Aún pendiente, la Estrategia Nacional de Ciberseguridad

En México un reciente estudio de hábitos de usuarios de internet muestra que las personas con acceso a internet pasan alrededor del 31% de su tiempo conectadas a alguna red social y se han documentado incrementos significativos -en relación al 2018- respecto a las actividades económicas (como transacciones o consultas bancarias), el uso de plataformas de comunicación digital, el uso de dispositivos móviles y la participación de personas de 6 años en adelante.

De acuerdo a este estudio alrededor del 59% de las personas que usan internet en México actualmente llevan más de 8 años siendo internautas, sin embargo aún existen brechas importantes en cuanto al tipo de acceso y la cobertura que los proveedores de servicio de internet tienen la capacidad de brindar a la diversa población del país donde la cifra de personas activas en internet actualmente equivale al 70% de sus habitantes.

Mencionar estas cifras resulta relevante en un país cuyas políticas en materia de seguridad y desarrollo nacional están cada vez más perfiladas hacia promover el acceso a internet y banda ancha “como servicios fundamentales para el bienestar y la inclusión social”, como estipula el Plan Nacional de Desarrollo 2019-2024; donde el gobierno de Andrés Manuel López Obrador declara que buscará que el 95% de la población de México tenga acceso a internet al finalizar el sexenio.

A pesar de esta propuesta, en el país aún existen conversaciones pendientes en torno a la Estrategia Nacional de Ciberseguridad que, como señaló Candy Rodríguez, en un contexto donde el mismo Estado ha incurrido en el uso de tecnologías de vigilancia para perseguir a actores clave en fomentar la participación ciudadana, exigir rendición de cuentas e informar a la ciudadanía: es fundamental contar con un documento que permita entender cuál será enfoque en materia de seguridad digital al que se ceñirá esta administración.

En una nota para Proceso, Neldy San Martín apuntó que “el plan estipula que la cobertura de internet se garantizará mediante la instalación de internet inalámbrico en carreteras, plazas públicas, centros de salud, hospitales, escuelas y espacios comunitarios, sin dar detalles de plazos ni la forma en la que se pretende hacer esto.” Lo cual nos remite a pensar que si bien existen posibilidades para ampliar el acceso a la red, no es claro el camino que seguirán… Como tampoco lo son las políticas en cuanto a la seguridad de dicho acceso o las protecciones a la privacidad de las personas que accedan a internet mediante estas redes públicas.

Con la puesta en marcha de la Guardia Nacional militarizada, una medida señalada por las controversias que presenta ante la falta de regulaciones firmes que eviten que se institucionalicen -y de este modo legitimen- medidas que vulneran los derechos fundamentales de las personas en México, como apuntó el representante de la ONU-DH, nos queda preguntar cuál será el rumbo que tomarán las políticas públicas en materia de seguridad digital en el marco de las promesas realizadas por la actual administración.

Si bien se ha ganado cierto terreno en materia de rendición de cuentas y transparencia desde la labor monumental realizada por integrantes de organizaciones no gubernamentales y la sociedad civil, aún no se han resuelto los procesos para castigar a los actores responsables del abuso de la fuerza y los recursos de inteligencia del Estado que, ante recientes revelaciones, continúan promoviendo el clima de violencia contra las posturas disidentes y la libertad de expresión en el país a través del abuso de las tecnologías de espionaje.

¿Estamos viviendo la calma antes de la tormenta o nos encontramos en el ojo del huracán? En un país donde la violencia parece escalar día con día y el gobierno muestra desinterés por acabar con la impunidad donde se enmarca, es importante mantener una postura firme en torno a la defensa de los derechos humanos en cualquier terreno donde sean menoscabados: es momento de romper el silencio respecto a las medidas para proteger a la ciudadanía y agilizar la rendición de cuentas pendientes.

Protocolos para una internet libre y segura

¿Podemos imaginar una internet feminista? Imaginar es un primer paso, el siguiente podría ser darle forma y estructura, desarrollar los códigos, adecuarlos a los soportes más apropiados y diseñar las interfaces necesarias para que sea comprensible y accesible para un mayor y más diverso número de personas. Y luego hacerle mantenimiento permanente, para que se mantenga activa y segura.

Imaginar es potente y, sin duda, para muchas personas tradicionalmente discriminadas por su condición de género, etnia o clase, internet ha sido una posibilidad y una oportunidad de imaginar una sociedad distinta, más incluyente, justa y libre. Y sobre todo, para imaginarla con otras, sin importar la distancia geográfica o las diferencias sociales y culturales de por medio.

Por suerte, desde hace tiempo también ha habido personas imaginando y construyendo alternativas técnicas para que estos modelos ‘otros’ de sociedad habiten también en internet. Esto es, que la red no sea más un escenario de extensión de las violencias y desigualdades estructurales, sino un espacio de denuncia y transformación. Pero, ¿puede internet transformar la sociedad?

Esta pregunta es parte central del RFC 8280 en la IETF. Desde octubre de 2017, este documento ha servido como guía inicial y general para analizar el impacto que tienen los estándares y protocolos de internet sobre los derechos humanos, aunque todavía hay bastante por explorar sobre la manera como los protocolos impactan a distintos grupos sociales alrededor del mundo. Para hacernos una idea general de lo que estamos hablando, hace un tiempo escribimos sobre qué es IETF y los protocolos de internet, y por qué son importantes para nuestros derechos.

Cuando hablamos de violencia en internet, nos referimos a la extensión de formas tradicionales de violencia y discriminación, que en internet se perpetúan y se renuevan gracias a las posibilidades técnicas que permiten el registro permanente, junto con la difusión masiva e inmediata de contenidos. Y aunque esté en el espacio virtual, esta violencia es real, tiene impactos reales sobre la salud física y emocional de las personas que la enfrentan. Ahora, ¿es posible eliminar la violencia digital, mientras las formas estructurales de violencia se mantienen?

La respuesta es un rotundo no, matizado con los esfuerzos conjuntos que, en los últimos años, ha emprendido el movimiento feminista a nivel mundial, para erradicar las violencias dentro y fuera de línea. Para eliminar las violencias que ocurren en las redes sociales, por ejemplo, es necesario ajustar el diseño mismo de dichas redes, los mecanismos de regulación de contenidos así como los algoritmos y criterios sobre los cuales se procesan nuestros datos.

Junto con Article 19, hace poco comenzamos a desarrollar un documento que, tomando como referencia general los Principios Feministas de Internet, permita analizar y proponer recomendaciones sobre los impactos de los protocolos en grupos tradicionalmente discriminados y marginados. La primera versión del borrador sobre feminismo y protocolos fue presentada ayer durante la sesión del Grupo de Investigación sobre Consideraciones de Derechos Humanos y Protocolos (HRPC-RG) en la IETF104.

Nuestra propuesta es, de una parte, revisar la manera como se ha considerado el género, la diferencia y la diversidad en los documentos (Internet-Drafts y RFCs) que se desarrollan allí, al tiempo que incluimos casos concretos -a partir de cada Principio– para analizar cómo ciertos protocolos pueden tener impactos positivos o negativos sobre grupos sociales discriminados y marginados.

Creemos que es buen momento para plantear estos asuntos -y en estos términos- en una comunidad técnica cuyo objetivo central es “correr códigos que funcionen” para hacer una mejor internet. Sabemos que el camino apenas comienza, que será largo y quizás complicado, y esperamos que más personas se sumen a construir, desde aquí también, una internet feminista.

Por lo pronto, el próximo martes 2 de abril estaremos en el Internet Freedom Festival 2019 conversando más a fondo sobre este proceso, compartiendo ideas y trazando puentes. Esperamos que nos acompañen 😉

Directiva de Derechos de Autor de la UE: avanza la internet filtrada en Europa

El Parlamento de la Unión Europea está próximo a votar una nueva directiva para regular los derechos de autor en el entorno digital, tras una negociación en “triálogo” que acordó un texto final de la propuesta de Directiva sobre los derechos de autor en el mercado único digital.

Aunque a la distancia pareciera un avance de la regulación y de la negociación, basta acercarse un poco para darse cuenta de que es realmente la imposición de obligaciones absurdas para los proveedores de servicios en línea que incluye la exigencia de filtros automatizados para las subidas de contenidos, el pago de un “impuesto al enlace” por publicar fragmentos de noticias en agregadores y la necesidad de acuerdos con ciertas industrias de contenido. Arriesgando así el desarrollo de la internet abierta, interoperable y global en los países de la Unión Europea en nombre de los derechos de autor.

Camino a la internet “filtrada”

A pesar de que la intención de actualizar la Directiva 2001/29/CE llevaba algunos años, la introducción del proyecto de un Mercado Único Digital para la Unión Europea dio pie a la revisión de los marcos normativos vigentes. En septiembre de 2016, la primera propuesta de la Comisión Europea fue sujeta a revisión en varias ocasiones con serios cuestionamientos a su contenido y pasó ser votada por el Parlamento Europeo para convertirla en directiva a mediados de 2018.

Intensas campañas como #SaveYourInternet, cartas abiertas de expertos en tecnología y en derecho (incluyendo a figuras como Vint Cerf y Tim Berners-Lee), medidas dramáticas como el cierre temporal de Wikipedia, e incluso la intervención del Relator Especial para la Libertad de Expresión de la ONU, David Kaye, en contra de la iniciativa. La razón principal: el riesgo que la propuesta significaba para el desarrollo de internet, la participación de incontables internautas en la formación de una cultura digital de creación y recreación activa en comunidades accesibles a través la red. La presión tuvo éxito y, en julio de 2018, el Parlamento Europeo rechazó avanzar a la etapa de negociación y reabrir el debate meses después.

Sin embargo, el éxito en la defensa de internet fue efímero. En septiembre se reabrió el debate con un texto actualizado, sin mejoras sustantivas que hicieran cambiar el rechazo de actores relevantes de internet pero fue aprobado por amplia mayoría, dando pie a las negociaciones que acaban de terminar. Si tanto el Parlamento Europeo como el Consejo de la UE y la Comisión Europea aprueban el texto acordado, habrá una nueva directiva. Cada país de la UE deberá entonces implementarla en su legislación local.

Rompiendo internet en nombre del copyright

Desde el inicio la discusión se ha centrado con mayor fuerza en dos disposiciones específicas de la propuesta actualizada. Una de ellas, el artículo 11, conocido como el que impondría en la UE un “impuesto al enlace” creando un derecho para los editores de prensa para autorizar o prohibir la reproducción de fragmentos en agregadores de noticias de plataformas comerciales como Google News. Se trata de una solución que ya demostró ser un fracaso: en España Google News dejó de funcionar tras la aprobación de una ley que imponía un cobro irrenunciable a favor de los editores locales, lo que significó menor tráfico y la anulación del canon por el Tribunal Supremo tras reconocer la inoperancia de la iniciativa.

El caso más polémico es del artículo 13, que establece la obligación de revisar anticipadamente todo el contenido que las plataformas reciban de sus usuarios para prevenir la presencia de material infractor de derechos de autor. Según el mismo, los sitios que almacenan, optimizan y difunden contenidos provistos por usuarios con fines comerciales (como YouTube o Instagram) se consideran responsables por esos contenidos si son infractores de derechos de autor. El propósito es que las plataformas obtengan licencias de los titulares de derechos a modo de autorización y -a falta de licencias- realizar los “mejores esfuerzos” para prevenir la presencia de material no autorizado. Por cierto, existen en principio excepciones a esa responsabilidad para ciertos contenidos (como memes, parodias y otras limitaciones legales) y excepciones de las obligaciones para ciertas plataformas de menor tamaño. Pero eso no reduce la complejidad e inintelegibilidad del sistema, ni es un contrapeso efectivo a sus sesgos a favor de los derechos humanos.

En la práctica, la única forma eficiente de cumplir con la obligación principal del artículo 13  –a pesar de la negación de algunos promotores de la propuesta– es mediante filtros automatizados de baja precisión y dudosa viabilidad técnica. Por una parte, no existe uniformidad en las excepciones legales a los derechos de autor; por otra, las máquinas no están todavía capacitadas para distinguir un contenido infractor de uno que no lo es. Los yerros del sistema, en consecuencia, deberán ir por el lado de la censura de contenidos para prevenir responsabilidades. Las únicas formas de evadir ese riesgo serán mediante el cumplimiento de condiciones estrechas que no fueron diseñadas para ser cumplidas, o la adquisición o desarrollo de sistemas como el ContentID de YouTube, de costo prohibitivo para la mayor parte de las empresas que no son gigantes de internet.

Internet como espacio de intercambio de ideas, conocimientos, creatividad y memes, así como oportunidad para la innovación, se encontraría bajo riesgo constante para quienes no sean hoy poderosos miembros incumbentes de su economía.

Un mal modelo

Ignorando las críticas, la propuesta europea se mantiene como una amenaza concreta y próxima al ejercicio de los derechos fundamentales a libertad de información, la libertad de expresión, la participación en la vida cultural, la innovación y mucho más. Asimismo, su probable aprobación conllevaría una consolidación de las plataformas ya exitosas, como también la posibilidad de que varias de ellas dejen de operar en un entorno normativo asfixiante para la actividad de las usuarias. Es decir, el cumplimiento de las reglas propuestas podría ser más sencillo simplemente aislando a la UE de la internet mundial, volviéndola (aún más) diferenciada según la zona geográfica y restando el impacto global de las comunicaciones globales. O bien, en el peor de los casos, puede significar el sometimiento de toda la red a las peores reglas vigentes que pudieren ser objeto de fiscalización o sanción, extendiendo el alcance de la directiva.

Aún si ello no ocurre, el resto del mundo no está en mejor pie. En América Latina, los ejemplos de regulación de la responsabilidad de intermediarios son escasos y poco alentadores. Al positivo aunque limitado sistema aprobado en Chile, y el restringido marco ofrecido por el Marco Civil de internet en Brasil, le siguen noticias como la fallida regulación de la responsabilidad de intermediarios en Argentina, y el penoso compromiso de una reforma en línea con la DMCA en México.

Es quizás cuestión de tiempo para ver iniciativas tan malas o peores que las de la UE en nuestros países. Para la supervivencia de una internet abierta y global (y ojalá también libre, inclusiva y democrática), la lucha contra intentos regulatorios nefastos se mantiene vigente en todo el planeta.

DDHH en la primera línea de internet

En noviembre de 2015 el Gobierno de Chile hizo pública su Agenda Digital 2020, cuyo objetivo es desarrollar las capacidades tecnológicas, en todos los sectores y territorios, que permitan insertar al país en la Sociedad de la Información.

Dentro de los cinco ejes que componen la Agenda se contempla, como una de las medidas de Gobierno Digital, el desarrollo una Política Nacional de Ciberseguridad (en adelante PNCS) para Chile, la cual fue presentada por el Comité Interministerial sobre Ciberseguridad (CICS) a finales de 2016.

Pero el documento presentado no es, en sentido estricto, una política de ciberseguridad como se ha solido entender: dista de documentos como el de Estados Unidos o los de países europeos, pues Chile no cuenta con una legislación desarrollada en estas materias. Más bien se trata de una propuesta programática, un conjunto de medidas políticas y legislativas que deben implementarse para contar con una política funcional de ciberseguridad: proyectos de ley, políticas educativas y metas generales de desarrollo del país.

Sin embargo, la PNCS sí contiene diferentes directrices en áreas tradicionales y considera dentro de ellas el mandato del Estado de velar por los derechos fundamentales de las personas en el ciberespacio. Este es quizás uno de los pilares de la nueva política, porque varias son las amenazas que enfrenta la ciudadanía en el área de la seguridad digital: desde cibercrimen, políticas empresariales que no respetan los derechos de las personas en la gestión de datos, brechas de datos en organismos públicos y privados.

Como ciudadanas y ciudadanos nos encontramos expuestos a un gran número de riesgos respecto a los cuales, tanto el sector privado como público han de aunar esfuerzos para desarrollar un entorno digital que respete nuestros derechos, siendo la PNCS el instrumento que guíe tales esfuerzos.

Es en esta línea, han sido varias las declaraciones e instrumentos que han indicado la manera en que la relación entre ciberseguridad y derechos humanos ha de ser llevada. El criterio más claro y general ha consistido en indicar el simple hecho de que las personas contamos con los mismos derechos en ambientes dentro y fuera de línea, y por tanto los Estados tienen la obligación de proteger nuestros derechos fundamentales en los dos ámbitos por igual. Esto sería aplicable también para organizaciones privadas con las que como ciudadanos debemos interactuar en internet.

Pero esta afirmación por sí sola no es capaz de dar cuenta de la complejidad del fenómeno de la seguridad digital, y en este sentido indica la PNCS que “(…) todas las medidas propuestas por la política se deben diseñar y ejecutar con un enfoque de derechos fundamentales, ¿qué debemos entender por enfoque de derechos fundamentales? No basta la simple afirmación de que son reconocidos y respetados dentro y fuera de la red.

En este sentido se han dado recomendaciones que dotan de contenido a esta expresión, señalando que implica comprender el desarrollo tecnológico a partir de los derechos fundamentales de las personas, a través de medidas concretas como:

(…) 4. El desarrollo y la implementación de leyes, políticas y prácticas relacionadas con la ciberseguridad deben ser coherentes con el derecho internacional, incluidas las normas internacionales de derechos humanos y el derecho internacional humanitario.

5. Las leyes, políticas y prácticas relacionadas con la seguridad no deben utilizarse como pretexto para violar los derechos humanos, especialmente la libertad de expresión, asociación, reunión y privacidad.

6. Las respuestas a los incidentes cibernéticos no deben violar los derechos humanos.

7. Las leyes, políticas y prácticas relacionadas con la ciberseguridad deben mantener y proteger la estabilidad y la seguridad de Internet, y no deben socavar la integridad de la infraestructura, hardware, software y servicios. (…)”

También la Comisión Europea ha señalado que el enfoque de derechos humanos constituye uno de los medios ideales para el desarrollo y cooperación internacional en materia de seguridad, dando directrices específicas para su desarrollo en ciberseguridad. Así, las políticas que posean un enfoque de derechos humanos han de tener entre sus objetivos la persecución de un fin legítimo, ha de ser necesaria, proporcionada y considerar remedios efectivos, entre otros.

Al examinar las medidas que contiene la PNCS chilena parte importante de las recomendaciones dadas en materia de derechos humanos se encuentran presentes en algunos de los instrumentos que hemos indicado y creemos que estos criterios son los que han de informar la manera en que Chile se aproxime a los derechos humanos y la ciberseguridad.

Lo anterior no solo para reafirmar el compromiso del país con los derechos humanos y su desarrollo, sino porque la ciberseguridad destaca por una complejidad creciente en el desarrollo técnico de los medios de protección de la información donde el enfoque de derechos humanos podría servir como herramienta para solucionar conflictos.

En diversos países hay instituciones como el NIST o ENISA que ofrecen estándares o directrices técnicas tanto al sector público como privado de protección de la información, pero junto con estas directrices las organizaciones privadas cuentan con normas propias de ciberseguridad como las ISO, o en el sector público hay normas especiales de gestión de la información del Estado hacia sus organismos.

Todo este desarrollo legislativo y técnico hace que la ciberseguridad sea un área en donde existe una gran dispersión de posibles criterios de solución, por lo que llegado el momento de considerar cual ha de prevalecer sobre el otro puede resultar algo complejo. El enfoque de derechos humanos nos otorga un medio para dar una mayor claridad sobre los problemas y cómo solucionarlos.

¿Qué se debería hacer, por ejemplo, en el caso de una brecha de datos? Hay varias soluciones, por ejemplo seguir la norma técnica de mantención del servidor, que prevalezcan las obligaciones del responsable de la base de datos que indica la ley, o sostener otro criterio particular al caso. Una solución que considere el enfoque de derechos humanos nos llevaría a preguntarnos en primer lugar cuál derecho humano se ve afectado, y de qué manera puede y/o debería haber sido protegido. Esto permite dar una meta clara de solución al problema de ciberseguridad presentado, orientando las posibles soluciones a las que podría llegarse en vista de la protección del derecho vulnerado.

Esta clase de consideraciones caben no solo frente a incidentes de ciberseguridad, sino también al desarrollo y diseño de políticas e infraestructuras relacionadas con ciberseguridad. Esto permite orientar de manera clara los objetivos y medios que se consideran en esta materia en conformidad a los derechos humanos, valiéndose no solo de lo establecido en el derecho nacional, sino en el derecho internacional. El enfoque de derechos humanos requiere, en definitiva, un giro en la manera en que las intervenciones en las diferentes materias son conceptualizadas e implementadas.

La relación entre derechos humanos y ciberseguridad es una de las cuestiones de mayor relevancia y complejidad que se avecina para Chile con una nueva ley de protección de datos en camino, y con las medidas de la PNCS en desarrollo. Es el momento de comenzar de buena manera las nuevas políticas y leyes en esta materia.