también fabrican este tipo de tecnología. Este mapa muestra muchos otros agentes que operan en el turbio sector de la vigilancia.
¿Qué pueden hacer al respecto los activistas y los periodistas?
El uso de tecnologías de protección, como el cifrado y las herramientas de protección del anonimato y la intimidad, es muy escaso entre los activistas de derechos humanos. Muchas personas tienen una idea clara sobre qué información sensible —documentos, comunicaciones, investigación— querrían proteger. Así que el siguiente paso es formarse y empezar a reflexionar sobre la seguridad de un modo sensato. En Internet hay varios recursos, como el exhaustivo kit de autoprotección contra la vigilancia de la Fundación Fronteras Electrónicas (Electronic Frontier Foundation, EFF). Para ver una guía rápida y sencilla, también pueden leer esta entrada de blog de un colega del Citizen Lab.
Tiendo a evitar recomendar de forma general herramientas individuales como si fueran la panacea, porque no existe un curalotodo universal para la vigilancia. Las personas también deben ser conscientes de que no están tomando la decisión únicamente para sí mismas, sino también para otras personas con las que se comunican que pueden estar en una situación más peligrosa.
¿Qué debe hacer Amnistía Internacional al respecto?
El hecho de que organizaciones como Amnistía Internacional hayan comenzado a hablar sobre los peligros de la vigilancia a grupos de derechos humanos me parece muy positivo. Amnistía, que ha sido víctima de espionaje, sabe por experiencia propia el daño que hace esta tendencia. Albergo la esperanza de que esta situación promueva unos hábitos de seguridad más positivos en este espacio. También es fabuloso que Amnistía esté captando apoyos para impulsar un cambio hacia políticas más positivas en este ámbito. Me gustaría que hubiera más transparencia en torno al uso de este tipo de vigilancia por parte de los gobiernos, así como una mayor sensibilización por parte de las personas y las organizaciones pequeñas en relación con las medidas de seguridad que deberían tomar.
¿Qué ocurrirá en el futuro?
Es difícil prever con mucha antelación qué ocurrirá en el futuro, puesto que este ámbito de la tecnología evoluciona muy rápido. Hemos oído decir a la Agencia de Seguridad Nacional de Estados Unidos que va a dejar de recabar metadatos de los teléfonos móviles, pero, por otro lado, el gobierno del Reino Unido y el FBI han estado infundiendo temor en relación con el cifrado potente en aplicaciones informáticas de chat y mensajería y pidiendo tener un mayor acceso a los datos privados de los usuarios. Es realmente difícil predecir qué resultará de todo esto, pero ahora más que nunca es importante que la gente participe en el debate y someta a los gobiernos a escrutinio.
Morgan Marquis-Boire es asesor en funciones del Consejo de Tecnología y Derechos Humanos de Amnistía Internacional. Proporciona inteligencia sobre amenazas y conocimientos especializados sobre seguridad que informan nuestra investigación y nuestra defensa de los abusos contra los derechos humanos relacionados con las nuevas tecnologías.