Meta

Tomamos acciones en contra de la industria de servicios de vigilancia por contratación

En meses recientes, ha habido un mayor enfoque en NSO, la compañía detrás del spyware Pegasus (software usado para facilitar el espionaje) contra el que actuamos y demandamos en 2019. Sin embargo, es importante entender que NSO es solo una pieza de un ecosistema global más amplio de ciber-mercenarios. Como un esfuerzo aparte, hoy, estamos compartiendo nuestros hallazgos sobre siete entidades relacionadas con actividad de vigilancia y seguiremos tomando acciones sobre otras conforme las detectemos.

¿Qué es la contratación de servicios de vigilancia y cómo funciona?

La industria de contratación de servicios de vigilancia se dirige a personas en internet para recolectar información, manipularlos para revelar información y comprometer sus dispositivos y cuentas. Estas compañías son parte de una industria en expansión que ofrece herramientas de software intrusivas y servicios de vigilancia de forma indiscriminada a cualquier cliente – sin importar a quién se dirija o si habilita violaciones a derechos humanos. Esta industria “democratiza” estas amenazas, haciéndolas accesibles a gobiernos y grupos no gubernamentales que de otra forma no tendrían estas capacidades.

Observamos tres fases de actividad en estos actores comerciales, mismas que integran su “cadena de vigilancia”: Reconocimiento, Involucramiento y Explotación. Cada fase informa a la siguiente. Si bien, algunas de estas entidades se especializan en una fase en particular, otras apoyan la cadena de principio a fin.

A pesar de que hasta el momento el debate público se ha enfocado en la fase de explotación, es fundamental desactivar todo el ciclo de vida del ataque, porque las primeras etapas habilitan las posteriores. Si colectivamente podemos combatir esta amenaza en una etapa temprana de la cadena de vigilancia, ayudaríamos a frenar el daño antes de que llegue a su etapa final, cuando se comprometen los dispositivos y cuentas de las personas. Conozca más detalles de estas fases de los ataques de vigilancia en el Informe de Amenazas.

Las acciones que tomamos

Como resultado de nuestra investigación de varios meses, tomamos acciones contra siete diferentes entidades de vigilancia por contratación. Estas ofrecían servicios en las tres fases de la cadena de vigilancia que eran usados para apuntar a personas de forma indiscriminada en más de 100 países a nombre de sus clientes. Estos proveedores están basados en China, Israel, India y el norte de Macedonia. Conozca la lista completa de las entidades que eliminamos en el Informe de Amenazas.

Las entidades de vigilancia por contratación que eliminamos y describimos en este reporte infringieron múltiples Normas Comunitarias y Términos del Servicio. Dada la severidad de las infracciones, los hemos vetado de nuestros servicios. Para desactivar estas actividades, bloqueamos infraestructura que estuviera relacionada, prohibimos estas entidades de nuestra plataforma y mandamos alertas de Cese y Desistimiento, para hacerles saber a cada una de ellas que su actividad no tiene lugar en nuestra plataforma. También, compartimos nuestros hallazgos con investigadores de seguridad, otras plataformas y legisladores para que ellos a su vez puedan tomar las acciones apropiadas.

Alertamos a cerca de 50,000 personas que creemos pudieron haber sido blancos de ataques maliciosos alrededor del mundo, usando el sistema de alertas que lanzamos en 2015. Recientemente, lo actualizamos para dar a las personas detalles más granulares acerca de la naturaleza de los ataques que detectamos, en línea con el marco de las fases de la cadena de vigilancia que describimos anteriormente.

Una respuesta más extensa a los abusos de los grupos de vigilancia por contratación

La existencia y proliferación de estos servicios alrededor del mundo levantan un número importante de preguntas. Si bien estos ciber-mercenarios a menudo argumentan que sus servicios y software de vigilancia están destinados a enfocarse solo a criminales y terroristas, nuestra propia investigación, investigadores independientes, nuestros pares en la industria y gobiernos han demostrado que los ataques son, en efecto, indiscriminados e incluyen a periodistas, disidentes, críticos de gobiernos autoritarios, familias de la oposición y defensores de derechos humanos. De hecho, en plataformas como las nuestras, no hay una forma escalable de discernir el propósito o la legitimidad de esta acción. Por esto, nos enfocamos en actuar en contra de este comportamiento, sin importar quién está detrás o quién pueda ser la víctima.

Para apoyar el trabajo de las autoridades, ya contamos con canales autorizados en los cuales las agencias de gobierno pueden presentar requerimientos legales de información, en lugar de recurrir a la industria de vigilancia por contratación. Estos canales están diseñados para salvaguardar el debido proceso y reportamos la cantidad y origen de estas solicitudes de forma pública para que las personas alrededor del mundo puedan tener toda la información necesaria.

Proteger a las personas contra estas amenazas requiere un esfuerzo colectivo entre plataformas, legisladores y sociedad civil para contrarrestar el mercado subyacente y su estructura de incentivos. Creemos que una discusión pública acerca del uso de la tecnología de vigilancia por contratación es urgente para desalentar el abuso de estas capacidades tanto entre quienes las venden como entre quienes las compran, con base en los siguientes principios:

Nos alienta ver a nuestros pares y gobiernos unirse al esfuerzo que comenzamos en 2019 y generar consciencia sobre esta amenaza. Para que nuestra respuesta colectiva contra el abuso sea efectiva, es necesario que las plataformas tecnológicas, la sociedad civil y los gobiernos democráticos aumenten los costos en esta industria global y desincentiven el uso de estos servicios abusivos de vigilancia por contrato. Nuestra esperanza con este informe de amenazas es contribuir a este esfuerzo global y ayudar a visibilizar la forma en la que opera esta industria.

Consulte el Informe de Amenazas completo para más información acerca de nuestros hallazgos y recomendaciones.