Lectura 5:00 min
El espionaje digital es un problema de política en ciberseguridad
El control del software para espiar debe ser incluido en la estrategia de ciberseguridad mexicana, asegura Guillermo Larrea, abogado del despacho jurídico Jones Day.
Pegasus, Galileo, DaVinci son tres productos tecnológicos con algo en común: son software malicioso capaz de hackear dispositivos para interceptar todo tipo de comunicaciones, desde llamadas telefónicas hasta comunicaciones electrónicas, tener acceso a fotografías, contactos, mensajes y demás información almacenada en los equipos móviles.
Las empresas NSO Group, creadora de Pegasus, y Hacking Team, desarrolladora de Galileo y DaVinci, aseguran que sólo venden estas herramientas a los gobiernos, con el objetivo de investigar y combatir al crimen. En México, el uso de este tipo de software se salió de control.
Las filtraciones de correos electrónicos de Hacking Team en Wikileaks dieron cuenta de que el gobierno mexicano era, hace un par de años, el principal cliente de la empresa de origen italiano. Y los reportes del centro de investigación canadiense Citizen Lab sobre los ataques a más de una decena de blancos de la sociedad civil, incluyendo periodistas, activistas y académicos, evidenciaron este descontrol y alimentaron las acusaciones sobre un espionaje ilegal perpetuado por el gobierno.
NOTICIA: Aristegui, Loret de Mola y el IMCO, entre los espiados por el gobierno
El control de las herramientas de espionaje es un tema de amplia complejidad y alcance, que debe ser incluido en la política pública de ciberseguridad que el gobierno federal busca elaborar a partir de la oficina de la Coordinación de la Estrategia Nacional Digital, dijo Guillermo Larrea, abogado y experto en ciberseguridad del despacho jurídico Jones Day. Es una propuesta interesante tener una especie de registro nacional de malware o herramientas que puedan vulnerar sistemas. Ese elemento es uno de los que pondría dentro de una Estrategia Nacional de Ciberseguridad , comentó en entrevista.
Las medidas de control de estas herramientas necesitan trascender las fronteras. Si bien las pruebas presentadas por Citizen Lab dan cuenta de una alta posibilidad de que el gobierno mexicano esté abusando de estas herramientas en contra de la sociedad civil, los controles deben elevarse a un ámbito regional e incluso mundial.
La propuesta hace eco a los llamados que se han hecho desde hace unos años para crear acuerdos internacionales como una Convención de Ginebra Digital para el control de armas cibernéticas. Pero no existen señales de una voluntad política para llevar el tema de espionaje electrónico al nivel de política pública.
Por un lado, la coordinadora de la Estrategia Digital Nacional, Alejandra Lagunes, dijo anteriormente a El Economista que desconocía el tema de las compras de software espía. Por otro lado, la Organización de Estados Americanos (OEA), durante su reunión en Cancún, sólo se limitó a entregar una serie de recomendaciones para el diseño de una política de ciberseguridad sin hacer mención hacia el espionaje. La OEA es una de las entidades que asesoran al gobierno en el diseño de la Estrategia Nacional de Ciberseguridad.
NOTICIA: Alejandra Lagunes, de la EDN, se dice "sorprendida" por acusaciones de espionaje
Investigación y los desafíos
Después de que periodistas y activistas denunciaran el espionaje realizado con el software Pegasus, la Procuraduría General de la República (PGR) anunció la apertura de una carpeta de investigación por los delitos de intervención de comunicaciones privadas y acceso ilícito a sistemas y equipos de informática.
Durante la entrevista, Larrea fue enfático en que no se pronunciará directamente sobre los casos de espionaje documentados por el Citizen Lab, pero expuso que en las investigaciones en casos de vulneración de equipos a través de software malicioso resulta fundamental realizar una investigación forense digital que demuestre las afectaciones y e identifique responsables.
El reto verdadero está en la capacidad de prueba. Bajo el nuevo sistema penal acusatorio, el que acusa está obligado a probar y no se traslada la responsabilidad desde luego al acusado sino al que está señalando diciendo que fui afectado, pues tengo que probar que fui afectado y es ahí donde está el gran reto en materia de ciberseguridad , dijo.
Para el experto, el hecho de que una herramienta sea vendida únicamente a instancias de gobierno sólo representa un supuesto, pero las investigaciones forenses digitales podrán dar una mayor certeza sobre el origen del implante de malware y de la actividades realizadas a partir de la vulneración.
Quién estaba detrás es el gran reto, es una pregunta muy complicada y muy compleja. En el tema de ciberseguridad enfrentas a un fantasma gigante, al final no sabes quién está detrás del hackeo ni quién está detrás del acceso a la información. Eso toma tiempo, aspectos técnicos, pero sí hay maneras de identificar y tener buenos parámetros de qué pasó con la información , aseguró Larrea.
En el Código Penal Federal existen tipificados los delitos informáticos que sancionan la vulneración no autorizada de equipos informáticos, mientras que en la Ley de Protección de Datos se señala el acceso indebido de los datos personales de un individuo.
No hemos visto un asunto ejemplar en que el gobierno o instancias como el INAI (Instituto Nacional de Acceso a la Información y Protección de Datos Personales) manden un mensaje claro de que estas conductas no deben realizarse; y si lo están realizando, no es público , comentó.
julio.sanchez@eleconomista.mx