Click acá para ir directamente al contenido

book icon Domingo 8 de mayo de 2022

Pegasus y los desafíos de ciberseguridad para Chile

Paz Zárate Paz Zárate

Las últimas noticias sobre espionaje cibernético, vía el software Pegasus, obligan a preguntarse qué tan resguardados estamos los chilenos de ese tipo de amenazas. He aquí un diagnóstico y lo que falta.

Paz Zárate

Pegasus es una forma de cibervigilancia global mediante espionaje a teléfonos móviles y constituye el caso más grave conocido hasta ahora. Pegasus infecta teléfonos iPhones y Android, permitiendo a los operadores del software acceso a todo: extraer mensajes, fotos y correos electrónicos; grabar llamadas; activar micrófonos y cámaras, y tener la ubicación del usuario. Y todo, sin que la víctima se dé cuenta, como si quien espía fuese el dueño legítimo del teléfono. ¿Afecta esto a pobres incautos? Pues no. Los teléfonos de -nada menos- Emmanuel Macron y Pedro Sánchez, entre otras figuras mundiales, han sufrido estos ataques.

La compañía israelí que fabrica este software insiste que está destinado a ser utilizado sólo para espiar delincuentes y terroristas, y que, por lo mismo, únicamente lo vende a gobiernos, que lo usan vía agencias militares, policiales y de inteligencia.

Pero la investigación conjunta que desde hace más de un año realizan al respecto varios medios internacionales, liderados por el periódico británico The Guardian, sugiere que los gobiernos usan este software de modo indebido, generalizado y continuo. Han sido espiados, en decenas de países, líderes extranjeros, periodistas, opositores políticos, y activistas de ONGs.

El país que más abusa de esto es latinoamericano: México. Otros que han usado el software son Marruecos (que probablemente lo hizo para espiar al gobierno español y francés), India, Arabia Saudita, Emiratos Árabes y Dubai, Bahrein, Hungría y otros.

Hay que subrayar que entre los espiados no hay sólo figuras vinculadas al Estado: también han sido afectados directivos de empresas, personeros religiosos, académicos, dirigentes sindicales, y parientes de estas personas. Esto indica que los gobiernos usan el software respecto de simples ciudadanos.

Y en cuanto a los periodistas, varios cientos de ellos han sido afectados en todo el mundo, incluyendo reporteros, editores y ejecutivos de medios como el Financial Times, el New York Times, The Economist, Associated Press y Reuters, CNN y France 24.

Entre los espiados no hay sólo figuras vinculadas al Estado (...) los gobiernos usan el software respecto de simples ciudadanos. Y en cuanto a los periodistas, varios cientos de ellos han sido afectados en todo el mundo.

La empresa detrás del software se ha defendido alegando que tiene un “enfoque de derechos humanos” que la distinguiría en esta industria: publicó al respecto extractos de contratos con clientes que estipulaban que este producto solo debe usarse para investigaciones penales y de seguridad nacional.

Pero eso no ha amainado la preocupación. En los hechos, la utilización de esta herramienta fácilmente conlleva violación de derechos fundamentales – y no se trata sólo de privacidad de personas, o de casos aislados. La Unión Europea considera al espionaje cibernético una amenaza para la democracia, por lo que la autoridad europea de protección de datos ha pedido la prohibición del uso de Pegasus. Los hackeos habidos en procesos electorales en Estados Unidos y Reino Unido subrayan lo mismo: hay un riesgo considerable para la democracia.

El ciberespacio tiene ciertamente una relevancia estratégica. Hoy, la tecnología que se desarrolla en y gracias al ciberespacio está presente de manera central en la actividad diaria de buena parte de la población. Y los años de pandemia profundizaron esta dependencia. Hay un claro deber para el Estado, en coordinación con el sector privado, en la gestión de los riesgos del ecosistema digital. La ciberseguridad implica entonces acción multisectorial, en aspectos técnicos y políticos, nacionales e internacionales.

¿Y cuál es la situación de Chile en esta materia?

Hoy no tenemos un ente que asesore a la Administración del Estado ante la prevención y comisión de nuevos tipos de delitos, y que coordine la protección público-privada de la infraestructura crítica cibernética e informática nacional. Estamos a la espera de una institucionalidad definitiva: funcionamos con un diseño primario a partir del lanzamiento de la primera Política Nacional de Ciberseguridad en 2017.

Hoy no tenemos un ente que asesore a la Administración del Estado ante la prevención y comisión de nuevos tipos de delitos, y que coordine la protección público-privada de la infraestructura crítica cibernética e informática nacional.

Para un país que, además, tiene una altísima tasa de penetración de internet, vamos bastante tarde; pero al menos parece que tenemos conciencia de ello. El 15 de marzo pasado se presentó -finalmente- una Ley Marco de ciberseguridad, que incluye la creación de una Agencia Nacional en la materia. Ya existían dos proyectos de ley en el tema: uno sobre protección de datos personales y otro sobre delitos informáticos. Por otro lado, el Pleno de la Convención Constitucional ha aprobado la creación de la Agencia de Protección de Datos Personales como un órgano autónomo constitucional con poder, teóricamente, fiscalizador y sancionador.

En cuanto a la estrategia internacional de ciberseguridad, Chile aún no la ha establecido, aunque a nivel internacional se está gestando un Pacto Digital Global, a partir de una propuesta lanzada en la última Asamblea General de la ONU como elemento de “Nuestra Agenda Común”.

Hay un dato adicional: aparentemente, la Unión Europea habría comunicado a Chile que mientras no se reforme la ley de protección de datos personales, la modernización del Acuerdo de Asociación no podría avanzar. Esta es una de las razones que llevan al Gobierno a buscar promulgar la Ley de Protección de Datos Personales antes de finalizar el primer semestre.

La Unión Europea habría comunicado a Chile que mientras no se reforme la ley de protección de datos personales, la modernización del Acuerdo de Asociación no podría avanzar. Esta es una de las razones que llevan al Gobierno a buscar promulgar la Ley de Protección de Datos Personales antes de finalizar el primer semestre.

En conclusión: todo esto realmente es para ayer. Chile necesita ya mismo actualizar la ley de protección de datos personales (la normativa actual data de ¡1993!), y tener una agencia con rango constitucional que garantice su cumplimiento y aplique sanciones a órganos públicos y privados.

Una muestra de nuestra debilidad actual es que, hace pocos días, el respetado Servel difundió en su sitio web datos sensibles sobre el padrón electoral de las municipales 2021. Esto es, casi 15 millones de personas fueron expuestas en sus datos personales: Rut, género, domicilio, militancia política y si votaron o no en esa elección.

Ad portas de una elección histórica sobre la nueva Constitución, que tendrá voto obligatorio, ojalá el Congreso tenga presente la urgencia de concretar la institucionalidad definitiva en materia de ciberseguridad. Como muestra el caso Pegasus, ningún texto de contrato basta para regular materias tan importantes. El Estado debe rayar la cancha de forma estricta y urgente.

Además, todo avance legal debe ir de la mano con un cambio cultural. Nos falta concientización y educación ciudadana en materia de ciberseguridad, de chicos a grandes, en el Estado y la sociedad civil.

El caballo cibernético hoy corre rápido; y en nuestro país, sin riendas. Hagamos nuestra parte para aportar a la gobernanza global del ciberespacio.

Los derechos esenciales de todos, y el futuro de nuestra propia democracia, dependen de eso.

Paz Zárate