Temática: Privacidad

El auge del software de vigilancia en América Latina

Creciente es el interés en el espionaje digital por parte de los gobiernos de América Latina. Esta es una de las conclusiones de “Hacking Team: malware de espionaje en América Latina”, un nuevo informe realizado por Derechos Digitales y que revela que la gran mayoría de los países de la región estuvieron involucrados con Hacking Team, la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo.

Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, pero no hay información respecto a si las ventas fueron concretadas.

Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala.

Las negociaciones se realizaron en secreto, hasta que el 5 de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team.

RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal.

Del análisis de las normas vigentes en cada uno de los países que se relacionaron con Hacking Team, así como de las notas de prensa que surgieron en la región a tras las revelaciones, el informe concluye que el software de Hacking Team es contrario a los estándares legales de cada país, y además violatorio de los derechos a la privacidad, a la libertad de expresión y al debido proceso. Considerando la relación cercana que nuestra región tiene con el autoritarismo, es especialmente preocupante que las autoridades cuenten con herramientas de este tipo.

En Ecuador se utilizó tecnología de Hacking Team para vigilar a Carlos Figueroa, opositor del gobierno de Rafael Correa. En México, un país que vive una seria crisis de derechos humanos, ocho de las diez autoridades que compraron RCS no están facultadas para ejercer actividades de vigilancia; El Centro de Investigación y Seguridad Nacional (CISEN), un organismo de inteligencia, realizó 2,074 órdenes judiciales para poder utilizar el software; hasta la fecha, no se sabe si su uso es justificado.

La filtración también reveló que de la información de Hacking Team permitió saber que la Drug Enforcement Agency (DEA) de Estados Unidos intercepta todas las comunicaciones de todos los ciudadanos colombianos. Así mismo, se sospecha del uso de herramientas de este tipo contra Vicky Dávila, periodista que investiga una red de prostitución masculina al interior de la policía.

En Panamá, el ex presidente Ricardo Martinelli estuvo personalmente al tanto de las negociaciones con Hacking Team. En Chile, en cambio, la Policía de Investigaciones dijo en un comunicado que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial. Sin embargo, las órdenes judiciales en este caso no son suficientes para garantizar el uso legítimo del software de espionaje.

En términos legales, este tipo de software no está regulado explícitamente en ningún país. En México y Colombia existen disposiciones amplias al respecto, pero con lenguaje vago e impreciso. La ausencia de regulación deja al arbitrio de las autoridades, muchas veces corruptos, el uso, aplicación y objetivos de RCS.

Si bien la interceptación de comunicaciones bajo orden judicial está regulada en todos los países, con mayores o menores salvaguardas, esta no es suficiente pues el software de Hacking Team es mucho más invasivo que una mera interceptación: abarca el acceso a documentos, webcam, disco duro, teclado y geolocalización de los equipos afectados. Como esto no es parte de la legislación, dudosamente es parte del orden judicial, por lo que el derecho al debido proceso también se ve vulnerado.

Cabe resaltar que en casi todos los países analizados existen sanciones penales contra quien invada o intervenga los sistemas informáticos o las comunicaciones privadas de una persona fuera de la legalidad de una investigación. Sin embargo, sólo Panamá ha abierto procesos al respecto.

El problema del espionaje indebido va mucho más allá de Hacking Team, implica a un mercado global que abusa de la tecnología de vigilancia en manos de gobiernos alrededor del mundo. En este sentido debe existir mayor transparencia en el uso y adquisición de estas herramienta, una discusión abierta sobre los estándares que deben regir esta tecnología y además sanciones penales en los casos que lo ameriten.

Las implicancias de la decisión de WhatsApp de cifrar sus comunicaciones

Cuando el servicio de mensajería WhatsApp actualizó sus distintas aplicaciones para celulares, llegó con una de las noticias más importantes con respecto a la privacidad y seguridad en la red durante años: todas las comunicaciones entre usuarios de WhatsApp están cifradas por defecto, haciendo imposible que incluso la misma compañía pudiese ver el contenido de los mensajes.

Si bien hay varias aplicaciones para celulares que logran –o al menos prometen– lo mismo, hay dos características que diferencian esta noticia del resto. La primera es que WhatsApp tiene la no despreciable suma de un billón de usuarios, lo que significa que los millones de chats, llamadas y transferencias de archivos del sistema de mensajería más importante del planeta se vuelven imposibles de espiar por sistemas de vigilancia masiva.

La segunda es que no es un sistema de cifrado cualquiera. WhatsApp implementa el protocolo Signal, desarrollado por Trevon Perrin y Moxie Marlinspike. Anteriormente conocido como Axolotl, tiene un fuerte consenso en la comunidad de criptografía sobre su seguridad, pues este protocolo cifra todo el contenido desde teléfono a teléfono y toma distintas precauciones para impedir que cualquier clase de error humano comprometa la seguridad de las comunicaciones. Este sistema ya se encontraba previamente disponible en la aplicación de mensajería Signal de OpenWhisperSystems (de los mismos Perrin y Marlinspike), sin embargo esta aplicación no posee la misma masividad y popularidad que cuenta WhatsApp.

Al respecto, no hay que dejar de reconocer la importancia fundamental que ha tenido la industria del software libre en los avances en la protección de la privacidad de nuestras comunicaciones. La opción de WhatsApp así lo confirma y debiese ser también leído como un espaldarazo a esta industria.

Si bien WhatsApp ha dejado clara su posición con respecto a la protección de sus usuarios, volviendo inviolable el derecho a la privacidad de sus comunicaciones, aún quedan algunos problemas por resolver con respecto a su seguridad. Preocupa que al no ser WhatsApp una aplicación de código abierto, es imposible tener un 100% de certeza de que realmente hace lo que dice. Se suma también que por un defecto propio de cómo se distribuyen todas las aplicaciones, es todavía posible enviar una actualización maliciosa a WhatsApp.

Otro aspecto importante a considerar es que los metadatos almacenados en los servidores de WhatsApp no se encuentran bajo la misma protección. La empresa guarda voluntariamente datos como la fecha exacta asociada a una conversación, incluyendo los números de teléfono involucrados, y lo hace sin estándares de cifrado que aseguren su inviolabilidad. Y si bien esto es una práctica común en este tipo de aplicaciones, una mirada comparativa muestra, por ejemplo, que WhatsApp almacena con menos seguridad mucha más información que Signal.

A todo lo anterior se suma que el dueño de WhatsApp es Facebook, una empresa que en el caso de su red social más popular, sigue cultivando un modelo de negocio en base a la venta de publicidad dirigida, beneficiándose enormemente de la explotación masiva de datos, fotografías, relaciones y comunicaciones de todos sus usuarios.

No obstante lo anterior, en un contexto de fuertes amenazas al cifrado en el mundo y, por ende, a la privacidad de nuestras comunicaciones (Estados Unidos y Brasil son solo los más recientes ejemplos), la decisión de WhatsApp es uno de los pasos más importantes que se han dado para una internet más segura para todos y todas, marcando un precedente que debiese ser imitado por el resto de los servicios de la red.

La “guerra sucia” en redes sociales

El 24 febrero de 2016, el pueblo boliviano votó contra el referendo que permitiría una reforma constitucional para que el presidente del país, Evo Morales, pudiera reelegirse por tercera vez. El presidente atribuyó la derrota a la campaña vertida en redes sociales, que apuntaba a denunciar el tráfico de influencias entre la ex pareja del presidente y una empresa China.

Morales se dijo víctima de una «guerra sucia» llevada a cabo en internet mediante opiniones anónimas que son capaces de “tumbar gobiernos” y que comparó con “recolectores de basura.” En una rueda de prensa en La Paz, Morales además dijo que “quienes usan las redes sociales con mentiras están haciendo perder valores a las nuevas generaciones.” Ese mismo día el vicepresidente de la Cámara de Diputados, Víctor Borda, anunció que presentaría un proyecto de ley para regular las redes sociales.

El resultado es la represión de la libertad de expresión en redes sociales por la vía política y legal. Por un lado, el lenguaje del presidente boliviano contra las redes sociales es preocupante: demonizar el discurso público vertido en internet es una amenaza política a la libertad de expresión. Al restarle valor a estas expresiones, el presidente desconoce la legitimidad del discurso ajeno y rompe el principio democrático inherente a este derecho. De manera paralela -y aunque el proyecto de ley aún no es público- de las declaraciones del diputado Borda se desprenden ciertas preocupaciones para los derechos digitales de los ciudadanos de Bolivia.

Según reporta Global Voices, en esta iniciativa se proponen tres tipos penales. Primero, castigar con cárcel a quienes “diseñen, desarrollen, trafiquen, vendan, ejecuten, programen o envíen una página electrónica, enlaces o páginas emergentes con el fin de contactar y obtener datos”. Bajo objetivos que podrían ser loables y normas muy amplias, podrían usarse estas figuras para perseguir opiniones disidentes. Segundo, se sancionaría “la violación de datos personales”, la cual se define como algo que ocurriría cuando el usuario “sustraiga, intercambie, envíe, divulgue o modifique información personal con datos hallados en espacios como redes sociales y medios similares”. No se especifica en qué condiciones un usuario puede utilizar datos personales, lo cual también podría tener consecuencias adversas para otros usuarios.

Tercero, se sancionaría cualquier expresión que afecte “la honra de una persona individual, colectiva, pública o privada”. Este delito es similar al de calumnia, considerado como contrario a la libertad de expresión por la Relatoría Especial de la Comisión Interamericana de Derechos Humanos. Lo que crea es un efecto silenciador sobre la crítica, pues a riesgo de equivocarse se optaría por el silencio.

Adicionalmente, Javier Pallero de Access Now nota que se buscaría establecer un consejo nacional que tendría la potestad de “controlar” las redes sociales, prohibiendo también el anonimato: un derecho sin el cual los ciudadanos podrían abstenerse de expresar sus opiniones políticas por temor a represalias.

En la región, este impulso de regulación de redes sociales no es nuevo. De Chile a México, Ecuador y Argentina hemos visto cómo los gobiernos y legisladores entienden internet como un espacio caótico, donde no es el “Estado de Derecho” quien reina, sino la sátira, la crítica sin fundamentos, la difamación y el insulto anónimo. En el fondo, es miedo a la crítica y los procesos descentralizados que la internet implica.

Bolivia no es la excepción: en lugar de dejar florecer las expresiones en línea con un ánimo democrático, se buscará coartarlas en lo político y lo legal. Esperemos que en esta etapa de discusión pública, el gobierno rectifique su posición.

Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión  del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y  la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

Cinco claves sobre el fallo que pone fin a los globos de vigilancia

La Corte de Apelaciones de Santiago, en un fallo unánime, acogió nuestro recurso de protección (en conjunto con Fundación Datos Protegidos y Corporación Fundamental) y ordenó el cese del uso de globos de vigilancia en Las Condes y Lo Barnechea. Así, la Segunda Sala del tribunal de alzada acogió acción cautelar y ordenó a municipios cesar de inmediato las actividades de captación, almacenamiento y procesamiento de las imágenes que se realizan por medio de los globos de vigilancia emplazados en dichas comunas. Acá te contamos qué dice el fallo concretamente:

UNO: Los globos afectan la vida privada

La Corte reconoce la afectación de los derechos a la vida privada y a la inviolabilidad del hogar hecha por los globos de vigilancia, acogiendo así nuestro argumento de que la vigilancia indiscriminada hecha por estos globos tiene un impacto negativo sobre los derechos fundamentales. Debido a que los globos cuentan con vasto poder para captar, grabar y almacenar imágenes en un amplio campo, abarcando tanto espacios públicos como privados, a la Corte no le quedó más que concluir que los derechos establecidos en los numerales 4 y 5 del artículo 19 de la Constitución, se ven vulnerados por el sistema de vigilancia.

DOS: Falta regulación expresa para la videovigilancia en Chile

La Corte reconoce la alta capacidad tecnológica de los globos, pero hace hincapié en la falta de regulación legal expresa para esta clase de videovigilancia en Chile. Por ello, debe aplicarse el principio de legalidad, especialmente por parte de órganos públicos. Así, que una atribución legal determinada que habilite a un organismo público como un municipio a realizar determinada actividad, no implica que la pueda realizar de cualquier modo, sino limitados por el respeto a derechos humanos.

TRES: La seguridad no es justificación para intromisión en la intimidad

Relacionado al punto anterior, la Corte establece que el fin de seguridad pública perseguido por las municipalidades, no permite justificar la intromisión ilegal en la intimidad que sufren los recurrentes. Para la Corte, “la única forma a través de la cual puede obtenerse un cabal resguardo de los mencionados derechos es el cese de la operación del sistema de vigilancia” operado por las municipalidades.

CUATRO: El funcionamiento de los globos es ilegal

Si bien los órganos estatales están habilitados por la Ley Nº 19.628 para realizar tratamiento de datos personales, deben hacerlo dentro de sus funciones, y de una forma que respete el pleno ejercicio de derechos fundamentales de sus titulares. Para la Corte, al dejar en manos de privados la operación de globos que transgreden normas legales y constitucionales, el sistema es ilegal.

CINCO: La sentencia se puede apelar

La decisión de la Corte ordena de forma unánime el cese de la operación de los globos, en un paso importante para resguardar la privacidad. Pero la decisión no es definitiva en tanto la sentencia es susceptible de apelación ante la Corte Suprema, siendo esta la última instancia.

Lee nuestro comunicado de prensa sobre el fallo acá.

¿Qué sigue con la Ley Telecom?

En México, la Ley Federal de Telecomunicaciones y Radiodifusión, conocida como “Ley Telecom”, fue objeto de muchas controversias y debates a mediados de 2014. Dos años después de que el movimiento #YoSoy132 irrumpiera las elecciones en contra del ahora presidente Enrique Peña Nieto, el Gobierno buscaba promulgar una ley que atentara contra la neutralidad en la red y bloqueara señales de internet durante protestas.

Gracias a la resistencia social, muchas de estas propuestas no prosperaron; sin embargo, nefastas reglas sobre vigilancia de comunicaciones privadas se convirtieron en ley de la federación, en los artículos 189 y 190. Estos artículos ponen seriamente en riesgo el derecho a la privacidad de los mexicanos. Por esa razón, la constitucionalidad de tales normas será revisada por la Suprema Corte de Justicia de la Nación, en un juicio promovido por la Red en Defensa de los Derechos Digitales (R3D).

La ley obliga a las empresas de telecomunicaciones a “colaborar con la justicia” en varios aspectos que tienen que ver con la entrega de información para ayudar a las investigaciones. En principio, esto parecería un objetivo válido y legítimo en un país donde el narcotráfico y el crimen organizado son una realidad cotidiana. Basta recordar las fugas del líder del cartel de Sinaloa, el Chapo Guzmán, para entender el ánimo del aparato estatal de requerir de esta colaboración.

Sin embargo, dos de estas obligaciones se convierten en medidas desproporcionadas para esos fines, pues afectan más derechos de los que terminan asegurando. Además, no se establece la necesidad de una orden judicial para controlar qué informaciones se entregan, eliminando resguardos elementales para el derecho al debido proceso.

El primer problema es la localización geográfica en tiempo real. Las empresas de telecomunicaciones deben entregar toda información sobre la ubicación de sus usuarios que permita encontrarlos dondequiera que estén, a “autoridades” que no se encuentran especificadas (artículo 190, fracción I). Con esto cualquier autoridad puede rastrear a cualquier usuario, sin controles previos. En un país con un serio déficit democrático y en el que funcionarios públicos son los principales responsables de agresiones a periodistas y disidentes, la medida podría ser utilizada fácilmente para perseguir voces incómodas dentro del marco de la legalidad formal.

En segundo lugar, estas empresas deben conservar un registro y control de todas las comunicaciones que se realicen desde cualquier tipo de línea para identificar datos como el nombre, domicilio, tipo de comunicación, origen, número de destino, ubicación geográfica, fecha, hora y duración, identificación y características técnicas de los dispositivos. Esta retención se obliga por un periodo hasta de dos años, para permitir que las “autoridades competentes” puedan acceder a ellas y consultarlas en tiempo real.

El problema es el mismo: no se pide orden judicial y no se aclara qué autoridades pueden acceder a estos datos. Además, la retención por un periodo de dos años es demasiado larga si se piensa en la investigación de crímenes en en un juicio.

La retención no se refiere al contenido de las comunicaciones (es decir, a los mensajes intercambiados) sino a los “metadatos”, que aunque no versen sobre el contenido mismo pueden revelar mucho más que estos últimos. La ley mantiene dicha obligación de retención, aun cuando se ha reconocido en tribunales internacionales que se trata de una forma de vigilancia masiva, contraria a los derechos humanos.

Hasta ahora no sabemos si estas medidas han ayudado efectivamente a combatir el crimen organizado, pero ni aun en ese caso sería aceptable una invasión tan profunda y extensa a los derechos fundamentales de los mexicanos.

Acercándonos al fin del proceso judicial de revisión de estas reglas, esperamos que la Suprema Corte de Justicia mexicana haga valer las reglas constitucionales y los estándares internacionales, y opte por proteger los derechos de la población en lugar de ceder ante una retórica de seguridad sin evidencia. Al igual que otras organizaciones, Derechos Digitales pronto dará su opinión formal al tribunal.

TPP: la lucha recién comienza

Después de siete años de negociaciones secretas, los doce países que integran el Acuerdo Transpacífico de Cooperación Económica (TPP) firmaron el documento final este 4 de febrero en Nueva Zelandia. El tratado fue negociado en secreto, a espaldas del público, e ignorando los derechos humanos de los ciudadanos de los países involucrados. Chile, México y Perú son parte de ese grupo.

En los países participantes ha habido oposición y múltiples protestas por la afectación al derecho a la salud, los derechos laborales, ambientales y a los mercados agrícolas nacionales. El propio Banco Mundial publicó recientemente un informe analizando la mínima ganancia económica que este “tratado de libre comercio” implicaría para los países involucrados: apenas un 1.1% de aquí a 2030, con cifras menores para países que forman parte del TLCAN. Alfred de Zayas, experto independiente de la Organización de Naciones Unidas, denunció al tratado como un documento “con grandes fallas” que entra en conflicto directo con los derechos humanos.

Pero poco de esto importó el 4 de febrero.

Si bien la firma en sí no crea obligaciones legales, es el primer paso para que el texto del TPP se adopte en las leyes nacionales de cada país involucrado. Con la excepción de tres países (el sultanato de Brunei, Malasia y Singapur), la palabra ahora la tienen los poderes legislativos de cada país firmante. Corresponde a los Congresos “ratificar” el documento, sin que puedan modificar una sola coma de la negociación.

En Derechos Digitales hemos documentado ampliamente cómo este tratado afecta la libertad de expresión, la privacidad y la innovación en internet. Ahora con el texto final del tratado ya firmado, podemos hacer un recuento de los puntos más preocupantes.

Dos capítulos son especialmente preocupantes. El primero, sobre comercio electrónico, donde existen varias disposiciones que amenazan la neutralidad en la red y afectan el derecho a la privacidad. Por ejemplo, el artículo 14.11 establece que los países deberán permitir “las   transferencias   transfronterizas   de   información   por   medios electrónicos, incluyendo la información personal”, estableciendo salvaguardas vacías para garantizar la protección de derechos a beneficio de grandes compañías privadas. En tanto, el artículo 14.10 establece varios derechos para los consumidores, entre ellos acceder y utilizar los servicios y aplicaciones de su elección disponibles en Internet, sujeto a una administración razonable de la red. Sin embargo, el pie de página establece que si un proveedor ofrece a los suscriptores exclusividad en cierto contenido, no se viola este principio de “administración razonable”, cuando en realidad es una excepción flagrante al carácter neutral de internet.

En cuanto al capítulo de propiedad intelectual, existen disposiciones problemáticas en tres puntos específicos. Primero, en cuanto al aumento de plazos de protección a derechos de autor que se protegen durante la vida de los mismos y hasta 70 años después de su muerte (Artículo 18.63). Hasta ahora, México tiene el estándar en 100 años mientras Perú y Chile lo tienen ya en 70, desde la muerte del autor. Si en un futuro se buscan reducir los plazos, el TPP lo hará imposible. Esto se traduce en un beneficio económico directo para Estados Unidos, principal exportador neto de productos y contenidos protegidos por derechos de autor en el mundo, con una fuerte industria de licenciamiento también protegida hasta el exceso.

Como una débil contraparte a este intenso resguardo de intereses privados, los artículos 18.65 y 18.66 establecen que cada país “procurará alcanzar” un equilibrio para establecer excepciones en materia de “crítica; comentario; cobertura de noticias; enseñanza, becas, investigación”. Dado que las mismas no son obligatorias, los derechos de los usuarios y consumidores quedan fuera de los deberes de implementación.

Para el retiro de contenidos que infringen derechos de autor en internet, el TPP establece un régimen de responsabilidad de proveedores de servicios de internet que sigue la lógica de la Digital Millenium Copyright Act (DMCA) estadounidense. [Artículos 18.81 y 18.82]. Se obliga a compañías como Google, Facebook -o sus equivalentes nacionales- a retirar contenido que “infrinja” derechos de autor en cuanto tengan conocimiento efectivo de ello. De no hacerlo, pueden incurrir también en responsabilidad. Sin salvaguardas judiciales, este sistema ha llevado a millones de actos de censura, incluso contra actos legítimos de expresión y de creación, bajo la amenaza de responsabilidad sobre el intermediario. Inclusive en países como México y Ecuador se utiliza para eliminar contenido disidente de la autoridad política.

En cuanto a las sanciones contra la elusión de medidas tecnológicas de protección, el TPP eleva el estándar para la imposición de penas, no solo para quien a sabiendas eluda las medidas, sino también para quien lo haga teniendo motivos razonables para saber. Estas medidas permiten que los titulares de derechos controlen el acceso y reproducción de las obras, música o libros legalmente adquiridos. Por ejemplo, en las restricciones geográficas que antes tenían los DVD o en las restricciones de formatos de lectura de los libros electrónicos. Se incluyen sanciones no solo civiles, sino también criminales contra quienes se demuestre que, con conocimiento, realizó actividades de elusión y obtuvo beneficios comerciales.

Como ha sido repetido hasta el cansancio, de los 30 capítulos, solo 6 tienen que ver con medidas de libre comercio. Los estudios han demostrado beneficios magros o nulos, pero grandes riesgos para intereses tanto económicos como de derechos humanos.

¿Por qué firmar un tratado que con un mínimo impacto económico, y grandes costos en términos de derechos humanos? Ahora que la ratificación depende de los órganos legislativos y democráticos de cada país, esa pregunta persiste. Pero al mismo tiempo esa pregunta se convierte en una arma de lucha: por qué deberían nuestros órganos democráticos aceptar esta imposición de condiciones de una economía que no queremos, de un esquema de negocios que intercambia libertad por beneficios inexistentes.

Después de años de secretos y mentiras, doce países han firmado TPP. Pero la lucha por el rechazo de su aprobación e implementación, y por la defensa de la democracia en los países en desarrollo, recién está comenzando.

Solo un cifrado fuerte protege los derechos de la población

Desde los 90 hasta hoy, varios han sido los intentos por regular el uso de cifrado en las comunicaciones personales. La discusión se ha vigorizado tras los ataques terroristas ocurridos en Francia, particularmente los de noviembre de 2015, dado que muchos consideraron que el cifrado habría sido fundamental en la coordinación de los atentados, impidiendo su oportuna detección.

Dichos alegatos son falsos: se comprobó que los terroristas habían coordinado sus acciones por medio de mensajes de texto comunes, no cifrados, perfectamente interceptables por las agencias de seguridad francesas. El problema estuvo a nivel de análisis de estos datos más que en no tener acceso a ellos.

A pesar de esto, autoridades gubernamentales de diversos países han exigido formalmente a las mayores empresas de Silicon Valley que cooperen en el combate al terrorismo y el crimen organizado, demandando una vía de acceso a las comunicaciones cifradas asociadas a estos grupos. ¿Es esto posible sin comprometer la privacidad de todos aquellos que, sin conexiones criminales, eligen legítimamente ejercer su derecho a cifrar sus comunicaciones? La respuesta es un rotundo no.

Los métodos usualmente propuestos son tres. Todos poseen fallas:

Depósito de llaves o “Key Escrow”: consiste en tener una copia de la llave que permite desbloquear el mensaje o archivo cifrado. Esto supone entregar a un “tercero de confianza” la copia de la llave, para que este la almacene en una base de datos. Esto es altamente peligroso, pues los sistemas computacionales no son 100% seguros y alguien con las habilidades suficientes podría acceder fraudulentamente y robar la información. Además, existen incentivos para que el guardian haga uso ilegítimo de las llaves que almacena.

Divulgación de la clave o “Key Disclosure”: consiste en solicitar la entrega de la llave en caso de ser investigado judicialmente. Esta propuesta plantea un problema de proporcionalidad de la medida, dado que para averiguar el contenido de una conversación o un archivo específico, se entrega acceso a la totalidad de las conversaciones y a todos los documentos protegidos.

 Puertas traseras o “Backdoors”: consiste en crear vulnerabilidades introducidas intencionalmente a un sistema informático, las que solo podrán ser explotadas por quienes estén legalmente autorizados y únicamente con fines de seguridad pública. En este caso, no hay cómo filtrar quien ingresa a través de la vulnerabilidad, poniendo en riesgo la integridad, seguridad y confidencialidad del sistema completo, no solo de las comunicaciones privadas, sino que de toda la red.

Actualmente existen otras alternativas para poder perseguir al crimen organizado. Sin ir más lejos, el análisis de metadatos hoy es suficientemente preciso como para predecir con exactitud las conductas de los sujetos analizados, sin siquiera tener que ver el contenido de sus comunicaciones.

Por otro lado, una alternativa que permite balancear el legítimo interés en la seguridad pública, los derechos fundamentales de la población y no comprometer el tráfico seguro de la red, es la solicitud de acceso mediante orden judicial a información cifrada específica, sea una conversación, un correo electrónico o un archivo, cumpliendo así con los parámetros de proporcionalidad.

La posibilidad de cifrar nuestras comunicaciones hoy es de gran importancia, no solo para realizar transacciones delicadas a través de internet, sino que es una condición necesaria -junto al anonimato- para poder efectivamente ejercer nuestros derechos a la privacidad y libertad de expresión en línea, por lo que su uso no puede prohibirse, condicionarse ni limitarse. Solo un cifrado fuerte protege los derechos de la población.