Cómo Europa se ha convertido en un centro neurálgico del ciberespionaje mundial

6

Yann Philippin / Jérôme Hourdeaux (Mediapart)

Orgullosa de sus valores democráticos, la Unión Europea se comprometió a estar a la vanguardia en la regulación de los equipos de vigilancia y otros programas espía. En mayo de 2021, el club comunitario adoptó un nuevo reglamento destinado a endurecer las exportaciones de estos sistemas. El objetivo era poner fin a los numerosos escándalos que han salpicado en los últimos 10 años a los fabricantes europeos del sector, cuyos productos son utilizados por dictaduras para espiar y localizar a opositores, periodistas y defensores de los derechos humanos. Pero está claro que no ha funcionado.

El 15 de noviembre de 2021, dos meses después de la entrada en vigor del reglamento europeo, el Gobierno griego concedió al grupo Intellexa, dirigido por exciberespías israelíes pero con sede en Europa, una licencia para exportar su software de pirateo telefónico Predator a Madagascar, un país adepto a la represión. Según revelaron los medios Inside Story y Haaretz, se sospecha que Grecia aprobó, al mismo tiempo, una segunda licencia para la venta de Predator al líder de una poderosa milicia de Sudán, un país sumido en una guerra civil.

Pero Grecia no es un caso aislado. Los Predator Files revelaron este miércoles que Intellexa y su socio francés Nexa exportaron Predator a otros regímenes autoritarios, como Egipto y Vietnam [ver aquí el dosier completo]. También que Nexa vendió sin ningún problema sistemas de vigilancia de todo tipo a dictaduras durante 10 años, pese a que fue objeto de dos investigaciones judiciales por complicidad en torturas, con la connivencia de Francia o aprovechando lagunas en una reglamentación demasiado flexible.

El nuevo reglamento europeo no cambiará mucho esta situación, ya que ha sido suavizado por el lobby de la industria de la vigilancia y por varios países europeos, que quieren seguir exportando programas espía a los dictadores con total opacidad.

Estas son las conclusiones de la investigación Predator Files, llevada a cabo por 15 medios internacionales coordinados por la red European Investigative Collaborations (EIC), a la que pertenece infoLibre, basada en documentos de la Comisión Europea obtenidos mediante una solicitud de acceso a la información, y realizada en cooperación con la ONG alemana protransparencia FragDenStaat.

La investigación de EIC muestra que Francia es uno de los países más díscolos. La Comisión Europea no fue autorizada a enviar a EIC el documento clave que detalla la posición de Francia mientras se elaboraba el reglamento europeo, aunque sí facilitó el mismo documento sobre otros países: el Gobierno francés quiere ocultar a sus ciudadanos la posición que defiende en Bruselas sobre un tema crucial.

Mediapart se ha dirigido al Elíseo y al ministro de Economía, Bruno Le Maire, al que corresponde la competencia en este asunto, pero no han respondido a las preguntas. La exportación de sistemas de vigilancia está “amparada por el secreto de defensa nacional y de la política exterior de Francia”, según el Ministerio de Economía.

Pulso en Bruselas

Las revelaciones de los Predator Files llegan en el peor momento para la Comisión, que no ha querido responder en detalle a las preguntas de EIC. En Bruselas, el tema es actualmente objeto de un intenso tira y afloja entre bastidores entre la Comisión y los Estados miembros. El objetivo es llegar a un acuerdo sobre cómo se aplicará en la práctica el nuevo reglamento. Dos años después de la entrada en vigor del texto, todavía no se ha llegado a nada. Una vez más, varios países, entre ellos Francia, luchan por limitar los avances previstos en el reglamento, sobre todo en materia de transparencia. Para justificar este retraso, la Comisión explicó a EIC que “la aplicación del reglamento es un proceso complejo que implica consultas con las partes interesadas” sobre un tema “muy técnico”.

Sin embargo, es urgente actuar. Hace dos años, el escándalo Pegasus, un programa espía diseñado por la empresa israelí NSO, demostró que Israel exportaba esa herramienta de pirateo de teléfonos para mejorar sus relaciones con las dictaduras.

La investigación confirma que Europa y Francia son igual de cínicas. “Europa es un centro de exportación de programas espía a dictaduras y regímenes opresores”, concluía el informe de la Comisión de Investigación PEGA del Parlamento Europeo, creada a raíz del escándalo Pegasus el pasado mayo. “La Unión Europea se ha vuelto muy atractiva porque ofrece una apariencia de respetabilidad, mientras que, en realidad, es un paraíso para los fabricantes del sector. Las empresas israelíes se instalan en Europa porque la normativa y su cumplimiento son laxos”, declaró a EIC Sophie In 'T Veld, la eurodiputada holandesa que dirigió la comisión PEGA.

In 'T Veld lamenta el “silencio”, incluso la “omertá” de los gobiernos europeos ante programas espía como Pegasus y Predator, que les permiten, a través del teléfono, saberlo casi todo sobre sus objetivos. “Esas herramientas se utilizan para debilitar los contrapoderes y, por tanto, la democracia”, denuncia.

Para entenderlo, hay que retroceder en el tiempo. Fue a raíz del espionaje a opositores durante las revoluciones de la Primavera Árabe de 2011 cuando las herramientas de vigilancia empezaron a regularse a escala internacional. En 2013, se consideraron tecnologías de doble uso, civil y militar –DUI, por sus siglas en inglés–, reguladas por el Acuerdo de Wassenaar, firmado por 42 países, entre ellos Estados Unidos, Rusia y todos los países de la UE excepto Chipre, pero no por China ni Israel. Las normas son mínimas: los fabricantes tienen que solicitar licencias de exportación, pero cada país las concede en secreto, según sus propios criterios. En Francia, las concede el SBDU, un departamento del Ministerio de Economía. En España, las otorga la Secretaría de Estado de Comercio previo informe de la Junta Interministerial Reguladora del Comercio Exterior de Material de Defensa y de Doble Uso (JIMDDU). 

Avances obstaculizados por gobiernos y grupos de presión

“Está muy claro que el Acuerdo de Wassenaar no impide los abusos”, advierte Katia Roux, responsable de Comunicación de Amnistía Internacional. Esta deficiencia del derecho internacional fue reconocida por Naciones Unidas en un informe de 2019: “Decir que el mecanismo de control mundial [...] no funciona es quedarse corto. En realidad, este mecanismo es prácticamente inexistente”.

La Unión Europea decidió ir más allá tras la movilización de las ONG y una primera serie de escándalos que estallaron a partir de 2011. En Francia, Nexa vendió un sistema de vigilancia masiva de internet a Libia y Egipto. En Italia, Hacking Team obtuvo una licencia “general” en 2015, que fue retirada al año siguiente tras revelarse sus actividades en Sudán y Arabia Saudí. Y a la alemana Trovicor la pillaron suministrando sistemas de escuchas telefónicas a Siria e Irán.

Tras la primera propuesta de la Comisión Europea en 2016, se necesitaron cinco años para llegar al reglamento aprobado en mayo de 2021. En una declaración conjunta, siete ONG, entre ellas la Federación Internacional de Derechos Humanos (FIDH), Amnistía Internacional, Human Rights Watch y Reporteros sin Fronteras, lamentan que haya terminado siendo una “oportunidad perdida” para “garantizar el respeto de los derechos humanos”. Las en principio ambiciosas propuestas sobre la mesa se vieron “sistemáticamente obstaculizadas por las iniciativas de algunos Estados miembros y empresas del sector”, deploran estas ONG.

El reglamento europeo estipula que los Estados miembros “deberán tener en cuenta”, a la hora de autorizar las licencias, el riesgo de que sean utilizadas para “la represión interna o en la comisión de violaciones graves de los derechos humanos”. Queda pues claro que el respeto a los derechos humanos no es obligatorio, pero tampoco existe una definición clara de cuáles son las “violaciones graves” susceptibles de bloquear las exportaciones.

La investigación de EIC demuestra que los fabricantes eluden la normativa creando estructuras fuera de la UE, como ha hecho la empresa francesa Nexa en Dubái (Emiratos Árabes). No hay nada en la normativa europea para combatir ese fenómeno. Tampoco hay medidas para combatir el “turismo de licencias”, que consiste en exportar desde países europeos complacientes. Intellexa ha obtenido licencias en Chipre y Grecia, mientras que su competidor israelí NSO pudo exportar desde Chipre y Bulgaria, según establece el informe de la comisión PEGA.

Y éstos no son ni mucho menos los únicos contratiempos. Las propuestas iniciales de la Comisión, así como las aprobadas por el Parlamento Europeo por abrumadora mayoría –571 votos de 629–, eran ambiciosas, pero fueron torpedeadas por algunos Estados miembros y por la industria de la cibervigilancia, agrupada en el grupo de interés Digital Europe.

“Mi ley sobre tecnologías de doble uso ha sido sacrificada en aras de los intereses de los lobbies”, declaró el ex eurodiputado verde Klaus Buchner, ponente del texto en el Parlamento Europeo. “Durante las negociaciones se sacrificaron los derechos humanos”, añadió su sucesora, Manuela Ripa.

La lista europea, enterrada

Había dos cuestiones clave. La primera era subsanar los fallos del Acuerdo de Wassenaar. En él sólo se definen vagas categorías de productos de cibervigilancia. Como resultado, dada la velocidad a la que evolucionan las tecnologías, algunos productos se encuentran de facto sin regular y son libremente exportables.

La Comisión y el Parlamento querían introducir una medida contundente: una lista europea de productos sujetos a licencia, completada en el tiempo para tener en cuenta los riesgos de violación de los derechos humanos. Pero el Consejo de la UE, que representa a los Estados miembros, cortó de raíz el proyecto. Según un documento obtenido por EIC y FragDenStaat, ocho Estados miembros –entre ellos Alemania y Bélgica, a los que más tarde se unió Francia– declararon que no se oponían a la idea. El Consejo acabó poniéndose del lado de los argumentos alarmistas del lobby Digital Europe, detallados en un documento de 2017: “Tales controles pondrán en peligro la competitividad europea, restringirán el desarrollo de medidas de ciberseguridad defensiva, aumentarán la probabilidad y el impacto de los ciberataques y crearán un entorno poco propicio para los servicios digitales en Europa”.

En nombre de la “competitividad”, nueve Estados, entre ellos Suecia y Finlandia, han respaldado la posición de la industria en un position paper obtenido por el EIC, temiendo que demasiadas restricciones sobre el software espía “hagan que Europa parezca un continente antitecnológico”. Por tanto, la lista europea está muerta. Al final, el reglamento introdujo un mecanismo menos restrictivo, al que Francia se opuso –sin éxito–: la llamada cláusula catch-all. Esta cláusula permite a los Estados miembros exigir licencias para sistemas o servicios de vigilancia que no figuren en la lista de productos regulados. Los fabricantes también están obligados a solicitar una licencia si creen que un producto no incluido en la lista puede contribuir a cometer violaciones de los derechos humanos.

Esta cláusula generalista podría, por ejemplo, poner fin a una práctica de la empresa francesa Nexa, descubierta por la investigación de EIC. El grupo vendía sus productos a través de una empresa hermana en Dubái, que subcontrataba parte del contrato a Nexa. Como resultado, ésta declaró a las autoridades francesas una simple venta de servicios, que no estaban sujetos a licencia: sólo figuran el hardware y el software.

Contactado por Mediapart, el Ministerio de Economía francés se negó a precisar si el Gobierno de Emmanuel Macron iba a someter en lo sucesivo los servicios a la concesión de licencias aplicando la cláusula catch-all.

Si un Estado miembro deniega una licencia en nombre de este mecanismo, debe notificarlo a los demás Estados, para armonizar las posiciones a escala europea. “Pero la armonización sólo se aplica si todos los Estados miembros están de acuerdo. Por tanto, la aplicación queda en gran medida a discreción de los Estados”, aclara la profesora holandesa de la Universidad de Leiden Lena Riecke.

Esta es una de las cuestiones en juego en las actuales negociaciones en Bruselas sobre la aplicación del reglamento: si cada Estado miembro seguirá siendo libre de hacer lo que quiera o no.

La batalla contra la transparencia

El otro objetivo del reglamento era acabar con la total falta de transparencia en torno a las exportaciones, para que por fin se sepa a qué países se venden los sistemas de cibervigilancia. También en este caso, las propuestas iniciales eran ambiciosas. Pero la medida aprobada por el Parlamento Europeo, que preveía la publicación trimestral de datos muy detallados, fue torpedeada tras las críticas de 11 países, entre ellos Francia y Alemania, preocupados por el riesgo del uso que podría hacerse de esa información, así como de una pérdida de competitividad para las empresas del sector.

Al final, el reglamento sí prevé el envío de una gran cantidad de información –incluidos los nombres de los países clientes y una lista de todas las licencias aceptadas y denegadas– al Parlamento Europeo y a la Comisión, encargada esta última de elaborar un informe público. Pero el informe publicado en septiembre de 2022 se basaba en cifras de 2020 –18 meses de antigüedad– y sólo ofrecía estadísticas generales, sin los nombres de los países clientes.

A la pregunta del EIC, la Comisión respondió básicamente que no podía hacer más: llevaba dos años negociando con los Estados miembros sobre la información que se haría pública o no, y las negociaciones aún no habían llegado a nada.

Francia está a la cabeza de esta lucha contra la transparencia. Desde que se adoptó el reglamento, el ministro de Economía ha publicado dos informes para el Parlamento sobre las exportaciones de productos de doble uso, el último hace dos meses. Pero esos documentos no contienen la menor información sobre la categoría específica de los equipos de cibervigilancia. Ni siquiera el número exacto de licencias concedidas cada año. Hay que echar cuentas para saber que fueron menos de 105 en 2021 y “alrededor” de 41 en 2022.

Los nombres de los países clientes están protegidos por el “secreto de defensa”, según el Ministerio de Economía galo. Sin embargo, no ocurre lo mismo en el resto de Europa. La región belga de Flandes, por ejemplo, publica información muy detallada sin ninguna amenaza aparente para la seguridad de Bélgica.

Abusos dentro de la propia Europa

Nada de esto sorprende a la eurodiputada Sophie In 'T Veld. Dice que los gobiernos europeos no cooperaron con la comisión de investigación PEGA que ella dirigía: “Fue imposible trabajar con los Estados miembros. Algunos fueron amables y educados [...] pero nunca obtuvimos respuestas relevantes. Hay una omertá [...], un silencio colectivo”. Algunos países europeos venden material de vigilancia a las dictaduras para reforzar sus empresas, para no depender de soluciones extranjeras o para cuidar sus relaciones económicas, en particular la venta de armas en el caso de Francia. Pero también porque ellos mismos lo utilizan.

El informe PEGA muestra que al menos 14 Estados miembros de la UE han comprado el software israelí Pegasus, capaz de piratear teléfonos, y que cuatro de ellos han hecho a sabiendas un mal uso de él, entre ellos Polonia y Hungría –sobre todo contra políticos y periodistas–, y España para espiar a los independentistas catalanes. En otras palabras, “por las mismas razones que los dictadores”, afirma Sophie In 'T Veld.

El ejemplo más llamativo es el escándalo PredatorGate que estalló en Grecia en la primavera de 2022. Las revelaciones de la prensa mostraron que un servicio secreto, bajo el control del primer ministro conservador, había espiado a varias personalidades públicas, entre ellas un periodista de investigación y el líder del partido socialista Pasok, utilizando el software Predator de Intellexa.

No es de extrañar, dado el tira y afloja que se está produciendo en Bruselas en torno a la nueva legislación originalmente concebida para proteger la libertad de prensa, conocida como Ley Europea de Libertad de los Medios de Comunicación. A petición de Francia, el Consejo de la UE aprobó el pasado mes de junio un texto que permite instalar programas espía en los teléfonos de los periodistas cuando la “seguridad nacional” se vea amenazada.

Esta postura no es sorprendente, dados los métodos utilizados por la Justicia francesa contra la periodista de Disclose Ariane Lavrilleux –detención policial, registro, incautación de sus documentos–, acusada de violación del secreto de defensa nacional, junto con un militar sospechoso de ser su fuente. Sin embargo, la periodista sólo había revelado hechos de gran interés público, en este caso cómo Egipto abusó de la ayuda de inteligencia que recibió de Francia para asesinar a civiles.

La postura del Consejo provocó la protesta de ONG y periodistas. Y el martes 3 de octubre el Parlamento Europeo votó a favor de medidas para endurecer considerablemente las condiciones en las que se pueden piratear los teléfonos de los periodistas, con el fin de proteger la confidencialidad de las fuentes. Pero el Parlamento no ha querido imponer una prohibición total del uso de esa técnica ultraintrusiva para la prensa. Y no está claro a qué conducirá el texto final.

También llama la atención la falta de reacción de Europa ante los escándalos. Estados Unidos puso en su lista negra a NSO y después a Intellexa. Es cierto que les interesa debilitar a sus competidores, pero Israel, uno de los líderes mundiales del sector, redujo la lista de países a los que sus empresas pueden exportar software de vigilancia de 102 a 37 en noviembre de 2021, cuatro meses después del inicio del escándalo Pegasus. En Europa, no se ha hecho nada respecto al escándalo griego PredatorGate.

En Francia, la Ley de Programación Militar 2024-2030, adoptada el 13 de julio, prevé la creación de “una comisión parlamentaria de evaluación de la política gubernamental de exportación de material de guerra”, que será competente para los sistemas de cibervigilancia. El texto establece que esa comisión supervise las actividades del organismo interministerial que concede las licencias más sensibles, así como el control posterior de las exportaciones.

Un grupo franco-israelí vendió software espía a dictaduras con la complicidad europea

Ver más

“Eso ya sería un paso adelante”, afirma Katia Roux, de Amnistía Internacional. Pero, en general, Francia no es un buen alumno: “Tenemos los mismos problemas y la misma falta de transparencia que con las exportaciones de armas”.

--------------------------------------------------------------

#PredatorFiles se basa en documentos confidenciales obtenidos por Mediapart y Der Spiegel, y está siendo publicado por medios asociados a European Investigative Collaborations (EIC): NRC, Politiken, Expresso, Le Soir, De Standaard, VG, infolibre y Domani en colaboración con Shomrim (Israel), Die Wochenzeitung (Suiza), Reporters United (Grecia), Daraj Media (Líbano) y The Washington Post (EEUU).

Orgullosa de sus valores democráticos, la Unión Europea se comprometió a estar a la vanguardia en la regulación de los equipos de vigilancia y otros programas espía. En mayo de 2021, el club comunitario adoptó un nuevo reglamento destinado a endurecer las exportaciones de estos sistemas. El objetivo era poner fin a los numerosos escándalos que han salpicado en los últimos 10 años a los fabricantes europeos del sector, cuyos productos son utilizados por dictaduras para espiar y localizar a opositores, periodistas y defensores de los derechos humanos. Pero está claro que no ha funcionado.

Más sobre este tema
>