España no ha sido invitada. Es la respuesta, escueta y sin más explicaciones, que despachan en el ministerio de Asuntos Exteriores cuando se les interroga por la llamativa ausencia del Gobierno de Pedro Sánchez en la alianza liderada por Reino Unido y Francia que, bajo la denominación de Proceso de Pall Mall, batalla por establecer una regulación internacional contra el cada vez más ubicuo uso de programas espía como Pegasus, por agentes estatales y también no estatales.

El pasado febrero Reino Unido y Francia patrocinaron una conferencia en la Lancaster House de Londres en la que se pidió una legislación internacional para el uso responsable de los software espía en un intento de imponer cierto orden al uso desenfrenado de la cibervigilancia. Una docena de países y multinacionales tecnológicas participaron en un cónclave del que España fue excluida. Así al menos lo indican fuentes diplomáticas españolas. Entre los países que sí acudieron, figuran Bélgica, República Checa, Grecia, Italia y Polonia y Estados Unidos. En representación de la industria, tomaron parte Apple, la firma de defensa BAE Systems, Google, Meta y Microsoft. Un mes después, en marzo, Finlandia, Alemania, Irlanda, Japón, Polonia y Corea del Sur se adhirieron a los firmantes originales.

"No hemos recibido invitación"

Fuentes del departamento que dirige el socialista José Manuel Albares confirman haber sido excluidos de la reunión a pesar de la relevancia de la misma. "Aún no hemos recibido la invitación por la que se interesa y que, en cuanto la recibamos, se procederá a su valoración", señalan. El tema es especialmente significativo en el caso español porque el CNI ha admitido haber usado Pegasus para espiar a los líderes independentistas catalanes y la Audiencia Nacional ha reabierto esta semana la causa por el espionaje con el software israelí a Sánchez y los ministros de Interior, Defensa y Agricultura, Fernando Grande-Marlaska, Margarita Robles y Luis Planas, con la sombra de Marruecos proyectándose sobre la investigación. Tal y como avanzó este diario, Marlaska y Robles comparten el mismo usuario de Pegasus que infectó el móvil de activistas saharauis y un disidente marroquí.

El creciente mercado comercial que permite el desarrollo, la compra y el uso de capacidades de intrusión cibernética plantea preguntas y preocupaciones sobre su impacto en la seguridad nacional

En mitad de todas estas circunstancias, el Gobierno español espera aún la invitación para unirse a un grupo de países en su mayoría de la UE que el pasado febrero, en su declaración final, mostraron su preocupado por que la "diseminación incontrolada" de herramientas ciberintrusivas alimente "una escalada involuntaria en el ciberespacio".

Los signatarios bautizaron el acto como el proceso de Pall Mall. Los países firmantes apostaron por frenar la proliferación de la cibervigilancia para hallar un equilibrio entre el respeto a los derechos humanos y los intereses de seguridad y propusieron medidas políticas para emplear el software espía de "manera legal y responsable", en consonancia con el derecho internacional y bajo estricta supervisión de las autoridades.

Israel tampoco acudió

La reunión tuvo como antecedente el Foro de Paz de París, al que sí acudió España pero que concluyó con una declaración que España, junto a México, Hungría o Tailandia, rehusaron rubricar. Por su parte, Israel, sede de varias empresas de ciberintrusión comercial, ni siquiera asistió a la conferencia. Tel Aviv acoge a dos de las cuatro empresas que han sido sancionadas por Estados Unidos por traficar con herramientas cibernéticas que, según Estados Unidos, han permitido la "represión transnacional" por parte de gobiernos autoritarios.

En cambio, sí contó con el apoyo de Estados miembros de la Unión Africana como Nigeria, Ghana, Marruecos, Malawi y Zambia y Ruanda, así como de Arabia Saudí y Emiratos Árabes Unidos, miembros del Consejo de Cooperación del Golfo. Entre los firmantes, figuran países como Marruecos y las monarquías del Golfo acusados de violar los derechos humanos mediante la cibervigilancia.

El vecino galo lidera el proceso con la experiencia propia del espionaje que sufrió su presidente Enmanuel Macron y buena parte de sus ministros y al que el Elíseo culpó a Marruecos. La revelación provocó un cisma en las relaciones con Rabat, ahora en plena reconfiguración. A diferencia de lo que había sucedido hasta esta semana en España, Francia mantiene abierta una causa judicial para esclarecer las circunstancias del espionaje y su origen.

González Laya, entre las asesoras de Macron

Macron lanzó una reflexión sobre le uso de la cibervigilancia y sus desafíos en la que participa como una de las expertas consultadas la ex ministra de Exteriores española Arancha González Laya, en su calidad de decana de la prestigiosa Escuela de Asuntos Internacionales de París (PSIA).

Así lo confirmó la González Laya en una entrevista reciente con este diario: "El presidente francés ha constituido un proceso llamado los Estados Generales de la Información, donde se está debatiendo entre actores políticos, económicos, sociales, de la sociedad civil cómo regular esta tecnología y ponerla al servicio del bien común. A mí me han pedido que presida un grupo dedicado a la lucha contra la injerencia y la protección de la soberanía. Es un reflejo de la importancia que este país da al tema y no es una excepción dentro de la UE. Probablemente sea la regla y da una idea de la necesidad de protegerse en la interferencia de terceros, ya sean estados, empresas, grupos terroristas o criminales", esbozó.

Una preocupación internacional que se acrecentó a partir de 2021, con las conclusiones de la investigación del uso del software Pegasus, de la israelí NSO Group. Los resultados provocaron un terremoto: el ciberespionaje se había extendido por el planeta y se estaba abusando de Pegasus en campañas de piratería política y corporativa. A pesar de la condena generalizada que suscitó, los esfuerzos de los gobiernos para acabar con el software han fracasado porque las herramientas son empleadas entre servicios de inteligencia y seguridad de todo el mundo, incluso en países democráticos.

La alianza franco-británica de la que Madrid ha quedado apartada aboga por "un ciberespacio libre, abierto, pacífico, estable, seguro, resistente y accesible". Francia y Reino Unido se han emplazado a celebrar una nueva reunión el próximo año. La incógnita es si en esta cita, dentro de un año, el Gobierno español tendrá a bien acudir y firmar la declaración final.

Declaración del proceso de Pall Mall

Nosotros, como representantes de los Estados, organizaciones internacionales, la industria privada, el mundo académico y la sociedad civil, nos reunimos para participar en una conferencia internacional organizada por Reino Unido y Francia. En la conferencia se debatieron los retos planteados por la proliferación y el uso irresponsable de las capacidades comerciales de ciberintrusión y se inició el Proceso de Pall Mall.

  1. En reconocimiento de la necesidad de una mayor acción internacional y de una consulta a las múltiples partes interesadas sobre esta cuestión, al tiempo que reconocemos la necesidad de un desarrollo y uso legítimos y responsables de las capacidades de ciberintrusión, resolvemos iniciar un proceso global inclusivo: el Proceso de Pall Mall. El Proceso de Pall Mall establecerá principios rectores y destacará opciones políticas para los Estados, la industria y la sociedad civil en relación con el desarrollo, la facilitación, la compra y el uso de capacidades de ciberintrusión comercialmente disponibles. Este Proceso se basa en el enfoque de toda la sociedad respecto al ciberespacio y reconoce la importancia de la asociación entre los sectores público y privado y de la colaboración entre múltiples partes interesadas en la búsqueda de un ciberespacio más seguro.
  2. El creciente mercado comercial que permite el desarrollo, la facilitación, la compra y el uso de capacidades de intrusión cibernética comercialmente disponibles plantea preguntas y preocupaciones sobre su impacto en la seguridad nacional, los derechos humanos y las libertades fundamentales, la paz y la seguridad internacionales, y un ciberespacio libre, abierto, pacífico, estable y seguro.
  3. Con su impacto transformador en el panorama cibernético, este mercado en crecimiento amplía enormemente el grupo potencial de actores estatales y no estatales con acceso a capacidades de intrusión cibernética disponibles comercialmente y aumenta la oportunidad de uso malicioso e irresponsable, lo que hace más difícil mitigar y defenderse contra las amenazas que plantean. Se espera que estas amenazas, incluidas las que afectan a la ciberestabilidad, los derechos humanos, la seguridad nacional y la seguridad digital en general, se incrementen en los próximos años.
  4. Sin una acción internacional y significativa de las múltiples partes interesadas, el crecimiento, la diversificación y la insuficiente supervisión de este mercado aumentan la probabilidad de que aumenten los ataques con fines de lucro o para comprometer a una gama más amplia de objetivos, incluidos periodistas, activistas, defensores de los derechos humanos y funcionarios gubernamentales. También se corre el riesgo de facilitar la difusión de capacidades cibernéticas potencialmente destructivas o perturbadoras a una gama más amplia de actores, incluidos los ciberdelincuentes. La difusión incontrolada puede aumentar la amplitud del acceso a capacidades sofisticadas y, en consecuencia, la complejidad de los incidentes que la ciberdefensa debe detectar y mitigar. Esta tendencia corre el riesgo de contribuir a una escalada involuntaria en el ciberespacio.
  5. El mercado abarca una amplia variedad de productos y servicios que evolucionan y se diversifican continuamente. El mercado está formado por un ecosistema interconectado de investigadores, desarrolladores, intermediarios, revendedores, inversores, entidades corporativas y operadores y clientes. Para facilitar el debate sobre las amenazas y los riesgos potenciales, ofrecemos algunas definiciones de trabajo en el Anexo A.
  6. Reconocemos que, en la amplitud de este mercado, muchas de estas herramientas y servicios pueden utilizarse con fines legítimos, pero no deben desarrollarse o utilizarse de forma que amenacen la estabilidad del ciberespacio o los derechos humanos y las libertades fundamentales, o de manera incompatible con el Derecho internacional aplicable, incluido el Derecho internacional humanitario y el Derecho internacional de los derechos humanos. Tampoco deben utilizarse sin las salvaguardias y la supervisión adecuadas. Resolvemos explorar los parámetros del uso tanto legítimo como responsable, por parte del Estado, la sociedad civil, la ciberseguridad legítima y los actores de la industria por igual, a lo largo del Proceso de Pall Mall.
  7. Recordamos que el derecho internacional vigente se aplica a la conducta de los Estados en el ciberespacio y que todos los Estados miembros de las Naciones Unidas se han comprometido a actuar de conformidad con el marco de conducta estatal responsable en el ciberespacio. Reafirmamos que los Estados deben tratar de prevenir la proliferación de herramientas y técnicas TIC maliciosas y el uso de funciones ocultas perjudiciales, deben respetar los derechos humanos y deben fomentar la notificación responsable de las vulnerabilidades de las TIC, de conformidad con las normas 13 de los informes de 2015 y 2021 del Grupo de Expertos Gubernamentales de las Naciones Unidas sobre el fomento de la conducta responsable de los Estados en el ciberespacio en el contexto de la seguridad internacional, aprobados posteriormente por consenso por la Asamblea General de las Naciones Unidas.
  8. Además, animamos al sector privado a respetar y apoyar los derechos humanos, incluidos los establecidos en los Principios Rectores de las Naciones Unidas sobre las Empresas y los Derechos Humanos. Todos los actores, incluidos tanto los Estados como el sector privado, deben tratar de garantizar que el desarrollo, la facilitación, la compra, la exportación y el uso de capacidades de intrusión cibernética disponibles comercialmente no socaven la estabilidad ni amenacen los derechos humanos y las libertades fundamentales, incluso en el ciberespacio. Animamos a la comunidad de múltiples partes interesadas a seguir mejorando su concienciación y sus esfuerzos para evitar que las capacidades de intrusión cibernética disponibles comercialmente se utilicen de manera irresponsable.
  9. Reconociendo la importancia de la creación de capacidades cibernéticas, y la necesidad de la resiliencia cibernética para prepararse, mitigar, responder, recuperarse y aprender de los ataques cibernéticos destructivos o perturbadores, alentamos firmemente a los Estados, la industria, la sociedad civil, el mundo académico, los miembros de la comunidad técnica y los particulares a que sigan creando una mayor capacidad cibernética mundial con fines defensivos para garantizar un acceso seguro, inclusivo y digno de confianza a las oportunidades que ofrecen las tecnologías digitales. Reconocemos el beneficio que la investigación de seguridad de buena fe, la divulgación de vulnerabilidades, las recompensas por errores con fines ciberdefensivos y las pruebas de penetración pueden tener en las defensas de ciberseguridad. Reconocemos el papel vital que desempeña la industria en el refuerzo de la ciberseguridad y en el apoyo a las víctimas para responder a los ataques cibernéticos maliciosos.
  10. Acogemos con satisfacción los esfuerzos actuales de los Estados por tomar medidas para abordar el problema, incluidos los esfuerzos realizados a través de los marcos internacionales de control de las exportaciones existentes y el desarrollo en curso de medidas nacionales por parte de las jurisdicciones nacionales. Reconocemos los esfuerzos de la sociedad civil y de la industria que han aumentado la concienciación global sobre este asunto, incluyendo investigaciones críticas, informes y apoyo a las víctimas.
  11. En el contexto de la futura cooperación entre las múltiples partes interesadas, y para informar al Proceso de Pall Mall, consideramos que los siguientes pilares son útiles para enmarcar nuestro futuro compromiso en el que participen representantes de los Estados, la industria, la sociedad civil y el mundo académico: 11.1. Responsabilidad - La actividad debe llevarse a cabo de manera legal y responsable, en consonancia con el marco para el comportamiento responsable del Estado en el ciberespacio y el derecho internacional vigente, y los marcos nacionales. Deben tomarse medidas, según proceda, para responsabilizar a los Estados cuya actividad sea incompatible con el derecho internacional de los derechos humanos y para responsabilizar a los actores no estatales en los sistemas nacionales, según proceda. 11.2. Precisión - El desarrollo y el uso de capacidades deben llevarse a cabo con precisión, de manera que se garantice que evitan o mitigan consecuencias no deseadas, ilegales o irresponsables. 11.3. Supervisión - Deben existir mecanismos de evaluación y diligencia debida (tanto por parte de los usuarios como de los proveedores, incluidos los Estados y los agentes de la industria) para garantizar que la actividad se lleva a cabo de forma legal y responsable, y pueden incorporar principios. 11.4. Transparencia - Las interacciones comerciales deben llevarse a cabo de forma que se garantice que la industria y los usuarios entienden sus cadenas de suministro; generando confianza en las prácticas comerciales responsables de los proveedores con los que interactúan.
  12. Tras nuestra participación en los debates de hoy, resolvemos entablar un diálogo continuo y globalmente inclusivo, complementario de otras iniciativas multilaterales, y esperamos avanzar en este proceso en los próximos meses. Se organizará una conferencia de seguimiento en Francia en 2025 para hacer balance de los progresos realizados en el marco de esta agenda y avanzar en nuevos debates

Fuente: Ministerio de Europa y Asuntos Exteriores de Francia [versión en inglés]