Por: Amy Hogan-Burney, gerente general, asesora jurídica asociada, política y protección de ciberseguridad.
El explosivo crecimiento de las empresas privadas de “mercenarios cibernéticos” representa una amenaza para la democracia y los derechos humanos en todo el mundo. Los mercenarios cibernéticos, empresas privadas dedicadas a desarrollar, vender y respaldar capacidades cibernéticas ofensivas que permiten a sus clientes espiar las redes, computadoras, teléfonos o dispositivos conectados a Internet de sus objetivos, son un verdadero motivo de preocupación. Estas herramientas se han utilizado para atacar a las elecciones, los periodistas y los defensores de los derechos humanos y son cada vez más accesibles en el mercado abierto, lo que permite a los actores malintencionados socavar nuestras instituciones democráticas clave.
En Microsoft, creemos que la tecnología digital tiene un potencial increíble para mejorar vidas en todo el mundo, apoyar la democracia y proteger y promover los derechos humanos. Es por eso que, en la segunda Cumbre por la Democracia, nos enorgullece unirnos a la coalición internacional de más de 150 empresas que conforman el Acuerdo Tecnológico de Seguridad Cibernética para hacer retroceder, de manera individual y colectiva, el mercado de mercenarios cibernéticos al comprometernos con un conjunto de principios de la industria.
También somos muy conscientes de que para tener un impacto real, debemos combinar nuestro compromiso con la acción. Microsoft ha interrumpido las operaciones de Knotweed y Sourgum, dos grupos de mercenarios cibernéticos que atacan a víctimas en todo el mundo. Hoy, tomamos más medidas. En asociación con investigadores de seguridad de The Citizen Lab de la Munk School de la Universidad de Toronto, hemos rastreado el malware utilizado por un mercenario cibernético israelí al que nos referimos como DEV-0196. El malware se ha utilizado para apuntar a comunidades que incluyen periodistas, trabajadores de ONG y políticos. Microsoft comparte información sobre DEV-0196 con nuestros clientes, socios de la industria y el público para mejorar el conocimiento colectivo de cómo operan los mercenarios cibernéticos y crear conciencia sobre cómo los mercenarios cibernéticos facilitan la selección y explotación de la sociedad civil. La información técnica para los clientes y la comunidad de seguridad está disponible aquí.
Nuestro compromiso colectivo de limitar las amenazas que plantean los cibermercenarios
Combatir la amenaza de los mercenarios cibernéticos es un esfuerzo colectivo y estamos agradecidos por nuestra asociación continua con Citizen Lab. Muestra el impacto que podemos tener cuando trabajamos juntos. Los principios del Cybersecurity Tech Accord que los miembros de la comunidad tecnológica han firmado también son un paso importante. A medida que la industria de la tecnología construye y mantiene la mayor parte de lo que consideramos «ciberespacio», nosotros, como industria, tenemos la responsabilidad de limitar el daño causado por los mercenarios cibernéticos. Un desglose más detallado de los principios está disponible en el sitio web Cybersecurity Tech Accord, pero en un alto nivel, los signatarios se comprometen a:
- Tomar medidas para contrarrestar el uso de productos y servicios por parte de los mercenarios cibernéticos para dañar a las personas;
- Identificar formas de contrarrestar de manera activa el mercado de mercenarios cibernéticos;
- Invertir en la concienciación sobre ciberseguridad de los clientes, usuarios y público en general;
- Proteger a los clientes y usuarios a través de mantener la integridad y seguridad de los productos y servicios;
- Desarrollar procesos para el manejo de solicitudes legales válidas de información.
Estos principios responden al llamado del presidente Biden para que la industria de la tecnología se una y haga frente a los desafíos que enfrentan nuestras sociedades. También llegan en un momento crítico. Cada vez hay más conciencia de la existencia de cibermercenarios y un mayor y bienvenido enfoque por parte de los legisladores de ambos lados del Atlántico en los temas relacionados con el spyware. Al mismo tiempo, esos debates solo han tocado la punta del proverbial iceberg. De manera reciente, Carnegie Endowment for International Peace identificó al menos 74 gobiernos que han contratado a dichas empresas para obtener, de manera específica, software espía y tecnología forense digital. Es probable que esto sea una subestimación.
Además, es solo cuestión de tiempo antes de que el uso de las herramientas y tecnologías que venden se extienda aún más. Esto representa un riesgo real para los derechos humanos en línea, pero también para la seguridad y la estabilidad del entorno en línea más amplio. Los servicios que ofrecen requieren cibermercenarios para acumular vulnerabilidades y buscar nuevas formas de acceder a las redes sin autorización. Sus acciones no solo afectan a la persona a la que se dirigen, sino que dejan redes y productos enteros expuestos y vulnerables a nuevos ataques. Necesitamos actuar contra esta amenaza antes de que la situación se intensifique más allá de lo que la industria tecnológica puede manejar.
La colaboración de múltiples partes interesadas será esencial para combatir esta amenaza. Gran parte de lo que sabemos sobre las tácticas de los cibermercenarios proviene del trabajo incansable de aquellos en la sociedad civil que han llamado la atención sobre casos individuales de abuso y han apoyado a las víctimas de los cibermercenarios: ciudadanos inocentes de todo el mundo. Esperamos que la acción de la industria ayude a revertir una tendencia preocupante y aliente a los gobiernos, en particular a las democracias, a hacer más también. Por lo tanto, nos complació ver que la Administración Biden dio los primeros pasos en este campo con su Orden ejecutiva para prohibir el uso de software espía comercial que represente un riesgo para la seguridad nacional y los Principios Guía sobre el uso de tecnologías de vigilancia por parte del gobierno, apoyadas por los 44 Estados participantes de la Cumbre por la Democracia. Esperamos que otros países hagan lo mismo e identifiquen formas de frenar este peligroso mercado.