El editor de IFEX para Oriente Medio y África del Norte explica cómo los Estados autoritarios de la región están comprando e implementando herramientas de vigilancia digital cada vez más sofisticadas para atacar a los defensores de derechos humanos y cómo la sociedad civil, por su parte, defiende el derecho a la privacidad y la libertad de expresión digital.
Temas: seguridad y justicia; espacio cívico; derecho a la información; expresión en línea; diversidad, equidad e inclusión
Preámbulo: el contexto
Las agencias de seguridad en toda la región tienen un largo y notorio legado de rastrear a sus ciudadanos y coartar su libertad de expresión. Sin embargo, la proliferación del uso de las redes sociales y la tecnología impulsada por los levantamientos árabes de 2011, así como la creciente conciencia entre los activistas sobre el uso de herramientas de encriptación y elusión para evitar la vigilancia estatal, hizo que los gobiernos autoritarios invirtieran fuertemente en la importación de tecnologías y de experticia en los últimos años: un esfuerzo concertado para mejorar sus capacidades de vigilancia. En una era en la que los teléfonos inteligentes han ayudado a que la mayoría de la población de la región esté en línea, los dispositivos en nuestros bolsillos también han expuesto a los críticos de las autoridades represivas de la región a una amplia gama de crecientes amenazas digitales.
En este contexto, una próspera industria de tecnología de vigilancia global ha proporcionado un mercado en crecimiento y a menudo comercializa sus productos con el pretexto de permitir a los gobiernos contrarrestar mejor las amenazas terroristas. Decenas de empresas, incluidas NSO Group y Cellebrite de Israel, Finfisher de Alemania y Hacking Team de Italia, han vendido herramientas de espionaje digital a los peores violadores de la privacidad y la libertad de expresión de la región en medio de una creciente represión contra las voces críticas que se han hecho lugar después de los levantamientos de 2011.
Por ejemplo, en los cinco años posteriores a las protestas de 2011, la compañía de armas del Reino Unido BAE Systems vendió su tecnología de vigilancia Evident a Arabia Saudita, los Emiratos Árabes Unidos, Qatar, Omán, Marruecos y Argelia, dotando a estos Estados de una herramienta que recopiló y analizó millones de correos electrónicos y mensajes personales.
La justicia y la rendición de cuentas han tardado en llegar. Recientemente, ejecutivos de dos empresas de tecnología francesas enfrentaron cargos de «complicidad en actos de tortura» por vender herramientas de vigilancia de Internet a Libia y Egipto que se utilizaron para rastrear a figuras de la oposición que luego fueron detenidas y torturadas, según la Federación Internacional de Derechos Humanos (FIDH).
Parte del problema es que estas ventas se llevan a cabo desde el inicio con poca transparencia y pocas consideraciones sobre los derechos humanos, y solo son reveladas como resultado del periodismo de investigación y la investigación vigorosa de organizaciones como The Citizen Lab, que documentan sus usos nefastos por parte de Estados autoritarios. Si bien esto naturalmente ha restringido el acceso a la información más actualizada sobre los arsenales digitales de los Estados autoritarios de la región, lo que se ha vuelto evidente es que, mientras tanto, las herramientas que se venden continúan evolucionando.
“Se solía decir ‘las paredes tienen oídos’, pero ahora son ‘los teléfonos inteligentes los que tienen oídos’”, le dijo a la BBC en 2017 la activista saudí por los derechos de las mujeres, Manal al-Sharif. Hoy, el sombrío panorama de la vigilancia digital ha producido herramientas que demuestran una creciente sofisticación en su capacidad para monitorear, registrar y esencialmente convertir dispositivos en armas incriminatorias contra sus objetivos.
Parte I: Objetivos y perpetradores
Los florecientes Estados de vigilancia de la región han tenido un impacto profundo y negativo en la libertad de expresión y el acceso a la información. Los activistas y periodistas enfrentan mayores riesgos para sus trabajos, reputación, fuentes y contactos, lo que incluye a miembros de su familia. Su capacidad para informar y transmitir información sobre lo que pasa en el terreno, de la que dependen tanto los que viven en la región como las organizaciones internacionales, se ha visto obstaculizada enormemente, lo que restringe el acceso a la información en tiempo real. También es probable que los internautas se involucren en una mayor autocensura al ver cómo otros han sido atacados por su contenido y comunicaciones digitales.
Los datos recopilados de los dispositivos monitoreados también se han utilizado para atacar a activistas, periodistas y defensores de los derechos humanos a través de campañas de desprestigio y difamación en línea que han sido particularmente dañinas para los grupos vulnerables de la región, incluyendo a las mujeres y a la comunidad LGBTQI+. El teléfono de la periodista de Al Jazeera, Ghada Oueiss, fue pirateado; lo que provocó que sus fotos y videos privados se publicaran en línea y también atrajo continuos ataques de género en línea por parte de trolls sauditas.
En la década transcurrida desde los levantamientos, las autoridades también han utilizado cada vez más herramientas de vigilancia digital de la manera más vil para respaldar las violaciones de derechos humanos y persecuciones legales sin base dirigidas a sus poblaciones. En Bahréin a los activistas detenidos durante las protestas de 2011 se les mostraron transcripciones de sus mensajes privados y se les hizo explicarlas bajo tortura. En Marruecos, Amnistía Internacional identificó a los periodistas Omar Radi y Maati Monjib como objetivos de software espía y ambos han enfrentado penas de cárcel por acusaciones falsas.
En la región, los Emiratos Árabes Unidos y Arabia Saudita se han destacado como líderes en el despliegue de estas tecnologías para silenciar a sus poblaciones. Activistas como la defensora de los derechos humanos de Bahréin, Maryam Al-Khawaja, también han señalado que los acuerdos de normalización entre los Estados del Golfo e Israel pueden empeorar la situación de los activistas de la región, argumentando que “el intercambio de software espía y tecnología de vigilancia se llevará a cabo con transacciones aún más fluidas.»
Emiratos Árabes Unidos: un oasis para cibermercenarios
En un corto período de tiempo, los EAU han construido una asombrosa infraestructura de vigilancia local. Una investigación de Reuters de 2019 reveló cómo los ex agentes estadounidenses de la Agencia de Seguridad Nacional ayudaron a los Emiratos Árabes Unidos a lanzar las operaciones de hackeo denominadas Proyecto Raven en 2014. Las operaciones utilizaron varias herramientas digitales para monitorear a los oponentes de los EAU, incluido Karma, un sofisticado software espía que entre 2016 y 2017 hackeó cientos de iPhones de usuarios. Los objetivos incluyeron al emir de Qatar, un alto funcionario turco, el activista yemení de derechos humanos y premio Nobel de la Paz, Tawakkol Karman, y Nadia Mansoor, esposa de Ahmed Mansoor, activista de derechos humanos de los Emiratos Árabes Unidos encarcelado.
Las operaciones de ciberespionaje del Proyecto Raven fueron asumidas por la empresa de ciberseguridad nacional de los Emiratos Árabes Unidos, DarkMatter Group, que la Electronic Frontier Foundation calificó de «empresa de cibermercenarios» y que ha encabezado los nefastos esfuerzos de hackeo en todo el mundo, con el apoyo de su reclutamiento global de piratas informáticos. Según los expertos en seguridad, es probable que el grupo esté detrás de “ToTok”, la aplicación de mensajería emiratí que no tuvo larga vida y que The New York Times reveló como herramienta de software espía que se utiliza para rastrear conversaciones, movimientos, sonidos e imágenes en los dispositivos de sus usuarios.
El destacado defensor de los derechos humanos emiratí Ahmed Mansoor, que actualmente cumple una condena de 10 años de prisión por expresarse en la esfera digital, fue blanco de ataques de software espía. Su caso ejemplifica hasta qué punto las autoridades emiratíes han desplegado una panoplia de herramientas digitales de todo el mundo. Según la investigación de Citizen Lab, Mansoor fue atacado con el software espía FinSpy de FinFisher en 2011, el equipo pirata del Remote Control System en 2012 y el software espía Pegasus de NSO Group en 2016.
Arabia Saudita: Vigilancia peligrosa
De manera similar, la infraestructura de vigilancia digital de Arabia Saudita ha sido testigo de una inversión masiva durante la última década. Para ello cuentan con una batería de expertos cibernéticos importados y extranjeros empleados para construir uno de los Estados de vigilancia más amenazantes de la región.
Encabezado por el asesor de Mohammad Bin Salman (MBS) Saud al-Qahtani, el centro antiterrorista de la Corte Real en Riad ha sido presuntamente responsable de algunas de las operaciones de ciberespionaje más notorias. Según informes, durante la última década, el arsenal cibernético del Reino fue reforzado por herramientas de la empresa de piratería italiana, Hacking Team, NSO Group de Israel y DarkMatter de los Emiratos Árabes Unidos.
En un informe de junio de 2014, los investigadores de Citizen Lab identificaron software de vigilancia malicioso de Hacking Team que apuntaba a ciudadanos de Qatif que protestaban por las políticas gubernamentales y la represión estatal. El software espía llegó en forma de una versión alterada de la aplicación de noticias local, Qatif Today, que otorgó acceso a correos electrónicos, mensajes de texto, archivos de aplicaciones como Facebook, Viber, Skype o WhatsApp, así como a los contactos y al historial de llamadas de los teléfonos en los que se instaló.
En 2018, Citizen Lab documentó la vigilancia del destacado activista político saudí y residente canadiense Omar Abdulaziz, cuyo teléfono fue pirateado con el software espía Pegasus de NSO. Como asociado del periodista saudí Jamal Khashoggi, el teléfono de Abdulaziz contenía intercambios privados de Whatsapp entre los dos críticos del régimen, incluidos sus planes para lanzar una red de activismo en las redes sociales, y ha señalado que esta información juega un papel fundamental en el brutal asesinato de Khashoggi en el consulado saudita en Estambul meses después de hackeo.
Decenas de periodistas en Al-Jazeera, así como un periodista de AlAraby TV, con sede en Londres, fueron blanco de una operación de ciberespionaje vinculada a Arabia Saudita y los Emiratos Árabes Unidos. El malware infectó los teléfonos de 36 periodistas y trabajadores de los medios de comunicación en la red Al Jazeera de Qatar en 2020, lo que Citizen Lab calificó como «la mayor concentración de ataques telefónicos dirigidos a una sola organización».
Cómo atrapar un Pegasus
Los expertos en seguridad digital y las organizaciones de la sociedad civil han alertado en repetidas ocasiones sobre el software espía de grado militar Pegasus, desarrollado por NSO Group. Los sofisticados ataques de Pegasus pueden infectar dispositivos sin un solo clic y otorgar control a las autoridades sobre los dispositivos sin la interacción del usuario. Si bien la compañía se ha mantenido firme negando toda culpa, las investigaciones recientes dirigidas por Forbidden Stories, una organización de periodismo sin fines de lucro con sede en París, y un consorcio de 17 organizaciones de noticias, han logrado revelar la amplitud total y el alcance global de estos ataques.
Para llevar a cabo el llamado «Proyecto Pegasus«, el grupo puso en marcha una investigación forense de más de 50000 personas cuyos números de teléfono fueron atacados por el notorio software espía. El software estaba en manos de clientes gubernamentales que incluían países de la región como Marruecos, Arabia Saudita, los Emiratos Árabes Unidos y Bahréin actuando como perpetradores.
En la región, los objetivos en la lista iban desde la familia de Jamal Kashoggi y su prometida Hatice Cengiz, hasta la periodista Roula Khalaf, quien se convirtió en la primera editora del Financial Times el año pasado. Wadah Khanfar, el exdirector general de Al Jazeera también apareció en la lista, al igual que los periodistas marroquíes Omar Radi, Hicham Mansouri y Taoufik Bouachrine. En un giro quizás un tanto irónico del accionar de un Estado de vigilancia fuera de control, las investigaciones revelaron que el rey Mohammed VI también pudo haber sido objetivo del software espía para ser vigilado por su propio aparato de seguridad.
A raíz de los informes, Amazon anunció que cerraría su infraestructura de servicios web y las cuentas vinculadas a NSO Group. Por su parte, el gobierno de Israel declaró que establecería un grupo de trabajo para examinar si era necesaria una reforma de la política que permitió la exportación y el despliegue sin control de estas armas cibernéticas en primer lugar..
Sin duda, la investigación ha ayudado a aclarar un poco el campo de batalla de la vigilancia digital, elevando su relevancia como un problema de seguridad nacional global y alimentado los esfuerzos de la sociedad civil para detener la marea creciente de estas armas cibernéticas en la región.
Parte II: Más allá del panóptico
La sociedad civil está contraatacando.
Mientras continúan las medidas enérgicas en la región los gobiernos de las democracias occidentales deberían tomar medidas contra las empresas que ayudan a tal represión. Los grupos de derechos humanos han pedido repetidamente a los gobiernos de la UE, EEUU y Canadá que impongan controles sobre las exportaciones de empresas de tecnología espía y eviten que estos actores exporten tecnologías que faciliten la censura, el bloqueo y el espionaje por parte de gobiernos represivos en la región.
En la UE las nuevas medidas reglamentarias adoptadas recientemente sobre las exportaciones de tecnología de vigilancia de doble uso de empresas europeas fueron bien recibidas por los grupos de derechos que, sin embargo, también expresaron su decepción pues el texto legislativo no incluía condiciones más claras y más estrictas para los Estados miembro de la UE y las empresas exportadoras en lo que atañe a implementar las nuevas reglas y acciones disciplinarias para los miembros en incumplimiento de la ley.
Mientras tanto, expertos de la ONU y grupos de derechos humanos han pedido una moratoria en la compra, venta y transferencia de herramientas de vigilancia a Estados autoritarios, subrayando la necesidad de establecer un marco regulatorio para proporcionar la supervisión necesaria.
En la batalla por una mayor regulación, las demandas de transparencia y mecanismos de rendición de cuentas han sido fundamentales. En los EEUU, la investigación de Reuters sobre el Proyecto Raven condujo a una nueva legislación que requiere que el Departamento de Estado revele cómo controla la venta de herramientas cibernéticas y las acciones tomadas contra las empresas estadounidenses que violaron sus políticas.
En 2018, Omar Abdulaziz presentó una demanda contra el Grupo NSO de Israel por infectar su teléfono, argumentando que el hackeo «contribuyó de manera significativa a la decisión de asesinar al Sr. Khashoggi». La compañía también enfrenta una demanda del disidente y crítico vocal saudí que reside en el Reino Unido, Ghanem Almasarir, así como una batalla legal iniciada por Facebook en un tribunal de EEUU y respaldada por otros gigantes tecnológicos. Mientras tanto, en Israel, el abogado Eitay Mack ha dirigido peticiones legales para responsabilizar a las firmas de tecnología Cellebrite y NSO Group de Israel por las exportaciones de sus herramientas de ciberespionaje.
En diciembre de 2020, la periodista víctima de hackeo, Ghada Oueiss, también presentó una demanda en un tribunal de Florida acusando al príncipe heredero de Arabia Saudita Mohammed bin Salman, al príncipe heredero de Abu Dhabi Mohammed bin Zayed, DarkMatter, NSO y a varios titulares de cuentas de redes sociales estadounidenses de ser responsables de hackeo y de filtrar información personal.
Esta creciente lista de acciones legales iniciadas en tribunales fuera de la región es vital si queremos exponer el funcionamiento interno de estas operaciones y brindar transparencia a un proceso clandestino, uno en el que ha sido difícil rastrear las herramientas que se venden y a los perpetradores que las usan para violar los derechos humanos.
En este frente la acción colectiva de la sociedad civil es fundamental. Los grupos de derechos digitales están liderando cada vez más los esfuerzos para responsabilizar a las empresas de vigilancia por las exportaciones de sus herramientas de espionaje. Las organizaciones de la sociedad civil desafiaron el intento de Cellebrite de cotizar en la bolsa de valores de la Nasdaq, subrayando cómo la venta de los productos de la compañía a regímenes represivos como Arabia Saudita ha permitido “detenciones, procesamientos y hostigamiento de periodistas, activistas de derechos civiles, disidentes y minorías de todo el mundo.»
Los planes de Google para establecer sus servicios regionales en la nube en Arabia Saudita también se han enfrentado a un rechazo colectivo. Los grupos de derechos humanos señalaron el historial de represión, el ciberespionaje y el «uso de software de cibervigilancia para espiar a los disidentes» del país como razones suficientes para descartar el proyecto.
El grupo de derechos digitales Social Media Exchange (SMEX) dice que la falta de un marco de protección de datos sólido en Arabia Saudita también ha facilitado las amenazas a la privacidad digital de los usuarios. En toda la región la necesidad de fortalecer leyes insuficientes de privacidad y protección de datos se está volviendo vital para los esfuerzos para frenar la vigilancia digital y, según la investigación de SMEX, cada vez más relevante en el contexto de los gobiernos que implementan una gran cantidad de aplicaciones de rastreo de COVID-19 durante la pandemia.
Varias organizaciones de derechos humanos y derechos digitales de la región también se han unido para formar la Coalición para Combatir la Vigilancia Digital en el Medio Oriente y el Norte de África. Los grupos han pedido el fin de la venta de herramientas de vigilancia digital a los gobiernos represivos de la región y su objetivo es luchar por una Internet segura y abierta que proteja a los defensores de los derechos humanos, los periodistas y los usuarios de Internet de las miradas indiscretas de los gobiernos.
A medida que las tecnologías de vigilancia digital continúan evolucionando rápidamente en su capacidad, y sus vendedores y compradores continúan operando de manera impune, es probable que veamos crecientes llamados dentro de la comunidad internacional para regular las exportaciones de estas herramientas, una creciente conciencia entre los usuarios de la región sobre métodos para protegerse a sí mismos, así como pedidos de mayor protección de datos y derechos de privacidad.
Pero los esfuerzos para frenar esta peligrosa tendencia dependerán en gran medida de potenciar la capacidad de las organizaciones de derechos digitales y los investigadores independientes de la región para realizar pesquisas técnicas oportunas y sin restricciones. Su trabajo no solo ayuda a arrojar luz sobre un mercado de vigilancia que carece de transparencia, sino que también apoya los esfuerzos de promoción para lograr cambios sustanciales en las políticas y mejores protecciones legales tanto en el ámbito regional como internacional.
IFEX impulsa el cambio a través de una red diversa e informada basada en organizaciones sólidas, conexiones significativas entre los miembros y relaciones estratégicas con aliados externos. Los tres pilares de nuestro enfoque para promover y defender el derecho a la libertad de expresión e información son: garantizar el derecho a la información, habilitar y proteger el espacio cívico y mejorar la seguridad y la justicia.