Durante más de diez años, los fabricantes de spyware gubernamental se han defendido de las críticas, afirmando que su tecnología de vigilancia está pensada únicamente para ser usada contra criminales graves y terroristas, además de ser usada en casos limitados.
No obstante, la evidencia que se ha recopilado a partir de cientos de casos documentados de abuso de spyware en todo el mundo demuestra que ninguno de esos argumentos es cierto.
Periodistas, políticos y activistas de derechos humanos han sido atacados repetidamente tanto en regímenes represivos como en países democráticos. El ejemplo más reciente es el de un consultor político que trabaja para políticos de izquierda en Italia, quien se reveló como la víctima confirmada más reciente del spyware llamado Paragon en ese país.
Este último caso ha demostrado que este spyware se está propagando muy por fuera del alcance de lo que tradicionalmente se ha considerado como ataques raros o limitados, los cuales han sido dirigidos solo a unas pocas personas a la vez.
Se cree que existe un malentendido en el corazón de las historias acerca de quiénes son objetivo de este tipo de spyware gubernamental. Si una persona es atacada, se convierte en el enemigo público número uno, según manifiestan diversos expertos en ciberseguridad que han estudiado el spyware durante años.
En realidad, como la selección de objetivos es sencillo, se ha visto a gobiernos usar malware de vigilancia para espiar a un amplio abanico de personas, incluidos opositores políticos relativamente menores, activistas y periodistas, señalan los especialistas.
Por esta razón, existen varias razones que pueden explicar por qué el spyware suele terminar en los dispositivos de ciudadanos que, en teoría, no deberían ser objetivo de ningún tipo.
La primera posible explicación puede deberse en la manera en que funcionan los sistemas de spyware. Por lo general, cuando una agencia de inteligencia o una agencia federal compra spyware a un proveedor de vigilancia como NSO Group, Paragon y otros, los clientes gubernamentales pagan una tarifa única para adquirir la tecnología y luego tarifas tradicionales más bajas para futuras actualizaciones y soporte técnico.
Las tarifas iniciales suelen basarse en la cantidad de objetivos que las agencias gubernamentales pueden espiar en momentos dados. Cuanto más objetivos tengan, mayor es el precio.
Recientemente, documentos filtrados por la ahora desaparecida organización llamada Hacking Team, muestran que algunos de sus clientes gubernamentales podían tener como objetivo desde un puñado de personas hasta un número ilimitado de dispositivos de forma simultánea.
Es bien sabido que algunos países democráticos solían tener menos objetivos que podían vigilar de una sola vez, no era raro ver naciones con historiales cuestionables en derechos humanos con un número extremadamente alto de objetivos comunes para el spyware.
Igualmente, otorgar un número tan alto de objetivos simultáneos a países con intereses tan marcados por la vigilancia, prácticamente garantizaba que los gobiernos atacarían a muchas más personas fuera del ámbito exclusivo de criminales y terroristas.
Otra razón del alto número de abusos en los últimos años es que el spyware como Pegasus de la NSO o Graphite de Paragon, hace que para los clientes gubernamentales sea extremadamente sencillo atacar con éxito a quien quieran. En la práctica, estos sistemas son básicamente consolas en donde policías o funcionarios del gobierno escriben un número de teléfono y el resto ocurre en segundo plano.
