NARCO OBSERVATORIO
🛡 MALWARE 🛡

La ley de vigilancia que el Congreso no puede dejar ni explicar

🛡CyberObservatorio
Idioma
◢ MALWARE ◣

La ley de vigilancia que el Congreso no puede dejar ni explicar

⟫ 17/04/2026 ⟫ Tim Starks
Fuente: CyberScoop

El Congreso de los Estados Unidos se encuentra inmerso en el debate sobre la renovación de una ley de vigilancia que está a punto de expirar a finales de este mes. Los críticos de esta legislación, que ha suscitado controversia, cuestionan la efectividad de la misma en cuanto a su impacto sobre los poderes de espionaje gubernamentales, tanto en términos positivos como negativos.

La ley de 2024 reautorizó los poderes de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA, por sus siglas en inglés), que permite la vigilancia sin orden judicial de las comunicaciones electrónicas de objetivos extranjeros. Uno de los aspectos más polémicos de esta normativa es que permite a los funcionarios estadounidenses buscar (“consultar”) en esas bases de datos de comunicaciones utilizando información personal de ciudadanos estadounidenses, siempre que el estadounidense esté en contacto con alguien en el extranjero, lo que plantea serias preocupaciones sobre la privacidad.

Los defensores de la ley de 2024, conocida como la Ley de Reforma de Inteligencia y Seguridad de América (RISAA, por sus siglas en inglés), destacan las 56 modificaciones que se introdujeron para abordar las críticas hacia la Sección 702, después de que salieran a la luz abusos significativos, incluidos cientos de miles de búsquedas inapropiadas. Sin embargo, al mismo tiempo, estas modificaciones han suscitado temores de que, en realidad, podrían expandir aún más los poderes de la Sección 702.

El pasado viernes, la Cámara de Representantes votó para extender la ley tal y como está por diez días, y el Senado hizo lo mismo posteriormente. La administración Trump ha solicitado una reautorización “limpia” de 180 días.

A medida que el Congreso considera posibles extensiones de la ley de 2024 sin realizar cambios, Elizabeth Goitein, directora senior del programa de libertad y seguridad nacional del Brennan Center for Justice, expresó su escepticismo: “No creo que sepamos” qué beneficios ha aportado realmente la ley. A su vez, es complicado determinar si las preocupaciones sobre la expansión de los poderes se han materializado, dado que “no disponemos de información fiable al respecto”.

Jake Laperruque del Centro para la Democracia y la Tecnología también considera que hay muchas incógnitas en este asunto. Tanto Goitein como Laperruque son escépticos respecto a cualquier cambio positivo que pudiera haber traído la RISAA, abogando desde hace tiempo por la necesidad de un requisito de orden judicial para las búsquedas relacionadas con ciudadanos estadounidenses. Sin embargo, las agencias de inteligencia han mostrado resistencia a esta propuesta, argumentando que podría ralentizar significativamente las investigaciones de seguridad nacional que requieren una respuesta rápida.

Por el contrario, Glenn Gerstell, exconsejero general de la Agencia de Seguridad Nacional (NSA), afirmó que la RISAA representa “el conjunto de reformas más significativo de la legislación desde su adopción en 2008”, subrayando que “esas reformas han tenido un efecto dramático”.

Un punto de discordia importante se centra en el grado en que ha disminuido el número de búsquedas de ciudadanos estadounidenses. Esto se relaciona con una conclusión del informe del inspector general del Departamento de Justicia del año pasado, que halló que una “herramienta de filtrado avanzada generó consultas que no estaban registradas por el FBI”.

El informe destaca que un sistema del FBI cuenta con una “función de filtro avanzado” que permite a los usuarios seleccionar un número específico de archivo de caso del FBI o "instalación" (por ejemplo, un número de teléfono o dirección de correo electrónico), utilizando un menú desplegable o una barra de búsqueda, para revisar las comunicaciones con las instalaciones objetivo. Este tipo de funcionalidad habilita a los usuarios para seleccionar de listas de “participantes” en comunicaciones con instalaciones específicas y revisar las comunicaciones de esos participantes. En torno a agosto de 2024, el informe continúa, la División de Seguridad Nacional del Departamento de Justicia “tomó conocimiento de la función de filtro de participantes en [el sistema] y expresó su preocupación de que las búsquedas realizadas mediante el uso de este filtro constituyeron consultas separadas que debían cumplir con el estándar de consulta y con todos los requisitos procedimentales correspondientes”.

De acuerdo con el conteo de la comunidad de inteligencia, el número de búsquedas de ciudadanos estadounidenses ha disminuido considerablemente incluso antes de la aprobación de la ley de 2024: 119,383 en 2022, 57,094 en 2023, 5,518 en 2024 y 7,413 en 2025. Goitein señala que “es evidente que las búsquedas realizadas utilizando esta función de filtro cumplían con la definición estatutaria de consultas, y aun así el FBI decidió no contabilizarlas como tales durante un periodo significativo de tiempo”.

Laperruque, director adjunto del proyecto de seguridad y vigilancia del CDT, mencionó que un mandato de auditoría en la ley de 2024 podría ser potencialmente útil, aunque en la práctica no ha demostrado serlo. “Al menos debería significar que debería ayudar a detectar abusos si es que están ocurriendo”, comentó. “El problema es que aún dependes del FBI para que registre correctamente todas sus consultas y las entregue al Departamento de Justicia para su verificación, lo cual no ha sucedido. Estás confiando en que el DOJ y el ejecutivo se sometan a una auto-regulación, y eso es algo en lo que hay un escepticismo justificado basado en la conducta reciente del DOJ”.

Gerstell, asesor senior en el Centro para Estudios Estratégicos e Internacionales, alude a numerosas revisiones —incluido un informe del personal de la Junta de Supervisión de Privacidad y Libertades Civiles (PCLOB)— que indican una caída en las búsquedas de ciudadanos estadounidenses. Esta disminución es, según él, el cambio más significativo que trae la RISAA. “La más importante es una reducción muy sustancial en el número de consultas de la base de datos para información de ciudadanos estadounidenses, lo que ha sido un gran enfoque para los defensores de la privacidad, y ha habido una caída dramática, tanto así que tanto el Inspector General del Departamento de Justicia como el personal de la PCLOB han dicho: ‘me pregunto si estamos exagerando’... Cada uno de ellos presenta esos números, sin matices”.

En cuanto a la cuestión del filtro avanzado, Gerstell reconoció la ambigüedad, pero hizo referencia a informes que indicaban que, como él resumió, “si se hubieran considerado consultas, parece que la mayoría ya habrían sido conformes... porque eran un subconjunto de algo que ya era conforme. Pero no sabemos si alguna de ellas fue no conforme, y no disponemos de los datos”.

En el lado opuesto del debate sobre la RISAA, los críticos argumentan que su definición revisada de “proveedor de servicios de comunicaciones electrónicas” podría expandir dramáticamente la vigilancia para incluir negocios como cafeterías o arrendadores. El verdadero objetivo de este cambio, que ha sido reportado pero no divulgado formalmente, eran los centros de datos. Laperruque señala: “Esa fue una expansión bastante grande con mucho potencial de abuso”, pero añade que “realmente no sabemos mucho sobre cómo ha cambiado” nada.

El senador demócrata Mark Warner de Virginia, quien ocupa el cargo de principal representante del Comité de Inteligencia, ha buscado avanzar en la clarificación del lenguaje relacionado con el uso de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) tras la aprobación de la legislación RISAA. La administración Biden ha manifestado su intención de limitar el uso de esta disposición a aquellos negocios no revelados que motivaron su creación en primer lugar. Sin embargo, Laperreque ha señalado que la administración Trump no hizo promesas similares y que el lenguaje aclaratorio propuesto por Warner nunca se convirtió en ley.

El Tribunal de Vigilancia de Inteligencia Extranjera (FISC) ha emitido su opinión anual re-certificando el programa de la Sección 702 por otro año más. No obstante, se informa que el tribunal expresó su preocupación respecto a los sistemas de filtrado del programa, argumentando que cuando se utiliza un sistema de este tipo para buscar información sobre ciudadanos estadounidenses, debe contarse como una consulta, lo que lo somete a restricciones adicionales. La administración Trump tiene planes de apelar esta decisión.

Entre las críticas a la ley de 2024 se encuentra la observación de que muchos de sus cambios más significativos no fueron realmente modificaciones, sino más bien codificaciones de reformas ya implementadas por el entonces director del FBI, Christopher Wray. A pesar de estos ajustes, los abusos continuaron, según indicó Goitein.

Gerstell opinó que consagrar esas reformas en ley no es algo negativo. “El estatuto codificó expresamente algunas, pero no todas, las reformas de Wray, y algunas fueron más allá en muchos aspectos”, afirmó. Estas reformas incluían la exigencia de aprobación del director adjunto del FBI para las consultas que involucren a ciudadanos estadounidenses que apunten a funcionarios electos, nombramientos gubernamentales, candidatos políticos, organizaciones o medios de comunicación. Estas prácticas fueron algunas de las más criticadas en el pasado.

Los republicanos siguen divididos en torno a la extensión de la ley. Algunos, que inicialmente tenían reservas sobre una reautorización limpia, como el presidente del Comité Judicial del Senado, Chuck Grassley, de Iowa, han cambiado de opinión, especialmente tras resolver sus preocupaciones sobre las limitaciones en la asistencia del Congreso a los procedimientos del FISC.

Otros legisladores pueden haber sido influenciados por un cabildeo directo de la administración Trump, que incluyó un post en redes sociales del propio Trump esta semana, en el que afirmó: “Estoy dispuesto a arriesgar la renuncia de mis derechos y privilegios como ciudadano por nuestro gran ejército y país”. Sin embargo, algunos han endurecido su postura contra una extensión limpia a raíz de la opinión del tribunal FISC y otras preocupaciones adicionales.

A su vez, otros temas se han entrelazado en el debate sobre la reautorización, como las peticiones para bloquear a las agencias gubernamentales de la compra de información a corredores de datos. Sin embargo, como comentó George Barnes, exdirector adjunto de la NSA, “esto no tiene nada que ver con esta autoridad”.

A pesar de todo, legisladores de ambos partidos han expresado su frustración durante meses porque la administración permaneció en silencio mientras se acercaba la expiración de la ley.

Recientemente, la administración Trump compartió nuevos ejemplos de los éxitos de la ley, destacando que había frustrado un ataque terrorista planeado para 2024 en un concierto de Taylor Swift. Barnes señaló que la divulgación de tales ejemplos podría ofrecer un argumento público a favor de la ley, aunque también presenta desventajas. “Siempre comprendí, aunque me frustraba, la necesidad de presentar ejemplos solo porque les estaba dando a los adversarios una idea de lo que podíamos hacer”, comentó Barnes, quien ahora es presidente de la práctica cibernética de Red Cell.

No obstante, reautorizar la Sección 702 es urgente desde la perspectiva de la ciberseguridad, según Barnes. “Gran parte del impacto que vi que la autoridad tenía durante mi tiempo estaba relacionado con la ciberseguridad también”, dijo. “Así que cuando tienes entidades extranjeras que están atacando a Estados Unidos o a intereses estadounidenses en el extranjero, esa autoridad puede ser utilizada para ayudar a eliminar esas actividades”.

◢ MALWARE ◣

The surveillance law Congress can’t quit — and can’t explain

⟫ 17/04/2026 ⟫ Tim Starks
Source: CyberScoop

Congress is grappling with renewal of a surveillance law set to expire at the end of this month that critics say is a mystery on how much of a difference it has made for controversial government spying authorities — for better or worse. The 2024 law reauthorized so-called Section 702 powers of the Foreign Intelligence Surveillance Act (FISA), which authorizes warrantless surveillance of electronic communications of foreign targets. Most controversially, the law allows U.S. officials to search (“query”) those communications databases using Americans’ personal information, as long as the American is in contact with someone overseas, which raises significant privacy concerns. Backers of the 2024 law, known as theReforming Intelligence and Securing America Act(RISAA), point to 56 changes it made to deal with criticisms of Section 702, following a period where abuses came to light, including hundreds of thousands of improper searches. At the same time, the law made changes that some feared could actually expand Section 702 powers. The House voted to extend the law as-is for10 daysearly Friday. The Senate thendid the same. The Trump administration has sought a 180-day “clean” reauthorization. As Congress weighs potential extensions of the 2024 law without making changes to it, “I don’t think we know” what good has come of it, said Elizabeth Goitein, senior director of the Brennan Center for Justice’s liberty and national security program. By the same token, it’s difficult to know whether some of the expansion fears have come to fruition, she said: “We don’t have reliable information on this.” Added Jake Laperruque of the Center for Democracy and Technology: “There’s a lot of black boxes here.” Both Goitein and Laperruque are skeptical of any positive change from RISAA, though, and have long advocated for a warrant requirement for U.S. person searches. Intelligence agencies have resisted that addition, claiming that it would dramatically slow down time-sensitive national security investigations. By contrast, Glenn Gerstell, former general counsel at the National Security Agency, said RISAA constituted “the most significant set of reforms to the statute since its adoption in 2008.” and that “those reforms have had a dramatic effect.” One major point of dispute is to what degree the number of U.S. person searches dropped, particularly because of a conclusion in last year’s Justice Departmentinspector general reportfinding that an “advanced filtering tool generated queries that were not tracked by the FBI.” As the report outlines, an FBI system has an “‘advanced filter function’ that allows users to select a specific FBI casefile number or ‘facility’ (e.g., a phone number or email address), using a drop-down menu or search bar, to review communications with targeted facilities. “This functionality enables users to select from lists of ‘participants’ in communication with targeted facilities and review communications of those participants.In or around August 2024,” the report continues. The National Security Division of the Justice Department “became aware of the participants filter function in [the system] and was concerned that searches conducted through use of the participants filter constituted separate queries that must satisfy the query standard and comply with all query procedural requirements.” By the intelligence community’s count, the number of U.S. person searches has otherwise mostly declined even going back to before the 2024 law’s passage: 119,383 in 2022, 57,094 in 2023, 5,518 in 2024 and 7,413 in 2025. “It is quite clear that the searches that were run using this filter function met the statutory definition of queries, and yet the FBI for some significant period of time decided to not count them as queries,” Goitein said. Laperruque, deputy director of CDT’s security and surveillance project, said an audit mandate in the 2024 law was potentially useful, but hasn’t proven to be in reality. “At least it should mean that it should help try to detect abuse if it is happening,” he said. “The problem there, though, is you’re still relying on the FBI to properly log all of its quarries and hand them over for DOJ to be checked, which hasn’t happened. You’re trusting DOJ and the executive to engage in self-policing, and that’s something where folks rightfully have a lot of skepticism based on how DOJ has conducted itself recently.” Gerstell, a senior adviser at the Center for Strategic and International Studies, points to numerous reviews — including a staff report from the Privacy and Civil Liberties Oversight Board (PCLOB) — that indicate a drop in U.S. person searches. It’s the biggest change of RISAA, he said. “The most significant one is a very substantial drop in the number of queries of the database for U.S. person information, which has been a big focus for privacy advocates, and there’s been a dramatic drop, so much so that both the Inspector General for the Department of Justice and the staff of the PCLOB have said, ‘I wonder if we’re overdoing it.’ … Every single one of them presents those numbers, without caveat.” On the advanced filter function count, Gerstell acknowledged the ambiguity, but referred to reports that said, as he summarized, “If they had been considered queries, it appears that most would have been compliant anyway… because they were a subset of something that was already compliant. But we don’t know if any of them were noncompliant, and we don’t have the data.” On the other side of the RISAA debate, critics argued that its revised definition of “electronic communications service provider” could dramatically expand surveillance to include businesses like coffee shops or landlords. The reported, but formally undisclosed, real target of the change was data centers. “That was a pretty big expansion with a lot of potential abuse,” Laperruque said. But “we don’t really know much about how it’s changed” anything, he said. Virginia Sen. Mark Warner, the top Democrat on the Intelligence Committee, sought to advanceclarifying languageabout that subject after RISAA’s passage, and the Biden administration saidit would confinethe provision’s use to the kind of undisclosed businesses that prompted the provision in the first place. Laperreque noted that the Trump administration has made no such promises, and Warner’s clarifying language never became law. The Foreign Intelligence Surveillance Court (FISC) has issued its annual opinion re-certifying the Section 702 program for another year. However, the court reportedly took issue with the program’s f filtering systems, saying that when such a system is used to look for information on Americans it must be counted as a query, subjecting it to additional restrictions. The Trump administration plans toappeal the ruling. Other critiques of the 2024 law include that many of its biggest changes weren’t changes at all, but instead codifications of changes that then-FBI Director Christopher Wray had implemented. Abuses continued after those changes, Goitein said. Gerstell said enshrining those changes into law wasn’t a bad thing. “The statute expressly codified some but not all of Wray reforms — and some went beyond that in many ways,” he said. Those changes included requiring FBI deputy director approval of U.S. person queries that target elected officials, government appointees, political candidates or organizations, or media. Those were some of the more criticized prior targeting abuses. Republicans remain divided over extending the law. Some who had reservations about a clean reauthorization have come on board, such as Senate Judiciary Chairman Chuck Grassley, R-Iowa, who had taken issue with limitations on congressional attendance of FISC proceedings but since hashad that concern resolved. Others may have been swayed by direct lobbying from the Trump administration, including asocial media postfrom Trump himself this week, where he wrote, “I am willing to risk the giving up of my Rights and Privileges as a Citizen for our Great Military and Country!” Still others have had their position against a clean extension hardened by theFISC court opinionandadditional concerns. Other issues have become enmeshed in the reauthorization debate, such as calls to block government agencies from purchasing information from data brokers. But “this has nothing to do with this authority,” said George Barnes, former deputy director of the NSA. But lawmakers of both parties havecomplained for monthsthat the administration was silent for too long as the law’s expiration loomed. Only recently did the Trump administration share new examples of the law’s successes, including that it had thwarted a 2024 terrorist attack on aTaylor Swift concert. Barnes said releasing such examples might offer a public case for the law, but has its downsides, too. “I was always understanding but frustrated by the need to release examples just because they choreographed to the adversary what we could do,” said Barnes, now Red Cell’s cyber practice president. Reauthorizing Section 702 is urgent, though, for cybersecurity purposes, he said. “A lot of the impact that I saw the authority having over my time was in cybersecurity as well,” he said. “And so when you have foreign entities that are targeting the U.S., or U.S. interests overseas, that authority can be positioned to help eliminate those activities.” The postThe surveillance law Congress can’t quit — and can’t explainappeared first onCyberScoop.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD
La ley de vigilancia que el Congreso no puede dejar ni explicar | Ciberseguridad - NarcoObservatorio