- Global Voices en Español - https://es.globalvoices.org -

EXCLUSIVO: Empresas alemanas están vendiendo tecnologías de vigilancia sin licencia a violadores de derechos humanos ─ y ganando millones

Categorías: Europa Occidental, Alemania, Derechos humanos, Medios ciudadanos, Vigilancia, GV Advox
Image via Pixabay. Public Domain CC0 [1]

Imagen vía Pixabay. Dominio público CC0

Este reportaje exclusivo ha sido elaborado por Ben Wagner [2] y Claudio Guarnieri [3], destacados investigadores de las tecnologías de vigilancia y seguridad digital. Estos académicos con sede en Berlín trabajan en el Centro de Investigación de Internet & Derechos Humanos, en la Universidad Europea Viadrina [4].

De México a Mozambique a Pakistán y más allá, hay ahora amplia evidencia de que gobiernos en todo el mundo utilizan las tecnologías de vigilancia masiva como FinFisher para espiar a sus ciudadanos. Esto impulsa a investigadores y defensores como nosotros a considerar la fuente: ¿Quién crea estas tecnologías? ¿Y quién se beneficia de su venta?

Alemania es un importante exportador de estas tecnologías, y dado que la privacidad de las comunicaciones digitales se ha convertido en un tema candente para el público alemán, el país se ha convertido en un actor cada vez más importante en este campo.

Comparando la información de una filtración masiva de datos a mediados de agosto con los resultados de una reciente investigación parlamentaria en Alemania, hemos llegado a sospechar que la mayoría de las tecnologías de vigilancia producidas por empresas alemanas se han comprado y vendido bajo mano – en otras palabras, sin licencia. El gobierno alemán exige licencias para la venta de tecnologías que se consideran «de doble uso» ─ los productos que se pueden utilizar tanto para bien como para mal.

La investigación se centra en la empresa angloalemana Gamma International, fabricante del ahora infame juego de herramientas para vigilancia de FinFisher [5]. Los desprevenidos blancos de la vigilancia normalmente terminan descargando FinFisher sin saberlo, con solo hacer clic en un enlace aparentemente inocente, o un archivo adjunto de correo electrónico. Una vez instalado, la herramienta permite al usuario acceder [6] a toda la información almacenada y vigilar incluso las comunicaciones cifradas. Se pueden registrar las pulsaciones de teclado, grabar conversaciones de Skype y se pueden activar cámaras y micrófonos a distancia.

Miembros del parlamento alemán recientemente llevaron a cabo una investigación sobre la venta de tecnologías de vigilancia a gobiernos extranjeros. En respuesta, el gobierno alemán afirmó que en la última década ha proporcionado licencias a empresas alemanas para exportar tecnologías de vigilancia a al menos 25 países, muchos de los cuales tienen un largo historial de abusos contra los derechos humanos. Entre 2003 y 2013, se exportaron tecnologías de vigilancia a Albania, Argentina, Chile, India, Indonesia, Qatar, Kósovo, Kuwait, Líbano, Malasia, Marruecos, México, Noruega, Omán, Pakistán, Rusia, Arabia Saudita, Suiza, Singapur, Taiwán, Turquía, Turkmenistán, EE.UU. y los EAU. Agnieszka Brugger, diputada del Partido Verde de Alemania, publicó la serie completa de preguntas y la respuesta oficial del gobierno en su blog [7].

¿Cómo funciona el mercado de exportación de Alemania?

Las respuestas proporcionadas por el gobierno alemán son complejas de interpretar, ya que su documentación cubre cualquier sistema informático que incluya «componentes» de la tecnología de vigilancia. Por ejemplo, un sistema completo de telefonía nacional que se vende por diez millones de dólares en total puede incluir un componente de vigilancia que cuesta dos millones de dólares – pero el producto aparece en la documentación pública como 10 millones de dólares de bienes exportados que incluyen tecnologías de vigilancia con licencia.

Basándonos en extensas conversaciones con los funcionarios gubernamentales pertinentes, individuos del sector privado y los numerosos documentos filtrados disponibles, es posible obtener un cálculo relativamente preciso de la proporción de estas tecnologías que son en realidad tecnologías de vigilancia. Haciendo un cálculo conservador, en torno al 20% del conjunto de los sistemas de TI presentados en esta lista son en realidad tecnologías de vigilancia, y el resto son sistemas genéricos de TI y tecnologías. Por ejemplo, en 2010 Alemania exportó sistemas de TI que incluyen tecnologías de vigilancia por un valor de 11.977.728 euros. Así, estimamos que de estos sistemas de TI enumerados solo 2.395.546 euros son en realidad exportaciones de tecnología de vigilancia, y el resto de las exportaciones son sistemas genéricos de TI o de telecomunicaciones.

Estas cifras también nos permitieron crear el siguiente gráfico de las exportaciones de tecnología de vigilancia alemana entre 2010 y 2013:

German_Surveillance_Exports_v3_liValor total estimado en millones de euros de las exportaciones de vigilancia con licencia procedentes de Alemania, 2010-2013.

Es importante destacar que el gobierno alemán negó explicitamente [8] haber recibido ninguna solicitud de licencia por parte de Gamma para exportar su producto FinFisher a Bahréin o Etiopía. La documentación oficial del gobierno alemán tampoco menciona exportaciones a países como Bangladesh, Holanda, Estonia, Australia, Mongolia, Bahréin y Nigeria, y sin embargo existen numerosas pruebas [5] de que FinFisher se ha vendido a estos países. (Los investigadores en seguridad del Citizen Lab en la Universidad de Toronto han llevado a cabo una extensa serie de investigaciones técnicas en el uso de productos FinFisher en una amplia gama de países con regímenes autoritarios y democráticos. Un archivo completo de estos informes se puede encontrar aquí [5]).

Los documents filtrados en la descarga de FinFisher y los análisis de Privacy International [9] sugieren que Gamma ha vendido estas tecnologías sin ningún tipo de licencia de exportación. Esta afirmación está basada en numerosos documentos sobre cómo Gamma comercia en tecnología y la reciente afirmación del gobierno británico que legalmente obligaría a Gamma a obtener una licencia para FinFisher [9] si la empresa quisiera exportarlo desde el Reino Unido. Los conocimientos e investigaciones existentes muestran que Gamma opera desde el Reino Unido y Alemania, lo que hace suponer que estas tecnologías se habrían exportado desde Alemania. Y Alemania ha negado en repetidas ocasiones haber proporcionado la licencia a Gamma para vender a varios países clave donde sabemos que se ha utilizado FinFisher. Esto nos lleva a la conclusión de que FinFisher fue exportado desde Alemania sin una licencia.

¿Qué significa esto para el comercio alemán en tecnologías de vigilancia? Las ventas de tecnologías de vigilancia con licencia son escasas en comparación con las ventas de exportación sin licencia de FinFisher, por no hablar de otros productos de vigilancia. Gamma está vendiendo actualmente más tecnología de vigilancia que todas las exportaciones con licencia combinadas. Esto es un resumen de la comparación de las exportaciones alemanas de vigilancia con licencia y sin licencia :

German_Surveillance_Exports_v3_li_unli

Valor total estimado en millones de euros de exportaciones con y sin licencia procedentes de Alemania, 2010-2013.

Y esto es solo una única empresa – hay probablemente otras en Alemania que siguen esta estrategia de negocios. Aunque es difícil calcular el total exacto de las exportaciones alemanas de vigilancia sin licencia, no debería ser ninguna sorpresa, dado que personas con información privilegiada en ISS World [10], líder en el sector, calcularon el valor de su industria a nivel mundial entre 3 y 5 mil millones de dólares [11]. La significativa brecha entre los elementos con licencia y sin licencia de la industria de la tecnología de vigilancia muestra la necesidad de una regulación internacional urgente y clara.

¿Qué ha hecho el gobierno alemán hasta ahora?

El gobierno alemán también indicó que presionará más para regular las tecnologías de vigilancia que perjudiquen los derechos humanos, un avance positivo que refleja una comprensión de la gravedad de la cuestión. A la luz de estas últimas revelaciones y el deseo de determinadas partes de hacer de este un tema político clave, nos sentimos alentados y esperamos que se puedan hacer más cambios para evitar que tecnologías aún más peligrosas sean exportadas a regímenes represivos. Hallazgos como estos sugieren que es necesaria una mayor regulación en este sector.

Y existe algún precedente. Alemania bloqueó las exportaciones del software «Sistema de Gestión de intercepciones ‘(un producto similar al sistema LIMS de Utimaco) a Irán en 2008. Más recientemente, el gobierno ha sugerido que las empresas deberían dejar de exportar tecnologías de vigilancia a Turquía [12].

Los datos también sugieren que el mercado mundial de la tecnología de vigilancia es altamente dependiente de los grandes contratos con unos cuantos países. La respuesta a la investigación parlamentaria mostró que los mayores contratos individuales en 2006 y 2007 se negociaron con Arabia Saudita y Turquía. Es difícil adivinar con precisión a qué contratos se refieren estas exportaciones, pero encajan en el patrón de actualización de la vigilancia en Internet para hacer frente a grandes volúmenes de datos, que se hizo común alrededor de 2005. Túnez se enfrentó a cuestiones similares en 2007, antes de la revolución, y optó por instalar tecnología de vigilancia de inspección profunda de paquetes para gestionar cantidades de datos cada vez mayores.

La defensa de la regulación de la vigilancia en un mundo post-Snowden

Los partidos de izquierda en Alemania ahora ven la regulación de las tecnologías de vigilancia como una importante cuestión política por la que vale la pena luchar. Los Verdes y el Partido Socialdemócrata SPD luchan por la titularidad de la cuestión – esto parece haber sido la fuerza motriz de la investigación parlamentaria. Si bien la politización de temas como este no siempre es útil, es interesante ver a los partidos políticos competir para ver quién puede regular mejor la tecnología de vigilancia en interés de los derechos humanos.

Documentos filtrados de FinFisher muestran que la compañía ahora cree que está o pronto podría estar sujeta a restricciones a la exportación en Alemania, un hecho que parece haberla llevado a comenzar a pedir a sus clientes información adicional sobre cómo se utilizarán sus exportaciones – este es el tipo de información que necesitaría a fin de cumplir la normativa de control de exportaciones alemanas. Esto sugiere que la normativa de exportación de tecnologías de vigilancia puede estar teniendo repercusiones antes de convertirse en ley, dado que incluso algunas de las empresas más despiadadas ya están reaccionando para asegurarse de que la cumplen.

Normas mundiales y el Acuerdo de Wassenaar

Y podría haber más cambios. Los documentos sugieren que el gobierno alemán ha comenzado a reconocer la necesidad de regular más las tecnologías de vigilancia que tienen un impacto negativo sobre los derechos humanos. Mencionan explícitamente «centros de seguimiento» para la vigilancia – que pueden albergar datos de correos electrónicos, mensajes SMS, y llamadas telefónicas por Internet y VoIP en un solo centro de datos – como tecnologías que pueden ser utilizadas indebidamente y por lo tanto merecen regulación adicional.

El principal foro para la negociación de dichos cambios al control de las exportaciones es el Acuerdo de Wassenaar, un acuerdo no vinculante entre Estados sobre cómo regular ciertas tecnologías de «doble uso» a nivel internacional. Wassenaar esencialmente ofrece una larga «lista de control» de las tecnologías que todos los Estados miembros creen que podrían utilizarse indebidamente. Cada Estado miembro en la Unión Europea luego aplica las decisiones en sus leyes nacionales de control de exportaciones. Estas listas se actualizan cada año en una gran conferencia de los Estados miembros de Wassenaar. Estos cambios normalmente tardan todo un año en entrar en vigor dentro de los marcos jurídicos nacionales de los distintos Estados miembros de Wassenaar.

Al igual que muchos defensores de derechos humanos, creemos que el Acuerdo de Wassenaar proporciona la plataforma más sólida para que el gobierno alemán presione por tales cambios y ya ha confirmado en repetidas ocasiones su deseo ante el Parlamento alemán de hacerlo ampliamente. Una mejor regulación de las tecnologías de vigilancia es “de gran importancia política” [8] para los estados miembros de Wassenaar, como lo es para la Comisión Europea, que considera este tema como de “alta prioridad” [8].

Alemania también está ejerciendo gran presión para que los cambios en la lista de control de Wassenaar del 2013 entren en vigor en el ámbito de la Unión Europea lo antes posible. Algunos funcionarios dicen que avanzarán sobre el asunto ya en el otoño de 2014. Este es un pronóstico optimista, pero refleja las medidas que el gobierno alemán ha tomado a varios niveles diferentes para acelerar el proceso. Aún está por verse si este calendario es realista, pero por lo menos señala la intención sustancial del gobierno alemán tras años de inacción.

La política partidaria de Alemania y el panorama más amplio

Más allá de las propias tecnologías de vigilancia, el líder del partido socialdemócrata SPD y ministro de Economía, Sigmar Gabriel, ha declarado su deseo de interpretar las leyes de control de exportación de manera más estricta en todos los ámbitos. Las herramientas para este fin existen desde hace algún tiempo bajo la forma de “Principios Políticos para la Exportación [13]” desarrollados por el gobierno alemán en el año 2000, pero éstos rara vez fueron aplicados estrictamente. El ministro del SPD, Gabriel ha interpretado estos principios de manera más estricta para detener una serie de exportaciones de armas desde Alemania. Por lo tanto, la regulación adicional de las tecnologías de vigilancia de doble uso encaja muy bien en su agenda. Al mismo tiempo, ha recibido críticas en la prensa y de los medios de comunicación alemanes y el Partido Verde por no ser capaz de demostrar que en realidad haya rechazado una solicitud concreta para tecnologías de vigilancia [14].

Aquí, como en otros casos, la lucha es fundamentalmente política más que sustancial. Acogemos con satisfacción el hecho de que dos partidos políticos compitan actualmente en Alemania por ver quién puede regular mejor la tecnología de vigilancia. Concretamente, ambos han asumido firmes compromisos y el gobierno del SPD en el poder aún no ha podido documentarlos plenamente. Quizás lo más notable es la continua aspiración del gobierno alemán de convertirse en una voz líder en los debates internacionales en torno a la regulación de las tecnologías de vigilancia. El tiempo dirá si son realmente capaces de cumplir esta promesa, pero los signos siguen siendo prometedores.