Temática: Protección de datos

Vigilando la velocidad de conexión a internet y a sus usuarias

Asegurar la velocidad de internet es un deber en Chile. Así lo establece la ley desde noviembre de 2017, pero esta obligación no ha sido exigible por años, a falta de la emisión de normas adicionales por parte de la Subsecretaría de Telecomunicaciones de Chile (Subtel), según ordenaba la misma ley. Esto cambió a fines de julio de 2020. Después de un largo período de consideración, consultas públicas y pandemia, la Subtel finalmente emitió el reglamento que regula al organismo técnico independiente (OTI) encargado del cumplimiento de la ley, y la norma técnica con las condiciones de operación.

Sin embargo, con la emisión de las nuevas reglas se busca consolidar un esquema donde, a cambio de medir las condiciones de conectividad, se pide a cambio información personal de las usuarias de internet.

La propuesta de mediciones de calidad de la red

Para medir el cumplimiento de la oferta de velocidad por parte de los proveedores de servicios de internet, las reglas fijan la necesidad de monitorear esa velocidad. Con ese fin, el reglamento y la norma técnica piden que el OTI registre distintos datos y, en algunos casos, autoriza a Subtel a acceder a esa información.  Pero el detalle de los datos que serán recolectados ha sido objeto de cuestionamiento.

Para la medición, el reglamento y la norma técnica definen tres elementos de monitoreo (art. 2 de la norma técnica):

  1. Los ISP deben permitir al OTI el “acceso a sus sistemas de medición de tráfico en línea, a las capacidades instaladas y a las relaciones de interconexión entre sus nodos de redes de acceso, agregación y core” (art 13 de la norma técnica).
  2. Realización de mediciones a través de sondas:
    • Desde una sonda hasta un servidor nacional en la red del mismo ISP.
    • Desde una sonda hasta un servidor nacional en la red de otro ISP.
    • Desde una sonda hasta un servidor ubicado fuera del territorio nacional.
    • Accesibilidad a sitios web nacionales e internacionales.
  3. Realización de mediciones a través de un aplicación en el equipo del usuario:
    • Desde la aplicación hasta un servidor nacional en la red del mismo ISP.
    • Desde la aplicación hasta un servidor nacional en la red de otro ISP.
    • Desde la aplicación hasta un servidor ubicado fuera del territorio nacional.
    • Accesibilidad a sitios web nacionales e internacionales.

Pero no solamente se establecen esos registros. Se establece además que el OTI tendrá acceso a una serie de datos del cliente que instale la aplicación (art. 12 de la norma técnica), que incluyen:

  • IMEI, número telefónico, número de IP, IMSI, SimCard del equipo del usuario.
  • Identificador del ISP y nombre del operador de red de ser el caso.
  • Marca y modelo de equipo del usuario.
  • Fecha y hora de la medición.
  • Identificador de nodo de acceso.
  • Coordenadas de ubicación geográficas del equipo del usuario.
  • Porcentaje de uso de CPU y memoria del equipo del usuario al momento de la medición.
  • Niveles de potencia de señal y relación señal a ruido.

Si bien se puede argumentar que estos datos son necesarios para que la OTI realice el monitoreo respectivo y verifique si el proveedor de internet está cumpliendo con la velocidad promedio comprometida, el artículo 24 de la norma técnica establece que la Subtel tendrá acceso a toda esta información de manera agregada, desagregada, en tiempo real y georreferenciada.

Esto es complejo, ya que —como hemos señalado en el pasado— datos tales como el número de teléfono constituyen datos personales, capaces de identificar a la titular. Por otro lado, se incluye en la lista información que da cuenta de las actividades y los hábitos personales del usuario, como también su geolocalización y dirección IP. Es decir, información sensible. Subtel exige acceso a esta información de manera nominada, es decir, siendo capaz de vincular la información con la identidad de cada usuario.

Estas exigencias de datos por la Subtel no solo carece de sentido operativo, sino que van abiertamente en contra de las garantías constitucionales y legales sobre la información personal. Además, se trata de información que no le corresponde obtener a una entidad gubernamental sin una justificación de la legitimidad del fin perseguido, y sin consentimiento explícito de las personas titulares de los datos.

Si la finalidad es la publicación de informes estadísticos, entonces no es necesario que Subtel acceda a esta información de manera nominada, por lo que la medida resulta desproporcionada. En caso contrario, con el el fin de monitorear la velocidad de la conexión a internet,  se está creando un riesgo innecesario de que la información sea mal utilizada, que se filtre o se abuse de ella.

Vinculado con lo anterior, y también preocupante, es el hecho de que no se establezca una finalidad específica y exclusiva para esta información recolectada. La norma técnica (art. 25) se limita a decir que esta información será utilizada con el objetivo de elaborar informes comparativos para difundir los resultados a las usuarias, “entre otros fines”. Con esta fórmula, el documento deja la puerta abierta para que estos datos sensibles sean utilizados para fines distintos, lo que contradice los principios de la legislación de protección de datos personales, dejando a los ciudadanos en una situación de indefensión frente al potencial de explotación no autorizada.

La recolección desproporcionada de datos, desde la perspectiva técnica

¿Es necesario hacer mediciones individuales de la velocidad de conexión a internet?

No. Si tomamos en cuenta que el OTI tendrá acceso a los sistemas de monitoreo y a las capacidades instaladas de todos los nodos (equipos de comunicación, ya sean routers o switches) de los ISP, asimismo tendrá la posibilidad de monitorear la saturación de tráfico por cada nodo, pudiendo de esta forma levantar la alerta o generar la notificación al ISP correspondiente. Este punto no es menor, pues al tener los datos de funcionamiento y calidad de red de cada nodo están accediendo al mismo nivel de información de quienes administran la red, a excepción de las configuraciones de los dispositivos. En otras palabras, este conglomerado de datos es bastante valioso para fiscalizar el correcto funcionamiento de las redes.

Cuando un ISP implementa un plan de internet a un cliente, básicamente, lo que hace es un Traffic Shaping (limitación de tráfico), lo que permite controlar la velocidad de transferencia máxima de la conexión contratada. En ese sentido, cabe la posibilidad de que el ISP, al ver que algún segmento de la red pueda llegar a la saturación, aplique un limitante de tráfico a los usuarios hasta una velocidad de transferencia máxima menor a lo contratado, para evitar la saturación de uno o más nodos. En este escenario, el OTI no podría evaluar la calidad del servicio a través de lo expresado en el párrafo anterior.

Acá es donde entran en juego las mediciones a través de sondas. Se trata de una suerte de “prueba de caja gris” en la cual se ejecutan pruebas de tráfico desde una sonda y hacia un servidor o sitios web, ambos con ubicación conocida a través de sus direcciones IP. Esta prueba, si bien aporta información periódica del comportamiento de la red, resulta susceptible de “engaño” a través de una liberación de Traffic Shaping, o con una instrucción de prioridad al tráfico entre ambos dispositivos (sonda-servidor).

En este punto es donde se podría justificar la realización de mediciones a través de la aplicación propuesta, cuyo objetivo es generar pruebas desde los distintos dispositivos (teléfonos, tablets, computadores, etcétera) y hacia servidores en distintos puntos (nacionales e internacionales). En principio parece una buena idea, pero tal como vimos en el caso anterior) también es susceptible de “engaño”, dado que los equipos de comunicación pueden aplicar criterios de prioridad de tráfico hacia las ubicaciones de los servidores contra los que se harán las mediciones. El inconveniente que se genera a través de esta perspectiva de prueba es que en su afán de generar mayor certeza se requiere de información más detallada sobre quién, cuándo, dónde y desde qué dispositivo se realiza la prueba. Esto implica que dichos datos permitirían la identificación de sus actividades georreferenciadas o en redes digitales en el pasado y en el futuro.

Como corolario de lo anterior, está la posible necesidad del manejo de miles de (posibles) pruebas, y que cada una deba ser gestionada a través de reportes, para luego dar paso a rectificaciones, reparaciones o adecuación del plan, lo cual genera un esfuerzo logístico y humano innecesario.

Considerando lo anterior cabe hacerse la pregunta: ¿Existe otra perspectiva o acercamiento para poder verificar el correcto funcionamiento de la red o planes de internet que no conlleve la exposición de datos de los usuarios?

Lo primero que podemos ver es que, del listado de datos que definen como “datos ambientales” (art. 12), se podía prescindir de algunos datos de identificación para resguardar la privacidad del usuario. Por ejemplo, solo registrar el nodo de entrada desde el dispositivo que ejecutó la prueba, el plan contratado, el ISP correspondiente y, quizás, un par más de datos como intensidad de la señal. En este caso, la evidencia no permitiría un reclamo o reparación basada en un hallazgo individual, pero sí permitiría generar la solicitud de corrección del problema hacia el ISP en una zona en particular.

En otro sentido, también se podría generar un muestreo de tráfico por zonas que permitiera generar una estadística de uso y proyectar la demanda futura a modo de ir realizando los cambios necesarios en la red para que pueda soportar el aumento de tráfico en relación a la venta de planes. Para esto, es necesaria la estadística y que esta a su vez implique una política en la tasa de agregación, es decir, para una zona en particular con un comportamiento de tráfico específico y crecimiento estimado se debería generar una limitante a la tasa de agregación o, en palabras simples, a la cantidad de sobre-venta de un canal.

Banda Ancha: definición local para una red global

Uno de los encargos de la ley de velocidad mínima garantizada, era que la reglamentación describiera las características de lo que se ofrece como “banda ancha” por los ISP. La norma técnica fija una regla (art. 23) que es en parte flexible respecto de las velocidades de referencia, pero a la vez establece un parámetro de medición. Si bien es arbitrario el valor mínimo de la velocidad de bajada y la velocidad de subida para ser llamada “banda ancha”, lo importante es la relación entre ellos.

Se debe considerar como elemento técnico que las conexiones alámbricas e inalámbricas poseen un canal de comunicación cuya característica es que su ancho de banda es bidireccional o total. Es decir, un cable cuya velocidad de transferencia es de 100 Mbps puede transmitir 50 Mbps de subida y 50 de bajada o bien en relación 70/30, pero la suma de ambos tráficos no podrá superar la capacidad física del canal.

Al parecer, existe una definición comercial que diferencia a un usuario común de un usuario con requerimientos específicos, dado que las ofertas de varios ISPs corresponden a  planes de internet asimétricos bajo demanda, con una relación 5:1 o 20:7 en relación entre las velocidades de bajada y subida, y planes de internet dedicados y simétricos cuya velocidad transferencia de subida y bajada son iguales. Los segundos son más costosos pues aseguran la velocidad de transferencia en cualquier momento, aunque cabe la posibilidad de tener un canal simétrico no dedicado. Esta diferenciación tiene sentido para la oferta de servicios a empresas, en contraste con la oferta para internet en hogares.

En el caso de las conexiones asimétricas (como ocurre con cada conexión casera o común) se podría considerar que la tasa de agregación podría estar limitada en su sobre-venta, de tal manera que permita una relación más baja. Por ejemplo, que el tráfico de subida en una conexión casera o móvil sea al menos la mitad (50%) del tráfico de bajada. Desde un punto de vista comercial, parece tener sentido que los hogares,ya sea con una conexión fija o a través de un dispositivo móvil, tengan una conexión asimétrica donde la red se usa mayormente para recibir contenidos.

Pero esta visión de las necesidades hogareñas es altamente problemática: representa una noción limitada de la utilidad que se le da a la conectividad, no solo para “consumir” contenidos, sino también para producirlo y para comunicarse con otras personas de manera cada vez más sofisticada. Y ese aprovechamiento de las posibilidades de la red solamente aumenta en pandemia. En épocas de una creciente tendencia al teletrabajo, a la educación a distancia, a la telemedicina y a una sociedad obligada a interactar a distancia, es necesario considerar la importancia de que las conexiones permitan un tráfico bidireccional que asegure poder interactuar en la red de forma más igualitaria, donde la velocidad del tráfico de subida resulta tan importante como la de bajada.

Las definiciones de velocidad también resultan problemáticas por lo que implican en relación con la conectividad a nivel global. Por definición, internet representa acceso a contenidos digitales en cualquier parte del mundo y, debido a ello, es que en la mayoría de los países no existe una diferenciación entre tráfico nacional e internacional para la medición. Es decir, la correcta aplicación del término “Banda Ancha” debería aplicarse directamente al tráfico internacional, sin desmedro de que pueda declararse la velocidad de tráfico en territorio nacional. Si bien existen limitaciones técnicas que impiden que pueda asegurarse igual velocidad respecto de conexiones con terminales de distintos lugares del mundo, es importante que existan suficientes condiciones de transparencia que permitan manejar las expectativas de las personas que se conectan a la red. Aun cuando la norma técnica identifica las diferencias entre tráfico nacional e internacional, la oferta comercial de “banda ancha” debe hacerse cargo transparentemente de esa diferencia.

Estas definiciones no son solamente una cuestión comercial o técnica, sino que inciden en la capacidad de crecimiento y de inversión en conectividad. A la vez, su mayor uso no es consecuencia solamente de un contexto global específico, sino que está en juego la forma en que se desarrolla la sociedad en torno a la conectividad digital. Es decir se trata de un servicio estratégico para el desarrollo tecnológico, laboral, económico, educativo y cultural.

La norma técnica en disputa política

La elaboración de la norma técnica por parte de la Subtel ha sido objeto de controversia por las exigencias de datos personales. En contra de la resolución, tanto la industria como la sociedad civil, la autoridad de acceso a información pública y hasta un senador de la República, han reaccionado en oposición a la que ya es una resolución vigente. La actual discusión de una nueva ley de datos personales podría razonablemente limitar riesgos de abuso y permitir la fiscalización del tratamiento no autorizado.

La expectativa desde el interés público es que esas condiciones cambien, pues como hemos dicho, la recolección intensiva de datos resulta desproporcionada frente al propósito de la ley que motiva estas reglas. Pero a la vez, la necesidad de corrección de esas condiciones plantea la oportunidad de mejorar la forma en que se define una internet de velocidad mínima de cara a una sociedad que requiere mejor conectividad.

Propuesta de regulación de desinformación puede aumentar brechas y exponer las comunicaciones de millones de personas en Brasil

Actualización: Ayer, jueves 25 de junio, se presentó una nueva versión del proyecto de ley. En consecuencia, la votación se aplazo al 30 de junio. En Derechos Digitales estamos estudiando el detalle la propuesta actualizada.

En Brasil, el proyecto de ley conocido como “Ley de Fake News” (PL 2630/2020), destinado en un principio a limitar la circulación de desinformación en internet, se ha transformado en una propuesta de regulación que cede a grupos interesados mayor control sobre la información disponible en línea. ¿Lo peor? El proyecto lo hace en un régimen de urgencia y mientras el Congreso opera de manera remota, con limitadas posibilidades de participación de la sociedad.

Nuevas brechas en contexto ya desigual

Las versiones anteriores de la propuesta ya eran preocupantes, pues ampliaban las obligaciones de retención de datos personales de las usuarias de internet y autorizaban el bloqueo de aplicaciones. Sin embargo, la última versión impone el registro y la identificación de las usuarias de plataformas en línea, por medio de un documento de identidad y de un número de teléfono celular válido. Esta exigencia podría impedir que millones de personas puedan acceder a información y servicios que, en contexto de cuarentena, son más esenciales que nunca. Por ejemplo, una medida de este tipo podría significar que niñas y adolescentes — especialmente de los grupos más marginados de la población— no podrían acceder a aquellas plataformas que hoy son fundamentales para el acceso a la educación.

En un país donde gran parte de la población utiliza internet exclusivamente desde dispositivos móviles y por medio de planes de conexión limitados, las redes sociales y las aplicaciones de mensajería se han tornado esenciales para la comunicación, el acceso a la información y a los servicios esenciales. Durante la pandemia del COVID-19, estos servicios se han utilizado para satisfacer diversas necesidades, como la coordinación de desde redes de apoyo solidario para la distribución de insumos básicos y  la denuncia de abusos y violencia doméstica.

La imposición de este registro conlleva la recolección desproporcionada de datos por agentes privados, violando tanto los principios internacionales de derechos humanos como la normativa nacional de protección de datos, y exponiendo a las usuarias de internet a la explotación indebida de su información personal con fines comerciales.

Así también, la obligación de los proveedores de servicios en internet de chequear y suspender aquellas cuentas registradas con números de celular deshabilitados por las compañías telefónicas implica un intercambio innecesario de datos personales entre empresas, afectando también la libertad de expresión, al impedir repentinamente el acceso de las usuarias a toda su red de comunicaciones y contenidos compartidos.

Exponiendo a las más vulnerables

Igualmente preocupante es la imposición de nuevas exigencias a las aplicaciones de mensajería, que se verían obligadas a limitar el número de veces en que un mensaje puede ser reenviado y a almacenar los datos de todas las personas que lo han compartido.

Esta medida busca restringir la capacidad de acción de grupos maliciosos organizados. Sin embargo, junto con ello, pone trabas y límites a la circulación y distribución de contenidos verdaderos y de interés público a través de internet.

La obligación de retención de datos sobre el reenvío de mensajes implica además la asociación directa entre contenidos de una comunicación y las personas involucradas en ella, resultando en una violación al secreto de todas las comunicaciones, y que es fundamental para todas aquellas comunicaciones legítimas que demandan confidencialidad.  Si a eso sumamos la ya comentada obligación de registrar a todas las personas que utilizan servicios de redes sociales o mensajería privada, el resultado es un esquema masivo de vigilancia sobre la identidad de las personas y su actividad en redes digitales.

Es previsible que las personas más afectadas por estas medidas serán las defensoras de derechos humanos, ambientalistas, periodistas, participantes en movimientos sociales y activistas en general, principalmente si sus opciones para comunicarse son limitadas. Estas son personas que de manera recurrente sufren amenazas y abusos debido a su trabajo, tanto por parte de agentes del Estado como de los privados, y, por lo tanto, tienen una especial necesidad de comunicarse de manera segura. A la vez, la información que producen a menudo es valiosa, capaz de desafiar a las fuentes de información oficial, asumiendo muchas veces un riesgo a la seguridad personal, por lo que una medida de este tipo puede tener un efecto inhibitorio y conducir a la disminución de la circulación de información.

Fortaleciendo la censura privada

Por medio de una redacción confusa, la propuesta parece obligar la remoción de contenido y cuentas de redes sociales que violen los términos de uso de las aplicaciones de redes sociales, por medio de la apertura de un procedimiento de moderación que incluya el derecho a la defensa. A pesar de que la garantía de debido proceso en la aplicación de normativas privadas respecto a la moderación de contenidos apunta en la dirección correcta, es preocupante que el texto no solo legitime la remoción de contenido, sino que la vuelva obligatoria, sin miramientos por atender adecuadamente estándares internacionales de derechos humanos.

La confusión entre los contenidos que deben ser removidos por violar normas nacionales y aquellos que pueden ser eventualmente removidos por las plataformas —de acuerdo a los estándares establecidos en los Principios Rectores de Empresas y Derechos Humanos de las Naciones Unidas— puede devenir en un ambiente de efectiva censura privada, dado que las plataformas definen sus políticas según intereses comerciales propios.

 Un ejemplo de la aplicación desproporcionada de políticas internas es la prohibición de publicar imágenes de personas desnudas en Facebook, que llevó a la remoción de contenidos oficiales del patrimonio cultural brasileño en 2015.  En aquella ocasión la imagen fue restituida, pero quizás eso no habría sido legalmente posible si hubiese habido una obligación de remoción como la prevista en el proyecto en discusión. La existencia de un mecanismo de moderación de ningún modo garantiza que este tipo de situaciones dejará de ocurrir, si es que efectivamente existe una limitación a este tipo de contenido en la política de la plataforma.

En el extremo opuesto, la obligatoriedad de moderación podría generar retrasos que comprometan gravemente los derechos de las usuarias que tengan dificultades para acceder a la Justicia, o en aquellos casos en que esta no pueda responder de manera ágil. Ejemplos de este tipo son las amenazas en redes sociales o la exposición de información personal en internet, cuyas víctimas son principalmente mujeres y personas LGBTTTIQ+.

Un debate apresurado

Si bien es fundamental pensar en la implementación de medidas en un marco de responsabilidades, rendición de cuentas y transparencia de las empresas de internet, con el objetivo de mitigar los daños a los derechos humanos que resulten de su actuación, el texto propuesto puede acentuar tales daños, al aumentar su poder de regulación privada en las plataformas de redes sociales. Las problemáticas señaladas en el proyecto de ley reflejan una discusión apresurada sobre el combate a la desinformación, desarrollada en el medio de una grave crisis política y de salud.

El proyecto de ley evidencia un desconocimiento de las recomendaciones internacionales en la materia y una falta de madurez en el debate. La normativa propuesta es desproporcionada para los fines que persigue y va en sentido opuesto a la histórica demanda por universalizar el acceso a internet en Brasil, y disminuir las múltiples brechas digitales que agudizan el problema de la desinformación.

Ni el contexto de pandemia ni la persecución de la desinformación justifican la vulneración de los compromisos asumidos por Brasil con la protección de derechos humanos.

Junto a más de 40 organizaciones internacionales exigimos que el Congreso brasileño rechace la llamada “Ley de Fake News” y convoque un diálogo amplio para discutir cómo responder a los desafíos de la desinformación en línea, acorde a los compromisos del Estado brasileño con el respeto a los derechos humanos.

Algunos consejos de seguridad y privacidad en línea

En el ámbito de la seguridad de la información, se han estudiado las distintas formas de manipular a las personas en situaciones y contextos específicos para obtener acceso a su información privada o inducirles a realizar una acción deseada. 

La ingeniería social explora un conjunto de técnicas basadas en características específicas de los seres humanos, tales como: reciprocidad, consistencia, evidencia, autoridad, empatía, escasez. Fuera del mundo de Internet, algunos ejemplos conocidos de ingeniería social son secuestros de teléfonos falsos, pero puedes ver muchos más ejemplos aquí.

En el contexto político y virtual, algunas técnicas conocidas son:

  • Infiltración
  • Ronda virtual (OSINT)
  • SIM swap
  • Doxxing
  • Phishing

A menudo, estas técnicas se combinan entre sí para garantizar la efectividad de la acción que la persona, aquí llamada «atacante», busca realizar.

Un ejemplo reciente del uso de la ingeniería social es el caso de Balta Nunes, en Brasil. Un oficial del ejército que se infiltró en grupos de activistas en 2016 y utilizó la ronda virtual y una infiltración para localizar y seducir a los activistas a fin de recopilar información para interferir en sus planes. El oficial fue descubierto cuando dirigió a un grupo de activistas a la policía -en una manifestación contra el ex-presidente Michel Temer- y todos, excepto él, fueron arrestados.

La ingeniería social también es utilizada por las empresas, tanto para espionaje como para manipular personas, datos o interferir en la toma de decisiones públicas, como lo ilustra este reportaje.

Ronda virtual

La Ronda Virtual, en seguridad de la información, es cuando una o más personas rastrean todas las pistas que dejas en línea, una forma de cacería virtual. Esta técnica es ampliamente utilizada en la vigilancia por parte de la policía -en este ámbito se le llama OSINT (inteligencia de fuente abierta)- y fue con ella que se iniciaron muchas investigaciones en Brasil contra activistas: verificar los gustos de las páginas de Facebook, confirmar invitaciones a eventos en línea para ir a manifestaciones, y publicaciones públicas. 

Cómo proteger tu información: haz que tus cuentas de redes sociales sean privadas, agrega únicamente a personas que conozcas, evita confirmar tu presencia en los eventos en línea (opte por la opción «guardar») y desactiva el etiquetado en fotos de redes sociales. En el caso de figuras públicas que necesitan exposición, es necesario un análisis de riesgo más preciso y específico.

SIM Swap

SIM Swap es la clonación o el robo del chip de tu teléfono celular, para tener acceso a y / o robar tu información personal. Fue ampliamente utilizada en el período electoral de Brasil en 2018 contra activistas feministas de #EleNão. No es necesariamente el robo de tu teléfono celular o tu chip físico, sino extraer tus datos personales junto con los del operador telefónico de tu dispositivo.

A menudo, las personas dejan tus números de teléfono disponibles en sus redes sociales, o son víctimas de doxxing y se filtran estos datos. Una vez que esos datos han sido expuestos, un atacante puede usarlos para suplantar la identidad de su víctima frente a un operador telefónico. Como las cuentas de sitios web o aplicaciones a menudo están vinculadas a tu número de teléfono celular, un atacante podría obtener acceso a tus cuentas e incluso suplantar tu identidad en aplicaciones de mensajería, como WhatsApp.

Cómo proteger tu chip SIM/teléfono celular: deja tu número de teléfono privado y habilita la «autenticación de dos pasos» (2FA, por sus siglas en inglés) que sirve para verificar tu identidad mediante una aplicación o contraseña/pin. Puedes usarla en las aplicaciones que desees proteger (como WhatsApp, Signal, redes sociales, etc.), así -si eres víctima de este tipo de ataques- cuando un atacante intente suplantar tu identidad y acceder a tu información se encontrará con una barrera que le impedirá acceder a tu datos, mensajes, etc.

Recuerda que es importante crear una contraseña única (no utilizada en otros servicios), protegerla y cambiarla con frecuencia.

Doxxing

Doxxing es una técnica de recopilación de datos privados y/o públicos para intimidar a una persona o grupo de personas. Es extremadamente común en la disputa de narrativas, y puede conducir a la violencia de alto riesgo para las partes involucradas.

Si quieres aprender más al respecto, puedes consultar la guía de prevención y reducción de daños escrita por Gus aquí: https://gus.computer/blog/2020/06/04/doxxing/

Phishing

El phishing es una técnica antigua del mundo web, es la práctica de crear páginas o correos electrónicos similares a sitios web oficiales o redes sociales con el objetivo de robar datos de una persona específica o de varias personas al azar. El phishing se usa ampliamente para el robo de cuentas bancarias, cuentas de redes sociales y correos electrónicos.

¿Cómo evitarlo? No hagas click en los enlaces enviados por extraños, siempre verifica la dirección del sitio web al que está accediendo, nunca des tu contraseña a terceros y verifica -con la institución oficial- la información que te soliciten a través de llamadas, mensajes o correos; especialmente si se trata de un banco. Cuando accedas al sitio web de una organización, empresa o institución, verifica que tu conexión esté encriptada con un certificado válido. Es decir: usando https:// antes de la dirección, asegurándote de que el candado -que aparece a un lado de la dirección url- esté cerrado y comprobando que la dirección visitada corresponda con el sitio web de la organización, institución o empresa.







Este artículo es una traducción del original publicado por la autora en: https://medium.com/@narriral/pequenas-dicas-sobre-vigil%C3%A2ncia-e-seguran%C3%A7a-online-268c0f653499

Otros datos

Hoy más que nunca sabemos que los datos son una herramienta poderosa. Permiten visibilizar las dimensiones de los problemas sociales, transparentar las gestiones institucionales y medir el impacto de las acciones ciudadanas. A nosotras, el acceso a datos claros y confiables nos permite tomar decisiones más conscientes e informadas. Pero los datos son también, hoy más que antes, un objeto de valor, la moneda de cambio de los negocios que durante la pandemia se han vuelto más centrales y necesarios.

Hace pocos días, la organización Ciudadanía Inteligente publicó el informe “¿Qué tanta información están entregando los gobiernos latinoamericanos sobre COVID-19?”. Colombia aparece en el primer lugar y México en el segundo, lo cual significó que algunos medios reconocieran la buena actuación gubernamental. Pero al mismo tiempo generó polémica, pues el informe se limita a evaluar la cantidad de datos disponibles, pero no hace mención a la relación entre cantidad de datos y cantidad de pruebas realizadas, por ejemplo, lo cual supone una brecha que redunda en la percepción ciudadana sobre las dimensiones del riesgo.

Y es que la manera como se producen los datos es otro problema más complejo. A comienzos de mayo, el presidente mexicano Andrés Manuel López Obrador, declaró que durante el confinamiento no necesariamente aumenta la violencia intrafamiliar, ya que “tenemos una cultura de mucha fraternidad en la familia”, y declaró luego que “el 90 %» de las llamadas sobre maltrato son «falsas»”. Frente a estas y otras declaraciones oficiales se creó la campaña #NosotrasTenemosOtrosDatos, para exigir respuestas contundentes de parte del gobierno, en la prevención y actuación efectiva contra la violencia hacia las mujeres, los niños y las niñas.

Durante la cuarentena, más de 347 mujeres han sido asesinadas en México, los ingresos de mujeres a refugios han aumentado en un 50% y 8 de cada 10 mujeres no han denunciado la violencia que enfrentan. Y si bien durante el pasado mes de abril en la Ciudad de México las investigaciones penales por violencia familiar bajaron un 20% respecto del año anterior, comparando en los mismos periodos, las llamadas a la Línea Mujer por violencia familiar aumentaron un 97%.

Aunque existan iniciativas gubernamentales para responder al aumento de la violencia contra las mujeres, es muy pobre el balance sobre su efectividad e impacto. En Chile, durante el mes de abril, las denuncias por violencia intrafamiliar se redujeron en casi todas las regiones, con respecto al mismo periodo del año anterior. Frente a este hecho, se implementaron líneas de atención telefónica y vía chat. Y, reconociendo las limitaciones de acceso que pueden tener las mujeres para denunciar, también se implementó una medida de ayuda que consiste en utilizar una clave en las farmacias -pedir una “mascarilla 19”- para levantar una alerta con las autoridades.

A pesar de la enorme promoción que se hizo de esta iniciativa, que también ha sido implementada en otros países, de acuerdo a lo que han denunciado algunas organizaciones, en la práctica muy pocas farmacias tienen información sobre dicho mecanismo de alerta. Esta situación no solo desincentiva la denuncia sino que puede significar mayor riesgo para cada mujer que intenta levantar una alerta y recibe una respuesta negativa de parte de quien la está atendiendo.

En Bogotá, Colombia, desde que comenzó la cuarentena obligatoria nacional el pasado 24 de marzo, también se implementó un sistema de alerta en farmacias, mercados y estaciones de gasolina, aunque hasta ahora no hay un balance oficial de la medida. Además se creó una ruta de atención a mujeres víctimas de violencias y en riesgo de feminicidio durante la emergencia del Covid19 con distintos mecanismos de denuncia a nivel local y distrital, que incluye la Línea Púrpura, de atención telefónica gratuita y a través de WhatsApp, las 24 horas.

Aunque existe desde 2015 como una línea para que las mujeres sean escuchadas por mujeres, desde noviembre de 2019 el sistema de la Línea Púrpura permite llevar un “registro de las llamadas atendidas, perdidas o no respondidas, abriéndose la opción de devolverlas” y además es posible grabar “las llamadas, lo que posibilita una respuesta integral ante las autoridades judiciales y administrativas en caso de requerir las conversaciones como elementos probatorios”. Si bien esta parece una buena noticia, resulta frustrante la ausencia de datos disponibles sobre cómo ha sido la respuesta institucional hasta el día de hoy, y específicamente durante el la cuarentena obligatoria.

En respuesta a la poca transparencia, y a la efectiva dificultad que enfrenta una mujer para acceder a apoyo estatal en casos de violencia, en Bogotá se creó la Red Solidaria de Mujeres, una línea de atención durante la emergencia ocasionada por el COVID-19, que funciona a través de WhatAapp. De acuerdo con los datos publicados por ellas mismas en su sitio web, hasta el día de hoy han dado apoyo jurídico, asistencia psicosocial, asesoría de rutas y auxilio material a 137 mujeres en 15 de las 20 localidades del Distrito Capital. 

Pero más allá de los datos concretos, tanto movimientos como instituciones a nivel mundial han alertado sobre cómo las medidas de confinamiento propician un aumento en la violencia contra las mujeres, un problema que no es nuevo y no es menor. Solo en México, tanto las movilizaciones feministas de los últimos años como la emergencia de respuestas solidarias durante la pandemia son una muestra clara de las dimensiones del problema y la urgencia con que debe ser atendido y erradicado. La experiencia es similar en países como Chile o Colombia, donde quizás las últimas movilizaciones masivas que presenciamos antes que empezaran las medidas de confinamiento fueron precisamente las del 8 de marzo feminista.

Ahora que hablamos de datos y cómo nos permiten visibilizar un problema al cuantificarlo, vale decir que la cuantificación está en los detalles, y cuando hablamos de violencia, los detalles pueden también ponernos en riesgo. Por eso es necesario preguntarse quién, cómo y dónde se colectan esos datos, y para qué exactamente. Para el movimiento Data for Black Lives, frente a los sistemas de opresión impuestos “los datos son protesta, los datos son responsabilidad y los datos son acción colectiva”. Por eso han hecho un minucioso monitoreo de los datos oficiales disponibles, complementado con las voces de personas negras expertas en epidemiología, política, activismo y organización social.

Cuando hablamos de mujeres nos referimos a muy diversos tipos de mujeres y necesitamos encontrar maneras para que los datos no nos homogenicen ni nos invisibilicen. Ningún dato es neutral, como no son neutrales las narrativas ni las acciones de quienes capturan, procesan y publican datos. Durante la cuarentena en Bogotá se implementó una medida de Pico y Género que, de acuerdo con la administración distrital, resultó ser muy positiva para la prevención del contagio. Pero los datos parecen poco confiables y en últimas, como han reclamado muchas organizaciones, significó un aumento en la -tradicional- violencia institucional contra personas trans y no binarias en las ciudad.

Ante la enorme cantidad de datos que se producen, agregan y visualizan cada día, en estos tiempos de COVID-19 y big data, hagamos que los datos trabajen para la erradicación de todas las formas de violencia y opresión, porque no es lo mismo cruzar variables que mirar los problemas de manera interseccional.

La otra crisis: cómo el COVID-19 se está utilizando en Brasil para despojar a las poblaciones más vulnerables de sus derechos

Brasil es actualmente el sexto país del mundo en número de víctimas del COVID-19, con más de 13 mil muertes hasta el momento.La manera como el presidente brasileño ha respondido al avance del coronavirus en el país ha llamado atención internacional. Como si no bastara con la sostenida negación de la gravedad de la enfermedad y la falta de compasión con las más de 10 mil víctimas y sus familias, Jair Bolsonaro insiste en hacer apariciones públicas contrariando las recomendaciones de aislamiento social de las expertas en salud y los gobiernos locales. Al avance del COVID-19 se suma una crisis política que incluye la dimisión de dos ministros – incluso el ministro de salud responsable por las primeras respuestas a la pandemia – y una denuncia de intentar manipular la policía federal en beneficio personal.

Menos transparencia, más intrusión

A pesar de las declaraciones del presidente en contra de la cuarentena y a favor de dudosas soluciones al COVID-19, en su ya tradicional estrategia de polarización política, el Gobierno Federal no ha perdido la oportunidad de usar la emergencia de salud para atentar contra los derechos conquistados. El 23 de marzo, por medio de una medida provisional, ha intentado restringir los mecanismos existentes de transparencia y acceso a la información al suspender por tiempo indeterminado los plazos máximos de respuesta a solicitudes a instituciones públicas. La acción fue considerada desproporcionada e inconstitucional por organizaciones nacionales e internacionales de la sociedad civil y terminó anulada por la Suprema Corte Federal. 

Mientras intenta ocultar sus acciones del ojo público y se muestra incapaz de ofrecer informaciones oficiales de calidad sobre el avance de la crisis, el gobierno busca obtener más poderes sobre los datos personales de la ciudadanía. Nuevamente aprovechando la emergencia de salud, por medio de otra acción unilateral, ha retrasado la entrada en vigencia de la primera ley de protección de datos del país para mayo de 2021 – casi un año después de lo inicialmente previsto. 

La acción dialoga con el intento del gobierno de apoderarse de información privada por medio de una medida provisional del 17 abril que autorizaba el acceso de la autoridad estadística nacional a  datos telefónicos de millones de personas. Según el texto, las empresas telefónicas deberían entregar el nombre, número de teléfono y dirección de todos sus clientes para facilitar la realización de encuestas en el período de emergencia de salud pública. La reacción fue inmediata, con la presentación de cinco acciones de inconstitucionalidad ante la Suprema Corte, que rápidamente decidió por suspender sus efectos. La mayoría de los ministros entendió que la transferencia de los datos de empresas telefónicas viola el derecho a la intimidad, vida privada y secreto de datos previsto en la Constitución.

Aunque algunas medidas hayan sido acertadamente anuladas por el Poder Judicial, estas  se contraponen directamente a las recomendaciones de expertas y expertos en derechos humanos de las Naciones Unidas, con respecto a que “cualquier respuesta de emergencia al coronavirus debe ser proporcionada, necesaria y no discriminatoria”. 

Sin límites para vigilar

La ausencia de una respuesta coordinada de parte de la autoridad federal ha dejado la responsabilidad de desarrollar estrategias para contener el avance del COVID-19  a los estados de la unión. A pesar de algunas variaciones en la rigidez de las medidas de aislamiento social, las soluciones adoptadas combinan restricciones de movilidad con monitoreo y control tecnológico. 

Cuando se trata del uso de datos de conexión a la red celular, la municipalidad de Rio de Janeiro fue pionera en establecer un acuerdo con una operadora para identificar flujos de movimiento. La estrategia se complementa con el uso de drones para emitir alertas en caso de aglomeraciones en la ciudad, que cuenta con un aparato de vigilancia heredado de los megaeventos deportivos realizados en Brasil. El estado de São Paulo también estableció una alianza que involucra no a una, sino a todas las empresas de telefonía celular operando nacionalmente. Siguiendo su ejemplo, hasta fines de abril 15 estados y dos ciudades habían buscado soluciones similares.

Otras localidades han obtenido informes de movilidad basados en datos de geolocalización ofrecidos por una empresa especializada en su recolección y uso para fines de vigilancia y publicidad. La empresa, una start-up nacional llamada In Loco, dispone de una base de datos de alrededor de 60 millones de dispositivos monitoreados por medio de códigos incorporados en aplicaciones de celular. Además de calcular índices de aislamiento social, la solución permite alertar personas individualmente en caso de que se identifique un nivel de movimiento superior a la media esperada. 

Llama la atención la adopción de estrategias que pueden facilitar acciones discriminatorias. En Florianópolis, por ejemplo, el sistema implementado permite notificar por SMS a las habitantes de una región si una persona en las cercanías de su casa fue diagnosticada con COVID-19. Este tipo de alerta puede incentivar intentos por ubicar el caso o levantar sospechas que lleven a actos de exclusión. La herramienta fue desarrollada por un grupo de empresas locales de tecnología y usa datos de la municipalidad para identificar a quien destinar los mensajes. La solución permite suponer que las empresas tienen acceso a informaciones sensibles, como la identificación y dirección de personas infectadas, lo que también es preocupante debido al desconocimiento de potenciales usos futuros de los datos y sus consecuencias.

Un grupo adicional de aplicaciones ha sido lanzado por estados y municipalidades para brindar información a la población y permitir el autodiagnóstico. Este tipo de solución también busca apoyar al Estado a identificar y hacer una estimación de los nuevos casos en un contexto de escasez de tests. Un estudio desarrollado por InternetLab muestra preocupantes niveles de intrusión de algunas aplicaciones de este tipo y sus deficiencias en términos de consentimiento, necesidad, transparencia y seguridad.

Una crisis más allá de la salud

La falta de transparencia sobre los términos de las alianzas público-privadas detrás de gran de parte de las iniciativas de monitoreo mencionadas tiene como consecuencia la ausencia de garantías expresas de que los datos no serán utilizados para otros fines o de que medidas suficientes de seguridad serán implementadas. En el caso de São Paulo, incluso hay sospechas de que el acceso a la información de datos de celular por parte del gobierno se inició antes de la firma del acuerdo con las empresas. 

Sumada a la postergación de la ley de protección de datos personales y la ausencia de una autoridad nacional de protección de datos hasta la fecha, se abre el margen de posibilidad de abusos por agentes públicos y privados, dejando la población más vulnerable aún más expuesta a la discriminación durante y después de la pandemia. Es decir, lejos de ser una crisis que golpea a todos por igual, la crisis de gobernanza y de protección de derechos que ha producido la acción conjunta de estados y empresas ha asegurado que los mayores perjudicados sean las personas más vulnerables del país.

Como hemos señalado anteriormente, “necesidad, adecuación y proporcionalidad en la respuesta tecnológica es lo que separa una crisis de salud global de una renuncia de los derechos fundamentales, tejido básico de sociedades como las nuestras, que se han jugado su sangre e historia por escapar del autoritarismo y garantizar una vida digna para todos”. La ausencia de esos criterios también puede ser, y es, literalmente fatal. Las víctimas no se distribuirán uniformemente en la sociedad brasileña. Ellas ya tienen género, color y lugar de origen