Temática: Privacidad

LinkedIn y privacidad: nuevos métodos invisibles de perfilamiento detrás de las huellas digitales

¿Quién define hoy el límite entre lo público y lo privado? Atravesamos una era en la que los modelos de Inteligencia Artificial demandan enormes volúmenes de datos para ser alimentados, mientras los anunciantes y publicistas afinan su puntería hacia públicos específicos, y las plataformas perfilan a millones de personas, categorizándolas según sus preferencias, comportamientos y deseos. En ese marco, la carrera de las grandes empresas de tecnología se centra en desarrollar mejores algoritmos que sean capaces de conectar datos y estructurar toda esa información.

A esta maratón se sumó LinkedIn, la red profesional por excelencia que, más allá de conectar reclutadores y estudiantes, se convirtió en un repositorio masivo de hojas de vida recopilando desde estudios y experiencia laboral hasta aspiraciones y características ideológicas.

BrowserGate, experto en perfilamiento silencioso

Lo que parece un intercambio controlado de publicaciones y una personalización voluntaria de perfiles adquiere una dimensión alarmante cuando a la conversación se suma BrowserGate. Esta herramienta de LinkedIn analiza el navegador de las personas usuarias cada vez que visitan el sitio mediante un fragmento de código (script) capaz de detectar más de seis mil extensiones de Chrome instaladas y recolectar características específicas de los dispositivos desde donde las personas usuarias se conectan. Esta práctica sitúa en el centro del debate la preocupante precisión del fingerprinting (huella digital única), una técnica que permite identificar a un usuario sin necesidad de archivos de rastreo tradicionales.

El proyecto evolucionó drásticamente: de identificar 38 extensiones en 2017 a monitorear miles en la actualidad. Su modus operandi consta de tres fases consecutivas. Primero, intenta contactar una extensión de forma directa vía API, es decir manda un mensaje directo a la extensión esperando una respuesta. Luego, solicita archivos internos de configuración o rastros de uso del plugin mediante peticiones técnicas específicas. Por último, escanea la página de la extensión (DOM – Document Object Model) examinando cuidadosamente en busca de huellas que cada interacción de la persona usuaria deja en los complementos, permitiendo inferir información sumamente detallada.

¿Cuál es la preocupación si se puede usar navegación incógnita? 

La importancia de hablar al respecto radica en que no se trata de cookies ni de consentimiento, sino de una identificación basada en extensiones y hardware alimentando el poder de inferencia de la plataforma. Además, esto implica la posible exposición de datos sensibles -como creencias, ideologías, neurodivergencias o condiciones de salud- sin que la persona los haya declarado en su perfil, basándose únicamente en los complementos instalados. Este procedimiento vulnera el principio  de la protección de datos, sumado a preocupantes antecedentes ya conocidos como la venta de datos por parte de las plataformas y a través de ellas, como lo demostramos recientemente en un informe de Derechos Digitales respecto al mercado ilegal de datos personales en Telegram. Y como en toda red, esto transciende a la información personal hasta llegar a otros nodos con los que se haya relacionado, como una empleadora o una colega de trabajo o universidad.

Mientras LinkedIn argumenta una latente preocupación por evitar el web scraping (técnica que se utilizada para extraer información de sitios web de manera automatizada), proteger los datos de sus personas usuarias y mantener la estabilidad de la plataforma, lo cierto es que abre la puerta a una vigilancia masiva, opaca y difícil de eludir. Y esto no es todo, la empresa tendría la capacidad de detectar herramientas rivales como Apollo, ZoomInfo o Lusha, facilitando la identificación de empleados y empleadores, y planteando una sospecha: no sólo estaría recogiendo datos personales sino también estableciendo inteligencias comerciales y redes de conocimiento sobre organizaciones.

La infraestructura que propone más protección se convierte así en un método de extracción masiva de datos sensibles. Las herramientas de rastreo digital (tracking) no se declaran en su política de privacidad ni en las condiciones de uso. De lo que hablamos es de fragmentos de código incrustados en las aplicaciones para capturar datos y contribuir al perfilamiento, operando desde una lógica que las personas usuarias sin conocimientos técnicos no pueden detectar.

Implicaciones legales de la violación de privacidad

El hecho de que LinkedIn, de forma deliberada y planificada, escanee secretamente los navegadores web podría exponer a la plataforma y su matriz, Microsoft, a consecuencias legales y financieras alrededor del mundo. Si se considera el Reglamento General de Protección de Datos de la Unión Europea (GDPR), su artículo 9 (“Tratamiento de categorías especiales de datos personales”) lista los datos considerados sensibles y que pueden llegar a inferirse en base al comportamiento digital. Además, en el artículo 83 (“Condiciones generales para la imposición de multas administrativas”) se establece que la multa para empresas equivale al 4% como máximo del volumen de negocio total anual global. En el caso de la creadora de Windows, su ingreso anual al 2025 fue de $281.700 billones, lo que supone una posible multa de $11.286 billones.

A esto se suma la falta de transparencia con las personas usuarias ya que esta práctica no se explicita en la política de privacidad de la plataforma. En términos legales, esto viola el principio de consentimiento informado y las obligaciones de transparencia que el GDPR estipula en sus artículos 13 y 14. Esto aprovecha el desconocimiento de millones de usuarios, quienes no son plenamente conscientes del alcance que tiene sobre su privacidad, su vida laboral y personal.

Indistintamente de si alguna de estas interpretaciones será confirmada o no por parte de las cortes, el caso pone de manifiesto algo mucho más estructural: las leyes digitales actuales fueron pensadas en una internet de cookies visibles y de formularios de consentimiento más o menos sencillos. La técnica de fingerprinting contemporánea opera ya en otra escala. Lo hace de forma silenciosa, distribuida y en una lógica sumamente técnica, difícil de ser identificada por las personas usuarias, aún cuando eligieran no aceptar cookies o navegar en modo incógnito.

La investigación académica sobre el tracking post-cookie ya daba cuenta de que la industria tecnológica se había embarcado en un tránsito hacia mecanismos de tracking más persistentes y difíciles de detectar. Ahora, BrowserGate parece corroborarlo. En regiones como América Latina, donde la fragmentación normativa es la regla y cada país tiene su propia ley de protección de datos, el desafío de enfrenar estas técnicas de rastreo post-cookie parece aún mayor.

Medidas para reducir el impacto

Ante este escenario, las medidas de protección más efectivas se basan en prácticas diarias y persistentes, que pueden requerir más tiempo pero también brindar mayor tranquilidad: revisar las extensiones del navegador instaladas. Cada extensión que se añade no sólo amplía la superficie de ataque que puede experimentar vulnerabilidades o localizaciones, sino que, además, incrementa la noción de singularidad de la persona usuaria dentro de los sistemas de fingerprinting.

La mayoría de las personas mantienen extensiones que ya no utilizan, incluso cuentan con extensiones duplicadas y añaden otras sin necesidad, al tiempo que ignoran que cada extensión puede convertirse en una señal identificatoria. Lo recomendable es reducir al mínimo el número de extensiones, eliminar aquellas que ya no tienen mantenimiento y revisar periódicamente los permisos que tienen como una práctica de higiene digital básica.

Por la misma razón, hacer perfiles de navegación segmentados –diferenciados entre laboral, para ocio y para actividad en redes sociales- ayuda a que las diferentes plataformas no lleguen a unir y construir un único perfil que derive del cruce de hábitos, herramientas y comportamientos. Además, utilizar navegadores de privacidad, como Mozilla Firefox, nos brinda mecanismos de resguardo frente a técnicas de fingerprinting y de tracking más sofisticadas. Y a esto hay que añadir el uso de bloqueadores más avanzados, como uBlock Origin, que permiten restringir scripts de tracking invisibles que funcionan en segundo plano.

Ninguna de estas herramientas garantiza un completo anonimato, pero sí pueden limitar en buena medida las capacidades de las plataformas para crear perfiles persistentes y exhaustivos. La clave está en ser concientes que la privacidad no solo consiste en “no compartir demasiados datos”, sino también en la forma de controlar cuántas señales técnicas dejamos expuestas cada vez que abrimos el navegador. Con más información y estrategias de protección, podremos mejorar nuestra seguridad digital y seguir utilizando internet con mayor autonomía y privacidad.

Defender la democracia latinoamericana como trinchera de los derechos humanos

¿Es la democracia un derecho humano? Esta pregunta fue formulada por Guatemala ante la Corte Interamericana de Derechos Humanos (Corte IDH) a través del mecanismo de solicitud de Opinión Consultiva, es decir, una función interpretativa de la Corte que permite analizar los instrumentos jurídicos interamericanos ante nuevos desafíos que surgen a propósito de su aplicación. Dicha pregunta fue discutida en marzo pasado en una audiencia pública en Brasilia, donde distintos actores defendieron sus opiniones tanto a favor como en contra de su reconocimiento como derecho.

La solicitud de Opinión Consultiva por parte de Guatemala se motivó a raíz de situaciones que aquejan a toda la región. El deterioro de las instituciones democráticas, la persecución de personas defensoras de derechos humanos, la fragilidad de los procesos eleccionarios, el uso excesivo de la fuerza por parte del Estado en contextos de protesta, la instrumentalización y debilitamiento de la independencia de los sistemas de Justicia, entre otros. Por lo que Guatemala solicitó a dicho tribunal evaluar si la democracia es un derecho humano, en tanto que resulta “indispensable para el ejercicio de las libertades fundamentales y [otros] derechos humanos”.

La decisión -que será publicada en los próximos meses- será crucial en el contexto actual de América Latina. Por un lado, la región experimenta el auge de regímenes antidemocráticos que promueven políticas de “mano dura”, se distancian de los espacios multilaterales donde predomina el lenguaje de los derechos humanos, y buscan restringir progresivamente su alcance a nivel interno. Por otro lado, asistimos a un incremento de la influencia autoritaria de las Big Tech, cada vez más consolidado mediante alianzas público-privadas y cuyo alcance global tensiona a los regímenes democráticos. Todo ello en un contexto geopolítico marcado por la inefectividad o insuficiencia de los foros multilaterales en contener su poder, mientras asistimos a un despliegue masivo de tecnologías digitales, cuyas implementaciones han traído consigo nuevos fenómenos que aquejan a las democracias, y amplificado otros ya preexistentes.

Las posturas defendidas ante la Corte IDH

Aunque no es posible anticipar el sentido de la decisión de la Corte que, durante tres días de audiencias se mostró interesada pero también cautelosa respecto de los alcances y límites de este eventual nuevo derecho, sí podemos identificar tres grandes posturas que emergieron en el debate.

En un grupo minoritario se expresaron las voces en contra. Entre sus argumentos, sostienen que la democracia no está consagrada como derecho en el corpus iuris interamericano y que el Tribunal no debería exceder sus funciones interpretativas. Desde esta perspectiva, la democracia sería únicamente un sistema político, no un derecho humano. Entre quienes se manifestaron parcialmente a favor, se reconoce a la democracia como un principio fundamental, pero no como un derecho humano, argumentando que aún no existen estándares jurídicos suficientemente desarrollados para su reconocimiento como tal. Durante los debates de la audiencia, la posición mayoritaria fue a favor: se afirma que la democracia es un derecho humano interdependiente, que actúa como condición habilitante para el ejercicio de otros derechos, y que trasciende la dimensión estrictamente electoral (elegir y ser elegido).

Al respecto, vale la pena advertir que, aunque los instrumentos jurídicos interamericanos no explicitan la existencia del derecho humano a la democracia, la Corte IDH tiene algunas claves para emprender su trabajo interpretativo.

Por ejemplo, la Carta Democrática Interamericana, un instrumento que apoya la interpretación de los tratados interamericanos, expresa que los pueblos de América tienen derecho a la democracia. La Carta de la OEA reitera la protección de la persona como fundamento de la democracia y en la prioridad que ésta tiene para los Estados que se comprometen a promoverla en el seno de dicho organismo. La Convención Americana sobre Derechos Humanos -y otros instrumentos regionales- reiteran cuán relevantes son las condiciones democráticas como un objetivo de la región para la garantía de otros derechos. E incluso algunos fallos de la propia Corte -como el caso Gadea Mantilla Vs Nicaragua– señalan que la “democracia en los Estados americanos constituye una obligación jurídica internacional”. Estas, junto a otras fuentes del derecho internacional, fueron de hecho citadas por Guatemala para sostener la existencia del derecho autónomo a la democracia.

Nuestra posición: la democracia sí es un derecho humano

Cada postura tiene matices relevantes. Sin embargo, la posición defendida por Derechos Digitales, junto a CEJIL, Fundación Multitudes, Civicus y la Universidad Rafael Landívar, se enfoca en afirmar la existencia de ese derecho humano a la democracia.

Desde esta perspectiva, la democracia como derecho humano implica aproximarse a un conjunto más amplio de condiciones estructurales que facilitan otros derechos, más allá de los derechos políticos (elegir y ser elegido). Entre ellas, destacan en general, la protección de la división y separación de poderes, la integridad e independencia del Poder Judicial, la integridad de las instituciones democráticas. Así como también otras garantías más recientes que deben ser reconocidas como tal, como la garantía de la integridad de la información -que abarca la salud de los ecosistemas mediáticos y condiciones laborales dignas para el periodismo- y la protección del espacio cívico libre, abierto, seguro y plural, tanto en el ámbito analógico como digital.

Este derecho humano a la democracia interactúa de forma dinámica con otros derechos ya consolidados, como la libertad de expresión, la libertad de prensa y el derecho a la protesta o la privacidad, por mencionar algunos. Se trata de una relación bidireccional. Por ejemplo, sin garantías efectivas para el ejercicio del periodismo -incluyendo condiciones materiales, regulatorias y de seguridad- resulta imposible fiscalizar al poder, una función esencial en cualquier democracia robusta.

Asimismo, cuando el espacio cívico -especialmente el digital- se encuentra sometido a vigilancia masiva por parte del Estado o de corporaciones tecnológicas que no están debidamente reguladas, se generan efectos inhibitorios sobre la participación ciudadana. La autocensura, el silenciamiento del disenso y la criminalización de voces críticas erosionan los contrapesos necesarios frente a las mayorías. En este sentido, la democracia como derecho humano opera como una debida garantía del entorno habilitante que asegura la vigencia efectiva de otros derechos fundamentales.

Riesgos y potencialidades

El reconocimiento del derecho humano a la democracia, sin embargo, debe ser considerado sin ignorar que enfrenta amenazas y riesgos reales. En la región, evidenciamos un creciente fenómeno de desregulación o “simplificación” en materia de derechos (con la excusa de impulsar la innovación o promover el crecimiento económico), así como la desfinanciación de políticas públicas que sostienen los sistemas de protección social. A esto se añaden las amenazas derivadas de la digitalización masiva, donde un puñado de actores poderosos tiene gran capacidad de impacto en su ejercicio.

Entre esos nuevos riesgos, advertimos no solo la capacidad cada vez más expansiva de la desinformación, sino su instrumentalización en operaciones coordinadas por parte de funcionarios públicos que buscan deslegitimar o incentivar a la violencia contra las instituciones democráticas. Este problema, que merece un abordaje integral más allá del meramente jurídico (enfocado desde lo penal ya viene siendo deficiente y miope), se encuentra potenciado, entre otros, por el progresivo debilitamiento de los ecosistemas mediáticos. Esta fragilidad no sólo es generada a través de la asfixia económica que experimentan medios de prensa tradicional y alternativos, como fruto de la usurpación de su modelo de negocios -la publicidad- por parte de las Big Tech que además precariza y pone en peligro el trabajo periodístico, sino también a través de la violencia y estigmatización contra los medios que cuestionan al poder.

Otros retos de gran relevancia amenazan el espacio cívico plural, seguro y abierto, como lo es la violencia de género facilitada por las tecnologías (VGFT). Mujeres y niñas, en toda su diversidad, se encuentran en el centro de este fenómeno que busca silenciarlas, desplazarlas de la esfera pública, denigrar o estigmatizar en su contra, y hasta poner en riesgo su vida e integridad. Este fenómeno se agrava de cara a mujeres periodistas, defensoras de derechos humanos, y aspirantes a cargos públicos, por lo que merece un abordaje estatal más allá del tradicional enfoque punitivo.

Más allá de los riesgos que enfrenta la democracia como derecho humano, su reconocimiento tiene un potencial excepcional para facilitar la garantía otros derechos. Por su carácter colectivo permitiría poner el foco más allá del individuo y reforzar la dimensión estructural de derechos como el de la protección de datos personales y el de la privacidad en la era digital.

Por ejemplo, la vigilancia estatal (facilitada hoy con la colaboración de las Big Tech) tiene efectos profundamente antidemocráticos pues facilita la represión, la persecución y la estigmatización de cualquier persona declarada como su objetivo. La vigilancia apaga la diversidad de voces presentes, tanto en los medios de prensa, así como en el espacio cívico analógico y digital, desalentando también la participación en el debate público. En consecuencia, la protección de la privacidad no puede limitarse a una dimensión individual, sino que debe entenderse también como un componente esencial de la salud democrática.

No obstante, la mayoría de las herramientas jurídicas en la región continúan centradas en la protección individual -por ejemplo, a través de reclamos ante autoridades de protección de datos- o en colectivos específicos, como la protección de las infancias. Este enfoque resulta insuficiente frente a problemas estructurales que enfrenta la protección de la privacidad, como el desequilibrio informativo y de poder entre el titular y los Estados, que vigilan cada vez más a su población al tiempo que erosionan los marcos regulatorios dedicados a imponer pesos y contrapesos sobre dichas tareas.

Reconocer la democracia como un derecho humano, permitiría avanzar hacia mecanismos de protección colectiva de la privacidad mucho más robustos. Asimismo, fortalecería la capacidad de los Estados para exigir el cumplimiento de normas por parte de empresas tecnológicas transnacionales y para garantizar la efectividad de sus propias decisiones regulatorias a nivel interno.

¿Qué podemos esperar de la futura decisión de la Corte IDH?

Esta no es la primera vez que la Corte IDH enfrenta el desafío de reconocer nuevos derechos: ya lo hizo, por ejemplo, con el derecho al cuidado y el derecho a defender derechos. Sin embargo, en esta ocasión el reto es particularmente delicado desde el punto de vista jurídico.

El Tribunal deberá resolver cuestiones esencialmente jurídicas, por ejemplo, cómo reconocer el derecho humano a la democracia sin que esto sugiera la imposición de un modelo político uniforme a los Estados de la región, o cómo definir sus mecanismos de protección, reparación y evaluación de su cumplimiento.

Sea cual sea el resultado, la futura Opinión Consultiva tendrá un efecto jurídico para todos los Estados del sistema interamericano, incluso para aquellos que, aunque mantengan estructuras formales democráticas, actualmente se alejan de los estándares que los sustentan.

El debate sobre si la democracia es un derecho humano no es meramente teórico ni debe ser exclusivamente jurídico: refleja tensiones profundas sobre el presente y el futuro de nuestras sociedades. Reconocerla como tal no implica imponer un modelo político único ni desconocer otros derechos igualmente relevantes, como el de autodeterminación de los pueblos o el principio de no injerencia, sino afirmar que, sin condiciones democráticas sustantivas como la independencia de poderes, la protección de la integridad de la información, o la garantía de un espacio cívico abierto, libre y plural, el resto de los derechos pierde eficacia real.

En un contexto marcado por el autoritarismo emergente y el poder creciente de actores tecnológicos globales, el reconocimiento del derecho humano a la democracia podría convertirse en una herramienta clave para proteger, revitalizar y proyectar los sistemas democráticos de la región hacia el futuro.

Contribución al llamado de ACNUDH: Protección de personas defensoras de derechos humanos en la era digital

Derechos Digitales presentó una contribución al llamado de la ACNUDH sobre la protección de personas defensores de derechos humanos en la era digital. Proporcionamos información centralizada sobre las tendencias en la legislación que afectan el trabajo y la seguridad de los defensores de derechos humanos; la importancia de las comunicaciones digitales para su trabajo y sus acciones de incidencia; los riesgos que enfrentan relacionados con su privacidad y bienestar integral; y la centralidad de las respuestas corporativas.

Ver documento

Contribución a la encuesta en línea de la Oficina de Derechos Humanos de las Naciones Unidas sobre el espacio de la sociedad civil

Derechos Digitales respondió a la encuesta en línea de la Oficina de Derechos Humanos de las Naciones Unidas sobre el espacio cívico para informar sobre las tendencias legislativas e institucionales emergentes relativas al espacio de la sociedad civil en América Latina. Nuestras respuestas a esta encuesta destacan la reducción generalizada del espacio cívico en toda América Latina. Subrayamos que esta tendencia regresiva amenaza a la sociedad civil en Perú, Paraguay, Guatemala, Nicaragua, El Salvador, Venezuela y Ecuador.

Descargar documento

WhatsApp y la Unión Europea: ¿Descentralización de las comunicaciones digitales?

A diario nos comunicamos a través de WhatsApp: compartimos conversaciones con ex compañeros de colegio, decidimos sobre asuntos familiares y profesionales, vivimos el romance; muchas alegrías y tristezas suceden en esta plataforma. Casi todas las personas con un teléfono inteligente en América Latina utilizamos WhatsApp y somos más de 3 mil millones personas en el mundo.

Es así como Meta, dueña de WhatsApp, es responsable de las comunicaciones de gran parte del planeta. Es decir, una caída técnica, una prohibición de funcionamiento o un conflicto empresarial pueden tener consecuencias globales. Algo que ya ocurrió en el pasado y sobre lo cual reflexionamos en su momento.

Desde un punto de vista tecnopolítico, existe un problema de concentración de poder. Nuestras conversaciones fluyen a través de una de las aplicaciones de Meta. Si bien se supone que WhatsApp usa cifrado extremo a extremo, ya solo usar la aplicación implica entregarle nuestros metadatos. Esto quiere decir que nuestros contactos, con qué frecuencia hablamos con ellos, desde dónde y a qué hora, además de gran cantidad de información adicional, es recolectada por Meta por el simple hecho de usar sus servicios.

La concentración de poder no solo tiene implicancias en materia de privacidad. Por ejemplo, una aplicación de la cual dependen buena parte de las comunicaciones de la población podría verse amenazada por un conflicto geopolítico. Es decir, esta dependencia convierte a una herramienta de comunicación en un arma para el conflicto entre Estados.

A raíz de las revelaciones de Snowden, desde 2013 sabemos que EE. UU. utiliza las plataformas digitales de empresas estadounidenses para espiar las comunicaciones globales. Los embargos económicos de EE. UU. también implican restricciones en la adquisición de software a países como Cuba, Irán y Siria. Con estos antecedentes, cabe preguntarse: ¿qué pasaría si EE. UU. entrara en guerra con Europa a causa de Groenlandia? ¿WhatsApp funcionaría sin problemas para las personas europeas?

Este tipo de escenarios plantean preocupaciones globales que no son nuevas: desde distintas regiones y Estados del mundo existen múltiples intentos para tensionar la concentración económica, de datos y de poder en el entorno digital. En el caso de la Unión Europea (UE), tomaron la decisión de regular las plataformas digitales buscando establecer criterios y límites claros por medio de la Ley de Mercados Digitales (DMA por sus siglas en inglés).

Descentralizar la mensajería por ley

Los aspectos de concentración de poder, soberanía digital y privacidad, motivaron a la UE a crear la Ley DMA. Esta normativa busca regular a las empresas que dominan el mercado digital, denominadas en la legislación como “guardianes de acceso” (gatekeepers en inglés), para evitar abusos de poder, prácticas anticompetitivas y garantizar la interoperabilidad con plataformas más pequeñas. WhatsApp (Meta) fue designada como “gatekeeper” en 2023, entre otros motivos por tener más de 45 millones de personas usuarias activas al mes dentro de la UE. Esta condición le obliga a cumplir con los requisitos de la DMA, incluyendo la obligación de poder interoperar con plataformas más pequeñas.

La expectativa de una legislación de estas características es ambiciosa: permitir a las personas conversaciones a través de distintos servicios conectados. La consecuencia debería ser que quienes utilizan aplicaciones como Signal, Telegram, o plataformas europeas como Threema o Wire, se puedan comunicar con aquellas que tienen WhatsApp.

Sin embargo, la implementación conlleva una paradoja. La forma en la que está redactada la ley obliga a la plataforma que se quiere regular a que defina las reglas técnicas mediante las cuáles interactuaría con otras aplicaciones. La legislación estableció que hasta marzo de 2024, WhatsApp debía definir e implementar un plan para interactuar con otras plataformas. A fines de 2025, WhatsApp comenzó a interoperar con otras aplicaciones, pero solo con dos: Haiket y BirdyChat, recientemente creadas, y de las cuales se sabe muy poco.

Aplicaciones como Signal o Threema se oponen a la interoperatividad planteada por la DMA. Las dos empresas sostienen que su enfoque en favor de la privacidad y seguridad podría verse vulnerado al interactuar con otros proveedores ya que, de esta manera, no pueden asegurar el cuidado de los datos cuando pasan a manos de proveedores como WhatsApp. Al ser aplicaciones con bases de usuarios más pequeñas que WhatsApp, no son vistas como “guardianes de acceso” y por lo tanto no tienen obligación de cumplir con la DMA.

La ley podría así lograr que WhatsApp se conecte con aplicaciones irrelevantes, mientras que sus competidores más sólidos se mantienen al margen, dejando su dominio prácticamente intacto.

Los estándares abiertos y la idea de federación

Lo que la UE quiere hacer con WhatsApp es muy parecido a lo que se conoce como federación: un sistema donde plataformas independientes pueden comunicarse entre sí usando estándares abiertos. Un ejemplo es el correo electrónico: las personas que usan Gmail pueden comunicarse con otras que utilizan casillas de Outlook, Protonmail u otro proveedor. Si bien Gmail, con 1800 millones de usuarios, es un actor dominante en el terreno del correo electrónico, no es quien pone las reglas sobre las cuales se comunican los otros proveedores. Esto es posible gracias a protocolos consensuados como el “Protocolo Simple de Transferencia de Correo” (SMTP en inglés), sin la necesidad de intervención estatal.

Hay una diferencia clave: el correo electrónico surgió de la colaboración voluntaria entre desarrolladores que construyeron internet, acordando reglas para un sistema de correspondencia digital asincrónico y federado que previamente no existía.

Siguiendo la tradición de estándares federados, a inicios de este siglo surgió el “Protocolo extensible de mensajería y comunicación de presencia” (XMPP en inglés), inspirado en el servicio de correo electrónico donde las cuentas son del tipo usuario@dominio.com. Se trata de un protocolo conocido y utilizado por comunidades como las del software libre. Hasta 2013, Google Talk, el chat de Gmail en ese momento, implementaba este mecanismo mediante el cual una cuenta de Gmail podía comunicarse con cuentas de chat alojadas en servidores más pequeños y diversos.

Curiosamente, WhatsApp utiliza una versión modificada de XMPP conocida como FunXMPPque está optimizada para las necesidades de la aplicación y que además desactiva las funcionalidades de federación.

De todas formas, XMPP no es la única opción para comunicaciones de chat federadas. En 2014 se empezó a construir el protocolo Matrix con características similares a XMPP, pero con el cifrado extremo a extremo desarrollado como parte fundamental del protocolo, con el fin de cuidar su seguridad. En la actualidad, en Derechos Digitales utilizamos este estándar como la base de nuestra oficina virtual en un servidor manejado por nuestro equipo técnico. Incluso nos podemos comunicar con otras organizaciones que también van por el mismo camino: la apropiación de nuestras comunicaciones.

XMPP y Matrix no son protocolos perfectos y tienen muchos aspectos por mejorar. El primero tuvo un desarrollo lento y el soporte de chat cifrado entre extremos no fue adoptado por todos los servidores y clientes. Matrix resuelve el problema de cifrado extremo a extremo, pero también podría mejorar para establecerse como un estándar oficial. Igualmente, estos aspectos no opacan su relevancia como protocolos abiertos que sostienen el espíritu de la comunicación descentralizada y abierta que caracteriza a internet.

Fortalecer protocolos y estándares para una soberanía tecnológica

El intento de la UE apunta a fortalecer una internet más descentralizada y con menos concentración de poder en pocas empresas. Más allá de una perspectiva política, la apuesta refleja preocupaciones técnicas profundas sobre la resiliencia de las comunicaciones digitales a través de la independencia tecnológica, el cifrado y la interoperabilidad. Si bien representa un avance significativo, aún quedan dudas sobre la estrategia de dar el control sobre la forma de federarse a las aplicaciones que se quieren regular.

Por otro lado, las soluciones basadas en estándares abiertos, como XMPP y Matrix, ayudan a poner las mismas reglas para todas las aplicaciones que implementan el estándar. Es decir, en lugar de que WhatsApp defina cómo se comunica con el resto, el estándar abierto define las reglas por las que todas las partes se comunican entre sí. De esta manera, no se le da un poder especial a la aplicación que se pretende regular, similar a lo que sucede con el correo electrónico y Gmail.

Moverse a un sistema federado tiene ventajas como la independencia de proveedor, eliminar un único punto de fallo y la posibilidad de tener infraestructura propia para nuestras comunicaciones. También nos presenta retos: los organismos de estandarización técnicos deben acordar las actualizaciones de los estándares a futuro.

En América Latina, nuestros gobiernos ni se asoman a este tipo de discusiones, y somos pocas las comunidades que estamos reflexionando sobre estos temas. Sin embargo, los estándares abiertos están disponibles, y si organizaciones como Derechos Digitales pueden tener su propio servidor de chat federado, seguramente muchas otras también puedan emprender el mismo camino hacia una soberanía tecnológica cada vez mayor.

El negocio del iris: Colombia marca un precedente regional al frenar las operaciones de World Foundation y Tools for Humanity

El pasado 3 de octubre, la Superintendencia de Industria y Comercio (SIC) de Colombia, autoridad en materia de protección de datos personales, ordenó el cierre inmediato y definitivo de las operaciones de World Foundation y Tools for Humanity, por incumplir la legislación nacional de protección de datos. Además, les impuso la obligación de eliminar toda la información personal sensible bajo su custodia.

World Foundation, organización sin fines de lucro, administra el sistema de verificación de identidad basado en el iris conocido como World ID. Tools for Humanity, su socio operativo y compañía privada, es la creadora del Orbe -el dispositivo esférico de escaneo ocular-, además de la billetera digital World App y la criptomoneda Worldcoin (WLD).

Estas tecnologías, impulsadas por actores -entre ellos Sam Altman, CEO de OpenAI– con intereses que van desde lo social hasta lo comercial, convergen en una misma propuesta: construir una “prueba de humanidad” segura y anónima, un sistema capaz de distinguir a las personas reales de los bots en la era de la Inteligencia Artificial Generativa (GenAI), también promovida por el propio Altman.

En 2024, World -nombre que agrupa tanto a la fundación como a su rama con fines de lucro- inició operaciones en Colombia, llegando a 17 ciudades. Su desembarco se enmarcó en un intenso lobby ante la SIC, en un intento por demostrar la compatibilidad de su modelo de negocio con la legislación local.

Sin embargo, la llamada “prueba de humanidad” ha estado lejos de ser un modelo de negocio pacífico. Autoridades de protección de datos en Argentina, Alemania, Corea del Sur, España, Francia, Filipinas, Hong Kong, Kenia, Portugal, Tailandia, Italia, Perú y más recientemente Chile y Brasil, han alertado, investigado o suspendido total o parcialmente las actividades de ambas organizaciones. Las decisiones se tomaron principalmente por deficiencias en la información proporcionada sobre las condiciones del tratamiento de datos biométricos; recolección de datos sensibles de menores de edad sin el consentimiento de sus familias o tutores; e imposibilidad para que las personas titulares retiren o revoquen su consentimiento una vez otorgado.

El registro en el Orbe: un diseño técnico con profundas implicaciones jurídicas

El proceso de entrega de datos personales a World no ocurre en un solo momento ni bajo un único responsable: los datos atraviesan distintas etapas tecnológicas y jurídicas a lo largo de su ciclo de vida.

Primero, durante el registro inicial en la billetera digital (World App), se solicitan datos personales diversos: nombre, teléfono, correo electrónico, cuenta bancaria y otros metadatos asociados al dispositivo móvil. Información que es tratada por Tools for Humanity.

El registro permite localizar el Orbe más cercano y programar una cita para el escaneo. En esta fase, el dispositivo captura el iris y el rostro de la persona. La obtención masiva de este tipo de datos es el ingrediente clave para saciar el apetito de entrenamiento del algoritmo de World, que determina si uno es o no una persona humana. De esta información personal es responsable World Foundation.

Vale la pena añadir dos cuestiones en esta fase. Por una parte, que el escaneo del iris se transforma en menos de 10 segundos: la imagen del iris y rostro se convierte en un código hash cifrado, basado en un protocolo de blockchain, o sea, en una larga hilera de números y letras. Esto es así para dar mayor seguridad y privacidad a los datos, según World. Y por otra, que el hash cifrado se fragmenta y almacena entre terceros, es decir, se descentraliza su custodia con el objetivo de dar mayor seguridad y confianza, pues evita la concentración de información en un único actor.

Cuando el registro es exitoso, la persona usuaria recibe en su billetera un depósito de 10 WLD, equivalentes a aproximadamente 50 USD (unos 200 mil pesos colombianos). De este proceso se desprenden varios puntos críticos:

  • En la descarga y registro en World App, persiste el tratamiento de datos personales. Estos datos no son anonimizados, por lo que el titular conserva el ejercicio de sus derechos de actualización, rectificación, cancelación y oposición (ARCO).
  • En el Orbe, los datos personales dejan de serlo en cuestión de segundos. Por la velocidad con que acontece dicho proceso, World ha reconocido ante otras autoridades –como la de Brasil– que resulta técnicamente imposible retractar el consentimiento después del escaneo del iris.
  • Si la imagen del iris es efectivamente anonimizada, los responsables de su tratamiento no estarían, en principio, sujetos a la legislación de protección de datos, pues los datos dejarían de identificar o hacer identificable a su titular. Eso sí, se debe probar que ese proceso es irreversible, efectivo y permanente.
  • El cifrado, que protege la información de accesos no autorizados, es un componente que debe permear todo el ciclo de vida del dato, sea personal o no.

El análisis de la SIC: políticas de tratamiento y consentimiento

La SIC evaluó la compatibilidad de las políticas de tratamiento de datos de World App y World ID con la Ley 1581 de 2012, y llegó a estas conclusiones: no están disponibles en su mayoría en idioma español, no identifican un responsable del tratamiento en Colombia, no ofrecen mecanismos claros de consulta o queja, no especifican las finalidades del tratamiento ni los tipos de datos recogidos, y no contemplan procedimientos para ejercer los derechos ARCO. En el proceso ante la SIC emergieron dudas sobre la anonimización y el cifrado de los datos extraídos por el Orbe.

World no aclaró ante la autoridad las medidas de seguridad que aplica en esa tecnología de reconocimiento facial, donde las imágenes de los iris estarían más expuestas, ni ofreció pruebas claras de que el anonimato sea irreversible y efectivo, o que el cifrado se mantenga en toda el ciclo de vida del dato.

De hecho, un reporte de auditoría de 2024 del protocolo de cifrado de World, sugirió fallas críticas de seguridad que, según la SIC, no habrían sido solucionadas.

Ahora bien, si realmente se trata de información anonimizada, ¿cómo cambia esto las obligaciones legales de World Foundation y Tools for Humanity? Y, ¿qué deberes recaen sobre los terceros en quienes se descentraliza el almacenamiento de datos? Incluso antes de la anonimización, ¿cómo podría una persona titular ejercer el retracto o cancelación de su consentimiento una vez registrado en el Orbe? Y, ¿cómo obligar a World a garantizar ese derecho?

La SIC, por su parte, sostuvo que el código hash permitiría identificar o hacer identificable al titular del dato. De ser cierta esta afirmación, el proyecto World estaría poniendo en muy grave peligro el tratamiento de datos biométricos y fallando a la promesa detrás de su modelo de negocio.

También, la entidad determinó que las y los usuarios no otorgaron un consentimiento informado ni libre, no solo en razón a los defectos de las políticas de tratamiento de datos del proyecto World, sino a vicios en la libertad de acción de las personas: “el consentimiento que otorga el titular debe responder únicamente a su propia voluntad y no a la entrega de cualquier tipo de contraprestación que pueda condicionarlo” (p. 30).

Sobre este punto, vale la pena señalar que la autoridad brasileña de datos (ANPD) suspendió en ese país recientemente la entrega de criptomonedas por el escaneo del iris. En ese caso, World se defendió al calificar la entrega del WLD como un incentivo, no como una contraprestación. Una diferencia conceptual que la ANPD desvirtuó al señalar que, tratándose de personas vulnerables, los incentivos se convierten en salvavidas que terminan explotando los datos de quienes no tienen otra alternativa económica.

Ese enfoque habría enriquecido la decisión de la SIC, pues no deja de ser cierto que el despliegue de World se concentra mayoritariamente en países de rentas media y baja, y que sin ese “incentivo” no habría obtenido para enero de 2025 el iris de más de 10 millones de personas.

La estrategia de World: disputar lo procesal y fingir demencia

La respuesta de World Foundation y Tools for Humanity fue predecible: alegar violaciones al debido proceso, o sea, supuestos errores en la notificación de las decisiones de la autoridad que fueron remitidas a World Foundation, cuando la encargada de responder era Tools for Humanity, o viceversa. En este año y medio, sí se dieron por enteradas de cada respuesta y solicitud de la autoridad, como se lee en el proceso.

Frente a los requerimientos de la SIC sobre la legalidad de sus políticas de tratamiento, su defensa fue igualmente débil: afirmaron, entre otros, que la ley no los obligaba a detallar ciertos aspectos, como las medidas de seguridad aplicadas al tratamiento de los datos, o que hacerlo resultaba demasiado costoso, como designar un responsable local en Colombia. Argumentos que se derrumbaron por su propio peso, ¿a qué argumentos habrían acudido en 2024 en las acciones de lobby donde buscaban mostrar su adherencia a la norma local?

Las preguntas que quedan abiertas

Las incógnitas tras la decisión de la SIC son numerosas. Ambas organizaciones deben eliminar todos los datos personales obtenidos a través de World App y del Orbe, pero ¿cómo garantizarán que la información -incluso la que ha sido anonimizada- haya sido completamente retirada de los conjuntos de datos utilizados para entrenar a sus algoritmos? Y, ¿cómo se comprometerán a que no queden registros del código hash en manos de los “terceros de confianza”?

El caso de World en Colombia revela algunas de las grietas en el negocio de la “prueba de humanidad” que promete protegernos de los bots pero que termina, paradójicamente, enfrentándonos a un dilema más complejo: quién controla, con qué fines y bajo qué garantías, la prueba de que somos humanos.

Como quiera que sea, la decisión de la SIC marca un precedente relevante para América Latina pues nos remite de nuevo a preguntas que dejan de ser tecnológicas y se vuelven profundamente políticas: ¿cuál es el precio estamos dispuestos a pagar por demostrar que existimos? Y sobre todo, ¿cuál es la responsabilidad ética y jurídica de quienes generan “soluciones” tecnológicas inescrutables para problemas que en parte han contribuido en crear?

Filtraciones de datos: el costo ciudadano de la negligencia digital

Cada nueva filtración de datos parece encontrarnos igual: con indiferencia y resignación. No es apatía, sino cansancio. “Total, no tengo nada que ocultar, no soy tan importante”, es una de las frases más repetidas, que refleja cómo se ha instalado la idea de que la privacidad no importa. Esa resignación, alimentada por la negligencia de las empresas y entidades estatales que almacenan nuestros datos, está erosionando la confianza social y normalizando la idea de que la privacidad deje de percibirse como un derecho básico.

Se trata de un fenómeno que no surge de la nada. En lo que va del año, ya podemos constatar múltiples casos en distintos países de América Latina. En Argentina una app estatal comprometió 13 mil perfiles; en Uruguay se vendió una base de datos estatal con más de medio millón de registros; en México un ataque a una boletera dejó al descubierto datos bancarios de 80 mil personas; en Paraguay se filtraron más de 7 millones de registros del Tribunal Superior de Justicia Electoral; en El Salvador una gestora de cobros perdió más de 140 gigabytes de información de sus clientes; y en Venezuela se reportó la exposición de más de 3,2 millones de personas usuarias de Movistar. En estas filtraciones suelen aparecer datos como el documento de identidad, nombres, fechas de nacimiento, direcciones, teléfonos. Muchos incidentes incluyen además información sensible como fotografías, firmas, huellas, historiales médicos, registros laborales y socioeconómicos.

Desde el tecnicismo, estos campos se presentan como simples columnas en una base de datos, pero en realidad cada una de esas columnas corresponde a fragmentos de nuestras vidas: quiénes somos, dónde vivimos, cómo trabajamos y hasta qué padecemos. Reducir la información a tablas y registros invisibiliza que detrás de cada dato hay una persona con derechos que pueden ser vulnerados si su información personal queda expuesta.

Cuando la tecnología falla, las personas lo sufren

Tanto el sector privado como el público parecen estar en una carrera sin fin hacia la “innovación”, pero ¿qué valor tiene hablar de innovación si se construye sobre la exposición constante de los datos de la ciudadanía? Innovar no debería significar coleccionar más información de la necesaria ni esconder en la letra pequeña cómo se utiliza. Tiene que incluir el diseño de sistemas no solo funcionales, sino también seguros y accesibles, que no trasladen todo el riesgo a las personas. Mientras eso no ocurra, la llamada “innovación” seguirá siendo un discurso vacío, blindado a través de comunicados tardíos que llegan cuando el daño ya está hecho.

Las filtraciones permiten que datos que parecen administrativos se transformen en herramientas de delito. Con un número de documento, y otras informaciones básicas que suelen aparecer en un carnet de identidad, un delincuente puede solicitar préstamos o abrir cuentas bancarias a nombre de otra persona. Con direcciones y teléfonos filtrados, las extorsiones y estafas se multiplican. Esa información llegó a utilizarse incluso para inscribir a personas en partidos políticos sin su consentimiento, como ocurrió en el caso de la filtración de la base de datos del Reniec en Perú, el cual facilitó afiliaciones masivas a organizaciones políticas sin autorización ciudadana.

La mayoría de los ciberataques ocurridos entre 2023 y 2024 contra organizaciones latinoamericanas derivó en filtraciones de datos, que representaron el 53% de los casos. Más de la mitad de la información robada correspondió a datos personales (32%) y credenciales de cuentas (21%), revelando cómo el contenido filtrado es insumo para el delito digital.

No todas las personas enfrentan los mismos riesgos cuando sus datos quedan al descubierto. Las mujeres suelen ser blanco de violencia digital: acosadores que utilizan sus fotos o números de teléfono para hostigarlas, amenazarlas o enviarles contenido sexual. Niñas, niños y adolescentes quedan especialmente vulnerables a engaños en línea o a ser fácilmente identificables, lo que conlleva a riesgosas situaciones de trata y violencia infantil. Las personas defensoras de Derechos Humanos o pertenecientes a la comunidad LGTBIQA+ quedan expuestas a campañas de acoso y criminalización si su información personal se hace pública. En muchos casos esto ocurre a través del doxxing, es decir, la exposición maliciosa de datos personales en Internet. Las filtraciones masivas de bases de datos que luego circulan abiertamente en la web —ya sea en foros de la Darkweb o en canales de compraventa de Telegram— alimentan estas prácticas, amplificando el hostigamiento y poniendo en riesgo la garantía de derechos en general.

Los datos socioeconómicos filtrados también agravan la desigualdad: un historial de deudas o la procedencia de un barrio estigmatizado pueden bastar para que alguien sea descartado en un proceso laboral. Entonces, si miramos estas filtraciones solo como un problema técnico, pasamos por alto que en realidad refuerzan estructuras de discriminación y amplifican violencias que ya existen históricamente en nuestra sociedad.

Medidas urgentes para resguardar la confianza

Uno de los mayores descuidos suele ubicarse en el control de accesos: se debe garantizar que solo las personas autorizadas puedan acceder a los sistemas que almacenan nuestra información y que esos permisos deban ser revisados de forma constante y eliminados cuando ya no correspondan. No hacerlo puede derivar en situaciones graves. En un caso reciente en Perú, un extrabajador de una empresa de telecomunicaciones fue investigado penalmente porque delincuentes aprovecharon un acceso a su nombre que nunca había sido desactivado para ingresar a la base de datos personales nacional y, con esa información, suplantar personas, cambiar titularidad de líneas móviles y robar cuentas bancarias.

Para prevenir estos delitos, es necesaria la aplicación del principio de “mínimo privilegio”, es decir, que cada persona que trabaja en las entidades que almacenan nuestros datos tenga únicamente los accesos que necesita para cumplir su función, y desactivar de inmediato los accesos de quienes dejan esa institución.

Asimismo, la adopción de autenticación multifactor (MFA) en todos los accesos administrativos junto al uso de gestores de contraseñas, reduce significativamente el riesgo de intrusiones. La MFA consiste en combinar al menos dos métodos distintos de verificación, como por ejemplo: algo que sabemos (una contraseña), algo que tenemos (un celular o un token físico) y algo que somos (huella digital o rasgos faciales). No obstante, este último método -la biometría- actualmente no es una solución libre de riesgos. En Brasil, por ejemplo, se investigó un esquema que vulneró los sistemas de biometría del portal gov.br mediante técnicas de manipulación de imágenes, accediendo de forma indebida a datos personales.

Otra medida indispensable es el cifrado. En pleno 2025 todavía vemos bases de datos expuestas y archivos circulando sin protección, como si fueran documentos abiertos al público. Ese tipo de fallo de seguridad permitió la intrusión fraudulenta a los registros de más de 243 millones de personas en Brasil en 2020, cuando credenciales del Ministerio de Salud quedaron expuestas en el código fuente de una página oficial durante al menos seis meses. Toda información debe almacenarse cifrada y toda transferencia de información debe viajar por canales seguros, como ocurre con las páginas web que usan HTTPS en lugar del inseguro HTTP.

La seguridad exige constancia: auditar accesos, detectar patrones anómalos como consultas masivas o fuera de horario y mantener registros verificables. Cada ingreso debe quedar trazado y cada alerta investigada a tiempo, porque no sirve reaccionar cuando el daño ya está hecho. La ciudadanía tiene derecho al resguardo de sus datos y su privacidad y no solo a que se informe livianamente después de un incidente. Cada registro ignorado o cada log sin revisar es, en realidad, una decisión sobre cuánto valoran las instituciones la confianza pública.

Tan importante como proteger los sistemas es cuestionar la cantidad de información que se recolecta. Muchas filtraciones se podrían haber evitado si las organizaciones no hubieran almacenado más datos de los necesarios. Guardar copias indefinidas de documentos, recolectar información sensible “por si acaso” o para generar publicidad, no establecer plazos claros de eliminación, todo esto multiplica los riesgos.

De todas formas, ninguna herramienta sustituye a una cultura de seguridad que ponga a las personas en el centro. Una capacitación en seguridad digital de media hora una vez al año no forma conciencia ni previene errores. Las instituciones necesitan contar con una política de seguridad digital, dotada de equipos profesionales preparados, protocolos claros y un compromiso real desde la dirección hasta el último nivel operativo. A menudo vemos gastos millonarios en sistemas de seguridad, pero la tecnología por sí sola no es suficiente si no se acompaña de procesos claros de prevención, detección y respuesta, y de especialistas capacitados que entiendan que están protegiendo a personas, no solo datos o dispositivos.

Cuando la ley no alcanza

Varios países de América Latina cuentan hoy con leyes de protección de datos personales y autoridades de regulación. Sin embargo, los casos recientes demuestran que lejos de resolverse, esta problemática se vuelve recurrente en nuestra región: tanto empresas como entidades estatales vuelven a tener filtraciones que afectan a millones de personas. El marco regulatorio, aunque necesario, se muestra insuficiente si no existe la capacidad y voluntad de hacerlo cumplir.

Proteger los datos es un deber político y ético. El Estado debe garantizar derechos y construir confianza ciudadana, y las instituciones -públicas y privadas- asumir que detrás de cada registro hay vidas humanas. Mientras nuestra región no entienda que la privacidad es parte de la dignidad, seguiremos tratando las filtraciones como simples fallas técnicas, cuando en realidad evidencian la falta de compromiso público con la protección de derechos.

Datos, privacidad y nuestra huella digital

Tuve la suerte de experimentar con computadoras desde niño en la década de 1980. En esa época la información se guardaba en disquetes, primero los de 5 ¼, luego los de 3 ½. El disquete de mayor capacidad no podría almacenar una sola foto de la que tomamos hoy en día con un teléfono móvil. Sin embargo, en ellos guardábamos videojuegos -lo que más me gustaba en esa época-, archivos de texto y hojas de cálculo. Si bien era poca la información que estos dispositivos almacenaban, las personas eran muy conscientes de su importancia y era común tener varias copias de un documento en distintos disquetes. Con el tiempo, la capacidad de almacenamiento se incrementó y las computadoras personales empezaron a traer discos duros donde se podía guardar mucha más información. Eso sí, era importante respaldarla en disquetes porque la computadora podía dañarse con virus o con alguna descarga eléctrica.

Ya en los 90 se popularizaron los discos compactos (CD por sus siglas en inglés), primero para música y luego para software más complejo que podía almacenar mucha más información. La capacidad de un solo CD era equivalente a la de, aproximadamente, 484 disquetes y la disponibilidad de espacio facilitó la popularización, entre las personas usuarias de ese entonces, de la grabación de multimedia, como música, fotos y videos. Durante esa época, algunas personas tuvimos la suerte de conectarnos a internet, a través de la telefonía fija de las casas utilizando el sistema de dial-up. Si bien las conexiones eran muy lentas, y el contenido multimedia limitado, algo importante empezó a cambiar en relación a la gestión de nuestra información y todavía no teníamos noción de esto: nuestros datos se comenzaban a guardar de manera remota.

En sus inicios, utilizábamos internet para aprender, investigar y comunicarnos. El correo electrónico era la principal forma de comunicación y, a finales de los 90, si no tenías un correo de Hotmail, era de Yahoo, aunque había otros también. Sin embargo, lo que tenían en común esos sistemas era que su capacidad de almacenamiento era limitada y los buzones de correo se llenaban rápidamente, por lo que había que vaciarlos y respaldar localmente la información que considerábamos importante. Esto empezó a cambiar en 2004, cuando Google creó Gmail con una capacidad extraordinaria para el guardado comparado con el resto de proveedores de correo de la época: 1GB o el equivalente a 710 disquetes de 3 ½ . En pocos años, Gmail se convirtió en uno de los proveedores más populares y borrar correos electrónicos en algo del pasado. La capacidad de almacenamiento creció de manera similar del tamaño de los archivos multimedia que hoy son tan populares.

Con la popularización de los teléfonos inteligentes, pude vivir otra gran transformación: la integración directa entre mi información –como contactos, fotos, documentos y otros – y los servidores de las gigantes tecnológicas como Apple y Google. Esta costumbre de guardar la información en línea en servidores remotos fue adoptada por otras empresas y es lo que actualmente conocemos como “la nube”.

Durante los cerca de 40 años que llevo siendo usuario de la informática pude presenciar la transición del almacenamiento de forma local a remota. Cuando la información se guardaba de forma local sabíamos dónde estaba y éramos responsables de su cuidado. Cuando apareció la nube, cedimos esta información a terceros que guardan nuestros datos bajo criterios de acceso y respaldo que no siempre conocemos.

Somos datos, ¿dónde estamos?

Somos nuestros contactos, “dime con quién andas y te diré quién eres”. Somos nuestros chats, correos, fotos y videos que describen nuestra vida personal y profesional. Somos el lugar y la hora donde nos encontramos, lo que buscamos, lo que leemos, los likes que damos y los likes que no damos. Somos los documentos de texto, las hojas de cálculo y las presentaciones que hacemos. Somos las conversaciones que tenemos con la inteligencia artificial y muchos datos más.

Todos ellos se encuentran en la nube –lo que coloquialmente conocemos como la computadora de alguien más-. Google sabe lo que buscamos, nuestros correos electrónicos, ubicación, los documentos que escribimos y con quién colaboramos. Meta conoce nuestras interacciones sociales a través de plataformas como Facebook, Instagram o WhatsApp. Aquí citamos sólo dos ejemplos, pero vale la pena preguntarnos: ¿por qué estas empresas ofrecen tanto espacio para almacenar nuestra información de forma gratuita? Si para nosotras hay una ventaja clara en no depender de dispositivos frágiles o limitados, ¿qué beneficios obtienen ellas? ¿Cuál es el costo real de esta inesperada gentileza?

Hoy sabemos que estas empresas nos regalan espacio de almacenamiento porque esos datos les dan poder. Empresas como Google y Meta nos dan servicios “gratuitos” a cambio de nuestros datos, que luego utilizan para vender publicidad dirigida o generar nuevos productos que luego serán explorados económicamente. Desde hace algunos años estamos viviendo el boom de la inteligencia artificial, en particular de los modelos largos de lenguaje. ¿Nos hemos preguntado por qué aplicaciones como Gemini y ChatGPT saben lo que saben? Es muy probable que las hayamos estado entrenando con nuestros datos sin un consentimiento explícito.

Pero el uso comercial de nuestros datos por las gigantes de tecnología no es el único riesgo del modelo de almacenamiento en nube a nuestra privacidad. En 2013, Edward Snowden filtró documentos de inteligencia de EE. UU. que revelaron cómo este país y sus aliados utilizan la infraestructura de empresas como Google, Meta, Microsoft y Yahoo, entre otras, para espiar a sus usuarios. Ya pasaron 12 años desde estas filtraciones y si bien se han incorporado algunas protecciones adicionales a la información que circula en internet, lo más probable es que los datos almacenados en la nube sigan siendo espiados. Es más: es plausible pensar que el modelo se replica en otros contextos y la información almacenada en Tik Tok, Alibaba o Temu también sean accesibles por agencias del gobierno chino.

El éxito del modelo depende de las facilidades que puedan ofrecer en un contexto de abundancia (por no decir exceso) de información, versus la dificultad de tener mayor control. Pensemos en las fotografías que tomamos en nuestros teléfonos móviles. Por defecto, cuando se toma una fotografía, esta se sube a la nube de Google o a la de Apple. Personalmente, no quiero que mis momentos personales queden almacenados en una nube a la cual tienen acceso agencias de inteligencia de diferentes países del mundo. Es verdad que tanto Android como Apple permiten desactivar la característica de sincronizar nuestras fotos. ¿Pero qué pasa con las fotos donde aparezco, que fueron tomadas desde el celular de otra persona? ¿Mi exposición personal queda entonces dependiente de la consciencia de una persona desconocida? 

¿Qué podemos hacer?

Existen datos sobre los que podemos tener control de forma individual, otros que podemos controlar de forma colectiva y otros sobre los que no tenemos control directo. Para proteger nuestra privacidad, podemos pensar en almacenar la información privada de manera local. Si pensamos en un documento de texto, podemos utilizar herramientas como LibreOffice en lugar de Office 365 o Google Docs, que están conectados a las nubes de sus proveedoras. Si pensamos en fotos tomadas en nuestro teléfono, podemos desactivar la sincronización de las mismas, tanto en Android como iPhone.

Sí, gran parte de las buenas prácticas en gestión de información personal actualmente requieren resistir a las supuestas facilidades ofrecidas por los servicios dominantes y cambiar prácticas para lograr recuperar nuestra autonomía. Al almacenar la información de manera local, ganamos en privacidad, pero puede ser que, al menos al inicio, perdamos en conveniencia.

Podemos experimentar vivir la digitalización de otras formas. Por ejemplo, para respaldar las fotos y otros documentos de un teléfono, podemos utilizar el cable de datos para transferir la información a nuestra computadora y de la computadora podemos usar un disco duro externo para respaldar nuestros datos. También se puede acceder a soluciones más sofisticadas utilizando herramientas libres como Syncthing o mediante un servidor de archivos.

También podemos utilizar aplicaciones cifradas como Signal. Si queremos compartir más documentos, podríamos buscar nubes en las que confiemos o incluso utilizar nubes en las que no confiamos pero cifrar nuestros documentos con herramientas como Veracrypt.

En organizaciones o comunidades donde se cuenta con determinados recursos, se puede utilizar infraestructura propia y autónoma con herramientas de software libre. En el caso de Derechos Digitales, compartimos nuestros documentos a través de una instancia propia de  Nextcloud, los redactamos utilizando OnlyOffice o a través de pads. Nuestras conversaciones suceden a través de nuestra propia plataforma de chat cifrada y autónoma. En el caso de los correos, si bien no controlamos nuestro servidor, sí estamos en la capacidad de cifrar correos sensibles utilizando aplicaciones como Thunderbird.

Tener control sobre el lugar donde se almacena nuestra información o cifrar la información sensible en lugares que no controlamos es una forma de ejercer nuestro derecho a la privacidad. Lamentablemente eso no siempre es una tarea sencilla o posible. Por eso es que seguimos luchando para que cualquier recolección o uso de nuestros datos se haga en base a criterios muy bien establecidos de modo que se garantice el respeto y la protección de nuestros derechos. Y una forma de resguardar nuestra privacidad es defendiendo el cifrado, el anonimato y la privacidad por diseño, intentando alinear nuestra comodidad con el ejercicio de los Derechos Humanos.

Nuestras vidas suceden en el espacio digital y, por tanto, quedan documentadas. Entender dónde se almacenan es el primer paso para poder cuidar nuestros datos y nuestra privacidad. Es fundamental que la ciudadanía tenga una visión crítica de la vida digital y poder explorar alternativas tecnológicas que nos permitan retomar el control sobre nuestra información.