*Este texto es una traducción del artículo de Ron Deibert, director del Citizen Lab de la Escuela Munk de Asuntos Globales de la Universidad de Toronto, “How foreign governments spy using PowerPoint and Twitter” y es reproducido de The Washington Post.

Las noticias de que un supuesto ataque informático ruso a las computadoras del Comité Nacional Demócrata han sorprendido al mundo, pero para muchas personas, esta clase de acciones son una realidad cotidiana.

Tome, por ejemplo, a la siria Nour Al-Ameer. Una ex vicepresidente del Consejo Nacional Sirio, Al-Ameer fue arrestado y enviado a la infame prisión Adra en Damasco, donde fue brutalmente torturada. Tras su liberación, se convirtió en refugiada, huyendo a la relativa seguridad de Turquía.

O al menos eso creyó.

Al-Ameer es una activista experta en Internet, así que cuando ella recibió un correo de apariencia legítima que contenía un archivo PowerPoint dirigido a ella y que tenía como objetivo detallar los “Crimenes de Assad”, fácilmente pudo haberlo abierto. Pero en lugar de eso, ella lo compartió con nosotros en el Citizen Lab.

Como detallamos en un nuevo reporte, el archivo guió a nuestros investigadores a desvelar una elaborada campaña de ciberespionaje desde Irán. Entre el malware se encontraba un spyware malicioso, incluyendo una herramienta de acceso remoto conocida como “Droidjack”, que permite a los atacantes tomar control de un dispositivo móvil silenciosamente.

Cuando se instala Droidjack, un usuario remoto puede activar el micrófono y la cámara, remover archivos, leer mensajes cifrados, y enviar correos y mensajes instantáneos falsos. Si Al-Ameer lo hubiera abierto, habría puesto a sí misma, familia, amigos y socios de vuelta en Siria en peligro mortal.

Nuestra organización ha documentado este tipo de ataques dirigidos hacia la sociedad civil por años. Hemos encontrado que estas organizaciones son asaltadas por ciberespionaje estatal de la misma forma que los gobiernos y la industria, pero están mucho menos equipadas para lidiar con ellos y reciben significativamente menos atención de los hacedores de política pública.

Los ataques informáticos dirigidos a la sociedad civil se han extendido, una epidemia silenciosa que contagia a periodistas, políticos de oposición, ONGs, y grupos de derechos humanos. En mayo de 2016, descubrimos una campaña de malware basada en Twitter, aparentemente orquestrada por los Emiratos Árabes Unidos, que resultó en el arresto y tortura de muchos activistas y periodistas en aquel país. A través de varios años y docenas de reportes, hemos visto numerosos regímenes autocráticos, como Etiopía y Sudán, comprar spyware sofisticado hecho por firmas italianas y británicas, y usarlo para monitorear e infiltrar grupos defensores de derechos humanos y periodistas en sus países y el exterior.

En 2013, descubrimos que los mismos ataques que China usa para poner en riesgo a gobiernos e industria, son usados para comprometer a grupos de derechos humanos, étnicos y religiosos, y a movimientos prodemocracia. En 2015, encontramos en América Latina una campaña de malware dirigida a periodistas, activistas y grupos políticos de oposición en varios países, incluyendo al fiscal argentino Alberto Nisman, quien fue encontrado muerto por un disparo de arma bajo circunstancias sospechosas.

Grupos de la sociedad civil son especialmente vulnerables a estos ataques, ya que dependen de las redes sociales y de una cultura de compartir la información; y típicamente carecen de apoyo para seguridad digital. Las campañas sofisticadas de ciberespionaje pueden infiltrarse fácilmente en sus redes sociales. El resultado es normalmente arresto, tortura o incluso asesinato.

Incluso cuando tienen conocimiento de que algo está sucediendo, los grupos de la sociedad civil tienen pocos recursos. A menudo no tienen recursos financieros para contratar a una costosa empresa de ciberseguridad para investigar y mitigar el problema. Si queremos que los activistas estén más seguros, debemos trabajar juntos.

Resolver este problema requerirá mayores esfuerzos entre las distintas partes interesadas, desde las fundaciones que financian a la sociedad civil, hasta el sector privado, pasando por los gobiernos. Las fundaciones pueden invertir en la seguridad organizacional de los grupos que financian, y evaluar los riesgos informáticos tanto para ellos como para sus beneficiarios.

Las empresas de ciberseguridad, mientras tanto, deberían ser proactivas al alertar a las víctimas e incluso proveer trabajo de mitigación “pro bono” como una responsabilidad pública. Finalmente, los gobiernos que apoyan la libertad de Internet deberían condenar más a menudo a los perpetradores de ciberespionaje contra la sociedad civil.

En este momento, probablemente hay muchos periodistas, organizaciones defensoras de los derechos humanos y activistas por la democracia caminando ajenos al rastreo invisible que está sucediendo a sus espaldas. Es tiempo de despertar ante esta epidemia silenciosa de ataques informáticos dirigidos hacia la sociedad civil y hacer algo al respecto.