“Se está importando y utilizando en Indonesia un expansivo abanico de productos de software espía y de vigilancia altamente invasivos”, ha declarado hoy el Laboratorio sobre Seguridad de Amnistía Internacional con motivo de la publicación de un nuevo informe en colaboración con los medios de comunicación asociados Haaretz, Inside Story, Tempo, el colectivo de investigación WAV y Woz.
A través de información de fuentes abiertas, incluidas bases de datos sobre comercio y el mapeo de infraestructuras de software espía, el Laboratorio sobre Seguridad halló pruebas de ventas y despliegue de software espía y otras tecnologías de vigilancia altamente invasivos a empresas y organismos estatales en Indonesia entre 2017 y 2023.
Entre estas entidades figuran la Policía Nacional indonesia (Kepolisian Negara Republik Indonesia) y la Agencia Nacional Cibernética y Criptográfica (Badan Siber dan Sandi Negara).
Un turbio ecosistema de vendedores de vigilancia
La venta y transferencia de este software espía y estas tecnologías de vigilancia han sido propiciadas por un turbio ecosistema de vendedores, intermediarios y distribuidores de tecnologías de vigilancia dotado de complejas estructuras de propiedad.
Entre los vendedores identificados figuran Q Cyber Technologies SARL, con sede en Luxemburgo (ligado a NSO Group); el consorcio Intellexa; Wintego Systems Ltd. y Salto Tech (conocido también como Candiru), con sede en Israel, y Raedarius M8 Sdn Bhd (ligado a FinFisher) en Malasia. La investigación identificó también a intermediados y distribuidores con sede en Singapur e Indonesia.
Estas redes de empresas poco claras y nada transparentes pueden ocultar, intencionadamente o no, la naturaleza de las exportaciones de herramientas de vigilancia, dificultando la supervisión independiente por parte de las autoridades judiciales, las entidades reguladoras y las organizaciones de la sociedad civil nacionales e internacionales. La transparencia limitada y la ausencia sistémica de información sobre las transferencias de herramientas de vigilancia de doble uso (tecnología o productos que pueden usarse para fines civiles y también militares), que abarca a los proveedores y los usuarios finales implicados, así como a las licencias de exportación solicitadas, concedidas o rechazadas, dificultan que se apliquen efectivamente los mecanismos de regulación cuando éstos existen.
El Laboratorio sobre Seguridad también ha identificado nombres de dominio maliciosos e infraestructura de red ligados a múltiples plataformas de software espía avanzado, aparentemente dirigidos a personas en Indonesia. Los dominios maliciosos vinculados a Candiru y al software espía Predator de Intellexa han imitado los de medios informativos nacionales y regionales clave, partidos de la oposición política y noticias relacionadas con la documentación de violaciones de derechos. Los operadores de software espía suelen escoger este tipo de sitios atacantes para engañar a sus objetivos a fin de que éstos hagan clic en ellos, lo que expone el dispositivo a una infección potencial.
Aunque Amnistía ha sacado a la luz nuevos datos significativos sobre sistemas de software espía y vigilancia suministrados a Indonesia, esta investigación no implicó una investigación forense ni un intento de identificar a personas concretas que puedan haber sido objetivos de estas herramientas de vigilancia.
Las herramientas de software espía altamente invasivo están diseñadas para dejar el menor rastro posible, lo que hace muy difícil detectar casos de uso ilegal de dichas herramientas. Por tanto, la investigación se centra en la venta y transferencia de varias herramientas de software espía altamente invasivo.
El Laboratorio sobre Seguridad de Amnistía Internacional pidió comentarios y aclaraciones sobre las conclusiones de la investigación a las 21 entidades a las que se hace referencia en ésta.
Las respuestas que Amnistía Internacional recibió de Candiru (citada como Saito Tech en la investigación) y de NSO Group (que responde también en nombre de Circles y Q Cyber Technologies SARL), así como de los organismos de exportación Secretariado Estatal de Asuntos Económicos (SECO) suizo y la Agencia de Control de Exportaciones de Defensa (DECA) israelí se reflejan en el informe del Laboratorio sobre Seguridad A web of surveillance: Unravelling a murky network of spyware exports to Indonesia. Candiru respondió explicando que opera aplicando la Ley de Control de Exportaciones, 5766-2007, de la Agencia de Control de Exportaciones de Defensa (DECA) del Ministerio de Defensa israelí. NSO Group aseguró que está firmemente regulada por las autoridades de control de las exportaciones de los países a los que exporta sus productos.
Consecuencias para los derechos humanos del comercio de software espía
El uso indebido de las tecnologías de vigilancia, así como el uso de tecnologías incompatibles con los derechos humanos como el software espía altamente invasivo, son algunas de las numerosas tácticas que se emplean en todo el mundo para reducir el espacio de la sociedad civil. El número de ventas identificadas y despliegue de software espía altamente invasivo en Indonesia es especialmente preocupante, pues hay un ataque en curso contra los derechos a la libertad de expresión y de reunión y asociación pacíficas, a la seguridad personal y a no ser objeto de detención arbitraria en el país.
“En Indonesia, quienes defienden los derechos humanos y se dedican al activismo han sufrido reiteradamente la represión en Internet. Se vienen usando la Ley sobre Información y Transacciones Electrónicas, y otras leyes restrictivas para enjuiciar e intimidar a quienes defienden los derechos humanos, a quienes se dedican al activismo, y a periodistas, intelectuales y otras personas. El turbio comercio de herramientas de software espía a Indonesia añade otra peligrosa herramienta de potencial intimidación. No se puede permitir que esto continúe”, declaró Carolina Rocha da Silva, directora de Operaciones del Laboratorio sobre Seguridad de Amnistía Internacional.
Aunque Indonesia ha ratificado el Pacto Internacional de Derechos Civiles y Políticos y reconoce los derechos a la libertad de expresión y de reunión y asociación pacíficas, a la seguridad personal y a no ser objeto de detención arbitraria, el país carece de leyes que regulen específicamente el uso legítimo de software espía y tecnologías de vigilancia.
El informe de Amnistía Internacional Los archivos Predator: Emboscada en la red muestra que ni siquiera unas salvaguardias exhaustivas de derechos humanos protegerán a la sociedad civil del software espía altamente invasivo. Por esta razón, Amnistía Internacional pide la prohibición global permanente del software espía altamente invasivo y una moratoria —la suspensión de la venta, la transferencia y el uso— de todo el software espía hasta que existan unos marcos reguladores internacionales y nacionales de derechos humanos adecuados que protejan a la población de los abusos contra estos derechos causados por el software espía y la tecnología de vigilancia.
Si usted pertenece a la sociedad civil y podría haber sido víctima de un ataque con software espía, póngase en contacto con el Laboratorio sobre Seguridad de Amnistía Internacional para recibir apoyo forense digital.