Temática: Privacidad

WhatsApp y la Unión Europea: ¿Descentralización de las comunicaciones digitales?

A diario nos comunicamos a través de WhatsApp: compartimos conversaciones con ex compañeros de colegio, decidimos sobre asuntos familiares y profesionales, vivimos el romance; muchas alegrías y tristezas suceden en esta plataforma. Casi todas las personas con un teléfono inteligente en América Latina utilizamos WhatsApp y somos más de 3 mil millones personas en el mundo.

Es así como Meta, dueña de WhatsApp, es responsable de las comunicaciones de gran parte del planeta. Es decir, una caída técnica, una prohibición de funcionamiento o un conflicto empresarial pueden tener consecuencias globales. Algo que ya ocurrió en el pasado y sobre lo cual reflexionamos en su momento.

Desde un punto de vista tecnopolítico, existe un problema de concentración de poder. Nuestras conversaciones fluyen a través de una de las aplicaciones de Meta. Si bien se supone que WhatsApp usa cifrado extremo a extremo, ya solo usar la aplicación implica entregarle nuestros metadatos. Esto quiere decir que nuestros contactos, con qué frecuencia hablamos con ellos, desde dónde y a qué hora, además de gran cantidad de información adicional, es recolectada por Meta por el simple hecho de usar sus servicios.

La concentración de poder no solo tiene implicancias en materia de privacidad. Por ejemplo, una aplicación de la cual dependen buena parte de las comunicaciones de la población podría verse amenazada por un conflicto geopolítico. Es decir, esta dependencia convierte a una herramienta de comunicación en un arma para el conflicto entre Estados.

A raíz de las revelaciones de Snowden, desde 2013 sabemos que EE. UU. utiliza las plataformas digitales de empresas estadounidenses para espiar las comunicaciones globales. Los embargos económicos de EE. UU. también implican restricciones en la adquisición de software a países como Cuba, Irán y Siria. Con estos antecedentes, cabe preguntarse: ¿qué pasaría si EE. UU. entrara en guerra con Europa a causa de Groenlandia? ¿WhatsApp funcionaría sin problemas para las personas europeas?

Este tipo de escenarios plantean preocupaciones globales que no son nuevas: desde distintas regiones y Estados del mundo existen múltiples intentos para tensionar la concentración económica, de datos y de poder en el entorno digital. En el caso de la Unión Europea (UE), tomaron la decisión de regular las plataformas digitales buscando establecer criterios y límites claros por medio de la Ley de Mercados Digitales (DMA por sus siglas en inglés).

Descentralizar la mensajería por ley

Los aspectos de concentración de poder, soberanía digital y privacidad, motivaron a la UE a crear la Ley DMA. Esta normativa busca regular a las empresas que dominan el mercado digital, denominadas en la legislación como “guardianes de acceso” (gatekeepers en inglés), para evitar abusos de poder, prácticas anticompetitivas y garantizar la interoperabilidad con plataformas más pequeñas. WhatsApp (Meta) fue designada como “gatekeeper” en 2023, entre otros motivos por tener más de 45 millones de personas usuarias activas al mes dentro de la UE. Esta condición le obliga a cumplir con los requisitos de la DMA, incluyendo la obligación de poder interoperar con plataformas más pequeñas.

La expectativa de una legislación de estas características es ambiciosa: permitir a las personas conversaciones a través de distintos servicios conectados. La consecuencia debería ser que quienes utilizan aplicaciones como Signal, Telegram, o plataformas europeas como Threema o Wire, se puedan comunicar con aquellas que tienen WhatsApp.

Sin embargo, la implementación conlleva una paradoja. La forma en la que está redactada la ley obliga a la plataforma que se quiere regular a que defina las reglas técnicas mediante las cuáles interactuaría con otras aplicaciones. La legislación estableció que hasta marzo de 2024, WhatsApp debía definir e implementar un plan para interactuar con otras plataformas. A fines de 2025, WhatsApp comenzó a interoperar con otras aplicaciones, pero solo con dos: Haiket y BirdyChat, recientemente creadas, y de las cuales se sabe muy poco.

Aplicaciones como Signal o Threema se oponen a la interoperatividad planteada por la DMA. Las dos empresas sostienen que su enfoque en favor de la privacidad y seguridad podría verse vulnerado al interactuar con otros proveedores ya que, de esta manera, no pueden asegurar el cuidado de los datos cuando pasan a manos de proveedores como WhatsApp. Al ser aplicaciones con bases de usuarios más pequeñas que WhatsApp, no son vistas como “guardianes de acceso” y por lo tanto no tienen obligación de cumplir con la DMA.

La ley podría así lograr que WhatsApp se conecte con aplicaciones irrelevantes, mientras que sus competidores más sólidos se mantienen al margen, dejando su dominio prácticamente intacto.

Los estándares abiertos y la idea de federación

Lo que la UE quiere hacer con WhatsApp es muy parecido a lo que se conoce como federación: un sistema donde plataformas independientes pueden comunicarse entre sí usando estándares abiertos. Un ejemplo es el correo electrónico: las personas que usan Gmail pueden comunicarse con otras que utilizan casillas de Outlook, Protonmail u otro proveedor. Si bien Gmail, con 1800 millones de usuarios, es un actor dominante en el terreno del correo electrónico, no es quien pone las reglas sobre las cuales se comunican los otros proveedores. Esto es posible gracias a protocolos consensuados como el “Protocolo Simple de Transferencia de Correo” (SMTP en inglés), sin la necesidad de intervención estatal.

Hay una diferencia clave: el correo electrónico surgió de la colaboración voluntaria entre desarrolladores que construyeron internet, acordando reglas para un sistema de correspondencia digital asincrónico y federado que previamente no existía.

Siguiendo la tradición de estándares federados, a inicios de este siglo surgió el “Protocolo extensible de mensajería y comunicación de presencia” (XMPP en inglés), inspirado en el servicio de correo electrónico donde las cuentas son del tipo usuario@dominio.com. Se trata de un protocolo conocido y utilizado por comunidades como las del software libre. Hasta 2013, Google Talk, el chat de Gmail en ese momento, implementaba este mecanismo mediante el cual una cuenta de Gmail podía comunicarse con cuentas de chat alojadas en servidores más pequeños y diversos.

Curiosamente, WhatsApp utiliza una versión modificada de XMPP conocida como FunXMPPque está optimizada para las necesidades de la aplicación y que además desactiva las funcionalidades de federación.

De todas formas, XMPP no es la única opción para comunicaciones de chat federadas. En 2014 se empezó a construir el protocolo Matrix con características similares a XMPP, pero con el cifrado extremo a extremo desarrollado como parte fundamental del protocolo, con el fin de cuidar su seguridad. En la actualidad, en Derechos Digitales utilizamos este estándar como la base de nuestra oficina virtual en un servidor manejado por nuestro equipo técnico. Incluso nos podemos comunicar con otras organizaciones que también van por el mismo camino: la apropiación de nuestras comunicaciones.

XMPP y Matrix no son protocolos perfectos y tienen muchos aspectos por mejorar. El primero tuvo un desarrollo lento y el soporte de chat cifrado entre extremos no fue adoptado por todos los servidores y clientes. Matrix resuelve el problema de cifrado extremo a extremo, pero también podría mejorar para establecerse como un estándar oficial. Igualmente, estos aspectos no opacan su relevancia como protocolos abiertos que sostienen el espíritu de la comunicación descentralizada y abierta que caracteriza a internet.

Fortalecer protocolos y estándares para una soberanía tecnológica

El intento de la UE apunta a fortalecer una internet más descentralizada y con menos concentración de poder en pocas empresas. Más allá de una perspectiva política, la apuesta refleja preocupaciones técnicas profundas sobre la resiliencia de las comunicaciones digitales a través de la independencia tecnológica, el cifrado y la interoperabilidad. Si bien representa un avance significativo, aún quedan dudas sobre la estrategia de dar el control sobre la forma de federarse a las aplicaciones que se quieren regular.

Por otro lado, las soluciones basadas en estándares abiertos, como XMPP y Matrix, ayudan a poner las mismas reglas para todas las aplicaciones que implementan el estándar. Es decir, en lugar de que WhatsApp defina cómo se comunica con el resto, el estándar abierto define las reglas por las que todas las partes se comunican entre sí. De esta manera, no se le da un poder especial a la aplicación que se pretende regular, similar a lo que sucede con el correo electrónico y Gmail.

Moverse a un sistema federado tiene ventajas como la independencia de proveedor, eliminar un único punto de fallo y la posibilidad de tener infraestructura propia para nuestras comunicaciones. También nos presenta retos: los organismos de estandarización técnicos deben acordar las actualizaciones de los estándares a futuro.

En América Latina, nuestros gobiernos ni se asoman a este tipo de discusiones, y somos pocas las comunidades que estamos reflexionando sobre estos temas. Sin embargo, los estándares abiertos están disponibles, y si organizaciones como Derechos Digitales pueden tener su propio servidor de chat federado, seguramente muchas otras también puedan emprender el mismo camino hacia una soberanía tecnológica cada vez mayor.

El negocio del iris: Colombia marca un precedente regional al frenar las operaciones de World Foundation y Tools for Humanity

El pasado 3 de octubre, la Superintendencia de Industria y Comercio (SIC) de Colombia, autoridad en materia de protección de datos personales, ordenó el cierre inmediato y definitivo de las operaciones de World Foundation y Tools for Humanity, por incumplir la legislación nacional de protección de datos. Además, les impuso la obligación de eliminar toda la información personal sensible bajo su custodia.

World Foundation, organización sin fines de lucro, administra el sistema de verificación de identidad basado en el iris conocido como World ID. Tools for Humanity, su socio operativo y compañía privada, es la creadora del Orbe -el dispositivo esférico de escaneo ocular-, además de la billetera digital World App y la criptomoneda Worldcoin (WLD).

Estas tecnologías, impulsadas por actores -entre ellos Sam Altman, CEO de OpenAI– con intereses que van desde lo social hasta lo comercial, convergen en una misma propuesta: construir una “prueba de humanidad” segura y anónima, un sistema capaz de distinguir a las personas reales de los bots en la era de la Inteligencia Artificial Generativa (GenAI), también promovida por el propio Altman.

En 2024, World -nombre que agrupa tanto a la fundación como a su rama con fines de lucro- inició operaciones en Colombia, llegando a 17 ciudades. Su desembarco se enmarcó en un intenso lobby ante la SIC, en un intento por demostrar la compatibilidad de su modelo de negocio con la legislación local.

Sin embargo, la llamada “prueba de humanidad” ha estado lejos de ser un modelo de negocio pacífico. Autoridades de protección de datos en Argentina, Alemania, Corea del Sur, España, Francia, Filipinas, Hong Kong, Kenia, Portugal, Tailandia, Italia, Perú y más recientemente Chile y Brasil, han alertado, investigado o suspendido total o parcialmente las actividades de ambas organizaciones. Las decisiones se tomaron principalmente por deficiencias en la información proporcionada sobre las condiciones del tratamiento de datos biométricos; recolección de datos sensibles de menores de edad sin el consentimiento de sus familias o tutores; e imposibilidad para que las personas titulares retiren o revoquen su consentimiento una vez otorgado.

El registro en el Orbe: un diseño técnico con profundas implicaciones jurídicas

El proceso de entrega de datos personales a World no ocurre en un solo momento ni bajo un único responsable: los datos atraviesan distintas etapas tecnológicas y jurídicas a lo largo de su ciclo de vida.

Primero, durante el registro inicial en la billetera digital (World App), se solicitan datos personales diversos: nombre, teléfono, correo electrónico, cuenta bancaria y otros metadatos asociados al dispositivo móvil. Información que es tratada por Tools for Humanity.

El registro permite localizar el Orbe más cercano y programar una cita para el escaneo. En esta fase, el dispositivo captura el iris y el rostro de la persona. La obtención masiva de este tipo de datos es el ingrediente clave para saciar el apetito de entrenamiento del algoritmo de World, que determina si uno es o no una persona humana. De esta información personal es responsable World Foundation.

Vale la pena añadir dos cuestiones en esta fase. Por una parte, que el escaneo del iris se transforma en menos de 10 segundos: la imagen del iris y rostro se convierte en un código hash cifrado, basado en un protocolo de blockchain, o sea, en una larga hilera de números y letras. Esto es así para dar mayor seguridad y privacidad a los datos, según World. Y por otra, que el hash cifrado se fragmenta y almacena entre terceros, es decir, se descentraliza su custodia con el objetivo de dar mayor seguridad y confianza, pues evita la concentración de información en un único actor.

Cuando el registro es exitoso, la persona usuaria recibe en su billetera un depósito de 10 WLD, equivalentes a aproximadamente 50 USD (unos 200 mil pesos colombianos). De este proceso se desprenden varios puntos críticos:

  • En la descarga y registro en World App, persiste el tratamiento de datos personales. Estos datos no son anonimizados, por lo que el titular conserva el ejercicio de sus derechos de actualización, rectificación, cancelación y oposición (ARCO).
  • En el Orbe, los datos personales dejan de serlo en cuestión de segundos. Por la velocidad con que acontece dicho proceso, World ha reconocido ante otras autoridades –como la de Brasil– que resulta técnicamente imposible retractar el consentimiento después del escaneo del iris.
  • Si la imagen del iris es efectivamente anonimizada, los responsables de su tratamiento no estarían, en principio, sujetos a la legislación de protección de datos, pues los datos dejarían de identificar o hacer identificable a su titular. Eso sí, se debe probar que ese proceso es irreversible, efectivo y permanente.
  • El cifrado, que protege la información de accesos no autorizados, es un componente que debe permear todo el ciclo de vida del dato, sea personal o no.

El análisis de la SIC: políticas de tratamiento y consentimiento

La SIC evaluó la compatibilidad de las políticas de tratamiento de datos de World App y World ID con la Ley 1581 de 2012, y llegó a estas conclusiones: no están disponibles en su mayoría en idioma español, no identifican un responsable del tratamiento en Colombia, no ofrecen mecanismos claros de consulta o queja, no especifican las finalidades del tratamiento ni los tipos de datos recogidos, y no contemplan procedimientos para ejercer los derechos ARCO. En el proceso ante la SIC emergieron dudas sobre la anonimización y el cifrado de los datos extraídos por el Orbe.

World no aclaró ante la autoridad las medidas de seguridad que aplica en esa tecnología de reconocimiento facial, donde las imágenes de los iris estarían más expuestas, ni ofreció pruebas claras de que el anonimato sea irreversible y efectivo, o que el cifrado se mantenga en toda el ciclo de vida del dato.

De hecho, un reporte de auditoría de 2024 del protocolo de cifrado de World, sugirió fallas críticas de seguridad que, según la SIC, no habrían sido solucionadas.

Ahora bien, si realmente se trata de información anonimizada, ¿cómo cambia esto las obligaciones legales de World Foundation y Tools for Humanity? Y, ¿qué deberes recaen sobre los terceros en quienes se descentraliza el almacenamiento de datos? Incluso antes de la anonimización, ¿cómo podría una persona titular ejercer el retracto o cancelación de su consentimiento una vez registrado en el Orbe? Y, ¿cómo obligar a World a garantizar ese derecho?

La SIC, por su parte, sostuvo que el código hash permitiría identificar o hacer identificable al titular del dato. De ser cierta esta afirmación, el proyecto World estaría poniendo en muy grave peligro el tratamiento de datos biométricos y fallando a la promesa detrás de su modelo de negocio.

También, la entidad determinó que las y los usuarios no otorgaron un consentimiento informado ni libre, no solo en razón a los defectos de las políticas de tratamiento de datos del proyecto World, sino a vicios en la libertad de acción de las personas: “el consentimiento que otorga el titular debe responder únicamente a su propia voluntad y no a la entrega de cualquier tipo de contraprestación que pueda condicionarlo” (p. 30).

Sobre este punto, vale la pena señalar que la autoridad brasileña de datos (ANPD) suspendió en ese país recientemente la entrega de criptomonedas por el escaneo del iris. En ese caso, World se defendió al calificar la entrega del WLD como un incentivo, no como una contraprestación. Una diferencia conceptual que la ANPD desvirtuó al señalar que, tratándose de personas vulnerables, los incentivos se convierten en salvavidas que terminan explotando los datos de quienes no tienen otra alternativa económica.

Ese enfoque habría enriquecido la decisión de la SIC, pues no deja de ser cierto que el despliegue de World se concentra mayoritariamente en países de rentas media y baja, y que sin ese “incentivo” no habría obtenido para enero de 2025 el iris de más de 10 millones de personas.

La estrategia de World: disputar lo procesal y fingir demencia

La respuesta de World Foundation y Tools for Humanity fue predecible: alegar violaciones al debido proceso, o sea, supuestos errores en la notificación de las decisiones de la autoridad que fueron remitidas a World Foundation, cuando la encargada de responder era Tools for Humanity, o viceversa. En este año y medio, sí se dieron por enteradas de cada respuesta y solicitud de la autoridad, como se lee en el proceso.

Frente a los requerimientos de la SIC sobre la legalidad de sus políticas de tratamiento, su defensa fue igualmente débil: afirmaron, entre otros, que la ley no los obligaba a detallar ciertos aspectos, como las medidas de seguridad aplicadas al tratamiento de los datos, o que hacerlo resultaba demasiado costoso, como designar un responsable local en Colombia. Argumentos que se derrumbaron por su propio peso, ¿a qué argumentos habrían acudido en 2024 en las acciones de lobby donde buscaban mostrar su adherencia a la norma local?

Las preguntas que quedan abiertas

Las incógnitas tras la decisión de la SIC son numerosas. Ambas organizaciones deben eliminar todos los datos personales obtenidos a través de World App y del Orbe, pero ¿cómo garantizarán que la información -incluso la que ha sido anonimizada- haya sido completamente retirada de los conjuntos de datos utilizados para entrenar a sus algoritmos? Y, ¿cómo se comprometerán a que no queden registros del código hash en manos de los “terceros de confianza”?

El caso de World en Colombia revela algunas de las grietas en el negocio de la “prueba de humanidad” que promete protegernos de los bots pero que termina, paradójicamente, enfrentándonos a un dilema más complejo: quién controla, con qué fines y bajo qué garantías, la prueba de que somos humanos.

Como quiera que sea, la decisión de la SIC marca un precedente relevante para América Latina pues nos remite de nuevo a preguntas que dejan de ser tecnológicas y se vuelven profundamente políticas: ¿cuál es el precio estamos dispuestos a pagar por demostrar que existimos? Y sobre todo, ¿cuál es la responsabilidad ética y jurídica de quienes generan “soluciones” tecnológicas inescrutables para problemas que en parte han contribuido en crear?

Filtraciones de datos: el costo ciudadano de la negligencia digital

Cada nueva filtración de datos parece encontrarnos igual: con indiferencia y resignación. No es apatía, sino cansancio. “Total, no tengo nada que ocultar, no soy tan importante”, es una de las frases más repetidas, que refleja cómo se ha instalado la idea de que la privacidad no importa. Esa resignación, alimentada por la negligencia de las empresas y entidades estatales que almacenan nuestros datos, está erosionando la confianza social y normalizando la idea de que la privacidad deje de percibirse como un derecho básico.

Se trata de un fenómeno que no surge de la nada. En lo que va del año, ya podemos constatar múltiples casos en distintos países de América Latina. En Argentina una app estatal comprometió 13 mil perfiles; en Uruguay se vendió una base de datos estatal con más de medio millón de registros; en México un ataque a una boletera dejó al descubierto datos bancarios de 80 mil personas; en Paraguay se filtraron más de 7 millones de registros del Tribunal Superior de Justicia Electoral; en El Salvador una gestora de cobros perdió más de 140 gigabytes de información de sus clientes; y en Venezuela se reportó la exposición de más de 3,2 millones de personas usuarias de Movistar. En estas filtraciones suelen aparecer datos como el documento de identidad, nombres, fechas de nacimiento, direcciones, teléfonos. Muchos incidentes incluyen además información sensible como fotografías, firmas, huellas, historiales médicos, registros laborales y socioeconómicos.

Desde el tecnicismo, estos campos se presentan como simples columnas en una base de datos, pero en realidad cada una de esas columnas corresponde a fragmentos de nuestras vidas: quiénes somos, dónde vivimos, cómo trabajamos y hasta qué padecemos. Reducir la información a tablas y registros invisibiliza que detrás de cada dato hay una persona con derechos que pueden ser vulnerados si su información personal queda expuesta.

Cuando la tecnología falla, las personas lo sufren

Tanto el sector privado como el público parecen estar en una carrera sin fin hacia la “innovación”, pero ¿qué valor tiene hablar de innovación si se construye sobre la exposición constante de los datos de la ciudadanía? Innovar no debería significar coleccionar más información de la necesaria ni esconder en la letra pequeña cómo se utiliza. Tiene que incluir el diseño de sistemas no solo funcionales, sino también seguros y accesibles, que no trasladen todo el riesgo a las personas. Mientras eso no ocurra, la llamada “innovación” seguirá siendo un discurso vacío, blindado a través de comunicados tardíos que llegan cuando el daño ya está hecho.

Las filtraciones permiten que datos que parecen administrativos se transformen en herramientas de delito. Con un número de documento, y otras informaciones básicas que suelen aparecer en un carnet de identidad, un delincuente puede solicitar préstamos o abrir cuentas bancarias a nombre de otra persona. Con direcciones y teléfonos filtrados, las extorsiones y estafas se multiplican. Esa información llegó a utilizarse incluso para inscribir a personas en partidos políticos sin su consentimiento, como ocurrió en el caso de la filtración de la base de datos del Reniec en Perú, el cual facilitó afiliaciones masivas a organizaciones políticas sin autorización ciudadana.

La mayoría de los ciberataques ocurridos entre 2023 y 2024 contra organizaciones latinoamericanas derivó en filtraciones de datos, que representaron el 53% de los casos. Más de la mitad de la información robada correspondió a datos personales (32%) y credenciales de cuentas (21%), revelando cómo el contenido filtrado es insumo para el delito digital.

No todas las personas enfrentan los mismos riesgos cuando sus datos quedan al descubierto. Las mujeres suelen ser blanco de violencia digital: acosadores que utilizan sus fotos o números de teléfono para hostigarlas, amenazarlas o enviarles contenido sexual. Niñas, niños y adolescentes quedan especialmente vulnerables a engaños en línea o a ser fácilmente identificables, lo que conlleva a riesgosas situaciones de trata y violencia infantil. Las personas defensoras de Derechos Humanos o pertenecientes a la comunidad LGTBIQA+ quedan expuestas a campañas de acoso y criminalización si su información personal se hace pública. En muchos casos esto ocurre a través del doxxing, es decir, la exposición maliciosa de datos personales en Internet. Las filtraciones masivas de bases de datos que luego circulan abiertamente en la web —ya sea en foros de la Darkweb o en canales de compraventa de Telegram— alimentan estas prácticas, amplificando el hostigamiento y poniendo en riesgo la garantía de derechos en general.

Los datos socioeconómicos filtrados también agravan la desigualdad: un historial de deudas o la procedencia de un barrio estigmatizado pueden bastar para que alguien sea descartado en un proceso laboral. Entonces, si miramos estas filtraciones solo como un problema técnico, pasamos por alto que en realidad refuerzan estructuras de discriminación y amplifican violencias que ya existen históricamente en nuestra sociedad.

Medidas urgentes para resguardar la confianza

Uno de los mayores descuidos suele ubicarse en el control de accesos: se debe garantizar que solo las personas autorizadas puedan acceder a los sistemas que almacenan nuestra información y que esos permisos deban ser revisados de forma constante y eliminados cuando ya no correspondan. No hacerlo puede derivar en situaciones graves. En un caso reciente en Perú, un extrabajador de una empresa de telecomunicaciones fue investigado penalmente porque delincuentes aprovecharon un acceso a su nombre que nunca había sido desactivado para ingresar a la base de datos personales nacional y, con esa información, suplantar personas, cambiar titularidad de líneas móviles y robar cuentas bancarias.

Para prevenir estos delitos, es necesaria la aplicación del principio de “mínimo privilegio”, es decir, que cada persona que trabaja en las entidades que almacenan nuestros datos tenga únicamente los accesos que necesita para cumplir su función, y desactivar de inmediato los accesos de quienes dejan esa institución.

Asimismo, la adopción de autenticación multifactor (MFA) en todos los accesos administrativos junto al uso de gestores de contraseñas, reduce significativamente el riesgo de intrusiones. La MFA consiste en combinar al menos dos métodos distintos de verificación, como por ejemplo: algo que sabemos (una contraseña), algo que tenemos (un celular o un token físico) y algo que somos (huella digital o rasgos faciales). No obstante, este último método -la biometría- actualmente no es una solución libre de riesgos. En Brasil, por ejemplo, se investigó un esquema que vulneró los sistemas de biometría del portal gov.br mediante técnicas de manipulación de imágenes, accediendo de forma indebida a datos personales.

Otra medida indispensable es el cifrado. En pleno 2025 todavía vemos bases de datos expuestas y archivos circulando sin protección, como si fueran documentos abiertos al público. Ese tipo de fallo de seguridad permitió la intrusión fraudulenta a los registros de más de 243 millones de personas en Brasil en 2020, cuando credenciales del Ministerio de Salud quedaron expuestas en el código fuente de una página oficial durante al menos seis meses. Toda información debe almacenarse cifrada y toda transferencia de información debe viajar por canales seguros, como ocurre con las páginas web que usan HTTPS en lugar del inseguro HTTP.

La seguridad exige constancia: auditar accesos, detectar patrones anómalos como consultas masivas o fuera de horario y mantener registros verificables. Cada ingreso debe quedar trazado y cada alerta investigada a tiempo, porque no sirve reaccionar cuando el daño ya está hecho. La ciudadanía tiene derecho al resguardo de sus datos y su privacidad y no solo a que se informe livianamente después de un incidente. Cada registro ignorado o cada log sin revisar es, en realidad, una decisión sobre cuánto valoran las instituciones la confianza pública.

Tan importante como proteger los sistemas es cuestionar la cantidad de información que se recolecta. Muchas filtraciones se podrían haber evitado si las organizaciones no hubieran almacenado más datos de los necesarios. Guardar copias indefinidas de documentos, recolectar información sensible “por si acaso” o para generar publicidad, no establecer plazos claros de eliminación, todo esto multiplica los riesgos.

De todas formas, ninguna herramienta sustituye a una cultura de seguridad que ponga a las personas en el centro. Una capacitación en seguridad digital de media hora una vez al año no forma conciencia ni previene errores. Las instituciones necesitan contar con una política de seguridad digital, dotada de equipos profesionales preparados, protocolos claros y un compromiso real desde la dirección hasta el último nivel operativo. A menudo vemos gastos millonarios en sistemas de seguridad, pero la tecnología por sí sola no es suficiente si no se acompaña de procesos claros de prevención, detección y respuesta, y de especialistas capacitados que entiendan que están protegiendo a personas, no solo datos o dispositivos.

Cuando la ley no alcanza

Varios países de América Latina cuentan hoy con leyes de protección de datos personales y autoridades de regulación. Sin embargo, los casos recientes demuestran que lejos de resolverse, esta problemática se vuelve recurrente en nuestra región: tanto empresas como entidades estatales vuelven a tener filtraciones que afectan a millones de personas. El marco regulatorio, aunque necesario, se muestra insuficiente si no existe la capacidad y voluntad de hacerlo cumplir.

Proteger los datos es un deber político y ético. El Estado debe garantizar derechos y construir confianza ciudadana, y las instituciones -públicas y privadas- asumir que detrás de cada registro hay vidas humanas. Mientras nuestra región no entienda que la privacidad es parte de la dignidad, seguiremos tratando las filtraciones como simples fallas técnicas, cuando en realidad evidencian la falta de compromiso público con la protección de derechos.

Datos, privacidad y nuestra huella digital

Tuve la suerte de experimentar con computadoras desde niño en la década de 1980. En esa época la información se guardaba en disquetes, primero los de 5 ¼, luego los de 3 ½. El disquete de mayor capacidad no podría almacenar una sola foto de la que tomamos hoy en día con un teléfono móvil. Sin embargo, en ellos guardábamos videojuegos -lo que más me gustaba en esa época-, archivos de texto y hojas de cálculo. Si bien era poca la información que estos dispositivos almacenaban, las personas eran muy conscientes de su importancia y era común tener varias copias de un documento en distintos disquetes. Con el tiempo, la capacidad de almacenamiento se incrementó y las computadoras personales empezaron a traer discos duros donde se podía guardar mucha más información. Eso sí, era importante respaldarla en disquetes porque la computadora podía dañarse con virus o con alguna descarga eléctrica.

Ya en los 90 se popularizaron los discos compactos (CD por sus siglas en inglés), primero para música y luego para software más complejo que podía almacenar mucha más información. La capacidad de un solo CD era equivalente a la de, aproximadamente, 484 disquetes y la disponibilidad de espacio facilitó la popularización, entre las personas usuarias de ese entonces, de la grabación de multimedia, como música, fotos y videos. Durante esa época, algunas personas tuvimos la suerte de conectarnos a internet, a través de la telefonía fija de las casas utilizando el sistema de dial-up. Si bien las conexiones eran muy lentas, y el contenido multimedia limitado, algo importante empezó a cambiar en relación a la gestión de nuestra información y todavía no teníamos noción de esto: nuestros datos se comenzaban a guardar de manera remota.

En sus inicios, utilizábamos internet para aprender, investigar y comunicarnos. El correo electrónico era la principal forma de comunicación y, a finales de los 90, si no tenías un correo de Hotmail, era de Yahoo, aunque había otros también. Sin embargo, lo que tenían en común esos sistemas era que su capacidad de almacenamiento era limitada y los buzones de correo se llenaban rápidamente, por lo que había que vaciarlos y respaldar localmente la información que considerábamos importante. Esto empezó a cambiar en 2004, cuando Google creó Gmail con una capacidad extraordinaria para el guardado comparado con el resto de proveedores de correo de la época: 1GB o el equivalente a 710 disquetes de 3 ½ . En pocos años, Gmail se convirtió en uno de los proveedores más populares y borrar correos electrónicos en algo del pasado. La capacidad de almacenamiento creció de manera similar del tamaño de los archivos multimedia que hoy son tan populares.

Con la popularización de los teléfonos inteligentes, pude vivir otra gran transformación: la integración directa entre mi información –como contactos, fotos, documentos y otros – y los servidores de las gigantes tecnológicas como Apple y Google. Esta costumbre de guardar la información en línea en servidores remotos fue adoptada por otras empresas y es lo que actualmente conocemos como “la nube”.

Durante los cerca de 40 años que llevo siendo usuario de la informática pude presenciar la transición del almacenamiento de forma local a remota. Cuando la información se guardaba de forma local sabíamos dónde estaba y éramos responsables de su cuidado. Cuando apareció la nube, cedimos esta información a terceros que guardan nuestros datos bajo criterios de acceso y respaldo que no siempre conocemos.

Somos datos, ¿dónde estamos?

Somos nuestros contactos, “dime con quién andas y te diré quién eres”. Somos nuestros chats, correos, fotos y videos que describen nuestra vida personal y profesional. Somos el lugar y la hora donde nos encontramos, lo que buscamos, lo que leemos, los likes que damos y los likes que no damos. Somos los documentos de texto, las hojas de cálculo y las presentaciones que hacemos. Somos las conversaciones que tenemos con la inteligencia artificial y muchos datos más.

Todos ellos se encuentran en la nube –lo que coloquialmente conocemos como la computadora de alguien más-. Google sabe lo que buscamos, nuestros correos electrónicos, ubicación, los documentos que escribimos y con quién colaboramos. Meta conoce nuestras interacciones sociales a través de plataformas como Facebook, Instagram o WhatsApp. Aquí citamos sólo dos ejemplos, pero vale la pena preguntarnos: ¿por qué estas empresas ofrecen tanto espacio para almacenar nuestra información de forma gratuita? Si para nosotras hay una ventaja clara en no depender de dispositivos frágiles o limitados, ¿qué beneficios obtienen ellas? ¿Cuál es el costo real de esta inesperada gentileza?

Hoy sabemos que estas empresas nos regalan espacio de almacenamiento porque esos datos les dan poder. Empresas como Google y Meta nos dan servicios “gratuitos” a cambio de nuestros datos, que luego utilizan para vender publicidad dirigida o generar nuevos productos que luego serán explorados económicamente. Desde hace algunos años estamos viviendo el boom de la inteligencia artificial, en particular de los modelos largos de lenguaje. ¿Nos hemos preguntado por qué aplicaciones como Gemini y ChatGPT saben lo que saben? Es muy probable que las hayamos estado entrenando con nuestros datos sin un consentimiento explícito.

Pero el uso comercial de nuestros datos por las gigantes de tecnología no es el único riesgo del modelo de almacenamiento en nube a nuestra privacidad. En 2013, Edward Snowden filtró documentos de inteligencia de EE. UU. que revelaron cómo este país y sus aliados utilizan la infraestructura de empresas como Google, Meta, Microsoft y Yahoo, entre otras, para espiar a sus usuarios. Ya pasaron 12 años desde estas filtraciones y si bien se han incorporado algunas protecciones adicionales a la información que circula en internet, lo más probable es que los datos almacenados en la nube sigan siendo espiados. Es más: es plausible pensar que el modelo se replica en otros contextos y la información almacenada en Tik Tok, Alibaba o Temu también sean accesibles por agencias del gobierno chino.

El éxito del modelo depende de las facilidades que puedan ofrecer en un contexto de abundancia (por no decir exceso) de información, versus la dificultad de tener mayor control. Pensemos en las fotografías que tomamos en nuestros teléfonos móviles. Por defecto, cuando se toma una fotografía, esta se sube a la nube de Google o a la de Apple. Personalmente, no quiero que mis momentos personales queden almacenados en una nube a la cual tienen acceso agencias de inteligencia de diferentes países del mundo. Es verdad que tanto Android como Apple permiten desactivar la característica de sincronizar nuestras fotos. ¿Pero qué pasa con las fotos donde aparezco, que fueron tomadas desde el celular de otra persona? ¿Mi exposición personal queda entonces dependiente de la consciencia de una persona desconocida? 

¿Qué podemos hacer?

Existen datos sobre los que podemos tener control de forma individual, otros que podemos controlar de forma colectiva y otros sobre los que no tenemos control directo. Para proteger nuestra privacidad, podemos pensar en almacenar la información privada de manera local. Si pensamos en un documento de texto, podemos utilizar herramientas como LibreOffice en lugar de Office 365 o Google Docs, que están conectados a las nubes de sus proveedoras. Si pensamos en fotos tomadas en nuestro teléfono, podemos desactivar la sincronización de las mismas, tanto en Android como iPhone.

Sí, gran parte de las buenas prácticas en gestión de información personal actualmente requieren resistir a las supuestas facilidades ofrecidas por los servicios dominantes y cambiar prácticas para lograr recuperar nuestra autonomía. Al almacenar la información de manera local, ganamos en privacidad, pero puede ser que, al menos al inicio, perdamos en conveniencia.

Podemos experimentar vivir la digitalización de otras formas. Por ejemplo, para respaldar las fotos y otros documentos de un teléfono, podemos utilizar el cable de datos para transferir la información a nuestra computadora y de la computadora podemos usar un disco duro externo para respaldar nuestros datos. También se puede acceder a soluciones más sofisticadas utilizando herramientas libres como Syncthing o mediante un servidor de archivos.

También podemos utilizar aplicaciones cifradas como Signal. Si queremos compartir más documentos, podríamos buscar nubes en las que confiemos o incluso utilizar nubes en las que no confiamos pero cifrar nuestros documentos con herramientas como Veracrypt.

En organizaciones o comunidades donde se cuenta con determinados recursos, se puede utilizar infraestructura propia y autónoma con herramientas de software libre. En el caso de Derechos Digitales, compartimos nuestros documentos a través de una instancia propia de  Nextcloud, los redactamos utilizando OnlyOffice o a través de pads. Nuestras conversaciones suceden a través de nuestra propia plataforma de chat cifrada y autónoma. En el caso de los correos, si bien no controlamos nuestro servidor, sí estamos en la capacidad de cifrar correos sensibles utilizando aplicaciones como Thunderbird.

Tener control sobre el lugar donde se almacena nuestra información o cifrar la información sensible en lugares que no controlamos es una forma de ejercer nuestro derecho a la privacidad. Lamentablemente eso no siempre es una tarea sencilla o posible. Por eso es que seguimos luchando para que cualquier recolección o uso de nuestros datos se haga en base a criterios muy bien establecidos de modo que se garantice el respeto y la protección de nuestros derechos. Y una forma de resguardar nuestra privacidad es defendiendo el cifrado, el anonimato y la privacidad por diseño, intentando alinear nuestra comodidad con el ejercicio de los Derechos Humanos.

Nuestras vidas suceden en el espacio digital y, por tanto, quedan documentadas. Entender dónde se almacenan es el primer paso para poder cuidar nuestros datos y nuestra privacidad. Es fundamental que la ciudadanía tenga una visión crítica de la vida digital y poder explorar alternativas tecnológicas que nos permitan retomar el control sobre nuestra información.

Privacidad en la mensajería: ¿cómo asegurarse de eliminar mensajes ante el riesgo de intrusión?

En la actualidad, más de 3 mil millones de personas usan activamente aplicaciones de mensajería en todo el mundo, y las cifran van en aumento. Si bien existe una gran variedad de alternativas con distintas características y funciones, la mayoría comparte elementos en común. Su popularidad varía geográficamente por regiones y también por países. A continuación, analizamos tres de las más relevantes: Signal, WhatsApp y Telegram.

Antecedentes: de la ausencia de privacidad hacia «alguna» privacidad

Más allá de su popularidad, las preocupaciones con la privacidad de las aplicaciones de mensajería –y las respuestas a tales preocupaciones– se han ido incrementando a lo largo del tiempo. Las revelaciones de Edward Snowden sobre vigilancia masiva son un hito clave en esta breve historia, una vez que ayudaron a popularizar el cifrado y otras medidas de protección como estándar.

En este contexto, y como fusión de los proyectos TextSecure y RedPhone, en 2014 nace Signal. El espíritu de esta nueva herramienta se centraba en proteger la privacidad de las comunicaciones, y en ese esfuerzo introdujeron el esquema de seguridad de cifrado de extremo a extremo. Si bien esta aplicación está delimitada por su uso en pequeños nichos o determinadas regiones del mundo (incluso al día de hoy muchas personas la desconocen), ella fue crucial para la introducción de un sistema de protección similar en WhatsApp, la aplicación de mensajería más popular en América Latina. Ante la creciente demanda por resguardar los intercambios de mensajes, la empresa más pujante del rubro tuvo la necesidad de aplicar un mecanismo de cifrado a la altura de las necesidades para no quedar obsoleta. Por ello, en 2016 WhatsApp integra el protocolo Signal para el cifrado de extremo a extremo por defecto para todas las personas usuarias.

Por su parte, Telegram, creada en 2013, no posee este esquema de cifrado de extremo a extremo por defecto en sus conversaciones, solo lo utiliza para los chats secretos. Esta plataforma aplica por defecto el cifrado entre cliente-servidor, lo que significa que, si bien los mensajes viajan cifrados, pueden ser legibles por la empresa o quien tenga acceso a sus servidores. En este sentido, el uso de canales comunes en Telegram es desaconsejado desde un punto de vista de protección de la privacidad.

Desafíos que persisten

El cifrado de extremo a extremo busca dar cuenta de la privacidad de las comunicaciones en tránsito, o sea, de cómo se protegen en el camino de un origen a un destino. Pero, ¿cómo garantizar la privacidad de las comunicaciones en aplicaciones de mensajería ante una intrusión física en el dispositivo?

La pregunta es válida para situaciones simples de extravío o pérdida, pero también en contextos de intervención policial o de intrusión a dispositivos por medio de software diseñado para eso. Ante el reporte de situaciones de abuso en tales acciones en la región y su riesgo para el ejercicio de Derechos Humanos, es fundamental conocer mecanismos para hacer valer el derecho a la privacidad en el uso de herramientas de mensajería.

Existen una serie de medidas que se pueden aplicar para mitigar estos riesgos, que abordamos anteriormente. Algunas son: utilizar contraseña en el dispositivo, contar con una clave de acceso para la aplicación, configurar el chat para mensajes temporales, entre otras. Presentes desde 2016 en Signal y desde 2020 en WhatsApp, los mensajes temporales pueden resultar una estrategia segura, pero solo funcionarán desde el momento en que el chat haya sido configurado para tal efecto.

Entonces, ante el peligro de intervención de un equipo, ¿cómo asegurarnos de que no puedan acceder a las conversaciones o, al menos, a algunas de ellas? La respuesta es simple, pero su implementación no tanto: eliminando esos mensajes. Si estuviéramos hablando de una carta que podemos destruir físicamente quizás la recomendación fuera obvia, pero en dispositivos digitales surge la legítima duda: ¿existe la posibilidad de recuperar un mensaje eliminado? Sí, bajo ciertas circunstancias se pueden restablecer conversaciones eliminadas. De ahí la necesidad de abordar algunos aspectos técnicos para garantizar que el ejercicio del derecho a la privacidad, en este caso, sea más efectivo.

WhatsApp: cómo eliminar mensajes de forma definitiva

Actualmente, existen dos formas de recuperar los chats eliminados: la recuperación de los respaldos en línea por un lado, y la copia de seguridad local de la aplicación, por el otro.

Una instalación típica de WhatsApp ofrece la opción de configurar un respaldo en línea utilizando Google Drive, para usuarios Android, o iCloud, en el caso de Iphone. Los respaldos de Android en Google Drive son únicos y se sobrescriben, es decir, no existen versiones históricas de los archivos. Si se desea que los mensajes no se puedan restablecer, es necesario eliminar el archivo en cuestión desde Google Drive.  

En el caso de Android se debe acceder a la cuenta en Google Drive, ir al apartado “Almacenamiento” y luego a “Copias de seguridad”. Ahí se encuentra el archivo de respaldo de la cuenta de WhatsApp identificado por el número telefónico. Si se desea que los mensajes no se puedan recuperar, se debe eliminar el archivo en cuestión. Es fundamental asegurarse de que el archivo eliminado no quede en la papelera de reciclaje; de ser así, también debe borrarse desde allí.

Además del respaldo en línea, WhatsApp utiliza copias de seguridad locales para posibles restauraciones. El esquema de respaldo local es incremental, es decir utiliza varios archivos para guardar el historial de las conversaciones de forma periódica. Las copias pueden ser encontradas en una carpeta cifrada ubicada en “Android/media/com.whatsapp/WhatsApp/Databases”. Dentro de este directorio encontraremos una serie de archivos cuya nomenclatura es “msgstore.db.crypt14*”. Para eliminar estos archivos de respaldo locales, y que estos no puedan ser recuperables, se debe usar una herramienta de borrado seguro como iShredder o bien conectar el dispositivo al computador y utilizar herramientas como Shred, disponible en la mayoría de las distribuciones GNU/Linux, Eraser para Windows o srm para macOS.

Cabe mencionar que todos estos procedimientos explicados solo aplican al dispositivo donde se ejecute el proceso. Es decir, si la otra persona a quien se dirigen los mensajes no los elimina, seguirá teniendo acceso a los mismos y permanecerán disponibles para terceros en el caso de una extracción o intrusión al dispositivo. También es necesario prestar atención a los mensajes temporales, cuya duración puede ser de 1, 7 o 90 días, pues, según explica WhatsApp, si crea una copia de seguridad antes de que desaparezca un mensaje, este se incluirá en la copia de seguridad.

Eliminar mensajes de WhatsApp definitivamente requiere de al menos esos tres pasos e implementarlos o no depende de la percepción de riesgo que pueda tener cada persona de estar sujeta a una intrusión indebida a sus comunicaciones personales. Aún así, como se ve, hay fragilidades que son intrínsecas al uso de este tipo de aplicaciones y la confianza en la empresa por detrás de la aplicación y en las terceras personas con quienes compartimos nuestras informaciones.

Borrar mensajes, resguardar derechos

Aunque pueda resultar una tarea compleja, y que requiere de varios pasos a seguir, la posibilidad de borrar mensajes de manera segura es una acción concreta hacia una mayor autonomía digital y una defensa efectiva de nuestros derechos. Así como en la vida real, es necesario que los entornos digitales nos provean de herramientas que nos permitan resguardar nuestro derecho a la privacidad en línea y que están accesibles para todas las personas.

Desde Derechos Digitales, sostenemos que la privacidad de las comunicaciones no es un lujo ni una cuestión meramente técnica: es una condición indispensable para el ejercicio de otros derechos, como la libertad de expresión, la organización social y la defensa de los Derechos Humanos. En América Latina, donde diversos Estados han desplegado prácticas de vigilancia sin control ciudadano ni garantías adecuadas, proteger nuestras comunicaciones digitales se vuelve urgente.

Análisis sobre el proyecto de Ley de Inteligencia en Ecuador

Descargar PDF

En la Asamblea Legislativa de Ecuador avanza la discusión del «Proyecto de ley orgánica de inteligencia» que, si bien busca responder a los retos que enfrenta el país en materia de seguridad nacional, propone un articulado que genera preocupación por su nivel de desprotección de los derechos humanos.

Rechazo al Proyecto de Ley Orgánica de Inteligencia, Inteligencia Estratégica y Contrainteligencia

Ecuador DM, 03 de junio de 2025

Las organizaciones firmantes expresamos nuestro rechazo categórico al Proyecto de Ley Orgánica de Inteligencia, Inteligencia Estratégica y Contrainteligencia, que actualmente entra en discusión en la Asamblea Nacional. Esta propuesta legislativa no responde a la urgente necesidad de fortalecer la seguridad en el país, sino que establece las bases para un sistema opaco, autoritario y profundamente lesivo a los derechos humanos, en una propuesta de ley que ha sido desarrollada entre el silencio mediático y las sombras.

En un contexto donde la inseguridad, el crimen organizado y la corrupción requieren respuestas integrales, coordinadas y democráticas, este proyecto no ofrece soluciones reales. Por el contrario, institucionaliza la impunidad, concentra el poder en el Ejecutivo y reduce al mínimo los mecanismos de control y fiscalización ciudadana y judicial.

Denunciamos que el proyecto:

1. Viola el derecho a la privacidad y al debido proceso: Al permitir el acceso a datos personales y comunicaciones sin orden judicial, se habilita una vigilancia masiva e inconstitucional sobre la ciudadanía.

2. Otorga impunidad a los agentes de inteligencia: Exime de responsabilidad penal, civil y administrativa a quienes cometan abusos en el marco de sus funciones, generando un sistema paralelo fuera del estado de derecho.

3. Impone una entrega obligatoria de información sin garantías: Obliga a instituciones, empresas y personas a entregar datos bajo amenaza legal, sin protección de confidencialidad ni posibilidad de oposición.

4. Legaliza el uso de gastos reservados sin fiscalización: Se establece el uso de recursos públicos bajo la figura de «gastos reservados», sin controles independientes ni auditorías externas, reproduciendo las mismas condiciones que permitieron escándalos de corrupción y espionaje político en el pasado (como con la extinta SENAIN).

5. Permite el uso político del sistema de inteligencia: Con un ente rector nombrado directamente por el Presidente y sin mecanismos de supervisión autónoma, el sistema puede ser fácilmente instrumentalizado para perseguir a críticos, opositores, periodistas y defensores de derechos.

6. Debilita la transparencia y la democracia: La clasificación arbitraria de información como “secreta” limita el acceso ciudadano y periodístico, erosionando la rendición de cuentas y alimentando la opacidad institucional.

7. Incumple estándares internacionales de derechos humanos: Desconoce el fallo Cajar vs.Colombia de la Corte Interamericana de Derechos Humanos, que exige proteger los datos personales en sistemas de inteligencia y garantizar derechos como la cancelación, corrección y actualización, reconociendo la autonomía informativa.

Este proyecto no combate la inseguridad: la profundiza

Implementar un aparato de inteligencia sin garantías de control, transparencia ni respeto a los derechos fundamentales no combate la violencia ni el crimen organizado. Lo único que asegura es más poder para el Presidente y el aparato estatal, menos vigilancia ciudadana, y más herramientas para el abuso.

La historia reciente de Ecuador demuestra que la concentración de poder y la opacidad en los sistemas de inteligencia no mejoran la seguridad, sino que alimentan el espionaje ilegal, la persecución política y la corrupción.

Exigimos:

  • El archivo inmediato del Proyecto de Ley;
  • La apertura de un debate público y participativo, con organizaciones de derechos humanos, periodistas, expertos en seguridad y sociedad civil;
  • La construcción de una política de inteligencia basada en controles democráticos, transparencia y respeto irrestricto a los derechos fundamentales;
  • El establecimiento de mecanismos efectivos de fiscalización y rendición de cuentas, incluyendo la eliminación de gastos reservados sin auditoría externa.
  • Un pronunciamiento urgente de la Superintendencia de Protección de Datos Personales respecto al contenido de este proyecto de Ley que pretende un acceso desmedido y sin consentimiento a datos personales.

No se combate la violencia entregando al Estado las herramientas para violar derechos.

No hay seguridad sin democracia. No hay democracia sin control ciudadano.

No a la impunidad.

Ciberpatrullaje: cuando vigilar se justifica en nombre de la seguridad

Seguridad digital ≠ Seguridad nacional

La narrativa de seguridad ha justificado el despliegue de vigilancia digital en varios países de América Latina. En Argentina, una resolución habilitó a las fuerzas de seguridad a monitorear redes sociales y otras fuentes abiertas, incluso con inteligencia artificial, bajo criterios ambiguos que permiten investigar “cualquier delito”. En Perú, se firmaron convenios para entrenar cibersoldados, en alianza con una empresa israelí, país cuestionado por sus tecnologías de vigilancia, importando modelos de guerra digital sin debate. En Colombia, el ciberpatrullaje es una práctica oficial de la Policía Judicial para recolectar información pública, sin garantías de proporcionalidad.

Aunque se presentan como medidas para prevenir delitos, estas prácticas han sido utilizadas para vigilar, judicializar o intimidar a personas por ejercer su libertad de expresión. En Argentina, un joven fue procesado por un tuit; en Bolivia, 37 personas fueron condenadas por supuesta participación en protestas; en Brasil, una sátira sobre Bolsonaro terminó en detención; en Uruguay, un adolescente fue arrestado por error tras una confusión en redes; y en México, la Guardia Nacional usó software israelí para rastrear a críticos del ejército. Todos estos casos documentados en el informe Perfilamiento en redes sociales y ciberpatrullaje como nuevas modalidades de la vigilancia masiva desplegada por los Estados: casos relevantes en América Latina, evidencian cómo el discurso de protección ha servido para legitimar formas de vigilancia contrarias a los derechos humanos.

El caso más reciente ocurrió en Venezuela, tras las protestas por los resultados electorales, el monitoreo de redes también fue utilizado para perseguir e intimidar a manifestantes y activistas.

OSINT y ciberpatrullaje: entre la búsqueda abierta y la vigilancia encubierta

Para entender cómo se aplican hoy las prácticas de vigilancia, es necesario observar el uso de la inteligencia de fuentes abiertas (OSINT por sus siglas en inglés) y su implementación en el ciberpatrullaje. La metodología OSINT consiste en recolectar y analizar información pública, como publicaciones en redes sociales, sitios web, imágenes, videos o metadatos, con fines investigativos. Su expansión se debe a que no requiere vulnerar sistemas protegidos: todo está a la vista. Pero esa accesibilidad no implica que su uso esté libre de consecuencias.

Si bien existen usos responsables y útiles de esta herramienta como el de Trace Labs -una organización que usa OSINT en plataformas colaborativas para ayudar a encontrar personas desaparecidas bajo protocolos y fines humanitarios- este tipo de iniciativas son excepcionales.  En la mayoría de países de la región, OSINT ha sido adoptado por fuerzas de seguridad bajo el argumento de proteger a la ciudadanía o prevenir amenazas, pero en realidad se usa para vigilar y perfilar a personas críticas del poder, periodistas y activistas. El perfilamiento implica recolectar, clasificar e interpretar datos para construir hipótesis sobre una persona: qué piensa, con quién se vincula o qué podría hacer.

El ciberpatrullaje amplifica esta lógica: es la práctica estatal del monitoreo del discurso en línea (y de las personas) con técnicas OSINT, en la mayoría de las veces sin notificación, sin supervisión ni protocolos claros. Su implementación no está orientada a la identificación de personas vinculadas a causas judiciales, sino que opera de forma masiva, permitiendo el perfilamiento de individuos por sus opiniones, afiliaciones políticas o participación en espacios sociales.  Sin embargo, tanto los perfilamientos como el ciberpatrullaje pueden derivar posteriormente en la apertura de causas judiciales. En contextos de desigualdad, estas prácticas golpean con más fuerza a mujeres activistas, comunidades indígenas, personas defensoras de derechos humanos o sectores populares. ¿Qué criterios se usan?, ¿cuáles son los límites? El problema no es OSINT en sí, sino cómo, para qué y contra quién se utiliza.

El Consejo de Derechos Humanos de la ONU aprobó en 2022 el informe “Sobre el derecho a la privacidad en la era digital” que por primera vez explora las prácticas de inteligencia en redes sociales y de monitoreo del discurso en línea como nuevas modalidades de vigilancia masiva estatal. Al reconocer que son actividades que tienen serios impactos en los derechos humanos, sostiene que esta observación del espacio público es casi siempre desproporcionada. En ese sentido, recomendó a los Estados adoptar marcos legales adecuados para regular la recolección, análisis y compartición de inteligencia obtenida de redes sociales que delimite claramente los escenarios en que ésta se encuentra permitida, sus prerrequisitos, las autorizaciones y procedimientos, así como los mecanismos para garantizar su supervisión adecuada.

En la región, identificamos que es una práctica que pretende ampararse en la legalidad, pero que en realidad se despliega a partir de interpretaciones arbitrarias de ciertas facultades como la prevención del delito. Estas facultades, originalmente pensadas para otros fines, están siendo extendidas sin regulación específica al ámbito digital, incluyendo la detección temprana de delitos supuestamente vinculados a la actividad de quienes presuntamente desinforman. Este escenario genera una profunda inseguridad jurídica y un efecto amedrentador, dificultando que las personas ejerzan libremente sus derechos en línea.

¿Cómo cuidarnos frente al ciberpatrullaje?

Aunque la responsabilidad principal frente a la vigilancia digital recae tanto en los Estados como en las plataformas y empresas que permiten o ejecutan estas actividades, también es cierto que históricamente grupos de la sociedad civil hemos generado estrategias de autoprotección para sobrevivir en entornos hostiles. Protegernos significa responder con conciencia crítica y cuidado colectivo mientras exigimos marcos legales que limiten la vigilancia y garanticen nuestros derechos en línea. 

Para reducir la exposición, hay algunas acciones básicas que se pueden adoptar en las redes sociales. Por un lado, evitar el uso del nombre real completo (nombre y apellido) como nombre de usuario o nombre visible, y procurar no repetir el mismo @alias en todas las redes. También es recomendable configurar las cuentas como privadas o restringidas, de modo que solo los perfiles aprobados puedan acceder al contenido. Otra medida clave es desactivar los permisos de ubicación en los dispositivos móviles, para que las aplicaciones no puedan rastrear ni compartir los movimientos.

Cuando la idea es publicar fotos desde un lugar específico, es recomendable esperar algunas horas o días antes de subirlas, así no se revela la ubicación en tiempo real. Además, se sugiere conversar con contactos y amistades sobre la importancia de no etiquetar ni compartir datos privados sin previo consentimiento. Por otro lado, es importante considerar la selección de una foto de perfil que no sea fácilmente rastreable, ya que existen herramientas OSINT que permiten buscar imágenes en otras plataformas y vincularlas con la identidad de las personas usuarias. Por último, aceptar solo solicitudes de personas que realmente resulten conocidas, ya que muchas veces el ciberpatrullaje empieza con perfiles ficticios que buscan establecer contacto directo.

La vigilancia no es cuidar, es poner en riesgo nuestros derechos

Estas actividades se despliegan sin reglas, sin control y sin justificación pública, y eso ha permitido que se normalicen prácticas autoritarias bajo la retórica de la seguridad. En esta parte del mundo, donde muchas democracias son frágiles y la capacidad de la ciudadanía para fiscalizar al Estado es débil, el uso de estas tecnologías crece sin transparencia, sin debate público y con una preocupante opacidad.

Los Estados adquieren herramientas de monitoreo de redes sociales mientras persisten -y en algunos casos se profundizan- las barreras para acceder a información básica sobre su licitación, adquisición, funcionamiento, responsables, bases de datos involucradas y el gasto público asociado. Incluso cuando la sociedad civil ha recurrido a solicitudes de acceso a la información, muchas autoridades se amparan en argumentos de seguridad nacional para obstaculizar el escrutinio democrático.

¿Con qué criterios se decide comprar tecnologías a empresas extranjeras como las israelíes, cuestionadas internacionalmente por su papel en la vigilancia masiva?

Proteger no puede seguir siendo un argumento aceptable para la vigilancia masiva, mientras la ciudadanía, la misma a la que supuestamente se quiere cuidar, se siente más vigilada que segura. Estas prácticas suponen riesgos concretos para la libertad de expresión -especialmente en contextos de protesta social o frente a discursos críticos o incómodos- al generar estigmatización, autocensura e incluso incitación a la violencia contra quienes son catalogadas como opositoras. A la luz de los casos expuestos, queda claro que la vigilancia no es protección: es poder sin control.