El presidente de Estados Unidos, Joe Biden, firmó el lunes una orden ejecutiva que restringe el uso de spyware comercial por parte de las agencias del gobierno federal.
La orden dice que el ecosistema de software espía «plantea riesgos significativos de contrainteligencia o seguridad para el gobierno de Estados Unidos o riesgos significativos de uso indebido por parte de un gobierno extranjero o una persona extranjera».
También busca garantizar que el uso de dichas herramientas por parte del gobierno se haga de una forma que sea «consistente con el respeto por el estado de derecho, los derechos humanos y las normas y valores democráticos».
Con ese fin, la orden establece los diversos criterios bajo los cuales el spyware comercial podría ser descalificado para su uso por parte de las agencias gubernamentales de Estados Unidos. Los criterios incluyen:
- La compra de spyware comercial por parte de un gobierno o persona extranjera para atacar al gobierno de Estados Unidos
- Un proveedor comercial de spyware que usa o divulga datos confidenciales obtenidos de la herramienta de vigilancia cibernética sin autorización y opera bajo el control de un gobierno extranjero que participa en actividades de espionaje dirigidas a Estados Unidos
- un actor de amenazas extranjero que usa spyware comercial contra activistas y disidentes con el objetivo de limitar la libertad de expresión o perpetrar abusos contra los derechos humanos
- Un actor de amenazas extranjero que utiliza spyware comercial para vigilar a un ciudadano estadounidense sin autorización legal, garantías ni supervisión
- La venta de spyware comercial a gobiernos que tienen un historial de participación en actos sistemáticos de represión política y otras violaciones de los derechos humanos
«Esta Orden Ejecutiva también servirá como base para profundizar la cooperación internacional para promover el uso responsable de la tecnología de vigilancia, contrarrestar la proliferación y el mal uso de dicha tecnología y estimular la reforma de la industria», dijo la Casa Blanca en un comunicado.
Se estima que alrededor de 50 funcionarios del gobierno de Estados Unidos en altos cargos ubicados en al menos 10 países, han sido infectados o atacados por dicho software espía hasta la fecha, informó el Wall Street Journal, un número mayor que el conocido anteriormente.
Aunque la orden no llega a una prohibición total, el desarrollo se produce a medida que se implementan cada vez más herramientas de vigilancia sofisticadas e invasivas para acceder a dispositivos electrónicos de forma remota usando exploits sin clic y extraer información valiosa sobre objetivos sin su conocimiento o consentimiento.
La semana pasada, el New York Times informó que la agencia de inteligencia nacional de Grecia intervino y hackeó el teléfono de Artemis Seaford, ex gerente de políticas de seguridad en Meta, usando Predator, un software espía desarrollado por Cytrox.
La orden también deja abierta la posibilidad de que las agencias gubernamentales utilicen otros tipos de dispositivos de software espía, incluidos los receptores IMSI, para obtener inteligencia valiosa.
Visto desde ese punto de vista, también es un reconocimiento de que la industria del software espía para la venta juega un papel importante en las operaciones de recopilación de inteligencia, incluso cuando la tecnología constituye un riesgo de seguridad nacional y de contrainteligencia creciente para el personal del gobierno.
A inicios del mes, la Oficina Federal de Investigaciones (FBI) confirmó que la agencia había comprado en el pasado datos de ubicación de ciudadanos estadounidenses a intermediarios de datos como un medio para eludir el proceso de orden judicial tradicional.
También se alega que el FBI compró una licencia para Pegasus de la empresa israelí NSO Group durante 2020 y 2021, reconociendo que se utilizó con fines de investigación y desarrollo.
La Administración de Control de Drogas (DEA), de forma similar, utiliza Graphite, una herramienta spyware producida por otra compañía israelí llamada Paragon, para operaciones antinarcóticos. No está claro aún si otras agencias federales de Estados Unidos utilizan actualmente algún software espía comercial.
