Por Theo Werner (*)
Abogados del Knight First Amendment Institute de la Universidad de Columbia esperan que NSO Group, el fabricante del spyware Pegasus, sea obligado a rendir cuentas en medio de su demanda en nombre de periodistas salvadoreños. Reporteros del sitio de noticias El Faro creen que la demanda sentará un precedente importante para la protección de los periodistas en todo el mundo.
“Esperamos que esto abra una puerta para que colegas de todo el mundo encuentren herramientas para defenderse”, dijo Carlos Dada, cofundador y director de El Faro, en una conferencia en la ciudad de Nueva York el miércoles 8 de febrero.
La conferencia, “Spyware and the Press” [Software espía y la prensa], fue organizada por el Instituto Knight de la Universidad de Columbia para discutir una demanda presentada contra NSO Group, con sede en Israel, en noviembre de 2022. La demanda se refiere al supuesto uso del software espía Pegasus de NSO Group para hackear celulares de 15 integrantes de El Faro, entre ellos 13 periodistas. Los reporteros de El Faro están trabajando con el Instituto Knight para presentar una demanda en los tribunales estadounidenses. Los gigantes tecnológicos WhatsApp y Apple también están demandando a NSO Group en casos separados.
Uno de los principales desafíos que enfrentan las víctimas de Pegasus es la política del Grupo NSO de no revelar a sus clientes. Lo máximo que revelará NSO Group es que solamente vende a gobiernos. También ha dicho que “los datos se recopilan solo de... presuntos delincuentes y terroristas”. En el caso de los ataques de El Faro, miembros del grupo de investigación Citizen Lab informaron que rastrearon el origen del hackeo hasta El Salvador. En respuesta a este hallazgo, el gobierno salvadoreño negó haber usado Pegasus. Debido a que NSO Group no revelará a su comprador, es difícil probar la participación del gobierno salvadoreño.
“Es un gobierno y está en El Salvador, hasta ahí podemos llegar”, dijo Dada. “No hay demasiadas opciones”.
Los abogados del Instituto Knight dicen que creen que los tribunales de Estados Unidos encontrarán que NSO Group violó la ley de ese país y ordenarán a NSO Group que revele al cliente a quien le vendió el software. Con ese pedido, creen que los gobiernos dudarán más en comprar el software. Además, creen que NSO Group será más cauteloso con respecto a quién le vende si están sujetos a la ley de Estados Unidos.
“Enviará un mensaje a otros actores gubernamentales de todo el mundo de que no pueden confiar en la garantía de confidencialidad de NSO Group”, dijo en la conferencia Carrie DeCell, abogada sénior del Instituto Knight.
Otro desafío para las víctimas de Pegasus es que NSO Group ha realizado grandes esfuerzos para reclamar inmunidad de soberanía extranjera. Esto permitiría a NSO Group operar en nombre de un gobierno extranjero, lo que significa que la empresa sería inmune a los litigios en los tribunales estadounidenses.
En el caso de la demanda de WhatApp de 2019, NSO Group intentó desestimar la demanda por inmunidad de soberanía. Una corte del distrito de California rechazó este intento, lo que llevó a NSO Group a apelar primero ante la Corte de Apelaciones del Noveno Circuito y luego ante la Corte Suprema de Estados Unidos. En enero de 2023, la Corte Suprema decidió que NSO Group no tenía derecho a la inmunidad de soberanía, lo que abrió la puerta a futuras demandas contra la empresa.
Todas las demandas contra NSO Group en EE. UU. se basan en la Ley de Abuso y Fraude Informático de 1986. Esta ley prohíbe que cualquier persona acceda a una computadora sin autorización o en exceso de autorización. Sin embargo, la ley no es muy específica en cuanto a lo que constituye una autorización.
A menudo, los virus informáticos y el spyware requieren que una persona inicie el malware haciendo clic en algo, como un enlace. Lo que hace que Pegasus sea tan difícil de rastrear es que es prácticamente indetectable. La mayoría de las víctimas no saben que su dispositivo se ha visto comprometido hasta que es demasiado tarde. Las demandas contra NSO Group argumentan que debido a que no hay forma de que un usuario detecte el hackeo, debe considerarse una falta de autorización.
En un comunicado, Apple anunció que descubrió que Pegasus se descargaba de forma anónima en el dispositivo de un usuario mediante la creación de una ID de Apple que enviaría datos maliciosos al dispositivo. Apple afirma haber solucionado este problema con los sistemas operativos iOS 15 y posteriores, aunque señala que la tecnología de spyware evoluciona continuamente. Dijo que también está haciendo esfuerzos para notificar a los usuarios que encuentra que han sido comprometidos por Pegasus y otro spyware.
Aunque NSO Group afirma que solamente vende su software espía a gobiernos, ha habido un aumento en otras compañías de software espía que comercializan a un público más amplio, incluidos cónyuges celosos. A principios de este mes, la Oficina del Fiscal General de Nueva York anunció que multó a un desarrollador, Patrick Hinchy, por la promoción ilegal de sus 16 compañías de spyware.
“El genio no va a volver a meterse en la botella”, dijo Ronan Farrow, reportero de investigación de The New Yorker, en la conferencia del Instituto Knight. “Esta tecnología es cada vez más accesible y más barata”.
Si bien las demandas de Apple y WhatsApp se refieren a la protección de las corporaciones tecnológicas, la demanda de El Faro es la primera que se presenta en nombre de periodistas. Además de proteger la libertad de prensa a nivel mundial, la demanda de El Faro afecta a muchos intereses de seguridad de Estados Unidos. Además de que muchos lectores de El Faro se encuentran en EE.UU., parte de la información comprometida de El Faro incluía conversaciones con funcionarios de la Embajada de Estados Unidos. Además, algunos de los periodistas hackeados eran ciudadanos estadounidenses, incluido Roman Gressier, quien para ese momento vivía en El Salvador y Guatemala.
En países como El Salvador, es muy poco probable que una demanda contra NSO Group tenga éxito. Dada agrega que es poco probable que los gobiernos de los países que utilizan spyware tomen medidas contra ellos mismos, incluso dentro de la Unión Europea. En particular, países como España y Polonia han admitido recientemente que utilizan Pegasus. Incluso el Buró Federal de Investigaciones (FBI) compró el software, aunque fue vetado por la administración de Joe Biden.
Hasta que se establezca una organización internacional para regular el software espía, las cortes de Estados Unidos y otros ayudarán a garantizar la privacidad en todo el mundo. Otros periodistas ya buscan seguir los pasos de El Faro. Hanan Elatr Khashoggi, esposa del periodista saudí asesinado Jamal Khashoggi, anunció sus planes de demandar a NSO Group en tribunales de EE.UU. por el presunto papel de Pegasus en el asesinato de su esposo. Francia también inició procesos judiciales contra NSO Group en nombre de periodistas.
Dado el largo proceso de una demanda en Estados Unidos, no se esperan resultados en el caso de El Faro en el corto plazo. Sin embargo, el Instituto Knight está satisfecho con el progreso de otras demandas contra NSO Group y el futuro de la protección cibernética.
“Ese es un gran tipo de victoria inicial para este tipo de demandas en Estados Unidos y realmente despeja el camino a seguir”, dijo DeCell.
---
(*) Theo Werner es un estudiante de Periodismo en la Universidad de Texas en Austin y escribió este artículo como parte de la clase Libertad de Prensa en América Latina. Theo comenzó su carrera en el diario estudiantil The Daily Texan y ha trabajado como freelance para varias publicaciones. Theo lleva consigo los principios básicos del periodismo, poniendo la verificación y la transparencia por encima de todo.