A medida que la inteligencia artificial y otras tecnologías emergentes penetran cada vez más en nuestra vida cotidiana, se plantea una necesidad urgente de regulación. Las democracias enfrentan el reto de equilibrar la seguridad, tanto física como digital, con el respeto a la privacidad y la protección de datos personales. Uno de los mayores desafíos en este contexto es el uso creciente de programas espía (spyware), que, si no se regula adecuadamente, podrían convertirse en una amenaza a los derechos fundamentales de los ciudadanos, especialmente en el ámbito de la vigilancia masiva.
En los últimos años, el uso de software espía ha alcanzado proporciones alarmantes. El informe anual Freedom on the Net de Freedom House ha señalado que en al menos 49 países, gobiernos o actores relacionados tienen acceso a tecnologías avanzadas de software espía o extracción de datos, lo que representa una amenaza seria para el espacio cívico y la democracia. Este tipo de herramientas dificulta el control democrático al reducir la capacidad de la sociedad para exigir rendición de cuentas a quienes detentan el poder.
Este tipo de software permite la vigilancia intrusiva de dispositivos electrónicos, como teléfonos inteligentes o computadoras, sin que el usuario lo sepa. Dependiendo del programa, los atacantes pueden acceder a la geolocalización en tiempo real, leer comunicaciones privadas, eludir medidas de seguridad como la encriptación, y controlar hardware y software, incluidos micrófonos y cámaras. En ausencia de un marco regulatorio claro, estos programas podrían operar como dispositivos de vigilancia constante, con acceso irrestricto a todos los sensores y datos en los dispositivos personales.
El spyware no solo se utiliza con fines delictivos, sino también por actores estatales en el contexto de espionaje o represión política. Los objetivos de estas prácticas suelen ser periodistas, activistas de derechos humanos y otros actores que, por su labor o ideas, se convierten en blanco de gobiernos o grupos de poder. De esta manera, el software espía se transforma en un instrumento para restringir los derechos humanos, censurar y criminalizar las críticas, y acosar o suprimir a voces disidentes, como lo evidencian diversas denuncias y filtraciones. Por lo tanto, resulta imperativo establecer límites claros para el uso estatal del spyware, a fin de prevenir y erradicar abusos.
La creciente intrusividad de estas herramientas socava gravemente los derechos fundamentales, como el derecho a la privacidad y la libertad de expresión, y plantea serias amenazas a la democracia. El uso de software espía no solo pone en riesgo la privacidad de los individuos, sino que también limita la libertad de información y de participación política. Además, su uso puede incluso vulnerar el secreto profesional y el derecho a una defensa adecuada.
La proliferación de software espía ha sido facilitada por la falta de controles en la venta y transferencia de estas tecnologías a nivel global. En respuesta a esta amenaza, en enero de 2025, el Consejo de Seguridad de las Naciones Unidas celebró una reunión para abordar los peligros del software espía comercial. Esta fue la primera vez que se trató este tema en un foro de este nivel. Además, el pasado 4 de abril, el Consejo de Derechos Humanos de la ONU, en su 58ª sesión, adoptó una resolución enfocada en los defensores de derechos humanos y las tecnologías emergentes, que aborda el uso del spyware y otras amenazas digitales. La resolución insta a los gobiernos y empresas a comprometerse con la protección de los derechos humanos, subrayando la necesidad de regular estrictamente el uso de estas tecnologías y de proporcionar reparación a las víctimas de violaciones relacionadas con la vigilancia.
En Europa, el uso de software espía ha convertido a varios países en puntos clave de abuso. Barcelona, por ejemplo, ha emergido como un centro de desarrollo de empresas especializadas en este tipo de tecnologías.
Un caso emblemático es el de Pegasus, un software espía comercializado por el grupo israelí NSO, que se utilizó para espiar a periodistas y activistas de derechos humanos. En 2021, una investigación internacional reveló que se habían recopilado más de 50,000 números de teléfono mediante Pegasus, que también fue utilizado por regímenes autoritarios. Este escándalo subrayó la necesidad de un control más estricto sobre la venta de software espía. En otro caso reciente, el escándalo de Paragon Solutions ha puesto de manifiesto una vez más la creciente amenaza de la vigilancia digital no autorizada. El 31 de enero de 2025, WhatsApp notificó a al menos 90 personas —entre activistas, periodistas y opositores políticos de la Unión Europea— que estaban siendo espiadas mediante Graphite, un software espía desarrollado por Paragon Solutions Ltd., una empresa israelí. Según la compañía, este software, de nivel militar, solo ha sido suministrado a gobiernos democráticos. El caso estalló en Italia, donde varias víctimas, como integrantes de la ONG Mediterranea Saving Humans, informaron que fueron espiados. Entre ellos se encuentran Francesco Cancellato, fundador de la ONG, Beppe Caccia, uno de sus armadores, y Mattia Ferrari, uno de sus capellanes. Un informe técnico de un prestigioso laboratorio de seguridad digital ha revelado que los gobiernos de Australia, Canadá, Chipre, Dinamarca, Israel y Singapur podrían ser clientes de esta empresa.
El Parlamento Europeo, a través del Comité PEGA, investigó el uso de Pegasus y otros programas espía dentro de la UE y concluyó que varios Estados miembros habían adquirido estas herramientas para espiar a ciudadanos sin justificación legal adecuada. En junio de 2023, el Parlamento adoptò la Recomendación 2023/2500(RSP), instando a la Comisión Europea a establecer normativas claras y estrictas sobre el uso de software espía, garantizando la autorización judicial, la proporcionalidad y la supervisión independiente.
En la misma linea, en diciemebre de 2024, la Comisión de Venecia, órgano consultivo del Consejo de Europa, formado por expertos independientes en el campo del derecho constitucional, ha afirmado en su informe que el uso de tecnologías de vigilancia tan intrusivas solo puede ser aceptable si está respaldado por un marco legal que cumpla con requisitos estrictos. En este contexto, las legislaciones nacionales deben garantizar que la vigilancia dirigida mediante spyware esté sujeta a autorización judicial previa, y que existan salvaguardias claras para proteger a los defensores de derechos humanos y otros grupos vulnerables.
Tal como destacó el Supervisor Europeo de Protección de Datos, el nivel de intrusividad de las herramientas modernas de software espía socava la esencia del derecho fundamental a la privacidad y a la protección de datos, lo que las hace ilegales conforme al Derecho de la Unión Europea. El espionaje digital no solo afecta la privacidad individual, sino que también pone en riesgo la libertad de expresión. Si las personas son conscientes de que pueden ser monitoreadas en cualquier momento, es probable que se autocensuren, limitando el ejercicio de derechos esenciales como el derecho a la información y la libre participación política.
Ambos informes han destacado como leyes nacionales siguen siendo débiles y no adecuadas para enfrentar esta amenaza, lo que subraya la necesidad de una reforma urgente. En España, por ejemplo, la normativa que regula la interceptación de comunicaciones por parte del Centro Nacional de Inteligencia (incluyendo la Ley de Secretos Oficiales de 1968, que clasifica toda la información en poder del CNI como secreta, por motivos de seguridad nacional) no cumple plenamente con los criterios exigidos por el Tribunal Europeo de Derechos Humanos, ya que no existen reglas claras en su marco legal para minimizar el riesgo de acceso o divulgación no autorizados. Esta debilidad normativa facilita el uso arbitrario del software espía sin suficiente control o supervisión.
Dada la magnitud de la amenaza que representan los programas espía intrusivos, la Unión Europea debe actuar con urgencia para establecer un marco legal coherente, integral y eficaz que proteja los derechos fundamentales, garantizando al mismo tiempo que las tecnologías se utilicen de manera ética y conforme al derecho internacional.
A pesar de los repetidos informes sobre mala administración y abuso de poder por parte de los Estados miembros durante la última legislatura, las instituciones de la UE no han logrado ofrecer soluciones efectivas ni un enfoque global. En este contexto, la recientemente adoptada Ley Europea de Libertad de los Medios de Comunicación, si bien persigue objetivos loables, no protege de manera suficiente a los y las periodistas frente al uso de software espía dado que carece de salvaguardias esenciales para evitar la vigilancia no autorizada y establece bases jurídicas que podrían facilitar el uso del spyware dentro de la UE.
Ante esta situación, la Comisión Europea, el Consejo y el Parlamento Europeo deben actuar con urgencia para frenar el abuso del software espía en la UE y defender los valores fundamentales de la región, respetando y protegiendo los derechos humanos. Esto implica la creación de mecanismos eficaces de rendición de cuentas y la provisión de recursos para las víctimas de la vigilancia ilegal mediante programas espía. A su vez, los Estados miembros tienen la responsabilidad de salvaguardar los derechos fundamentales de todas las personas bajo su jurisdicción.
Aunque la legislación actual ofrece algunas protecciones, es evidente que se necesita un marco normativo más específico que regule el uso de programas espía intrusivos. La creación de una legislación europea que prohíba de manera explícita el uso de spyware y que imponga sanciones severas a quienes violen estas normas sería un paso fundamental hacia una protección más robusta.
