Espiar es muy rentable

 


Desarrollar y vender software espía continúa siendo un negocio muy lucrativo. Pese a escándalos como el de Pegasus, la lista de empresas que se hacen de oro a costa de la privacidad de periodistas, políticos, activistas y ciudadanía en general es muy numerosa, sin que ni gobiernos ni empresas usuarias de este tipo de software sean penalizados. Aunque el papel lo soporte todo y se nos venda una protección de nuestra privacidad, el desamparo es total. La alemana FinFisher y la italiana Hacking Team fueron pioneras, pero ya tienen sucesoras.

NSO Group, Candiru, Cytrox o Hacking Team son solo algunos de los nombres de empresas asociadas al ciberespionaje que han operado en España. El caso de los políticos catalanes y el procés ha sido el que más ha trascendido internacionalmente. Son la punta del iceberg, porque pese a haberle puesto el cascabel al gato, este tipo de compañías siguen actuando impunemente, en gran parte porque sus clientes son directamente quienes deberían impedir su actividad, es decir, los Estados.

Según Carnegie Endowment for International Peace, entre 2011 y 2023, al menos 74 gobiernos contrataron el software o los servicios de empresas comerciales para obtener spyware y/o tecnología forense digital con la que extraer y analizar datos almacenados en dispositivos digitales. Puede caerse en el error de que la práctica totalidad fueron países autoritarios donde las libertades están más que cuestionadas, pero no es así. Al menos una treinta de países considerados democracias hizo uso de este tipo de software, incluido el nuestro.

La alta demanda de esta tecnología ha propiciado que, además de Israel, que sigue siendo el país que alumbra a más empresas dedicadas a esta actividad (NSO Group, Cellebrite, Cytrox y Candiru), surjan otro tipo de firmas boutique de spyware. En este ámbito, Israel merece una reflexión dedicada; a fin de cuentas, es el mayor exportador del mundo de spyware. Si realmente interesara el respeto por los derechos fundamentales, hace mucho tiempo que Israel debiera haber limitado su régimen de licencias de exportación de este tipo de software. No lo ha hecho y la Comunidad Internacional se ha cruzado de brazos (si dejan al país actuar impunemente en Palestina, ¿alguien cree que detendrán la venta de este software?).

En los países en los que sí han querido poner cerco a esta vulneración de la privacidad, se topan con los largos tentáculos de malware de código abierto de todo tipo disponible en la red. En ese maremágnum de software malicioso, aún les resulta más sencillo camuflarse a esta suerte de startups del espionaje. Esta consideración es crucial, porque no debiéramos equivocarnos y mantener el escrutinio público únicamente en proveedores comerciales de alto nivel tipo NSO Group; hay muchas más. El medio infoLibre denunciaba recientemente la actividad de Mollitiam.

Ya no es sólo que este tipo de empresas aprovechen las fallas de seguridad de sistemas operativos que explotan a través de mensajes enviados por aplicaciones de mensajería instantánea, sino que ofrecen todo un abanico de servicios para sacar el máximo partido a esa intrusión de manera remota. Se ha creado una compleja cadena de valor, en la que empresas con sede en países como India, Filipinas o Chipre desarrollan herramientas de software espía para venderlas prácticamente como una subcontrata. Menos ganancia, pero también menos riesgo.

Algunas empresas de apariencia legal, aprovechan este tipo de troyanos para reutilizarlos en su propio software comercial de vigilancia, eso sí, publicitándose como empresas de inteligencia en pro de la seguridad nacional. La realidad es que no hay gran diferencia entre el código que utilizan estas compañías y el que utilizan otros grupos criminales perseguidos oficialmente por las autoridades.

La alta demanda de software espía ha propiciado una atomización del sector. Hace años, identificar qué empresas desarrollaban este tipo de software era relativamente sencillo; ahora el ecosistema de pequeños actores que se lucran con spyware lo hace inasumible. A ello se suma, además, la hipocresía de los Estados. La Unión Europea es un buen ejemplo: a pesar de presentarse como un adalid de la defensa de la privacidad, buena parte de las empresas comerciales de spyware tienen su sede en países europeos, como es el caso de la italiana Tykelab/RCS Lab (que ha ayudado a espiar redes telefónicas en Costa Rica, Grecia, Irak, Kazajstán, Libia, Malasia, Malí, Nicaragua, Italia y Portugal), la sueca 42MSAB (que ha vendido su software de EEUU) o la austriaca DSIRF (que ha desarrollado un malware Zero-Day utilizado para espiar en Austria, Panamá y el Reino Unido).

Next Post Previous Post

Sin comentarios