Temática: Privacidad

Perú pagó USD $22 millones para espíar las comunicaciones de sus ciudadanos

En América Latina, la industria de la vigilancia vive un gran momento. Cada vez son más las empresas que venden software espía a los gobiernos de la región, sin que existan regulaciones o contrapesos adecuados para controlar su adquisición y uso. En teoría, el objetivo de sus productos es el “combate al delito y la delincuencia organizada”; en la práctica, se espían ilegalmente las comunicaciones privadas de miles de ciudadanos, amenazando los derechos a la privacidad, libertad de expresión y opinión.

Recientemente, Associated Press (AP) publicó un reportaje que expone cómo el Gobierno de Perú pagó 22 millones de dólares a la empresa Verint por un software de vigilancia. La compañía israelí-estadounidense además está presente en Brasil, Colombia, Ecuador y México. Según los documentos publicados, “Proyecto Pisco” (el nombre del programa, que hace referencia al popular licor peruano) permite que los gobiernos intercepten llamadas telefónicas, mensajes de texto, correos electrónicos, chats e historial de internet de los usuarios; Puede rastrear hasta cinco mil personas y grabar hasta trescientas conversaciones simultáneas. Por si fuera poco, la Dirección Nacional de Inteligencia de Perú (DINI) también autorizó el pago de SkyLock: otro producto de Verint que permite ubicar y rastrear no solo cualquier teléfono dentro del país, sino en el mundo. Cuatro compañías telefónicas peruanas –Movistar, Claro, Entel y Viettel— firmaron un pacto con el Gobierno para cooperar con dicha geolocalización al interior del país, pero con su alcance, las posibilidades para el abuso se incrementan.

Es cierto que la ley peruana establece que las comunicaciones privadas solo pueden ser incautadas, interceptadas o intervenidas con orden judicial [Ley 29.733, artículo 13.4]. Sin embargo, este requisito no existe para la localización en tiempo real [Decreto Legislativo 1182]. Además, si el espionaje es por naturaleza secreto, ¿cómo podemos garantizar que no sea abusado por las instancias de gobierno? ¿De qué forma comprobar que es efectivo para combatir delitos? ¿Cómo saber que no se utiliza en contra de opositores políticos, periodistas o activistas?

Las dudas son razonables al mirar la historia reciente de Perú. Mecanismos del mismo estilo fueron usados anteriormente para vigilar a la exvicepresidenta distanciada del Gobierno, a policías y a periodistas. Sin medidas adecuadas que garanticen una mínima transparencia, mecanismos de notificación y rendición de cuentas, la violación a los derechos a la privacidad y libertad de expresión de los ciudadanos es latente.

Y como hemos dicho, no se trata de una primera incursión de la empresa. Verint se une a la creciente lista de empresas que venden software de espionaje en la región, como Hacking Team, Packrat y Fin Fisher. Desde 2006, en México esta compañía implementó una plataforma de vigilancia financiada por Estados Unidos que puede interceptar, analizar y retener todo tipo de información en cualquier sistema de telecomunicaciones. En Colombia, Verint, a través de su subsidiaria Curaçao, ha sido la empresa responsable del desarrollo de tecnología de vigilancia masiva. En la ciudad brasileña de Nitero, Verint vendió doscientas cámaras de seguridad y equipo para monitorear el audio y redes sociales de las personas. En el marco de las crecientes actividades de vigilancia por los Juegos Olímpicos, dicha iniciativa es preocupante. Mientras tanto, en la ciudad de Guayaquil en Ecuador, hay más de ochocientas cámaras que, según la propia empresa, pueden inclusive recoger datos biométricos.

El espionaje de comunicaciones realizado de forma masiva merece el más enérgico rechazo, como una conducta ilegal bajo el derecho internacional de los derechos humanos, por ser desproporcionada e innecesaria. Sin embargo, el marco normativo para regular la adquisición y el funcionamiento de estas tecnologías es claramente insuficiente. Con los marcos actuales, es muy poco lo que se puede hacer para garantizar que dicho equipo de seguridad o software para “combatir el crimen” no será efectivamente utilizado para violar derechos humanos y perseguir a disidentes.

Queda claro que los gobiernos de América Latina están dispuestos a desembolsar grandes cantidades de dólares para asegurar su capacidad de vigilancia. La impunidad y falta de regulación hacen que este lucrativo negocio crezca, a expensas de los ciudadanos, que como contribuyentes al erario público financian a la industria que facilita la denegación de sus derechos.

¿Para qué necesitamos anonimato y por qué es importante defenderlo?

El respeto y la promoción de los derechos fundamentales son la base de cualquier sociedad interesada en el desarrollo bajo principios de equidad, justicia, integración y no discriminación. Sin embargo su existencia meramente nominal no es suficiente: al igual que la riqueza, las posibilidades reales que tienen los individuos de ejercer sus derechos fundamentales son desiguales y están determinadas por una serie de factores socioeconómicos, políticos y de género, por mencionar algunos.

Existen distintas formas y aproximaciones para intentar suplir las inequidades de base que impiden a los grupos marginados el ejercicio de sus derechos inalienables. En ese sentido, internet se ha convertido en una excelente herramienta para, por ejemplo, la libertad de expresión y de reunión: una plataforma que permite que cualquier persona con acceso a la red pueda expresar sus opiniones, ideas y creencias, pueda acceder a información de interés y pueda encontrar a otros con personalidades e intereses afines.

Una de las ventajas teóricas de internet en este aspecto, es que permite realizar todas estas acciones sin la necesidad de interactuar cara a cara con otros ni revelar nuestro verdadero nombre. Esto es particularmente importante para quienes necesitan lidiar con temas sensibles de diversa índole: médica, de disidencia política, de violencia de cualquier índole, de denuncia. Internet puede entregar una sensación de seguridad, resguardo y privacidad que permitan a ciertas personas a buscar e informarse sobre tópicos que difícilmente tocarían de forma abierta por temor a las represalias o a la humillación pública.

Sin embargo, esta es solo una ilusión: hoy internet es el mayor compilador de datos personales jamás creado; amparado en la sensación de seguridad que brinda el hecho de estar tipeando en la comodidad de nuestro hogar, le entregamos a nuestro buscador más información íntima que a nuestros más cercanos.

No es exagerado afirmar que el derecho al anonimato hoy se encuentra más amenazado que nunca. En la medida en que nuestras vidas transcurren en internet de forma creciente e interactuamos cada vez más con tecnologías digitales, también se vuelve más sencillo identificarnos y recolectar información sobre nuestros hábitos, gustos, opiniones e incluso sobre nuestros cuerpos.

Al mismo tiempo, ha penetrado con fuerza un discurso que opone seguridad y anonimato, haciéndole equivalente a delincuencia, terrorismo, narcotráfico, pornografía infantil o cualquier otro mal social de extrema gravedad, y múltiples son los intentos legales por limitar el derecho a reservar nuestra identidad.

[left]Le entregamos a nuestro buscador más información íntima que a nuestros más cercanos.[/left]

Paralelamente, cada vez es más frecuente que los gobiernos adquieran tecnología capaz de espiar a sus ciudadanos, muchas veces más allá de las facultades que se les ha otorgado a través de las leyes o la constitución política, aduciendo razones de seguridad nacional.

Pero el anonimato es sumamente importante, pues garantiza el ejercicio de diversos derechos: a expresarnos, a reunirnos, a la protesta social, a buscar información y ayuda, entre muchos otros.

El anonimato nos protege a todos; cuando sufrimos de una condición médica y queremos buscar apoyo y consejo de otros pacientes sin que nuestra familia, nuestros empleadores o nuestra compañía de seguros se entere por motivos económicos, laborales o simplemente porque nos sentimos avergonzados; cuando sufrimos acoso y violencia en nuestros lugares de trabajo o estudio, en nuestro vecindario o incluso en nuestro propio hogar; cuando queremos denunciar algo a la prensa o a la policía, pero creemos que puede ser riesgoso; cuando queremos exigir nuestros derechos, pero le tememos a las represalias. Hay muchas situaciones cotidianas en las que el anonimato nos puede ayudar a suplir los desequilibrios de poder y ejercer nuestros derechos.

Es por esto que Derechos Digitales ha producido la campaña #ElAnonimatoNosDefiende, con la intención de crear conciencia respecto a la importancia de ejercer y defender el anonimato. Puedes revisar la campaña acá.

#ElAnonimatoNosDefiende

Lo que la Corte Suprema no comprende sobre los globos de televigilancia

Paula Jaramillo & Pablo Viollier

La Corte Suprema de Chile finalmente rechazó la acción de protección para terminar con la práctica de vigilancia masiva mediante globos-cámara en las comunas de Las Condes y Lo Barnechea. Al mismo tiempo, la sentencia establece varios requisitos que resultan muy interesantes de estudiar. Desde ya, reconoce que estas cámaras son capaces de atentar contra los derechos a la privacidad y a la inviolabilidad del hogar, estableciendo algunas medidas destinadas a contener, en parte, esta invasiva tecnología.

Lo primero es que, lo resuelto por el máximo tribunal parece representar un casi nulo avance respecto del estado inicial en que se encontraba el asunto. Ello porque los globos siguen en el lugar en que estaban ubicados, alterando la vida diaria de cientos de personas que deben vivir bajo la mirada de un ojo electrónico de alto alcance, desconociendo quién está al otro lado de la cámara grabando y qué se está haciendo exactamente con esas imágenes.

Globos vs. cámaras de control de tránsito

En el análisis de las consideraciones que llevaron a la Corte a decidir, destaca el razonamiento sobre la importancia de la seguridad ciudadana y cómo las cámaras de vigilancia serían una herramienta idónea para ese fin.

Lamentablemente el fallo no distinguió –tal como sí lo hicimos reiteradamente en nuestras presentaciones y alegatos– que las cámaras instaladas a unos cuantos metros del suelo no resultan en absoluto comparables con las de control de tránsito. Para los globos, la altura cercana a los 150 metros le dan una capacidad de visión sin igual, con un nivel de detalle inédito aportado por la resolución de los dispositivos de grabación, que exceden con creces a las de las cámaras de control de tránsito o aquellas dispuestas en las calles y establecimientos comerciales para seguridad. Además, ni siquiera se menciona que en estos últimos dos casos existen al menos unas escuetas normas que buscan resguardar, aunque mínimamente, la privacidad de las personas que pudieren verse afectadas.

En este respecto, la Corte parece haberse apoyado más en una situación de hecho –que Santiago ya está plagado de cámaras de otra naturaleza y que ilegalizar unas supondría prohibir otras– que en las normas jurídicas que las regulan. Una defensa del estado de los hechos, más que del estado de derecho.

Privacidad en el espacio público: reconocida, pero no defendida

En el caso de las cámaras adosadas a los globos, y a diferencia de las cámaras de tránsito, hoy en día no existe regulación alguna que vele por la privacidad de las personas sujetas a vigilancia, salvo unas escuetas cláusulas contractuales a las que se encontrarían sujetos los empleados privados que operan el sistema, tal como ya lo había señalado expresamente, y con preocupación, la Corte de Apelaciones.

Sin embargo, el fallo opta por reunir todos los sistemas de videovigilancia situados en espacios públicos bajo un paraguas común, para indicar que allí “no puede pretenderse una mayor expectativa de privacidad” (considerando octavo). Dicha conclusión, a nuestro juicio, aporta muy poco a la discusión actual respecto del alcance de a defensa de nuestra privacidad: parte de la esencia de dicho derecho supone que cuando nos sentimos observados, cambiamos nuestro comportamiento. Si supiéramos que nuestras conversaciones en la calle pueden ser accedidas por terceros habría temas que no tocaríamos y detalles que seguramente no revelaríamos. Más aún cuando no hay certeza de quién es el observador y cuáles son su responsabilidades y límites en el ejercicio de tal actividad.

A eso apunta la razonable expectativa de privacidad en el espacio público: no se trata de no ser jamás grabado (lo que claramente parece un imposible en la actualidad), sino de no ser vigilado bajo condiciones que no otorguen garantías mínimas al sujeto observado.

Más adelante, al referirse a la privacidad, el mismo fallo reconoce que la capacidad o alcance de la tecnología utilizada podría ser lesiva de ese derecho, reconociendo expresamente que “… no existe suficiente información de cómo se controlan los datos que registran las cámaras de seguridad” (considerando undécimo) y “[q]ue la actividad de video-vigilancia implementada por la Municipalidad de Las Condes y la Municipalidad de Lo Barnechea no presenta limitaciones que restrinjan los mecanismos que permitan captar, grabar y almacenar imágenes, por lo que el elemento espacial, esto es, el lugar que será grabado, que podrá ser un espacio público o privado dada la ubicación de las cámaras y su capacidad de monitoreo en 360 grados, adquiere suma importancia” (considerando duodécimo).

Para concluir, así de tajante, en el considerando décimo cuarto que “… atendidas las particularidades del sistema de televigilancia que ha sido instalado en zonas preeminentemente residenciales, no cabe sino aceptar que quienes habitan en su radio de acción puedan sentirse observados y controlados, induciéndolos a cambiar ciertos hábitos o de inhibirse de determinados comportamientos dentro de un ámbito de privacidad como es la vida doméstica.

Como vemos, la Corte reconoce claramente y sin rodeos las excesivas capacidades de la tecnología militar desplegada en dos comunas de la capital, e incluso acierta al señalar que ello tiene efectos tangibles sobre la vida privada diaria de cientos de personas. Sin embargo, tan poderoso razonamiento, por motivos que desconocemos, no la lleva a concluir que el sistema deba ser dado de baja por ser excesivo en relación al objetivo perseguido que, aún cuando el resguardo de la seguridad ciudadana es un objetivo legítimo, resulta del todo desproporcionado.

El régimen de funcionamiento para los globos de vigilancia

A pesar de que la Corte reconoce este patente atentado contra la privacidad, dispone que el funcionamiento de estas cámaras es posible bajo ciertas condiciones, medidas a las que ha llamado “régimen de autorización”.

La primera de ellas busca delimitar los espacios físicos que pueden ser grabados. En resumen, la regla sería espacios públicos y, excepcionalmente, los espacios privados abiertos (como el patio de tu casa, la terraza de tu departamento o la piscina en la que te estés bañando), siempre que se esté haciendo el seguimiento de un posible delito.

A primera vista, la medida parece razonable. Pero ¿cómo cerciorarse que ello ocurra de esa manera? ¿Cómo hacer para que una cámara digital distinga espacios privados de los que no? Esta medida no es sino la manifestación de una curiosa propuesta de las propias municipalidades recurridas, que se refirieron a la necesidad de que la Corte adoptara medidas proporcionales, es decir, permitir el funcionamiento de las cámaras siempre que se grabaran solamente espacios públicos. Aseguraron que ya se hacía de ese modo, de hecho. Pero la lógica misma indica lo contrario. Una imagen de esta naturaleza es esencialmente indivisible: la cámara no tiene por sí misma la posibilidad de distinguir un espacio público de uno privado. Cuando se tiene una cámara ubicada a gran altura, que facilita acceder a una panorámica enorme en 360 grados, por definición grabará tanto espacios públicos como privados que se encuentren dentro de su rango de alcance. La posibilidad de distinguir entre unos y otros no es tecnológica, sino esencialmente humana.

Quizás una condición más adecuada hubiera sido limitar técnicamente el espacio geográfico que la cámara puede o no grabar, de tal forma que el operario no pueda grabar espacios privados, aun cuando se lo proponga. Este tipo de mecanismos se ha implementado en otros países, como Canadá. En este sentido, el fallo impone una medida de resguardo de privacidad que la tecnología de los globos vuelve incapaz de implementar.

Segunda medida: que un inspector o delegado municipal certifique, “al menos una vez al mes, que no se hayan captado imágenes desde espacios de naturaleza privada como el interior de viviendas, de establecimientos comerciales o de servicios, jardines, patios o balcones.” Esta medida tampoco significa una verdadera garantía para los vecinos. ¿Quién va a fiscalizar que esto realmente suceda? La respuesta más lógica parece ser que las propias municipalidades recurridas, pero si estos organismos fueran capaces de tal capacidad de autorregulación, y hubieran velado por la privacidad como verdaderos paladines de la misma desde un principio, probablemente nunca habríamos tenido en funcionamiento globos de vigilancia masiva sobre calles y hogares.

Esta medida apunta a contener una discusión que surgió en la Corte de Apelaciones de Santiago, en que la municipalidades destacaron que nos oponíamos a que ellos delegaran funciones tan delicadas como la vigilancia en una empresa privada, y que eso era una sinsentido considerando que esta forma de operar es muy común para llevar a cabo diferentes labores de esos organismos, entre las que típicamente se mencionan las labores de aseo y ornato. Pues bien, la protección de la seguridad ciudadana a costa de la privacidad es un asunto bastante distinto, complejo y distante del aseo de las calles, por muy importante que esto último sea. Luego, a lo que apuntó nuestra disquisición era a lo cuestionable que es que personas sin facultades legales, sin mayores obligaciones de salvaguardar la privacidad de los ciudadanos y que no arriesgan sanciones, estuvieran vigilando a los ciudadanos.

Tercera medida: la destrucción de las grabaciones innecesarias, fijando un plazo de 30 días para ello. Esta medida presenta matices muy interesantes. Durante la tramitación de nuestro recurso dejamos en evidencia una patente inconsistencia de las municipalidades: le aseguraban a la Corte que se destruía el material grabado innecesario, mientras que en paralelo ofrecían grabaciones para demostrar la forma en que funcionaban los globos. Aparentemente alguien no estaba diciendo realmente la verdad y los jueces acusaron recibo de ello. Se necesita garantizar que el material que no sirve al fin de la seguridad ciudadana no sea innecesariamente conservado y se elimine después de 30 días. Sin duda una buena idea, pero nuevamente: ¿quién y cómo se certificará que eso realmente se cumpla? Recordemos que estamos en presencia de una actividad que carece de regulaciones específicas, por lo que queda todo entregado a las bases de licitación de cada comuna, el criterio de algún funcionario municipal y el de los trabajadores de una empresa externa que desarrolla efectivamente la vigilancia. Se vigila sin orden judicial de por medio, y sin siquiera la existencia de la más mínima sospecha de la comisión de un delito. Se vigila a todo evento, a todo los vecinos, día y noche, y después no sabemos lo que pueda pasar con el material recopilado.

Cuarta medida:Todo ciudadano tendrá derecho de acceso a las grabaciones”, estableciéndose un pequeño procedimiento de habeas data para este material, especialmente difícil de ejercer, ya que la solicitud se dirige al funcionario municipal designado para ello y se debe indicar el día en que se fue presumiblemente grabado, pero, ¿cómo saberlo con meridiano grado de certeza, si se graba día y noche, toda la semana? Además queda entregado a las municipalidades establecer un procedimiento para lo anteriormente descrito con los mismos problemas indicados anteriormente.

Esta medida es tanto o más difícil de ejecutar que las anteriores, por los requisitos que se exigen a ciudadanos comunes y corrientes, ante una municipalidad sobrecargada de diversas labores administrativas ¿Qué grado de efectividad real tendrá esta medida? Y aún más, ¿es aquí peor el remedio que la enfermedad? No olvidemos que la medida dice que “todo ciudadano” tiene este derecho, ni siquiera lo circunscribe a todo ciudadano afectado o que se sienta afectado, tan solo la redacción posterior pareciera discurrir en ese sentido. ¿Podría alguien acceder así a grabaciones de terceros?, por ejemplo un novio celoso que quiera saber dónde y con quién estuvo su pareja en determinada fecha o quién se estacionó y visitó su casa.

Esto no es ciencia ficción, ni el producto de maquinaciones trasnochadas, ha sucedido en otros países. Recordemos aquí que el mismo alcalde de Lo Barnechea reconoció abiertamente en los medios que había reclutado solo a mujeres para efectuar la vigilancia tras las cámaras, a fin de prevenir conductas impropias que él atribuía solo a los hombres. Estas mismas conductas inadecuadas podrían estar tras una solicitud de acceso a grabaciones.

Un mal precedente

Todas estas disquisiciones no hacen más que hacernos pensar que, en este caso, la Corte Suprema ha impuesto medidas que se alejan de la realidad cotidiana y que perpetúan la indefensión de los derechos fundamentales de los ciudadanos. Un acto que deja de manifiesto la falta de comprensión acerca de cómo funcionan realmente estos mecanismos de vigilancia masivos y altamente intrusivos, en que el arbitrio de sus operadores no solo es inherentemente riesgoso para el resguardo de los derechos de los afectados, sino que es inadecuado para lidiar con una tecnología de esta naturaleza. Por estos motivos se estudia la factibilidad de presentar el caso ante los organismos internacionales competentes.

A nuestro juicio, este fallo constituye un hito lamentable, en que se ha hecho parecer que quienes quieren tener seguridad deben pagar necesariamente con la moneda de la privacidad.

Una filtración que pone en peligro la democracia mexicana

Los datos de 93.4 millones de votantes mexicanos se filtraron y publicaron en el servidor de Amazon Cloud. Se trata de identificaciones básicas, fotografías y direcciones del 75% de la población mexicana. El investigador Chris Vickery dio con la información. No estaba protegida por contraseñas, no estaba en venta y cualquiera la podía bajar. Hizo lo posible por retirarla cuanto antes. Denunció ante Amazon, alertó al Departamento de Estado de Estados Unidos y previno a la Embajada de México en Estados Unidos. Le hicieron poco caso.

Se trata de una grave vulneración de normas básicas de protección de la información personal: una enorme cantidad de datos personales disponible en un servidor extranjero, sin medidas de protección, por largo tiempo. La base de datos estuvo en línea durante ocho días hasta que el Instituto Nacional Electoral (INE) se dio cuenta y pudo eliminarla. Según declaraciones del presidente del INE, no es que alguien hubiera hackeado o infiltrado la información, sino que existió un manejo negligente por parte de uno de los estamentos más cuestionados del sistema mexicano: los partidos políticos.

Los datos que aparecieron en internet coinciden con la lista de electores que había sido entregada en febrero de 2015. Según la ley, un mes antes de las elecciones se entrega a los partidos políticos la lista final de las personas que obtuvieron su credencial para votar, para que puedan vigilar y revisar la información. Por si fuera poco, a cada partido se le entregan casi 64 millones de pesos (1.100 millones de dólares) para llevar a cabo estas tareas.

Durante el tiempo que la información estuvo en línea, cualquier persona la pudo descargar. En un país con altos índices de secuestro y extorsión, el crimen organizado podría ser el primero en beneficiarse. Basta un nombre y apellido para saber dónde vive la persona, cuántos años tiene y cómo se llaman sus padres. En términos de acoso por razones de género también es complicado: de las redes al mundo real, cualquiera podría seguirnos y acosarnos en nuestro hogar. El caso de la periodista Andrea Noel es ejemplar: fue acosada en la calle, lo denunció por internet y en una ocasión la siguieron hasta su casa para amenazarla y apuntarle con un láser en la frente.

Fue posible deducir que el origen de la filtración fue un partido debido a que la llave USB en que el INE entregó la información tiene una “huella digital. Estos datos son estrictamente confidenciales y no pueden comunicarse o darse a conocer. Por lo mismo ya hay un procedimiento ante la Fiscalía Especial de Delitos Electorales. La sanción para la persona que lo haya filtrado, según el Código Penal, va de uno a cinco años de cárcel, además de la suspensión de su cargo.

Sin embargo, aunque exista una reacción penal, estamos frente a un caso de negligencia inexcusable. No es solo un atentado a la privacidad, a la seguridad y un riesgo a las personas sino que compromete el sistema democrático mexicano.

El actuar irresponsable de los partidos políticos amerita no sólo una sanción, sino que además se debe notificar y reparar el daño a todos los ciudadanos afectados. Pero más importante es que filtraciones como esta no deberían ocurrir. Todos los países de la región necesitamos mejores leyes y mecanismos para asegurar una protección óptima de la información personal. En el contexto de la discusión de la Ley General de Datos Personales en Posesión de Sujetos Obligados, esto debe tomarse en cuenta.

El auge del software de vigilancia en América Latina

Creciente es el interés en el espionaje digital por parte de los gobiernos de América Latina. Esta es una de las conclusiones de “Hacking Team: malware de espionaje en América Latina”, un nuevo informe realizado por Derechos Digitales y que revela que la gran mayoría de los países de la región estuvieron involucrados con Hacking Team, la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo.

Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, pero no hay información respecto a si las ventas fueron concretadas.

Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala.

Las negociaciones se realizaron en secreto, hasta que el 5 de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team.

RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal.

Del análisis de las normas vigentes en cada uno de los países que se relacionaron con Hacking Team, así como de las notas de prensa que surgieron en la región a tras las revelaciones, el informe concluye que el software de Hacking Team es contrario a los estándares legales de cada país, y además violatorio de los derechos a la privacidad, a la libertad de expresión y al debido proceso. Considerando la relación cercana que nuestra región tiene con el autoritarismo, es especialmente preocupante que las autoridades cuenten con herramientas de este tipo.

En Ecuador se utilizó tecnología de Hacking Team para vigilar a Carlos Figueroa, opositor del gobierno de Rafael Correa. En México, un país que vive una seria crisis de derechos humanos, ocho de las diez autoridades que compraron RCS no están facultadas para ejercer actividades de vigilancia; El Centro de Investigación y Seguridad Nacional (CISEN), un organismo de inteligencia, realizó 2,074 órdenes judiciales para poder utilizar el software; hasta la fecha, no se sabe si su uso es justificado.

La filtración también reveló que de la información de Hacking Team permitió saber que la Drug Enforcement Agency (DEA) de Estados Unidos intercepta todas las comunicaciones de todos los ciudadanos colombianos. Así mismo, se sospecha del uso de herramientas de este tipo contra Vicky Dávila, periodista que investiga una red de prostitución masculina al interior de la policía.

En Panamá, el ex presidente Ricardo Martinelli estuvo personalmente al tanto de las negociaciones con Hacking Team. En Chile, en cambio, la Policía de Investigaciones dijo en un comunicado que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial. Sin embargo, las órdenes judiciales en este caso no son suficientes para garantizar el uso legítimo del software de espionaje.

En términos legales, este tipo de software no está regulado explícitamente en ningún país. En México y Colombia existen disposiciones amplias al respecto, pero con lenguaje vago e impreciso. La ausencia de regulación deja al arbitrio de las autoridades, muchas veces corruptos, el uso, aplicación y objetivos de RCS.

Si bien la interceptación de comunicaciones bajo orden judicial está regulada en todos los países, con mayores o menores salvaguardas, esta no es suficiente pues el software de Hacking Team es mucho más invasivo que una mera interceptación: abarca el acceso a documentos, webcam, disco duro, teclado y geolocalización de los equipos afectados. Como esto no es parte de la legislación, dudosamente es parte del orden judicial, por lo que el derecho al debido proceso también se ve vulnerado.

Cabe resaltar que en casi todos los países analizados existen sanciones penales contra quien invada o intervenga los sistemas informáticos o las comunicaciones privadas de una persona fuera de la legalidad de una investigación. Sin embargo, sólo Panamá ha abierto procesos al respecto.

El problema del espionaje indebido va mucho más allá de Hacking Team, implica a un mercado global que abusa de la tecnología de vigilancia en manos de gobiernos alrededor del mundo. En este sentido debe existir mayor transparencia en el uso y adquisición de estas herramienta, una discusión abierta sobre los estándares que deben regir esta tecnología y además sanciones penales en los casos que lo ameriten.

Las implicancias de la decisión de WhatsApp de cifrar sus comunicaciones

Cuando el servicio de mensajería WhatsApp actualizó sus distintas aplicaciones para celulares, llegó con una de las noticias más importantes con respecto a la privacidad y seguridad en la red durante años: todas las comunicaciones entre usuarios de WhatsApp están cifradas por defecto, haciendo imposible que incluso la misma compañía pudiese ver el contenido de los mensajes.

Si bien hay varias aplicaciones para celulares que logran –o al menos prometen– lo mismo, hay dos características que diferencian esta noticia del resto. La primera es que WhatsApp tiene la no despreciable suma de un billón de usuarios, lo que significa que los millones de chats, llamadas y transferencias de archivos del sistema de mensajería más importante del planeta se vuelven imposibles de espiar por sistemas de vigilancia masiva.

La segunda es que no es un sistema de cifrado cualquiera. WhatsApp implementa el protocolo Signal, desarrollado por Trevon Perrin y Moxie Marlinspike. Anteriormente conocido como Axolotl, tiene un fuerte consenso en la comunidad de criptografía sobre su seguridad, pues este protocolo cifra todo el contenido desde teléfono a teléfono y toma distintas precauciones para impedir que cualquier clase de error humano comprometa la seguridad de las comunicaciones. Este sistema ya se encontraba previamente disponible en la aplicación de mensajería Signal de OpenWhisperSystems (de los mismos Perrin y Marlinspike), sin embargo esta aplicación no posee la misma masividad y popularidad que cuenta WhatsApp.

Al respecto, no hay que dejar de reconocer la importancia fundamental que ha tenido la industria del software libre en los avances en la protección de la privacidad de nuestras comunicaciones. La opción de WhatsApp así lo confirma y debiese ser también leído como un espaldarazo a esta industria.

Si bien WhatsApp ha dejado clara su posición con respecto a la protección de sus usuarios, volviendo inviolable el derecho a la privacidad de sus comunicaciones, aún quedan algunos problemas por resolver con respecto a su seguridad. Preocupa que al no ser WhatsApp una aplicación de código abierto, es imposible tener un 100% de certeza de que realmente hace lo que dice. Se suma también que por un defecto propio de cómo se distribuyen todas las aplicaciones, es todavía posible enviar una actualización maliciosa a WhatsApp.

Otro aspecto importante a considerar es que los metadatos almacenados en los servidores de WhatsApp no se encuentran bajo la misma protección. La empresa guarda voluntariamente datos como la fecha exacta asociada a una conversación, incluyendo los números de teléfono involucrados, y lo hace sin estándares de cifrado que aseguren su inviolabilidad. Y si bien esto es una práctica común en este tipo de aplicaciones, una mirada comparativa muestra, por ejemplo, que WhatsApp almacena con menos seguridad mucha más información que Signal.

A todo lo anterior se suma que el dueño de WhatsApp es Facebook, una empresa que en el caso de su red social más popular, sigue cultivando un modelo de negocio en base a la venta de publicidad dirigida, beneficiándose enormemente de la explotación masiva de datos, fotografías, relaciones y comunicaciones de todos sus usuarios.

No obstante lo anterior, en un contexto de fuertes amenazas al cifrado en el mundo y, por ende, a la privacidad de nuestras comunicaciones (Estados Unidos y Brasil son solo los más recientes ejemplos), la decisión de WhatsApp es uno de los pasos más importantes que se han dado para una internet más segura para todos y todas, marcando un precedente que debiese ser imitado por el resto de los servicios de la red.