Derechos Digitales presentó una contribución al llamado de la ACNUDH sobre la protección de personas defensores de derechos humanos en la era digital. Proporcionamos información centralizada sobre las tendencias en la legislación que afectan el trabajo y la seguridad de los defensores de derechos humanos; la importancia de las comunicaciones digitales para su trabajo y sus acciones de incidencia; los riesgos que enfrentan relacionados con su privacidad y bienestar integral; y la centralidad de las respuestas corporativas.
Temática: Privacidad
Contribución a la encuesta en línea de la Oficina de Derechos Humanos de las Naciones Unidas sobre el espacio de la sociedad civil
Derechos Digitales respondió a la encuesta en línea de la Oficina de Derechos Humanos de las Naciones Unidas sobre el espacio cívico para informar sobre las tendencias legislativas e institucionales emergentes relativas al espacio de la sociedad civil en América Latina. Nuestras respuestas a esta encuesta destacan la reducción generalizada del espacio cívico en toda América Latina. Subrayamos que esta tendencia regresiva amenaza a la sociedad civil en Perú, Paraguay, Guatemala, Nicaragua, El Salvador, Venezuela y Ecuador.
WhatsApp y la Unión Europea: ¿Descentralización de las comunicaciones digitales?
A diario nos comunicamos a través de WhatsApp: compartimos conversaciones con ex compañeros de colegio, decidimos sobre asuntos familiares y profesionales, vivimos el romance; muchas alegrías y tristezas suceden en esta plataforma. Casi todas las personas con un teléfono inteligente en América Latina utilizamos WhatsApp y somos más de 3 mil millones personas en el mundo.
Es así como Meta, dueña de WhatsApp, es responsable de las comunicaciones de gran parte del planeta. Es decir, una caída técnica, una prohibición de funcionamiento o un conflicto empresarial pueden tener consecuencias globales. Algo que ya ocurrió en el pasado y sobre lo cual reflexionamos en su momento.
Desde un punto de vista tecnopolítico, existe un problema de concentración de poder. Nuestras conversaciones fluyen a través de una de las aplicaciones de Meta. Si bien se supone que WhatsApp usa cifrado extremo a extremo, ya solo usar la aplicación implica entregarle nuestros metadatos. Esto quiere decir que nuestros contactos, con qué frecuencia hablamos con ellos, desde dónde y a qué hora, además de gran cantidad de información adicional, es recolectada por Meta por el simple hecho de usar sus servicios.
La concentración de poder no solo tiene implicancias en materia de privacidad. Por ejemplo, una aplicación de la cual dependen buena parte de las comunicaciones de la población podría verse amenazada por un conflicto geopolítico. Es decir, esta dependencia convierte a una herramienta de comunicación en un arma para el conflicto entre Estados.
A raíz de las revelaciones de Snowden, desde 2013 sabemos que EE. UU. utiliza las plataformas digitales de empresas estadounidenses para espiar las comunicaciones globales. Los embargos económicos de EE. UU. también implican restricciones en la adquisición de software a países como Cuba, Irán y Siria. Con estos antecedentes, cabe preguntarse: ¿qué pasaría si EE. UU. entrara en guerra con Europa a causa de Groenlandia? ¿WhatsApp funcionaría sin problemas para las personas europeas?
Este tipo de escenarios plantean preocupaciones globales que no son nuevas: desde distintas regiones y Estados del mundo existen múltiples intentos para tensionar la concentración económica, de datos y de poder en el entorno digital. En el caso de la Unión Europea (UE), tomaron la decisión de regular las plataformas digitales buscando establecer criterios y límites claros por medio de la Ley de Mercados Digitales (DMA por sus siglas en inglés).
Descentralizar la mensajería por ley
Los aspectos de concentración de poder, soberanía digital y privacidad, motivaron a la UE a crear la Ley DMA. Esta normativa busca regular a las empresas que dominan el mercado digital, denominadas en la legislación como “guardianes de acceso” (gatekeepers en inglés), para evitar abusos de poder, prácticas anticompetitivas y garantizar la interoperabilidad con plataformas más pequeñas. WhatsApp (Meta) fue designada como “gatekeeper” en 2023, entre otros motivos por tener más de 45 millones de personas usuarias activas al mes dentro de la UE. Esta condición le obliga a cumplir con los requisitos de la DMA, incluyendo la obligación de poder interoperar con plataformas más pequeñas.
La expectativa de una legislación de estas características es ambiciosa: permitir a las personas conversaciones a través de distintos servicios conectados. La consecuencia debería ser que quienes utilizan aplicaciones como Signal, Telegram, o plataformas europeas como Threema o Wire, se puedan comunicar con aquellas que tienen WhatsApp.
Sin embargo, la implementación conlleva una paradoja. La forma en la que está redactada la ley obliga a la plataforma que se quiere regular a que defina las reglas técnicas mediante las cuáles interactuaría con otras aplicaciones. La legislación estableció que hasta marzo de 2024, WhatsApp debía definir e implementar un plan para interactuar con otras plataformas. A fines de 2025, WhatsApp comenzó a interoperar con otras aplicaciones, pero solo con dos: Haiket y BirdyChat, recientemente creadas, y de las cuales se sabe muy poco.
Aplicaciones como Signal o Threema se oponen a la interoperatividad planteada por la DMA. Las dos empresas sostienen que su enfoque en favor de la privacidad y seguridad podría verse vulnerado al interactuar con otros proveedores ya que, de esta manera, no pueden asegurar el cuidado de los datos cuando pasan a manos de proveedores como WhatsApp. Al ser aplicaciones con bases de usuarios más pequeñas que WhatsApp, no son vistas como “guardianes de acceso” y por lo tanto no tienen obligación de cumplir con la DMA.
La ley podría así lograr que WhatsApp se conecte con aplicaciones irrelevantes, mientras que sus competidores más sólidos se mantienen al margen, dejando su dominio prácticamente intacto.
Los estándares abiertos y la idea de federación
Lo que la UE quiere hacer con WhatsApp es muy parecido a lo que se conoce como federación: un sistema donde plataformas independientes pueden comunicarse entre sí usando estándares abiertos. Un ejemplo es el correo electrónico: las personas que usan Gmail pueden comunicarse con otras que utilizan casillas de Outlook, Protonmail u otro proveedor. Si bien Gmail, con 1800 millones de usuarios, es un actor dominante en el terreno del correo electrónico, no es quien pone las reglas sobre las cuales se comunican los otros proveedores. Esto es posible gracias a protocolos consensuados como el “Protocolo Simple de Transferencia de Correo” (SMTP en inglés), sin la necesidad de intervención estatal.
Hay una diferencia clave: el correo electrónico surgió de la colaboración voluntaria entre desarrolladores que construyeron internet, acordando reglas para un sistema de correspondencia digital asincrónico y federado que previamente no existía.
Siguiendo la tradición de estándares federados, a inicios de este siglo surgió el “Protocolo extensible de mensajería y comunicación de presencia” (XMPP en inglés), inspirado en el servicio de correo electrónico donde las cuentas son del tipo usuario@dominio.com. Se trata de un protocolo conocido y utilizado por comunidades como las del software libre. Hasta 2013, Google Talk, el chat de Gmail en ese momento, implementaba este mecanismo mediante el cual una cuenta de Gmail podía comunicarse con cuentas de chat alojadas en servidores más pequeños y diversos.
Curiosamente, WhatsApp utiliza una versión modificada de XMPP conocida como FunXMPPque está optimizada para las necesidades de la aplicación y que además desactiva las funcionalidades de federación.
De todas formas, XMPP no es la única opción para comunicaciones de chat federadas. En 2014 se empezó a construir el protocolo Matrix con características similares a XMPP, pero con el cifrado extremo a extremo desarrollado como parte fundamental del protocolo, con el fin de cuidar su seguridad. En la actualidad, en Derechos Digitales utilizamos este estándar como la base de nuestra oficina virtual en un servidor manejado por nuestro equipo técnico. Incluso nos podemos comunicar con otras organizaciones que también van por el mismo camino: la apropiación de nuestras comunicaciones.
XMPP y Matrix no son protocolos perfectos y tienen muchos aspectos por mejorar. El primero tuvo un desarrollo lento y el soporte de chat cifrado entre extremos no fue adoptado por todos los servidores y clientes. Matrix resuelve el problema de cifrado extremo a extremo, pero también podría mejorar para establecerse como un estándar oficial. Igualmente, estos aspectos no opacan su relevancia como protocolos abiertos que sostienen el espíritu de la comunicación descentralizada y abierta que caracteriza a internet.
Fortalecer protocolos y estándares para una soberanía tecnológica
El intento de la UE apunta a fortalecer una internet más descentralizada y con menos concentración de poder en pocas empresas. Más allá de una perspectiva política, la apuesta refleja preocupaciones técnicas profundas sobre la resiliencia de las comunicaciones digitales a través de la independencia tecnológica, el cifrado y la interoperabilidad. Si bien representa un avance significativo, aún quedan dudas sobre la estrategia de dar el control sobre la forma de federarse a las aplicaciones que se quieren regular.
Por otro lado, las soluciones basadas en estándares abiertos, como XMPP y Matrix, ayudan a poner las mismas reglas para todas las aplicaciones que implementan el estándar. Es decir, en lugar de que WhatsApp defina cómo se comunica con el resto, el estándar abierto define las reglas por las que todas las partes se comunican entre sí. De esta manera, no se le da un poder especial a la aplicación que se pretende regular, similar a lo que sucede con el correo electrónico y Gmail.
Moverse a un sistema federado tiene ventajas como la independencia de proveedor, eliminar un único punto de fallo y la posibilidad de tener infraestructura propia para nuestras comunicaciones. También nos presenta retos: los organismos de estandarización técnicos deben acordar las actualizaciones de los estándares a futuro.
En América Latina, nuestros gobiernos ni se asoman a este tipo de discusiones, y somos pocas las comunidades que estamos reflexionando sobre estos temas. Sin embargo, los estándares abiertos están disponibles, y si organizaciones como Derechos Digitales pueden tener su propio servidor de chat federado, seguramente muchas otras también puedan emprender el mismo camino hacia una soberanía tecnológica cada vez mayor.
Amicus Curiae ante la Corte Constitucional de Ecuador en beneficio de Ola Bini
Presentamos opinión enfocada en la necesidad de protección del trabajo de las personas defensoras de derechos humanos en la esfera digital, en el caso de Ola Bini que está bajo trámite ante la Corte Constitucional de Ecuador.
Amicus ante la Corte Constitucional de Ecuador en defensa de Ola Bini
Amicus presentado por Derechos Digitales ante la Corte Constitucional de Ecuador por la Acción Extraordinaria de Protección 2470-25-EP en favor de Ola Bini. Nuestros argumentos destacan la relevancia del caso para que la Corte se pronuncie a favor de la protección del derecho a defender los derechos digitales.
El negocio del iris: Colombia marca un precedente regional al frenar las operaciones de World Foundation y Tools for Humanity
El pasado 3 de octubre, la Superintendencia de Industria y Comercio (SIC) de Colombia, autoridad en materia de protección de datos personales, ordenó el cierre inmediato y definitivo de las operaciones de World Foundation y Tools for Humanity, por incumplir la legislación nacional de protección de datos. Además, les impuso la obligación de eliminar toda la información personal sensible bajo su custodia.
World Foundation, organización sin fines de lucro, administra el sistema de verificación de identidad basado en el iris conocido como World ID. Tools for Humanity, su socio operativo y compañía privada, es la creadora del Orbe -el dispositivo esférico de escaneo ocular-, además de la billetera digital World App y la criptomoneda Worldcoin (WLD).
Estas tecnologías, impulsadas por actores -entre ellos Sam Altman, CEO de OpenAI– con intereses que van desde lo social hasta lo comercial, convergen en una misma propuesta: construir una “prueba de humanidad” segura y anónima, un sistema capaz de distinguir a las personas reales de los bots en la era de la Inteligencia Artificial Generativa (GenAI), también promovida por el propio Altman.
En 2024, World -nombre que agrupa tanto a la fundación como a su rama con fines de lucro- inició operaciones en Colombia, llegando a 17 ciudades. Su desembarco se enmarcó en un intenso lobby ante la SIC, en un intento por demostrar la compatibilidad de su modelo de negocio con la legislación local.
Sin embargo, la llamada “prueba de humanidad” ha estado lejos de ser un modelo de negocio pacífico. Autoridades de protección de datos en Argentina, Alemania, Corea del Sur, España, Francia, Filipinas, Hong Kong, Kenia, Portugal, Tailandia, Italia, Perú y más recientemente Chile y Brasil, han alertado, investigado o suspendido total o parcialmente las actividades de ambas organizaciones. Las decisiones se tomaron principalmente por deficiencias en la información proporcionada sobre las condiciones del tratamiento de datos biométricos; recolección de datos sensibles de menores de edad sin el consentimiento de sus familias o tutores; e imposibilidad para que las personas titulares retiren o revoquen su consentimiento una vez otorgado.
El registro en el Orbe: un diseño técnico con profundas implicaciones jurídicas
El proceso de entrega de datos personales a World no ocurre en un solo momento ni bajo un único responsable: los datos atraviesan distintas etapas tecnológicas y jurídicas a lo largo de su ciclo de vida.
Primero, durante el registro inicial en la billetera digital (World App), se solicitan datos personales diversos: nombre, teléfono, correo electrónico, cuenta bancaria y otros metadatos asociados al dispositivo móvil. Información que es tratada por Tools for Humanity.
El registro permite localizar el Orbe más cercano y programar una cita para el escaneo. En esta fase, el dispositivo captura el iris y el rostro de la persona. La obtención masiva de este tipo de datos es el ingrediente clave para saciar el apetito de entrenamiento del algoritmo de World, que determina si uno es o no una persona humana. De esta información personal es responsable World Foundation.
Vale la pena añadir dos cuestiones en esta fase. Por una parte, que el escaneo del iris se transforma en menos de 10 segundos: la imagen del iris y rostro se convierte en un código hash cifrado, basado en un protocolo de blockchain, o sea, en una larga hilera de números y letras. Esto es así para dar mayor seguridad y privacidad a los datos, según World. Y por otra, que el hash cifrado se fragmenta y almacena entre terceros, es decir, se descentraliza su custodia con el objetivo de dar mayor seguridad y confianza, pues evita la concentración de información en un único actor.
Cuando el registro es exitoso, la persona usuaria recibe en su billetera un depósito de 10 WLD, equivalentes a aproximadamente 50 USD (unos 200 mil pesos colombianos). De este proceso se desprenden varios puntos críticos:
- En la descarga y registro en World App, persiste el tratamiento de datos personales. Estos datos no son anonimizados, por lo que el titular conserva el ejercicio de sus derechos de actualización, rectificación, cancelación y oposición (ARCO).
- En el Orbe, los datos personales dejan de serlo en cuestión de segundos. Por la velocidad con que acontece dicho proceso, World ha reconocido ante otras autoridades –como la de Brasil– que resulta técnicamente imposible retractar el consentimiento después del escaneo del iris.
- Si la imagen del iris es efectivamente anonimizada, los responsables de su tratamiento no estarían, en principio, sujetos a la legislación de protección de datos, pues los datos dejarían de identificar o hacer identificable a su titular. Eso sí, se debe probar que ese proceso es irreversible, efectivo y permanente.
- El cifrado, que protege la información de accesos no autorizados, es un componente que debe permear todo el ciclo de vida del dato, sea personal o no.
El análisis de la SIC: políticas de tratamiento y consentimiento
La SIC evaluó la compatibilidad de las políticas de tratamiento de datos de World App y World ID con la Ley 1581 de 2012, y llegó a estas conclusiones: no están disponibles en su mayoría en idioma español, no identifican un responsable del tratamiento en Colombia, no ofrecen mecanismos claros de consulta o queja, no especifican las finalidades del tratamiento ni los tipos de datos recogidos, y no contemplan procedimientos para ejercer los derechos ARCO. En el proceso ante la SIC emergieron dudas sobre la anonimización y el cifrado de los datos extraídos por el Orbe.
World no aclaró ante la autoridad las medidas de seguridad que aplica en esa tecnología de reconocimiento facial, donde las imágenes de los iris estarían más expuestas, ni ofreció pruebas claras de que el anonimato sea irreversible y efectivo, o que el cifrado se mantenga en toda el ciclo de vida del dato.
De hecho, un reporte de auditoría de 2024 del protocolo de cifrado de World, sugirió fallas críticas de seguridad que, según la SIC, no habrían sido solucionadas.
Ahora bien, si realmente se trata de información anonimizada, ¿cómo cambia esto las obligaciones legales de World Foundation y Tools for Humanity? Y, ¿qué deberes recaen sobre los terceros en quienes se descentraliza el almacenamiento de datos? Incluso antes de la anonimización, ¿cómo podría una persona titular ejercer el retracto o cancelación de su consentimiento una vez registrado en el Orbe? Y, ¿cómo obligar a World a garantizar ese derecho?
La SIC, por su parte, sostuvo que el código hash permitiría identificar o hacer identificable al titular del dato. De ser cierta esta afirmación, el proyecto World estaría poniendo en muy grave peligro el tratamiento de datos biométricos y fallando a la promesa detrás de su modelo de negocio.
También, la entidad determinó que las y los usuarios no otorgaron un consentimiento informado ni libre, no solo en razón a los defectos de las políticas de tratamiento de datos del proyecto World, sino a vicios en la libertad de acción de las personas: “el consentimiento que otorga el titular debe responder únicamente a su propia voluntad y no a la entrega de cualquier tipo de contraprestación que pueda condicionarlo” (p. 30).
Sobre este punto, vale la pena señalar que la autoridad brasileña de datos (ANPD) suspendió en ese país recientemente la entrega de criptomonedas por el escaneo del iris. En ese caso, World se defendió al calificar la entrega del WLD como un incentivo, no como una contraprestación. Una diferencia conceptual que la ANPD desvirtuó al señalar que, tratándose de personas vulnerables, los incentivos se convierten en salvavidas que terminan explotando los datos de quienes no tienen otra alternativa económica.
Ese enfoque habría enriquecido la decisión de la SIC, pues no deja de ser cierto que el despliegue de World se concentra mayoritariamente en países de rentas media y baja, y que sin ese “incentivo” no habría obtenido para enero de 2025 el iris de más de 10 millones de personas.
La estrategia de World: disputar lo procesal y fingir demencia
La respuesta de World Foundation y Tools for Humanity fue predecible: alegar violaciones al debido proceso, o sea, supuestos errores en la notificación de las decisiones de la autoridad que fueron remitidas a World Foundation, cuando la encargada de responder era Tools for Humanity, o viceversa. En este año y medio, sí se dieron por enteradas de cada respuesta y solicitud de la autoridad, como se lee en el proceso.
Frente a los requerimientos de la SIC sobre la legalidad de sus políticas de tratamiento, su defensa fue igualmente débil: afirmaron, entre otros, que la ley no los obligaba a detallar ciertos aspectos, como las medidas de seguridad aplicadas al tratamiento de los datos, o que hacerlo resultaba demasiado costoso, como designar un responsable local en Colombia. Argumentos que se derrumbaron por su propio peso, ¿a qué argumentos habrían acudido en 2024 en las acciones de lobby donde buscaban mostrar su adherencia a la norma local?
Las preguntas que quedan abiertas
Las incógnitas tras la decisión de la SIC son numerosas. Ambas organizaciones deben eliminar todos los datos personales obtenidos a través de World App y del Orbe, pero ¿cómo garantizarán que la información -incluso la que ha sido anonimizada- haya sido completamente retirada de los conjuntos de datos utilizados para entrenar a sus algoritmos? Y, ¿cómo se comprometerán a que no queden registros del código hash en manos de los “terceros de confianza”?
El caso de World en Colombia revela algunas de las grietas en el negocio de la “prueba de humanidad” que promete protegernos de los bots pero que termina, paradójicamente, enfrentándonos a un dilema más complejo: quién controla, con qué fines y bajo qué garantías, la prueba de que somos humanos.
Como quiera que sea, la decisión de la SIC marca un precedente relevante para América Latina pues nos remite de nuevo a preguntas que dejan de ser tecnológicas y se vuelven profundamente políticas: ¿cuál es el precio estamos dispuestos a pagar por demostrar que existimos? Y sobre todo, ¿cuál es la responsabilidad ética y jurídica de quienes generan “soluciones” tecnológicas inescrutables para problemas que en parte han contribuido en crear?
Filtraciones de datos: el costo ciudadano de la negligencia digital
Cada nueva filtración de datos parece encontrarnos igual: con indiferencia y resignación. No es apatía, sino cansancio. “Total, no tengo nada que ocultar, no soy tan importante”, es una de las frases más repetidas, que refleja cómo se ha instalado la idea de que la privacidad no importa. Esa resignación, alimentada por la negligencia de las empresas y entidades estatales que almacenan nuestros datos, está erosionando la confianza social y normalizando la idea de que la privacidad deje de percibirse como un derecho básico.
Se trata de un fenómeno que no surge de la nada. En lo que va del año, ya podemos constatar múltiples casos en distintos países de América Latina. En Argentina una app estatal comprometió 13 mil perfiles; en Uruguay se vendió una base de datos estatal con más de medio millón de registros; en México un ataque a una boletera dejó al descubierto datos bancarios de 80 mil personas; en Paraguay se filtraron más de 7 millones de registros del Tribunal Superior de Justicia Electoral; en El Salvador una gestora de cobros perdió más de 140 gigabytes de información de sus clientes; y en Venezuela se reportó la exposición de más de 3,2 millones de personas usuarias de Movistar. En estas filtraciones suelen aparecer datos como el documento de identidad, nombres, fechas de nacimiento, direcciones, teléfonos. Muchos incidentes incluyen además información sensible como fotografías, firmas, huellas, historiales médicos, registros laborales y socioeconómicos.
Desde el tecnicismo, estos campos se presentan como simples columnas en una base de datos, pero en realidad cada una de esas columnas corresponde a fragmentos de nuestras vidas: quiénes somos, dónde vivimos, cómo trabajamos y hasta qué padecemos. Reducir la información a tablas y registros invisibiliza que detrás de cada dato hay una persona con derechos que pueden ser vulnerados si su información personal queda expuesta.
Cuando la tecnología falla, las personas lo sufren
Tanto el sector privado como el público parecen estar en una carrera sin fin hacia la “innovación”, pero ¿qué valor tiene hablar de innovación si se construye sobre la exposición constante de los datos de la ciudadanía? Innovar no debería significar coleccionar más información de la necesaria ni esconder en la letra pequeña cómo se utiliza. Tiene que incluir el diseño de sistemas no solo funcionales, sino también seguros y accesibles, que no trasladen todo el riesgo a las personas. Mientras eso no ocurra, la llamada “innovación” seguirá siendo un discurso vacío, blindado a través de comunicados tardíos que llegan cuando el daño ya está hecho.
Las filtraciones permiten que datos que parecen administrativos se transformen en herramientas de delito. Con un número de documento, y otras informaciones básicas que suelen aparecer en un carnet de identidad, un delincuente puede solicitar préstamos o abrir cuentas bancarias a nombre de otra persona. Con direcciones y teléfonos filtrados, las extorsiones y estafas se multiplican. Esa información llegó a utilizarse incluso para inscribir a personas en partidos políticos sin su consentimiento, como ocurrió en el caso de la filtración de la base de datos del Reniec en Perú, el cual facilitó afiliaciones masivas a organizaciones políticas sin autorización ciudadana.
La mayoría de los ciberataques ocurridos entre 2023 y 2024 contra organizaciones latinoamericanas derivó en filtraciones de datos, que representaron el 53% de los casos. Más de la mitad de la información robada correspondió a datos personales (32%) y credenciales de cuentas (21%), revelando cómo el contenido filtrado es insumo para el delito digital.
No todas las personas enfrentan los mismos riesgos cuando sus datos quedan al descubierto. Las mujeres suelen ser blanco de violencia digital: acosadores que utilizan sus fotos o números de teléfono para hostigarlas, amenazarlas o enviarles contenido sexual. Niñas, niños y adolescentes quedan especialmente vulnerables a engaños en línea o a ser fácilmente identificables, lo que conlleva a riesgosas situaciones de trata y violencia infantil. Las personas defensoras de Derechos Humanos o pertenecientes a la comunidad LGTBIQA+ quedan expuestas a campañas de acoso y criminalización si su información personal se hace pública. En muchos casos esto ocurre a través del doxxing, es decir, la exposición maliciosa de datos personales en Internet. Las filtraciones masivas de bases de datos que luego circulan abiertamente en la web —ya sea en foros de la Darkweb o en canales de compraventa de Telegram— alimentan estas prácticas, amplificando el hostigamiento y poniendo en riesgo la garantía de derechos en general.
Los datos socioeconómicos filtrados también agravan la desigualdad: un historial de deudas o la procedencia de un barrio estigmatizado pueden bastar para que alguien sea descartado en un proceso laboral. Entonces, si miramos estas filtraciones solo como un problema técnico, pasamos por alto que en realidad refuerzan estructuras de discriminación y amplifican violencias que ya existen históricamente en nuestra sociedad.
Medidas urgentes para resguardar la confianza
Uno de los mayores descuidos suele ubicarse en el control de accesos: se debe garantizar que solo las personas autorizadas puedan acceder a los sistemas que almacenan nuestra información y que esos permisos deban ser revisados de forma constante y eliminados cuando ya no correspondan. No hacerlo puede derivar en situaciones graves. En un caso reciente en Perú, un extrabajador de una empresa de telecomunicaciones fue investigado penalmente porque delincuentes aprovecharon un acceso a su nombre que nunca había sido desactivado para ingresar a la base de datos personales nacional y, con esa información, suplantar personas, cambiar titularidad de líneas móviles y robar cuentas bancarias.
Para prevenir estos delitos, es necesaria la aplicación del principio de “mínimo privilegio”, es decir, que cada persona que trabaja en las entidades que almacenan nuestros datos tenga únicamente los accesos que necesita para cumplir su función, y desactivar de inmediato los accesos de quienes dejan esa institución.
Asimismo, la adopción de autenticación multifactor (MFA) en todos los accesos administrativos junto al uso de gestores de contraseñas, reduce significativamente el riesgo de intrusiones. La MFA consiste en combinar al menos dos métodos distintos de verificación, como por ejemplo: algo que sabemos (una contraseña), algo que tenemos (un celular o un token físico) y algo que somos (huella digital o rasgos faciales). No obstante, este último método -la biometría- actualmente no es una solución libre de riesgos. En Brasil, por ejemplo, se investigó un esquema que vulneró los sistemas de biometría del portal gov.br mediante técnicas de manipulación de imágenes, accediendo de forma indebida a datos personales.
Otra medida indispensable es el cifrado. En pleno 2025 todavía vemos bases de datos expuestas y archivos circulando sin protección, como si fueran documentos abiertos al público. Ese tipo de fallo de seguridad permitió la intrusión fraudulenta a los registros de más de 243 millones de personas en Brasil en 2020, cuando credenciales del Ministerio de Salud quedaron expuestas en el código fuente de una página oficial durante al menos seis meses. Toda información debe almacenarse cifrada y toda transferencia de información debe viajar por canales seguros, como ocurre con las páginas web que usan HTTPS en lugar del inseguro HTTP.
La seguridad exige constancia: auditar accesos, detectar patrones anómalos como consultas masivas o fuera de horario y mantener registros verificables. Cada ingreso debe quedar trazado y cada alerta investigada a tiempo, porque no sirve reaccionar cuando el daño ya está hecho. La ciudadanía tiene derecho al resguardo de sus datos y su privacidad y no solo a que se informe livianamente después de un incidente. Cada registro ignorado o cada log sin revisar es, en realidad, una decisión sobre cuánto valoran las instituciones la confianza pública.
Tan importante como proteger los sistemas es cuestionar la cantidad de información que se recolecta. Muchas filtraciones se podrían haber evitado si las organizaciones no hubieran almacenado más datos de los necesarios. Guardar copias indefinidas de documentos, recolectar información sensible “por si acaso” o para generar publicidad, no establecer plazos claros de eliminación, todo esto multiplica los riesgos.
De todas formas, ninguna herramienta sustituye a una cultura de seguridad que ponga a las personas en el centro. Una capacitación en seguridad digital de media hora una vez al año no forma conciencia ni previene errores. Las instituciones necesitan contar con una política de seguridad digital, dotada de equipos profesionales preparados, protocolos claros y un compromiso real desde la dirección hasta el último nivel operativo. A menudo vemos gastos millonarios en sistemas de seguridad, pero la tecnología por sí sola no es suficiente si no se acompaña de procesos claros de prevención, detección y respuesta, y de especialistas capacitados que entiendan que están protegiendo a personas, no solo datos o dispositivos.
Cuando la ley no alcanza
Varios países de América Latina cuentan hoy con leyes de protección de datos personales y autoridades de regulación. Sin embargo, los casos recientes demuestran que lejos de resolverse, esta problemática se vuelve recurrente en nuestra región: tanto empresas como entidades estatales vuelven a tener filtraciones que afectan a millones de personas. El marco regulatorio, aunque necesario, se muestra insuficiente si no existe la capacidad y voluntad de hacerlo cumplir.
Proteger los datos es un deber político y ético. El Estado debe garantizar derechos y construir confianza ciudadana, y las instituciones -públicas y privadas- asumir que detrás de cada registro hay vidas humanas. Mientras nuestra región no entienda que la privacidad es parte de la dignidad, seguiremos tratando las filtraciones como simples fallas técnicas, cuando en realidad evidencian la falta de compromiso público con la protección de derechos.
Datos, privacidad y nuestra huella digital
Tuve la suerte de experimentar con computadoras desde niño en la década de 1980. En esa época la información se guardaba en disquetes, primero los de 5 ¼, luego los de 3 ½. El disquete de mayor capacidad no podría almacenar una sola foto de la que tomamos hoy en día con un teléfono móvil. Sin embargo, en ellos guardábamos videojuegos -lo que más me gustaba en esa época-, archivos de texto y hojas de cálculo. Si bien era poca la información que estos dispositivos almacenaban, las personas eran muy conscientes de su importancia y era común tener varias copias de un documento en distintos disquetes. Con el tiempo, la capacidad de almacenamiento se incrementó y las computadoras personales empezaron a traer discos duros donde se podía guardar mucha más información. Eso sí, era importante respaldarla en disquetes porque la computadora podía dañarse con virus o con alguna descarga eléctrica.
Ya en los 90 se popularizaron los discos compactos (CD por sus siglas en inglés), primero para música y luego para software más complejo que podía almacenar mucha más información. La capacidad de un solo CD era equivalente a la de, aproximadamente, 484 disquetes y la disponibilidad de espacio facilitó la popularización, entre las personas usuarias de ese entonces, de la grabación de multimedia, como música, fotos y videos. Durante esa época, algunas personas tuvimos la suerte de conectarnos a internet, a través de la telefonía fija de las casas utilizando el sistema de dial-up. Si bien las conexiones eran muy lentas, y el contenido multimedia limitado, algo importante empezó a cambiar en relación a la gestión de nuestra información y todavía no teníamos noción de esto: nuestros datos se comenzaban a guardar de manera remota.
En sus inicios, utilizábamos internet para aprender, investigar y comunicarnos. El correo electrónico era la principal forma de comunicación y, a finales de los 90, si no tenías un correo de Hotmail, era de Yahoo, aunque había otros también. Sin embargo, lo que tenían en común esos sistemas era que su capacidad de almacenamiento era limitada y los buzones de correo se llenaban rápidamente, por lo que había que vaciarlos y respaldar localmente la información que considerábamos importante. Esto empezó a cambiar en 2004, cuando Google creó Gmail con una capacidad extraordinaria para el guardado comparado con el resto de proveedores de correo de la época: 1GB o el equivalente a 710 disquetes de 3 ½ . En pocos años, Gmail se convirtió en uno de los proveedores más populares y borrar correos electrónicos en algo del pasado. La capacidad de almacenamiento creció de manera similar del tamaño de los archivos multimedia que hoy son tan populares.
Con la popularización de los teléfonos inteligentes, pude vivir otra gran transformación: la integración directa entre mi información –como contactos, fotos, documentos y otros – y los servidores de las gigantes tecnológicas como Apple y Google. Esta costumbre de guardar la información en línea en servidores remotos fue adoptada por otras empresas y es lo que actualmente conocemos como “la nube”.
Durante los cerca de 40 años que llevo siendo usuario de la informática pude presenciar la transición del almacenamiento de forma local a remota. Cuando la información se guardaba de forma local sabíamos dónde estaba y éramos responsables de su cuidado. Cuando apareció la nube, cedimos esta información a terceros que guardan nuestros datos bajo criterios de acceso y respaldo que no siempre conocemos.
Somos datos, ¿dónde estamos?
Somos nuestros contactos, “dime con quién andas y te diré quién eres”. Somos nuestros chats, correos, fotos y videos que describen nuestra vida personal y profesional. Somos el lugar y la hora donde nos encontramos, lo que buscamos, lo que leemos, los likes que damos y los likes que no damos. Somos los documentos de texto, las hojas de cálculo y las presentaciones que hacemos. Somos las conversaciones que tenemos con la inteligencia artificial y muchos datos más.
Todos ellos se encuentran en la nube –lo que coloquialmente conocemos como la computadora de alguien más-. Google sabe lo que buscamos, nuestros correos electrónicos, ubicación, los documentos que escribimos y con quién colaboramos. Meta conoce nuestras interacciones sociales a través de plataformas como Facebook, Instagram o WhatsApp. Aquí citamos sólo dos ejemplos, pero vale la pena preguntarnos: ¿por qué estas empresas ofrecen tanto espacio para almacenar nuestra información de forma gratuita? Si para nosotras hay una ventaja clara en no depender de dispositivos frágiles o limitados, ¿qué beneficios obtienen ellas? ¿Cuál es el costo real de esta inesperada gentileza?
Hoy sabemos que estas empresas nos regalan espacio de almacenamiento porque esos datos les dan poder. Empresas como Google y Meta nos dan servicios “gratuitos” a cambio de nuestros datos, que luego utilizan para vender publicidad dirigida o generar nuevos productos que luego serán explorados económicamente. Desde hace algunos años estamos viviendo el boom de la inteligencia artificial, en particular de los modelos largos de lenguaje. ¿Nos hemos preguntado por qué aplicaciones como Gemini y ChatGPT saben lo que saben? Es muy probable que las hayamos estado entrenando con nuestros datos sin un consentimiento explícito.
Pero el uso comercial de nuestros datos por las gigantes de tecnología no es el único riesgo del modelo de almacenamiento en nube a nuestra privacidad. En 2013, Edward Snowden filtró documentos de inteligencia de EE. UU. que revelaron cómo este país y sus aliados utilizan la infraestructura de empresas como Google, Meta, Microsoft y Yahoo, entre otras, para espiar a sus usuarios. Ya pasaron 12 años desde estas filtraciones y si bien se han incorporado algunas protecciones adicionales a la información que circula en internet, lo más probable es que los datos almacenados en la nube sigan siendo espiados. Es más: es plausible pensar que el modelo se replica en otros contextos y la información almacenada en Tik Tok, Alibaba o Temu también sean accesibles por agencias del gobierno chino.
El éxito del modelo depende de las facilidades que puedan ofrecer en un contexto de abundancia (por no decir exceso) de información, versus la dificultad de tener mayor control. Pensemos en las fotografías que tomamos en nuestros teléfonos móviles. Por defecto, cuando se toma una fotografía, esta se sube a la nube de Google o a la de Apple. Personalmente, no quiero que mis momentos personales queden almacenados en una nube a la cual tienen acceso agencias de inteligencia de diferentes países del mundo. Es verdad que tanto Android como Apple permiten desactivar la característica de sincronizar nuestras fotos. ¿Pero qué pasa con las fotos donde aparezco, que fueron tomadas desde el celular de otra persona? ¿Mi exposición personal queda entonces dependiente de la consciencia de una persona desconocida?
¿Qué podemos hacer?
Existen datos sobre los que podemos tener control de forma individual, otros que podemos controlar de forma colectiva y otros sobre los que no tenemos control directo. Para proteger nuestra privacidad, podemos pensar en almacenar la información privada de manera local. Si pensamos en un documento de texto, podemos utilizar herramientas como LibreOffice en lugar de Office 365 o Google Docs, que están conectados a las nubes de sus proveedoras. Si pensamos en fotos tomadas en nuestro teléfono, podemos desactivar la sincronización de las mismas, tanto en Android como iPhone.
Sí, gran parte de las buenas prácticas en gestión de información personal actualmente requieren resistir a las supuestas facilidades ofrecidas por los servicios dominantes y cambiar prácticas para lograr recuperar nuestra autonomía. Al almacenar la información de manera local, ganamos en privacidad, pero puede ser que, al menos al inicio, perdamos en conveniencia.
Podemos experimentar vivir la digitalización de otras formas. Por ejemplo, para respaldar las fotos y otros documentos de un teléfono, podemos utilizar el cable de datos para transferir la información a nuestra computadora y de la computadora podemos usar un disco duro externo para respaldar nuestros datos. También se puede acceder a soluciones más sofisticadas utilizando herramientas libres como Syncthing o mediante un servidor de archivos.
También podemos utilizar aplicaciones cifradas como Signal. Si queremos compartir más documentos, podríamos buscar nubes en las que confiemos o incluso utilizar nubes en las que no confiamos pero cifrar nuestros documentos con herramientas como Veracrypt.
En organizaciones o comunidades donde se cuenta con determinados recursos, se puede utilizar infraestructura propia y autónoma con herramientas de software libre. En el caso de Derechos Digitales, compartimos nuestros documentos a través de una instancia propia de Nextcloud, los redactamos utilizando OnlyOffice o a través de pads. Nuestras conversaciones suceden a través de nuestra propia plataforma de chat cifrada y autónoma. En el caso de los correos, si bien no controlamos nuestro servidor, sí estamos en la capacidad de cifrar correos sensibles utilizando aplicaciones como Thunderbird.
Tener control sobre el lugar donde se almacena nuestra información o cifrar la información sensible en lugares que no controlamos es una forma de ejercer nuestro derecho a la privacidad. Lamentablemente eso no siempre es una tarea sencilla o posible. Por eso es que seguimos luchando para que cualquier recolección o uso de nuestros datos se haga en base a criterios muy bien establecidos de modo que se garantice el respeto y la protección de nuestros derechos. Y una forma de resguardar nuestra privacidad es defendiendo el cifrado, el anonimato y la privacidad por diseño, intentando alinear nuestra comodidad con el ejercicio de los Derechos Humanos.
Nuestras vidas suceden en el espacio digital y, por tanto, quedan documentadas. Entender dónde se almacenan es el primer paso para poder cuidar nuestros datos y nuestra privacidad. Es fundamental que la ciudadanía tenga una visión crítica de la vida digital y poder explorar alternativas tecnológicas que nos permitan retomar el control sobre nuestra información.
Privacidad en la mensajería: ¿cómo asegurarse de eliminar mensajes ante el riesgo de intrusión?
En la actualidad, más de 3 mil millones de personas usan activamente aplicaciones de mensajería en todo el mundo, y las cifran van en aumento. Si bien existe una gran variedad de alternativas con distintas características y funciones, la mayoría comparte elementos en común. Su popularidad varía geográficamente por regiones y también por países. A continuación, analizamos tres de las más relevantes: Signal, WhatsApp y Telegram.
Antecedentes: de la ausencia de privacidad hacia «alguna» privacidad
Más allá de su popularidad, las preocupaciones con la privacidad de las aplicaciones de mensajería –y las respuestas a tales preocupaciones– se han ido incrementando a lo largo del tiempo. Las revelaciones de Edward Snowden sobre vigilancia masiva son un hito clave en esta breve historia, una vez que ayudaron a popularizar el cifrado y otras medidas de protección como estándar.
En este contexto, y como fusión de los proyectos TextSecure y RedPhone, en 2014 nace Signal. El espíritu de esta nueva herramienta se centraba en proteger la privacidad de las comunicaciones, y en ese esfuerzo introdujeron el esquema de seguridad de cifrado de extremo a extremo. Si bien esta aplicación está delimitada por su uso en pequeños nichos o determinadas regiones del mundo (incluso al día de hoy muchas personas la desconocen), ella fue crucial para la introducción de un sistema de protección similar en WhatsApp, la aplicación de mensajería más popular en América Latina. Ante la creciente demanda por resguardar los intercambios de mensajes, la empresa más pujante del rubro tuvo la necesidad de aplicar un mecanismo de cifrado a la altura de las necesidades para no quedar obsoleta. Por ello, en 2016 WhatsApp integra el protocolo Signal para el cifrado de extremo a extremo por defecto para todas las personas usuarias.
Por su parte, Telegram, creada en 2013, no posee este esquema de cifrado de extremo a extremo por defecto en sus conversaciones, solo lo utiliza para los chats secretos. Esta plataforma aplica por defecto el cifrado entre cliente-servidor, lo que significa que, si bien los mensajes viajan cifrados, pueden ser legibles por la empresa o quien tenga acceso a sus servidores. En este sentido, el uso de canales comunes en Telegram es desaconsejado desde un punto de vista de protección de la privacidad.
Desafíos que persisten
El cifrado de extremo a extremo busca dar cuenta de la privacidad de las comunicaciones en tránsito, o sea, de cómo se protegen en el camino de un origen a un destino. Pero, ¿cómo garantizar la privacidad de las comunicaciones en aplicaciones de mensajería ante una intrusión física en el dispositivo?
La pregunta es válida para situaciones simples de extravío o pérdida, pero también en contextos de intervención policial o de intrusión a dispositivos por medio de software diseñado para eso. Ante el reporte de situaciones de abuso en tales acciones en la región y su riesgo para el ejercicio de Derechos Humanos, es fundamental conocer mecanismos para hacer valer el derecho a la privacidad en el uso de herramientas de mensajería.
Existen una serie de medidas que se pueden aplicar para mitigar estos riesgos, que abordamos anteriormente. Algunas son: utilizar contraseña en el dispositivo, contar con una clave de acceso para la aplicación, configurar el chat para mensajes temporales, entre otras. Presentes desde 2016 en Signal y desde 2020 en WhatsApp, los mensajes temporales pueden resultar una estrategia segura, pero solo funcionarán desde el momento en que el chat haya sido configurado para tal efecto.
Entonces, ante el peligro de intervención de un equipo, ¿cómo asegurarnos de que no puedan acceder a las conversaciones o, al menos, a algunas de ellas? La respuesta es simple, pero su implementación no tanto: eliminando esos mensajes. Si estuviéramos hablando de una carta que podemos destruir físicamente quizás la recomendación fuera obvia, pero en dispositivos digitales surge la legítima duda: ¿existe la posibilidad de recuperar un mensaje eliminado? Sí, bajo ciertas circunstancias se pueden restablecer conversaciones eliminadas. De ahí la necesidad de abordar algunos aspectos técnicos para garantizar que el ejercicio del derecho a la privacidad, en este caso, sea más efectivo.
WhatsApp: cómo eliminar mensajes de forma definitiva
Actualmente, existen dos formas de recuperar los chats eliminados: la recuperación de los respaldos en línea por un lado, y la copia de seguridad local de la aplicación, por el otro.
Una instalación típica de WhatsApp ofrece la opción de configurar un respaldo en línea utilizando Google Drive, para usuarios Android, o iCloud, en el caso de Iphone. Los respaldos de Android en Google Drive son únicos y se sobrescriben, es decir, no existen versiones históricas de los archivos. Si se desea que los mensajes no se puedan restablecer, es necesario eliminar el archivo en cuestión desde Google Drive.
En el caso de Android se debe acceder a la cuenta en Google Drive, ir al apartado “Almacenamiento” y luego a “Copias de seguridad”. Ahí se encuentra el archivo de respaldo de la cuenta de WhatsApp identificado por el número telefónico. Si se desea que los mensajes no se puedan recuperar, se debe eliminar el archivo en cuestión. Es fundamental asegurarse de que el archivo eliminado no quede en la papelera de reciclaje; de ser así, también debe borrarse desde allí.
Además del respaldo en línea, WhatsApp utiliza copias de seguridad locales para posibles restauraciones. El esquema de respaldo local es incremental, es decir utiliza varios archivos para guardar el historial de las conversaciones de forma periódica. Las copias pueden ser encontradas en una carpeta cifrada ubicada en “Android/media/com.whatsapp/WhatsApp/Databases”. Dentro de este directorio encontraremos una serie de archivos cuya nomenclatura es “msgstore.db.crypt14*”. Para eliminar estos archivos de respaldo locales, y que estos no puedan ser recuperables, se debe usar una herramienta de borrado seguro como iShredder o bien conectar el dispositivo al computador y utilizar herramientas como Shred, disponible en la mayoría de las distribuciones GNU/Linux, Eraser para Windows o srm para macOS.
Cabe mencionar que todos estos procedimientos explicados solo aplican al dispositivo donde se ejecute el proceso. Es decir, si la otra persona a quien se dirigen los mensajes no los elimina, seguirá teniendo acceso a los mismos y permanecerán disponibles para terceros en el caso de una extracción o intrusión al dispositivo. También es necesario prestar atención a los mensajes temporales, cuya duración puede ser de 1, 7 o 90 días, pues, según explica WhatsApp, si crea una copia de seguridad antes de que desaparezca un mensaje, este se incluirá en la copia de seguridad.
Eliminar mensajes de WhatsApp definitivamente requiere de al menos esos tres pasos e implementarlos o no depende de la percepción de riesgo que pueda tener cada persona de estar sujeta a una intrusión indebida a sus comunicaciones personales. Aún así, como se ve, hay fragilidades que son intrínsecas al uso de este tipo de aplicaciones y la confianza en la empresa por detrás de la aplicación y en las terceras personas con quienes compartimos nuestras informaciones.
Borrar mensajes, resguardar derechos
Aunque pueda resultar una tarea compleja, y que requiere de varios pasos a seguir, la posibilidad de borrar mensajes de manera segura es una acción concreta hacia una mayor autonomía digital y una defensa efectiva de nuestros derechos. Así como en la vida real, es necesario que los entornos digitales nos provean de herramientas que nos permitan resguardar nuestro derecho a la privacidad en línea y que están accesibles para todas las personas.
Desde Derechos Digitales, sostenemos que la privacidad de las comunicaciones no es un lujo ni una cuestión meramente técnica: es una condición indispensable para el ejercicio de otros derechos, como la libertad de expresión, la organización social y la defensa de los Derechos Humanos. En América Latina, donde diversos Estados han desplegado prácticas de vigilancia sin control ciudadano ni garantías adecuadas, proteger nuestras comunicaciones digitales se vuelve urgente.
Análisis sobre el proyecto de Ley de Inteligencia en Ecuador
En la Asamblea Legislativa de Ecuador avanza la discusión del «Proyecto de ley orgánica de inteligencia» que, si bien busca responder a los retos que enfrenta el país en materia de seguridad nacional, propone un articulado que genera preocupación por su nivel de desprotección de los derechos humanos.