Temática: Privacidad

La IA y los nuevos riesgos para la privacidad

La inteligencia artificial (IA) es mucho más que los sistemas de chat que se popularizaron desde inicios de esta década. Si bien ahora se está viviendo el boom de esta tecnología, no hay que olvidar que la IA es una rama de las ciencias de la Computación que ha estado presente desde sus inicios. En el pasado, existieron hitos importantes en relación a esto. Por ejemplo, en el año 1997 la computadora Deep Blue, creada por IBM, fue capaz de vencer en ajedrez al entonces campeón del mundo Gary Kasparov. También, hace poco menos de 10 años, el software Alpha Go de Google logró ganarle a varios campeones internacionales del juego de estrategia Go.

El boom que se vive en la actualidad tiene que ver principalmente con los modelos grandes de lenguaje (LLM por sus siglas en inglés). Se trata de un programa de la IA que permite tener aplicaciones con las cuales nos podemos comunicar de forma natural como si estuviéramos hablando con personas. Para que estos sistemas puedan tener una conversación con humanos se los debe entrenar con cantidades extraordinarias de datos y además se requiere de mucha capacidad de cómputo.

Dime qué datos utilizas y te diré quién eres

Si se piensa en los LLM desde una perspectiva de privacidad, lo primero que nos deberíamos preguntar es ¿de dónde salen los datos que entrenan el modelo? Según OpenAI, utilizan 3 fuentes para entrenar los modelos de ChatGPT: información pública, información compartida por socios e información provista por humanos.

En la primera opción, se puede pensar en la internet pública con sitios como Wikipedia, Github, Archivo de internet y otras similares. Desde un punto de vista de privacidad, esta información está públicamente accesible y se puso a disposición con la intención de compartir conocimiento libremente. Se podría decir que entrenar LLM con esta información, haría más accesible el conocimiento a la mayoría de la gente.

Pero este no es el caso para todos los sitios web. Existen casos como las redes sociales, donde las personas -por error- pudieron haber publicado información personal sin intención y esta se hizo pública. Incluso se podría haber subido contenido con el propósito de que sea accesible para el público, pero no necesariamente para entrenar modelos de inteligencia artificial.  Evidentemente, hay problemas relacionados con derechos de autor, pero en esta columna no nos vamos a detener en esa cuestión.

En el segundo caso, no es claro cuáles son los socios que proveen información a OpenAI. En su página web mencionan una colaboración con al gobierno de Islandia para mejorar el soporte del idioma islandés, y también hablan de colaborar con la organización Free Law Project. Sin embargo, no queda claro con qué otros grupos hacen alianzas para la provisión de datos.

Desde el punto de vista económico, el principal aliado de OpenAI es Microsoft. Una empresa que en 2023 realizó un acuerdo de 10 mil millones de dólares con OpenAI por varios años, y que incluye el uso de la infraestructura Azure. Esta infraestructura es la “nube” que oferta Microsoft para que terceros puedan ejecutar sus aplicaciones. En este caso, Azure es la principal infraestructura de ChatGPT y otros productos de OpenAI.

¿Será que OpenAI utiliza información de las aplicaciones de Microsoft como Bing, Outlook, Office 360, entre otros? ¿Estará Microsoft entregando información personal de sus usuarios para entrenar al ChatGPT? No hay forma de saberlo, salvo que se haga una auditoría y se transparente la forma en la que OpenAI entrena sus modelos.

Si pensamos en las otras empresas líderes como Google con Gemini, Meta con MetaAI o X con Grok, podemos, al menos, sospechar que utilizan los datos de sus sistemas para entrenar sus modelos grandes de lenguaje. Todas estas empresas tienen algo en común, muchos datos y gran capacidad de procesamiento de información, lo que las pone en la élite de la IA.

Nube y privacidad: malos amigos

Ya se analizó la privacidad al momento de entrenar los modelos LLM. Ahora bien, ¿qué pasa con nuestra privacidad al utilizar estos chat bots? El principal problema que se presenta al utilizar estas herramientas de IA es que se encuentran en la nube, a quien le entregamos todos nuestros datos.

Si se utiliza la IA para que nos responda nuestras preguntas cotidianas, estas preguntas se asocian a nuestro perfil y sirven para perfilarnos como individuos. Si se usa la IA para que resuma una llamada de Zoom, entonces estamos entregando la transcripción de la conversación y el resumen a la plataforma. Si la utilizamos para escribir un correo electrónico, entonces el sistema que lo redacta tendrá el contenido de nuestro correo. Si le pedimos que nos sintetice un documento confidencial, le servimos en bandeja esa información. Toda esta interacción servirá para entrenar los futuros modelos de lenguaje. En teoría, gente con la capacidad de hacer las preguntas correctas a la IA podría extraer información de nuestros archivos confidenciales.

Por otra parte, el uso de IA en aplicaciones de chat cifrado también resulta un problema muy grave para la privacidad de la ciudadanía. El cifrado extremo a extremo protege nuestras comunicaciones para que nadie, excepto las personas que participan en la misma, las pueda leer. Un adversario particularmente importante del cual nos protege este tipo de cifrado es el proveedor del servicio. Si se piensa en WhatsApp, entonces su cifrado nos debe proteger para que WhatsApp no lea nuestras conversaciones. Sin embargo, desde algún tiempo atrás tenemos entre nuestros contactos al bot de @MetaAI. A este bot lo podemos invocar desde cualquier conversación para hacerle consultas. Cuando eso sucede, el cifrado extremo a extremo pierde su valor ya que Meta debe leer nuestras conversaciones para interactuar.

En general, los problemas de privacidad de la IA están asociados a la utilización de plataformas en “la nube”. En otras columnas, hemos visto algunos ejemplos del uso de infraestructura propia con software libre para poder tener una oficina virtual, sistemas de videoconferencia seguras, incluso instancias de redes sociales descentralizadas como el Fediverso.  ¿Se puede hacer lo mismo con la inteligencia artificial?

La respuesta es sí, y de hecho existen varios LLMs que se pueden utilizar sin costo y de forma local o incluso en infraestructura propia. A diferencia de sistemas como una nube propia o sistemas de chat seguro, con inteligencia artificial se va a necesitar mayor capacidad de cómputo o versiones más pequeñas de los LLM. Al usar modelos más cortos, probablemente no sirvan para preguntar cualquier cosa, pero sí podrían ser muy útiles para tener un bot con un propósito específico. Por ejemplo, para resumir documentos confidenciales o traducir textos.

IA al servicio de las personas, no de las corporaciones

En nuestros días, es común que la gente utilice IA para apoyarse en sus tareas cotidianas y, seguramente, en el futuro esta herramienta se usará aún más. Es sumamente importante que como sociedad podamos reflexionar acerca de los propósitos para los cuales se seguirá utilizando la IA y los riesgos que eso trae aparejado. No es lo mismo recurrir a ella para traducir un documento público, redactar un correo electrónico o resumir un documento confidencial. Habrá casos en los que se pueda considerar aceptable utilizar IA a cambio de sacrificar la privacidad y habrá otros en los que no.

La autonomía en la IA es algo que la sociedad debe explorar. Para tareas y actividades donde se trabaja sobre información sensible, tener un sistema tecnológico que no reporte esa información a terceros sería una herramienta muy poderosa. Incluso varias organizaciones podrían unirse entre sí para compartir infraestructura y poder ejecutar colectivamente mejores modelos de lenguaje. Las regulaciones sobre esta herramienta tecnológica deben velar por el respeto de nuestra privacidad, nuestros datos y nuestra información. Solo de esa forma podremos imaginar un futuro digital seguro para todas y todos.

El Festival Latinoamericano de Instalación de Software Libre cumple 20 años y se renuevan los desafíos

El 2005 fue un año de cambios, a solo unos meses de la primera edición del Software Freedom Day (Día de la libertad de software) y a un año y medio del primer Festival de Instalación de Software Libre Colibrí (FISLC) en Colombia, un grupo de apasionados y apasionadas por la cultura abierta celebraron el 2 de abril la primera edición del Flisol que superó las expectativas de sus impulsores. La propia imagen del Festival representó la intención de unión regional que fue, sin duda, el resultado alcanzado: se celebró en más de 100 ciudades de 13 países de forma simultánea.

A veces, pareciera que los efectos a largo plazo son los que menos se ven y aprecian. Así fue que luego de una primera edición exitosa de Flisol, con muchos países fortaleciendo comunidades tecnológicas, organizándose y encontrándose para hablar de libertad, comenzaron a gestarse cambios importantes como políticas nacionales que implementan software libre desde el Estado o la activa contribución de nuevos miembros a proyectos de código abierto.

Mandrake (que después pasó a llamarse Mandriva) fue el sistema operativo que se instaló en los inicios del festival representando grandes desafíos y requiriendo de mucho tiempo de preparación antes de tener los CDs instalables que se preparaban uno a uno. Era un momento de la historia en que “quemar” discos parecía una misión a la Luna dadas las condiciones de infraestructura tecnológica y calidad de conexión a Internet, una época en que la comunicación era mucho más lenta, los medios de difusión eran listas de correo, los mensajes de texto eran escasos, las redes sociales y el mundo del streaming que hoy conocemos no habían dado sus primeros pasos aún.

En la actualidad, el Flisol se celebra en más de 200 ciudades, lo que da cuenta de una expansión territorial importante: en relación a los inicios duplicó la cantidad de lugares donde se realiza.  Si bien en su mayoría son espacios de América Latina, poco a poco la comunidad lo va llevando a otras latitudes del mundo.

Además, este evento se ha ido adaptando a lo largo de los años. Por ejemplo en 2008, cuando la comunidad acordó el cuarto sábado de abril como la fecha oficial de este evento; hasta el desafío que representó la pandemia en 2020 y la realización del festival en modalidad virtual. Incluso la velocidad con la que la tecnología ha traído facilidades y nuevos retos, moldeando así la conferencia actual y promoviendo activamente el software libre.

Y quién diría que lo mismo que facilita el alcance y difusión del festival sería también aquello que dificulta prácticas más libres y soberanas cuando de tecnologías se trata. Desde 2013, luego de las revelaciones Snowden, el mundo quedó sacudido por la sorpresa, la incertidumbre, la duda e incluso la incredulidad frente a la vigilancia gubernamental y nuestra falta de privacidad. En los años siguientes, se daría cuenta de lo que ocurre tras bastidores en los servicios que utilizamos  en Internet, desde redes sociales hasta plataformas que facilitan miles de operaciones diarias. Ante esto, el software libre surgió como una solución a la incertidumbre, promoviendo la  soberanía tecnológica y un código abierto que cualquier persona técnica puede auditar. Un modelo que prioriza libertades fundamentales que contribuyan a la construcción de un entorno informado para la toma de decisiones y las elecciones sobre qué herramientas usar. Especialmente en América Latina, donde las libertades han costado tanto a lo largo de los siglos, este enfoquedemocrático de la tecnología se presenta cada vez más como un ideal necesario.

El Flisol pasó de ser un evento que solo aspiraba llegar a la comunidad de Software Libre a ser una convocatoria de mayor alcance, que busca atraer a nuevos públicos para interpelarlos y presentarles la filosofía de la cultura libre. Los medios digitales han facilitado la comunicación, pasando de listas de correos a publicaciones en redes sociales. Además, se han realizado aspiraciones iniciales de los promotores del Festival en 2006, con transmisiones en vivo de los eventos, permitiendo llegar a quienes no habían podido asistir de forma presencial. Estas transmisiones, utilizando herramientas libres y gestionadas por la comunidad, se convirtieron  en 2020, debido a la pandemia, en el único medio de realización y participación.

Transmisiones y publicidades digitales cumplieron el anhelo del activismo por celebrar su edición del festival en un contexto sanitario sumamente difícil. Esto sin duda tuvo un alto impacto en la logística y los componentes que caracterizaron por más de una década a los encuentros presenciales. Así, el Install Fest no se pudo realizar, y los eventos se transformaron en charlas virtuales ofrecidas por activistas, académicos y apasionados por la filosofía del Flisol.

En adelante, y considerando la facilidad con la que se instala software y sistemas operativos, se han priorizado charlas, talleres, paneles, demostraciones y otras dinámicas que buscan sembrar curiosidad en quienes asisten. La comunidad tecnológica que se reunía para organizar Flisol encontró otras formas de interacción y de fortalecer lazos a lo largo del año previo a cada edición.

Hoy, como hace 20 años, se sigue celebrando Flisol. La fecha oficial sigue siendo el cuarto sábado de abril, sin embargo la comunidad puede decidir su propia fecha en función a características propias de cada sede. Sigue existiendo una figura de Coordinación Nacional, pero cada localidad decide y gestiona detalles específicos de su evento, sin dejar de lado la práctica de compartir recursos como diseños gráficos y, por supuesto, la wiki oficial del festival que se ha mantenido desde 2006 y que aloja la historia de 20 años de organización, celebración y trabajo conjunto y comunitario.

La 21va edición del Flisol, que se celebrará el próximo sábado 26 de abril, muestra grandes cambios comparada con las ediciones del 2005 o 2011. Pero la emoción, el compromiso y la alegría siguen uniendo al creciente movimiento que retomó la presencialidad de sus eventos durante 2022. El objetivo se mantiene intacto: compartir en comunidad y hacer frente a las desigualdades y sesgos facilitados por la tecnología. Formar criterio e intercambiar experiencias entre activistas, estudiantes y todas las personas ávidas de conocimiento sobre cómo Internet y sus derivados pueden comprometer tanto la privacidad individual como la colectiva, en un ecosistema dominado por gigantes tecnológicos que aguardan por nuestras vulnerabilidades. Te invitamos a contribuir a esta importante conversación y a tomar acción para un futuro digital más libre y seguro.

2024: el año en que la protección de datos nos recordó su lado político

El 2024 fue un año de progresos esperados en materia de protección de datos para nuestra región. Se aprobó en Chile, luego de seis años de debate regulatorio, la ley de protección de datos; El Salvador también aprobó su ley, y Perú reformó la suya para adaptarla al estándar europeo, un referente que muchos países de América Latina intentan adoptar. Por su parte, Paraguay avanzó en la discusión del proyecto de ley, y se espera que este año suceda su aprobación.

El año pasado también observamos retrocesos significativos, como la eliminación del INAI, autoridad garante del derecho a la protección de datos y el acceso a la información pública en México. Esto ocurrió en el marco de una reforma constitucional que, bajo el argumento de reducir costos operativos, eliminó a distintos entes autónomos. Una supresión que se produce en tiempos en que las Big Tech acrecientan su poder para amasar y explotar nuestros datos bajo condiciones cada vez más asimétricas.

Frente a esos avances y retrocesos regulatorios, en nuestro trabajo en Derechos Digitales hemos observado algunas tendencias regionales preocupantes. Algunas de ellas son nuevas, mientras que otras representan la continuidad de prácticas de explotación de nuestros datos que se expanden y masifican de cara a nuevas y emergentes tecnologías, las cuales amplían el alcance a las tareas de recolección y procesamiento de nuestros datos y con ello, intensifican su impacto en la protección de los mismos. Veamos una por una.

La protección de datos y las tareas estatales de seguridad: una desconexión peligrosa

La primera tendencia tiene que ver con la creciente adopción de prácticas y tecnologías para la extracción de datos por parte de los Estados para fines que, en particular, se enfocan en la seguridad ciudadana y nacional.Se trata de finalidades que las regulaciones de protección de datos han excluido tradicionalmente de su aplicación, bajo una visión arcaica que sugiere que el resguardo de la ciudadanía no es algo que deba consentir esta última.

Enmarcado en esta tendencia vimos con preocupación la expedición de la resolución que en Argentina habilita al ciberpatrullaje, una tarea de seguridad emprendida por el Estado para patrullar (o vigilar) internet “de la manera en que se patrullan las calles” para, en teoría, facilitar la identificación y prevención de los delitos en línea.

Se trata de una resolución que no fija límites claros, respetuosos y garantes de la privacidad y la libertad de expresión en línea. De manera similar, el ciberpatrullaje se despliega también en Colombia, Bolivia, México, Brasil y Uruguay. En cada caso, al parecer, las autoridades se dedican a explorar y observar de cerca lo que publicamos y con quién interactuamos en línea -en ocasiones, con ayuda de algoritmos para automatizar dicha tarea-, para determinar si lo que decimos o con quién conectamos amerita ser perseguido por la vía penal.

Lo cierto es que, pese a la desconexión que persiste entre la regulación de la protección de datos y las tareas de seguridad, y a que sea cierto que el consentimiento no sea propiamente la base jurídica que da pie al tratamiento de los datos en estos casos, los Estados sí deberían observar los principios y obligaciones que garantizan que la recolección de los datos de la ciudadanía sucede de manera responsable, lícita, leal, transparente, segura y, sobre todo, de manera compatible con los derechos humanos.

Pero además, bajo ciertas condiciones, los titulares de los datos deberían conservan el ejercicio de los derechos de actualización, rectificación, y cancelación de su información inclusive en esas tareas. Esto último, de hecho, lo reiteró por su cuenta el fallo Cajar vs. Colombia emitido en 2024 por la Corte Interamericana de Derechos Humanos respecto a las tareas de inteligencia estatal, y cuyas repercusiones en la regulación de la protección de datos frente a las tareas de seguridad aún están por verse.

Biometría ¿para qué?: el valor vs. el precio de los datos

La segunda tendencia que observamos, tiene que ver con la recolección transaccional de datos sensibles para la realización de modelos de negocio muy poco claros o transparentes. Por ejemplo, identificamos la masificación de los servicios de empresas como Tools for Humanity (TfH) desarrolladora de World –antes Worldcoin– que prometen entregar a las personas criptomonedas a cambio del escaneo de su iris, un dato biométrico que será usado para ayudar a resolver los problemas asociados a la identidad en línea.

La empresa TfH desplegó operaciones en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y República Dominicana. Solo las autoridades de protección de datos de Argentina, Colombia, Brasil y Perú abrieron investigaciones a World, entre otras cosas por las condiciones de recolección del consentimiento de las personas, que no parece estar precedido de información clara y transparente sobre las condiciones del tratamiento de los datos biométricos capturados, así como las condiciones del ejercicio de los derechos de acceso, rectificación, cancelación u oposición. Sobre el desarrollo de esas investigaciones sabemos poco al día de hoy.

Ahora bien, el contenido transaccional de este tipo de prácticas resulta problemático por dos motivos. En primer lugar, porque asignan un valor económico a la entrega de un dato cuyo valor identificatorio es inestimable por su naturaleza inmodificable, así como profundamente personal, y que por los riesgos de ser instrumentalizado en contra de su titular ha merecido un estatus de protección especial en la mayoría de legislaciones que regulan esta materia. En segundo lugar, porque además de explotar la vulnerabilidad económica de ciertos sectores de la población, se trata de empresas que operan de manera poco transparente frente a los reguladores y los titulares de los datos.

Todo esto para aceitar el modelo de negocio de la identidad digital del que todavía no sabemos mucho, pero frente al cual otras autoridades de protección de datos en el mundo han actuado de manera mucho más contundente y preventiva prohibiendo las operaciones de World, tal y como sucedió en España, Francia, India, Corea del Sur, Hong Kong e incluso Kenia.

Las Big Techs y la IA: nuestros datos a merced de políticas injustas

Y la tercera tendencia, tiene que ver con los cambios poco claros y transparentes de las políticas de privacidad impuestas de manera abusiva en América Latina por distintas plataformas que transitaron a la adopción de sistemas de IA con diversos propósitos, y que asumen, al contrario de lo indicado por los principios de finalidad, transparencia o lealtad en el tratamiento de los datos, que los titulares aceptan por defecto los nuevos términos y condiciones impuestos.

El caso de Meta es quizá uno de los más representativos, pues desplegó un cambio global de su política de privacidad que autoriza de manera retroactiva al uso de los datos de los usuarios de Facebook e Instagram para entrenar a su IA. Un cambio que dejó a sus usuarios en América Latina sin ninguna opción válida para negarse u oponerse.

Solo la autoridad de protección de datos de Brasil (ANPD) reaccionó al emitir una medida cautelar que prohibía desplegar dicho cambio en tanto que dejaba a los titulares de los datos de ese país sin opciones para rechazar la nueva política en cuestión. Con posterioridad, Meta desplegó en ese país su política de manera mucho más clara con autorización de la autoridad, y habilitó -a diferencia del resto de países de la región- canales para el ejercicio del derecho a rechazar los cambios propuestos.

Cambios similares sucedieron en las políticas de otras plataformas como X, Linkedin, Adobe y Google, entre otras, que además habilitan a que terceros puedan usar los datos de sus usuarios para entrenar a sus sistemas de IA. Se trata de cambios que, en la mayoría de los casos, se han introducido de manera subrepticia y silenciosa, algo que la Comisión Federal de Comercio en Estados Unidos (FTC por sus siglas en inglés) ha calificado como una práctica injusta y engañosa.

Frente a este panorama ¿hay motivos para la esperanza?

Estas tendencias están acompañadas de un panorama regulatorio que, en gran medida, todavía limita a las pocas autoridades activas de la región a desempeñar roles de simple monitoreo preventivo y vigilancia pasiva. Aún queda pendiente avanzar hacia un rol sancionador más robusto donde, por ejemplo, las multas ejemplarizantes puedan ayudar a generar nuevas pautas de conducta para actores del sector privado y público; o donde las autoridades asuman un rol activo y oficioso, en el cual la imposición a iniciativa propia de medidas cautelares pueda ayudar a prevenir la afectación de los derechos de las personas.

Hay motivos para la esperanza, pero debemos moderar nuestras expectativas. Es cierto que, cada vez más, el listado de países sin regulación de protección de datos se reduce. Y aunque esto es importante, no es motivo para cantar victoria, pues hace falta todavía cambiar visiones arcaicas como aquellas que sugieren que los Estados, cuando realizan cierto tipo de tareas -como las de seguridad- tienen un cheque en blanco que les habilita a dar tratamiento a los datos personales de la ciudadanía de cualquier manera.

También es cierto que las regulaciones vigentes en protección de datos precisan de un balance necesario cuando su ejercicio se enfrenta a otros derechos, como el de libertad de expresión o acceso a la información. Y que persisten otros retos igualmente urgentes para que las regulaciones aprobadas y vigentes cobren vida y sirvan como verdaderas herramientas de protección a las personas.

Por ejemplo, urge el robustecimiento de las capacidades humanas y técnicas de las autoridades de protección de datos, así como establecerlas en países donde aún no existen. Además, es fundamental garantizar los recursos necesarios para su funcionamiento, y dotarlas de la independencia y autonomía que las habiliten para actuar frente a otras dependencias estatales así como frente a las Big Tech que, cada vez más, buscan eludir o intimidar a las normativas y autoridades que ejercen su poder regulatorio.

Desde luego, el trabajo de organizaciones como Derechos Digitales será aportar a esto último, y vigilar para que las promesas de regulación no se queden en el papel, sino que se traduzcan en verdaderas garantías para los derechos humanos en el entorno digital. El 2024 nos recordó que la protección de los datos personales no es solo una cuestión técnica o legal, sino una lucha política que enfrenta intereses poderosos, ya sean estatales o corporativos.

Nos encontramos frente a un panorama complejo, pero también un momento clave para definir el futuro del derecho a la protección de datos en nuestra región. Las decisiones que tomemos hoy serán cruciales para establecer un equilibrio entre el avance tecnológico y la protección de los derechos fundamentales. Solo si mantenemos la vigilancia activa, exigimos mayor transparencia y contribuimos a fortalecer las capacidades regulatorias de las autoridades, podremos garantizar que los datos personales de millones de personas no se conviertan en una mercancía desprotegida, sino en una herramienta que potencie su dignidad y autonomía. El desafío es enorme, pero no podemos darnos el lujo de detenernos ahora.

Reconocimiento facial

En Derechos Digitales creamos ReconocimientoFacial.info como un espacio para reunir reportes, campañas, noticias, recursos y documentos legales que visibilizan los riesgos del uso del reconocimiento facial en América Latina. Bajo la idea de que “el reconocimiento facial no nos protege, nos vulnera”, buscamos explicar por qué esta tecnología es intrusiva, poco fiable y discriminatoria, y promover el debate público y el acceso a la justicia frente a iniciativas de vigilancia que avanzan sin regulación adecuada.

Conoce el proyecto
Conoce el estudio

11 años después de Snowden: ¿Realmente estamos más protegidos?

Edward Snowden era un analista de inteligencia que trabajó para la CIA y la NSA. Al inicio de su carrera consideró que su trabajo correspondía al deber patriótico de defender a su país. Con el tiempo se dio cuenta que era parte de un sistema de vigilancia global secreto que era utilizado incluso para espiar dentro del país. Él consideró que la población de un país democrático debería, al menos, estar enterada de que algo así sucedía. Por este motivo filtró miles de documentos que demostraron lo que sucedía a periodistas que publicaron varios reportajes en importantes medios a nivel global.

En los mismos se pude ver las diversas formas en las que la NSA recolectaba, analizaba y luego utilizaba esta información para operaciones de espionaje alrededor del mundo. [RB1]  En una diapositiva se puede ver las capacidades recolección de información a nivel global a través de un mapa mundi dónde se explica cómo se recolectaba la información desde los cables fibra óptica, a través de embajadas, espiando comunicaciones satelitales, en colaboración con agencias de otros países o mediante ataques informáticos.

Toda esta información recolectada se almacenaba en centros de datos para luego ser accedida a través del sistema XKeyScore. Este sistema funciona de forma parecida a buscadores de internet dónde puedo realizar búsquedas. La diferencia radica en que las búsquedas se las hace sobre información privada. Los documentos muestran que se podían hacer consultas sobre como leer todos los correos electrónicos de persona X, saber quiénes usan correo cifrado en un país determinado, contraseñas de cuentas en línea, entre muchas otras. Básicamente un buscador sobre las vidas privadas de miles de millones de personas, sin ningún tipo de control.

Uno de los programas expuestos que más llamó la atención es el conocido como PRISM ya que involucra a grandes empresas de internet como Google, Facebook, Apple, Youtube, Microsoft, Yahoo, entre otras. Estas empresas tienen plataformas que funcionan como software de servicio, también conocido como “la nube”. Cuando compartes un documento con Google Drive, no solo lo compartes con tus colegas, sino también con Google. Cuando envías un correo usando Outlook, ese contenido es accedido por Microsoft. Si guardas tus fotos en la nube de Apple o de Google sucede lo mismo.

Resultaba lógico entender que estas empresas tendrían acceso a nuestra información para poder brindarnos el servicio. Algunas personas considerábamos que era probable que las empresas se aprovechen de nuestra información. Lo que la gran mayoría no imaginábamos era que además nuestras comunicaciones privadas eran vigiladas por agencias de inteligencia como la NSA. Lo que aprendimos en ese momento fue que, si no eres ciudadano de Estados Unidos y no resides en ese país, la NSA puede acceder a los datos de los servicios de estas empresas para informarse sobre ti. Estamos hablando de llamadas de voz y video, correos electrónicos, chats documentos, fotos, ubicación etcétera.

La recolección de este tipo de información sumada a la capacidad de análisis de la NSA permitieron hacer operaciones de espionaje a lideres mundiales como Angela Merkel, Enrique Peña Nieto o Dilma Rousseff. También existieron operaciones mediáticas para manipular la opinión pública como fue la operación QUITO que promovía una visión favorable para Inglaterra sobre las Islas Malvinas en América Latina.

Esto es un resumen muy superficial de lo que aprendimos hace 11 años. Es importante mirar para atrás y pensar qué cambió desde entonces. ¿Se suprimieron estos programas y ahora nuestra privacidad esta más aseguradas? Personalmente creo que algunas cosas mejoraron y otras han empeorado.

El escándalo de las revelaciones generó una discusión a nivel mundial sobre la privacidad en Internet. Una de las primeras consecuencias fue el Marco Civil de Internet en Brasil dónde se fortaleció la protección de los derechos civiles en internet y en particular la privacidad. En el caso de Europa, esto promovió la discusión de la protección de los datos que personales que en 2017 se vio reflejada en el Reglamento General de Protección de Datos Personales (RGPD). Esta legislación sirvió para que países como Ecuador tengan su ley de protección de datos personales en 2021.

Estas legislaciones son muy positivas y en el caso Europea, incluso se ha llegado a multar a empresas como Google y Meta (antes Facebook). Sin embargo, no es suficiente ya que si bien estas legislaciones buscan el consentimiento informado  para el tratamiento de datos personales, en la práctica se traduce como una incómoda ventana dónde se nos pide aceptar la política de privacidad y gestionar las configuraciones de cookies. En la práctica la mayoría de personas aceptan los términos y probablemente todas las cookies.

En lo tecnológico el cambio fue mayor. Antes de las revelaciones de Snowden la mayoría de sitios web funcionaban bajo el protocolo inseguro de HTTP.  En 2015 la EFF en colaboración con otras organizaciones y empresas lanzaron la iniciativa de Letsencrypt que hizo que la implementación de sitios web con el protocolo seguro HTTPS sea accesible para cualquier sitio o aplicación web. Gracias a esta iniciativa hoy casi todos los sitios y aplicaciones que usamos en Internet cifran la comunicación. De esta manera se puede presumir que parte importante de los programas de recolección de información de la NSA quedaran obsoletas. Esta característica no solo nos protege de la NSA, sino de cualquier actor con malas intenciones, desde un ciber criminal a Estados.

Sin duda una mejora importantísima para la seguridad de las comunicaciones de todas las personas que utilizamos internet. No obstante, esto no nos protege del espionaje de programas como PRISM, ya que la información que utilizamos en servicios en la nube generalmente es accesible por las empresas que proveen el servicio como se mencionó anteriormente. Personalmente creo que la situación ahora es peor.

Durante estos 11 años la NSA ha seguido trabajando en secreto y sus capacidades tecnológicas debieron mejorar. Pero la debilidad más fuerte es que empresas mencionadas en PRISM siguen siendo parte esencial de nuestras vidas. Nuestros teléfonos celulares si no funcionan con Android de Google, funcionan con el iOS de Apple. Los sistemas de reconocimiento de voz como Siri, Hey Google o Cortana son todos provistos por empresas PRISM. Por citar dos ejemplos. 

Otro avance importante que tenemos desde las revelaciones de Snowden es la adopción del cifrado extremo a extremo. A diferencia del cifrado de tráfico en la red, con este podemos proteger el contenido de la información incluso de la empresa que provee el servicio. Si ciframos un correo de Gmail, incluso Google no lo podría leer.

Si bien el cifrado de correo electrónico existe hace más de una década, su adopción es marginal. El caso más importante es la adopción de cifrado extremo a extremo es la de WhatsApp en 2016 que permitió a miles de millones de personas cifrar sus mensajes.

Claro que no podemos olvidar que WhatsApp es una empresa de Meta (antes Facebook), que está involucrada en el programa PRISM. La aplicación es de código propietario y no se puede saber cómo está hecha por lo que podría tener una puerta trasera. Incluso me atrevería a decir que tiene una puerta delantera cuándo en las conversaciones de la aplicación tenemos la opción de que participe la inteligencia artificial de Meta. Es una forma cool de pedirnos acceso a nuestras conversaciones.

Otro gran avance que hemos tenido es el desarrollo de aplicaciones de software libre que nos permiten controlar nuestra información.  Existen aplicaciones de chat, correo electrónico, colaboración, edición de documentos y más. En Derechos Digitales, por ejemplo, utilizamos Matrix como nuestro sistema de chat, Nextcloud para compartir documentos, OnlyOffice  para editarlos, Jitsi y BigBlueButton para video llamadas. Ninguna de estas aplicaciones es perfecta, algunas pueden llegar a ser incómodas o fallar en cuestiones que no quisiéramos, pero nos permiten tener agencia sobre nuestros datos y privacidad.

Snowden nos hizo saber que vivimos en una máquina de vigilancia y que estamos perdiendo nuestra privacidad. Ahora como sociedad debemos decidir si queremos seguir atrapados en este sistema o buscamos alternativas. En próximas columnas reflexionaré sobre algunas herramientas que usamos de forma cotidianas y las alternativas que respetan nuestra privacidad. Por lo pronto comparto columnas que escribí sobre aplicaciones de chat, teléfonos móviles, redes sociales y herramientas de video conferencia.

Perfilamiento en redes sociales y ciberpatrullaje como nuevas modalidades de la vigilancia masiva desplegada por los Estados de la región: casos relevantes en América Latina.

Descargar PDF

En este informe que responde la consulta de la Relatoría Especial para la Libertad de Expresión profundizamos en el ciberpatrullaje y los perfilamientos en redes sociales empleados por los Estados de América Latina y que configuran dos nuevas modalidades de vigilancia masiva desplegada por los Estados. Llamamos la atención de la RELE para que recomiende garantías robustas de protección a derechos frente a dichas prácticas.

Contribución a la consulta de la Relatoría Especial para la Libertad de Expresión sobre discurso no protegido

Descargar PDF

La contribución se centra en el punto n. 13 de la consulta que preguntó a la sociedad civil y otros actores sobre cuál debería ser el rol de los actores privados de internet frente al discurso no protegido. El aporte recoge algunos de los estándares del sistema interamericano en derechos humanos en esa materia, así como el trabajo de AlSur y principios aplicables en esa materia.