Temática: Privacidad

Cómo el gobierno de Chile ha dado rienda suelta a sus policías

El escándalo

La Operación Huracán se detiene en razón de un peritaje encargado por la Fiscalía, el cual arrojó que dichos mensajes fueron introducidos en los celulares de los imputados con posterioridad a la incautación de sus equipos, es decir, después de haber presentado esos mensajes como antecedentes para perseguir. En otras palabras, se trata de un montaje policial de la mayor gravedad, que levanta aún más dudas sobre el actuar de Carabineros en la región, y de las excesivas facultades y el poco control con los que se le permite operar a las policías.

Cuesta explicar las horas que dedicamos en Derechos Digitales a especular sobre cuál sofisticado mecanismo había utilizado la inteligencia de Carabineros para interceptar la comunicación entre los comuneros. Y es que los mensajes de WhatsApp, y Telegram bajo ciertas circunstancias, cuentan con tecnología de cifrado de punto a punto. Por tanto, no son accesibles ni siquiera por las empresas de telecomunicaciones ni las de mensajería, menos aún por un tercero.

Sin embargo, resulta que no se trató de un sofisticado software de vigilancia, sino que la supuesta evidencia consistiría en archivos .txt, los que no tienen relación con el formato utilizado por los servicios de mensajería para sus respaldos de conversaciones, y que estaban localizados en carpetas distintas a las utilizadas por las aplicaciones. Aun peor, como muestran los peritajes, estos archivos fueron introducidos después de que los equipos fueron requisados por carabineros.

Para colmo, y como lo habían anunciado los familiares de los imputados, muchos de los celulares ni siquiera tenían instaladas las aplicaciones de mensajería. No podría haber sido de otra forma, luego de haberse destapado que el experto de Carabineros no parecía el genio criptógrafo que imaginábamos.

Las policías y el principio de no deliberación

Uno de los principios que inspiran el sistema normativo chileno es el de no deliberación de las policías. Esto implica que la policía no es un interviniente en el proceso penal, sino un órgano auxiliar de Fiscalía. En otras palabras, la investigación está a cargo de Fiscalía, y las policías solo están encargadas de realizar las diligencias que ésta les encargue.

Sin embargo, el uso impropio de la Ley 19.974 Sobre el sistema de inteligencia del Estado ha permitido justamente vulnerar este principio. Seamos claros: no corresponde la utilización de la ley de inteligencia para recabar prueba en un proceso penal. El objetivo de la inteligencia es el proceso sistemático de recolección, evaluación y análisis de información, cuya finalidad es producir conocimiento útil para la toma de decisiones del Estado, con fines específicos delimitados en la ley. La producción de prueba al interior del proceso penal tiene sus propias reglas, que buscan cautelar el debido proceso del imputado y están reguladas en el Código Procesal Penal.

Parte de la gravedad de este caso, es que Carabineros utilizó la Ley de inteligencia para solicitar directamente a la Corte de Apelaciones la interceptación de comunicaciones de los sospechosos. En otras palabras, a través de esta estratagema, Carabineros pudo operar sin el control de Fiscalía, produciendo antecedentes fraudulentos y luego presentándolos como prueba al interior del proceso penal. Esto es totalmente inaceptable en un Estado de Derecho.

Para colmo, Carabineros no proporcionó información sobre cómo fue obtenida la supuesta prueba, dejando a los acusados en la indefensión, ya que no contaban con los antecedentes necesarios para poder desmentir la veracidad de los antecedentes que se invocaban para acusarlos. Cuando se destapó el montaje, Carabineros mostró su oposición a la investigación del escándalo y se opuso físicamente al allanamiento de sus oficinas, situación que trae un amargo recuerdo en un país donde la falta de obediencia de las fuerzas armadas al poder civil es más bien reciente.

¿Quién vigila a los vigilantes?

Si bien es evidente que Carabineros debe asumir responsabilidad por sus actos, y corresponde que el general Villalobos presente su renuncia, lo cierto es que el problema no termina ahí. Lo que realmente está detrás de esto es un gobierno que ha decidido sistemáticamente apoyar el actuar de Carabineros en desmedro de su necesaria subordinación al poder civil. El hecho de que el Ministerio del Interior se haya opuesto al cierre de la investigación en la Operación Huracán (fuera de plazo, por lo demás) y que el subsecretario Aleuy no haya esperado los resultados del proceso para viajar a Argentina a desbaratar un supuesto tráfico de armas que nunca existió, dan cuenta de aquello.

El subsecretario Aleuy también jugó un rol en otra iniciativa que buscaba otorgarle facultades desproporcionadas a carabineros en desmedro de Fiscalía: el Decreto Espía. Como anunciamos en su momento, el decreto buscaba entregar acceso a nuestros metadatos a las policías sin necesariamente contar con una orden judicial. Fuentes periodísticas muestran que esto incluso significó la ausencia de Fiscalía en la mesa técnica que redactó el polémico decreto. El contundente fallo de Contraloría que detuvo la aprobación del Decreto Espía hizo eco de estos temores, al señalar que el decreto utilizaba referencias genéricas tales como «toda otra institución» o «autoridad» a referirse a las entidades que tendrían acceso a esta base de metadatos, posiblemente incluyendo así a Carabineros.

Ante esto, corresponde que la Subsecretaría del Interior asuma la responsabilidad política de intentar conseguir arrestos en el conflicto mapuche sin consideración a las debidas garantías del proceso penal; así como de intentar dotar a las policías de facultades incompatibles con el debido proceso.

Como ya dijimos, también la prensa está en deuda con la opinión pública, y le cabe asumir una cuota de responsabilidad. Fuera de contadas excepciones, la prensa nacional se contentó con reproducir la versión de Carabineros, que sostenía que estos mensajes habían sido interceptados por medios técnicos. No existió una debida contrastación de los hechos, ni consulta a expertos en la materia, que podrían haber aportado un sano nivel de escepticismo respecto de la factibilidad técnica de esta versión oficial.

¿Y ahora, qué?

Toda tragedia puede convertirse en una oportunidad. Las revelaciones de la última semana son gravísimas; y como en las comedias en donde el protagonista se mete cada vez más en problemas por tratar de tapar su mentira inicial, lo más probable es que se sigan destapando más antecedentes en los próximos días.

Este escándalo también provee una oportunidad para enmendar los cuerpos jurídicos que, sumados a prácticas cuestionables y al apoyo del gobierno, permiten que estas prácticas vulneratorias ocurran. Es necesario revisar nuestra Ley de inteligencia, a fin de que no pueda ser utilizada por Carabineros para operar sin el debido control de Fiscalía. Es necesario regular la compra de software (malware) de vigilancia por parte del Estado, cuestión pendiente desde la revelación de que la PDI había adquirido software de Hacking Team para obtener acceso a información que no obtendrán a través de una orden judicial. Hay que limitar las hipótesis en donde el Estado pueda incurrir en interceptación de comunicaciones o de equipos respecto de sus ciudadanos, de tal manera que se condiga con estándares internacionales, y se realice conforme a criterios de necesidad, idoneidad y proporcionalidad. Por último, es necesario que los órganos judiciales y políticos encargados del control de la operación de los órganos de inteligencia hagan su trabajo, como depositarios de la fe pública en el resguardo de los derechos de la ciudadanía.

En este sentido, los lineamientos de la recién estrenada Política Nacional de Ciberseguridad deben ser utilizados como una hoja de ruta para enmendar nuestro marco jurídico en la materia. Hoy más que nunca requerimos de una aproximación de derechos fundamentales para abordar materias complejas como la vigilancia, la interceptación de comunicaciones, el cifrado y las atribuciones de los órganos de persecución penal. Como Derechos Digitales seguiremos dando la batalla para que la persecución del delito no se transforme en una excusa para pasar por sobre los derechos de las personas.

Metadatos (2017)

Descargar PDF

El #DecretoEspía ordena la recopilación masiva de datos comunicaciones por un periodo mayor a dos años. Aquí te explicamos por qué eso es un atentado a nuestra privacidad.

La mugre y la furia: Operación Huracán podría ser un montaje

Esto es gravísimo. El 23 de septiembre, Carabineros de Chile anunció con bombos y platillos el éxito de la Operación Huracán, una acción de inteligencia policial con el fin de esclarecer responsabilidades en dos quemas de camiones forestales ocurridas durante agosto en La Araucanía. Ocho comuneros mapuches fueron detenidos, incriminados por conversaciones de WhatsApp intervenidas por la policía.

Hoy, cuatro meses más tarde y en un giro escandaloso, la fiscalía está iniciando una investigación contra Carabineros por montaje: las pruebas habrían sido falsificadas e implantadas por ellos en los teléfonos celulares de los acusados.

Repito: esto es gravísimo. GRAVÍSIMO. Esclarecer completamente qué demonios pasó acá es fundamental y ningún esfuerzo debe ser escatimado hasta que las responsabilidades hayan sido debidamente identificadas y sancionadas; del orden que sean: penales, por supuesto, pero también políticas. Cualquier cosa menos es un atentado mayor contra uno de los pilares fundamentales del sistema democrático.

Hay mucho por lo que estar enojados hoy. Todavía más cuando la manera de implantar las pruebas habría sido burda a un extremo irrisorio, mientras en las oficinas de Derechos Digitales nos partíamos la cabeza intentando dilucidar la factibilidad del relato de Carabineros, imaginando complejos estratagemas apoyados de tecnología altamente sofisticada. Nada de eso habría habido aquí. Y como suele suceder, la respuesta más sencilla debe ser la más probable: intervenir los mensajes cifrados de WhatsApp es, si no imposible, muy difícil. Es poco factible que Carabineros cuente con los recursos y las capacidades de efectuar una acción de este tipo.

Evidentemente, las preguntas que surgen de este caso son múltiples: si se comprueba que se trató de un montaje, ¿es este un hecho aislado? ¿Es una práctica común? ¿Ha habido otros casos similares? Y la pregunta del millón: ¿cuáles son efectivamente las capacidades técnicas de vigilancia con las que cuentan las policías y otras instituciones estatales en Chile? ¿Cómo se usan? ¿Cuántas veces se han usado? ¿Con qué fines? ¿En cuántos casos han sido determinantes? ¿Cuál es la naturaleza de esos casos? ¿Cómo se fiscaliza el uso de esas herramientas?

Y ya que estamos hablando de preguntas, no puedo pasar por alto la responsabilidad de la prensa, que en muchos casos actuó como interlocutor pasivo de un relato, a lo menos, sospechoso. Evidentemente, los periodistas no están obligados conocer las minucias técnicas detrás de un sistema de cifrado, pero es sorprendente la falta de curiosidad y sana desconfianza con la cual aceptaron la versión oficial de la historia y omitieron el acto fundacional del periodismo: preguntar.

Si se hubiesen acercado a los expertos, se habrían enterado de que la hazaña narrada por Carabineros era altamente compleja y que era necesario saber más. De cualquier manera, una gran historia: si Carabineros dice la verdad, entonces poseen técnicas y tecnología que desconocemos y sobre lo cual es importantísimo despejar dudas. En caso contrario, es un montaje. Pero las preguntas no se hicieron y los supuestos mensajes fueron incluso publicados. Lo mínimo es que los editores responsables entreguen también las explicaciones y las disculpas pertinentes.

En el escenario actual, donde poco y nada sabemos de las capacidades del Estado para vigilar, conocer, indagar y dar respuestas es imperativo. La prensa tiene un rol importantísimo que cumplir en esta tarea y, hasta ahora, está en deuda con la sociedad.

Por cuarta vez: esto es gravísimo y es necesario llegar al fondo. Tan grave es, que nos entrega una oportunidad única para revisar, reformar y generar mayores instancias de control del modelo de funcionamiento de los servicios de inteligencia en Chile. Esto es necesario y urgente. El momento es ahora. No lo desperdiciemos.

La NSA seguirá vigilándonos

Durante la última semana hemos visto, una vez más, que el Congreso de los Estados Unidos de América aprueba la extensión de tiempo de una de sus normas más controvertidas: la Sección 702 de la FISA Amendments Act, la ley que, en términos simples, es la base legal para el monitoreo de comunicaciones por las agencias de inteligencia estadounidenses.

En particular, la Sección 702 es la que permite recolectar llamadas, correos electrónicos, mensajes de texto y más, de personas no estadounidenses que son investigadas por tales agencias, y sin necesitar de una orden judicial. Es decir, es la ley que permitió, y permitirá por al menos seis años más, programas de espionaje como los develados por Edward Snowden en 2013.

La noticia es más que negativa. Cada ocasión que ha tenido el Congreso de EE. UU. de poner límites reales a la vigilancia, ha optado por modificar las reglas de forma tal que agencias como la NSA, la CIA o el FBI sigan operando, con bajísimos resguardos procedimentales y manteniendo un nivel importante de secretismo.

Más gravemente, se niega –otra vez– la privacidad de quienes se comunican con personas en los EE. UU., en nombre de la recolección de inteligencia. Colegas, amistades, familiares, compañeras de estudio y más, se vuelven así posibles focos de vigilancia. Y el constante tránsito de nuestras conversaciones, imágenes, videos y textos por servidores ubicados allí, los pone a disposición de esas agencias para ser leídos, estudiados y almacenados sin que lo sepamos. De paso, esto perjudica también a las personas dentro de los EE. UU., que por comunicarse hacia el extranjero pierden buena parte de sus garantías constitucionales mínimas, como una orden judicial.

Esto pudo haber cambiado, al menos en parte, en razón de la contingencia política: la impopularidad de Donald Trump parecía realinear las fuerzas políticas, en contra de posibles arbitrariedades de las agencias de inteligencia que forman parte del aparato gubernamental que dirige el presidente. Así fue como algunas reformas mínimas asomaron la cabeza en el Senado. No obstante, la votación para avanzar sin discutir reformas recibió apoyo de los supuestos opositores a Trump. La supuesta Resistencia no demostró ser tal al momento de resguardar los derechos de los ciudadanos estadounidenses; el resto del mundo, en tanto, sigue expuesto.

Cuatro años y medio después de las revelaciones de Snowden, y tras largos e intensos debates sobre los límites de la vigilancia estatal y las garantías mínimas que ella debe cumplir, parece ser que en las esferas de toma de decisiones sigue primando un concepto de seguridad que sacrifica derechos fundamentales, socavando aún más a la democracia y poniendo en entredicho el valor de sus instituciones. La intensa lucha de organizaciones de la sociedad civil en los EE. UU. se mantiene frente a una clase política inflexible y un complejo de instituciones de vigilancia que opera en casi total impunidad.

A pesar de lo lejano que parece este debate, que tanto nos afecta, quedan espacios de acción a nivel colectivo e individual. Las noticias de los debates políticos en los EE. UU. todavía dejan fuera el real alcance de la vigilancia a diario, una actividad velada, a menudo auxiliada por la infraestructura del capitalismo de la vigilancia. También queda fuera de nuestro conocimiento lo que las agencias de inteligencia hacen a diario dentro de nuestros países en sus actividades de vigilancia. Y es por ello que mantener la lucha a nivel local, exigiendo controles democráticos sobre las agencias de inteligencia y sobre la adquisición de tecnología de vigilancia, así como aprender a defenderse de esta, se vuelve hoy más importante que nunca.

WPA2 recomendaciones de siempre para nuevas vulnerabilidades

Hace unos días fue anunciada una vulnerabilidad que afecta a todas las redes Wi-Fi modernas que utilizan el protocolo WPA2 para proteger la señal con contraseña. El ataque, denominado «Key Reinstallation Attacks» (KRACKS), es el resultado de una investigación académica enviada a revisión a mediados de mayo y hecha pública hace un par de semanas. Utilizando esta vulnerabilidad, un atacante que esté dentro del rango de la señal Wi-Fi podría obtener el contenido de nuestra navegación: mensajes, imágenes y contraseñas entre otro tipo de datos privados que circulan en la red Wi-Fi mientras utilizamos Internet. Además, dependiendo de la configuración de la red, el atacante también podría engañarnos haciéndonos ingresar datos privados en versiones de sitios que no corresponden a los oficiales u obligándonos a descargar algún tipo de virus o aplicación que no deseamos en el dispositivo. ¿Qué se puede hacer frente a esto?

Esta es una vulnerabilidad que existe en WPA2 como tecnología en sí misma, por lo tanto todos los dispositivos y sistemas operativos que utilizan WPA2 para conectarse a redes inalámbricas pueden verse afectados, incluyendo computadores con Windows, Linux o MacOS, celulares iPhone o Android e incluso radios, televisores o aspiradoras «inteligentes». Muchas de las empresas detrás de estos productos ya han publicado actualizaciones de seguridad que se hacen cargo de este problema, por lo tanto la recomendación principal (y permanente) es mantener actualizadas las aplicaciones y sistemas operativos de nuestros dispositivos para evitar de esta manera permanecer expuestos al ataque. En el caso de los dispositivos que ya no tengan soporte por parte del fabricante y que por tanto no puedan ser actualizados, no hay una recomendación clara: deben evaluar si el dispositivo puede conectarse a Internet de otra manera (cableado o por plan de datos de compañías de telefonía móvil), si es realmente necesario que el dispositivo esté conectado a Internet o, por último, utilizar el dispositivo asumiendo que el canal de comunicación (Wi-Fi en este caso) no es confiable y aplicar otras medidas de protección para el contenido, tales como VPN.

¿Cómo funciona el ataque?

Cuando un dispositivo intenta conectarse a una red inalámbrica se realiza un procedimiento llamado «4-way handshake», que es como un saludo doble entre el dispositivo y el punto de acceso o router con el objetivo de verificar que se posee la clave correcta para ingresar a la red y luego entregar una llave de cifrado que protege el contenido de potenciales observadores no deseados. Pues bien, los investigadores descubrieron una manera de engañar al punto de acceso y hacerle creer que el saludo doble nunca se completó, forzándolo a reenviar la llave de cifrado múltiples veces y eventualmente derivar ciertos aspectos criptográficos de la comunicación. Esto permite fácilmente llegar a descifrar el contenido y en algunos casos manipular información, permitiendo inyectar tráfico de red falso para la instalación forzada de ransomware u otro tipo de aplicaciones no deseadas. En sí, este método no permite obtener la clave con la que se accede a la red Wi-Fi, y requiere que el atacante esté dentro del rango que cubre el punto de acceso inalámbrico.

Posibles dudas que aún tengas:

¿Si navego por HTTPS, mi información sigue estando expuesta?

El protocolo HTTPS va a cifrar todo el contenido que se intercambie entre tu navegador y el servidor del sitio web que estás visitando. Lamentablemente esta vulnerabilidad permite que el atacante te fuerce a utilizar HTTP, la versión sin cifrado de HTTPS, dejando expuesto el contenido de tus comunicaciones nuevamente. Existen algunos sitios que solo permiten la navegación a través de HTTPS por lo que simplemente no funcionanrían si fueses victima de este ataque. Por último existe una extensión para Chrome, Firefox y Opera llamada HTTPS Everywhere que protege la navegación forzando el uso de HTTPS.

¿De qué manera me protege el uso de VPN?

Las VPN (Red privada virtual) son una manera de cifrar todo el contenido que viaja desde y hacia Internet en tu dispositivo. Funcionan estableciendo un canal cifrado entre la organización que te ofrece el servicio VPN y tu dispositivo, canal que funciona por encima de la conexión a Internet que estés usando, lo que previene que nadie en el medio pueda ver qué o con quién te estás comunicando, incluyendo a posible atacantes de esta vulnerabilidad pero también incluyendo al ISP que te da acceso a Internet, lo que permite brindar mayor privacidad a tus comunicaciones. Existen numerosas empresas que ofrecen este servicio por un pago mensual y algunas que lo ofrecen de manera gratuita limitando algunas características de uso. Si quieres saber más visita esta página de la EFF.

Poco y nada (o cuánto sabemos realmente sobre cómo nos vigilan)

Con gran pompa mediática, Carabineros de Chile anunció esta semana la detención de ocho comuneros mapuches en el marco de la denominada “Operación Huracán”, una acción de inteligencia policial con el fin de esclarecer responsabilidades en dos quemas de camiones forestales ocurridas durante agosto en La Araucanía.

Lo peculiar del anuncio es que la prueba incriminatoria para someter a proceso investigativo a los mapuches son mensajes intercambiados a través de aplicaciones de mensajería, como WhatsApp. Y aunque algunos de los mensajes supuestamente intercambiados por los detenidos han aparecido en la prensa, poco detalles se conocen sobre la operación; de ser reales las comunicaciones, ¿cómo accedieron a ellas?

Con la información actualmente disponible es imposible saberlo, y los escenarios potenciales son múltiples. Sabemos que los mensajes de WhatsApp están cifrados por defecto, por lo que ni los proveedores de servicio ni la misma compañía tienen acceso al contenido de las comunicaciones. ¿Qué fue entonces? ¿Un infiltrado? ¿Tuvo la policía acceso físico a los teléfonos? ¿Utilizaron alguno de los programas espía disponibles en el mercado?

Si bien la última opción es técnicamente compleja y sofisticada, no es descabellada: sabemos que la Policía de Investigaciones (PDI) compró el software Phantom de Hacking Team; sabemos también que el objetivo era usarlo para conseguir “información que no obtendrán a través de una orden judicial”. No sabemos mucho más; ni cuántas veces lo han usado, con qué objeto, en el marco de qué causas. Tampoco sabemos qué software utiliza Carabineros de Chile ni cualquier otra institución pública.

Pareciera ser incluso que sabemos más sobre los programas de vigilancia de la NSA estadounidense que de lo que ocurre en América Latina.

La falta de información disponible respecto a las capacidades técnicas y las prácticas de vigilancia de las policía es un problema importante. Dado que se trata de herramientas altamente intrusivas, es dudoso que su uso se apegue a las garantías del debido proceso establecidas en el Código Procesal Penal. Por otra parte, la adquisición de este tipo de herramientas muchas veces se ampara en el secreto que proveen las razones de seguridad nacional y es altamente complejo poder determinar si se han usado o no, incluso teniendo acceso al dispositivo que se sospecha pudiese haber sido infectado.

Se arma así un cuadro complejo, donde el abuso por parte de los cuerpos investigativos es una posibilidad real, escudado en el completo silencio con el cual es factible operar hoy. Frente a esto, la única respuesta posible en una sociedad democrática es mayor transparencia respecto a modos y técnicas, que permitan dar un mínimo de certezas básicas que funcionen como garantías del respeto por los derechos fundamentales.

Recientemente en México se ha comenzado a desenmarañar una extensa red de espionaje gubernamental dirigido a activistas, periodistas y opositores políticos. Se trata de un ejemplo claro y cercano de los graves peligros que permite la falta de controles y contrapesos.

Pero el caso mexicano es también un recordatorio del estado de penumbra en el que muchas veces se encuentran quienes tienen interés por averiguar qué está ocurriendo con la vigilancia estatal: las personas correctas dieron con la pista correcta en el momento correcto; de otra forma, es muy probable que ninguno de estos casos hubiese salido a la luz. Los esfuerzos por esclarecer el estado de la vigilancia estatal no pueden descansar en la buena suerte.

Al igual que en el caso del #DecretoEspía, lo que está en juego acá es el sistema de resguardos que garantizan que los derechos constitucionales están siendo respetados. Dado que Carabineros se ha mostrado tan abiertos y dispuesto a compartir los resultados de su investigación con los medios de comunicación, hay una oportunidad interesante para saber más sobre el modo en que proceden, en este y otros casos.

Es tarea de la prensa también plantear las preguntas correctas y no convertirse en pasivos transmisores de información incuestionable. Tal vez de esta manera podamos empezar a conseguir algunas respuestas.

México y Chile quieren trabajar por los Derechos Humanos vigilando a sus ciudadanos

El Consejo de Derechos Humanos (CDH) es un organismo de las Naciones Unidas encargado de la promoción y protección de los derechos humanos a nivel global. El CDH monitorea situaciones de violaciones de los derechos humanos y formula recomendaciones a los Estados; además trabaja en forma permanente en cuestiones temáticas y en situaciones de violación a los derechos humanos en países específicos. Está compuesto por 47 estados miembros de las Naciones Unidas que son elegidos por la Asamblea General de las Naciones Unidas.

Entre los países Latinoamericanos que se han presentado como candidatos al CDH este año están México y Chile. El lunes 11 de septiembre, por sexto año consecutivo Amnistía Internacional y el International Service for Human Rights (ISHR) organizaron dos reuniones (una en Ginebra y la otra en Nueva York) con el propósito de dar oportunidad a los candidatos de presentar sus visiones y compromisos concretos con la defensa de los derechos humanos. Esto porque no existe otra instancia formal para estos efectos, y porque este evento representa una oportunidad única para que actores de la sociedad civil interactúen directamente con los gobiernos y puedan interpelarlos acerca de su postura concreta respecto de temas específicos que afectan el ejercicio de los derechos humanos.

Junto con otras organizaciones de la sociedad civil, desde Derechos Digitales tomamos esta oportunidad hacer llegar a los representantes de México y Chile nuestras preocupaciones particulares, a través de Twitter utilizando el hashtag #HRCPledging. Les preguntamos sobre su compromiso con el ejercicio de derechos humanos en el entorno digital y en general, en relación con el uso de tecnologías. También les preguntamos sobre su su compromiso de trabajo respecto de dichos asuntos desde su eventual posición en el CDH.

Tal como fue destacado por uno de los moderadores al inicio del evento en Nueva York, por su misión, el CDH es probablemente el más noble de los cuerpos que integran el sistema de las Naciones Unidas, pero su legitimidad depende esencialmente de que sus estados miembros no ignoren o directamente vulneren los derechos humanos de sus propios ciudadanos. En las candidaturas de México y Chile, este principio está en riesgo.

En la región existen numerosos desafíos pendientes en materia de derechos humanos, tales como políticas públicas que se hagan cargo de formas históricas de discriminación como aquellas asociadas al género, la opción sexual y la pertenencia a pueblos originarios. Asimismo, la acción de los Estados en la región se ha mostrado insuficiente cuando se trata de asegurar la libertad de expresión y de participación democrática de la sociedad civil, especialmente en cuando se trata de garantizar la seguridad a periodistas, defensores de derechos humanos o comunidades que luchan por la integridad de sus territorios y por la protección del medio ambiente.

Todos estos asuntos tienen un correlato en el uso de la tecnología y la presencia online de los actores sociales. Es por eso que el compromiso de los Estados con los derechos humanos debe extenderse a este espacio. En 2016, el mismo CDH, a través de su Resolución para la “Promoción, protección y disfrute de los derechos humanos en Internet” observó “la importancia de generar confianza en Internet, en particular en lo que respecta a la libertad de expresión, la privacidad y otros derechos humanos, para que Internet alcance su potencial”. Además reconoció que “la privacidad en línea es importante para materializar el derecho a la libertad de expresión y a no ser molestado por sus opiniones, sin injerencias, y el derecho a la libertad de reunión y de asociación pacíficas”, y terminó expresando su profunda preocupación por “todos los abusos y violaciones de los derechos humanos cometidos contra las personas por ejercer sus derechos humanos y libertades fundamentales en Internet, y por la impunidad con que se cometen”.

Tristemente, y lejos de lo que se esperaría de dos candidatos al CDH, durante 2017 tanto México como Chile han dado pasos precisamente en la dirección opuesta a la indicada en la Resolución sobre los derechos humanos en Internet.

México, decidió enfrentar la corrupción, las desapariciones forzadas y torturas de activistas, espiando a las organizaciones de la sociedad civil que denunciaban los excesos gubernamentales. A espaldas de la ciudadanía, el gobierno mexicano compró y usó un programa de espionaje llamado Pegasus para intimidar a activistas, periodistas y defensores de derechos humanos. Luego de organizaciones de la sociedad civil denunciaran estos hechos, hoy día permanecen en la total impunidad sin una investigación apropiada, sin sanciones para los responsables y sin respuestas ni compromisos de acción futura de parte del gobierno mexicano. Y este espionaje se suma a un panorama de censura devastador, ya que México es de los lugares más peligrosos para ser periodista, después de países en guerra como Afganistán, y estados fallidos como Somalia. Desde el 2000, 104 periodistas han muerto y 25 han desaparecido, pero el Estado no ha emprendido acciones concretas para enfrentar esta situación.

Por su parte, comenzando el año Chile dio señales potentísimas de sintonía con el respeto de los derechos humanos en internet: presentó la tan anhelada iniciativa de actualización del marco normativo de protección de los datos personales; además presentó su Política Nacional de Ciberseguridad, elaborada por un Comité Multiministerial con participación de representantes de la sociedad civil y en la cual se plasmaron compromisos explícitos de pleno respeto a la privacidad y a la libertad de expresión en el ciberespacio.

Tristemente, opacando estas iniciativas el año avanza con uno de los atentados más grandes a la privacidad y la inviolabilidad de las comunicaciones, a través de la introducción del Decreto 866 por parte del Ministerio del Interior, el cual busca extender las obligaciones legales sobre retención de datos de comunicaciones, en un sentido contrario a los estándares internacionales.

Interpelados por la sociedad civil durante la sesión del pasado 11 de septiembre, tanto el delegado mexicano como el chileno evitaron cualquier respuesta sobre sus posturas frente a los graves hechos aquí relatados, absteniéndose de efectuar compromisos específicos.

Si quieren ser dignos representantes de la región en el CDH, tanto México como Chile deben asumir un compromiso de trabajo por el respeto de los derechos humanos, tanto a nivel interno como en la región, que abarque su pleno ejercicio en el mundo físico, en el entorno en línea y en relación al uso de tecnología, de forma consistente con la democracia y la protección del ejercicio de las libertades públicas. Urgen un compromiso expreso y acciones concretas.

Gobierno de Chile busca aumentar su capacidad de vigilancia, aunque sea inconstitucional

Esta semana, gracias a la labor del periodismo de investigación, la ciudadanía ha podido tener acceso al contenido del decreto que modifica el reglamento de interceptación de comunicaciones, que hasta el momento se había mantenido en secreto. Estas revelaciones son de la mayor gravedad y merecen la condena de toda la ciudadanía.

¿Qué dice el decreto?

La nueva normativa pretende modificar la obligación que tienen las compañías de retener los datos de las comunicaciones que se realizan en Chile, extendiendo el período de almacenaje de uno a dos años.

Igual de preocupante que la extensión del período de retención, resulta el hecho que el decreto pretenda aumentar -en tipo y número- los datos sobre las comunicaciones que son almacenadas por las compañías de telecomunicaciones, ampliando además este registro a todos los tipos de comunicaciones que se realizan en Chile, incluyendo:

  • Datos de titular.
  • Llamadas que realiza.
  • Con quiénes se comunica.
  • Los sitios que visita en internet.
  • Tráfico de dato y voz de las comunicaciones.
  • Datos de las comunicaciones a través de sistemas de mensajería, como WhatsApp.
  • Ubicación georeferenciada de todos los clientes.

Se suele argumentar que todos los datos anteriormente mencionados no son sensibles, puesto que no dan cuenta del contenido de las comunicaciones, sino que son datos sobre las comunicaciones; solo son “metadatos”.

Sin embargo, existe abundante evidencia de que los metadatos pueden decir incluso más que el contenido de las comunicaciones, ya que permiten realizar un análisis de los patrones de comportamiento del afectados, sus hábitos e incluso predecir su comportamiento futuro. De ahí que sea discutible la legitimidad de las medidas que obliguen a establecer una retención general de metadatos (de todos los habitantes del país), más aún cuando esta práctica ha sido declarada ilegal en otras latitudes.

El decreto además cuenta con un artículo que prohíbe a las compañías de telecomunicaciones la implementación de cualquier tipo de tecnología que pudiese entorpecer la entrega de esta información, lo que puede implicar un obstáculo importante para la implementación del cifrado de las comunicaciones.

No solo eso: el decreto establece la posibilidad de exigir a cualquier persona, jurídica o natural, almacenar datos comunicacionales, mediante una orden judicial. Eso significa, por ejemplo, que se le podría pedir a un medio de comunicación que almacene los datos de las comunicaciones de sus periodistas con sus fuentes, lo mismo respecto a una universidad con sus estudiantes o una organización de activistas con sus miembros.

Como ha señalado el (ex) Relator Especial para la Libertad de Expresión de Naciones Unidas, Frank La Rue, «Las leyes nacionales de conservación de datos son invasivas y costosas, y atentan contra los derechos a la intimidad y la libre expresión (…) aumentando considerablemente el alcance de la vigilancia del Estado, y de este modo el alcance de las violaciones de los derechos humanos”.

El decreto es inconstitucional

Actualmente, tanto el período como la naturaleza de los datos comunicacionales que las empresas deben almacenar se encuentran regulados en el artículo 222 del Código Procesal Penal. Ahí se establece, de forma expresa, que dicha retención se realizará por un período de un año y se limita únicamente a los números IP de las conexiones que realicen sus abonados. Mediante este decreto, el Gobierno pretende regular materias propias de ley, saltándose la discusión democrática que exigen aquellas materias que impactan el ejercicio de derechos fundamentales.

Nuestro ordenamiento jurídico reconoce que ciertos actos del gobierno pueden tener un impacto en el ejercicio de derechos fundamentales. Por lo mismo, nuestra Constitución limita las facultades del poder político, exigiendo que este tipo de medidas solo puedan ser reguladas por el legislador, una entidad independiente del Poder Ejecutivo y sujeta a control democrático.

De espaldas a la ciudadanía

Resulta preocupante que una medida tan sensible y con consecuencias tan graves se haya gestado sin consulta a expertos académicos, a la comunidad técnica ni a la sociedad civil. De hecho, a la “mesa técnica” de trabajo solo fueron convocadas las empresas de telecomunicaciones.

Por otro lado, el Gobierno parece borrar con el codo lo que escribe con la mano. A pesar de las declaraciones del subsecretario Mahmud Aleuy, resulta evidente que el contenido de este decreto es incompatible con los lineamientos de la recién estrenada Política Nacional de Ciberseguridad, que entre otras cosas, valora la implementación de tecnología de cifrado, establece la necesidad de asegurar el debido proceso y considera que la vigilancia masiva es una vulneración a los derechos fundamentales.

Igualmente contradictorio resulta que la presidenta Bachelet haya presentado hace algunos meses una nueva Ley de Protección de Datos Personales, puesto que obliga a las empresas almacenar una cantidad enorme de datos sensibles de sus clientes y mantenerlos a “disposición del Ministerio Público y de toda otra institución que se encuentre facultada por ley para requerirlos”, sin exigir expresamente que su entrega esté sujeta a la existencia de una orden judicial previa.

Pasos a seguir

Actualmente, el nuevo reglamento está firmado por la presidenta Michelle Bachelet y se encuentra en la Contraloría General a la espera de la respectiva toma de razón.

Que el gobierno busque aumentar su capacidad de vigilancia de forma inconstitucional reviste la mayor gravedad y significa un duro golpe al estado democrático de derecho. Ante esto, no queda más que la ciudadanía completa se una y exija el retiro del decreto.