Temática: Protección de datos

Algunos consejos de seguridad y privacidad en línea

En el ámbito de la seguridad de la información, se han estudiado las distintas formas de manipular a las personas en situaciones y contextos específicos para obtener acceso a su información privada o inducirles a realizar una acción deseada. 

La ingeniería social explora un conjunto de técnicas basadas en características específicas de los seres humanos, tales como: reciprocidad, consistencia, evidencia, autoridad, empatía, escasez. Fuera del mundo de Internet, algunos ejemplos conocidos de ingeniería social son secuestros de teléfonos falsos, pero puedes ver muchos más ejemplos aquí.

En el contexto político y virtual, algunas técnicas conocidas son:

  • Infiltración
  • Ronda virtual (OSINT)
  • SIM swap
  • Doxxing
  • Phishing

A menudo, estas técnicas se combinan entre sí para garantizar la efectividad de la acción que la persona, aquí llamada «atacante», busca realizar.

Un ejemplo reciente del uso de la ingeniería social es el caso de Balta Nunes, en Brasil. Un oficial del ejército que se infiltró en grupos de activistas en 2016 y utilizó la ronda virtual y una infiltración para localizar y seducir a los activistas a fin de recopilar información para interferir en sus planes. El oficial fue descubierto cuando dirigió a un grupo de activistas a la policía -en una manifestación contra el ex-presidente Michel Temer- y todos, excepto él, fueron arrestados.

La ingeniería social también es utilizada por las empresas, tanto para espionaje como para manipular personas, datos o interferir en la toma de decisiones públicas, como lo ilustra este reportaje.

Ronda virtual

La Ronda Virtual, en seguridad de la información, es cuando una o más personas rastrean todas las pistas que dejas en línea, una forma de cacería virtual. Esta técnica es ampliamente utilizada en la vigilancia por parte de la policía -en este ámbito se le llama OSINT (inteligencia de fuente abierta)- y fue con ella que se iniciaron muchas investigaciones en Brasil contra activistas: verificar los gustos de las páginas de Facebook, confirmar invitaciones a eventos en línea para ir a manifestaciones, y publicaciones públicas. 

Cómo proteger tu información: haz que tus cuentas de redes sociales sean privadas, agrega únicamente a personas que conozcas, evita confirmar tu presencia en los eventos en línea (opte por la opción «guardar») y desactiva el etiquetado en fotos de redes sociales. En el caso de figuras públicas que necesitan exposición, es necesario un análisis de riesgo más preciso y específico.

SIM Swap

SIM Swap es la clonación o el robo del chip de tu teléfono celular, para tener acceso a y / o robar tu información personal. Fue ampliamente utilizada en el período electoral de Brasil en 2018 contra activistas feministas de #EleNão. No es necesariamente el robo de tu teléfono celular o tu chip físico, sino extraer tus datos personales junto con los del operador telefónico de tu dispositivo.

A menudo, las personas dejan tus números de teléfono disponibles en sus redes sociales, o son víctimas de doxxing y se filtran estos datos. Una vez que esos datos han sido expuestos, un atacante puede usarlos para suplantar la identidad de su víctima frente a un operador telefónico. Como las cuentas de sitios web o aplicaciones a menudo están vinculadas a tu número de teléfono celular, un atacante podría obtener acceso a tus cuentas e incluso suplantar tu identidad en aplicaciones de mensajería, como WhatsApp.

Cómo proteger tu chip SIM/teléfono celular: deja tu número de teléfono privado y habilita la «autenticación de dos pasos» (2FA, por sus siglas en inglés) que sirve para verificar tu identidad mediante una aplicación o contraseña/pin. Puedes usarla en las aplicaciones que desees proteger (como WhatsApp, Signal, redes sociales, etc.), así -si eres víctima de este tipo de ataques- cuando un atacante intente suplantar tu identidad y acceder a tu información se encontrará con una barrera que le impedirá acceder a tu datos, mensajes, etc.

Recuerda que es importante crear una contraseña única (no utilizada en otros servicios), protegerla y cambiarla con frecuencia.

Doxxing

Doxxing es una técnica de recopilación de datos privados y/o públicos para intimidar a una persona o grupo de personas. Es extremadamente común en la disputa de narrativas, y puede conducir a la violencia de alto riesgo para las partes involucradas.

Si quieres aprender más al respecto, puedes consultar la guía de prevención y reducción de daños escrita por Gus aquí: https://gus.computer/blog/2020/06/04/doxxing/

Phishing

El phishing es una técnica antigua del mundo web, es la práctica de crear páginas o correos electrónicos similares a sitios web oficiales o redes sociales con el objetivo de robar datos de una persona específica o de varias personas al azar. El phishing se usa ampliamente para el robo de cuentas bancarias, cuentas de redes sociales y correos electrónicos.

¿Cómo evitarlo? No hagas click en los enlaces enviados por extraños, siempre verifica la dirección del sitio web al que está accediendo, nunca des tu contraseña a terceros y verifica -con la institución oficial- la información que te soliciten a través de llamadas, mensajes o correos; especialmente si se trata de un banco. Cuando accedas al sitio web de una organización, empresa o institución, verifica que tu conexión esté encriptada con un certificado válido. Es decir: usando https:// antes de la dirección, asegurándote de que el candado -que aparece a un lado de la dirección url- esté cerrado y comprobando que la dirección visitada corresponda con el sitio web de la organización, institución o empresa.







Este artículo es una traducción del original publicado por la autora en: https://medium.com/@narriral/pequenas-dicas-sobre-vigil%C3%A2ncia-e-seguran%C3%A7a-online-268c0f653499

Otros datos

Hoy más que nunca sabemos que los datos son una herramienta poderosa. Permiten visibilizar las dimensiones de los problemas sociales, transparentar las gestiones institucionales y medir el impacto de las acciones ciudadanas. A nosotras, el acceso a datos claros y confiables nos permite tomar decisiones más conscientes e informadas. Pero los datos son también, hoy más que antes, un objeto de valor, la moneda de cambio de los negocios que durante la pandemia se han vuelto más centrales y necesarios.

Hace pocos días, la organización Ciudadanía Inteligente publicó el informe “¿Qué tanta información están entregando los gobiernos latinoamericanos sobre COVID-19?”. Colombia aparece en el primer lugar y México en el segundo, lo cual significó que algunos medios reconocieran la buena actuación gubernamental. Pero al mismo tiempo generó polémica, pues el informe se limita a evaluar la cantidad de datos disponibles, pero no hace mención a la relación entre cantidad de datos y cantidad de pruebas realizadas, por ejemplo, lo cual supone una brecha que redunda en la percepción ciudadana sobre las dimensiones del riesgo.

Y es que la manera como se producen los datos es otro problema más complejo. A comienzos de mayo, el presidente mexicano Andrés Manuel López Obrador, declaró que durante el confinamiento no necesariamente aumenta la violencia intrafamiliar, ya que “tenemos una cultura de mucha fraternidad en la familia”, y declaró luego que “el 90 %» de las llamadas sobre maltrato son «falsas»”. Frente a estas y otras declaraciones oficiales se creó la campaña #NosotrasTenemosOtrosDatos, para exigir respuestas contundentes de parte del gobierno, en la prevención y actuación efectiva contra la violencia hacia las mujeres, los niños y las niñas.

Durante la cuarentena, más de 347 mujeres han sido asesinadas en México, los ingresos de mujeres a refugios han aumentado en un 50% y 8 de cada 10 mujeres no han denunciado la violencia que enfrentan. Y si bien durante el pasado mes de abril en la Ciudad de México las investigaciones penales por violencia familiar bajaron un 20% respecto del año anterior, comparando en los mismos periodos, las llamadas a la Línea Mujer por violencia familiar aumentaron un 97%.

Aunque existan iniciativas gubernamentales para responder al aumento de la violencia contra las mujeres, es muy pobre el balance sobre su efectividad e impacto. En Chile, durante el mes de abril, las denuncias por violencia intrafamiliar se redujeron en casi todas las regiones, con respecto al mismo periodo del año anterior. Frente a este hecho, se implementaron líneas de atención telefónica y vía chat. Y, reconociendo las limitaciones de acceso que pueden tener las mujeres para denunciar, también se implementó una medida de ayuda que consiste en utilizar una clave en las farmacias -pedir una “mascarilla 19”- para levantar una alerta con las autoridades.

A pesar de la enorme promoción que se hizo de esta iniciativa, que también ha sido implementada en otros países, de acuerdo a lo que han denunciado algunas organizaciones, en la práctica muy pocas farmacias tienen información sobre dicho mecanismo de alerta. Esta situación no solo desincentiva la denuncia sino que puede significar mayor riesgo para cada mujer que intenta levantar una alerta y recibe una respuesta negativa de parte de quien la está atendiendo.

En Bogotá, Colombia, desde que comenzó la cuarentena obligatoria nacional el pasado 24 de marzo, también se implementó un sistema de alerta en farmacias, mercados y estaciones de gasolina, aunque hasta ahora no hay un balance oficial de la medida. Además se creó una ruta de atención a mujeres víctimas de violencias y en riesgo de feminicidio durante la emergencia del Covid19 con distintos mecanismos de denuncia a nivel local y distrital, que incluye la Línea Púrpura, de atención telefónica gratuita y a través de WhatsApp, las 24 horas.

Aunque existe desde 2015 como una línea para que las mujeres sean escuchadas por mujeres, desde noviembre de 2019 el sistema de la Línea Púrpura permite llevar un “registro de las llamadas atendidas, perdidas o no respondidas, abriéndose la opción de devolverlas” y además es posible grabar “las llamadas, lo que posibilita una respuesta integral ante las autoridades judiciales y administrativas en caso de requerir las conversaciones como elementos probatorios”. Si bien esta parece una buena noticia, resulta frustrante la ausencia de datos disponibles sobre cómo ha sido la respuesta institucional hasta el día de hoy, y específicamente durante el la cuarentena obligatoria.

En respuesta a la poca transparencia, y a la efectiva dificultad que enfrenta una mujer para acceder a apoyo estatal en casos de violencia, en Bogotá se creó la Red Solidaria de Mujeres, una línea de atención durante la emergencia ocasionada por el COVID-19, que funciona a través de WhatAapp. De acuerdo con los datos publicados por ellas mismas en su sitio web, hasta el día de hoy han dado apoyo jurídico, asistencia psicosocial, asesoría de rutas y auxilio material a 137 mujeres en 15 de las 20 localidades del Distrito Capital. 

Pero más allá de los datos concretos, tanto movimientos como instituciones a nivel mundial han alertado sobre cómo las medidas de confinamiento propician un aumento en la violencia contra las mujeres, un problema que no es nuevo y no es menor. Solo en México, tanto las movilizaciones feministas de los últimos años como la emergencia de respuestas solidarias durante la pandemia son una muestra clara de las dimensiones del problema y la urgencia con que debe ser atendido y erradicado. La experiencia es similar en países como Chile o Colombia, donde quizás las últimas movilizaciones masivas que presenciamos antes que empezaran las medidas de confinamiento fueron precisamente las del 8 de marzo feminista.

Ahora que hablamos de datos y cómo nos permiten visibilizar un problema al cuantificarlo, vale decir que la cuantificación está en los detalles, y cuando hablamos de violencia, los detalles pueden también ponernos en riesgo. Por eso es necesario preguntarse quién, cómo y dónde se colectan esos datos, y para qué exactamente. Para el movimiento Data for Black Lives, frente a los sistemas de opresión impuestos “los datos son protesta, los datos son responsabilidad y los datos son acción colectiva”. Por eso han hecho un minucioso monitoreo de los datos oficiales disponibles, complementado con las voces de personas negras expertas en epidemiología, política, activismo y organización social.

Cuando hablamos de mujeres nos referimos a muy diversos tipos de mujeres y necesitamos encontrar maneras para que los datos no nos homogenicen ni nos invisibilicen. Ningún dato es neutral, como no son neutrales las narrativas ni las acciones de quienes capturan, procesan y publican datos. Durante la cuarentena en Bogotá se implementó una medida de Pico y Género que, de acuerdo con la administración distrital, resultó ser muy positiva para la prevención del contagio. Pero los datos parecen poco confiables y en últimas, como han reclamado muchas organizaciones, significó un aumento en la -tradicional- violencia institucional contra personas trans y no binarias en las ciudad.

Ante la enorme cantidad de datos que se producen, agregan y visualizan cada día, en estos tiempos de COVID-19 y big data, hagamos que los datos trabajen para la erradicación de todas las formas de violencia y opresión, porque no es lo mismo cruzar variables que mirar los problemas de manera interseccional.

La otra crisis: cómo el COVID-19 se está utilizando en Brasil para despojar a las poblaciones más vulnerables de sus derechos

Brasil es actualmente el sexto país del mundo en número de víctimas del COVID-19, con más de 13 mil muertes hasta el momento.La manera como el presidente brasileño ha respondido al avance del coronavirus en el país ha llamado atención internacional. Como si no bastara con la sostenida negación de la gravedad de la enfermedad y la falta de compasión con las más de 10 mil víctimas y sus familias, Jair Bolsonaro insiste en hacer apariciones públicas contrariando las recomendaciones de aislamiento social de las expertas en salud y los gobiernos locales. Al avance del COVID-19 se suma una crisis política que incluye la dimisión de dos ministros – incluso el ministro de salud responsable por las primeras respuestas a la pandemia – y una denuncia de intentar manipular la policía federal en beneficio personal.

Menos transparencia, más intrusión

A pesar de las declaraciones del presidente en contra de la cuarentena y a favor de dudosas soluciones al COVID-19, en su ya tradicional estrategia de polarización política, el Gobierno Federal no ha perdido la oportunidad de usar la emergencia de salud para atentar contra los derechos conquistados. El 23 de marzo, por medio de una medida provisional, ha intentado restringir los mecanismos existentes de transparencia y acceso a la información al suspender por tiempo indeterminado los plazos máximos de respuesta a solicitudes a instituciones públicas. La acción fue considerada desproporcionada e inconstitucional por organizaciones nacionales e internacionales de la sociedad civil y terminó anulada por la Suprema Corte Federal. 

Mientras intenta ocultar sus acciones del ojo público y se muestra incapaz de ofrecer informaciones oficiales de calidad sobre el avance de la crisis, el gobierno busca obtener más poderes sobre los datos personales de la ciudadanía. Nuevamente aprovechando la emergencia de salud, por medio de otra acción unilateral, ha retrasado la entrada en vigencia de la primera ley de protección de datos del país para mayo de 2021 – casi un año después de lo inicialmente previsto. 

La acción dialoga con el intento del gobierno de apoderarse de información privada por medio de una medida provisional del 17 abril que autorizaba el acceso de la autoridad estadística nacional a  datos telefónicos de millones de personas. Según el texto, las empresas telefónicas deberían entregar el nombre, número de teléfono y dirección de todos sus clientes para facilitar la realización de encuestas en el período de emergencia de salud pública. La reacción fue inmediata, con la presentación de cinco acciones de inconstitucionalidad ante la Suprema Corte, que rápidamente decidió por suspender sus efectos. La mayoría de los ministros entendió que la transferencia de los datos de empresas telefónicas viola el derecho a la intimidad, vida privada y secreto de datos previsto en la Constitución.

Aunque algunas medidas hayan sido acertadamente anuladas por el Poder Judicial, estas  se contraponen directamente a las recomendaciones de expertas y expertos en derechos humanos de las Naciones Unidas, con respecto a que “cualquier respuesta de emergencia al coronavirus debe ser proporcionada, necesaria y no discriminatoria”. 

Sin límites para vigilar

La ausencia de una respuesta coordinada de parte de la autoridad federal ha dejado la responsabilidad de desarrollar estrategias para contener el avance del COVID-19  a los estados de la unión. A pesar de algunas variaciones en la rigidez de las medidas de aislamiento social, las soluciones adoptadas combinan restricciones de movilidad con monitoreo y control tecnológico. 

Cuando se trata del uso de datos de conexión a la red celular, la municipalidad de Rio de Janeiro fue pionera en establecer un acuerdo con una operadora para identificar flujos de movimiento. La estrategia se complementa con el uso de drones para emitir alertas en caso de aglomeraciones en la ciudad, que cuenta con un aparato de vigilancia heredado de los megaeventos deportivos realizados en Brasil. El estado de São Paulo también estableció una alianza que involucra no a una, sino a todas las empresas de telefonía celular operando nacionalmente. Siguiendo su ejemplo, hasta fines de abril 15 estados y dos ciudades habían buscado soluciones similares.

Otras localidades han obtenido informes de movilidad basados en datos de geolocalización ofrecidos por una empresa especializada en su recolección y uso para fines de vigilancia y publicidad. La empresa, una start-up nacional llamada In Loco, dispone de una base de datos de alrededor de 60 millones de dispositivos monitoreados por medio de códigos incorporados en aplicaciones de celular. Además de calcular índices de aislamiento social, la solución permite alertar personas individualmente en caso de que se identifique un nivel de movimiento superior a la media esperada. 

Llama la atención la adopción de estrategias que pueden facilitar acciones discriminatorias. En Florianópolis, por ejemplo, el sistema implementado permite notificar por SMS a las habitantes de una región si una persona en las cercanías de su casa fue diagnosticada con COVID-19. Este tipo de alerta puede incentivar intentos por ubicar el caso o levantar sospechas que lleven a actos de exclusión. La herramienta fue desarrollada por un grupo de empresas locales de tecnología y usa datos de la municipalidad para identificar a quien destinar los mensajes. La solución permite suponer que las empresas tienen acceso a informaciones sensibles, como la identificación y dirección de personas infectadas, lo que también es preocupante debido al desconocimiento de potenciales usos futuros de los datos y sus consecuencias.

Un grupo adicional de aplicaciones ha sido lanzado por estados y municipalidades para brindar información a la población y permitir el autodiagnóstico. Este tipo de solución también busca apoyar al Estado a identificar y hacer una estimación de los nuevos casos en un contexto de escasez de tests. Un estudio desarrollado por InternetLab muestra preocupantes niveles de intrusión de algunas aplicaciones de este tipo y sus deficiencias en términos de consentimiento, necesidad, transparencia y seguridad.

Una crisis más allá de la salud

La falta de transparencia sobre los términos de las alianzas público-privadas detrás de gran de parte de las iniciativas de monitoreo mencionadas tiene como consecuencia la ausencia de garantías expresas de que los datos no serán utilizados para otros fines o de que medidas suficientes de seguridad serán implementadas. En el caso de São Paulo, incluso hay sospechas de que el acceso a la información de datos de celular por parte del gobierno se inició antes de la firma del acuerdo con las empresas. 

Sumada a la postergación de la ley de protección de datos personales y la ausencia de una autoridad nacional de protección de datos hasta la fecha, se abre el margen de posibilidad de abusos por agentes públicos y privados, dejando la población más vulnerable aún más expuesta a la discriminación durante y después de la pandemia. Es decir, lejos de ser una crisis que golpea a todos por igual, la crisis de gobernanza y de protección de derechos que ha producido la acción conjunta de estados y empresas ha asegurado que los mayores perjudicados sean las personas más vulnerables del país.

Como hemos señalado anteriormente, “necesidad, adecuación y proporcionalidad en la respuesta tecnológica es lo que separa una crisis de salud global de una renuncia de los derechos fundamentales, tejido básico de sociedades como las nuestras, que se han jugado su sangre e historia por escapar del autoritarismo y garantizar una vida digna para todos”. La ausencia de esos criterios también puede ser, y es, literalmente fatal. Las víctimas no se distribuirán uniformemente en la sociedad brasileña. Ellas ya tienen género, color y lugar de origen

¿Pero qué necesidad? La filtración de datos de salud del MINSAL no es una contribución a la transparencia en política pública

Con consternación y mucha preocupación hemos visto como el periódico digital Interferencia ha publicado hoy información georreferenciada sobre las personas que dieron positivo al examen de COVID-19. Se trata de una serie de mapas de distintas comunas de la región metropolitana con información verídica, confirmada por el Ministerio de Salud (MINSAL), y actualizada a la semana pasada, que señala la ubicación de quienes están o han estado en tratamiento contra la enfermedad. Si bien no figuran las direcciones completas, sí aparecen señaladas las calles y la altura aproximada de las viviendas de las y los pacientes, que permite inferir con bastante precisión su localización. Se trata de una situación gravísima, que pone de manifiesto problemas de seguridad en el manejo confidencial de información sensible que deben ser resueltos del modo más expedito, y ejerciendo todas las facultades que otorga la ley para sancionar y enmendar el daño causado.

En primer lugar, la filtración deja al descubierto los negligentes mecanismos de control con los que el Ministerio de Salud protege información sensible que la ley le obliga a resguardar con confidencialidad. De acuerdo con lo declarado por el mismo medio de comunicación, “ni siquiera los Seremi de Salud pueden acceder abiertamente a esta información”, por lo que no se explica cómo Interferencia no solo accede a los datos, sino que además los publica. Esto da cuenta de un problema grave de seguridad del MINSAL, que requiere no solamente una explicación detallada respecto al problema y sus soluciones, sino además sanciones ejemplares contra quienes resulten responsables.

De igual forma, existen responsabilidades en el medio de comunicación, quienes de forma completamente irresponsable y carente de ética profesional han divulgado información altamente sensible, con resultados potencialmente devastadores para las personas afectadas. De manera sumamente indolente el medio declara:

“La información disponible en esa Base de Datos reservada del Minsal permite ubicar la dirección exacta de una persona que dio positivo en el examen de Covid-19. INTERFERENCIA tuvo a la vista esos mapas ultra detallados, pero decidió no publicar ese nivel de detalles. ¿Por qué? Para evitar peleas entre vecinos o actos de discriminación en contra de comunidades inmigrantes, donde el Coronavirus está causando estragos.

¿Tiene relevancia publicar esta información? Desde luego que sí, toda vez que la transparencia en los datos puede informar a expertos y encargados políticos para estudiar o aplicar medidas que ayuden al país a contener esta crisis”.

Interferencia, en su intento por dar un golpe periodístico, no solamente ha decidido ignorar las directrices editoriales que deben regir la cobertura de la crisis, sino que posiblemente no las comprenden, y eso es sumamente grave. No publicar el detalle de la información no es una muestra de cortesía por parte del medio, sino un imperativo ético y legal pues, tal como indica Edison Lanza — Relator para la Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos— no existe en ello un interés público prevalente.

En una nota aclaratoria publicada posteriormente, Interferencia declaró que los puntos señalados en el mapa habían sido movidos “entre 50 y 100 metros de su lugar original hacia direcciones aleatorias”, de modo que, además de poner en riesgo a una cantidad importante de personas,  la información proporcionada además es poco fiable y pone en riesgo adicional a más personas.

Por otro lado, la nota incurre en un error conceptual: la comunidad científica ha reclamado mayor acceso y transparencia de las cifras relacionadas con el COVID-19, pero esta información debe entregarse de forma anonimizada y con el debido tratamiento para el análisis estadístico de los datos. No se necesita la identidad y dirección de cada infectado para hacer políticas públicas.

Es importante recalcar que el acceso a la información por parte de personas no facultadas legalmente para ello es responsabilidad del MINSAL, no del medio. Interferencia es responsable de la divulgación de información sensible y por ello debe responder de acuerdo con lo establecido en la ley.

El combate al COVID-19 requiere de medidas excepcionales, pero no pueden llevarse a cabo sin consideración por el respeto a los derechos fundamentales. Del mismo modo, la acción de privados que tienen una responsabilidad social, como es el caso de los medios de prensa, debe hacerse de manera consciente y considerada con los derechos de las personas sobre quienes se informa: la necesidad de informar en tiempos excepcionales no es excusa para difundir información veraz cuando esa difusión trata de cuestiones sensibles. La información referente al estado de salud de las personas, más todavía en un contexto de pandemia, es sumamente delicada, pues las podría exponer a distintas formas de discriminación, tanto en el presente como en en el futuro. Algunas de ellas ya las hemos padecido: vecinos incómodos con la presencia de funcionarios de la salud o contagiados en sus edificios, condominios o barrios, a las que podrían sumarse o acciones de discriminación en oportunidades de empleo basadas en el desarrollo de anticuerpos o la determinación de primas de salud futuras por posibles secuelas, entre muchas otras.

Por último, este episodio vuelve a recalcar la importancia de que las instituciones implementen medidas técnicas y disposiciones organizacionales enfocadas a la seguridad y la confidencialidad de estos datos sensibles. En adelante deberíamos discutir como transparentar información que es realmente útil para entender la evolución de la pandemia como número de tests negativos y positivos, o tiempo de demora en la comunicación de resultados, y dar más acceso a los datos estadísticos o correctamente anonimizados cuando sea oportuno, pero en caso alguno entregar aquellos datos personales y sensibles de la población que la sitúa en riesgo severo de discriminación.

La pandemia de COVID-19 y la pulsión por la vigilancia estatal

Desde hace semanas, hemos visto cómo gobiernos mundiales, incluidos los de América Latina, han comenzado a utilizar información de teléfonos móviles y de aplicaciones para teléfonos móviles con el propósito de controlar la expansión de COVID-19 en sus países, fundamentalmente a través de aplicaciones para smartphones. Aunque muchos de los esfuerzos gubernamentales coinciden en carecer de suficiente legitimación y de resguardos de derechos fundamentales, el pánico aparente se convierte en el caldo de cultivo para medidas inidóneas y abusivas.

En un contexto de emergencia global, el problema que surge no es una cuestión solamente del respeto a los derechos en una situación excepcional, sino también del riesgo que significa mantener esa excepcionalidad para el ejercicio de derechos fundamentales a lo largo del tiempo.

El poder sanador de los datos personales

Una tradicional expresión de la vigilancia estatal es la relativa al seguimiento de personas en sus movimientos y en sus comunicaciones, con las tecnologías de comunicación (y en particular, las digitales) como vía principal para la observación estatal. En un contexto donde resulta conveniente hacer el seguimiento de personas específicas o de grupos numerosos para trazar rutas de contagio o medir situaciones de riesgo, aparecen estas tecnologías como un mecanismo en apariencia idóneo. Varias medidas estatales reflejan esa intuición.

La proliferación de aplicaciones móviles para la pandemia, especialmente a nivel gubernamental, son una muestra básica de esta pretensión. En el caso de las de nuestra región, tanto el rastreo como la entrega de información para el autodiagnóstico de síntomas asociados a COVID-19 parecen objetivos de política pública razonables para una crisis de salud. Sin embargo, un examen apenas superficial permite encontrar incontables puntos de duda: cómo se anonimizará y agregará la información para no identificar individuos, quién tiene acceso a la información, cómo será utilizada (y en contraste con qué otros datos), por cuánto tiempo y bajo qué condiciones se almacenará, etcétera. Su utilidad en relación con sus niveles de penetración, en tanto, son todavía un misterio.

Como era de esperarse, una situación de crisis para los gobiernos constituye una enorme oportunidad para quienes quieren vender soluciones. Esto es especialmente notorio en el caso de la tecnología, donde cada vendedor ajusta su oferta para convertirla en solución. Es el caso de NSO Group, compañía de tecnologías para la vigilancia, que comenzó a ofrecer y a probar sus capacidades de vigilancia para hacer el seguimiento de personas contagiadas y de las que por estar en contacto con ellas fueran susceptibles al contagio, a partir del cruce de información de dispositivos y de redes de comunicación. Es decir, convirtiendo en una situación deseable parte de la tecnología que ha sido usada incluso en nuestra región, para espiar a periodistas y activistas en México. Además de la falta de credibilidad de oferentes así, ¿cómo puede garantizarse que la información no se usará con otros fines ni más allá de la emergencia actual?

Fue en la Ciudad de México donde el anuncio de implementación de georreferenciación de telefonía móvil para monitorear movimiento y contacto y controlar el aislamiento social. Como señala R3D, otras autoridades estatales dirigen solicitudes de información a las empresas de telecomunicaciones, sin condición alguna de transparencia para medir su cumplimiento de los estándares de derechos humanos y de la legislación nacional.

En sentido similar, hemos hecho mención al caso de Ecuador, donde se ha dispuesto el uso de “plataformas satelitales y de telefonía móvil” para el control de movimiento de la población bajo aislamiento y cuarentena. A pesar de la preocupación de la sociedad civil a nivel regional y global por la necesidad de resguardos explícitos, en un país donde todavía no existe siquiera una ley de protección de datos personales, la medida de aparente carácter excepcional parece haber seguido su curso, aun cuando Ecuador sigue siendo uno de los países más afectados en número total y proporcional de casos fatales en la región.

En el caso de Brasil, aun cuando por su carácter federal han sido varios los estados que han tomado medidas de prevención y de seguimiento, incluyendo mediante órdenes de aislamiento y del recurso a datos de empresas de telecomunicaciones, la ausencia de órdenes a nivel nacional ha sido patente, y ha estado marcada por el liderazgo temerario del actual presidente de la unión. Una situación particularmente preocupante en atención a que Brasil mantiene el número más alto de contagios en la región. A la anticipada postergación de la entrada en vigor de la Ley General de Datos Personales, se sumó otra preocupación: hace semanas, se hizo público el acuerdo entre empresas de telecomunicaciones y el Ministerio de Ciencia, Tecnología, Innovación y Comunicación, para facilitar información sobre teléfonos móviles relativas a ubicación geográfica y movilización. Días después, tal acuerdo fue rescindido por el presidente Bolsonaro, no necesariamente por preocupaciones sobre los datos personales, como por su actitud temeraria frente a la pandemia. No obstante, los estados conservan capacidad –y más importante, voluntad– para acordar tales usos, como ocurre con los populosos San Pablo y Río de Janeiro.

Otras medidas son aun menos sofisticadas, y pueden igualmente derivar en recolección de información personal. Así, por ejemplo, aplicaciones como el número de WhatsApp dispuesto por el gobierno argentino para recibir consultas facilitando el autoexamen, permiten a la vez identificar números telefónicos y por esa vía a las personas que buscan esa información.

Sea que se trate de georreferenciación mediante antenas de telefonía celular, mediante GPS, mediante señal de WiFi o mediante la entrega voluntaria de información del lugar de cuarentena, resulta al menos cuestionable su real efectividad, en la medida en que no es tanto el rastreo como lo son el aislamiento y las medidas de contención las medidas mejor convocadas a la prevención, como hemos señalado. Es necesaria en cualquier caso una mayor precisión de la información generada –junto a todos los resguardos latamente reiterados– para que ella tenga real capacidad preventiva e informativa en torno a posibles focos de contagio. De lo contrario, la información agregada y anonimizada es la que mejor serviría a la toma de decisiones, también en tal caso bajo resguardos serios, y sin por ello ser por sí sola información suficiente.

Síntomas de un problema mayor: el control social

Al creciente listado de corona-apps presentes en América Latina se ha sumado más recientemente la anunciada aplicación CoronApp del gobierno de Chile. Como otras, permite el autoexamen y la entrega de información, y permite asimismo registrar el lugar de cuarentena, aun cuando no entrega información de proximidad con personas infectadas. Pero agrega una funcionalidad que varios estados de la región han convertido también en una prioridad: la vigilancia mutua y el control social, más allá de los contagios.

En el caso de la CoronApp chilena, existe una funcionalidad específica para “informar y/o denunciar conductas o eventos de alto riesgo”, esto es, para acusar a la autoridad (en teoría, el Ministerio de Salud) que se están presenciando eventos de aglomeración de personas, incumplimiento de las cuarentenas obligatorias, o existencia de filas para servicios. Es fácil adivinar que esta función puede servir para actos de revancha o enemistad social, quizás empeorando la distancia que ya se ha vuelto costumbre entre personas que comparten áreas con alta densidad demográfica, invocando tal vez innecesariamente a autoridades ya sobreexigidas por una crisis sanitaria global.

Tampoco se trata de una medida de control única. Así, Río de Janeiro controla aglomeraciones mediante denuncias telefónicas y mediante WhatsApp, además de servirse de información de telefonía móvil, y desde esta semana del uso de drones para seguir movimientos de personas y dirigirse a ellas por altoparlante. En tanto, en sentido similar, Argentina ha dispuesto diversos mecanismos de denuncia, incluida una línea telefónica para denunciar infracciones del aislamiento social. Así, la irresponsabilidad de las personas que insisten en romper situaciones de cuarentena pasa a ser una preocupación adicional de quienes sí la respetan, una fuente de desconfianza social, y una motivación para el control mutuo.

Otro nivel de control que toma como excusa a la pandemia es el realizado por el estado argentino, en el denominado ciberpatrullaje, consistente en la revisión de la discusión en redes sociales “para la prevención de delitos promovidos según el ‘humor social’”. Si bien se trata a menudo de discusiones al alcance del público, esta acción de vigilancia estatal, de no ser transparente y sujeta a protocolos de ejercicio y de control, puede además de ser arbitraria impactar negativamente en las personas, incitando a la autocensura. En ausencia de resguardos sobre su procedencia y su supervisión, puede ser también una forma de vigilancia masiva contraria a los derechos humanos. Y nos recuerda a la vez al uso para el control social que el gobierno de Chile ha dado en un contexto de crispación social, poniendo en entredicho su relevancia como parte de medidas relativas a una crisis sanitaria.

Contra los brotes de vigilancia en la región

Recolectar y procesar información sensible de las personas, como es la relativa a su condición de salud y a sus movimientos corporales, constituye una acción intrínsecamente riesgosa para las titulares de esos datos. Pero en lo relativo a aplicaciones, existen principios que pueden aplicarse para prevenir buena parte de ese daño. Como relata Sursiendo, hay ya grupos de investigación dedicados al desarrollo de aplicaciones y protocolos de seguimiento respetuosos de la privacidad, y cabe a los gobiernos tanto hacer eco de las preocupaciones de la sociedad civil como recoger y apoyar tales iniciativas. Los requerimientos delineados por el Chaos Computer Club para las aplicaciones son un punto de partida crucial para ese desarrollo.

Por cierto, el desarrollo tecnológico por si solo está condicionado por factores sociales, incluyendo los normativos, que sirven como garantía al respeto a los derechos fundamentales. Como hemos indicado, es también posible recurrir a legislación de emergencia no para facilitar la acción del estado vigilante, sino para asegurar el pleno respeto de los derechos de las personas afectados por la recolección y uso de su información personal. Además de ese rol protector, la regulación puede así procurar la prevención de que el estado de excepción se convierta en el de normalidad, y que la vigilancia pueda extenderse mucho más allá de la emergencia actual, incluso con aprobación popular producto de una distorsionada percepción de la realidad.

Pero además del deber de discutir apropiadamente cómo utilizar la tecnología que involucra vigilancia, es relevante discutir también el porqué. ¿Por qué es la vigilancia una posibilidad de acción percibida como “necesaria”, cuando ni siquiera su carácter de conveniente es inconcuso? ¿Por qué justificar, y finalmente normalizar, que bajo ciertas condiciones sea aceptable monitorear nuestras expresiones, o llenar nuestros cuerpos, hogares y poblados con cámaras, georreferenciación, reconocimiento facial, detección de calor, reportes voluntarios de salud, y más? El no despliegue de la acción vigilante del Estado es también una opción, especialmente de cara a los riesgos involucrados y de la existencia de medidas de salud pública con un impacto comprobadamente mayor. Insistir en soluciones tecnológicas puede llevarnos a eludir discusiones más profundas sobre fallas sistémicas que no son causadas por virus o desastres naturales, sino por decisiones políticas sobre la organización de la economía y de la vida en sociedad.