La UE es "especialmente vulnerable" al ciberespionaje y debe articular ya una política común contra las injerencias externas, según esta experta

Espiar Facebook
  • La profesora de Derecho en la UGR y especialista en Ciberseguridad, Margarita Robles, acudió al Parlamento Europeo para advertir de la vulnerabilidad de la UE.
  • En esta entrevista con Business Insider España, Robles destaca las razones por las que la Unión es tan vulnerable a posibles casos de ciberespionaje.
  • Descubre más historias en Business Insider España.

Pegasus y NSO Group han vuelto a copar los titulares en los medios este verano. Países clientes del programa espía y la compañía israelí que lo desarrolla utilizaron la herramienta no solo para perseguir a criminales, su propósito original.

También para interceptar comunicaciones de periodistas, activistas y adversarios políticos, según una investigación de Amnistía Internacional y Forbidden Stories.

El hallazgo por parte de las dos organizaciones de una lista de más de 50.000 números de teléfonos con potenciales víctimas de este software espía desveló que dirigentes políticos de primer nivel, como el presidente francés Emmanuel Macron, fueron objetivo de este software. También que Pegasus y NSO aprovechaban una vulnerabilidad en dispositivos de Apple no reportada.

Que un dirigente como Macron pudiese haber sido objeto de ciberespionaje de esta manera ha llevado al Parlamento Europeo a tratar esta problemática en una comisión especial llamada INGE, que hace unos días convocó a varios expertos para cubrir este asunto ante los diputados. 

A esta llamada respondió Margarita Robles, profesora de Derecho y especialista de Ciberseguridad en la Universidad de Granada (UGR). Robles reivindicó la necesidad de construir una política comunitaria frente a estas injerencias digitales. 

En una reciente entrevista con Business Insider España ha profundizado en las razones por las que la Unión es ahora tan vulnerable ante estos ataques.

Europa busca su diplomacia tecnológica: por qué están en juego soberanía y derechos y en qué te afecta, según esta prestigiosa politóloga

"El desafío que se plantea requiere que haya una política europea con unos principios, unos procedimientos y unos mecanismos claros", detalla, al tiempo que advierte de las dimensiones que puede adquirir el problema. 

"Lo que conocemos es la punta del iceberg. Poco a poco van apareciendo más casos de espionaje y ya casi hemos llegado a un punto en el que casi ni nos sorprende".

Se requiere de esa política europea porque los mecanismos con los que ahora cuenta la Unión son "medidas puntuales", "algunas por parte de la Comisión, otras por parte del Consejo, y muchas resoluciones por parte del Parlamento". 

Y el ciberespionaje es "un fenómeno que no se va a reducir, que no va a desaparecer, sino que va a crecer".

La Unión Europea, "especialmente vulnerable"

Robles enfatiza que la Unión es "especialmente vulnerable" y da dos razones. "Por un lado, no es un estado, y no cuenta con los medios con los que sí cuentan los estados para defenderse". Por el otro, a la hora de dar una respuesta "hay que partir de la base de que los estados estén de acuerdo". "Y no siempre lo están".

Cuando un estado denuncia un caso de injerencia, "porque declaran que una actividad es ilícita por espionaje, o por vulnerar principios como el de soberanía o de no intervención", se activan una serie de mecanismos legales. La Unión no puede acudir a los mismos resortes porque esos principios son solo aplicables a los estados.

¿Por qué no? "La Unión no es lo que coloquial o socialmente se cree que es". "La gente, después de tantos años, piensa que la Unión es algo que está por encima de los estados. Es una organización internacional que sí, tiene competencias importantes y amplias, más que ninguna otra, porque los estados le han cedido competencias que antes ejercían ellos".

Pero "solo puede actuar cuando tiene competencias". Cuando el ámbito cíber comienza a despegar, todo se cimenta sobre una base muy pragmática. Aquellas cuestiones relacionadas como la Unión, como es el caso del mercado único, es competencia europea. Por lo tanto, el ámbito digital de ese mercado único, también lo será, continúa Robles.

Filtran 50.000 números de teléfono de posibles víctimas de Pegasus, el programa espía que contratan gobiernos de todo el mundo: qué nombres españoles aparecerán

El problema radica cuando problemas como estos afectan a cuestiones "como la política exterior". "La respuesta a ciberataques que entran en el terreno del espionaje o de la ciberguerra son competencia de los estados". La Unión Europea no puede responder.

Incluso cuando el objetivo de un intento de ciberespionaje es un estado miembro, la Unión puede elevar el problema al Consejo de la Unión Europea. "Pero para que pueda responder, hay que partir de la base de que todos los estados estén de acuerdo. Y no siempre lo están, porque no todos perciben el problema del mismo modo".

Los ataques a la Unión "son muy rentables"

proyecto-startical-satelites-europa

NicoElNino / Getty Images

Margarita Robles advierte además que los ataques informáticos o de ciberespionaje son "muy rentables" a la Unión Europea. "En el fondo repercute a todos los estados miembro".

"Repercute en el sistema institucional y de algún modo es una forma de ralentizar el funcionamiento del conjunto, y de cada una de sus partes. Un ataque a la Unión Europea es mucho más rentable que un ataque a uno de los estados miembros que puede responder con contramedidas, con sanciones, con represalias económicas, políticas o diplomáticas".

Si el ciberataque afecta a un ámbito competencial que sí es europeo, "las posibilidades de que se avance son muchas". Pero por lo demás, la Unión no cuenta con armas para responder legalmente a este tipo de incidentes. "Tiene instrumentos sectoriales". 

EEUU, Rusia y China protagonizan una ciberguerra que se ha convertido en el juego de espías más sofisticado de la historia: estas son las armas con las que cuenta cada uno

"Por eso defendía en el Parlamento que lo que hay que tener es una política. Tener muchos procedimientos e instrumentos concretos no te resuelve el problema". La Unión sí puede actuar si un ciberataque o una injerencia externa afecta a las elecciones europeas, "porque es una competencia estrictamente suya".

Por eso se pueden adoptar decisiones en el marco de la política exterior y de seguridad común, donde el que decide fundamentalmente es el Consejo. Se han experimentado casos en los que la Unión Europea en su conjunto ha aprobado contramedidas contra un país que ha intentado interferir, pero Robles espera que la práctica siga "creciendo" y sea "más fácil" alcanzar esos consensos.

Es muy difícil dictaminar quién es el responsable

En cuanto al caso que envuelve a Pegasus y a la israelí NSO Group, el problema es determinar quién ha podido ser responsable. "En principio ese programa no estaba pensado para ser un programa espía", recuerda Robles. Era un programa ideado para que los cuerpos policiales pudiesen intervenir contra mafias y criminales.

"Cando tú tienes algún tipo de programa, aplicación o dispositivo tecnológico que has creado con un fin lícito pero alguien utiliza con un fin ilícito, no necesariamente se tiene que responsabilizar al creador, al productor o al fabricante". "Si alguien coge un cuchillo y con él mata a una persona, no se puede culpar al que ha hecho el cuchillo", ejemplifica.

Robles también recuerda que en el marco de Naciones Unidas los consensos sobre cómo aplicar el Derecho internacional en estos ámbitos exponen que "a la hora de responsabilizar a algún sujeto hay que tener pruebas claras de que es el autor".

Cataluña fue de nuevo objetivo de una herramienta diseñada por ciberespías mercenarios, según Microsoft: esto es todo lo que se sabe de momento

Por eso sería necesario ver hasta qué punto detrás de NSO Group puede haber un estado o quién ha sido el autor del uso de Pegasus con fines ilícitos. "Habría que buscar en toda esa cadena al responsable, y no tienen por qué ser Israel o la empresa".

"Si tras un complicado análisis que tenga en cuenta los elementos técnicos y los jurídicos se entiende que un estado es el responsable de una acción de espionaje, entonces existen instrumentos" que se reservan los propios estados, no la UE. Esos instrumentos reciben el nombre de contramedidas y pueden ser de retorsión y represalia, explica la titular en Derecho de la UGR.

"La retorsión es cualquier tipo de acción lícita pero dañina para el estado al que se trata de reprochar una actitud", continúa. "Si el hecho hubiese sido más grave o hubiese podido suponer un daño físico o materiales se podrían utilizar represalias". Las represalias son respuestas con hechos también ilícitos, pero que "se legitiman en respuesta a otro hecho ilícito previo".

Además, los estados cuentan con mecanismos como "las sanciones económicas, las diplomáticas, como la retirada de embajadores, o las comerciales". Y es en el ámbito económico y comercial donde la Unión, por tener competencias, podría tener algo que decir.

Entre tanto, sin una política común en materia de injerencias extranjeras y digitales, la Unión seguirá siendo vulnerables a acciones de ciberespionaje como las que ya están llegando a los titulares.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.