Seis estados miembros de la Union Europea han exportado tecnologia de vigilancia a mas de dos docenas de paises con historiales documentados de violaciones de derechos humanos, segun un informe publicado por Human Rights Watch el 12 de mayo de 2026. Los hallazgos revelan un fallo sistemico en el principal marco de control de exportaciones de la UE y plantean preguntas directas sobre si las herramientas de vigilancia europeas estan siendo utilizadas para rastrear a activistas, periodistas y usuarios de VPN en regimenes autoritarios de todo el mundo.
El informe: exportaciones de spyware de la UE a regimenes autoritarios
El informe de HRW, titulado "Mirando hacia otro lado: el fracaso de la UE para prevenir las exportaciones de vigilancia a violadores de derechos", documenta como el Reglamento de Doble Uso de la UE de 2021 - destinado a evitar que la tecnologia de vigilancia llegue a gobiernos represivos - ha fracasado en la practica. Los investigadores solo pudieron obtener datos de exportacion de 7 de los 27 estados miembros de la UE despues de que 12 solicitudes de acceso a la informacion fueran denegadas de plano.
Entre los casos confirmados: Bulgaria exporto software de intrusion y sistemas de intercepcion de telecomunicaciones entre 2020 y 2023 a Azerbaiyan, Bosnia y Herzegovina, Brasil, Costa de Marfil, Republica Dominicana, El Salvador, Ghana, Guatemala, Israel, Jordania, Malasia, Mexico, Mongolia, Marruecos, Panama, Filipinas, Serbia, Uganda, Emiratos Arabes Unidos, Ucrania y Vietnam. Polonia exporto sistemas de intercepcion de telecomunicaciones a Ruanda en 2023. La empresa sueca MSAB exporto herramientas de extraccion forense de datos a la India aprovechando una laguna de clasificacion.
Por que fallo el reglamento
El Reglamento de Doble Uso de la UE de 2021 fue presentado como una reforma trascendental que cerraria la laguna en las exportaciones de tecnologia de vigilancia que habia permitido a empresas europeas vender spyware a gobiernos autoritarios durante anos. El reglamento exige a los estados miembros que informen sobre las decisiones de licencias, evaluen los riesgos para los derechos humanos e impidan las exportaciones que probablemente violen el derecho internacional.
HRW identifico cinco mecanismos de fallo distintos:
- Brecha de transparencia: La Comision Europea reinterpreto las obligaciones de informacion de manera que separo el tipo de tecnologia del pais de destino en sus informes publicos. El resultado: es imposible determinar que pais recibio que herramienta de vigilancia de que estado de la UE.
- Debil diligencia debida: Las empresas solo estan obligadas a "considerar" los riesgos para los derechos humanos, sin necesidad de actuar en consecuencia ni de documentar la evaluacion. Este no es un estandar vinculante.
- Exenciones de secreto: Los estados miembros invocaron la seguridad nacional y los secretos comerciales para retener los datos de licencias de exportacion, haciendo imposible la supervision externa.
- Lagunas de clasificacion: La MSAB sueca exporto herramientas de extraccion forense a la India - un pais con abusos de spyware documentados - argumentando que las herramientas no estaban "especialmente disenadas" para la vigilancia encubierta y, por tanto, quedaban fuera de la clausula general del reglamento.
- Infradeclaracion: Suecia informo oficialmente de cero solicitudes de licencias de exportacion a la Comision, a pesar de que en el mismo periodo se produjeron exportaciones confirmadas de MSAB.
Los destinatarios: paises con represion documentada
Azerbaiyan, uno de los destinos de exportacion confirmados de Bulgaria, tiene una historia bien documentada de persecucion de periodistas, activistas y oposicion politica mediante vigilancia digital. Los investigadores encontraron evidencia sustancial de que Azerbaiyan uso el spyware Pegasus - desarrollado por NSO Group, una empresa vinculada a Circles, que a su vez esta conectada con las exportaciones de vigilancia bulgarias - contra la sociedad civil armenia durante el conflicto de 2023.
Ruanda, que recibio sistemas de intercepcion de telecomunicaciones de Polonia, ha sido documentada utilizando Pegasus contra disidentes y miembros de la diaspora desde al menos 2017. El pais adopto en 2013 una ley de vigilancia ampliada que otorga a las autoridades amplias facultades para monitorear las comunicaciones.
Francia, Alemania, Grecia, Italia y Espana - que se sospecha son grandes exportadoras por su tamano - denegaron o ignoraron las solicitudes de acceso a la informacion de HRW, por lo que sus registros de exportacion siguen siendo completamente opacos.
Que hacen realmente el "software de intrusion" y la "intercepcion de telecomunicaciones"
Las categorias de vigilancia que aparecen en los registros de exportacion no son abstractas. El software de intrusion - descrito por los proveedores como herramientas de "intercepcion legal" - permite el acceso encubierto a dispositivos, extrayendo mensajes, registros de llamadas, contactos, historial de ubicacion y feeds de microfono o camara sin que el objetivo lo sepa. Los sistemas de intercepcion de telecomunicaciones operan a nivel de red, permitiendo la monitorizacion en tiempo real de llamadas, SMS y trafico de internet en toda la infraestructura de un operador.
Estas son las herramientas que los gobiernos autoritarios utilizan para identificar a los usuarios de VPN, localizar a los disidentes y monitorear las comunicaciones cifradas. Cuando tales herramientas se exportan desde estados miembros de la UE con sistemas juridicos funcionales, proporcionan capacidades tecnicas a gobiernos que no disponen de ninguno de los mecanismos de supervision o responsabilidad que, al menos nominalmente, rigen su uso en Europa.
Recomendaciones de HRW
Human Rights Watch instó a la Comision Europea a emitir nuevas directrices de implementacion alineadas con el texto real del Reglamento de Doble Uso, a exigir informes publicos detallados que vinculen las categorias tecnologicas con los paises de destino, a requerir que las empresas realicen y documenten una diligencia debida significativa en materia de derechos humanos - no simplemente "considerar" los riesgos - y a garantizar que las organizaciones de la sociedad civil tengan participacion formal en la evaluacion continua de la eficacia del reglamento.
El informe tambien recomendó que los estados miembros de la UE denieguen licencias de exportacion para tecnologia de vigilancia a cualquier pais donde el gobierno tenga un patron documentado de uso de tales herramientas contra periodistas, activistas, politicos de la oposicion o comunidades de la diaspora.
El patron mas amplio
Los hallazgos de HRW son coherentes con un patron mas amplio documentado por investigadores de Citizen Lab, Amnesty International y Access Now: las empresas tecnologicas y los gobiernos europeos han suministrado repetidamente capacidades de vigilancia a regimenes autoritarios, citando a menudo casos de uso de "intercepcion legal" o "aplicacion de la ley legitima" que no soportan el escrutinio en los paises de destino.
Para las personas que viven bajo regimenes que han recibido estas herramientas, una VPN proporciona una capa parcial de proteccion contra la monitorizacion a nivel de red. No puede proteger contra el software de intrusion a nivel de dispositivo - el tipo que Bulgaria exporto a Azerbaiyan -, pero si cifra el trafico en transito y oculta la direccion IP real del usuario ante su proveedor de internet y ante los sistemas de vigilancia masiva instalados en la infraestructura de red.
• Union Europea: tecnologia de vigilancia vendida a violadores de derechos - Human Rights Watch
• Mirando hacia otro lado: el fracaso de la UE para prevenir las exportaciones de vigilancia a violadores de derechos - HRW
• Bulgaria y Polonia entre los estados de la UE acusados de vender tecnologia espia a autocracias - Balkan Insight
