Bulgaria aprobó las exportaciones de vigilancia a estados represivos

      TL;DRLas licencias de exportación filtradas muestran que Bulgaria aprobó a Circles BG, una filial del Grupo NSO, para vender herramientas de seguimiento de teléfonos y sistemas de interceptación a agencias de inteligencia en Azerbaiyán, Serbia, los EAU y al menos una docena de otros países entre 2018 y 2023. Los hallazgos, publicados por Human Rights Watch, plantean preguntas sobre la efectividad de los controles de exportación de doble uso de la UE.

      La autoridad de control de exportaciones de Bulgaria autorizó a una empresa de vigilancia con sede en Sofía a vender herramientas de seguimiento de teléfonos, sistemas de interceptación e infraestructura de monitoreo a agencias de inteligencia en países con registros documentados de supresión de la disidencia. Las licencias, publicadas por Human Rights Watch el miércoles, cubren exportaciones de Circles BG a compradores gubernamentales en Azerbaiyán, Serbia, Malasia, México, los EAU y al menos diez otros países entre 2018 y 2023.

      Circles es una filial del Grupo NSO, la empresa israelí detrás del software espía Pegasus que ha sido utilizado para atacar a periodistas, políticos y defensores de derechos humanos en todo el mundo. Las licencias filtradas ofrecen la imagen más clara hasta ahora de cómo la empresa utilizó su base en Bulgaria como una puerta de entrada para exportar tecnología de vigilancia a gobiernos que los organismos de control internacionales han acusado de desplegar tales herramientas contra sus propios ciudadanos.

      La conexión Circles-NSO

      Circles fue adquirida en 2014 por una empresa que también posee el Grupo NSO, llevando a ambas firmas bajo el paraguas de Q Cyber Technologies. En 2020, el Citizen Lab de la Universidad de Toronto identificó a Circles como operadora de sistemas de vigilancia que explotaban debilidades en las redes de telecomunicaciones globales en al menos 25 países.

      El 💜 de la tecnología de la UE

      Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora!

      Uno de los cofundadores de Circles, Tal Dilian, un excomandante de inteligencia militar israelí, fue sancionado por Estados Unidos en marzo de 2024 por su papel en Intellexa, un consorcio de vigilancia separado que fundó. Intellexa desarrolló el software espía Predator que desencadenó el escándalo “Predatorgate” de Grecia en 2022, y un tribunal griego condenó a Dilian y a otros tres en febrero de 2026, sentenciando a cada uno a ocho años de prisión.

      Las licencias también revelan vínculos comerciales directos entre Circles y el propio Grupo NSO. NSO compró equipos por valor de $119,941 a Circles en octubre de 2021, tecnología que fue transferida al Comando de la Línea de Frente del Ministerio de Defensa de Israel.

      El Grupo NSO fue incluido en la Lista de Entidades del Departamento de Comercio de EE. UU. el mes siguiente debido a alegaciones de que su software espía había sido utilizado para atacar a la sociedad civil. Circles BG, a pesar de su afiliación corporativa con NSO, no aparece en ninguna lista de sanciones o de control de exportaciones de EE. UU.

      ¿Quién compró qué?

      Los documentos de exportación nombran agencias gubernamentales específicas y el equipo que adquirieron. El Servicio de Inteligencia Extranjera de Azerbaiyán compró infraestructura de servidores y almacenamiento de Dell por más de $42,000 en una licencia emitida en junio de 2022, y obtuvo por separado un sistema de seguimiento de teléfonos móviles que utiliza torres de telefonía celular para localizar dispositivos.

      Esa licencia de seguimiento fue válida hasta diciembre de 2023, abarcando el período en el que Azerbaiyán lanzó su ofensiva militar para retomar Nagorno-Karabaj. Una investigación conjunta de Amnistía Internacional y Citizen Lab ya había encontrado en mayo de 2023 que el software espía Pegasus estaba siendo utilizado para atacar a figuras públicas armenias en medio del conflicto.

      El ministerio del interior de Serbia compró un dispositivo portátil de vigilancia de teléfonos móviles y seguimiento de ubicación por $18,254, unos meses antes de las elecciones de diciembre de 2023 en el país. Amnistía Internacional informó posteriormente en diciembre de 2024 que las autoridades serbias habían utilizado software espía y herramientas de extracción forense contra periodistas y activistas de la sociedad civil, alegaciones que el gobierno serbio ha disputado.

      La Agencia de Inteligencia de Señales de los EAU compró un sistema de interceptación de voz conocido como VOLE por $10,000 a través de un intermediario local en 2018. La inteligencia militar de Malasia obtuvo el mismo sistema a través de Telekom Malaysia Berhad en un paquete valorado en más de $52,000 que incluía instalación y capacitación.

      Los documentos también enumeran autoridades gubernamentales en Bahréin, Brasil, la República Dominicana, Ghana, Guatemala, El Salvador, Jordania, Marruecos y Panamá como usuarios finales. Una exportación mexicana involucró un sistema táctico de inteligencia de señales diseñado para localizar y monitorear dispositivos móviles, con el usuario final listado como el gobierno de Michoacán, un estado que ha sido azotado por la violencia de los cárteles.

      La brecha en el control de exportaciones de la UE

      Los hallazgos llegan mientras Bruselas se prepara para una nueva revisión del régimen de control de exportaciones de doble uso de la UE, con la Comisión Europea esperando presentar una propuesta a principios de 2027. Bajo las reglas actuales, las autoridades nacionales deben evaluar si las herramientas de ciber-vigilancia podrían ser utilizadas para la represión interna o violaciones graves de derechos humanos antes de aprobar las exportaciones.

      “Estas licencias son una clara evidencia de que Bulgaria está autorizando exportaciones de tecnología de vigilancia a nivel mundial a policías, militares y agencias de inteligencia en países con largas historias de uso de esa misma tecnología para reprimir derechos”, dijo Zach Campbell, investigador senior de vigilancia en Human Rights Watch. Campbell agregó que la Comisión Europea no ha hecho nada para detener las exportaciones a pesar de tener visibilidad sobre ellas, una afirmación que este artículo no pudo verificar de manera independiente.

      El Ministerio de Relaciones Exteriores de Bulgaria dijo a Politico que la documentación de Circles mostraba que las tecnologías estaban destinadas a la prevención del crimen, la lucha contra el terrorismo y operaciones humanitarias de búsqueda y rescate. El ministerio dijo que evalúa “todas las circunstancias relevantes” al examinar las solicitudes.

      El problema más amplio es estructural. Muchos sistemas de vigilancia combinan software, herramientas de seguimiento móvil y hardware en gran medida comercial, lo que dificulta determinar dónde termina el equipo de telecomunicaciones ordinario y comienzan las herramientas de intrusión cibernética.

      Circles no respondió a múltiples solicitudes de comentarios. Los hallazgos no indican que las exportaciones fueran ilegales o que las tecnologías se utilizaran de manera ilegal, pero junto a casos como el software espía italiano distribuido a través de actualizaciones falsas de WhatsApp, subrayan cuán lejos ha avanzado la industria de vigilancia de Europa en comparación con el marco regulatorio diseñado para restringirla.