Temática: Seguridad digital

Manual rápido de OONI Probe para monitorear bloqueos de sitios y servicios usando teléfonos Android


Instalación

La aplicación está disponible en la Google Play Store en https://play.google.com/store/apps/details?id=org.openobservatory.ooniprobe y en F-Droid en https://f-droid.org/packages/org.openobservatory.ooniprobe/ 

Existe una versión para iOS en https://apps.apple.com/us/app/id1199566366 la cual no ha sido probada para la realización de esta guía.

Inicialización

Al abrir la aplicación por primera vez dará un tour por las funcionalidades básicas del programa y al final hará un quiz sorpresa con preguntas relevantes sobre el riesgo de usar la aplicación, los dos puntos más importantes de considerar son:

  • Cualquiera que esté monitoreando nuestra red o nuestro tráfico de internet puede saber que estamos usando OONI Probe.
  • Los datos recopilados en las pruebas será cargado de forma automática al servidor central del proyecto (hacen lo posible por ocultar información con la que nos puedan identificar pero se advierte que en algunos casos esto puede ser insuficiente para anonimizar algunos resultados).

Uso básico

La interfaz principal de la aplicación es como sigue, se pueden ejecutar análisis sobre sitios web, clientes de mensajería instantánea, Rendimiento y Middleboxes (equipamiento usado para vigilar tráfico en internet), todas estas pruebas tienen opciones automáticas que son ejecutadas al momento de pulsar ejecutar y algunas permiten configurar exactamente qué se quiere probar.


Prueba sobre sitios web

Esta prueba analiza si existen bloqueos técnicos para consultar sitios web, además en caso de existir estima por qué métodos técnicos se están ejecutando los bloqueos correspondientes. Si se ejecuta en análisis por defecto que propone la aplicación se probara una lista preexistente por países que puede estar desactualizada dependiendo de la región particular. También se pueden definir sitios personalizados para probar y estas listas de sitios pueden ser compartidas por otros para que ejecuten más pruebas.

En caso de que quieras ejecutar pruebas sobre sitios propios, haz lo siguiente:


Prueba sobre servicios de mensajería

Esta prueba verifica que se puede acceder correctamente a Whatsapp, Telegram y Facebook Messenger. Sólo da opción de ejecutar la prueba para esos servicios de forma predeterminada, no permite agregar otros servicios 

Prueba de middleboxes

Esta prueba intenta detectar equipamiento usado generalmente para vigilar tráfico de red y en ocasiones censurarlo, esta prueba no toma ningún parámetro personalizado por lo que sólo es necesario pulsar ejecutar en la pantalla principal para iniciarlo

Compartir resultados

Aunque en https://explorer.ooni.org/ se pueden consultar los resultados cargados en el servidor de OONI Probe, normalmente estos tardan en aparecer, por lo que se recomienda buscar los resultados de forma manual y enviarlos a quien pueda interpretarlos o guardarlos en notas propias, correos electrónicos, etc. Para conservar documentación de los hallazgos.


Algunas consideraciones

  • Cuando el servicio de internet está intermitente es posible que algunos resultados sean falsos positivos, por lo que se recomienda.
  • Confirmar en varios dispositivos de varias personas antes de publicar que un sitio o servicio está siendo bloqueado.
  • Esta aplicación no está diseñada para medir apagones de internet, en este caso se recomienda documentar la falta de señal o cobertura de otras formas.
  • Esta aplicación NO detecta vigilancia de llamadas de voz o mensajes de texto.

¿Hacia dónde va el primer tratado sobe economía digital?

El pasado 17 de mayo, los representantes de Chile, Singapur y Nueva Zelanda anunciaron la negociación de un nuevo tratado de comercio internacional: el Acuerdo de Asociación sobre Economía Digital (Digital Economy Partnership Agreement, DEPA). La novedad es que este será el primer tratado comercial dedicado exclusivamente a abordar los desafíos de la economía digital, especialmente luego del estancamiento de las negociaciones en la materia a nivel de la Organización Mundial del Comercio (OMC).

La semana pasada, la Subsecretaría de Relaciones Económicas Internacionales de Chile (ex DIRECON) convocó la primera reunión oficial, permitiendo a los miembros de la industria, la academia y la sociedad civil chilenas conocer más detalles sobre la iniciativa. Los primeros acercamientos se produjeron en diciembre de 2018 y hasta el momento se han celebrado tres rondas de negociación. La negociación será cerrada entre los tres países hasta su conclusión, pero luego se permitirá la adhesión de cualquier país que pertenezca a la OMC. 

En cuanto a las materias que se van a incorporar en el tratado, estas van desde las más tradicionalmente vinculadas al comercio electrónico (pagos electrónicos, no aplicación de tarifas aduaneras a servicios digitales, firma electrónica, etcétera) a temas nunca incluidos en un tratado internacional, como la regulación de la inteligencia artificial y la tecnología de cadenas de bloques (blockchain). Vamos por partes.

Nobleza obliga

Entre los temas que se han propuesto en la negociación, hay dos que son particularmente positivos (ambos propuestos por Chile). El primero, es la inclusión explícita de normas que promueven la utilización del cifrado. Esto es relevante porque la tecnología de cifrado de comunicaciones (especialmente de punto a punto) se ha transformado en una herramienta indispensable para mejorar los estándares de ciberseguridad de las industrias y los distintos servicios digitales. En este sentido, el cifrado no solo asegura que las personas puedan ejercer su derecho a la inviolabilidad de las comunicaciones, sino que promueve la confianza de los usuarios en la seguridad de los servicios y plataformas que operan en el ciberespacio. Esto tiene un efecto económico tangible, ya que estudios indican que el 33 % de los consumidores expresa haberse abstenido de adquirir productos y servicios en línea debido a consideraciones de seguridad y privacidad.

Su inclusión también resulta positiva a la luz de la iniciativa de distintos países para debilitar el cifrado, exigiendo a los desarrolladores incorporar “puertas traseras” en sus servicios, para “descifrar” el contenido encriptado. Estas puertas traseras son verdaderas vulnerabilidades informáticas, que no solo pueden ser aprovechadas por los gobiernos que las exigen, sino que también por delincuentes informáticos, como ya ha sucedido. Si bien todavía no se han dado a conocer los textos para cada propuesta, la inclusión de una norma que impida a los países exigir la inclusión de puertas traseras en programas informáticos sería un gran paso en la promoción de la ciberseguridad y el comercio electrónico.

Entre los temas propuestos también se encuentra la inclusión de normas que consagren el principio de neutralidad de la red. Este principio busca asegurar que los operadores de internet traten todo el tráfico que pasa por sus redes de la misma forma, impidiendo que puedan bloquear, interferir o priorizar cierto tipo de tráfico por sobre otro. Este principio básico de internet no solo promueve la competencia y la innovación al impedir que los operadores de internet puedan llegar a acuerdos privados con proveedores de contenido, sino que también promueve la existencia de un internet libre y abierta, al impedir que los proveedores puedan decidir qué contenido debe obtener un trato preferencial. 

Lo que puede mejorar

Derechos Digitales ha sido crítico de las disposiciones sobre comercio electrónico que han sido incluidas en tratados internacionales anteriores, como CPTPP o TiSA. Una de nuestras críticas es que las normas sobre flujo transfronterizo de datos personales establecen un mismo criterio para los “datos” (así, en general) que para los datos personales. 

Internet funciona por capas. En un modelo simplificado, existe una capa de infraestructura (cables, servidores, etcétera), una capa de protocolo (estándares y código) y una capa de contenido (interacciones entre seres humanos). Nadie discute que la arquitectura de internet exige que exista un libre flujo de información. En otras palabras, en la capa de infraestructura no debe existir una discriminación de hacia dónde o cómo viaja la información (los unos y los ceros). Sin embargo, los datos personales no se regulan en la capa de infraestructura, sino que en la capa de contenido. Al ser datos que se vinculan a personas naturales, su recolección y procesamiento tiene que cumplir con la regulación de cada país y respetar los derechos fundamentales de las personas. Así, el Reglamento General de Protección de Datos Personales de la Unión Europea permite que los datos personales de sus ciudadanos solo puedan transmitirse a aquellos países que tengan un nivel “adecuado” de protección. 

La negociación de DEPA se presenta como una oportunidad para enmendar el camino y redactar una norma sobre flujo transfronterizo de datos personales que haga las distinciones que hacen falta. Consagrando el valor del libre flujo de datos en la capa de infraestructura, pero estableciendo que (en la capa de contenidos) los datos personales solo podrán ser transmitidos cuando cumplan con la respectiva legislación de datos personales, o a lo menos, con una protección normativa efectiva a favor de sus titulares.

Aspectos preocupantes

Lamentablemente, la negociación del DEPA también incluye materias que resultan sumamente problemáticas y que deberían ser abandonadas de plano. Así, la negociación incluye normas para promover la adopción de políticas públicas sobre “identidad digital” similares al sistema National Digital Identity de Singapur.

Estas políticas no solo son problemáticas en términos de ciberseguridad, ya que implican concentrar el manejo de todos los datos personales de los ciudadanos en una base de datos centralizada , sino que muchas veces van acompañadas de la utilización de tecnologías de control biométrico. Esto hace que cualquier tipo de filtración, vulneración o mal utilización de la información genere una afectación mucho más grave al derecho a la autodeterminación de las personas. 

Si nuestros datos se filtran, siempre podemos cambiar nuestro correo electrónico, teléfono, domicilio e incluso nuestros nombres, pero es imposible cambiar nuestra iris o huella digital. En este sentido, la biometría es como una caja de pandora: una vez abierta las personas se ven imposibilitadas de recuperar el control sobre sus datos. ¿Qué pasará el día que un gobierno sufra la filtración o robo de todos los datos biométricos de sus ciudadanos? Además, las políticas de identidad digital promueven el uso de un método único de identificación frente a organismos públicos, pero también ante el mundo privado como forma de facilitar las transacciones económicas. Esto implica aumentar la capacidad de perfilamiento y vigilancia sobre los ciudadanos, tanto de los gobiernos como de las empresas, con las consecuencias democráticas que ello conlleva. 

Por otro lado, DEPA propone incluir normas sobre regulación de plataformas que buscan combatir el terrorismo y el discurso de odio en línea. Si bien estos son objetivos completamente loables, la responsabilidad de los intermediarios y la regulación del contenido en las plataformas es hoy un tema sumamente polémico, por las profundas consecuencias que puede tener en materia de libertad de expresión. 

Hacer responsables directamente a los intermediarios del contenido que suben sus usuarios obliga a las plataformas a monitorear permanentemente lo que circula en sus servicios y bajar “preventivamente” y sin un debido proceso cualquier material que pueda ser infractor. A eso se suma el uso de algoritmos e inteligencia artificial pero, dado que ninguna máquina tiene la capacidad de comprender las complejidades del lenguaje humano, estos mecanismos han demostrado no ser confiables a la hora de moderar contenido.

Además, tales sistemas terminan bajando más contenido legítimo, mientras que el contenido que se busca combatir se mantiene disponible. También resulta problemático que sean empresas privadas las que terminan decidiendo sobre actos de expresión (muchas veces de forma muy deficiente) sin una ponderación entre derechos fundamentales. Por lo mismo, a pesar de las buenas intenciones, consagrar reglas sobre esta materia en un tratado internacional podría generar profundos efectos perjudiciales a futuro.

Por último, DEPA se propone reconocer la importancia y crear marcos para una implementación progresiva, confiable y segura de tecnologías emergentes como la inteligencia artificial y las cadenas de bloques. Más allá de los peligros que la implementación de la inteligencia artificial puede implicar en materia de sesgos algorítmicos, y que al parecer las cadenas de bloques no serán implementadas en la escala que alguna vez se especuló, no resulta recomendable que un tratado internacional se refiera a tecnologías particulares, que no necesariamente van a resistir el paso del tiempo. Una aproximación que involucre criterios de neutralidad tecnológica resultaría más aconsejable en esta materia.

En definitiva, la negociación de DEPA se presenta como una gran oportunidad para incluir temas que promuevan la ciberseguridad y la neutralidad de la red, al mismo tiempo que se mejora la forma en que se abordan materias que han sido tratadas de forma deficiente en el pasado. La promoción de la ciberseguridad, la certeza jurídica y una aproximación de derechos humanos en el tratamiento de datos personales es un elemento que sin duda favorecerá la confianza en el ciberespacio y el comercio electrónico. Sin embargo, esta oportunidad puede verse opacada por la inclusión de materias sensibles y que pueden ser incompatibles con el ejercicio de los derechos fundamentales de las personas. Por suerte la negociación todavía se encuentra en su etapa inicial y todavía hay tiempo para enmendar el rumbo en los temas problemáticos y profundizar en aquellos que son positivos.

Contra la persecución política a Ola Bini

Ola Bini es un reconocido activista por el software libre y experto en seguridad digital. Desde el 11 de abril de 2019 se encuentra sujeto a un proceso judicial en Ecuador, acusado de haber vulnerado sistemas informáticos. Tal proceso, sin embargo, ha sido ampliamente cuestionado por la multiplicidad de irregularidades cometidas y por estar bajo un sinnúmero de presiones políticas.

El primer elemento ha sido confirmado por el Habeas Corpus otorgado en junio pasado por parte del tribunal de la Corte Provincial de Pichincha y por las expresiones oportunamente realizadas por las Relatorías Especiales sobre la Libertad de Expresión de la Organización de Estados Americanos (OEA) y la Organización de las Naciones Unidas (ONU).[1] [2]

Por su parte, la Misión Internacional de la Electronic Frontier Foundation (EFF) enviada recientemente a Ecuador, tras conversar sobre esta situación con políticos, académicos y periodistas de distintas tendencias, ha concluido que la motivación tras el caso de Ola Bini es política, no criminal.[3] De hecho, todavía se desconoce cuáles son los sistemas informáticos de cuya vulneración se le acusó en un principio.

Junto con ello, una serie de hechos recientes han encendido nuevas alertas. En primer lugar, la vinculación de una nueva persona a la causa por el sólo hecho de mantener un vínculo profesional con Bini y a pesar de que en la audiencia respectiva no se presentaron los elementos jurídicos necesarios para cumplir con dicho trámite. Además, el Fiscal a cargo de la acusación decidió abrir dos nuevas líneas de investigación contra Ola Bini: por “defraudación fiscal” y “tráfico de influencias”. De tal forma, la fiscalía ahora se propone investigar por hasta el plazo de 2 años más al activista.

Esta última decisión sugiere que no se cuentan con pruebas que sustenten las acusaciones originalmente realizadas contra Bini y que la atención de la justicia y el gobierno ecuatoriano no está puesta en un delito, sino en una persona. Esto nos lleva a confirmar el temor expresado por algunas organizaciones internacionales que trabajan por los derechos humanos en internet que desde el momento de la detención de Ola Bini alertaron sobre la espiral de persecución política contra un activista de renombre internacional, cuyo trabajo es globalmente reconocido por la protección de la privacidad.

Considerando lo expresado más arriba y las conversaciones mantenidas en el marco del XII Foro de Gobernanza de Internet de América Latina y el Caribe (LACIGF por sus siglas en inglés), los abajo firmantes rechazamos el escenario persecutorio montado contra Bini, demandamos que se respete el debido proceso por parte de todas las funciones del Estado e instamos a que los actores políticos dejen de interferir en la justicia.

Firman:

  • Asociación para el Progreso de la Comunicaciones
  • Derechos Digitales
  • Electronic Frontier Foundation
  • Internet Bolivia
  • Intervozes
  • Fundación Karisma

[1] https://cnnespanol.cnn.com/2019/06/20/tribunal-de-ecuador-acepta-recurso-de-habeas-corpus-para-ola-bini/

[2] https://www.eluniverso.com/noticias/2019/04/15/nota/7287350/relatorias-onu-oea-cuestionan-detencion-ola-bini

[3] https://www.eff.org/es/deeplinks/2019/08/ecuador-political-actors-must-step-away-ola-binis-case

Sobre el ataque reportado a OpenPGP

Desde hace varios años, ha tomado mucha importancia en algunas comunidades el protocolo OpenPGP para establecer comunicaciones seguras y niveles de confianza entre actores desconocidos. En primer lugar, hay quienes desean o necesitan comunicarse de una forma en la que se garantice que nadie más con acceso al mensaje pueda leerlo, y por otro lado, hay quienes necesitan verificar si un contenido en realidad está siendo publicado por quien dice, y por lo tanto pueden confiar al momento de descargarlo y manipularlo.

Este último ejemplo resulta de especial interés, pues aunque no lo sepamos, muchas personas utilizan OpenPGP o protocolos similares para manejar actualizaciones de software. Esto se hace para garantizar que las nuevas actualizaciones sean provistas por los desarrolladores originales de los programas y no por algún atacante que nos engaña para que instalemos código malicioso en nuestros equipos, haciéndose pasar por el programa original que queríamos actualizar.

¿Qué necesitamos saber para entender el ataque?

Como tecnología e infraestructura, PGP puede resultar complicada de explicar. Para entender mejor el ataque que está sufriendo podemos repasar algunos conceptos clave de su diseño:

Llaves públicas y privadas

Para que PGP pueda funcionar, las entidades involucradas deben crearse un par de archivos llamados llave pública y llave privada: la primera está diseñada para repartirse por tantos canales como sea conveniente para que cualquiera que la tenga, pueda enviar mensajes confidenciales al titular de la llave; por su parte, la llave privada debe permanecer segura en manos de su titular, pues es la que le permite abrir los mensajes confidenciales que se han recibido utilizando la llave pública. Si esta llave cayera en manos de terceros se rompería toda la seguridad que brinda esta tecnología.

Cifrado y firmado de mensajes

Una de las peculiaridades del uso de estas llaves es que podemos cifrar un mensaje con una de las dos y solo puede ser descifrado usando la otra. El uso más común es usar la llave pública de alguien para cifrar y enviarle un mensaje confidencial, ya que la persona destinataria solo podrá descifrar y leer el mensaje con la llave privada correspondiente.

Otra utilidad es cuando publicamos algo cifrado con nuestra llave privada. En principio será ininteligible, pero cualquiera que tenga nuestra llave pública puede descifrar el mensaje, confirmando así que nosotros -que poseemos la llave privada- fuimos quienes escribimos el mensaje en cuestión, aumentando el nivel de confianza y certificando que el mensaje es auténtico. A este proceso nos referimos cuando hablamos de firmar un mensaje.

Firmado de llaves

De la misma forma en que se pueden firmar mensajes arbitrarios, también podemos firmar un mensaje diciendo que la llave de alguien mas en efecto es de esa persona y no de un tercero haciéndose pasar por ella. Este mensaje se puede agregar a la llave pública «firmada», entonces cuando la busquemos no solo encontraremos la llave pública como tal, sino además todas las firmas de aquellos usuarios que declaran la autenticidad de esta llave.

Servidores de llaves y sincronización

Para solucionar el problema de cómo conseguir llaves públicas de otras personas, existen servidores particulares que se dedican específicamente de esta tarea, almacenando y actualizando llaves públicas y firmas. Muchos de estos servidores hablan entre ellos para mantener su información sincronizada.

Como una decisión de diseño, cuando se programó toda esta infraestructura se decidió que cualquier usuario podía firmar una llave particular y que todas las llaves públicas se almacenarían con sus correspondientes firmas.

Para saber más sobre cómo funciona PGP y sus implementaciones se podemos consultar este artículo recomendado de la EFF Una mirada en profundidad al cifrado de extremo a extremo: ¿Cómo funcionan los sistemas de cifrado de clave pública? Para comenzar a enviar mensajes cifrados con este protocolo podemos consultar las guías disponibles en la guía Surveillance Self-Defense también de la EFF.

Ahora sí, ¿cómo es el ataque reportado?

A finales de Junio algunas personas integrantes y cercanas a la comunidad de OpenPGP anunciaron que sus propias llaves públicas estaban siendo inundadas de firmas sospechosas, llegando en algunos casos a más de 150.000 para el momento de publicación de este artículo, además todas estas firmas están siendo sincronizadas entre la mayoría de los servidores de llaves disponibles.

Como tal, tener una gran cantidad de firmas en una llave pública no debería afectar el funcionamiento del protocolo, sin embargo, muchas implementaciones y programas que usan OpenPGP no están diseñadas para manejar más de unas pocas decenas de firmas por llave pública, entonces al procesar estas llaves inundadas tardan mucho tiempo o incluso se cuelgan, inutilizando OpenPGP al actualizar, importar o usar llaves públicas comprometidas.

Este problema ha sido reportado en el pasado como una vulnerabilidad teórica producto de la decisión de diseño de permitir que cualquiera pueda firmar llaves públicas de otros. Esta «falla de diseño» nunca fue corregida y hasta ahora no había sido vulnerada.

¿Cuál es el alcance actual del problema?

En principio, hay que aclarar que las características de OpenPGP no han sido vulneradas en absoluto, solo que su funcionamiento previsto está siendo abusado para afectar a ciertos programas que utilizan este protocolo. Por otra parte, la confidencialidad o integridad de nuestros mensajes no ha sido comprometida, ningún tercero podrá leer nuestros mensajes antiguos o modificarlos. Lo que produce esta inundación de llaves públicas es afectar la forma en la que algunos programas se comportan al descargar o procesar llaves comprometidas.

De hecho, para el momento de publicación de este artículo se ha detectado el compromiso de unas pocas llaves públicas de personas puntuales, por lo que se especula que este tipo de ataques se van a masificar en el futuro cercano, pero en este momento OpenPGP debería funcionar igual que siempre para la gran mayoría de los usuarios.

¿Solo nuestros correos que usan PGP estarían afectados?

En principio no. Como comentábamos al principio hay otros procesos que dependen del uso de llaves públicas como la actualización de software, en donde se comprueba la veracidad de las actualizaciones disponibles revisando el firmado de las mismas por parte de los desarrolladores oficiales.

En estos casos, dependerá de cómo se realiza el manejo de llaves públicas y firmas de los desarrolladores para cada implementación, pero para que este tipo de ataques afecte a un canal de actualización de software se debería cumplir al menos lo siguiente:

  • Que la llave sea obtenida o actualizada desde un canal que permita agregar firmas arbitrarias a llaves públicas.
  • Que el sistema que procesa las llaves realice alguna acción con las firmas afectadas.
  • Que alguien haga la firma masiva del certificado de forma intencional.
  • Que se lleve a cabo todo el proceso antes de que los diferentes programas actualicen su funcionamiento para adaptarse a este problema.

¿Podemos hacer algo como usuarios y usuarias?

Para este momento existen varias estrategias que podemos seguir para evitar las afectaciones por este tipo de ataques:

  • No actualizar llaves en nuestros repositorios, solo usar llaves que ya tengamos guardadas y sean funcionales.
  • Descargar nuevas llaves y actualizar existentes desde fuentes que no guarden firmas de llaves:
  • Usar clientes que soporten Autocrypt, una tecnología reciente que consiste en enviar las llaves públicas de forma automática junto a los mensajes y que estas sean manejadas de forma automática sin considerar firmas entre otras características. En este momento la implementación más usada de OpenPGP que soporta Autocrypt es Thunderbird + Enigmail, pero debe ser activada manualmente.
  • Esperar por la implementación de soluciones en los programas que actualmente implementan OpenPGP (esto puede tardar).

¿Qué podemos esperar de este incidente?

En principio, aunque el potencial de daño parece importante, este ataque tiene a la fecha un alcance mas bien limitado, lo que nos brinda cierto margen de maniobra en términos de tiempo para informar la situación y aplicar los correctivos necesarios. Esto eplica tanto para usuarios como para desarrolladores, quienes necesitarán adecuar sus programas para no verse afectados por este tipo de problemas. Queda ver si esta inundación de llaves públicas se queda como está a modo de advertencia a la comunidad técnica o escalará y entonces tendremos que prepararnos para la afectación de otros aspectos impactados por el uso de OpenPGP.

Una de las reflexiones más relevantes respecto a este ataque es que cuando nos casamos con una tecnología nos casamos con su diseño, así como con sus defectos, que a veces pueden llevar a situaciones de afectación menor como hasta ahora ha sido con este incidente o a vulnerabilidades de seguridad importantes que pueden comprometer nuestras comunicaciones, datos o incluso el propio uso de nuestros equipos, como podría pasar si este problema de inundación de llaves llega a afectar de forma masiva la actualización de nuestros sistemas operativos.

Aún pendiente, la Estrategia Nacional de Ciberseguridad

En México un reciente estudio de hábitos de usuarios de internet muestra que las personas con acceso a internet pasan alrededor del 31% de su tiempo conectadas a alguna red social y se han documentado incrementos significativos -en relación al 2018- respecto a las actividades económicas (como transacciones o consultas bancarias), el uso de plataformas de comunicación digital, el uso de dispositivos móviles y la participación de personas de 6 años en adelante.

De acuerdo a este estudio alrededor del 59% de las personas que usan internet en México actualmente llevan más de 8 años siendo internautas, sin embargo aún existen brechas importantes en cuanto al tipo de acceso y la cobertura que los proveedores de servicio de internet tienen la capacidad de brindar a la diversa población del país donde la cifra de personas activas en internet actualmente equivale al 70% de sus habitantes.

Mencionar estas cifras resulta relevante en un país cuyas políticas en materia de seguridad y desarrollo nacional están cada vez más perfiladas hacia promover el acceso a internet y banda ancha “como servicios fundamentales para el bienestar y la inclusión social”, como estipula el Plan Nacional de Desarrollo 2019-2024; donde el gobierno de Andrés Manuel López Obrador declara que buscará que el 95% de la población de México tenga acceso a internet al finalizar el sexenio.

A pesar de esta propuesta, en el país aún existen conversaciones pendientes en torno a la Estrategia Nacional de Ciberseguridad que, como señaló Candy Rodríguez, en un contexto donde el mismo Estado ha incurrido en el uso de tecnologías de vigilancia para perseguir a actores clave en fomentar la participación ciudadana, exigir rendición de cuentas e informar a la ciudadanía: es fundamental contar con un documento que permita entender cuál será enfoque en materia de seguridad digital al que se ceñirá esta administración.

En una nota para Proceso, Neldy San Martín apuntó que “el plan estipula que la cobertura de internet se garantizará mediante la instalación de internet inalámbrico en carreteras, plazas públicas, centros de salud, hospitales, escuelas y espacios comunitarios, sin dar detalles de plazos ni la forma en la que se pretende hacer esto.” Lo cual nos remite a pensar que si bien existen posibilidades para ampliar el acceso a la red, no es claro el camino que seguirán… Como tampoco lo son las políticas en cuanto a la seguridad de dicho acceso o las protecciones a la privacidad de las personas que accedan a internet mediante estas redes públicas.

Con la puesta en marcha de la Guardia Nacional militarizada, una medida señalada por las controversias que presenta ante la falta de regulaciones firmes que eviten que se institucionalicen -y de este modo legitimen- medidas que vulneran los derechos fundamentales de las personas en México, como apuntó el representante de la ONU-DH, nos queda preguntar cuál será el rumbo que tomarán las políticas públicas en materia de seguridad digital en el marco de las promesas realizadas por la actual administración.

Si bien se ha ganado cierto terreno en materia de rendición de cuentas y transparencia desde la labor monumental realizada por integrantes de organizaciones no gubernamentales y la sociedad civil, aún no se han resuelto los procesos para castigar a los actores responsables del abuso de la fuerza y los recursos de inteligencia del Estado que, ante recientes revelaciones, continúan promoviendo el clima de violencia contra las posturas disidentes y la libertad de expresión en el país a través del abuso de las tecnologías de espionaje.

¿Estamos viviendo la calma antes de la tormenta o nos encontramos en el ojo del huracán? En un país donde la violencia parece escalar día con día y el gobierno muestra desinterés por acabar con la impunidad donde se enmarca, es importante mantener una postura firme en torno a la defensa de los derechos humanos en cualquier terreno donde sean menoscabados: es momento de romper el silencio respecto a las medidas para proteger a la ciudadanía y agilizar la rendición de cuentas pendientes.

¿Que acaso el cifrado no es mágico?

Arthur C. Clarke dijo alguna vez que cualquier tecnología lo suficientemente avanzada es totalmente indistinguible de la magia. Hoy, cuando el grado de sofisticación de los dispositivos que utilizamos cotidianamente los hace incomprensibles para la vasta mayoría de los usuarios, la línea entre ambas se ha vuelto más tenue que nunca. Por supuesto, esto no es más que la expresión de un deseo de omnipotencia mundana, alimentada por las efectivas campañas publicitarias de la industria dedicada a la venta de artefactos tecnológicos.

Una particular expresión de este fenómeno ocurrió esta semana, tras hacerse pública una vulnerabilidad de WhatsApp que posibilitaba un sofisticado ataque en el cual un teléfono celular podía ser infectado con el malware Pegasus tan solo con un llamado telefónico. Puedes leer los detalles acá y acá.

Pero lo «interesante» vino después: Bloomberg publicó una columna firmada por Leonid Bershidsky argumentando que el ataque demuestra que el cifrado de extremo a extremo implementado por WhatsApp es inútil, “un truco de marketing utilizado por compañías como Facebook para tranquilizar a los consumidores que desconfían de la cibervigilancia en una falsa sensación de seguridad”. La columna ha sido traducida y publicada en medios como 24 Horas y El Mostrador de Chile y Gestión de Perú.

Por su parte, la comunidad técnica se ha ensañado con el texto. Y con razón: Mike Masnick de Techdirt comparó la columna con un disparate antivacunas, “diciéndole a las personas que no se protejan”.  Por su parte, Matthew Hughes en The Next Web decidió explicar de forma relativamente didáctica para qué sirve el cifrado de extremo a extremo: impide que alguien intercepte la comunicación, pudiendo acceder a su contenido y modificarlo, o que alguien pueda ganar control sobre las credenciales de seguridad de una cuenta; ninguna de las dos tiene relación con la naturaleza de la vulnerabilidad descubierta en WhatsApp ni el ataque que posibilitaba. Como explica Hughes, “es como argumentar que nunca deberías usar cinturón de seguridad porque no te van a proteger si tu auto se cae por un barranco”.

Lo interesante de la columna de Bershidsky es que en su total y absoluto despliegue de desconocimiento y mala argumentación, expone una idea equivocada, pero probablemente muchísimo más común de lo que debería ser: que la seguridad es una suerte de estado binario – seguro/inseguro- que puede alcanzarse gracias al uso de una herramienta específica, capaz de protegerme de todo mal. Lamentablemente eso es magia y está muchísimo más allá de las capacidades de la tecnología.

La seguridad -de cualquier tipo, no solo aquella relativa al uso de tecnología- es un espectro de posibilidades, donde la meta es reducir al máximo los riesgos, pero que nunca es capaz de eliminarlos por completo. En el caso particular de la seguridad digital, se trata de un terreno altamente dinámico y en constantemente actualización, donde el descubrimiento de nuevas vulnerabilidades es relativamente común. Una eficaz estrategia de seguridad involucra el desarrollo de prácticas seguras, junto al correcto uso de un set de herramientas acorde a un análisis de los potenciales riesgos y sus consecuencias.

Evidentemente, esto es muy difícil de hacer. Sin embargo, es necesario, particularmente para aquellas poblaciones e individuos en particularmente vulnerables: activistas, periodistas, defensores de derechos humanos. Y el primer paso es tomar conciencia respecto a las limitaciones de la tecnología y de nosotros como usuarias y usuarios.

Internet también es una tecnología blanda

Más allá de cómo entendemos el feminismo en nuestras prácticas cotidianas, quienes participamos en Ciberseguras compartimos una sensación con respecto a la tecnología: la hostilidad, muchas veces dada por espacios mayoritariamente masculinos, donde se valora sobre todo el saber experto y la velocidad en la ejecución de tareas. Y no importan tanto nuestras primeras motivaciones, nuestros orígenes o nuestros intereses específicos a la hora de comenzar a explorar estrategias de seguridad digital, lo central aquí es que, a partir de esas primeras experiencias, decidimos hacerlo de otra manera y en ese camino es que nos hemos ido encontrando.

La primera reunión de Ciberseguras ocurrió hace poco menos de dos años en Quito, Ecuador, justo antes de que comenzara el I Encuentro Internacional de Ciberfeminismo; su historia, sin embargo, comienza más atrás, en el año 2014 en México, en el acompañamiento a mujeres que estaban siendo hostigadas en internet. Pero hace dos años comenzamos a imaginar juntas, entre compañeras de diferentes lugares de América Latina, un espacio para consultar recursos en lengua hispana sobre género y tecnología. Nos planteamos entonces la necesidad de acompañar esta búsqueda, reconociendo que, en estos temas, no todas tienen muy claro lo que buscan, ni tienen necesariamente los mismos intereses.

Definimos que en ciberseguras.org habría información sobre tecnología y feminismos, organización de encuentros como talleres y festivales, y protección de dispositivos electrónicos. Luego nos pusimos en la tarea de construir la página, que fue re-lanzada el 24 de abril de 2018, conmemorando dos años de las manifestaciones contra la violencia de género realizadas en México en 2016. De eso ha pasado un año de trabajo continuado, que celebramos hace una semana en nuestra segunda reunión en Bogotá, Colombia. Como buscamos espacios para aprender juntas sobre la tecnología, nos tomamos un día de la reunión para practicar juntas cómo usar GitLab para la organización y documentación de procesos, pero la mayor parte del tiempo se fue en trabajar nuestra red humana, como base fundamental para que nuestras acciones dentro y fuera de internet sean potentes, transformadoras y duraderas.

Y hablando de que hace treinta años comenzó a funcionar la Web, es decir la internet utilizada por las personas, desde sus hogares -los cibercafés, las bibliotecas o los centros educativos- y para sus actividades cotidianas, vale decir que esta red, como las redes humanas, está basada en la confianza, ya que sin conocer a fondo cómo funciona el sistema que hace posible nuestra navegación, podemos ir de una página a otra gracias a los servicios de indexación, transporte y alojamiento de información que nos ofrecen diferentes empresas alrededor del mundo. Pero ese es un tema muy amplio y complejo en el que no profundizamos durante la reunión, pues había cosas más cercanas e importantes que tratar.

El punto es que hoy, cuando el acceso a internet se considera un derecho humano y por tanto se busca conectar a todas las personas del mundo sin importar sus condiciones económicas, políticas, sociales o culturales, la confianza se vuelve un tema central a la hora de preguntarnos, ¿cómo queremos estar conectadas? Y es que nosotras, mujeres de ciudades tan distintas, sabemos que no ‘todos los usuarios’ accedemos por igual. Así que como red, en Ciberseguras buscamos construir confianza entre nosotras y nos proponemos trabajar en nuestros contextos locales también a partir de la confianza, con las personas que participan de los espacios de encuentro y aprendizaje que organizamos.

En internet pareciera que la confianza reposa en la precisión de los sistemas informáticos y sus mecanismos de respuesta, validación y corrección de errores, o en las políticas de transparencia de las empresas que desarrollan y mantienen esos sistemas donde se procesan nuestros datos. Cuando se trata de las personas que utilizamos internet se habla más del consentimiento, que a su vez pareciera limitarse a la capacidad de decir no en un contrato establecido con quienes recolectan, almacenan y gestionan datos. Un contrato protegido por una regulación para la cual somos consideradas ‘un sujeto de derechos’.

El problema con la confianza, si hablamos de internet, es que no es reductible a un sistema de respuesta, es una tecnología blanda -si se quiere buscar un término que la describa en el contexto de internet-, se construye de a pocos, requiere cuerpo y disposición, se basa en acuerdos y aunque estos se registren en algún lugar, siempre pueden renovarse, flexibilizarse, discutirse. Toman tiempo. El problema de la confianza, y también su más grande potencia, es que debe negociarse siempre, reconociendo las diferencias de quienes participan. Estas diferencias se expresan en necesidades, intereses y percepciones diversas sobre el mundo. Y para nosotras las Ciberseguras, estas son las bases de un trabajo feminista en cualquier ámbito; en el de la tecnología -que nos apasiona- también.

Implementación del Convenio de Budapest en Chile: a tiempo para enmendar el rumbo

El pasado 15 de abril se cumplió el plazo para el ingreso de indicaciones en el proyecto de ley de delitos informáticos, que busca implementar las disposiciones del Convenio de Budapest en Chile. A través de este proceso, tanto el ejecutivo como los senadores ingresaron propuestas de modificación al proyecto. La buena noticia es que muchas de las inquietudes y propuestas de la sociedad civil, los académicos y la comunidad técnica fueron recogidas por los senadores (incluyendo las de Derechos  Digitales). El ejecutivo presentó modificaciones menores -muchas de ellas positivas- pero mantuvo su posición en algunos de los aspectos más problemáticos del proyecto.

El martes 23, la Comisión de Seguridad del Senado retomó la discusión del proyecto, comenzando su votación en particular. Es decir, a discutir y votar cada una de las indicaciones con el fin de alcanzar un texto final.

El proyecto original utilizaba una terminología confusa y poco adecuada respecto a qué condiciones se tienen que cumplir para que alguien se considere culpable de cometer un delito informático. Se proponía castigar a quien “maliciosamente” o “indebidamente” cometiera algunos de los ilícitos descritos en el texto del proyecto. El primer término -utilizado por nuestra legislación actual- es excesivamente subjetivo, exigiendo una intencionalidad específica de cometer un daño, la que suele ser difícil de probar. El segundo es excesivamente amplio, siendo sinónimo de “sin permiso”, sin exigir que se haya obtenido o hecho un mal uso de la información, o se haya superado una barrera técnica.

Una de las principales recomendaciones de la sociedad civil y la academia fue reemplazar estos términos por aquellos utilizados por el propio Convenio de Budapest, el que exige que las conductas sean cometidas de forma “deliberada y ilegítima”. Esta recomendación fue recogida por varios senadores -entre ellos los senadores Pugh, Araya, Harboe e Insulza- y tiene la particularidad de cumplir con uno de los objetivos del Convenio de Budapest: establecer criterios comunes en la legislación de delitos informáticos a nivel internacional. Por otro lado, exigir que los delitos se cometan de forma deliberada e ilegitima asegura que no se castiguen conductas lícitas, castigándose sólo aquellas que se realicen de forma premeditada y sin un derecho que las ampare.

Avances en la tipificación del acceso informático ilícito

Estas distinciones jurídicas pueden parecer completamente abstractas y académicas, pero tienen un efecto concreto en cómo se podrán aplicar estos tipos penales a futuro. En una columna anterior, expliqué cómo la actual redacción del delito de acceso informático puede terminar criminalizando la legítima labor de consultores, expertos y técnicos en materia de ciberseguridad que se dedican a identificar y notificar vulnerabilidades o fallas en los sistemas informáticos.

El ejecutivo parece haber tomado nota de las recomendaciones hechas por los invitados a exponer en la Comisión y al menos incluyó uno de los elementos necesarios para subsanar este artículo; también propone, como requisito para el delito de acceso informático, que el infractor sea quien supere una barrera técnica. Este cambio es positivo, ya que la comisión de un delito informático necesariamente requiere la superación de una barrera de seguridad, de otra forma la señal que se está dando es que basta un incumplimiento de los términos y condiciones de un sistema o sitio para que se configure el delito de acceso informático ilícito.

Sin embargo, este tipo penal requiere de otras modificaciones, que afortunadamente fueron recogidas por los senadores. La ya comentada inclusión de los términos “de forma deliberada e ilegítima” es particularmente importante en este delito, debido a que los expertos informáticos que detectan y dan a conocer vulnerabilidades informáticas efectivamente vulneran barreras técnicas de seguridad; pero lo hacen de forma legítima, porque su objetivo no es conocer o apropiarse de la información contenida en ellos. Por ello, resulta acertado que se haya propuesto que la redacción del artículo exija que el acceso se realice con el ánimo de conocer, apropiarse o utilizar la información contenida en el sistema para ser un delito.

Los senadores Araya, Harboe e Insulza incluso fueron más allá: proponiendo una excepción específica para quienes realicen labores de investigación de seguridad informática, eximiéndolos de responsabilidad en la medida que notifiquen sin demora la vulnerabilidad al responsable del sistema. De reflejarse en el texto final del proyecto, la inclusión de estos requisitos y excepciones permitirían que este tipo penal sea aplicable sólo a los delincuentes informáticos que el proyecto busca perseguir y no a otros actores del ecosistema de la ciberseguridad.

Criminalización del cifrado

Otro de los aspectos negativos del proyecto de ley era que establecía como agravante de la comisión de un delito informático, el haber utilizado tecnología de cifrado para burlar la persecución de la justicia. Ya he comentado cómo esta norma es contraria al principio de no incriminación y que el hecho de que el cifrado de punto a punto se está transformando en un estándar de la industria haría que todos los delitos informáticos vinieran -por defecto- agravados.

La propuesta del ejecutivo para subsanar esta situación es mantener esta agravante, pero bajo un criterio de neutralidad tecnológica, agravando el uso de “tecnologías destinadas a destruir u ocultar en una investigación penal”. Si bien este es un avance, en la práctica todavía estaría criminalizando la utilización del cifrado. Por otro lado, esta agravante sigue siendo contraria al principio de no incriminación, ya que es natural que una persona que cometa un ilícito tome las medidas necesarias para no ser descubierta y perseguida.

Aumento de retención de metadatos: la gran batalla

En una acertada columna, el académico Pablo Contreras explica cómo la extensión del período de retención de metadatos propuesta por el proyecto de ley resulta desproporcionada, lesiva de derechos fundamentales y en la práctica busca legalizar lo propuesto por el infame Decreto Espía. Los distintos expertos, académicos y miembros de la sociedad civil que expusieron en la Comisión de Seguridad Ciudadana mostraron su oposición a este aumento de la capacidad de vigilancia del Estado. Sin embargo, el ejecutivo decidió mantener su posición de aumentar, tanto el período de retención de las comunicaciones de todos los chilenos -a dos años-, como el tipo de tráfico a almacenar, incluyendo información relativa a la ubicación de las personas.

Afortunadamente, la voz de los expertos fue recogida por gran parte de los senadores; quienes propusieron la eliminación o modificación de este artículo para mantener el período de retención en su plazo actual de un año. Esta modificación puede incluso transformarse en una oportunidad para modificar la expresión utilizada actualmente por el Código Penal, el que establece que los datos de tráficos serán almacenados por un período “no menor a un año”. Establecer un límite preciso y la obligación de eliminar la información de manera segura luego de cumplido el plazo se presenta como una mejora importante, e impide la existencia de recurrentes interpretaciones antojadizas a futuro.

Continúa la tramitación…

El hecho de que los senadores hayan ingresado indicaciones positivas no es garantía de que el proyecto de ley sea efectivamente modificado para subsanar todas sus deficiencias. Estas indicaciones todavía tienen que ser discutidas y votadas por la Comisión para alcanzar un texto final. El pasado martes la Comisión votó el artículo 1 (ataque sobre la integridad del sistema) y el artículo 3 (interceptación ilícita), que eran las normas menos polémicas del proyecto. La Comisión comenzó la discusión del artículo 2, sobre acceso informático, pero al no alcanzar un consenso solicitó la creación de un grupo de trabajo especial para destrabar la discusión.

Es de esperar que en las próximas semanas la Comisión retome la discusión y votación de las disposiciones particulares. Esperamos que en dicho diálogo primen las consideraciones técnicas y las recomendaciones otorgadas por los expertos. Las indicaciones presentadas por los senadores significan un avance importante para que le proyecto efectivamente busque promover la ciberseguridad en nuestro país y resultaría positivo que estas sean incorporadas al proyecto.

En este contexto, una coalición de expertos informáticos, académicos y miembros de la sociedad civil hizo llegar el martes pasado una carta abierta a la Comisión de Seguridad resumiendo los puntos clave que el proyecto debe modificar para proteger los derechos de las personas, promover la ciberseguridad y permitir el florecimiento de la industria de la seguridad informática en nuestro país.

Por una ley de delitos informáticos que promueva la ciberseguridad

En 2018 la ciberseguridad ocupó la portada de todos los grandes medios y se transformó en un tema prioritario para gobiernos y las empresas privadas. No podía ser de otra forma: a medida que la tecnología pasa a ser un componente crucial de nuestra economía, en nuestras comunicaciones y en casi todos los aspectos de nuestra vida cotidiana, se vuelve necesario que el entorno digital sea seguro.

En este contexto, la implementación de las disposiciones del Convenio de Budapest sobre ciberdelincuencia se presenta como una oportunidad para que Chile actualice su marco normativo y así enfrente de forma efectiva el fenómeno de la cibercriminalidad.

Lamentablemente, el proyecto de ley ingresado por el Ejecutivo — y que hoy se discute en la Comisión de Seguridad Pública del Senado — contiene disposiciones que, lejos de permitir que las personas y las empresas se desenvuelvan de forma más segura en el ciberespacio, podrían deteriorar la labor de quienes se dedican a la ciberseguridad en nuestro país.

Las personas abajo firmantes, académicos y profesionales, integrantes de la sociedad civil y expertos en ciberseguridad, hacemos un llamado al gobierno y a quienes conforman la Comisión de Seguridad Pública del Senado para subsanar los siguientes aspectos del proyecto:

  1. Criminalización del pentesting: Esta práctica es fundamental para el ecosistema de la ciberseguridad, ya que otorga a consultores independientes la capacidad de probar la seguridad de los sistemas informáticos y reportar, de buena fe, eventuales vulnerabilidades a su administrador. En la versión actual del proyecto de ley, el delito de acceso informático exige que este se haya realizado de forma “indebida”, es decir, sin permiso. Esto abre la puerta para la criminalización de una actividad que no solo es lícita, sino que es esencial para permitir el diagnóstico y reporte de vulnerabilidades informáticas.  
  2. Utilización del cifrado como agravante penal: El proyecto establece que la responsabilidad penal se verá agravada cuando se utilice tecnología de cifrado para obstaculizar la labor de la justicia. Esta propuesta es técnicamente inconducente, ya que es una tendencia a nivel de industria y de estandarización a nivel mundial la implementación de tecnología de cifrado de punta a punta en sus productos. Por otro lado, el cifrado es un elemento esencial para fomentar la seguridad de las comunicaciones y transacciones. Tal como establece la Política Nacional de Ciberseguridad, es labor del Estado promover la tecnología de cifrado, no obstaculizar su uso.
  3. Aumento del período de retención de metadatos: El proyecto aumenta de uno a dos años el período en que las empresas proveedoras de internet tendrán que almacenar datos de tráfico de sus usuarios, e incrementa la variedad de tipos de datos e informaciones a retener. Consideramos que esta obligación es desproporcionada y contraria al derecho a la privacidad de los ciudadanos, y expone innecesariamente información altamente sensible a ser objeto de filtración, ataques informáticos o uso no autorizado, volviendo a los usuarios más vulnerables.
  4. Sobre la evidencia digital: Se plantea que los procedimientos de preservación y custodia se ajusten a lo que indique una persona (Fiscal Nacional), pero no hace referencia a que una entidad, como el Instituto Nacional de Normalización (INN) sea quien dicte los marcos referenciales para este tipo de procesos que son extremadamente delicados, ya que pueden constituir pruebas que permitirían la acusación penal de una persona. Actualmente existen normas internacionales que velan por el tratamiento de la evidencia digital de forma adecuada y que incluso la OEA promueve. No parece prudente que sea únicamente una persona quien dicte los procedimientos que se deben utilizar en informática forense como normativa legal.




Firmantes:  

  • María Paz Canales, directora ejecutiva Derechos Digitales
  • Joshua Provoste, Investigador de Seguridad Informática
  • Alejandro Barros, Académico Asociado – Centro de Sistemas Públicos (U. de Chile)
  • Juan Anabalón, Presidente del Information Systems Security Association (ISSA Chile)
  • Pablo Contreras, Académicos Universidad Autónoma de Chile
  • Paulo Colomés F, Académico e Ingeniero de proyectos en NIS.CL
  • Leo Soto M., Consultor Lider para Banca y Pagos en Continuum.
  • Ignacio Parada Poblete, Presidente de MITI A.G. – Asociación Gremial Mejor Industria TI.
  • Claudio Álvarez Gómez, Académico Universidad de los Andes
  • Mauricio Castro, CTO Magnet SpA
  • Alma Negrete, Gerente General DevArtisan SpA
  • Tomás Vera, CINNO Zenta Group SpA
  • Luis Cruz, Managing Director en 2Brains
  • Gert Findel, Director Ejecutivo Acid Labs
  • Manuel Moreno, CEO GlobalSecure Academy
  • Manuel Suárez, Gerente General Synaptic
  • Javier Urrutia T, CEO coreDevX SpA




Puedes adherir firmas, a título institucional o personal, a través del siguiente formulario:

[ninja_forms id=37]