En México un reciente estudio de hábitos de usuarios de internet muestra que las personas con acceso a internet pasan alrededor del 31% de su tiempo conectadas a alguna red social y se han documentado incrementos significativos -en relación al 2018- respecto a las actividades económicas (como transacciones o consultas bancarias), el uso de plataformas de comunicación digital, el uso de dispositivos móviles y la participación de personas de 6 años en adelante.
De acuerdo a este estudio alrededor del 59% de las personas que usan internet en México actualmente llevan más de 8 años siendo internautas, sin embargo aún existen brechas importantes en cuanto al tipo de acceso y la cobertura que los proveedores de servicio de internet tienen la capacidad de brindar a la diversa población del país donde la cifra de personas activas en internet actualmente equivale al 70% de sus habitantes.
Mencionar estas cifras resulta relevante en un país cuyas políticas en materia de seguridad y desarrollo nacional están cada vez más perfiladas hacia promover el acceso a internet y banda ancha “como servicios fundamentales para el bienestar y la inclusión social”, como estipula el Plan Nacional de Desarrollo 2019-2024; donde el gobierno de Andrés Manuel López Obrador declara que buscará que el 95% de la población de México tenga acceso a internet al finalizar el sexenio.
A pesar de esta propuesta, en el país aún existen conversaciones pendientes en torno a la Estrategia Nacional de Ciberseguridad que, como señaló Candy Rodríguez, en un contexto donde el mismo Estado ha incurrido en el uso de tecnologías de vigilancia para perseguir a actores clave en fomentar la participación ciudadana, exigir rendición de cuentas e informar a la ciudadanía: es fundamental contar con un documento que permita entender cuál será enfoque en materia de seguridad digital al que se ceñirá esta administración.
En una nota para Proceso, Neldy San Martín apuntó que “el plan estipula que la cobertura de internet se garantizará mediante la instalación de internet inalámbrico en carreteras, plazas públicas, centros de salud, hospitales, escuelas y espacios comunitarios, sin dar detalles de plazos ni la forma en la que se pretende hacer esto.” Lo cual nos remite a pensar que si bien existen posibilidades para ampliar el acceso a la red, no es claro el camino que seguirán… Como tampoco lo son las políticas en cuanto a la seguridad de dicho acceso o las protecciones a la privacidad de las personas que accedan a internet mediante estas redes públicas.
Con la puesta en marcha de la Guardia Nacional militarizada, una medida señalada por las controversias que presenta ante la falta de regulaciones firmes que eviten que se institucionalicen -y de este modo legitimen- medidas que vulneran los derechos fundamentales de las personas en México, como apuntó el representante de la ONU-DH, nos queda preguntar cuál será el rumbo que tomarán las políticas públicas en materia de seguridad digital en el marco de las promesas realizadas por la actual administración.
¿Estamos viviendo la calma antes de la tormenta o nos encontramos en el ojo del huracán? En un país donde la violencia parece escalar día con día y el gobierno muestra desinterés por acabar con la impunidad donde se enmarca, es importante mantener una postura firme en torno a la defensa de los derechos humanos en cualquier terreno donde sean menoscabados: es momento de romper el silencio respecto a las medidas para proteger a la ciudadanía y agilizar la rendición de cuentas pendientes.
Arthur C. Clarke dijo alguna vez que cualquier tecnología lo suficientemente avanzada es totalmente indistinguible de la magia. Hoy, cuando el grado de sofisticación de los dispositivos que utilizamos cotidianamente los hace incomprensibles para la vasta mayoría de los usuarios, la línea entre ambas se ha vuelto más tenue que nunca. Por supuesto, esto no es más que la expresión de un deseo de omnipotencia mundana, alimentada por las efectivas campañas publicitarias de la industria dedicada a la venta de artefactos tecnológicos.
Una particular expresión de este fenómeno ocurrió esta semana, tras hacerse pública una vulnerabilidad de WhatsApp que posibilitaba un sofisticado ataque en el cual un teléfono celular podía ser infectado con el malware Pegasus tan solo con un llamado telefónico. Puedes leer los detalles acá y acá.
Pero lo «interesante» vino después: Bloomberg publicó una columna firmada por Leonid Bershidsky argumentando que el ataque demuestra que el cifrado de extremo a extremo implementado por WhatsApp es inútil, “un truco de marketing utilizado por compañías como Facebook para tranquilizar a los consumidores que desconfían de la cibervigilancia en una falsa sensación de seguridad”. La columna ha sido traducida y publicada en medios como 24 Horas y El Mostrador de Chile y Gestión de Perú.
Por su parte, la comunidad técnica se ha ensañado con el texto. Y con razón: Mike Masnick de Techdirt comparó la columna con un disparate antivacunas, “diciéndole a las personas que no se protejan”. Por su parte, Matthew Hughes en The Next Web decidió explicar de forma relativamente didáctica para qué sirve el cifrado de extremo a extremo: impide que alguien intercepte la comunicación, pudiendo acceder a su contenido y modificarlo, o que alguien pueda ganar control sobre las credenciales de seguridad de una cuenta; ninguna de las dos tiene relación con la naturaleza de la vulnerabilidad descubierta en WhatsApp ni el ataque que posibilitaba. Como explica Hughes, “es como argumentar que nunca deberías usar cinturón de seguridad porque no te van a proteger si tu auto se cae por un barranco”.
Lo interesante de la columna de Bershidsky es que
en su total y absoluto despliegue de desconocimiento y mala argumentación,
expone una idea equivocada, pero probablemente muchísimo más común de lo que
debería ser: que la seguridad es una suerte de estado binario – seguro/inseguro-
que puede alcanzarse gracias al uso de una herramienta específica, capaz de
protegerme de todo mal. Lamentablemente eso es magia y está muchísimo más allá
de las capacidades de la tecnología.
La seguridad -de cualquier tipo, no solo aquella relativa al uso de tecnología- es un espectro de posibilidades, donde la meta es reducir al máximo los riesgos, pero que nunca es capaz de eliminarlos por completo. En el caso particular de la seguridad digital, se trata de un terreno altamente dinámico y en constantemente actualización, donde el descubrimiento de nuevas vulnerabilidades es relativamente común. Una eficaz estrategia de seguridad involucra el desarrollo de prácticas seguras, junto al correcto uso de un set de herramientas acorde a un análisis de los potenciales riesgos y sus consecuencias.
Evidentemente, esto es muy difícil de hacer. Sin embargo,
es necesario, particularmente para aquellas poblaciones e individuos en particularmente
vulnerables: activistas, periodistas, defensores de derechos humanos. Y el
primer paso es tomar conciencia respecto a las limitaciones de la tecnología y
de nosotros como usuarias y usuarios.
Más allá de cómo entendemos el feminismo en
nuestras prácticas cotidianas, quienes participamos en Ciberseguras compartimos
una sensación con respecto a la tecnología: la hostilidad, muchas veces dada
por espacios mayoritariamente masculinos, donde se valora sobre todo el saber
experto y la velocidad en la ejecución de tareas. Y no importan tanto nuestras
primeras motivaciones, nuestros orígenes o nuestros intereses específicos a la
hora de comenzar a explorar estrategias de seguridad digital, lo central aquí
es que, a partir de esas primeras experiencias, decidimos hacerlo de otra manera y en ese camino es que
nos hemos ido encontrando.
La primera reunión de Ciberseguras ocurrió
hace poco menos de dos años en Quito, Ecuador, justo antes de que comenzara el I Encuentro Internacional de
Ciberfeminismo; su historia, sin embargo, comienza más atrás, en el
año 2014 en México, en el acompañamiento a mujeres que estaban siendo
hostigadas en internet. Pero hace dos años comenzamos a imaginar juntas, entre
compañeras de diferentes lugares de América Latina, un espacio para consultar
recursos en lengua hispana sobre género y tecnología. Nos planteamos entonces
la necesidad de acompañar esta búsqueda, reconociendo que, en estos temas, no
todas tienen muy claro lo que buscan, ni tienen necesariamente los mismos
intereses.
Definimos que en ciberseguras.org habría información sobre
tecnología y feminismos, organización de encuentros como talleres y festivales,
y protección de dispositivos electrónicos. Luego nos pusimos en la tarea de
construir la página, que fue re-lanzada el
24 de abril de 2018, conmemorando dos años de las manifestaciones
contra la violencia de género realizadas en México en 2016. De eso
ha pasado un año de trabajo continuado, que celebramos hace una semana en nuestra
segunda reunión en Bogotá, Colombia. Como buscamos espacios para aprender
juntas sobre la tecnología, nos tomamos un día de la reunión para practicar
juntas cómo usar GitLab para la
organización y documentación de procesos, pero la mayor parte del tiempo se fue
en trabajar nuestra red humana, como base fundamental para que nuestras
acciones dentro y fuera de internet sean potentes, transformadoras y duraderas.
Y hablando de que hace treinta años comenzó
a funcionar la Web, es decir la internet utilizada
por las personas, desde sus hogares -los cibercafés, las bibliotecas o los
centros educativos- y para sus actividades cotidianas, vale decir que esta red, como las redes humanas, está basada en la confianza, ya que sin conocer a
fondo cómo funciona el sistema que hace posible nuestra navegación, podemos ir
de una página a otra gracias a los servicios de indexación, transporte y
alojamiento de información que nos ofrecen diferentes empresas alrededor del
mundo. Pero ese es un tema muy amplio y complejo en el que no profundizamos
durante la reunión, pues había cosas más cercanas e importantes que tratar.
El punto es que hoy, cuando el acceso a
internet se considera un derecho humano y por tanto se busca conectar a todas
las personas del mundo sin importar sus condiciones económicas, políticas,
sociales o culturales, la confianza se vuelve un tema central a la hora de
preguntarnos, ¿cómo
queremos estar conectadas? Y es que nosotras, mujeres de ciudades
tan distintas, sabemos que no ‘todos los usuarios’ accedemos por igual. Así que
como red, en Ciberseguras buscamos construir confianza entre nosotras y nos
proponemos trabajar en nuestros contextos locales también a partir de la
confianza, con las personas que participan de los espacios de encuentro y
aprendizaje que organizamos.
En internet pareciera que la confianza
reposa en la precisión de los sistemas informáticos y sus mecanismos de
respuesta, validación y corrección de errores, o en las políticas de
transparencia de las empresas que desarrollan y mantienen esos sistemas donde
se procesan nuestros datos. Cuando se trata de las personas que utilizamos
internet se habla más del consentimiento,
que a su vez pareciera limitarse a la capacidad de decir no en un
contrato establecido con quienes recolectan, almacenan y gestionan datos. Un
contrato protegido por una regulación para la cual somos consideradas ‘un
sujeto de derechos’.
El problema con la confianza, si hablamos de
internet, es que no es reductible a un sistema de respuesta, es una tecnología
blanda -si se quiere buscar un término que la describa en el
contexto de internet-, se construye de a pocos, requiere cuerpo y disposición,
se basa en acuerdos y aunque estos se registren en algún lugar, siempre pueden
renovarse, flexibilizarse, discutirse. Toman tiempo. El problema de la
confianza, y también su más grande potencia, es que debe negociarse siempre,
reconociendo las diferencias de quienes participan. Estas diferencias se
expresan en necesidades, intereses y percepciones diversas sobre el mundo. Y
para nosotras las Ciberseguras, estas son las bases de un trabajo feminista en
cualquier ámbito; en el de la tecnología -que nos apasiona- también.
El pasado 15 de abril se cumplió el plazo para el ingreso de indicaciones en el proyecto de ley de delitos informáticos, que busca implementar las disposiciones del Convenio de Budapest en Chile. A través de este proceso, tanto el ejecutivo como los senadores ingresaron propuestas de modificación al proyecto. La buena noticia es que muchas de las inquietudes y propuestas de la sociedad civil, los académicos y la comunidad técnica fueron recogidas por los senadores (incluyendo las de Derechos Digitales). El ejecutivo presentó modificaciones menores -muchas de ellas positivas- pero mantuvo su posición en algunos de los aspectos más problemáticos del proyecto.
El martes 23, la Comisión de Seguridad del Senado retomó la discusión del proyecto, comenzando su votación en particular. Es decir, a discutir y votar cada una de las indicaciones con el fin de alcanzar un texto final.
El proyecto original utilizaba una terminología confusa y poco adecuada respecto a qué condiciones se tienen que cumplir para que alguien se considere culpable de cometer un delito informático. Se proponía castigar a quien “maliciosamente” o “indebidamente” cometiera algunos de los ilícitos descritos en el texto del proyecto. El primer término -utilizado por nuestra legislación actual- es excesivamente subjetivo, exigiendo una intencionalidad específica de cometer un daño, la que suele ser difícil de probar. El segundo es excesivamente amplio, siendo sinónimo de “sin permiso”, sin exigir que se haya obtenido o hecho un mal uso de la información, o se haya superado una barrera técnica.
Una de las principales recomendaciones de la sociedad civil y la academia fue reemplazar estos términos por aquellos utilizados por el propio Convenio de Budapest, el que exige que las conductas sean cometidas de forma “deliberada y ilegítima”. Esta recomendación fue recogida por varios senadores -entre ellos los senadores Pugh, Araya, Harboe e Insulza- y tiene la particularidad de cumplir con uno de los objetivos del Convenio de Budapest: establecer criterios comunes en la legislación de delitos informáticos a nivel internacional. Por otro lado, exigir que los delitos se cometan de forma deliberada e ilegitima asegura que no se castiguen conductas lícitas, castigándose sólo aquellas que se realicen de forma premeditada y sin un derecho que las ampare.
Avances en la tipificación del acceso informático ilícito
Estas distinciones jurídicas pueden parecer completamente abstractas y académicas, pero tienen un efecto concreto en cómo se podrán aplicar estos tipos penales a futuro. En una columna anterior, expliqué cómo la actual redacción del delito de acceso informático puede terminar criminalizando la legítima labor de consultores, expertos y técnicos en materia de ciberseguridad que se dedican a identificar y notificar vulnerabilidades o fallas en los sistemas informáticos.
El ejecutivo parece haber tomado nota de las recomendaciones hechas por los invitados a exponer en la Comisión y al menos incluyó uno de los elementos necesarios para subsanar este artículo; también propone, como requisito para el delito de acceso informático, que el infractor sea quien supere una barrera técnica. Este cambio es positivo, ya que la comisión de un delito informático necesariamente requiere la superación de una barrera de seguridad, de otra forma la señal que se está dando es que basta un incumplimiento de los términos y condiciones de un sistema o sitio para que se configure el delito de acceso informático ilícito.
Sin embargo, este tipo penal requiere de otras modificaciones, que afortunadamente fueron recogidas por los senadores. La ya comentada inclusión de los términos “de forma deliberada e ilegítima” es particularmente importante en este delito, debido a que los expertos informáticos que detectan y dan a conocer vulnerabilidades informáticas efectivamente vulneran barreras técnicas de seguridad; pero lo hacen de forma legítima, porque su objetivo no es conocer o apropiarse de la información contenida en ellos. Por ello, resulta acertado que se haya propuesto que la redacción del artículo exija que el acceso se realice con el ánimo de conocer, apropiarse o utilizar la información contenida en el sistema para ser un delito.
Los senadores Araya, Harboe e Insulza incluso fueron más allá: proponiendo una excepción específica para quienes realicen labores de investigación de seguridad informática, eximiéndolos de responsabilidad en la medida que notifiquen sin demora la vulnerabilidad al responsable del sistema. De reflejarse en el texto final del proyecto, la inclusión de estos requisitos y excepciones permitirían que este tipo penal sea aplicable sólo a los delincuentes informáticos que el proyecto busca perseguir y no a otros actores del ecosistema de la ciberseguridad.
Criminalización del cifrado
Otro de los aspectos negativos del proyecto de ley era que establecía como agravante de la comisión de un delito informático, el haber utilizado tecnología de cifrado para burlar la persecución de la justicia. Ya he comentado cómo esta norma es contraria al principio de no incriminación y que el hecho de que el cifrado de punto a punto se está transformando en un estándar de la industria haría que todos los delitos informáticos vinieran -por defecto- agravados.
La propuesta del ejecutivo para subsanar esta situación es mantener esta agravante, pero bajo un criterio de neutralidad tecnológica, agravando el uso de “tecnologías destinadas a destruir u ocultar en una investigación penal”. Si bien este es un avance, en la práctica todavía estaría criminalizando la utilización del cifrado. Por otro lado, esta agravante sigue siendo contraria al principio de no incriminación, ya que es natural que una persona que cometa un ilícito tome las medidas necesarias para no ser descubierta y perseguida.
Aumento de retención de metadatos: la gran batalla
En una acertada columna, el académico Pablo Contreras explica cómo la extensión del período de retención de metadatos propuesta por el proyecto de ley resulta desproporcionada, lesiva de derechos fundamentales y en la práctica busca legalizar lo propuesto por el infame Decreto Espía. Los distintos expertos, académicos y miembros de la sociedad civil que expusieron en la Comisión de Seguridad Ciudadana mostraron su oposición a este aumento de la capacidad de vigilancia del Estado. Sin embargo, el ejecutivo decidió mantener su posición de aumentar, tanto el período de retención de las comunicaciones de todos los chilenos -a dos años-, como el tipo de tráfico a almacenar, incluyendo información relativa a la ubicación de las personas.
Afortunadamente, la voz de los expertos fue recogida por gran parte de los senadores; quienes propusieron la eliminación o modificación de este artículo para mantener el período de retención en su plazo actual de un año. Esta modificación puede incluso transformarse en una oportunidad para modificar la expresión utilizada actualmente por el Código Penal, el que establece que los datos de tráficos serán almacenados por un período “no menor a un año”. Establecer un límite preciso y la obligación de eliminar la información de manera segura luego de cumplido el plazo se presenta como una mejora importante, e impide la existencia de recurrentes interpretaciones antojadizas a futuro.
Continúa la tramitación…
El hecho de que los senadores hayan ingresado indicaciones positivas no es garantía de que el proyecto de ley sea efectivamente modificado para subsanar todas sus deficiencias. Estas indicaciones todavía tienen que ser discutidas y votadas por la Comisión para alcanzar un texto final. El pasado martes la Comisión votó el artículo 1 (ataque sobre la integridad del sistema) y el artículo 3 (interceptación ilícita), que eran las normas menos polémicas del proyecto. La Comisión comenzó la discusión del artículo 2, sobre acceso informático, pero al no alcanzar un consenso solicitó la creación de un grupo de trabajo especial para destrabar la discusión.
Es de esperar que en las próximas semanas la Comisión retome la discusión y votación de las disposiciones particulares. Esperamos que en dicho diálogo primen las consideraciones técnicas y las recomendaciones otorgadas por los expertos. Las indicaciones presentadas por los senadores significan un avance importante para que le proyecto efectivamente busque promover la ciberseguridad en nuestro país y resultaría positivo que estas sean incorporadas al proyecto.
En este contexto, una coalición de expertos informáticos, académicos y miembros de la sociedad civil hizo llegar el martes pasado una carta abierta a la Comisión de Seguridad resumiendo los puntos clave que el proyecto debe modificar para proteger los derechos de las personas, promover la ciberseguridad y permitir el florecimiento de la industria de la seguridad informática en nuestro país.
En 2018 la ciberseguridad ocupó la portada de todos los grandes medios y se transformó en un tema prioritario para gobiernos y las empresas privadas. No podía ser de otra forma: a medida que la tecnología pasa a ser un componente crucial de nuestra economía, en nuestras comunicaciones y en casi todos los aspectos de nuestra vida cotidiana, se vuelve necesario que el entorno digital sea seguro.
En este contexto, la implementación de las disposiciones del Convenio de Budapest sobre ciberdelincuencia se presenta como una oportunidad para que Chile actualice su marco normativo y así enfrente de forma efectiva el fenómeno de la cibercriminalidad.
Lamentablemente, el proyecto de ley ingresado por el Ejecutivo — y que hoy se discute en la Comisión de Seguridad Pública del Senado — contiene disposiciones que, lejos de permitir que las personas y las empresas se desenvuelvan de forma más segura en el ciberespacio, podrían deteriorar la labor de quienes se dedican a la ciberseguridad en nuestro país.
Las personas abajo firmantes, académicos y profesionales, integrantes de la sociedad civil y expertos en ciberseguridad, hacemos un llamado al gobierno y a quienes conforman la Comisión de Seguridad Pública del Senado para subsanar los siguientes aspectos del proyecto:
Criminalización del pentesting: Esta práctica es fundamental para el ecosistema de la ciberseguridad, ya que otorga a consultores independientes la capacidad de probar la seguridad de los sistemas informáticos y reportar, de buena fe, eventuales vulnerabilidades a su administrador. En la versión actual del proyecto de ley, el delito de acceso informático exige que este se haya realizado de forma “indebida”, es decir, sin permiso. Esto abre la puerta para la criminalización de una actividad que no solo es lícita, sino que es esencial para permitir el diagnóstico y reporte de vulnerabilidades informáticas.
Utilización del cifrado como agravante penal: El proyecto establece que la responsabilidad penal se verá agravada cuando se utilice tecnología de cifrado para obstaculizar la labor de la justicia. Esta propuesta es técnicamente inconducente, ya que es una tendencia a nivel de industria y de estandarización a nivel mundial la implementación de tecnología de cifrado de punta a punta en sus productos. Por otro lado, el cifrado es un elemento esencial para fomentar la seguridad de las comunicaciones y transacciones. Tal como establece la Política Nacional de Ciberseguridad, es labor del Estado promover la tecnología de cifrado, no obstaculizar su uso.
Aumento del período de retención de metadatos: El proyecto aumenta de uno a dos años el período en que las empresas proveedoras de internet tendrán que almacenar datos de tráfico de sus usuarios, e incrementa la variedad de tipos de datos e informaciones a retener. Consideramos que esta obligación es desproporcionada y contraria al derecho a la privacidad de los ciudadanos, y expone innecesariamente información altamente sensible a ser objeto de filtración, ataques informáticos o uso no autorizado, volviendo a los usuarios más vulnerables.
Sobre la evidencia digital: Se plantea que los procedimientos de preservación y custodia se ajusten a lo que indique una persona (Fiscal Nacional), pero no hace referencia a que una entidad, como el Instituto Nacional de Normalización (INN) sea quien dicte los marcos referenciales para este tipo de procesos que son extremadamente delicados, ya que pueden constituir pruebas que permitirían la acusación penal de una persona. Actualmente existen normas internacionales que velan por el tratamiento de la evidencia digital de forma adecuada y que incluso la OEA promueve. No parece prudente que sea únicamente una persona quien dicte los procedimientos que se deben utilizar en informática forense como normativa legal.
Firmantes:
María Paz Canales, directora ejecutiva Derechos Digitales
Joshua Provoste, Investigador de Seguridad Informática
Alejandro Barros, Académico Asociado – Centro de Sistemas Públicos (U. de Chile)
Juan Anabalón, Presidente del Information Systems Security Association (ISSA Chile)
Pablo Contreras, Académicos Universidad Autónoma de Chile
Paulo Colomés F, Académico e Ingeniero de proyectos en NIS.CL
Leo Soto M., Consultor Lider para Banca y Pagos en Continuum.
Ignacio Parada Poblete, Presidente de MITI A.G. – Asociación Gremial Mejor Industria TI.
Claudio Álvarez Gómez, Académico Universidad de los Andes
Mauricio Castro, CTO Magnet SpA
Alma Negrete, Gerente General DevArtisan SpA
Tomás Vera, CINNO Zenta Group SpA
Luis Cruz, Managing Director en 2Brains
Gert Findel, Director Ejecutivo Acid Labs
Manuel Moreno, CEO GlobalSecure Academy
Manuel Suárez, Gerente General Synaptic
Javier Urrutia T, CEO coreDevX SpA
Puedes adherir firmas, a título institucional o personal, a través del siguiente formulario:
El jueves 11 de abril, la policía ecuatoriana detuvo en el aeropuerto de Quito a Ola Bini, ciudadano sueco residente en Ecuador, desarrollador de software y activista por la privacidad y la libertad en internet, mientras trataba de tomar un vuelo hacia Japón. Según las autoridades ecuatorianas, el arresto estaría justificado en la relación de Ola Bini con WikiLeaks, que lo implicarían en supuestas conductas ilegales.
Ola Bini es un experto altamente respetado en seguridad digital y criptografía, y es reconocido por sus importantes contribuciones en este campo. Es miembro de varias redes europeas e internacionales, y participa en proyectos de alto nivel, varios de ellos patrocinados por la Comisión Europea.
Nos preocupa que el arresto y la detención de Bini sea parte de una campaña contra la comunidad de personas desarrolladoras que construyen herramientas de tecnología de seguridad digital, que garantizan el disfrute de los derechos humanos en internet y las comunicaciones seguras en línea.
Las tecnologías de seguridad digital, incluidas las de cifrado, son herramientas importantes para salvaguardar el ejercicio de derechos humanos en internet de la ciudadanía. El Consejo de Derechos Humanos de la Organización de las Naciones Unidas incluso ha reconocido en su Resolución 33/2 de 2016 que estas tecnologías son valiosas para proteger a las y los periodistas, pues proveen un canal seguro para sus comunicaciones y preservan la confidencialidad de las fuentes.
[left] Dada la importancia que tienen las herramientas digitales para el disfrute de derechos humanos, las personas que desarrollan tecnologías de seguridad digital –como Ola Bini– no deberían ser criminalizadas. [/left]
El día de la detención, funcionarios del Gobierno ecuatoriano anunciaron que estaban a punto de tomar medidas contra cuatro individuos descritos como “dos hackers rusos, un colaborador de WikiLeaks y una persona cercana a Julian Assange”, alegando que estas personas estaban tratando de “establecer un centro internacional de piratería” en Ecuador. Expresamos nuestra preocupación por la arbitraria privación de libertad de Ola Bini. La misma se ejecutó de manera injustificada, poco clara y con una orden judicial irregularmente emitida, violentando el marco internacional e interamericano de derechos humanos que garantizan el debido proceso y garantías de protección a los derechos fundamentales de las personas.
Con posterioridad, la Fiscalía General de Ecuador declaró que a Bini se le acusa de su “presunta participación en el delito de atentado contra la integridad de los sistemas informáticos” y de intentar desestabilizar el país. Como prueba, el Fiscal General presentó una serie de dispositivos digitales, como computadoras portátiles, iPads, iPods, cables USB y dispositivos de almacenamiento de datos cifrados, libros, así como patrones de viaje y pagos por servicios de internet. Reiteramos que el uso de dispositivos digitales no puede ser utilizado como una medida para incriminar a personas cuyo trabajo se apoya en el uso de software libre y está vinculado al desarrollo de herramientas de seguridad digital.
Los cargos, la vinculación de Bini con Wikileaks y las pruebas, más que sostener la acusación, estigmatizan y criminalizan actividades legítimas y necesarias para la protección de los derechos humanos. Las irregularidades de su detención, generan una profunda preocupación sobre la negación a Ola Bini de sus derechos al debido proceso y a la defensa. Lo anterior configura una persecución y criminalización del activismo en favor de la la libertad de expresión y el acceso a la información. Tanto el Relator Especial sobre libertad de expresión de la Comisión Interamericana de Derechos Humanos, Edison Lanza, como el Relator Especial de a ONU sobre la promoción y protección del derecho a la libertad de opinión y expresión, David Kaye, han expresado públicamente su preocupación por lo que demuestra hasta ahora ser una detención arbitraria.
Las organizaciones firmantes, provenientes de América Latina y el Caribe, rechazamos la criminalización de las actividades de desarrollo de herramientas de seguridad digital y habilitadoras de los derechos humanos en Internet, particularmente, de la libertad de expresión. Reconocemos que es fundamental proteger la seguridad de las comunicaciones, anonimato y el derecho a la privacidad de periodistas y sus fuentes, así como de defensores de derechos humanos en un contexto de creciente violencia en la región.
Por lo tanto, exigimos al Gobierno del Ecuador libere inmediata e incondicionalmente a Ola Bini y que retire todos los cargos en su contra.
Firman:
Actantes
Artículo12, A.C. México
Artículo19 México
Artigo19 Brasil
Asociación por los Derechos Civiles (ADC)
Asociación de Software Libre del Ecuador
Casa da Cultura Digital Porto Alegre
Centro de Estudos da Mídia Alternativa Barão de Itararé
Centro de Mídia Independente Brasil
Ciranda Inter. Comunicação Compartilhada
Coletivo Digital
Coletivo Saravá
Derechos Digitales
Electronic Frontier Foundation
Escola de Ativismo
Fórum Nacional pela Democratização da Comunicação — FNDC
Fundación Ciudadanía Inteligente
Fundación Karisma
Garoa Hacker Clube
Instituto Bem Estar Brasil
Instituto Educadigital
Instituto de Pesquisa em Direito e Tecnologia do Recife — IP.rec
Instituto Prensa y Sociedad de Venezuela
Internet Sem Fronteiras Brasil
Intervozes — Coletivo Brasil de Comunicação Social
Rede Latino-americana de Estudos sobre Vigilância, Tecnologia e Sociedade — Lavits
La atención pública que en Chile recibió la renovación de los medidores de consumo de energía eléctrica por otros aparatos “inteligentes”, a pesar de estar centrada en el probable aumento del precio del servicio, trajo también preocupación y alarma por otros impactos en las personas. En particular, sobre las capacidades de estos aparatos para generar información de las usuarias de energía eléctrica, vulnerando su intimidad.
No es un problema nuevo: en Europa y en los Estados Unidos ha habido resistencia a la instalación de estos medidores, especialmente fundada en los riesgos sobre la privacidad. El escenario ha sido distinto en América Latina, donde además de Chile, países como Argentina, Brasil, Colombia, México y Perú llevan años de programas piloto y de planificación e implementación progresiva de smart grids, con medidores inteligentes, sin similar oposición. Pero a pesar de parecer una muestra más de un futuro inevitable, las preocupaciones invitan a revisar hacia dónde estamos avanzando.
[left] Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad.[/left]
El resguardo de los datos
La oposición en países como Francia u Holanda tenía pleno sentido. Que un medidor siga el comportamiento a intervalos de 15 minutos en principio podría apenas dar información sobre un consumo que sube y baja, tal como observar un medidor analógico en tiempo real. Pero el acceso a información así de detallada podría permitir inferir la clase de aparatos eléctricos que se utilizan en un hogar, detectando patrones de conducta y formulando perfiles a partir de los mismos. Es decir, información personal se produce, almacena y envía a las empresas de energía, de una forma en que antes no ocurría. Por cierto, las empresas siguen ceñidas a las obligaciones asociadas a la protección de datos personales.
En segundo lugar, esa información personal puede ser requerida por órganos de persecución criminal. A falta de regulación expresa en la materia, no es difícil pensar en requerimientos no sujetos a reglas de debido proceso; no obstante, la experiencia en los Estados Unidos da cuenta del resguardo constitucional, que en términos afines a los bloques constitucionales en buena parte de América Latina, haría exigible el control judicial ante el requerimiento de esa información.
En tercer lugar, esa información personal en principio sería conocida por las empresas de suministro de electricidad. Puesto que se envía información a distancia, es posible pensar en ataques maliciosos por parte de terceros, afectando la información que se transmite. En cuarto lugar, la capacidad remota de control sobre el suministro implica que tales ataques podrían dirigirse al suministro mismo.
Si bien en Chile el Anexo Técnico sujeto recientemente a consulta pública detallaba exigencias de seguridad que controlarían buena parte de los riesgos, el control de la correcta implementación de tales medidas constituye un nuevo ámbito de las funciones de la autoridad, vinculado a la seguridad digital, que requiere renovadas capacidades y recursos.
Smart metering para smart cities
El uso de medidores inteligentes no hace cambiar necesariamente el costo del servicio eléctrico. Lo que sí permite es un seguimiento, individual y agregado, de los momentos y días de mayor consumo, con el fin de controlar el consumo propio o de diseñar sistemas tarifarios diferenciados por horario, además de gestionar remotamente el suministro y su facturación, detectar hurtos de energía y hasta permitir la alimentación de la red (una vez convertida en smart grid) desde paneles solares. Junto con hacer más eficiente el sistema, permitiría un control sobre el consumo tendiente al ahorro energético.
En principio, suena moderno y flexible. Pero no precisamente como una necesidad para mejorar hábitos de consumo. Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad. Con ello, se apunta a la conversión del espacio urbano compartido en una smart city, con el consiguiente aumento de los riesgos de vigilancia, como de modelamiento del comportamiento, sin siquiera comenzar a abordar los serios problemas de desigualdad y de acceso a servicios que aquejan a ciudades que aspiran a ser “inteligentes”, como Santiago de Chile.
Modernización y derechos humanos
Aunque ni la modernización energética en general ni el recambio de medidores en particular son intrínsecamente negativos, no podemos ignorar los riesgos involucrados en procesos de modernización aislados de procesos más amplios de resguardo de los sistemas de información y comunicación, así como de protección de los intereses de las personas, consideradas tanto individual como colectivamente. Es siempre necesario contar con estudios del posible impacto sobre derechos humanos de los procesos de cambio tecnológico.
Lo que esperamos no es solamente un mejor sistema eléctrico, sino también un apropiado resguardo de los datos personales, de la ciberseguridad, e incluso del debido proceso cuando se requiera información de medidores. Del mismo modo, esperamos una regulación técnica acuciosa y una correcta implementación de la misma. Además, puesto que la seguridad de la información requiere atención continua, una fiscalización fuerte y un permanente reestudio de las condiciones de resguardo de la información almacenada y en tránsito. El costo de la modernización no puede ser el abandono de la seguridad de nuestra información.
La práctica de implementar bloqueos, shutdowns parciales y otras restricciones técnicas a la libertad de expresión en Venezuela no es reciente: los activistas de la libertad de expresión y los derechos digitales han reportado censura a páginas web al menos desde 2007. Esta práctica se suma a la restricción gradual de otros medios de comunicación, entre ellos: radiodifusión, prensa escrita y canales de televisión. Desde 2014, el gobierno de Venezuela bloqueaba herramientas de evasión de la censura, como TunnelBear, y para 2018 se confirmaba el bloqueo de la red Tor. La combinación de estos distintos factores, sumada a ciertas declaraciones polémicas por parte de personeros del gobierno de Nicolás Maduro, así como la promulgación de normativas como la llamada “Ley contra el odio”, evidencian desde hace tiempo ya una clara intención por incrementar el nivel de control sobre el flujo de contenido en redes.
Durante las últimas semanas, en el contexto de la crisis política y humanitaria que atraviesa el país, vemos con preocupación cómo las restricciones técnicas a la libertad de expresión están incrementándose en Venezuela. Entre otras medidas, se están experimentando bloqueos más sofisticados de contenidos, como filtrado de SNI a redes sociales (Twitter, YouTube e Instagram) que tienen lugar en momentos coyunturales de circulación de contenido político, como sucedió con las declaraciones dadas por el presidente de la Asamblea Nacional y presidente encargado, Juan Guaidó, que ante el bloqueo de los medios de comunicación tradicional son transmitidas a los venezolanos fundamentalmente a través de streaming.
Recientemente, se ha documentado un nuevo tipo de ataque, donde no solo se bloquea el acceso a contenidos sino que además se pone en riesgo la información personal de los usuarios activistas, al redirigirlos deliberadamente a portales falsos de registro de voluntarios para la recepción de ayuda humanitaria.
El portal objeto del ataque, voluntariosxvenezuela.com, fue anunciado por la coalición Ayuda y Libertad y por la Asamblea Nacional venezolana con la intención de aglutinar un voluntariado en torno a la entrega de medicinas, alimentos y otros productos de primera necesidad para contribuir a paliar la emergencia humanitaria compleja que atraviesa el país. Sin embargo, apenas horas después del anuncio del sitio, se descubrió que éste estaba siendo objeto de un ataque de suplantación de identidad. Según ha documentado la organización venezolana VeSinFiltro, la autoría de este nuevo tipo de ataque puede vincularse directamente al gobierno de Nicolás Maduro. Para entender mejor cómo se llevó a cabo esta campaña vale la pena hablar de cómo funcionan algunas partes de la internet que usamos para navegar a este o cualquier otro sitio.
Consultas DNS: cómo hacemos humanamente recordable la ubicación de un servidor
Cuando queremos acceder a un sitio web, generalmente recordamos un nombre como “derechosdigitales.org”, sin embargo, los servidores en internet se ubican de una forma más compleja: a través de direcciones IP que se reparten a lo largo de internet y son usadas para generar rutas eficientes que nos permitan llegar a servidores específicos en corto tiempo.
Cuando queremos consultar un sitio web específico tenemos que preguntarle a “alguien” cuál es la dirección IP de un sitio web particular para poder acceder. Este “alguien” es un servidor DNS que se encarga de recibir nombres de dominio (como derechosdigitales.org) y los transforma en las direcciones IP correspondientes (en este caso 92.243.9.206). Este proceso funciona así:
Normalmente, nuestros equipos usan como servidores DNS aquellos determinados por nuestro proveedor de servicio a Internet (ISP), que generalmente están bajo el control del mismo proveedor. Esto resulta en mayor rapidez de respuesta y una mejor experiencia de navegación. Lamentablemente, en algunos casos esto puede ser algo negativo, ya que cuando el control de estos servidores DNS está en manos de actores con intereses poco éticos o ilegales, esta tecnología puede ser usada de forma abusiva contra las personas que la utilizan.
Bloqueos por envenenamiento de registros DNS
Cuando quien administra el servidor DNS no quiere que un usuario pueda acceder a un sitio bastará con configurar como respuesta a la pregunta “¿Cuál es la dirección IP de sitioreal.com?” Simplemente “No existe”:
Esta es la técnica que se ha usado en Venezuela desde hace varios años por parte de varios proveedores para bloquear sitios web.
Redirecciones por envenenamiento de registros DNS
Pariendo del ejemplo anterior, en vez de decirle a los usuarios que un sitio no existe, también es posible responder de forma errónea que el sitio que buscan está en una dirección falsa. Esto permite ataques en donde se hacen sitios muy parecidos a los verdaderos, con el fin de engañar a los usuarios brindándoles información falsa o robando sus datos personales. Este tipo de ataque generalmente requiere complicidad entre quien administra el servidor DNS y quien administra el sitio falso.
Este tipo de ataque no se había documentado en Venezuela en el pasado; sin embargo, el día 12 de febrero se vio por primera vez la ejecución de este tipo de redirecciones en el ISP más grande del país, CANTV.
Uso de servidores DNS de confianza
Una de las medidas más recomendadas para sortear este tipo de ataques es el uso de servidores diferentes a los de nuestro proveedor para realizar las consultas DNS. Cuando un servidor DNS sea confiable, no debería haber problemas de bloqueos o redirecciones relacionadas al envenenamiento de registros DNS. Esta medida se ha recomendado ampliamente en el contexto venezolano y ha resultado exitosa en la mayoría de los casos, salvo en aquellos en los que se emplean técnicas diferentes a los bloqueos por manipulación de registros DNS. Algunos servidores conocidos son 8.8.8.8 y 8.8.4.4 de Google, 1.1.1.1 de Cloudflare y 208.67.222.222 de OpenDNS, entre otros.
Inyección de paquetes DNS: Llevando la manipulación técnica de información al siguiente nivel
Las consultas DNS viajan por defecto sin mayores protecciones por la red hasta el servidor DNS al cual se le pregunta por un sitio particular; por lo tanto, aun usando un servidor DNS de confianza diferente al de nuestro ISP para sortear ciertos tipos de bloqueo o redirecciones, es posible para el proveedor ver estas consultas DNS y saber a dónde queremos navegar realmente. El mayor problema con esto es que aún teniendo el equipamiento correcto se pueden interceptar estas solicitudes DNS y sustituirla por otras arbitrarias. Esta es una práctica deliberada que no se puede justificar a través de errores de configuración u otras causas fortuitas. Esta técnica puede servir tanto para bloquear como para redirigir, como se vio en los ejemplos anteriores.
BloqueoRedirección
¿Qué significa esto en el contexto venezolano?
Venezuela cuenta con una larga historia de persecución política a través de la captura de datos personales que data del año 2004, con la creación de la infame “Lista Tascón”: una base de datos que contenía la información personal de todos los ciudadanos que habían firmado solicitando un referendo revocatorio contra el entonces presidente Hugo Chávez. Esta lista fue utilizada para el amedrentamiento y la persecución de quienes en ese momento se oponían al gobierno, y aún hoy en día puede encontrarse -y adquirirse- en línea. Durante las décadas siguientes, el gobierno chavista continuó acumulando una enorme cantidad de datos personales, a través de los sistemas electorales, alimentarios y de salud pública, entre otros mecanismos, como el carnet de la patria.
En este contexto, el temor de los ciudadanos de que sus datos personales se encuentren en una nueva base de datos creada con fines de persecución política es hoy más legítimo que nunca. La administración de Nicolás Maduro, a través de CANTV y Conatel, las cuales están todavía bajo su control, está ejerciendo ataques de suplantación de identidad a activistas opositores de forma deliberada y con fines desconocidos. Si bien este ataque fue frenado por un grupo de activistas que se dieron a la tarea de detectar el ataque y reportarlo ante las organizaciones pertinentes como proveedores de hosting y navegadores web, los usuarios en Venezuela tendrán que adoptar medidas de seguridad más contundentes en función de proteger sus datos y su privacidad. Ya no basta con sólo cambiar los servidores DNS a otros de confianza, como se vio desde el mes de enero en donde se comenzaron a usar bloqueos mediante la interceptación de SNI, sino que se hace indispensable verificar elementos como la url y el certificado de seguridad al navegar en proveedores nacionales, incluso cuando se esté seguro de que se ingresó bien la dirección y que se está usando un servidor DNS de confianza.
Ante la sofisticación de las medidas de represión, censura, amedrentamiento y persecución que enfrentan las personas disidentes en Venezuela -y el daño que conllevan para el ejercicio democrático en un contexto tan delicado- es importante conocer las implicaciones de la tecnología que permitan hacer frente y sortear las estrategias de ataque que despliega el gobierno del país.
Desde hace algún tiempo hemos visto con preocupación una serie de retrocesos en términos de garantías democráticas en Venezuela, ya que progresivamente se ha restringido el ejercicio de la libertad de expresión y de información; el cierre de programas de radio, bloqueos a canales de televisión y la monopolización del papel prensa figuran entre las prácticas que disminuyen las ventanas informativas de los ciudadanos en el país.
Con el paso del tiempo esta intención de limitar la difusión de información crítica se extendió a internet, comenzando con señalamientos a medios de comunicación digitales y llegando a la detención arbitraria de personas por el contenido de sus publicaciones en redes sociales. Sin embargo, en términos técnicos, las medidas que se tomaban para limitar el acceso a la información en internet fueron más rudimentarias y en su mayoría consistieron en el bloqueo de sitios web mediante la modificación de registros DNS, los cuales eran implementados de forma esporádica e irregular entre los proveedores de acceso a internet (ISP).
La importancia de los registros DNS recae en la lógica de navegación con la cual logramos acceder a las páginas de internet. Cuando queremos ir a un sitio web nuestras computadoras preguntan a un servidor DNS en qué dirección IP (como se identifican los equipos en internet) podemos encontrar el sitio; cuando este servidor nos da de vuelta una dirección, nuestro navegador dirige nuestra conexión a ese servidor y exitosamente nos muestra el sitio de interés.
Cuando existen bloqueos por modificación de registros en el servidor DNS, este indica que no existe una dirección IP para ese sitio o nos enviaría una dirección IP errónea. Basta con configurar nuestra computadora o router para usar un servidor DNS confiable diferente al de nuestro proveedor de servicio para sortear este tipo de bloqueos.
Aumento de sofisticación en los bloqueos
Cuando en junio de 2018 se comenzó a reportar que desde el ISP más importante del país se estaba bloqueando el acceso a la red Tor, se evidenció que los responsables de la censura técnica estaban elevando el nivel de los bloqueos ejecutados. Con la información que se pudo recoger a través de análisis especializados, se determinó que no sólo se estaba bloqueando el acceso a las direcciones IP de los nodos que componen la red Tor, sino que también se estaban bloqueando algunos menos usados dentro de la misma para establecer conexiones en contextos de censura: poniéndose a la par de otros países con más trayectoria y sofisticación en el manejo y bloqueo de tráfico de la red Tor.
En enero de este año, en un contexto político con poderes que se desconocen entre ellos y estructuras paralelas (dos congresos, dos tribunales supremos de justicia, dos fiscalías generales, etc.), el presidente de la Asamblea Nacional asume la presidencia interina alegando un vacío de poder ya que no consideran válida la elección de mayo de 2018 por carecer de condiciones mínimas para ser vinculante. Acto seguido, en el portal Wikipedia apareció reflejado Juan Guaidó como presidente de la República, a las pocas horas los primeros usuarios comenzaron a reportar que no podían acceder al sitio a través de los servicios de CANTV: el ISP más importante del país, que además es manejado por el gobierno.
Después de recopilar evidencia técnica se descubrió que este bloqueo fue hecho por filtración de paquetes SNI. Para poder realizar este tipo de bloqueos es necesario tener un entendimiento más completo sobre el funcionamiento de la transmisión de datos en internet y capacidad de configuración del equipamiento correspondiente; para poder filtrar paquetes SNI en cuyo contenido figuren palabras clave particulares, en este caso wikipedia.org.
La técnica de bloqueo por filtración de paquetes SNI requiere que se revise el tráfico web de forma masiva ya que hace que un paquete necesario para establecer una sesión segura no sea entregado, impidiendo que se establezca la conexión de forma exitosa: evitando así la visualización de un sitio web, en este caso Wikipedia.
Luego de llevarse a cabo este bloqueo, el cual está siendo ejecutado de forma variable en el tiempo y en las diferentes regiones del país, se reportó que usando la misma técnica se estaba bloqueando el acceso a servicios como Youtube, Twitter e Instagram. Lo cual provee aún más evidencia sobre el uso intencional de esta nueva técnica para restringir el acceso a sitios incómodos para los entes censores.
Una particularidad de este tipo de bloqueos es que es resistente a algunas soluciones para acceder a sitios bloqueados: en el momento en que el ISP vea que queremos consultar un recurso en el dominio bloqueado nos interrumpirá la conexión, sin importar conozcamos la dirección IP del servidor al que nos queremos conectar (frustrando así un cambio de DNS por parte del usuario). En este escenario, la recomendación más sencilla es utilizar servicios de Red Privada Virtual (VPN) o Tor, ya que usando estas tecnologías nuestro ISP sólo ve tráfico de red cifrado y no puede saber a dónde nos queremos conectar.
Ante estos acontecimientos, vemos con preocupación la escalada en la sofisticación técnica con la que se están ejecutando los bloqueos en Venezuela. La combinación de bloqueos por filtrado de paquetes SNI y el bloqueo de plataformas de evasión de censura como Tor configuran una estrategia de censura técnica de alta eficacia, que obliga a los usuarios que deseen acceder a los contenidos bloqueados a tomar medidas cada vez más engorrosas a nivel de usabilidad o incluso inaplicables en aquellos contextos en los que el ancho de banda o la intermitencia del servicio no permiten establecer conexiones estables a la red Tor o a servicios VPN.
Desde Derechos Digitales nos hemos sumado al descontento de organizaciones internacionales ante el clima de represión y censura en Venezuela, del mismo modo hacemos un llamado a la comunidad local y global para participar en las iniciativas de registro de incidentes de bloqueo y mapeo de servicios que organiza la sociedad civil venezolana para hacer frente a estos abusos, promover la libertad de expresión y defender los derechos humanos en el país.
