[1]Illustración [2] de Gibrán Aquino (CC BY 4.0 International [3]), publicada por la Red en Defensa de los Derechos Digitales (R3D) de México.
Este artículo de Miroslava Byrns se basa en la cobertura original [4] de Truthmeter.mk. Aquí se publica una versión editada bajo un acuerdo de contenidos compartidos entre Global Voices y la Metamorphosis Foundation.
Un comité especial del Parlamento Europeo está investigando los software espías Pegasus [5] y Predator tras comprobar que prominentes políticos, periodistas y activistas de la mayor parte de los países europeos y de varios regímenes represivos africanos estaban siendo espiados después de que sus teléfonos se infectaran con estos programas. El poder de estos programas espía es enorme, puesto que pueden extraer cualquier material de comunicación, fotos, archivos, vídeos y documentos del teléfono móvil sin conocimiento del propietario. Si se usan fuera de los límites legales suponen el espionaje no autorizado de ciudadanos inocentes que podría utilizarse para chantajes, intimidación, manipulación de los resultados electorales, etc.
En el informe del Parlamento Europeo [6] se menciona a Macedonia en la investigación del uso de Pegasus y otros spywares de vigilancia equivalentes. En la página 36 se habla de los desarrolladores de dichas aplicaciones y se nombra a Hungría. Según el informe, el Gobierno húngaro no solo compró y usó Pegasus [5] contra sus ciudadanos, sino que también sirvió como anfitrión de empresas fabricantes del ramo. Black Cube es una agencia privada de inteligencia israelí dirigida por antiguos empleados del Mossad, el ejército israelí y el Servicio Israelí de Inteligencia.
Black Cube ha estado implicada en numerosos casos públicos de piratería, como los sucedidos en EE. UU. y Rumanía. Se descubrió que estaba conectada con el spyware del Grupo NSO y Pegasus. Tras la enorme presión pública relacionada con el hecho de que NSO había contratado a Black Cube para espiar a sus oponentes, el antiguo director ejecutivo de dicha empresa, Shalev Hulio, admitió que él había contratado a Black Cube al menos en una ocasión en Chipre. En la sección de empresas de programas espía, el informe del Parlamento Europeo dice [6]:
Black Cube got involved in Hungary during the 2018 elections, during which time they spied upon various NGOs [7] and persons who had any connection to George Soros and reported back to Orban in order for him to spin their actions in a smear campaign. Those targeted included a lawyer and member of the leading human rights NGO Hungarian Helsinki Committee, Marta Pardavi [8]. The information resulting from the surveillance of those individuals and NGOs appeared not only in the Hungarian state-controlled media [7], but also in the Jerusalem Post [9].
An additional connection with Hungary is Cytrox Holdings ZRT which is registered at an address in Budapest. Cytrox was originally founded in North Macedonia and created the Predator spyware tool before it was bought by WiSpear, which is now part of Intellexa alliance run by Tal Dilian.
Black Cube intervino en las elecciones de 2018 en Hungría, durante las que se espió a varias ONG [7] y a personas que pudieran tener alguna conexión con George Soros, y se informaba a Orban para manipular sus movimientos en una campaña corrompida. Entre las víctimas de este espionaje está Marta Pardavi [8], abogada y miembro de la ONG de derechos humanos Hungarian Helsinki Committee. La información resultante de la vigilancia de estas personas y ONG apareció no solo en los medios controlados por el Gobierno húngaro [7], sino también en el Jerusalem Post [9].
Una conexión adicional con Hungría es Cytrox Holdings ZRT, registrada en una dirección de Budapest. Cytrox se fundó originalmente en Macedonia del Norte y creó el programa espía Predator antes de ser adquirida por WiSpear, hoy parte de la alianza Intellexa, dirigida por Tal Dilian.
En una conferencia de prensa [10] celebrada el 8 de noviembre de 2022, la europarlamentaria Sophie in ‘t Veld [11] presentó las conclusiones finales del informe, que cubre un periodo de 7 meses. Veld dijo que todos los estados miembros de la Unión Europea disponen de programas de este tipo, aunque no lo reconozcan.
No obstante, según la europarlamentaria, el problema fue que los estados miembros de la UE abusaron de este software, lo que supone una enorme amenaza a la democracia en todo el continente.
El propósito oficial era interceptar la delincuencia, terrorismo y drogas, pero el problema se produjo cuando se usó la aplicación más allá de estos límites. En otras palabras, cuando se produce un abuso de un programa espía, lo que anula el derecho personal a la privacidad, se socava la democracia y las instituciones democráticas, se silencia a la oposición y a los críticos, se elimina el control y se produce un efecto de «moderación» de la prensa libre y de la sociedad civil. Este abuso, entre otras cosas, sirve para manipular elecciones.
En su alocución [10], Sophie in ‘t Veld señaló:
The spyware scandal is not a national scandal, it is very much a European scandal. We tend to look at it through the keyhole of national politics, but if you connect the dots, suddenly a new image emerges and suddenly you see this is an entirely European matter. For example, it affects directly the EU institutions, as MEPs, Commissioners, Commission officials and ministers have been targeted. Perpetrators, on the other hand, also sit on the Council, the European Council. It affects also the integrity of elections and of decision-making in the EU. We also observe that the spyware industry is a very shady industry, with fake and illusive and very low ethical standards. The term “mercenary spyware” sums it up nicely. But, it is fully Europeanized – making use of the internal market, Schengen and the European label. Europe offers excellent conditions for the industry including weak enforcement of rules. Thus, Europe has facilitated the export of spyware to Libya, Egypt, Bangladesh and other mobile democracy where it has been used against human rights defenders and journalists.
El escándalo de los programas espía no es de ámbito nacional, es sobre todo un escándalo europeo. Tendemos a mirarlo a través del ojo de la política nacional, pero si conectas los puntos, emerge de repente una nueva imagen, y de pronto lo ves como un asunto totalmente europeo. Por ejemplo, afecta directamente a las instituciones europeas, puesto que se ha dirigido contra europarlamentarios, comisarios, altos cargos de la Comisión Europea y ministros. Los perpetradores, por otra parte, también se sientan en el Consejo, el Consejo Europeo. También afecta a la integridad de las elecciones y de la toma de decisiones en la UE. Además hemos observado que los creadores de los programas espía son un sector muy oscuro, con bajísimos estándares éticos, falsos y engañosos. El término «spyware mercenario» lo define perfectamente. Pero está totalmente europeizado, ya que hace uso del mercado interno, de Schengen y de la etiqueta europea. Europa ofrece excelentes condiciones para la industria, como una mala aplicación de los reglamentos. Así, Europa ha facilitado la exportación de programas espía a Libia, Egipto, Bangladesh y otras democracias móviles, en las que se ha utilizado contra periodistas y defensores de los derechos humanos.
Este informe del Comité Especial PEGA es especialmente importante porque se ha ignorado, y los gobiernos de todo Europa no muestran interés en cooperar, como tampoco lo hacen los desarrolladores de software. Por ejemplo, cuando Veld se puso en contacto con Tal Dilian, director ejecutivo de la compañía Intellexa, no recibió contestación. La carta de la europarlamentaria a Dilian [12] pregunta de nuevo sobre la estructura corporativa que entre otras, incluye a la empresa Cytrox de Macedonia.
La carta afirma:
The company Cytrox, hosted by Intellexa, began as a start-up in North Macedonia, but according to Forbes [13] you saved it from bankruptcy with five million dollars. It seems that the corporative structure is widely spread, with corporative presence in Hungary, Israel and share transfer in a corporative entity on the British Virgin Islands. Could you please provide us with information on your current and previous role in Cytrox as well as the link between Cytrox and Intellexa. Can Intellexa comment on why is it present on the British Virgin Islands? Can Intellexa clarify whether Cytrox transferred part of its shares on the British Virgin Islands?
La compañía Cytrox, filial de Intellexa, comenzó como una start-up en Macedonia del Norte, pero según Forbes [13], usted la salvó de la quiebra con 5 millones de dólares. Parece que la estructura corporativa es considerablemente amplia, con presencia en Hungría, Israel y transferencia de activos a una entidad corporativa en las islas Vírgenes británicas. ¿Podría proporcionarnos información de su actual y anterior cargo en Cytrox, además del vínculo entre Cytrox e Intellexa? ¿Puede Intellexa comentar por qué está presente en las islas Vírgenes británicas? ¿Puede Intellexa aclarar si Cytrox transfirió parte de sus activos a las islas Vírgenes británicas?
In ‘t Veld habló de la experiencia personal de las víctimas del programa de vigilancia, y de las posibles soluciones o acciones que deben emprenderse para mejorar la situación. Según la europarlamentaria, Chipre era el exportador del programa espía, al tiempo que Grecia abusaba de él sistemáticamente [14] dentro de su estrategia política. Sobre las víctimas, señaló el círculo vicioso en el que caían. Cuando acudían a la policía, exigiendo una investigación porque sospechaban que eran víctimas de un esquema ilegal de vigilancia por medio de ese programa espía en su teléfono, no obtenían ninguna información. Cuando la fiscalía pedía pruebas de que estaban siendo espiados, el silencio de la policía les impedía entregarlas.
La solución, o la forma de salir de esta situación, según la eurodiputada, pasa por tomar distintas medidas, para lo que propone varias iniciativas [10]:
First, I have proposed that there should be immediate moratorium, but the moratorium can be lifted on a country to country basis if four conditions are fulfilled. One is – in the countries it applies – if all the allegations are properly investigated, two – if the country can prove that it has freight work for responsible use of spyware, three – if they consent to Europol’s proposal to investigate – you know that Europol has the power to propose investigations – and four, in those countries it applies, the export licenses that do not pass the test have to be repealed immediately. Of course, we have to regulate the use of spyware in line with case law, human rights courts, the Venice Commission… It is also important that we should agree on a common definition for national security. We need to enforce the export rules vigorously because we have dual use regulation but the enforcement is not serious.
Primero, he propuesto que debe haber una suspensión inmediata, pero la suspensión puede levantarse en cada país de forma individual si se cumplen cuatro condiciones. Una, —en los países que se aplique— que todas las alegaciones se investiguen adecuadamente; dos, que el país pueda probar que cuenta con logística para hacer un uso responsable del spyware; tres, que acepte la propuesta de Europol de investigar, ya saben que Europol tiene el poder de proponer investigaciones; y cuatro, en los países donde se aplique, que se rechacen inmediatamente las licencias de exportación que no pasen las pruebas. Por supuesto, debemos regular el uso de los programas espía según la jurispridencia, los tribunales de derechos humanos, la Comisión de Venecia (…) También es importante que acordemos una definición común de la seguridad nacional. Tenemos que aplicar rigurosamente las reglas de exportación porque tenemos reglamentos de uso compartido pero no se aplican seriamente.
A finales de 2021, el portal de periodismo de investigación PRIZMA (prisma), dirigido por BIRN Macedonia [15], informó [16] sobre el papel de la empresa tecnológica macedonia Cytrox en el escándalo global del ciberespionaje que publicaron en esa época Facebook y la ONG Citizen Lab [17].
Según el artículo de PRIZMA, Cytrox formaba parte de un grupo millonario que ofrecía software y tecnología para operaciones de inteligencia. El grupo estaba gestionado por empresarios con fuertes antecedentes militares en Israel como Tali Dilian, mientras que la conexión macedonia era Ivo Malinkovski, un joven de 30 años que en la época dirigía Cytrox desde Skopie. Según PRIZMA, los familiares más cercanos de Malinkovski eran propietarios y dirigentes de la empresa de compraventa de equipos y armas Micei International [18], además del conocido restaurante y bodega Kamnik [19] en Skopie.
Fuentes consultadas por BIRN informaron que Ilija Malinkovski, padre de Ivo, participó en las negociaciones para invertir en Cytrox cuando era una empresa emergente. Y aunque Ivo no pudo contestar a las preguntas de los periodistas, su padre contestó por correo electrónico, negando cualquier conexión con Cytrox.
El 13 de diciembre, en Atenas, la policía griega registró la sede de la empresa Intellexa [20], propiedad del agente de la inteligencia militar israelí Tal Dilian. También las casas de sus empleados fueron registradas dentro de la investigación, ante la duda razonable de que se estuviera abusando del potente programa Predator para espiar a políticos de la oposición, periodistas, personal de seguridad, empresarios y ministros, y por tanto se vulnerase la democracia, las libertades y la privacidad en Grecia e incluso fiera de sus fronteras. Supuestamente, Predator puede robar cualquier mensaje, fotografía o conversación de los teléfonos móviles de las personas afectadas.
El 8 de diciembre, el New York Times informó [21] de que el Gobierno griego había concedido una licencia a la compañía Intellexa para exportar el programa Predator a Madagascar, un país con historial de violaciones de los derechos humanos y opresión política de la disidencia. El semanario griego Dokumento informó [22] de que entre los infectados por el programa espía estaba el antiguo jefe de la policía griega y varios jueces, de forma que podían interceptarse sus mensajes, comunicaciones, fotos y cualquier cosa que tuvieran en el teléfono móvil.