Tu smartphone, libro abierto para los servicios de inteligencia; el nuevo «puerto seguro» promete protegerlo

El mercado global de programas espía socava al mismo tiempo los derechos humanos y aumenta los riesgos para la seguridad nacional — y los intentos judiciales para detener los abusos casi no funcionan. El informe del Atlantic Council muestra que las demandas de las víctimas se estancan durante años, la compensación es prácticamente inalcanzable, y en los pocos casos exitosos suelen prevalecer las empresas tecnológicas que defienden sus servicios y usuarios, como lo hizo WhatsApp en la disputa con NSO Group. En ese contexto se propone una lógica distinta de responsabilidad: un «puerto seguro» dirigido a las empresas que realmente reduzcan el daño causado por el software espía.

Las principales barreras para la rendición de cuentas están descritas con claridad. En primer lugar, las víctimas a menudo no saben del hackeo: los «clics cero» en móviles son imperceptibles sin un análisis forense complejo. En segundo lugar, los actores del mercado se ocultan intencionadamente: cambian de nombre, fragmentan estructuras y se trasladan a otras jurisdicciones, lo que dificulta la atribución y la interposición de demandas. En tercero, casi siempre es discutible qué tribunal es competente — dispositivos, servidores, nacionalidad, vendedor y comprador están dispersos entre países. En cuarto lugar, los procesos públicos corren el riesgo de revelar metodologías de detección e indicadores valiosos, por lo que los atacantes cambian rápidamente de táctica y la defensa pierde ventaja.

Al mismo tiempo, las «tres grandes» cuentan con palancas únicas que ya han demostrado su eficacia. Apple, Google y Meta ven señales técnicas en su infraestructura, saben advertir selectivamente a los usuarios, pueden cerrar vulnerabilidades y ofrecer modos reforzados de protección — desde Lockdown Mode en dispositivos Apple hasta Advanced Protection en el ecosistema de Google. Estas medidas ayudan a la sociedad civil y a los investigadores sin revelar excesos en público ni anular la detección.

La construcción propuesta del «puerto seguro» apuesta precisamente por esas prácticas y crea incentivos centrados en la prevención. La empresa obtiene protección frente a demandas por «software inseguro» — incluyendo posibles reclamaciones por responsabilidad del producto — si cumple un conjunto de obligaciones: pone en marcha un programa de detección y notificación de ataques de spyware, comparte datos con centros de investigación y defensa de derechos relevantes respetando la privacidad, mantiene modos opcionales de seguridad reforzada para grupos en riesgo y corrige con rapidez vulnerabilidades y cadenas de explotación. La certificación del cumplimiento de normas la realiza un regulador independiente fuera del poder judicial, de modo que los estándares se puedan actualizar con flexibilidad sin reescribir las leyes.

El marco es deliberadamente «internacional» en su espíritu: el mercado y los clientes de soluciones de espionaje no conocen fronteras, y requisitos de reporte mal concebidos pueden involuntariamente señalar a los contratistas estatales a quienes y cómo se ha revelado información. Por ello, los autores ligan la iniciativa a procesos multilaterales como Pall Mall y subrayan la diferencia entre los enfoques de Estados Unidos y Reino Unido respecto a las inmunidades de los Estados y sus contratistas — la propuesta sugiere centrar el foco en los proveedores de herramientas de espionaje, no en gobiernos extranjeros.

La idea es recompensar las acciones que realmente reducen el daño, no castigar por la imposibilidad de una protección absoluta frente a actores bien financiados. No existe una «seguridad perfecta» contra ataques con patrocinio estatal — pero se puede elevar sistemáticamente el listón: parchear vulnerabilidades más rápido, advertir a las víctimas con mayor frecuencia y precisión, compartir atribuciones de forma selectiva y proporcionar a los usuarios vulnerables herramientas de «modo estricto». Ese «puerto» no sustituye a los tribunales y sanciones, sino que los complementa, reorientando la industria desde disputas post factum hacia la protección preventiva.