Privacidad en el espionaje: el caso Pegasus

El caso

Desde hace días existen diversas noticias en los medios de comunicación acerca del espionaje a diversos políticos (entre ellos algunos Comisarios de la Unión Europea) por parte de gobiernos occidentales. En el caso español, siempre según las informaciones periodísticas, para llevar a cabo este espionaje (que incluye a 63 españoles) se habrían utilizado dos herramientas, ambas israelíes: Pegasus, desarrollada por la empresa de ciberseguridad NSO y por otro lado Candiru, desarrollado por la empresa del mismo nombre. 

Esencialmente NSO es una empresa israelí especializada en herramientas tecnológicas para la lucha contra el terrorismo, narcotráfico y otros delitos trasnacionales. Pegasus es una de sus herramientas, probablemente la más conocida y mediática desde 2016. A través de vulnerabilidades de los sistemas operativos IOS y Android es capaz de interceptar las comunicaciones e información confidencial de los propietarios de teléfonos móviles, enviándolas hacia el usuario del servicio. Por su parte, Candiru es una firma casi desconocida de perfil similar.

 

¿Cómo funciona?

En el caso de Candiru, es preciso previamente infectar el teléfono móvil objeto del ataque. Para ello se utilizan habitualmente técnicas de ingeniería social, enviando al destinatario mensajes SMS con apariencia real que el destinatario además estaba esperando (como una tarjeta de embarque o una notificación fiscal) que instalan en el móvil el software necesario. Este tipo de mensajes hacen razonable sospechar que los afectados ya estaban siendo espiados.

En el caso de Pegasus, no es ni siquiera necesario infectar el teléfono en sentido literal. Con que el usuario acceda a un enlace incluido en un envío el terminal puede quedar ya afectado.

En ambos casos, es prácticamente imposible para el afectado apreciarlo, lo que hace inviable defenderse de este tipo de ataques a la privacidad.

 

Presuntos responsables

De nuevo según las informaciones periodísticas, este tipo de herramientas solo se comercializan a gobiernos o con la autorización de los gobiernos, no siendo posible su compra por parte de entidades privadas.

Por ello, y conforme al informe (acerca del cual el Parlamento Europeo ha anunciado una investigación en detalle) de Citizen Lab, un equipo de ciberseguridad de la Universidad de Toronto, esos 63 políticos españoles habrían sido espiados presumiblemente por parte de organismos del Estado. En este sentido los focos se sitúan sobre el CNI, ya que consta que ha adquirido Pegasus al menos para operaciones en el extranjero.

 

¿Es legal?

En contra de lo que se podría pensar en un primer momento, estas actividades no son necesariamente ilegales.  En nuestro caso, en concreto el CNI tiene competencias asignadas en seguridad e inteligencia, así como para la vigilancia de riesgos contra la seguridad del Estado. Están reguladas en la Ley 11/2002 y se complementan con la Ley Orgánica 2/2002 que establece su control judicial.

Por ello estas actividades podrían haber sido perfectamente legales si encajaran dentro de este marco normativo, algo que hoy desconocemos.


Impacto en privacidad y protección de datos

Desde la óptica de Protección de Datos, la persecución de delitos, así como el tratamiento de datos con fines penales o judiciales no está regulada por el Reglamento General de Protección de Datos (art. 2.2.d)  sino que dispone de su normativa específica, la Directiva 2016/680, transpuesta al derecho español por la Ley Orgánica 7/2021 de Protección de Datos en investigaciones penales.

Esta normativa aplica principios similares al RGPD, y en consecuencia para poder tratar datos personales en el marco de una investigación debe contarse con una habilitación según lo que indica el art. 10:

El tratamiento sólo será lícito en la medida en que sea necesario para los fines señalados en el artículo 1 y se realice por una autoridad competente en ejercicio de sus funciones.

Por ello, debemos preguntarnos en que medida tiene licitud el CNI para el tratamiento de datos personales. 

La respuesta viene de la mano de los preceptos legales anteriores: la tiene si su actividad (en la que trata datos personales) está incluida en su marco normativo (leyes 2/2002 y 11/2002).

En concreto, la Ley Orgánica 2/2002, que regula el control judicial del CNI, señala que este organismo puede realizar la intercepción de comunicaciones telefónicas en el caso de que haya investigaciones relevantes que afecten a la seguridad del Estado, pero siempre y cuando cuenten con autorización judicial motivada y bajo la supervisión del juez competente del Tribunal Supremo.

En este sentido, resultaría cuando menos extraño que organismos públicos hayan recurrido a software privado con un coste de varios millones de euros, cuando – si se tiene la autorización judicial motivada – basta con solicitarlo a los operadores de los móviles objeto de vigilancia. 

Por otro lado, es cierto que la escucha por esta vía solo da acceso a llamadas y SMS, mientras que las aplicaciones (como WhatsApp) encriptadas de extremo a extremo permanecen ocultas, algo que no sucede con el «software espía», que da acceso a todos los contenidos del móvil.


 Conclusión

En un Estado de Derecho que cuenta con la privacidad como uno de sus derechos fundamentales (art. 18.2 CE) cualquier violación, pero especialmente aquella que venga (presuntamente) de organismos públicos debe ser investigada y depuradas las responsabilidades penales o civiles que procedan. Imposible (e injusto) prejuzgar sin saber, pero nos merecemos una investigación en regla.