Según un nuevo estudio, el creciente solapamiento entre el comercio mundial de armas y la industria de la vigilancia secreta podría dañar la seguridad nacional de Estados Unidos y aumento el peligro de abusos, a menos que se aumente la rendición de cuentas.

La investigación, elaborada por el grupo estadounidense de expertos Atlantic Council, ofrece uno de los análisis más completos jamás realizados sobre la industria de vigilancia intercontinental en auge que genera miles de millones de euros, pero, no obstante, consigue mantenerse fuera del centro de atención. Después de varios años de creciente demanda de contratación de hackers y un aumento en los abusos denunciados por empresas como NSO Group, países de todo el mundo están intentando lidiar con esta industria en gran parte oculta.

El informe se basa en datos recopilados en 20 años de la feria comercial de cibervigilancia ISS World y de las ferias de armas como la francesa Milipol, donde el hackeo es el segmento comercial de más rápido crecimiento junto con productos más tradicionales como armas y tanques. Los autores del informe examinaron 224 empresas de vigilancia presentes en estos programas, observaron su material de marketing, estudiaron en qué partes del mundo anunciaban sus productos y detallaron las ventas conocidas de las herramientas de vigilancia y hackeo.

Afirman que numerosas empresas que comercializan a nivel internacional, especialmente con los adversarios de la OTAN, son "proliferadores irresponsables" y se merecen más atención por parte de los responsables políticos.

Estas empresas incluyen Cellebrite de Israel, que desarrolla herramientas forenses y de hackeo telefónico y las vende en todo el mundo a los países como EE. UU., Rusia y China. La empresa ya ha sufrido un retroceso significativo debido, por ejemplo, a su papel durante la represión de China en Hong Kong y al descubrimiento de que su tecnología fue utilizada por un "escuadrón de la muerte de Bangladesh".

"Cuando estas empresas empiecen a vender sus productos tanto a los miembros de la OTAN como a sus adversarios, eso debería provocar preocupaciones de seguridad nacional en todos los clientes", señala el informe.

El comercio es cada vez más global, según el texto, con un 75 % de las empresas vendiendo productos de cibervigilancia e intrusión fuera de su propio continente. La autora principal, Winnona DeSombre, miembro de Cyber Statecraft Initiative del Atlantic Council, sostiene que tales ventas indican posibles problemas de supervisión. " La mayoría de estas empresas no parecen tener voluntad de autorregulación", resalta.

Al denominar a estas empresas como "proliferadoras irresponsables", DeSombre espera animar a los legisladores de todo el mundo a buscar una mayor regulación sobre algunas de estas compañías.

"Cuando estas empresas empiecen a vender sus productos tanto a los miembros de la OTAN como a sus adversarios, eso debería provocar preocupaciones de seguridad nacional en todos los clientes".

Recientemente algunos gobiernos han introducido medidas con algunas formas de control. La UE adoptó normas más estrictas sobre la tecnología de vigilancia el año pasado, con el objetivo de aumentar la transparencia de la industria. Y el mes pasado, EE.UU. promulgó  normas de licencia más estrictas para la venta de las herramientas de intrusión. La notoria compañía israelí de software espía NSO Group fue una de las varias agregadas a la lista negra de EE. UU. debido a las acusaciones de que su software espía, suministrado a gobiernos extranjeros, había sido utilizado para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas. NSO ha negado sistemáticamente las acusaciones y argumenta que ha investigado estrictamente el abuso y excluido a los clientes ofensivos.

Sin embargo, uno de los autores del informe señala que es importante darse cuenta de la verdadera escala de lo que está sucediendo. "La conclusión más crucial de este estudio es que estamos tratando con una industria al completo. Eso es lo fundamental. No es suficiente apuntar a NSO Group", resalta el miembro del Centro de Estudios de Ciberseguridad del Instituto Noruego de Asuntos Internacionales (NUPI) Johann Ole Willers.

La advertencia de la ONU

Los expertos en derechos humanos de las Naciones Unidas han hecho saltar las alarmas recientemente sobre lo que han definido como el "creciente uso de mercenarios en el ciberespacio".

"Es innegable que las ciberactividades tienen capacidad de causar violaciones tanto en conflictos armados como en tiempos de paz y, por lo tanto, comprometen toda una variedad de derechos", afirmó en una declaración la presidenta del grupo de trabajo de las Naciones Unidas sobre este asunto, Jelena Aparac. El grupo pidió a los legisladores internacionales que regulen de manera más efectiva la industria a fin de proteger "el derecho a la vida, los derechos económicos sociales, la libertad de expresión, la privacidad y el derecho a la autodeterminación".

Uno de los retos reside en que la industria de la cibervigilancia está plagada de confusión: las empresas fantasma y los revendedores son comunes, y tanto los vendedores como los compradores utilizan una gran cantidad de herramientas para ocultar sus interacciones.

"En la sociedad no hay suficiente conocimiento sobre esta industria, para poder distinguir a las empresas irresponsables de las responsables", destaca DeSombre.

El informe señala a la reciente acusación de un antiguo miembro de la inteligencia estadounidense que trabajó para los Emiratos Árabes Unidos como evidencia de que las capacidades desarrolladas por gobiernos aliados pueden terminar utilizadas para otros fines de espionaje. Los Emiratos Árabes Unidos acabaron utilizando las herramientas de hackeo y la experiencia desarrolladas por las agencias de EE. UU. para espiar a cientos de objetivos, incluidos algunos estadounidenses.

Uso y abuso

Los investigadores tienen algunas sugerencias sobre cómo los gobiernos podrían aprender a comprender y controlar este ecosistema en crecimiento. Recomiendan introducir requisitos más estrictos de "conocer a su cliente", de modo que todos los vendedores comprendan mejor cómo sus posibles clientes podrían usar una herramienta de hackeo o abusar de ella.

Los investigadores argumentan que los países de la OTAN, que organizan muchos eventos comerciales de cibervigilancia, deberían limitar la asistencia de vendedores irresponsables a las ferias de armas. También recomiendan una mayor cooperación internacional para eliminar las lagunas de las leyes de exportación que permiten a los vendedores evadir controles y vender a regímenes autoritarios. Finalmente, alientan a nombrar y avergonzar a los vendedores y compradores irresponsables.

El informe concluye: "Nuestro análisis indica que existe un grupo importante de empresas privadas dispuestas a actuar de manera irresponsable: con capacidades de marketing que conllevan el riesgo de convertirse en herramientas de opresión para los regímenes autoritarios o herramientas estratégicas para los aliados ajenos a la OTAN".

Y advierten que, sin medidas de contención, el mundo se enfrenta a un "panorama sombrío: un creciente número de empresas privadas que ven pocas consecuencias sobre reforzar los ciberarsenales de los principales adversarios occidentales, solo beneficios".