Temática: Privacidad

Herramientas para perseguir a la oposición en Guatemala

El proyecto de vigilancia, creado en 2012 por el gobierno guatemalteco, se inicia por la adquisición por vía de excepción por parte de la Dirección General de Inteligencia Civil (DIGICL) de un software por valor de 1.4 millones de quetzales (alrededor de 186.000 dólares) cuya finalidad es permitir la intercepción de mensajes y correos electrónicos. A finales del mismo año, se suma la compra de dos maletines con fines de intercepción de llamadas telefónicas, por un valor equivalente a 2.5 millones de dólares. De acuerdo con Nuestro Diario, entre los softwares adquiridos se encuentran “las versiones más avanzadas” de Pegasus, Pen-Link, Circles, Citer, Conceptus, Memex, Sitev, Laguna, Avatar y del software Galileo, de Hacking Team, empresa que ha sido objeto de escándalo anteriormente al venderle su software a una larga lista de gobiernos latinoamericanos.

La investigación revela que la Dirección General de Inteligencia Civil, cuyo mandato es la recolección de información para el combate del crimen organizado, utilizó la información recabada con fines políticos, en el contexto de las protestas por corrupción enfrentadas por el gobierno entre 2014 y 2015. Así, a medida que crecía el rechazo hacia los actos gubernamentales, se fue incrementando la vigilancia contra todo aquel que el gobierno considerara un enemigo político, incluyendo no solo la interceptación de las comunicaciones tanto digitales como analógicas, sino también la vigilancia física, todo esto llevado a cabo por grupos de trabajo conformados tanto por militares como por civiles. Estas técnicas fueron también usadas para vigilar a los manifestantes durante las protestas de 2015.

Tal como resume la Fundación Acceso en la siguiente infografía, entre 2012 y 2014 el gobierno habría ido ampliando progresivamente sus capacidades de vigilancia, adquiriendo actualizaciones de software y alquilando un edificio destinado exclusivamente al centro de espionaje.

De acuerdo con la investigación presentada por Nuestro Diario, el sistema de vigilancia permitiría a las autoridades interceptar las comunicaciones telefónicas y los servicios de mensajería, hacer una copia espejo de lo que se escribe en un dispositivo intervenido, infiltrarse en redes sociales mediante la creación de perfiles falsos, así como activar la cámara y el micrófono de teléfonos celulares y computadoras con la finalidad de grabar audio, video y fotografías. Como señalamos, este tipo de prácticas no son nuevas en la región: ya en 2016 se denunciaba la adquisición por parte de los gobiernos de México, Honduras, Panamá, Ecuador, Colombia, Brasil y Chile del software proporcionado por Hacking Team, y se sabía que al menos otros seis países de la región (incluida Guatemala) habían sostenido negociaciones para la compra de este software.

Enrique Degenhart, Ministro de Gobernación guatemalteco, declaró negando la existencia de la red de espionaje, y afirmó que el sistema, que fuera adquirido por la administración anterior durante la presidencia de Otto Pérez Molina, estaría en poder de la Fiscalía y la CICIG (Comisión Internacional contra la Impunidad en Guatemala). Según Degenhart, las herramientas fueron secuestradas por las autoridades por la vía judicial. Pérez Molina actualmente cumple prisión preventiva por cargos de corrupción. “No tenemos conocimiento sobre qué están haciendo con ellas”, señaló el ministro, añadiendo que el uso de estas tecnologías estaría a discreción de las instituciones que las secuestraron, en lo que parece ser un intento de desmarcarse de cualquier responsabilidad sobre el uso de estos sistemas para la vigilancia.

Este tipo de circunstancias, precisamente, apunta a uno de los problemas más graves respecto a las tendencias recientes en tecnologías para la vigilancia en Latinoamérica: la total carencia de transparencia y rendición de cuentas en los procesos de licitación, adquisición, implementación y uso de estas tecnologías, que son adoptadas en procesos de secretismo bajo excusas de “seguridad nacional” e “inteligencia militar”, incurriendo así en afectaciones gravísimas a la privacidad de los ciudadanos sin que estos posean ningún mecanismo ni posibilidad alguna de ejercer los controles pertinentes sobre la manera en que son vigilados, y sin que puedan ser protegidos por las garantías judiciales mínimas que garanticen la proporcionalidad, la necesidad y la legalidad de las medidas tomadas.

Este tipo de tecnologías, que facilitan a los Estados la utilización de técnicas de hackeo con fines de vigilancia, socavan la privacidad de los ciudadanos de un modo especialmente grave, por cuanto recurren a la explotación de vulnerabilidades de seguridad en los sistemas informáticos, frecuentemente sin justificación legal y en maneras que no suelen ser compatibles con la normativa internacional en materia de derechos humanos. Así, Privacy International señala, en un informe de 2017 sobre la práctica del hackeo con fines de vigilancia en América Latina:

No queda claro si estas actividades pueden en alguna instancia realizarse en conformidad con las normas internacionales de derechos humanos. Si los Gobiernos insisten, a pesar de lo anterior, en poner en práctica estas facultades, deben cumplir con una serie de salvaguardas necesarias mínimas (según lo establece la legislación internacional en materia de derechos humanos) que aborden las implicancias que tiene el hackeo en la seguridad.

En este sentido, el primer factor de urgencia, tanto en Guatemala como en el resto de Latinoamérica, es la articulación de una base legal clara con respecto a las actividades de inteligencia, vigilancia y hackeo llevadas a cabo por parte de los Gobiernos. La carencia de una base legal clara, específica y que haya sido creada a través de una discusión abierta, pública y de carácter parlamentario, con la inclusión de todos los sectores de la sociedad, es el primer factor que ocasiona que todas estas actividades estén siendo llevadas a cabo en violación de las normativas internacionales en materia de derechos humanos. Por otra parte, si bien la Procuraduría de Guatemala anunció la apertura de un expediente para investigar los hechos mencionados, los gobiernos de la región han sido consistentes en ignorar las investigaciones o procesos judiciales que deberían haber sido llevados a cabo al descubrir las irregularidades cometidas en la implementación y uso de estas tecnologías, así como en lo que respecta a la revisión necesaria de las leyes vigentes.

Mientras seguimos siendo vigilados, la transparencia, la rendición de cuentas y la creación de garantías y controles judiciales efectivos frente a las medidas invasivas a la privacidad se hacen cada vez más urgentes. De lo contrario, la vulneración constante a nuestra privacidad no será más que un factor adicional en el debilitamiento de nuestra libertad de expresión y participación y por ende, en el socavamiento de las ya frágiles democracias de nuestra región.

¿Me protege mi huella digital o debo yo protegerla a ella?

En días pasados, con motivo del proceso electoral mexicano, se advirtió a través de redes sociales y medios de comunicación sobre los riesgos de compartir fotos de nuestros dedos manchados de tinta, en un contexto donde nuestra información biométrica es usada constantemente con fines de autenticación. Como principio general de seguridad, sabemos que es una buena práctica no compartir información personal que constituya o pueda formar parte de mecanismos de autenticación o verificación, como -evidentemente- nuestras contraseñas. Sin embargo, ¿qué sucede cuando nuestro cuerpo -nuestras huellas digitales, nuestra voz o nuestro rostro- se han convertido en nuestras contraseñas? ¿Es factible y está en nuestro poder proteger esta información?

En 2014, hackers del gobierno chino ingresaron en los sistemas de computación del gobierno norteamericano, logrando extraer los datos personales de 22 millones de ciudadanos estadounidenses, incluyendo los datos de la huella digital de 5.6 millones de personas. Aunque hasta el presente no existen evidencias de que estos datos hayan sido comerciados en el mercado negro, resulta abismante el riesgo que pueden representar en caso de ser vendidos. En 2016, investigadores de la Universidad Estatal de Michigan fueron capaces de convertir reproducciones de huellas digitales en versiones 3D de las mismas, capaces de engañar a los lectores de huella digital de los teléfonos inteligentes, todo esto con equipamiento por un valor inferior a los 500 dólares. Igualmente, los investigadores del Instituto Nacional de Informática de Tokio afirman que son capaces de reconstruir una huella digital a partir de la fotografía de una persona haciendo el signo de la paz con su dedo índice y medio, tomada a tres metros de distancia. Esta última noticia levantó alertas en diversos sitios de noticias, que señalaron que los avances paralelos en las tecnologías fotográficas y de autenticación por huella digital, aunados al uso continuo de redes sociales para compartir información, convergen en un punto de riesgo incrementado en lo que respecta a la accesibilidad y facilidad para obtener y recrear las huellas digitales de las personas.

Los datos del rostro también son vulnerables: hoy en día, crear una base de datos a partir de fotografías de los rostros de las personas puede ser tan fácil como descargarla de Facebook o LinkedIn, y la tecnología se encuentra fácilmente disponible, no solo para procesar estas imágenes a través de algoritmos de reconocimiento facial, sino incluso para crear modelos en 3D a partir de ellas. De hecho, en el Chaos Communication Congress de 2014, un investigador de seguridad reprodujo un modelo funcional de la huella digital del ministro de Defensa alemán, partiendo de una fotografia en alta resolución de su mano.

El principal problema de seguridad planteado por el uso de tecnologías biométricas para la autenticación es que los datos biométricos no pueden ser reemplazados. Una vez que el patrón de nuestras huellas digitales se ve comprometido, solo tenemos un número limitado de posibilidades de reemplazarla, en caso de que se requiera solo una. Así, como señala nuestro reciente informe, “El cuerpo como dato”:

Dado que los datos biométricos son únicos e irremplazables, la posibilidad de pérdida o robo de estos significa que la identidad legal del individuo se ve comprometida sin posibilidad de que se le provea de una nueva identidad, creando un contexto en el cual, de no existir salvaguardas legales, una persona podría verse privada de su identidad sin recursos para recuperarla ni indemnización a los daños.

En el caso de que, por ejemplo, la huella digital sea la puerta de entrada hacia otra información personal, como los servicios de mensajería o el correo electrónico, el robo de los patrones biométricos no es el único peligro. El riesgo, por ejemplo, de que los cuerpos policiales puedan sortear el cifrado de un dispositivo a través de copias de la huella digital -o simplemente forzando al ciudadano físicamente- es, de suyo, alto, no solo en el contexto latinoamericano, donde el abuso policial es una práctica frecuente. Esto puede suceder incluso cuando se siguen procedimientos judiciales: en Los Ángeles, un juez emitió una orden para forzar el dedo de una mujer en el lector de huella de un teléfono incautado con el fin de desbloquearlo en el contexto de un proceso por robo de identidad.

Más que el riesgo de perder el control sobre nuestros datos biométricos, el verdadero riesgo se encuentra en el hecho de que nunca tuvimos control sobre ellos en primer lugar. La propia naturaleza de nuestro cuerpo implica que este se encuentra en constante contacto e intercambio de información con el mundo que nos rodea: nuestro rostro descubierto es captado por cámaras de vigilancia urbanas, por los teléfonos de las personas en la calle y a través de nuestras cuentas de redes sociales; nuestras huellas digitales entran en contacto un millón de veces al día con objetos cotidianos a partir de los cuales pueden ser reconstruidas; nuestra voz, nuestros ojos o nuestra manera de caminar no son datos que podamos ocultar del mundo sin limitar severamente nuestras rutinas. El cuerpo, por su naturaleza comunicacional, emite constantemente información que es captada por diversos dispositivos, incluyendo datos como nuestra presión sanguínea, nuestro pulso o la cantidad de pasos que damos al día. Las tecnologías modernas, y no solo las biométricas, recaban y transmiten una cantidad de información gigantesca de manera coditiana, no solo para verificar nuestra identidad, sino para determinar factores como el género, edad, estado de salud o nivel de ingresos de una persona determinada.

Lo que deriva de esto no es solo que debamos tener un mayor cuidado al momento de comunicar o entregar nuestros datos personales, especialmente nuestros datos biométricos, sino que todo cuidado será insuficiente si no logramos crear regulaciones y políticas públicas que permitan un manejo mucho más cuidadoso de estos datos por parte de gobiernos y empresas privadas. Por otra parte, la tecnología sigue avanzando, por lo general con mucha más rápidez que la regulación y sin esperar por ella. En 2013, un equipo de investigadores en Berkeley creó un sistema de autenticación biométrica basado en ondas cerebrales, llamado “passthoughts”. Esta técnica combina tres factores de verificación: algo que sabes (un pensamiento), algo que eres (tus ondas cerebrales) y algo que tienes (el sensor para medirlas). Para autenticar tu identidad, debes pensar en tu clave secreta mientras usas el sensor, que transmite una representación matemática de las señales que hace tu cerebro cuando piensas en la clave. En teoría, es imposible falsificar un passthought, dado que cada persona piensa el mismo pensamiento de manera distinta. La única manera de sortear este tipo de seguridad sería forzar a la persona a pensar su clave, capturar la respuesta y luego reproducirla. Sin embargo, un passthought, al igual que cualquier contraseña, puede ser cambiado.

Esto es solo un ejemplo de maneras en las cuales la tecnología de autenticación biométrica puede cambiar en el futuro próximo. Entretanto, en la mayor parte del mundo seguimos debatiendo sobre cuál es el paradigma correcto para enfrentar desde el punto de vista jurídico a una tecnología cuyo avance no se detendrá a esperar por nosotros.

El cuerpo como dato (2018)

Descargar PDF

¿Cuál es la naturaleza del dato biométrico en relación a la identidad del individuo? El acelerado crecimiento en el uso de tecnologías biométricas para la identificación en América Latina plantea una serie de cuestionamientos relativos no solo al impacto de estas tecnologías sobre la libertad de expresión y de acción en espacios públicos, sino a la autonomía y a la identidad del individuo.

Un vistazo a las potenciales vulnerabilidades de WhatsApp

Simplificado a su mínima expresión, el gran problema que ha planteado el acelerado desarrollo tecnológico es de confianza. Porque está claro que la mejor alternativa que tenemos para un mejor mañana radica en el desarrollo tecnológico, muchas veces olvidamos que no estamos hablando de una entidad única, independiente, todopoderosa y, sobre todo, esencialmente buena. Nuestra necesidad de confiar en la tecnología dificulta nuestra capacidad de desarrollar un sano ejercicio crítico y pensarla no como una unidad homogénea y articulada sincrónicamente, sino como un campo plural: no todas las tecnologías son creadas iguales.

Parte importante del problema de la confianza ciega en la tecnología deriva del hecho de que no sabemos cómo funcionan; no es necesario, la meta de cualquier tecnología con ganas de imponerse es volverse intuitiva al punto de que no requiera esfuerzo alguno hasta del más inexperto de los usuarios. Este desconocimiento nos permite también integrar nuevas tecnologías a nuestras vidas sin pensar demasiado en las implicancias de ese acto: ¿estaríamos tan dispuestos a poner nuestras vidas en un teléfono si supiésemos las diversas formas en que esa información puede ser accedida por otros, recolectada y procesada? Hay ciertas cosas en las que preferimos no pensar mucho, aunque debiésemos.

¿Y qué pasa cuando la tecnología nos traiciona, cuando algo falla? ¿Cómo podemos obtener alguna certeza al respecto? ¿En quién podemos confiar? Estas fueron algunas de las preguntas que se desprendieron en septiembre de 2017, cuando Carabineros de Chile explicó con gran pompa a través de la prensa que gracias a la interceptación de conversaciones de WhatsApp había logrado identificar a los responsables de una serie de ataques incendiarios contra camiones forestales en la novena región del país. Huracán se llamó el operativo.

En su momento, salvo contadas excepciones, todas las voces oficiales asumieron el hecho sin cuestionarlo, sin preguntarse cuáles eran las implicancias de un antecedente fundamental, pero mencionado al paso. Y resultó que las implicancias eran monumentales: cuatro meses más tarde, el Ministerio Público y Carabineros se veían enfrentados en una serie de denuncias que mantienen a funcionarios policiales y un civil acusados de fabricación de pruebas para inculpar inocentes.

El vuelco del caso ha sido extraño y, por momentos, raya en lo tragicómico. Pero, por sobre todo, ha sido increíblemente confuso y complejo: mientras la atención se ha centrado en discutir en torno a la existencia (o no) de un software llamado Antorcha, prácticas como la intervención telefónica ilegal a gran escala han pasado prácticamente desapercibidas en el debate público; el peligro es que muchas interrogantes queden sin una debida explicación.

Como una forma de aportar certezas a una causa extremadamente compleja, el equipo técnico de Derechos Digitales se planteó una pregunta: ¿De qué manera se podrían obtener las conversaciones de WhatsApp de un tercero? En base a información de prensa en torno al caso Huracán y la documentación técnicamente existente, el equipo testeó distintas formas en las que teóricamente se puede acceder al contenido de las comunicaciones de Whatsapp. La idea era poder aproximar una respuesta respecto a la factibilidad del ataque y las capacidades que podría (o no) tener Carabineros de Chile para realizar este tipo de intrusión. Esta información esta contenida en ‘¿Confiable y seguro? un vistazo a las potenciales vulnerabilidades de WhatsApp‘, hoy publicado.

Pero en un sentido mucho más amplio, el objetivo de esta investigación era conocer un poco más respecto al funcionamiento de WhatsApp y sus potenciales vulnerabilidades, como una manera de generar información adicional que las poblaciones en mayor riesgo –activistas, periodistas, defensores de derechos humanos- puedan considerar a la hora de decidir respecto al uso de la aplicación y los cuidados necesarios que deben tener para una experiencia lo más segura posible.

Cabe recordar que ninguna tecnología es infalible, en el mejor de los casos sus vulnerabilidad no son públicamente conocidas. En ese sentido, el estándar de cifrado de WhatsApp es alto y las técnicas analizadas por el equipo de Derechos Digitales revelan que, de ser posible, la intervención es compleja y requiere una serie de pasos previos, siendo en la mayoría de los casos necesario tener acceso físico previo al teléfono. Sin embargo, nunca está de más recordar que el cifrado es una protección contra un tipo determinado de ataque y poco tiene que aportar en caso de que un tercero pueda manipular un equipo o que una de las partes participantes de la conversación entregue la información.

Relevante también es decir que nuestro análisis arroja que, de haberse realizado alguno de los ataques detallados en el informe, estaríamos frente a una ilegalidad. Lo anterior es importante, pues más allá de si las informaciones presentadas en el marco de operación Huracán son verdaderas o falsas, lo que está completamente claro es el deseo expreso de las policías chilenas por utilizar este tipo de técnicas con fines investigativos.

Estamos seguros de que Huracán no es ni el primero ni será el último caso con estas características y lo que hoy puede ser desprolijo, podría ser un paso necesario en una vía hacia el perfeccionamiento de unas técnicas de vigilancia que, de no contar con la adecuada regulación y medidas de control acordes, podría devenir en una amenaza importante a nuestra democracia.

¿Quién defiende nuestros datos?

Las empresas

Cuando lanzamos la primera versión de este informe hace un año, la principal conclusión fue que a la industria de las telecomunicaciones le preocupaba poco o muy poco la protección de datos y la privacidad de los usuarios. Nuestra segunda conclusión fue que las empresas controladas por capitales extranjeros fueron levemente mejor evaluadas que sus pares, probablemente por cumplir con estándares fijados por su casa matriz.

Un año después, la versión 2018 pinta un panorama un poco más auspicioso. Un sector de la industria (en particular Claro y WOM) parece haber reaccionado ante los cuestionamientos del informe y avanzó sustantivamente en sus condiciones de privacidad y prácticas en pos de la defensa de los usuarios. Por otra parte, VTR y Movistar parecen haberse dormido en los laureles de su evaluación relativamente positiva del año pasado, y no avanzaron sustantivamente. Por último, Entel y Manquehue se mantienen al fondo de la tabla, no habiendo mostrado mayor interés en mejorar.

Una de las principales mejoras, y que resulta particularmente positiva a la luz de la polémica por la aprobación del llamado Decreto Espía, es que un número importante de empresas anunció públicamente que exige orden judicial previa, no solo cuando la autoridad solicita interceptar comunicaciones, sino para entregar acceso a los metadatos del usuario.

También resulta llamativo que las dos empresas que más avanzaron (Claro y WOM), son justamente las empresas más presentes en el segmento móvil del mercado, que hoy presenta mayores niveles de competencia. Esto puede indicar que el bajo nivel de competencia que enfrentan las empresas más afianzadas en el mercado entrega pocos incentivos para que estas ofrezcan mejoras en las condiciones de privacidad de sus usuarios.

La sociedad civil

Cuando nos preguntamos quienes recolectan, tratan y abusan de nuestros datos, los dardos generalmente apuntan al Estado y las empresas. Sin embargo, muchas organizaciones de la sociedad civil, como ONGs, partidos políticos, sindicatos y otros cuerpos intermedios también manejan grandes bases de datos personales, los que por un interés activo o por negligencia pueden ser mal utilizados.

Por su volumen, las bases de datos que los partidos políticos manejan al momento de desplegar sus campañas electorales son de particular importancia. Este año, nos enteramos que el mal uso de nuestros datos personales por parte de los partidos políticos va más allá de la compra de bases de datos y de mensajes de texto no solicitados.

En un extenso reportaje, CIPER dio a conocer que distintos partidos políticos han contratado los servicios de la empresa Instagis. A través de su software, la empresa permitiría identificar el RUT, domicilio y preferencia política de una persona, y de esta forma entregar publicidad personalizada durante las campañas políticas. Cabe recordar que las preferencias políticas de una persona constituyen un dato personal sensible, y por tanto su tratamiento no puede ampararse en haberse obtenido los datos de una fuente accesible al público. En otras palabras, estos partidos políticos están haciendo campaña a través de una herramienta que abusa de nuestros datos personales y está al margen de la legalidad.

Aun así, al igual que en el caso de las empresas de telecomunicaciones, hay un sector de los partidos políticos que ha decidido avanzar en la materia. Recientemente, el Frente Amplio ha buscado asesoría entre distintos expertos, con el fin de que su plataforma de participación no solo cumpla con la legislación, sino que entregue términos de privacidad que promuevan los derechos de sus participantes.

El Estado

Lamentablemente, y como hemos expresado en el pasado, los organismos público no solo no están cumpliendo con su deber de proteger los datos personales de los ciudadanos, sino que muchas de las iniciativas del gobierno activamente los exponen innecesariamente, o incluso como una forma de castigo.

De esta forma, la Ley Electoral todavía mandata que nuestros datos personales estén públicamente disponibles en el sitio web del SERVEL. Por otro lado, el próximo 5 de junio entrará a regir el denominado “DICOM del Transantiago”, una iniciativa que busca combatir la evasión del transporte público a través de un registro abierto cuyo objetivo es que los datos personales de los infractores sean expuestos, y así se vean discriminados en su acceso al trabajo, crédito y otros beneficios estatales.

¿El camino a seguir?

Si bien muchas de las mejoras antes descritas pueden resultar loables, lo cierto es que no bastan las iniciativas individuales. Necesitamos de una nueva legislación que impulse una cultura de la protección de datos a nivel transversal en nuestra sociedad.

El proyecto que hoy se encuentra actuamente en tramitación en el Senado se presenta como una oportunidad necesaria para mejorar nuestro estándar de protección y poder contar con una legislación cuyo objetivo sea proteger a las personas y no solo legitimar el tráfico de datos personales.

Sin embargo, para ello el proyecto debe modificar sustancialmente varias de sus disposiciones. Como hoy está contemplada, la futura Agencia de Protección de Datos Personales no cuenta con la autonomía e independencia necesaria del gobierno de turno para asegurar que sus decisiones sean de carácter exclusivamente técnico. Del mismo modo, resulta imperioso volver a incorporar los hábitos de las personas en la definición de dato personal sensible y restringir sustantivamente la figura del “interés legítimo” como causal para el tratamiento de datos personales sin el consentimiento del titular. Por último, es necesario aumentar el monto de las multas en casos graves o reincidentes, de forma tal que resulte un real desincentivo para las empresas de mayor tamaño. Tal vez emular la fórmula adoptada por la nueva versión Reglamento General de Protección de Datos, pronto a publicarse este mes, y que las multas asciendan hasta un 4% de los ingresos anuales de la empresa infractora resulte una buena idea a emular.

Los senadores tienen plazo hasta el 7 de junio para ingresar indicaciones al proyecto de ley, esperamos que las mejoras antes descritas puedan ser incorporadas a la discusión y debatidas, y de esta forma que sea la protección de los derechos de las personas el principal objetivo de nuestra legislación. Solo de esta forma podremos asegurar que la protección de los datos personales se transforme en la regla general en Chile, y no esté sujeta simplemente a la buena voluntad de los distintos actores involucrados.