La revelación, por parte del Citizen Lab de la Universidad de Toronto, de nuevos hallazgos relativos a la utilización del programa Pegasus para el espionaje de 65 teléfonos de líderes políticos y sociales de Cataluña, sus familiares y sus abogados, ha puesto de manifiesto que en España no somos ajenos, ni mucho menos, a la utilización de esta clase de programas de spyware masivo. Posteriormente, el propio Gobierno ha anunciado que los terminales del Presidente y la Ministra de Defensa han sido objeto de ataque igualmente, lo que el Ejecutivo ha denunciado ante la Audiencia Nacional. Parece que la infección se extiende, cual pandemia de espionaje de teléfonos móviles en la que se multiplican los positivos. Una quiebra de la seguridad de las comunicaciones de primer orden, en todo caso.
El uso de Pegasus y sus repercusiones en el ámbito de la violación de los derechos civiles y políticos más básicos no es, sin embargo una inquietud tan reciente. En julio de 2021, el consorcio Forbidden Stories, junto con Amnistía Internacional y 80 periodistas de 17 medios de comunicación de 10 países, dio la voz de alarma global, dando a conocer que en torno a 50.000 teléfonos móviles en el mundo habían sido infectados con este programa, diseñado por la empresa NSO Group para posibilitar la vigilancia no consentida y clandestina de toda la actividad que el usuario realiza a través del terminal: llamadas, mensajería, navegación, localización, cámara y micrófono, uso de aplicaciones, etc. Las investigaciones permitieron desgranar, sucesivamente, algunos de los destinatarios del espionaje, desde jefes de Estado a parlamentarios de distintos países, pasando por activistas sociales y políticos, defensores de Derechos Humanos y abogados. Se ha utilizado en países de lo más diverso, desde Bahréin, Azerbaiyán, India, El Salvador o Marruecos a Polonia y Hungría. El propio Presidente francés, como ahora se conoce que ha sucedido con Sánchez y Robles, fue víctima del espionaje con este programa (y, en el caso de Macron, las miradas apuntan a los servicios de espionaje marroquíes, pese a la confluencia de intereses de ambos países).
En ciertos casos, el uso de Pegasus se incardina en una estrategia de control y hostigamiento de toda voz independiente o incómoda, habiendo sido utilizado, por ejemplo, para el espionaje de la activista saharaui Aminatou Haidar o del jurista bahreiní Mohamed al Tajer (abogado de víctimas de torturas perpetradas por fuerzas de seguridad). Y en otros casos, todavía más dramáticos, dicho hostigamiento finalizó con la ejecución extrajudicial, como ha sucedido con el periodista mexicano Cecilio Pineda o con el disidente saudí y columnista de The Washington Post, Jamal Khashoggi, ambos espiados igualmente con el uso de este software. No es, por otra parte, la única herramienta de estas características empleada en fines parejos, pues «compite» con otras en este rampante mercado de la vulneración de la privacidad. Pero es, al parecer, la que ha obtenido mayor éxito, la que ha despertado mayor preocupación y la que ha sido incluso capaz de introducir la tecnología «zero-click», es decir aquella que no necesita (como sucede en otras tipologías de malware o spyware) que la víctima pinche en un enlace remitido como señuelo. El Parlamento Europeo ha constituido en marzo de 2022 una comisión de investigación sobre el uso de este programa y, ya antes (noviembre de 2021), el Departamento de Comercio de Estados Unidos incluyó a NSO Group en la lista de entidades de actividad cibernética maliciosa. Apple ha demandado a NSO Group en defensa de sus usuarios afectados por la infección con Pegasus.
Parece mentira que, mientras instituciones de países democráticos, organizaciones internacionales y empresas tecnológicas empiezan a cobrar conciencia de la gravedad del riesgo del uso y proliferación de estas técnicas de espionaje masivo, aquí nuestra primera respuesta haya sido el juego de la justificación en sede parlamentaria cuando los posibles objetivos conocidos eran personas del entorno independentista. La extensión del problema parece, sin embargo, que va a conducir a alguna clase de diligencia judicial (dada la denuncia del Gobierno y las anunciadas querellas de otros espiados), a la investigación interna del Centro Nacional de Inteligencia y a comparecencias en la conocida como Comisión de Secretos Oficiales del Congreso de los Diputados. Las cuestiones relativas a la seguridad de las comunicaciones del Presidente del Gobierno y la Ministra de Defensa, asunto no menor, deberán ser abordadas en el ámbito de la seguridad y defensa, máxime si procediese potencialmente la incursión en sus dispositivos de algún tercer país. Pero eso no debe esconder la urgencia de analizar si nuestro propio Estado ha empleado esta técnica. Es necesario saber si se ha utilizado, por cuánto tiempo, bajo qué propósito o hacia quién, por qué se extiende a familiares, ¡abogados! (violentando el derecho a la defensa), representantes de asociaciones civiles, etc. Es imprescindible saber quién lo ordenó, quién lo conoció, quién lo permitió, durante cuánto tiempo y, por supuesto, saber si los casos conocidos son los únicos o estamos sólo ante una muestra de un fenómeno más amplio y grave, como parece. Y, de manera determinante, debe esclarecerse si, en el caso de la infección de teléfonos que pueda haber sido ordenada o auspiciada por el Estado, se contaba con autorización judicial o no y, en caso afirmativo, bajo qué controles y limitaciones y si estas se respetaron. Dudo mucho que el uso de un sistema de características indiscriminadas como Pegasus cumpla ninguno de los principios rectores (especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida) aplicables, según nuestra Ley de Enjuiciamiento Criminal, a la interceptación de comunicaciones, captación y grabación de comunicaciones e imágenes. Puede que nos encontremos, en suma, no sólo ante una mala práctica (y en el caso del espionaje a nuestro Presidente y Ministra, ante una acción que compromete el funcionamiento ordinario del propio Gobierno), sino además ante una acción delictiva que debe depurarse y frente a una violación de Derechos Humanos que debe ser investigada y erradicada.
En el mundo de la vigilancia masiva, el uso de innovaciones tecnológicas para desproveer de cualquier atisbo de privacidad y violentar los derechos de las personas sometidas a ese control nos pone ante una nueva y seria amenaza. Ahora que hemos conocido que nuestro propio país no es inmune a esta deriva peligrosa, quizá estemos a tiempo de cortar de raíz el problema, evitando el uso de esta clase de software por el Estado y adoptando una protección adicional a las comunicaciones de los distintos responsables públicos. Todo menos adentrarse en la justificación de estas prácticas, en un viejo debate sobre medios y fines donde ya sabemos, desde Benjamin Franklin que, quien renuncia a su libertad por seguridad, no merece ni la una ni la otra. Pero es que, además, la supuesta seguridad obtenida se va pareciendo cada vez más a la de una pesadilla distópica donde nadie sale ganando y donde nuestros derechos no valen nada.