Pegasus, o el oligopolio de la vigilancia

De como el software privado puede destruir el estado de derecho hurgando en nuestros teléfonos

“Any idea that you had that aspects of your life could be kept private and on the mobile phone are wrong”. David Pegg, uno de los autores del reporte en el Guardian.

El domingo 18 de julio, The Guardian publicó su tercer gran Exposé sobre la manera como el control de los estados nación está siendo deteriorado por iniciativas específicas. La primera, los papeles de Snowden, revelaron como el gobierno de EEUU se daba el gusto de espiar las comunicaciones de todo el mundo, incluyendo los gobernantes de países aliados. La segunda, los Panama Papers, mostraron como la élite económica y política podía esconder su riqueza con facilidad y evitar pagar impuestos.

Por varios años, aparecieron también historias de empresas que ofrecían servicios de espionaje que permitían rastrear a criminales y terroristas pero que también, privatizados por los mismos estados, se usaban para seguir a enemigos políticos, o para infiltrar y manipular conversaciones de opositores.

Pero acaba de publicarse algo mucho más serio. Tras haber logrado contener el espionaje más convencional gracias a la adopción masiva de encriptación, ahora saber que hay en un teléfono requiere una infiltración mucha más profunda y delicada, puesto que solo cuando una transacción ha terminado se desencripta el contenido y se almacena de manera visible y comprensible para el usuario. Para ello, hay que crear una suerte de fantasma dentro de la máquina, que pueda tener el mismo acceso que el usuario humano, y que pueda usar el aparato para enviar lo que obtiene de formas que no sean visibles para el usuario humano y que el aparato crea son normales.

En otras palabras, hay que convertir al aparato en un zombie, no para crear botnets o similares (en donde las capacidades del dispositivo son usadas para realizar actividades de terceras personas sin que el usuario se dé cuenta) sino para saber todo lo que el usuario hace antes que se lo pueda encriptar, o justo después que ha sido desencriptado.

Se asume que estas capacidades no son nuevas, sino que las grandes agencias de espionaje de señales, como la NSA, cuentan con ellas, así como con muchas otras herramientas. Pero el escenario que reveló Snowden fue un mundo en el que algunos estados, y quizá solo uno, eran capaces de espiar comunicaciones digitales no encriptadas de manera masiva. Post Snowden, la adopción de criptografía muy potente fue la norma y la mayoría de servicios cuentan ahora con una protección de fábrica alta.

Pero siempre hay agujeros. Vulnerabilidades de distinto tipo que nunca sabemos si se podrán cubrir adecuadamente, o siquiera reconocer a tiempo, aparecen a cada rato en boletines de seguridad de fabricantes de software informático; una buena cantidad de esas odiosas actualizaciones de sistema operativo son para parchar vulnerabilidades. Estas suelen ser detectadas por muchos investigadores independientes, que precisamente se ganan la vida protegiendo a los usuarios en riesgo. Al mismo tiempo, muchas empresas han comenzado a fabricar software para aprovechar diversas vulnerabilidades: son el equivalente digital de las empresas de seguridad física que se surten de ex militares altamente entrenados, que buscan empleo como “mercenarios formales”, en países en donde no es posible controlar la seguridad pública o del estado mediante los recursos formales.

Todo indica que NSO Group, una empresa israelí, logró desarrollar un software de altísima potencia, capaz de infiltrar comunicaciones de todo tipo una vez identificada una vulnerabilidad. Pero además NSO vende su sistema a casi cualquier país interesado, sin limitaciones.

La ilustración que sigue ha sido tomada del Guardian, y muestra todo lo que un teléfono capturado por Pegasus, el software de NSO, puede obtener.

En pocas palabras, todo.

Aquí otra explicación en video.

Aunque se supone que solo se vende a gobiernos, Pegasus es una herramienta muy poderosa que está siendo usada de manera indiscriminada por esos gobiernos para espiar con motivos políticos, no de seguridad pública. Los datos que presenta el Guardian son muy significativos: regímenes autoritarios o simplemente muy caóticos en los que este software se usa para espiar a periodistas que no residen en el país que los espía, entre otros casos.

Aquí en el Perú, las interceptaciones telefónicas han sido realizadas mediante un software cedido por la DEA al gobierno peruano, que solo puede usarlo en los términos que la DEA previó al facilitar el acceso. Pero tranquilamente, un sector del aparato de seguridad podría accesar a Pegasus, y usarlo para sus propios fines. Es más, un gobierno con intención represora —y aquí la primera idea que viene es un gobierno fujimorista pero no habría que descartar otros— podría adquirirlo para fines legítimos pero usarlo para fines propios.

Es aparentemente el caso de la India, donde el gobierno de Nahendra Modi habría usado (no es fácil determinarlo) Pegasus para espiar a muchos de sus rivales políticos, con fines políticos: para saber qué piensan hacer en una campaña electoral. Esto implicaría una autocracia electoral, capaz de dominar a la oposición sin necesidad de apropiarse de todos los poderes públicos, sino dejando un cierto espacio para mantener las apariencias democráticas: una versión digitalmente facilitada de las autoritarismos competitivos.

Estamos pues ante una amenaza fundamental para la privacidad, la democracia y el estado de derecho. La privatización de servicios críticos de seguridad del estado, que es lo que está pasando aquí, se combina con la inevitabilidad inestabilidad de los sistemas de comunicación digital, que están cambiando siempre para mantener su atractivo comercial.

¿Donde está la amenaza? Primero, que la premisa fundamental de la libertad de expresión es que no se puede espiar a un ciudadano sin motivo. Sistemas como los de la NSA ya lo permitían, pero supuestamente la barrera, o la justificación, es que se usa contra enemigos externos; y que las herramientas estaban fuera del alcance de gobiernos poco confiables. Ahora vemos que no es así, y que cualquier gobierno puede adquirir un producto que incluso yendo contra sus propias leyes, es conveniente. Esto deteriora a un nivel profundo el estado de derecho. Si además se usa para manipular y sacar ventaja frente a adversarios políticos, la viabilidad de la democracia disminuye brutalmente.

Pero lo segundo es más serio. Puede ser que esta generación de herramientas digitales solo se venda a gobierno, lo que no es garantía de nada. Pero en casos como el peruano, hemos visto como un aparato de seguridad frágil y con poco control externo puede ser aprovechado para ofrecer servicios a terceros, de espionaje telefónico o similares. Si una herramienta como Pegasus cae en manos de esos personajes que ofrecen servicios “de seguridad”, el resultado es un mercado libre en el que cualquiera con dinero puede espiar a cualquier adversario, del tipo y naturaleza que sea, y nada ni nadie estará a salvo.

Hay muchas más capas, más densas e interconectadas, en estos temas. Pero la idea es simple: la vigilancia es una de las capacidades que se entienden como manifestación del monopolio estatal de la violencia. Este monopolio, en una democracia, tiene que estar bajo supervisión política y judicial. La existencia de empresas como el NSO Group.y productos como Pegasus crea un oligopolio de la vigilancia: empresas que sin limitaciones legales pueden ofrecer servicios a cualquier candidato a déspota en cualquier circunstancia.

Si ya vivimos en un mundo donde cinco corporaciones tienen más control sobre el debate público de lo que quisiéramos, ¿como será vivir en un mundo donde algunas empresas oscuras intencionalmente tengan la capacidad de saber qué leemos, qué decimos, qué nos gusta, qué nos disgusta, y sobre todo, cada cosa que hacemos?

Hacia eso vamos. Y no solo no estamos preparados; no sé si podamos estarlo.