Ser conscients dels riscos per als nostres drets en l’àmbit digital és el primer pas per defensar-los i protegir-los. Hem de protegir els professionals de la comunicació, l’advocacia i la societat civil de la vigilància estatal perquè la seva tasca compromesa serveix per denunciar les vulneracions de drets i altres pràctiques abusives dels governs. 

El 16 de març Amnistia Internacional Catalunya, juntament amb 7 activistes i defensors de drets humans de l’Estat espanyol, vam participar en una formació sobre ciberseguretat que va reunir delegacions d’11 països europeus, principalment dels Balcans. La formació va ser organitzada pel Centre de Polítiques de Seguretat de Belgrad, entitat que va néixer per iniciativa de dos militars que es van negar a participar en les guerres entre les nacions de l’antiga Iugoslàvia l’any 1991. Aquell acte valent contra la guerra va ser el fonament d’una entitat que vetlla per la seguretat d’aquells que defensen la pau i els drets humans. 

L’objectiu de la formació era intercanviar casos i estratègies de denúncia de les vulneracions de drets derivades de l’ús de tecnologia de vigilància per espiar membres de l’oposició política, la societat civil, el periodisme o l’advocacia. La formació també pretenia conscienciar, formar i proporcionar eines pràctiques de protecció davant dels ciberatacs. 

El ciberatac no és una pràctica de pel·lícules d’espies, és una eina més que els Estats fan servir per vigilar els ciutadans. Des de l’any 2017 s’han denunciat casos de persones espiades per programes amb noms com Pegasus, Candiru o Predator, entre d’altres. Aquests programes es van crear i comercialitzar amb l’objectiu que els Estats poguessin combatre el terrorisme i el crim organitzat que atempten contra la seguretat nacional. No obstant això, aquests s’han fet servir per a espiar persones que treballen per denunciar pràctiques abusives dels Estats, com ara persones defensores de drets humans, professionals de la comunicació o de l’advocacia. 

Amnistia Internacional ha verificat casos d’espionatge a més de 19 estats, mentre que les Nacions Unides n’eleven la xifra fins a 45 països. A l’Estat espanyol s’han verificat 47 casos. L’ús d’aquests programes espia no és una pràctica exclusiva de països autoritaris, sinó també dels considerats democràtics. La infecció mitjançant programes espia representa una vulneració dels drets fonamentals, ja que accedeix il·lícitament a sistemes de comunicació i dades privades que violen els drets a la vida privada, a la llibertat d’expressió i d’informació. 

Aquests programes espia són extremadament perillosos perquè permeten l’accés total al dispositiu infectat, generalment als telèfons mòbils. Aquesta tecnologia és altament invasiva perquè poden accedir als nostres contactes, base de dades, a les converses, a les fotos i documents, i poden inclús encendre el dispositiu quan està apagat, i activar el micròfon i la càmera per gravar-nos sense el nostre consentiment. Són tan perillosos que ja no necessiten cap acció per part de la víctima, poden infectar a través de l’anomenat «atac de zero clic» mitjançant una trucada o missatge que no necessita resposta. Els programes espia prenen el control total dels dispositius i són indiscriminats en l’obtenció d’informació. Tot això sense deixar rastre i sent molt difícils de rastrejar. Per aquesta raó, des d’Amnistia Internacional s’ha demanat la seva prohibició pel seu caràcter indiscriminat i els riscos de vulneració dels drets humans. 

El dilema entre la seguretat i la immediatesa

El món digital és el nou camp de batalla on els nostres drets es troben en risc. Avui en dia, gran part de la nostra informació passa pels nostres telèfons i ordinadors. S’han convertit en eines fonamentals per a la nostra vida personal i professional. En moltes ocasions ens trobem davant de situacions que hem de triar entre la protecció de la nostra privacitat o la practicitat o la immediatesa de les nostres comunicacions o gestions en el món digital. És habitual prendre decisions sabent que la nostra seguretat digital es pot veure compromesa, però acceptem els riscos per guanyar rapidesa, exposant la nostra privacitat. 

Davant aquesta exposició, els nostres drets digitals es poden veure vulnerats per finalitats comercials o polítiques. Pel que fa a les comercials, cada dia som més conscients de les pràctiques com el phishing amb enllaços o missatges per part d’usuaris sospitosos, ciberassetjament o trucades comercials de control i estafa. Ens poden suplantar la nostra identitat per tenir accés a les nostres xarxes socials, informació o comptes bancaris. Encara que cada cop més som conscients dels perills de la ciberestafa, encara que també acceptem riscos o donem excessiva informació personal amb l’objectiu fer amb més rapidesa les nostres gestions o obtenir serveis com aplicacions o pàgines web. 

L’altra cara de la moneda és quan l’espionatge no el fan organitzacions criminals sinó els Estats per vulnerar els drets fonamentals dels ciutadans. En aquest sentit, possiblement que considerem que les nostres vides opinions polítiques o activisme no és tan rellevant perquè sigui espiat pel nostre Govern. No obstant això, cal prendre consciència dels riscos de vulneració dels nostres drets fonamentals a través dels dispositius electrònics. I encara més, prendre consciència dels riscos a què estan exposats determinants posicionaments polítics, membres de la societat civil i professionals de l’advocacia o la comunicació. En especial, aquells que a través de la seva feina denuncien vulneracions de drets o pràctiques abusives per part dels Estats. Per aquesta raó, la protecció dels drets digitals és fonamental per garantir i mantenir el nostre sistema de llibertats i drets. 

Entre l’autocensura i la manca de justícia

Les víctimes d’un ciberatac se senten molt vulnerables i exposades. Els seus drets a la llibertat d’expressió, d’informació, la vida privada, a la defensa o el secret professional es poden veure compromesos. Parts de la nostra vida privada o professional corren el risc de veure’s exposades públicament i ser utilitzades en la nostra contra. Aquest sentiment de vulnerabilitat i d’exposició fa que moltes víctimes no s’atreveixin a denunciar el ciberatac o que desisteixin de les seves activitats de denúncia. La infecció dels dispositius o la seva amenaça genera un efecte dissuasiu i un clima d’autocensura, el conegut com a chilling effect, especialment entre periodistes i persones defensores dels drets humans, per por a represàlies. 

Aquest sentiment d’indefensió augmenta quan s’evidencia la manca de lleis, mecanismes de control i d’investigacions efectives i imparcials dels casos denunciats. Malgrat les proves fiables de les infeccions a través d’anàlisis forenses realitzades per empreses tecnològiques, centres de recerca com Citizen Lab o entitats de drets humans com Amnistia Internacional, s’ha evidenciat la manca de col·laboració dels responsables polítics i d’investigacions judicials per determinar els seus culpables. Les empreses productores i comercialitzadores que venen aquest tipus de programes i els Estats que els compren i els fan servir són responsables de les vulneracions de drets humans. 

Dels més de centenars de casos identificats, només hi ha hagut recentment una condemna a Grècia contra els directius de l’empresa Intellexa propietària del programa Predator per l’espionatge a un periodista. Malgrat aquest cas, en general la manca d’accés als drets a la veritat, justícia i reparació de les víctimes augmenta la seva indefensió i adoba el terreny per a nous casos d’espionatge. Els Estats han d’abstenir-se de fer servir aquests tipus de programes i han de protegir les persones davant dels seus abusos. 

No hi ha risc zero, però ens podem protegir

Les tècniques i estratègies d’infecció es perfeccionen ràpidament, la ciutadania no està completament indefensa i tenim recursos per a protegir-nos d’un ciberatac. Aquí a sota, algunes de les recomanacions que podem aplicar per prevenir o reaccionar davant un intent d’espionatge. 

Prevenció davant d'atacs:
    • Pren consciència i informa’t sobre les amenaces digitals als teus drets. Participa en formacions i comparteix informació per prevenir i reaccionar davant un ciberatac.
    • Exigeix la protecció dels drets en l’entorn digital i defensa l’especial protecció d’aquelles persones que han estat víctimes o corren risc de ser espiades per la seva feina com opositors polítics, periodistes, advocats o persones defensores dels drets humans.
    • Mantén actualitzat el sistema operatiu del teu telèfon**: com més actualitzat estigui, més garanties de seguretat i menys vulnerabilitats.**
    • Apaga els teus dispositius quan no els facis servir.
    • No facis clic en enllaços sospitosos ni descarreguis fitxers, imatges o aplicacions desconegudes. Desconfia especialment dels missatges amb to d’urgència o amb salutacions genèriques.
    • Reporta els missatges sospitosos a la teva organització o proveïdor de serveis.
Si vas a una protesta o una situació de risc en què puguis perdre el control del dispositiu, considera deixar el mòbil a casa o aplica mesures de protecció (mode avió, bloqueig, apps de seguretat).
    • Utilitza serveis de missatgeria xifrada i segura.
    • Fes servir un gestor de contrasenyes, tant per guardar els teus codis com per crear-ne de nous segurs i robustos.
    • Si és possible, utilitza dispositius separats per a la feina i per a la vida personal.
    • Les entitats i moviments socials han de disposar de protocols de prevenció i resposta en cas d’infecció o incident de seguretat.

Reacció davant accés fraudulent a informació privada o suplantació de comptes:
    • Busca entitats o experts de referència per saber com reaccionar.
    • Canvia immediatament les contrasenyes, reinicia o tanca totes les sessions actives i activa l’autenticació de dos factors (2FA).
    • Fes captures de pantalla de possibles publicacions fraudulentes abans d’eliminar-les, per conservar proves.
    • Informa l’organització o la resta d’activistes.
    • No apaguis ni manipulis el dispositiu de manera impulsiva; posa’l en mans d’una entitat especialitzada.
    • Valora fer una comunicació pública denunciant l’atac i alerta els teus contactes i col·laboradors sobre la possible obtenció d’informació confidencial.
    • Dona suport als casos judicialitzats de ciberespionatge
    • Busca assistència legal.