París y Londres quieren regular el uso y la proliferación de herramientas de ciberataque del sector privado para contribuir a “la seguridad y la estabilidad del ciberespacio”, según el Ministerio francés de Asuntos Exteriores. La iniciativa, lanzada en el marco del Foro de Paz de París que se celebra el viernes y el sábado, pretende abordar los «riesgos demostrados de un mercado no regulado», según un responsable del Quai d’Orsay.
La iniciativa se basa en la observación de que a las amenazas identificadas en el ciberespacio provenientes de actores estatales, grupos criminales y activistas, se ha ido sumando gradualmente una amenaza proveniente del sector privado legal.
“Hay toda una gama: componentes, productos llave en mano, servicios y ecosistema de apoyo al inversor”, explicó este responsable. «Es su uso no regulado lo que plantea un problema en términos de seguridad y estabilidad del ciberespacio, pero también en términos de respeto a los derechos humanos».
Sin embargo, sostiene, estas capacidades inicialmente tienen un uso legítimo, lo que complica el trabajo de regulación. Sobre todo porque sólo se necesitan “unas pocas líneas de código” para pasar de un uso legal a un uso malicioso. «Un mercado no regulado también plantea el riesgo de proliferación» de estas capacidades. «Por tanto, esto se convierte para nosotros en un objeto de regulación a nivel diplomático», añadió el Quai d’Orsay.
En 2021, un consorcio de medios reveló que el software Pegasus, diseñado por la empresa israelí NSO, había sido utilizado para espiar los teléfonos de cientos de políticos, periodistas, activistas de derechos humanos y líderes empresariales de todo el mundo.
En octubre, la ONG Amnistía Internacional descubrió que el software espía Predator, vendido por la empresa francesa Nexa a regímenes autoritarios, había sido utilizado en una campaña de espionaje contra políticas e instituciones europeas, vinculadas a los intereses del gobierno vietnamita. Está prevista una primera fase “exploratoria” como parte del foro de paz antes de una conferencia específica en 2024 en el Reino Unido y una segunda en Francia el año siguiente.
