Incidentes Asociados
Análisis del caso Paragon a la luz de episodios previos de uso de IA con fines de vigilancia y de la legislación italiana y europea sobre protección de datos.
El caso Paragon
El 31 de enero de 2025, WhatsApp envió una notificación a al menos 90 personas en medio de activistas, periodistas, y oponentes políticos en toda la Unión Europea, informándoles que estaban siendo atacados por Graphite, un software espía producido por la empresa de tecnología israelí Paragon Solutions Ltd. Según la firma, este software de hacking de grado militar solo se ha proporcionado a gobiernos democráticos. El caso pronto estalló en Italia: entre las siete víctimas que hasta ahora han informado que habían sido atacados por el software espía se encuentran varios trabajadores de la ONG Mediterranea Saving Humans, como su fundador Francesco Cancellato, uno de sus armadores Beppe Caccia y uno de sus capellanes Mattia Ferrari. Como David Yambio - un activista por los derechos de los inmigrantes libios y crítico de las políticas adoptadas por el gobierno italiano bajo el gobierno de Giorgia Meloni - también fue informado de un intento de comprometer su teléfono, los periódicos incluso se aventuraron a suponer que podría haber un vínculo subyacente entre el caso Paragon y la liberación ilegal del comandante libio de las SDF/RADA Osama Almasri Njeem](https://iari.site/2025/02/24/il-caso-almasri-come-la-cpi-emette-un-mandato-di-arresto/).
Desde que el gobierno italiano no informó públicamente al Parlamento sobre el caso Paragon, la especulación sobre el caso ha aumentado. Mientras tanto, Citizen Lab, con sede en Canadá, fue encargado de investigar las violaciones de la privacidad sufridas por las víctimas de Graphite. Este análisis no pretende alimentar conjeturas ni acusaciones. Más bien, explorará el concepto de spyware y el funcionamiento de este tipo específico de software. También se basará en casos similares al problema en cuestión para destacar recomendaciones para proteger la privacidad y los datos personales de los ciudadanos.
Spyware: qué es y cómo funciona
La Comisión Federal de Comercio (FTC), organismo gubernamental estadounidense establecido mediante la Ley de la FTC en 1914, define el spyware (https://www.ftc.gov/news-events/topics/identity-theft/spyware-malware) de la siguiente manera: «El spyware es un tipo de malware que puede controlar o monitorear el uso del ordenador. Puede utilizarse para enviar anuncios emergentes a los consumidores, redirigir sus ordenadores a sitios web no deseados, monitorear su navegación en internet o registrar sus pulsaciones de teclas, lo que, a su vez, podría conducir al robo de identidad».
En concreto, Graphite, el spyware de Paragon Solutions Ltd., explota los denominados «días cero» (es decir, vulnerabilidades de seguridad o fallos dentro de un sistema informático) mediante «cero clics» (es decir, sin ninguna interacción previa del usuario con los enlaces enviados o archivos adjuntos de ningún tipo) debido al procesamiento automático que tiene lugar una vez que el dispositivo recibe nuevos datos de un remitente. De forma similar, Graphite consiguió atacar teléfonos móviles, actuar como un espía invisible, escuchar conversaciones privadas y robar información secreta sin que las víctimas se dieran cuenta. De esta manera, el spyware ofrece una solución discreta y adecuada para que entidades gubernamentales y agencias de inteligencia realicen operaciones de vigilancia y rastreo, generalmente contra sospechosos que amenazan la seguridad nacional o internacional, terroristas y delincuentes. Aunque no se pronunció directamente sobre el escándalo, se confirmó que Paragon Solutions Ltd. rescindió su contrato con Italia debido al uso poco ético del malware por parte de Italia.
Casos similares
En 2021, una investigación liderada por dieciséis periódicos internacionales (https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/?s=08) reveló que cincuenta mil números de teléfono se habían recopilado desde 2016 mediante el malware Pegasus, comercializado por la empresa israelí de vigilancia NSO Group. Si bien NSO Group aclaró que su software estaba diseñado para combatir la delincuencia y el terrorismo, la investigación independiente demostró que también se habían recopilado los datos personales de al menos 65 ejecutivos de empresas, 85 activistas de derechos humanos, 189 periodistas y más de 600 políticos. Además, Pegasus también fue vendido a varios regímenes autocráticos: por ejemplo, Citizen Lab demostró que este software espía se había utilizado para rastrear y vigilar los movimientos del periodista saudí Jamal Khashoggi antes de su asesinato el 2 de octubre de 2018 en el consulado saudí en Estambul (Turquía).
Como uno de los países más tecnológicamente avanzados del mundo, Israel ha estado invirtiendo fuertemente en educación superior, investigación y nuevas empresas, particularmente si estas pueden proporcionar nuevas soluciones de alta tecnología o impulsadas por IA para que los militares las desplieguen contra grupos armados vecinos y opuestos (como Hamás en la Franja de Gaza y Hezbolá en el Líbano) o [para identificar, controlar y pista palestinos locales para garantizar la seguridad de los colonos israelíes en Cisjordania y Jerusalén. Estas innovaciones también se exportan al extranjero y rara vez terminan en manos de regímenes democráticos (que, como lo demuestran los últimos acontecimientos, también están destinados a hacer un mal uso de estas tecnologías). Por ejemplo, Israel se ubicó entre los diez mayores exportadores de armas del mundo (con una participación del 2,3% entre 2018 y 2022). Sin mencionar que Azerbaiyán, Baréin, India, Filipinas y los Emiratos Árabes Unidos (EAU) figuran como sus principales compradores, y todos ellos constituyen claramente regímenes autoritarios. A medida que la IA se apodera de todos los dominios de nuestras vidas y se proporciona poca o ninguna regulación al respecto, se espera que las democracias luchen con nuevos desafíos para encontrar un compromiso satisfactorio entre garantizar la seguridad en el sitio y en línea y respetar la privacidad y los datos personales de los ciudadanos. Por ejemplo, Francia fue elogiada por el excelente nivel de seguridad logrado en los Juegos Olímpicos de París 2024, solo unos meses después del nefasto ataque al Ayuntamiento de Crocus cerca de Moscú (Rusia). Este objetivo se logró ampliamente gracias a Cityvision, el software de cámaras de vigilancia con inteligencia artificial desarrollado por la empresa tecnológica francesa Wintics, implementado en París desde 2020, que ha garantizado la gestión del flujo de movilidad, la detección de zonas de riesgo potencial y la capacidad de filtrar datos de la ciudad y del transporte público mediante criterios seleccionados. Si bien es innegable que Cityvision de Wintics ha mejorado notablemente la seguridad nacional francesa, las medidas preventivas como la videovigilancia algorítmica pueden potencialmente conducir a la vigilancia masiva biométrica, amenazar el derecho a la privacidad y la protección de datos y violar el derecho internacional de los derechos humanos. Esto se argumentó en una carta pública firmada por organizaciones de la sociedad civil de toda Europa, pero Francia decidió no abordar públicamente sus preocupaciones con motivo de París 2024.
Recomendaciones
Hay un factor común en los diversos episodios explorados en este análisis —el caso Paragon, el caso Pegasus, el mercado israelí de alta tecnología en general y el panorama francés de seguridad impulsado por IA en París 2024—: la IA no está sujeta a una legislación nacional o internacional vinculante. Esto dificulta aún más encontrar un consenso sobre qué países deberían beneficiarse del inmenso potencial de la IA y qué precio deberían pagar en caso de que se revelen violaciones y abusos. A menudo, esto deja a las empresas a cargo de dictar las condiciones, o de no dictar ninguna, según su punto de vista ético al respecto. A su vez, esto deja a los gobiernos y a las agencias de inteligencia prácticamente impunes en caso de uso indebido o abuso flagrante y violaciones.
En cuanto al caso Paragon, la Autoridad Italiana de Protección de Datos reiteró el derecho a la confidencialidad de las comunicaciones, consagrado en el artículo 15 de la Constitución italiana, así como en la legislación europea en la materia. De hecho, el Reglamento General de Protección de Datos (RGPD) (https://gdpr-info.eu/) define «datos personales» como cualquier información que permita identificar a una persona, incluidos los metadatos recopilados por programas espía (artículo 4). Además, sin consentimiento, los datos solo podrán ser tratados lícitamente por interés público (artículo 6). Finalmente, se aplican restricciones más severas en caso de que los datos revelen información sensible, como opiniones políticas, origen étnico, salud y orientación sexual (artículo 9).