Temática: Seguridad digital

¿Podemos reducir las barreras de participación?

En el Grupo de Trabajo de Ingeniería de Internet (o IETF por sus siglas en inglés) actualmente se discuten asuntos tan relevantes para los derechos humanos como la privacidad en el sistema de nombres de dominio (DNS) o la asignación aleatoria y cambiante de direcciones MAC (Media Access Control) de los dispositivos conectados, para proteger la identidad de las personas usuarias, entre otros.

Hace unos años empezamos a conocer y participar de este espacio, contribuyendo primero en el desarrollo de un documento sobre libertad de asociación en internet, y luego en otro sobre feminismo y protocolos. Y como señalábamos desde un comienzo, a pesar de ser una organización abierta, que funciona de manera horizontal y colaborativa, donde la participación es libre y se hace a título personal, y donde se busca alcanzar consensos manteniendo un ambiente de trabajo respetuoso e inclusivo, todavía encontramos muchas dificultades para compartir nuestras preocupaciones y necesidades, e incluso para vincularnos a los debates y procesos.

Sin embargo insistimos en participar, pues consideramos necesario fortalecer la gobernanza de la infraestructura, contribuyendo en espacios donde se toman decisiones técnicas. Y es que en la IETF se están buscando soluciones para problemas técnicos inmediatos, pero también se busca analizar cómo evolucionan los protocolos técnicos, para pensar las posibilidades del futuro de internet. Las discusiones allí son técnicas pero también son profundamente políticas; por ejemplo, cómo el fortalecimiento de la privacidad en ciertas tecnologías puede redundar en mayor centralización del mercado o cómo sistemas más complejos de cifrado pueden debilitar el anonimato de las personas usuarias.

Durante este tiempo nos hemos interesado en conocer y entender las distintas barreras de participación en este espacio, con el fin de buscar estrategias para reducirlas. Existe un borrador sobre diversidad e inclusión que ofrece una lista, pero aquí intentaremos señalar algunas. La primera y más evidente es el costo de participación, pues la IETF acostumbra reunirse tres veces al año, en Norteamérica, Europa y Asia respectivamente, y porque la inscripción al evento tiene un costo que puede ser alto incluso en dichas regiones. Aunque desde antes existía la posibilidad de participar de manera remota y sin costo, durante la pandemia por COVID-19 se mejoraron enormemente las posibilidades técnicas de participación remota, y se han venido estableciendo reglas para garantizar que las reuniones totalmente en línea sean no solo funcionales sino accesibles y satisfactorias.

Pero aún participando remotamente y sin costo, resulta muy complicado vincularse a las discusiones que tienen lugar en las listas de correo y en los distintos grupos de trabajo. Para quienes trabajamos en la intersección entre derechos humanos y tecnología, por ejemplo, puede ser útil conocer “Cómo funciona realmente internet” y que si bien ante cualquier conflicto IETF busca “favorecer a las personas usuarias finales”, en términos generales “los usuarios” de las tecnologías desarrolladas aquí son los operadores de redes y las empresas proveedoras de internet. También es útil conocer el “Tao. Guía para principiantes”, un documento explicativo sobre la estructura y procesos dentro de IETF que está traducido en siete lenguas, incluyendo el español

La lengua es una barrera que se extiende a todo el campo de las tecnologías de internet, pues las computadoras y la industria funcionan principalmente en inglés. Y específicamente en IETF, cualquier persona que quiera participar activamente de las discusiones abiertas debe no solo entender sino desenvolverse cómodamente en inglés. Por suerte hay personas dentro de la comunidad técnica en América Latina interesadas en traducir y contextualizar algunos asuntos relevantes, por ejemplo “Cómo leer un RFC” o el “Estado actual de los protocolos de seguridad de la IoT”. Pero falta mucho por analizar, discutir y contribuir desde nuestra región.

Hace un tiempo estuvimos en el programa IT-Women de Lacnic conversando al respecto y señalamos que, gracias a los datos existentes, es posible establecer que la participación desde regiones como América Latina o África, así como la participación general de mujeres, es muy marginal. Esto se evidencia en el reporte de la coordinación de IETF presentado en su más reciente plenaria, donde mostró que la participación sigue siendo predominantemente de Estados Unidos (38,9%), seguida de China (9,7%), Alemania (7,2%), Reino Unido (4,8%), Japón (3,9%), Canadá (3,6%), India (3,4%) y Francia (2,9%), y no se conocen datos desagregados por género, por ejemplo.

Estos datos no contradicen, sino que confirman, la brecha estructural de participación en entornos tecnológicos. Sin embargo, consideramos importante preguntarnos cuáles son los datos disponibles para construir estas estadísticas, ¿son suficientes? Frente a esta pregunta, desde hace tiempo hay una comunidad involucrada en los debates sobre protocolos y derechos humanos, trabajando en Big-Bang, una herramienta para el análisis de comunidades que desarrollan estándares y participan de la gobernanza de internet, a través del análisis estadístico, discursivo y de redes en las listas de correo. Este tipo de herramientas pueden servir para entender mejor quiénes y cómo están participando de las discusiones en IETF.

Pero, ¿de qué depende que esta situación cambie? Sabemos que en los entornos de diseño, producción y consumo de tecnologías digitales se manifiestan y re actualizan los problemas sociales estructurales, y que no es suficiente con transformar las tecnologías para transformar la sociedad. Sin embargo, también consideramos que traer otros casos de uso a la discusión, así como otras maneras de discutir y otros intereses (más allá de la estabilidad del mercado o la seguridad nacional, por ejemplo), es necesario para encaminarnos hacia una internet centrada en las personas y en nuestros derechos individuales y colectivos.

Incluso en América Latina, hace falta mucha reflexión sobre derechos humanos dentro las comunidades técnicas y entre las empresas operadoras y proveedoras de internet, como comentamos hace poco en el marco del Workshop PreIETF organizado por la Sociedad Brasilera de Computación. Creemos, sin embargo, que hay varios espacios donde se puede conocer e incidir en estos temas: el Public Interest Technology Group publica mensualmente un boletín (en inglés) con temas relevantes en materia de derechos humanos y protocolos; Lacnic cuenta con un programa cíclico de mentoreo IT Women (cuya inscripción cierra hoy 12 de novimebre); y está la lista de interés IETF-Lac donde es posible conversar sobre diversos temas de IETF, tanto en español como respecto a sus implicaciones en América Latina. Además, dentro de IETF está el Education, Mentoring and Outreach Directorate, que busca promover la diversidad e inclusión en la organización, y también está Systers, una lista de interés para mujeres que participan de IETF.

Desde Derechos Digitales seguiremos publicando al respecto, y estamos abiertas a contribuir con otras personas y organizaciones en la región interesadas en vincularse a esta discusión.

El Caso Ola Bini en primera persona

El 11 de abril de 2019, algunas horas después de que el presidente de Ecuador, Lenin Moreno, retirara el asilo político a Julian Assange, Ola Bini fue detenido cuando se disponía a iniciar un viaje a Japón planificado con meses de anticipación. María Paula Romo, entonces Ministra de Gobierno,  dijo en rueda de prensa: “Desde hace varios años vive en Ecuador uno de los miembros claves de Wikileaks y una persona cercana a Assange. Tenemos evidencia que ha estado colaborando con los intentos de desestabilización del gobierno”. Esa persona era Ola Bini.

Ese fue el inicio de una persecución que le costó a Ola setenta días en la carcel y que no ha terminado. Una vez fuera de prisión no recuperó su libertad: debe presentarse todos los viernes ante fiscalía, tiene prohibición de salir del país y es vigilado constantemente. Además, ha sido víctima de acoso mediático, donde se lo dibujó como un villano capaz de atacar cualquier sistema informático.

Una reciente investigación del portal digital La Posta, hace presumir que Ola Bini fue detenido porque la ministra Romo buscaba a un culpable para la filtración de INAPapers, que incluía correos electrónicos, chats, fotografías y otra información obtenida del teléfono del (ex) presidente Moreno. Según la investigación, se sabía que Ola no era la persona detrás de esta filtración, pero la ministra necesitaba un nombre que entregar al presidente.

Conozco a Ola desde 2013 y tuve el gusto de trabajar con él durante dos años en el Centro de Autonomía Digital – CAD. Este es el relato de su caso desde la perspectiva de alguien que estuvo cerca.

Antes de la Persecución

Ola Bini se mudó a Ecuador en 2013, cuando trabajaba en una empresa que abrió oficinas en Quito. Tuve el gusto de conocerlo ya que a los dos nos preocupaba la privacidad en internet y considerábamos que el software libre con criptografía es una herramienta esencial para las comunicaciones seguras.

Desde la empresa, el equipo liderado por Ola ya había realizado importantes trabajos en relación al desarrollo de herramientas libres para la protección de la privacidad. El cliente de chat seguro CoyIM es un ejemplo, pero también había colaborado con proyectos importantes como Tor, Tails, Enigmail y Let’s Encrypt, entre otros.

En 2017 se fundó el CAD, organización sin fines de lucro con oficinas en Sao Paulo, Brasil, enfocado en el desarrollo de herramientas libres para la protección de la privacidad. Fue durante 2019 cuando las oficinas se trasladan Quito y tuve el privilegio de ser una de las primeras personas en trabajar allí. En un mundo digitalizado, donde el derecho humano a la privacidad es vulnerado constantemente, tener una organización como el CAD en Ecuador es una oportunidad enorme. La creación de herramientas para la protección de la privacidad es importante, pero la formación de talento humano para la protección de la privacidad desde Ecuador lo es aún más.

El que iba a ser el trabajo de mis sueños pronto se convirtió en una pesadilla: nunca imaginamos que el Estado ecuatoriano nos atacaría de esa manera.

El arresto

El 11 de abril de 2019 revisé Twitter temprano en la mañana y vi que el presidente de Ecuador había publicado un video durante la madrugada, anunciando que Ecuador retiraba el asilo político a Julian Assange y lo entregaba a las autoridades de Londres. Ese día estuvimos pendientes de las noticias. Durante la mañana, el Canciller y la Ministra de Gobierno hablaron de “un miembro clave de Wikileaks” y de dos “hackers rusos” que pronto serían detenidos.

Los hackers rusos nunca aparecieron. En ese momento no sabíamos que Ola había sido detenido, pensábamos que estaba de viaje. De regreso en casa, escuché  a la ministra Romo en la radio, que dijo que el colaborador  de Wikileaks había sido detenido “cuando se disponía a escaparse al Japón”. “¡Ojalá no sea Ola!”, era lo único que pensaba. Por la noche recibí un mensaje de mi papá preguntando si conocía a “un tal Ola Bini”; los medios habían anunciado su detención en un caso relacionado con Julian Assange. En ese momento me entró el miedo, mucho miedo, como nunca antes lo había sentido.

Con esa información, las declaraciones de la Ministra adquirieron para mí un tono mucho más fuerte y :  “no vamos a permitir que Ecuador se convierta en un centro de piratería informática.” Ola Bini había sido detenido por supuestos intentos de desestabilización al gobierno y yo trabajaba con él. “¿Será que me van a investigar? ¿Van a ir a mi casa o a la oficina y nos van a allanar como a Ola?”, pensé, asustado.

Durante dos días casi no dormí y lo único que ingerí fue agua de Guayusa. La detención fue un jueves y desde el CAD se decidió trabajar desde casa, por miedo a que nos allanaran la oficina. No sé si fue buena o mala idea, pero aguantar lo que acontecía en soledad fue difícil. Tuve algunas llamadas vía Signal con colegas del trabajo, amigos y amigas, donde intentábamos entender qué pasaba y calmarnos los unos a los otros.

Esta sensación de miedo y estrés nos acompañó durante varios meses. Cuando sentíamos que las cosas se calmaban, venía un reportaje de prensa con un titular escandaloso que traía el temor de vuelta a nuestras vidas.

La prensa

Mi expectativa era que la prensa investigara, que la verdad saliera a la luz y así poder explicar a la ciudadanía lo que estaba sucediendo. No fue así. La prensa decidió hacer las relaciones públicas del gobierno y estigmatizar a Ola Bini. Dos ejemplos:

En agosto de 2019,  el Portal 4 Pelagatos publicaba:

“Fiscalía pudo ingresar al celular de Ola Bini. Esto pone en evidencia dos hechos: es un hacker que vino al país para trabajar con el gobierno de Correa y, dos, es un mentiroso que contó cuentos chinos a la opinión. 4P les trae la historia en exclusiva”. 

Esa fue una de las veces en las que se me heló la sangre.  “Ahora sí se acabó todo, pero ¿qué es lo que hizo Ola?” —pensé. Cuando leí el artículo, lo único relevante que pude entender fue que habían desbloqueado su teléfono y tenían información respecto al ingreso a los sistemas de la Corporación Nacional de Telecomunicaciones (CNT). Dos días después publicaron una famosa foto de la pantalla de Telnet, considerada por los periodistas como una la prueba irrefutable de que Ola habría ingresado a los sistemas informáticos de CNT. La EFF, organización experta en estos temas, realizó un análisis de la imagen publicada, donde explican claramente que nunca se ingresó al sistema.

La segunda historia sucedió algunos meses después. El 4 de marzo de 2020, el portal Código Vidrio publicó un reportaje titulado “El hacker Müller, cercano a Assange, se reunió en Quito con Ola Bini y capacitó a informáticos ecuatorianos.” Andy es un reconocido informático, experto en seguridad, defensor de derechos humanos y con quién tuve el honor de trabajar durante 2 años administrando la infraestructura del CAD. Éramos responsables del funcionamiento de nuestras herramientas de colaboración, correo electrónico y sitios web.

Además de la persecución de Andy y Ola por trabajar con Assange, me descolocó el hecho de saber que habíamos sido espiados durante la semana de Kickoff del CAD. Antes temíamos haber sido espiados, pero ahora lo sabíamos, lo que por cierto es una sensación muy desagradable. Por algún motivo, este portal tuvo acceso a información de la inteligencia ecuatoriana. De hecho, pude encontrar en el sitio de Código Vidrio una foto donde estoy regresando a la oficina luego del almuerzo. ¿Por qué un portal tenía acceso a estas fotos? ¿Por qué nos estaban espiando?

Para finalizar

En este relato no he hablado de las irregularidades del caso, las audiencias fallidas, los robos a la oficina y otras situaciones desagradables que nos tocó vivir a la gente cercana a Ola; han sido tantas que se podría escribir un libro al respecto. Muchas veces nos enteramos de noticias en las redes sociales, tomamos partido y juzgamos. En esta ocasión, quería compartir un testimonio desde el lado humano de esta persecución y como cada situación similar tiene un impacto en muchas personas

Si bien soy un actor secundario de esta historia, la vivencia ha sido muy fuerte. No puedo imaginar como es estar en la situación de Ola, cuando desde el Estado y desde la prensa se lo ha hostigado con tanta saña.  

Solo espero que esta pesadilla termine pronto.

#CriptoAgosto: Nuevos ataques al cifrado

Mientras la sociedad civil brasileña celebra por segunda vez el #Criptoagosto, una invitación a defender y promover el uso de las tecnologías de cifrado, parece ser que las figuras del poder hacen un esfuerzo significativo por atacarlo.

¿De dónde nacen todas estas amenazas? Si revisamos noticias, vemos que la pugna ocurre paralelamente ante tribunales, en la discusión legislativa, en la pretensión de vigilancia y hasta en los planes comerciales globales de un fabricante de teléfonos a sobreprecio.

Hace un año comentábamos que se acercaba el fin de dos importantísimas causas judiciales críticas para la supervivencia de comunicaciones cifradas de punto a punto, pese a los discursos gubernamentales que lo asocian a la actividad criminal o exigen herramientas para desactivarlo. Existen todavía esfuerzos legislativos en Brasil, a nivel federal, que reflejan ese discurso a favor de la seguridad nacional o del orden público, a costa de la seguridad de las comunicaciones.

Al mismo tiempo, se mantenía una presión importante por desactivar las peores provisiones del proyecto de «Ley de fake news», que exigían la trazabilidad de las fuentes de los mensajes vitalizados en mensajería privada, aun tratándose de comunicaciones cifradas. Esta última amenaza no ha desaparecido: el artículo 10 de la propuesta aún significaría la exigencia de que los proveedores de aplicaciones de mensajería mantengan registros de «reenvíos masivos» de mensajes por tres meses, con el fin de trazar el origen de posibles fuentes de desinformación en redes de mensajes cifrados. Registros que incluirían no solo datos del mensaje, sino de quienes lo han reenviado con fecha y hora y número de receptoras.

Aunque el proyecto mantiene resguardos a favor del contenido de los mensajes y restricciones al acceso a los registros, sigue tratándose de un arma de vigilancia masiva en manos privadas: implica mantener un registro de los reenvíos al menos por 15 días en caso de que puedan convertirse en «reenvíos masivos» y, si lo son, cada mensaje registrado estará vinculado a cada usuaria que lo haya enviado o recibido. Con ese nivel de acceso a la información sobre la circulación del mensaje, el cifrado mismo se vuelve inútil.

Adicionalmente, encontramos el avance del Código de Procedimiento Penal, también objeto de atención de la sociedad civil para asegurar una mejor protección de los derechos fundamentales en la persecución criminal. La amenaza al cifrado se produjo mediante propuestas para incorporar mecanismos de intercepción de dispositivos y la explotación de vulnerabilidades, como medios para generar evidencia, lo que generó inmediato rechazo: la reforma amenazaba así con requerir la creación de puertas traseras y con legalizar la rotura del cifrado.

Aun cuando todo lo anterior estuviera restringido al debate jurídico y técnico, los intentos reales por comprometer la seguridad de los equipos también son parte de la historia reciente: hace algunos años el Citizen Lab identificó a Brasil como posible cliente de NSO Group; ahora un reporte señala que durante 2021 la empresa israelí participó de un proceso de licitación del Ministerio de Justicia y Seguridad Pública para la adquisición de Pegasus, para luego retirarse cuando se reportó que el hijo del presidente intervino en la negociación con la aparente intención de crear un aparato de inteligencia (y de vigilancia) paralelo a la institucionalidad de inteligencia actual.

Todo eso ocurre en momentos en que la búsqueda de alternativas —es decir, puertas traseras—para el acceso a comunicaciones y datos cifrados es defendida por las propias compañías fabricantes de equipos, con el objetivo loable de prevenir la circulación de material audiovisual de abuso sexual infantil. Pero las puertas traseras no sirven: comprometen la privacidad y la seguridad de todas las personas sin hacerse cargo del abuso real que ocurre más allá de pantallas y nubes de almacenamiento. Esta es la clase de medidas que abre aún más el apetito de los Estados por conocer el contenido de las comunicaciones de las personas, probablemente bajo los mismos discursos falaces sobre seguridad que se usan hasta para las peores conductas de vigilancia.

Con un panorama global tan complejo y tantas discusiones en curso dentro de Brasil, se hace más necesario que nunca que en los niveles local, regional y global exista mayor coordinación, no solamente de sociedad civil, sino de todas las partes interesadas en la promoción y la defensa del cifrado, la seguridad y la privacidad. Que el #CriptoAgosto brasileño sirva como motivación para avanzar en ello.

El padrón del mal: irregularidades, inconstitucionalidad y vigilancia estatal de los datos telefónicos

Cómo en las películas de terror, el pasado 18 de mayo revivió de forma inesperada y con urgencia inmediata decretada por el presidente un proyecto de ley que dormía en el Congreso desde su nacimiento, en agosto de 2018.

Se trata del Boletín n° 12.042-15 que modifica la ley N° 18.168, General de Telecomunicaciones, en materia de individualización y registro de datos de los usuarios de servicios de telefonía en la modalidad de prepago. La idea del proyecto es la creación de un padrón de usuarios para combatir la delincuencia, imitando un método que ha fracasado a nivel mundial y que en algunos casos incluso ha empeorado la situación: en México el primer padrón tuvo que ser eliminado en 2011, después de la vulneración y venta en el mercado negro de la base de datos, lo que vino acompañado del aumento de los delitos de extorsión y de secuestro (+40% y +8% respectivamente. Para más información sobre el nuevo padrón en México, revisar aquí).

Una tramitación acelerada y desequilibrada

Tan pronto resucitó, el proyecto se puso en tabla para su discusión parlamentaria. Una semana después la Comisión de obras públicas de la Cámara de Diputados estaba sesionando para su votación, aunque finalmente se haya acordado postergarla con el objeto de escuchar previamente algunas exposiciones.

En sesión del 15 de junio expuso la Policía de Investigaciones, el Ministerio Público y la Subsecretaría de Telecomunicaciones, y se acordó gestionar la postergación de la Urgencia de discusión inmediata para escuchar también a la Subsecretaría de Prevención del Delito y al OS9 de Carabineros de Chile.

Hasta aquí, ningún representante de la academia o de la sociedad civil había sido invitada a participar de la discusión. Y como en pedir no hay engaño, los partidarios del proyecto aprovecharon la oportunidad para hacer particulares requerimientos.

En su primera exposición ante la Comisión, el Jefe Nacional de Delitos Económicos y Medio Ambiente hizo tres requerimientos, para su incorporación al proyecto de ley en discusión:

  • Uso de un sistema de autentificación biométrico en línea, proponiendo para ello el uso de las bases de datos del Registro Civil.
  • Un padrón de celulares, mediante el registro de su número IMEI (International Mobile Equipment Identity).
  • Reducir el tiempo dispuesto en el proyecto para su entrada en vigencia, de 2 años a 6 meses.

En cuanto a las dificultades económicas asociadas a propuestas de este tipo, señaló que ello se resolvía mediante el traspaso de sus costos y en cuanto al problema que se suscitaría para la población migrante que no cuenta con documentos de identificación, valoró que ello obligaría a los inmigrantes a acreditar su situación migratoria. De los problemas de proporcionalidad e inconstitucionalidad de este tipo de padrones y tecnologías de vigilancia, ni una sola palabra.

Un acto de fe

El 29 de junio se llevó a cabo una nueva sesión, la que por fin contó con la participación de una voz crítica. Daniel Álvarez Valenzuela, académico de la Facultad de Derecho de la Universidad de Chile, fue el encargado de mostrar la otra cara del proyecto.

El académico e investigador expuso sobre los problemas de ciberseguridad, proporcionalidad e inconstitucionalidad de la medida y sobre la ausencia de un marco normativo adecuado para asegurar que el pretendido registro termine sirviendo a intereses distintos a los tenidos en vista por el legislador en su proyecto. Además, y en caso de que la Comisión quisiera seguir avanzando con el proyecto a pesar de estas advertencias, planteó la necesidad de incorporar un sistema de responsabilidades y fuertes sanciones que prevengan y castiguen el mal uso de este tipo de medidas.

La reacción de las policías no se hizo esperar: criticaron la desconfianza, desmintieron la necesidad de contar con este tipo de sanciones y llamaron a confiar en las instituciones. Pero en un país donde el ejército espía a periodistas por investigar casos de corrupción y las policías realizan montajes burdos y vigilan sindicatos, organizaciones sociales como la Red Chilena Contra la Violencia hacia la Mujer, e incluso a la Agrupación Nacional de Empleados Públicos (ANEF), lo que piden, más que un acto de confianza, es un acto de fe.

Test de Proporcionalidad

Pero más allá de la confianza que podamos tener o no en nuestras instituciones, el proyecto no cumple con ninguno de los tres criterios del test de proporcionalidad que, conforme estándares internacionales, debiese cumplir cualquier medida susceptible de afectar derechos o garantías fundamentales: idoneidad, necesidad y proporcionalidad.

La medida no es idónea para alcanzar los objetivos propuestos, por cuanto existen otras formas de cometer delitos en el anonimato y la experiencia comparada ha demostrado que iniciativas similares no han logrado disminuir el tipo de delitos que se propone combatir. Tampoco resulta necesaria, según reconoció la misma PDI al señalar, en sesión legislativa del 15 de junio, que existen otros medios para lograr identificar a los delincuentes, pero que la medida en cuestión lo haría “mucho más fácil”. Y en ningún caso resulta proporcional, al implicar el sacrificio del derecho al anonimato de todos los chilenos, con la única finalidad de poder identificar —en el mejor de los casos—a un grupo de personas que representa el 0,05% de la población.

Así, el registro de usuarios de telefonía móvil que se discute en el Congreso tiene serios vicios de constitucionalidad y no cumple con ninguno de los tres criterios del test de proporcionalidad. Por si lo anterior no fuera suficiente, en el último tiempo se han registrado suficientes casos de vigilancia estatal como para comprender el peligro que significa una medida de este tipo en un país cuya infraestructura y normativa no entregan siquiera garantías mínimas para su uso restringido, seguro y adecuado.

En síntesis, existen razones de sobra para sostener que un registro como el propuesto no debiese existir y mucho menos incorporar tecnologías que, lejos de protegernos, entrega al Estado capacidades que menoscaban nuestros derechos.

Vivir internet siendo queer: Autoexpresión, comunidad y problemáticas

En un grupo de Facebook cerrado alguien escribe para consultar por dudas legales. Cuenta que quiere cambiarse el nombre registral y que le gustaría acceder a una mastectomía. Comenta que se siente cómode con pronombres femeninos y masculinos, pero plantea lo siguiente: “¿Algune lo ha hecho siendo no binarie? ¿Cómo ha solucionado el tema con su nombre?”. Les participantes del grupo dan consejos amables.

Este tipo de situaciones se replica en otras redes, es un intercambio que ocurre en algunos barrios de TikTok cuando alguien muestra un binder –prenda de ropa interior usada para comprimir el pecho–, y en los comentarios se leen recomendaciones de cómo usarlos y dónde conseguirlos. A pesar de que internet es un espacio en que la comunidad LGBTQIA+ puede apoyarse para construir confianzas (a veces complejas de emular en el mundo físico), la estructura de los servicios web, es limitada porque no considera una diversidad más allá de lo binario y reproducen problemas de la vida offline. Tanto al llenar formularios de inscripción en las que se consideran género masculino o femenino únicamente, o al intentar editar tu nombre visible, entre otras. 

Antes de reconocerme como una persona queer, sentía miedo de ser aceptada. Primero por mi familia, entre mis amigues, en mi trabajo y de igual modo en internet. ¿He sentido miedo de exponer que me identifico como parte de las disidencias sexuales y de género en redes sociales? Sí. ¿He temido por mi seguridad en la vía pública por expresar mi orientación de género o por manifestar mi sexualidad de forma libre? Sí. Con el paso del tiempo, aprendí a desenvolverme con más confianza, porque existo todo el año (no solo en junio) y estoy orgullosa de amar y ser amada. 

Una vez que se toma conciencia de la interseccionalidad de las problemáticas que aquejan a la comunidad LGBTQIA+, es posible entender que el mundo online no está exento de una mirada heterocispatriacal, donde en términos género prima lo masculino y lo femenino, pero también la heteronorma obviando otras identidades. Lo vemos en las grandes compañías de servicios de internet, que acaparan la mayor cantidad de tráfico, como Facebook, Google y terminan dominando las interfaces y algoritmos de los dispositivos que excluyen otras experiencias.

Entonces, ¿qué podemos exigir a las tecnologías para visibilizar, incluir y proteger las experiencias de la comunidad LGBTQIA+? ¿qué problemáticas, riesgos, amenazas, existen? y ¿qué posibilidades ofrece internet para nuestras vivencias? Estas son algunas reflexiones.

Búsqueda de espacios seguros

Según un estudio de discriminación y violencia hacia personas LGBTQIA+ (2020) de la Dirección de Estudios Sociales (DESUC) para la Subsecretaria de Prevención del Delito de Chile, un 89% de les encuestades dijo haber sufrido algún tipo de discriminación en su vida. Más de un 38% de les encuestades ha sido víctima de algún “delito cibernético, como hostigamiento por redes sociales”, y más de un 22% declaró que este tipo de vulneraciones habría ocurrido en el último año. 

En un intento por averiguar la visión de mis seguidores en Instagram, hice una encuesta a través de historias para conversar acerca de la forma en que las personas queer habitamos internet. Spoiler: la vida online no difiere mucho de la vida offline. 

A pesar de las posibilidades de conectarnos y construir espacios seguros, hay quienes se enfrentan a violencias en el entorno digital, como acoso digital, doxing, la proliferación de discursos transodiantes, descalificaciones por lesbodio o biodio, cuestionamientos y ataques a la visibilidad a diario. En este contexto, es pertinente citar el estudio de la Agrupación Lésbica Rompiendo el Silencio, tras la agresión que sufrió Carolina Torres en Chile en 2019. En el caso de Estados Unidos, esta temática se advierte en el Índice de seguridad en redes sociales de la Alianza de Gays y Lesbianas contra la difamación (GLAAD). Es por eso que es relevante exigir la urgencia de la moderación de contenidos en las plataformas digitales, para combatir ejércitos de trolls, evitar que proliferen discursos odiantes, que se siembre la desinformación, o la viralización de mitos en torno a las disidencias. 

Al momento de configurar las biografías de Twitter, Instagram, aplicaciones de citas o plataformas, incluir o no el emoji de la banderita LGBTQIA+, compartir fotos o usar ciertos hashtags puede involucrar lidiar con ansiedades debido a la exposición. En ocasiones, es una forma de autoexpresión, una reafirmación y, así mismo, una forma de encontrarse, pero también un riesgo que muches no quieren correr. Si bien la visibilidad puede ser una opción, pero no una obligación como pretenden las plataformas web. Es necesario entender el derecho al anonimato como una forma de tener control sobre esa visibilidad. 

Entre los testimonios que recopilé (en su mayoría identidades lésbicas, no binarias  y bisexuales), hubo una lesbiana que dijo que tras googlear “lesbiana”, la llevaron a una psicóloga para que se rehabilitara. Según su relato, encontrar espacios en internet antes de 2008 era complicado, pero logró dar con un foro en el conoció a sus primeras parejas. Otra persona, cuyos pronombres son ella/elle, aseguró que cuando era niña todas las actividades las realizaba en soledad. Escuchaba programas de radios gays a escondidas, antes que existieran los podcasts. “Ahora se pueden hacer redes de una forma muy sencilla y bonita. Es fácil encontrar a alguien que esté pasando por lo que tú, nunca estás sola”, escribió. Alguien bisexual comentó que se siente fuera del closet con amigues, en su entorno laboral, pero que no así con su familia. Aunque cree que en los últimos años gracias a infografías en Instagram, ahora hay más bi-visibilidad.

Otras problemáticas

Cuando hablamos de internet, las brechas de acceso y conectividad son una clara barrera. De acuerdo a cifras de la Alliance for Affordable Internet, a nivel mundial cerca de 4 mil millones de personas no cuentan con conexión. La dificultad para mantenerse conectade en algunas latitudes se suma a bloqueos de internet, a censura y respuestas desde violencias a multas por difusión de contenido LGBTQIA+ .

Así como hablamos de identidad y representación, también vale la pena mencionar otros obstáculos que tienden a la exclusión, relacionados al abordaje de políticas públicas. Así se documenta en “Sistemas de identificación y protección social en Venezuela y Bolivia: Impactos de género y otras formas de discriminación”. Este reporte de Derechos Digitales, plantea cómo los sistemas biométricos afectan de forma directa a mujeres y población LGBTQIA+, familias homoparentales y en mayor medida a personas transgénero. No solo en cuanto a derechos a la identidad, a la privacidad de datos, si no también afecta directamente el acceso a ítems de desarrollo social como el acceso a la alimentación, la salud, la integridad y la dignidad, entre otros. 

No es un secreto que en lo que respecta al uso de tecnologías de reconocimiento facial, las que se vuelven más cada vez más cotidianas, solemos tenerlas a mano, pero también se utilizan a nivel de gobiernos e incluso en aeropuertos. El principal problema es que se construyen en base a sesgos de diseño, que discriminan a la población no hegemónica y entran en conflicto aspectos como género y raza, según reportes de Coding Rights en Latinoamérica. 

En un mundo en que cada vez más la tecnología determina cómo se organiza la sociedad, los sesgos en los sistemas como tecnologías automatizadas, inteligencia artificial, o en base a algoritmos, moldean y disciplinan las identidades a partir de los cuerpos. Esto determina qué corporalidades están permitidas, y cuáles no, dejando fuera a personas trans, o no binarias. Así, la forma de subvertir las estructuras vigentes, es cambiarlo todo, o en palabras de Audre Lorde: “las herramientas del amo nunca desmantelarán la casa del amo”. Desde ahí, la concepción del diseño es la clave para abolir las desigualdades entre grupos excluidos, con el objetivo de co-crear herramientas y prácticas de transformación social, tal como explica Sasha Costanza-Chock en Design Justice.

Ante las diversas problemáticas vigentes, el escenario se vuelve complejo y desesperanzador. Pero a pesar de los obstáculos, decido creer en un futuro más auspicioso, que se construirá únicamente de la mano de una perspectiva feminista interseccional, que busque hackear los parámetros que limitan las posibilidades de ser de las personas. 

Para ello, es vital construir espacios seguros, en el mundo online y en el offline, que nos permitan aprender y encontrarnos. Identificando problemas, documentando violencias, visibilizando nuestras vivencias y liderando conversaciones, a fin de descolonizar el impacto de las estructuras que han sido gestadas desde la mirada del hombre blanco y heterocis. 

La persecución de Ola Bini: ¿el inicio del fin?

Hace casi dos años, cuando no había ni pandemia ni contagios por un nuevo y letal coronavirus, cuando varios países de la región parecían no ver venir protestas masivas en las calles, Ola Bini fue arrestado en Ecuador. Fue puesto en prisión por diez semanas y sus equipos tecnológicos fueron incautados, en busca de evidencia de los delitos que supuestamente justificaban el arresto. Casi dos años después, sin todavía lograr la libertad.

Recapitulando: el activista y desarrollador de origen sueco Ola Bini fue detenido en abril de 2019 en Ecuador, por su supuesta participación en una red de espionaje digital para desestabilizar al gobierno ecuatoriano. El arresto ocurrió muy poco después de la expulsión de Julian Assange de la embajada ecuatoriana en Londres, y después de que la ministra del interior alertara sobre intentos de «desestabilización del gobierno» por «hackers rusos» y gente afiliada a Wikileaks. Ataque del que aún no se conocen más antecedentes más allá de ese mismo anuncio.

Los (entonces) relatores especiales para la libertad de expresión de la ONU y de la CIDH solicitaron información desde el gobierno ecuatoriano, pero la persecución no cesó. Como hemos denunciado junto a otras organizaciones desde 2019, existe una serie de situaciones alarmantes en torno al arresto y la detención de Bini, siendo la más relevante la insistencia en la persecución penal en su contra, a pesar de la notoria falta de justificación suficiente. Es decir, no existen antecedentes suficientes ni para la inicial acusación de ser parte de una red de espionaje digital, ni de otras de “defraudación fiscal” o “tráfico de influencias”, manteniéndose hasta hoy una investigación con características de persecución política.

Una oportunidad de poner fin a las alegaciones surgió en diciembre de 2020, en una audiencia preparatoria al juicio por «acceso no consentido» a un sistema informático, con una única captura de pantalla. Sin embargo, tampoco ahí terminó la persecución. Es más, organizaciones como la Electronic Frontier Foundation y Amnistía Internacional fueron impedidas de participar como observadoras en la audiencia. El esfuerzo de la defensa por demostrar la violación de los derechos de Bini durante la investigación, en una exposición de cuatro horas de su abogado, tampoco fue suficiente en esa ocasión. El proceso fue así validado para continuar y la audiencia fue suspendida otra vez antes de la decisión de comenzar el juicio propiamente tal.

A la espera de que la audiencia se retome, para continuar la preparación hacia un juicio y la evidencia admisible, nuestra preocupación por el caso sigue vigente. Porque no está en juego solamente la situación judicial de una persona, sino la noción misma de debido proceso. Está en juego la confianza en los procesos institucionalizados para determinar con imparcialidad. Y, mirando con cuidado a antecedentes con componentes técnicos complejos, si es que hay sustento para la persecución de una persona, por encima de cualquier presión política. Está en juego la superación de los discursos que asocian la seguridad digital a la sospecha y la criminalidad. Está en juego el ejercicio de los derechos fundamentales en línea, incluidos no solo la privacidad y la libertad de expresión, sino también la investigación de seguridad y la promoción de herramientas de protección de comunicaciones y dispositivos. Seguimos observando el caso, porque queremos que liberen a Ola Bini.

Sobre la (in)violabilidad de las comunicaciones

El derecho a la inviolabilidad de las comunicaciones privadas es un derecho fundamental contemplado en las principales convenciones internacionales sobre derechos humanos. En Latinoamérica, la mayoría de sus países reconoce a nivel constitucional la inviolabilidad de las comunicaciones como un derecho fundamental y que, por tanto, solo puede ser suspendido en casos excepcionales y bajo las condiciones establecidas en una ley. O, al menos, así debería ser.

Los estudios, sin embargo, muestran que el uso de medidas investigativas intrusivas de la privacidad de las personas, entre ellas, la interceptación de las comunicaciones, es una práctica que está lejos de ser excepcional.

Interceptación de las comunicaciones

Dado su carácter de derecho fundamental, la regla general es que el derecho a la inviolabilidad de las comunicaciones solo pueda ser limitado en los casos y bajo las circunstancias establecidas expresamente por ley, lo que se da, generalmente, en el marco de investigaciones penales o por motivos de seguridad del Estado.

Adicionalmente, estas medidas intrusivas suelen ir acompañadas por algunos mecanismos de control para evitar su principal riesgo: que terminen siendo ocupadas como herramientas de vigilancia estatal, especialmente en contra de ciudadanos y disidentes del gobierno de turno. Esto no es conspiranoia, la protección de las comunicaciones privadas frente a la vigilancia estatal se remonta a varios años en el pasado, siendo uno de los primeros antecedentes el caso de Giuseppe Mazzini, activista por la unificación italiana que descubrió que agentes estatales leían sus cartas.

Mecanismos de control de la vigilancia estatal

El principal mecanismo de control es la autorización judicial previa, pero algunos países han ido un poco más allá. Por ejemplo, en el caso de Brasil, una vez realizada la diligencia de interceptación, el juez debe decidir si los resultados son relevantes para la investigación. Otro caso interesante es el de Chile, cuya legislación exige, además de la autorización judicial previa, que la medida de interceptación sea notificada al afectado con posterioridad a su realización (artículo 224 del CPP). Sin embargo, la evidencia indica que los mecanismos de control existentes no son suficientes.

En el caso chileno, el mecanismo judicial ha mostrado ser mucho menos estricto de lo que debiera. De acuerdo a números recientes, se realizan alrededor de 66 interceptaciones diarias, por lo que es difícil que jueces estén analizando el mérito de las solicitudes. Estas  solo debieran ser autorizadas bajo sospechas fundadas, basadas en hechos determinados, y para persecución de delitos que merezcan pena de crimen). En cuanto a la notificación del artículo 224, tampoco se cumple.

Actualmente el único mecanismo fiable de control que existe para comprobar cómo funcionan las interceptaciones del CPP es la entrega voluntaria que las principales empresas de telecomunicaciones realizan de datos anonimizados, lo que ha permitido evidenciar los problemas del sistema.

Pero el proyecto de ley sobre delitos informáticos pondría en riesgo este último mecanismo, al aumentar la sanción que arriesgan las empresas en caso de incumplir el deber secreto respecto de los requerimientos de interceptación que reciben. Con las nuevas reglas, bajo la amenaza de una sanción penal – hoy, multa administrativa-, difícilmente las empresas querrán colaborar con instancias de control ciudadano, como la encuesta Quién Defiende Tus Datos.

Una explicación posible para la falta de cumplimiento de esta obligación legal es la falta de capacidades técnicas para realizar las notificaciones exigidas por la ley. De ser este el caso, la dificultad podría ser fácilmente solucionada con la ayuda de las mismas empresas de telecomunicaciones que reciben las órdenes de interceptación.

Estas empresas fácilmente podrían comunicar a sus usuarios el hecho de haber sido objeto de escuchas telefónicas, una vez terminado el plazo de la investigación. Pero actualmente están impedidas de hacerlo. Esto, porque mientras no se formalice la investigación en su contra, el usuario afectado por una escucha telefónica no tiene calidad de interviniente en el proceso penal y, por tanto, el deber de secreto que pesa sobre las empresas de telecomunicaciones alcanza al propio usuario afectado. Esto último, por aplicación del secreto relativo del proceso penal chileno: las investigaciones del Ministerio Público sólo pueden ser conocidas por los intervinientes del proceso (artículo 182 CPP), es decir, fiscal, imputado, defensor, víctima y querellante (artículo 12 CPP).

¿Significa esto que las personas afectadas por interceptaciones no tienen derecho a saberlo? En ningún caso. El artículo 224 establece el deber de notificar al “afectado”, no al “interviniente”. Pero la falta de mecanismos de control eficaces y el desconocimiento de los afectados por esta clase de medidas permite que las mismas sean abusadas, llegando a usarse incluso para la creación de pruebas. Lo anterior es particularmente grave, considerando que ni siquiera el Congreso ha logrado que el Ministerio Público informe sobre el cumplimiento de sus obligaciones legales.

La solución

Dado que el Ministerio Público no está cumpliendo con el deber de notificación del artículo 224, y que se niega a entregar información al respecto, en una sesión reciente de la Cámara de Diputados de Chile, donde se discute el proyecto de ley sobre delitos informáticos, se propuso un mecanismo de control que pareciera ser una solución eficaz y eficiente: que sean las telcos las que cumplan con el referido deber de notificación.

Sin embargo, tanto los representantes del Ministerio del Interior y Seguridad Pública como del Ministerio Público se opusieron a la medida, sin ofrecer una alternativa, aún cuando durante la misma sesión admitieron no estar cumpliendo con la obligación legal de notificar al afectado.

Ante la falta de soluciones alternativas, lo razonable sería que se volviera a discutir la que, hasta ahora, pareciera ser la única solución efectiva.

Ni conspiranoia ni exageración. No necesitamos viajar cientos de años en el tiempo, recordando a Mazzini para justificar nuestra preocupación. Basta pensar en Edward Snowden, cuyo caso – lejos de ser el único- permitió develar la extensión de la vigilancia estatal.

La opacidad afecta la confianza en las agendas digitales

En enero de 2020, el gobierno salvadoreño presentó su Agenda Digital de País 2020-2030, en un contexto de enfrentamiento entre el presidente Nayib Bukele y la Asamblea Legislativa, a raíz de la solicitud del Ejecutivo de la aprobación de un préstamo por $109 millones para financiar la segunda etapa del denominado “Plan Control Territorial”.

La Agenda Digital de País 2020-2030 propone utilizar las tecnologías para implementar lo que denomina una “nueva gobernanza”. Esta agenda contiene 4 ejes programáticos, que básicamente se resumen en: 1. Identidad Digital; 2. Innovación, Educación y Competitividad; 3. Modernización del Estado; y 4. Gobernanza Digital.

Desde su lanzamiento, algunas dudas surgieron sobre la viabilidad de este ambicioso plan. En particular, aquellas referidas a los contrapesos y regulaciones necesarias para minimizar las afectaciones a los derechos y libertades que el uso de las tecnologías puede representar en una sociedad como la salvadoreña, en la que la conciencia de los derechos digitales y su ejercicio aún dista de ser ideal; en un país que aún no cuenta con una ley especializada en protección de datos personales y que tampoco cuenta con una política pública de ciberseguridad, entre otros riesgos.

En ese sentido, no era descabellado dudar sobre la protección y regulación en el uso de los datos que serán colectados para alimentar las soluciones tecnológicas que propondrá el gobierno, sobre quién tendrá acceso a ellos, qué destino tendrán esos datos, qué medidas de ciberseguridad se usarán para proteger los sistemas informáticos y la tecnología a implementar, cómo se evitará que las tecnologías implementadas y los datos colectados sean usados para la vigilancia indiscriminada, para la violación de los derechos o para favorecer intereses privados.

No obstante, era natural esperar que estas incertidumbres encontraran solución a medida que la actuación gubernamental pudiera ser evaluada. De ahí que el actual contexto de la pandemia de COVID-19 y la respuesta del Ejecutivo a la misma, haya servido para hacer una breve reflexión sobre estos temores.

Los temores se incrementan

En el marco de las acciones para enfrentar la pandemia de la COVID-19, el Ejecutivo salvadoreño tuvo a su disposición más de 3 mil millones de dólares, según informó el ex presidente del Banco Central de Reserva a la Comisión Especial de la Asamblea Legislativa, que investiga los gastos realizados por el gobierno de Bukele en este contexto.

Durante este mismo periodo, numerosos artículos periodísticos han revelado indicios de corrupción en los gastos realizados por el gobierno, como compras a empresas de familiares de funcionarios gubernamentales, compras a sobreprecios, compras de insumos médicos a empresas sin relación con el rubro, etc.

Ante estas revelaciones, lejos de corregir la opacidad en la rendición de cuentas, el gobierno de Bukele ha optado por obstaculizar el acceso a la información, al hacer un uso abusivo de las declaraciones de reserva contempladas en la Ley de Acceso a la Información Pública (Art. 19), sin cumplir con una adecuada fundamentación (Art. 21) para tal declaratoria.

Así, por ejemplo, el Ministerio de Agricultura y Ganadería puso en reserva la información relativa a la confección de paquetes alimenticios para ser entregados a personas en situación de vulnerabilidad, afectadas por la COVID-19, que esa cartera de Estado lideró. También, el Ministerio de Salud, uno de los que más señalamientos de compras anómalas ha recibido, declaró reservada la información contenida en memorándums y correspondencia producidos por el Laboratorio Nacional que realiza las pruebas COVID-19, así como los documentos relativos a la transición que el Centro Internacional de Ferias y Convenciones experimentó, para convertirse en el Hospital El Salvador. En ambos casos, las declaraciones de reserva fueron realizadas bajo una interpretación antojadiza de los preceptos legales que facultan esta declaratoria.

Aunque esta artimaña no es nueva, pues ya había sido utilizada para evitar rendir cuentas sobre gastos antes de la pandemia, su implementación recurrente en estas últimas semanas parece ser una pieza más de una estrategia del Ejecutivo de escapar, tanto del control de las instancias que constitucionalmente deben auditarlo, como del escrutinio de la sociedad. A esto se suma el interés del Ejecutivo por minar la independencia del Instituto de Acceso a la Información Pública –ente encargado de garantizar el acceso a la información pública y la protección de los datos personales– mediante el nombramiento de funcionarios afines a sus intereses políticos. Ese mismo interés se expresa en la flagrante desobediencia de los titulares de los ministerios señalados por indicios de corrupción a atender las demandas de explicación exigidas por la Asamblea Legislativa, y la negativa de la Policía Nacional Civil a cumplir su obligación constitucional cuando se ha requerido el apremio de los funcionarios que han ignorado estas solicitudes de la Asamblea.

Este esmero en optar por  la opacidad en la gestión del erario público, así como el proceso de desmantelamiento de la institucionalidad del Estado, reafirmado el 9 de febrero del presente año con la invasión de la Fuerza Armada al recinto Legislativo, y recrudecido con la desobediencia a las resoluciones del Órgano Judicial (incluyendo las de la Sala de lo Constitucional de la Corte Suprema de Justicia), son suficientes señales para incrementar los temores iniciales sobre la implementación de una Agenda Digital por parte del actual gobierno.

Y es que, con estos antecedentes, no puede confiarse la protección de los datos personales, de la privacidad, la libertad de expresión y la seguridad, a gobiernos capaces de ocultar sistemáticamente la información pública, de huir de la rendición de cuentas y de instrumentalizar a las fuerzas de seguridad del Estado con fines políticos. No podemos obviar el temor a que gobiernos opacos, que blanden el uso de las tecnologías como estandarte de modernidad, sientan el deseo de utilizarlas para la persecución política, la censura y el control de nuestros datos

En tal sentido, un estado de vigilancia permanente por parte de la sociedad civil nacional e internacional se vuelve necesario para prevenir el uso malicioso de las tecnologías desde el Estado, y para combatir agendas que busquen aumentar el control gubernamental sobre el despliegue de esas tecnologías. Considerando la muy probable victoria del oficialismo en las próximas elecciones de diputados, una nueva configuración del poder político podría darle un poder peligrosamente enorme a Bukele, lo cual vuelve urgente la contraloría social en el país. Esta actitud vigilante, claro está, aplica frente a cualquier mandatario o poder estatal, presente o futuro.