Temática: Seguridad digital

Pronunciamiento de las organizaciones civiles latinoamericanas: Exigimos liberen a Ola Bini

El jueves 11 de abril, la policía ecuatoriana detuvo en el aeropuerto de Quito a Ola Bini, ciudadano sueco residente en Ecuador, desarrollador de software y activista por la privacidad y la libertad en internet, mientras trataba de tomar un vuelo hacia Japón. Según las autoridades ecuatorianas, el arresto estaría justificado en la relación de Ola Bini con WikiLeaks, que lo implicarían en supuestas conductas ilegales.

Ola Bini es un experto altamente respetado en seguridad digital y criptografía, y es reconocido por sus importantes contribuciones en este campo. Es miembro de varias redes europeas e internacionales, y participa en proyectos de alto nivel, varios de ellos patrocinados por la Comisión Europea.

Nos preocupa que el arresto y la detención de Bini sea parte de una campaña contra la comunidad de personas desarrolladoras que construyen herramientas de tecnología de seguridad digital, que garantizan el disfrute de los derechos humanos en internet y las comunicaciones seguras en línea.

Las tecnologías de seguridad digital, incluidas las de cifrado, son herramientas importantes para salvaguardar el ejercicio de derechos humanos en internet de la ciudadanía. El Consejo de Derechos Humanos de la Organización de las Naciones Unidas incluso ha reconocido en su Resolución 33/2 de 2016 que estas tecnologías son valiosas para proteger a las y los periodistas, pues proveen un canal seguro para sus comunicaciones y preservan la confidencialidad de las fuentes.

[left] Dada la importancia que tienen las herramientas digitales para el disfrute de derechos humanos, las personas que desarrollan tecnologías de seguridad digital –como Ola Bini– no deberían ser criminalizadas. [/left]

El día de la detención, funcionarios del Gobierno ecuatoriano anunciaron que estaban a punto de tomar medidas contra cuatro individuos descritos como “dos hackers rusos, un colaborador de WikiLeaks y una persona cercana a Julian Assange”, alegando que estas personas estaban tratando de “establecer un centro internacional de piratería” en Ecuador. Expresamos nuestra preocupación por la arbitraria privación de libertad de Ola Bini. La misma se ejecutó de manera injustificada, poco clara y con una orden judicial irregularmente emitida, violentando el marco internacional e interamericano de derechos humanos que garantizan el debido proceso y garantías de protección a los derechos fundamentales de las personas.

Con posterioridad, la Fiscalía General de Ecuador declaró que a Bini se le acusa de su “presunta participación en el delito de atentado contra la integridad de los sistemas informáticos” y de intentar desestabilizar el país. Como prueba, el Fiscal General presentó una serie de dispositivos digitales, como computadoras portátiles, iPads, iPods, cables USB y dispositivos de almacenamiento de datos cifrados, libros, así como patrones de viaje y pagos por servicios de internet. Reiteramos que el uso de dispositivos digitales no puede ser utilizado como una medida para incriminar a personas cuyo trabajo se apoya en el uso de software libre y está vinculado al desarrollo de herramientas de seguridad digital.

Los cargos, la vinculación de Bini con Wikileaks y las pruebas, más que sostener la acusación, estigmatizan y criminalizan actividades legítimas y necesarias para la protección de los derechos humanos. Las irregularidades de su detención, generan una profunda preocupación sobre la negación a Ola Bini de sus derechos al debido proceso y a la defensa. Lo anterior configura una persecución y criminalización del activismo en favor de la la libertad de expresión y el acceso a la información. Tanto el Relator Especial sobre libertad de expresión de la Comisión Interamericana de Derechos Humanos, Edison Lanza, como el Relator Especial de a ONU sobre la promoción y protección del derecho a la libertad de opinión y expresión, David Kaye, han expresado públicamente su preocupación por lo que demuestra hasta ahora ser una detención arbitraria.

Las organizaciones firmantes, provenientes de América Latina y el Caribe, rechazamos la criminalización de las actividades de desarrollo de herramientas de seguridad digital y habilitadoras de los derechos humanos en Internet, particularmente, de la libertad de expresión. Reconocemos que es fundamental proteger la seguridad de las comunicaciones, anonimato y el derecho a la privacidad de periodistas y sus fuentes, así como de defensores de derechos humanos en un contexto de creciente violencia en la región.

Por lo tanto, exigimos al Gobierno del Ecuador libere inmediata e incondicionalmente a Ola Bini y que retire todos los cargos en su contra.

Firman:

  • Actantes
  • Artículo12, A.C. México
  • Artículo19 México
  • Artigo19 Brasil
  • Asociación por los Derechos Civiles (ADC)
  • Asociación de Software Libre del Ecuador
  • Casa da Cultura Digital Porto Alegre
  • Centro de Estudos da Mídia Alternativa Barão de Itararé
  • Centro de Mídia Independente Brasil
  • Ciranda Inter. Comunicação Compartilhada
  • Coletivo Digital
  • Coletivo Saravá
  • Derechos Digitales
  • Electronic Frontier Foundation
  • Escola de Ativismo
  • Fórum Nacional pela Democratização da Comunicação — FNDC
  • Fundación Ciudadanía Inteligente
  • Fundación Karisma
  • Garoa Hacker Clube
  • Instituto Bem Estar Brasil
  • Instituto Educadigital
  • Instituto de Pesquisa em Direito e Tecnologia do Recife — IP.rec
  • Instituto Prensa y Sociedad de Venezuela
  • Internet Sem Fronteiras Brasil
  • Intervozes — Coletivo Brasil de Comunicação Social
  • Rede Latino-americana de Estudos sobre Vigilância, Tecnologia e Sociedade — Lavits
  • Usuarios Digitales

Medidores inteligentes: la invasión “smart” que llega hasta los hogares

La atención pública que en Chile recibió la renovación de los medidores de consumo de energía eléctrica por otros aparatos “inteligentes”, a pesar de estar centrada en el probable aumento del precio del servicio, trajo también preocupación y alarma por otros impactos en las personas. En particular, sobre las capacidades de estos aparatos para generar información de las usuarias de energía eléctrica, vulnerando su intimidad.

No es un problema nuevo: en Europa y en los Estados Unidos ha habido resistencia a la instalación de estos medidores, especialmente fundada en los riesgos sobre la privacidad. El escenario ha sido distinto en América Latina, donde además de Chile, países como Argentina, Brasil, Colombia, México y Perú llevan años de programas piloto y de planificación e implementación progresiva de smart grids, con medidores inteligentes, sin similar oposición. Pero a pesar de parecer una muestra más de un futuro inevitable, las preocupaciones invitan a revisar hacia dónde estamos avanzando.

[left] Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad.[/left]

El resguardo de los datos

La oposición en países como Francia u Holanda tenía pleno sentido. Que un medidor siga el comportamiento a intervalos de 15 minutos en principio podría apenas dar información sobre un consumo que sube y baja, tal como observar un medidor analógico en tiempo real. Pero el acceso a información así de detallada podría permitir inferir la clase de aparatos eléctricos que se utilizan en un hogar, detectando patrones de conducta y formulando perfiles a partir de los mismos. Es decir, información personal se produce, almacena y envía a las empresas de energía, de una forma en que antes no ocurría. Por cierto, las empresas siguen ceñidas a las obligaciones asociadas a la protección de datos personales.

En segundo lugar, esa información personal puede ser requerida por órganos de persecución criminal. A falta de regulación expresa en la materia, no es difícil pensar en requerimientos no sujetos a reglas de debido proceso; no obstante, la experiencia en los Estados Unidos da cuenta del resguardo constitucional, que en términos afines a los bloques constitucionales en buena parte de América Latina, haría exigible el control judicial ante el requerimiento de esa información.

En tercer lugar, esa información personal en principio sería conocida por las empresas de suministro de electricidad. Puesto que se envía información a distancia, es posible pensar en ataques maliciosos por parte de terceros, afectando la información que se transmite. En cuarto lugar, la capacidad remota de control sobre el suministro implica que tales ataques podrían dirigirse al suministro mismo.

Si bien en Chile el Anexo Técnico sujeto recientemente a consulta pública detallaba exigencias de seguridad que controlarían buena parte de los riesgos, el control de la correcta implementación de tales medidas constituye un nuevo ámbito de las funciones de la autoridad, vinculado a la seguridad digital, que requiere renovadas capacidades y recursos.

Smart metering para smart cities

El uso de medidores inteligentes no hace cambiar necesariamente el costo del servicio eléctrico. Lo que sí permite es un seguimiento, individual y agregado, de los momentos y días de mayor consumo, con el fin de controlar el consumo propio o de diseñar sistemas tarifarios diferenciados por horario, además de gestionar remotamente el suministro y su facturación, detectar hurtos de energía y hasta permitir la alimentación de la red (una vez convertida en smart grid) desde paneles solares. Junto con hacer más eficiente el sistema, permitiría un control sobre el consumo tendiente al ahorro energético.

En principio, suena moderno y flexible. Pero no precisamente como una necesidad para mejorar hábitos de consumo. Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad. Con ello, se apunta a la conversión del espacio urbano compartido en una smart city, con el consiguiente aumento de los riesgos de vigilancia, como de modelamiento del comportamiento, sin siquiera comenzar a abordar los serios problemas de desigualdad y de acceso a servicios que aquejan a ciudades que aspiran a ser “inteligentes”, como Santiago de Chile.

Modernización y derechos humanos

Aunque ni la modernización energética en general ni el recambio de medidores en particular son intrínsecamente negativos, no podemos ignorar los riesgos involucrados en procesos de modernización aislados de procesos más amplios de resguardo de los sistemas de información y comunicación, así como de protección de los intereses de las personas, consideradas tanto individual como colectivamente. Es siempre necesario contar con estudios del posible impacto sobre derechos humanos de los procesos de cambio tecnológico.

Lo que esperamos no es solamente un mejor sistema eléctrico, sino también un apropiado resguardo de los datos personales, de la ciberseguridad, e incluso del debido proceso cuando se requiera información de medidores. Del mismo modo, esperamos una regulación técnica acuciosa y una correcta implementación de la misma. Además, puesto que la seguridad de la información requiere atención continua, una fiscalización fuerte y un permanente reestudio de las condiciones de resguardo de la información almacenada y en tránsito. El costo de la modernización no puede ser el abandono de la seguridad de nuestra información.

#Venezuela: Cuando el atacante es el gobierno

La práctica de implementar bloqueos, shutdowns parciales y otras restricciones técnicas a la libertad de expresión en Venezuela no es reciente: los activistas de la libertad de expresión y los derechos digitales han reportado censura a páginas web al menos desde 2007. Esta práctica se suma a la restricción gradual de otros medios de comunicación, entre ellos: radiodifusión, prensa escrita y canales de televisión. Desde 2014, el gobierno de Venezuela bloqueaba herramientas de evasión de la censura, como TunnelBear, y para 2018 se confirmaba el bloqueo de la red Tor. La combinación de estos distintos factores, sumada a ciertas declaraciones polémicas por parte de personeros del gobierno de Nicolás Maduro, así como la promulgación de normativas como la llamada “Ley contra el odio”, evidencian desde hace tiempo ya una clara intención por incrementar el nivel de control sobre el flujo de contenido en redes.

Durante las últimas semanas, en el contexto de la crisis política y humanitaria que atraviesa el país, vemos con preocupación cómo las restricciones técnicas a la libertad de expresión están incrementándose en Venezuela. Entre otras medidas, se están experimentando bloqueos más sofisticados de contenidos, como filtrado de SNI a redes sociales (Twitter, YouTube e Instagram) que tienen lugar en momentos coyunturales de circulación de contenido político, como sucedió con las declaraciones dadas por el presidente de la Asamblea Nacional y presidente encargado, Juan Guaidó, que ante el bloqueo de los medios de comunicación tradicional son transmitidas a los venezolanos fundamentalmente a través de streaming.

Recientemente, se ha documentado un nuevo tipo de ataque, donde no solo se bloquea el acceso a contenidos sino que además se pone en riesgo la información personal de los usuarios activistas, al redirigirlos deliberadamente a portales falsos de registro de voluntarios para la recepción de ayuda humanitaria.

El portal objeto del ataque, voluntariosxvenezuela.com, fue anunciado por la coalición Ayuda y Libertad y por la Asamblea Nacional venezolana con la intención de aglutinar un voluntariado en torno a la entrega de medicinas, alimentos y otros productos de primera necesidad para contribuir a paliar la emergencia humanitaria compleja que atraviesa el país. Sin embargo, apenas horas después del anuncio del sitio, se descubrió que éste estaba siendo objeto de un ataque de suplantación de identidad. Según ha documentado la organización venezolana VeSinFiltro, la autoría de este nuevo tipo de ataque puede vincularse directamente al gobierno de Nicolás Maduro. Para entender mejor cómo se llevó a cabo esta campaña vale la pena hablar de cómo funcionan algunas partes de la internet que usamos para navegar a este o cualquier otro sitio.

Consultas DNS: cómo hacemos humanamente recordable la ubicación de un servidor

Cuando queremos acceder a un sitio web, generalmente recordamos un nombre como “derechosdigitales.org”, sin embargo, los servidores en internet se ubican de una forma más compleja: a través de direcciones IP que se reparten a lo largo de internet y son usadas para generar rutas eficientes que nos permitan llegar a servidores específicos en corto tiempo.

Cuando queremos consultar un sitio web específico tenemos que preguntarle a “alguien” cuál es la dirección IP de un sitio web particular para poder acceder. Este “alguien” es un servidor DNS que se encarga de recibir nombres de dominio (como derechosdigitales.org) y los transforma en las direcciones IP correspondientes (en este caso 92.243.9.206). Este proceso funciona así:

Normalmente, nuestros equipos usan como servidores DNS aquellos determinados por nuestro proveedor de servicio a Internet (ISP), que generalmente están bajo el control del mismo proveedor. Esto resulta en mayor rapidez de respuesta y una mejor experiencia de navegación. Lamentablemente, en algunos casos esto puede ser algo negativo, ya que cuando el control de estos servidores DNS está en manos de actores con intereses poco éticos o ilegales, esta tecnología puede ser usada de forma abusiva contra las personas que la utilizan.

Bloqueos por envenenamiento de registros DNS

Cuando quien administra el servidor DNS no quiere que un usuario pueda acceder a un sitio bastará con configurar como respuesta a la pregunta “¿Cuál es la dirección IP de sitioreal.com?” Simplemente “No existe”:

Esta es la técnica que se ha usado en Venezuela desde hace varios años por parte de varios proveedores para bloquear sitios web.

Redirecciones por envenenamiento de registros DNS

Pariendo del ejemplo anterior, en vez de decirle a los usuarios que un sitio no existe, también es posible responder de forma errónea que el sitio que buscan está en una dirección falsa. Esto permite ataques en donde se hacen sitios muy parecidos a los verdaderos, con el fin de engañar a los usuarios brindándoles información falsa o robando sus datos personales. Este tipo de ataque generalmente requiere complicidad entre quien administra el servidor DNS y quien administra el sitio falso.

Este tipo de ataque no se había documentado en Venezuela en el pasado; sin embargo, el día 12 de febrero se vio por primera vez la ejecución de este tipo de redirecciones en el ISP más grande del país, CANTV.

Uso de servidores DNS de confianza

Una de las medidas más recomendadas para sortear este tipo de ataques es el uso de servidores diferentes a los de nuestro proveedor para realizar las consultas DNS. Cuando un servidor DNS sea confiable, no debería haber problemas de bloqueos o redirecciones relacionadas al envenenamiento de registros DNS. Esta medida se ha recomendado ampliamente en el contexto venezolano y ha resultado exitosa en la mayoría de los casos, salvo en aquellos en los que se emplean técnicas diferentes a los bloqueos por manipulación de registros DNS. Algunos servidores conocidos son 8.8.8.8 y 8.8.4.4 de Google, 1.1.1.1 de Cloudflare y 208.67.222.222 de OpenDNS, entre otros.

Inyección de paquetes DNS: Llevando la manipulación técnica de información al siguiente nivel

Las consultas DNS viajan por defecto sin mayores protecciones por la red hasta el servidor DNS al cual se le pregunta por un sitio particular; por lo tanto, aun usando un servidor DNS de confianza diferente al de nuestro ISP para sortear ciertos tipos de bloqueo o redirecciones, es posible para el proveedor ver estas consultas DNS y saber a dónde queremos navegar realmente. El mayor problema con esto es que aún teniendo el equipamiento correcto se pueden interceptar estas solicitudes DNS y sustituirla por otras arbitrarias. Esta es una práctica deliberada que no se puede justificar a través de errores de configuración u otras causas fortuitas. Esta técnica puede servir tanto para bloquear como para redirigir, como se vio en los ejemplos anteriores.

Bloqueo
Redirección

¿Qué significa esto en el contexto venezolano?

Venezuela cuenta con una larga historia de persecución política a través de la captura de datos personales que data del año 2004, con  la creación de la infame “Lista Tascón”: una base de datos que contenía la información personal de todos los ciudadanos que habían firmado solicitando un referendo revocatorio contra el entonces presidente Hugo Chávez. Esta lista fue utilizada para el amedrentamiento y la persecución de quienes en ese momento se oponían al gobierno, y aún hoy en día puede encontrarse -y adquirirse- en línea. Durante las décadas siguientes, el gobierno chavista continuó acumulando una enorme cantidad de datos personales, a través de los sistemas electorales, alimentarios y de salud pública, entre otros mecanismos, como el carnet de la patria.

En este contexto, el temor de los ciudadanos de que sus datos personales se encuentren en una nueva base de datos creada con fines de persecución política es hoy más legítimo que nunca. La administración de Nicolás Maduro, a través de CANTV y Conatel, las cuales están todavía bajo su control, está ejerciendo ataques de suplantación de identidad a activistas opositores de forma deliberada y con fines desconocidos. Si bien este ataque fue frenado por un grupo de activistas que se dieron a la tarea de detectar el ataque y reportarlo ante las organizaciones pertinentes como proveedores de hosting y navegadores web, los usuarios en Venezuela tendrán que adoptar medidas de seguridad más contundentes en función de proteger sus datos y su privacidad. Ya no basta con sólo cambiar los servidores DNS a otros de confianza, como se vio desde el mes de enero en donde se comenzaron a usar bloqueos mediante la interceptación de SNI, sino que se hace indispensable verificar elementos como la url y el certificado de seguridad al navegar en proveedores nacionales, incluso cuando se esté seguro de que se ingresó bien la dirección y que se está usando un servidor DNS de confianza.

Ante la sofisticación de las medidas de represión, censura, amedrentamiento y persecución que enfrentan las personas disidentes en Venezuela -y el daño que conllevan para el ejercicio democrático en un contexto tan delicado- es importante conocer las implicaciones de la tecnología que permitan hacer frente y sortear las estrategias de ataque que despliega el gobierno del país.


#Venezuela: ¿Qué está pasando con los bloqueos en internet?

Desde hace algún tiempo hemos visto con preocupación una serie de retrocesos en términos de garantías democráticas en Venezuela, ya que progresivamente se ha restringido el ejercicio de la libertad de expresión y de información; el cierre de programas de radio, bloqueos a canales de televisión y la monopolización del papel prensa figuran entre las prácticas que disminuyen las ventanas informativas de los ciudadanos en el país.

Con el paso del tiempo esta intención de limitar la difusión de información crítica se extendió a internet, comenzando con señalamientos a medios de comunicación digitales y llegando a la detención arbitraria de personas por el contenido de sus publicaciones en redes sociales. Sin embargo, en términos técnicos, las medidas que se tomaban para limitar el acceso a la información en internet fueron más rudimentarias y en su mayoría consistieron en el bloqueo de sitios web mediante la modificación de registros DNS, los cuales eran implementados de forma esporádica e irregular entre los proveedores de acceso a internet (ISP).

La importancia de los registros DNS recae en la lógica de navegación con la cual logramos acceder a las páginas de internet. Cuando queremos ir a un sitio web nuestras computadoras preguntan a un servidor DNS en qué dirección IP (como se identifican los equipos en internet) podemos encontrar el sitio; cuando este servidor nos da de vuelta una dirección, nuestro navegador dirige nuestra conexión a ese servidor y exitosamente nos muestra el sitio de interés.

Cuando existen bloqueos por modificación de registros en el servidor DNS, este indica que no existe una dirección IP para ese sitio o nos enviaría una dirección IP errónea. Basta con configurar nuestra computadora o router para usar un servidor DNS confiable diferente al de nuestro proveedor de servicio para sortear este tipo de bloqueos.

Aumento de sofisticación en los bloqueos

Cuando en junio de 2018 se comenzó a reportar que desde el ISP más importante del país se estaba bloqueando el acceso a la red Tor, se evidenció que los responsables de la censura técnica estaban elevando el nivel de los bloqueos ejecutados. Con la información que se pudo recoger a través de análisis especializados, se determinó que no sólo se estaba bloqueando el acceso a las direcciones IP de los nodos que componen la red Tor, sino que también se estaban bloqueando algunos menos usados dentro de la misma para establecer conexiones en contextos de censura: poniéndose a la par de otros países con más trayectoria y sofisticación en el manejo y bloqueo de tráfico de la red Tor.

En enero de este año, en un contexto político con poderes que se desconocen entre ellos y estructuras paralelas (dos congresos, dos tribunales supremos de justicia, dos fiscalías generales, etc.), el presidente de la Asamblea Nacional asume la presidencia interina alegando un vacío de poder ya que no consideran válida la elección de mayo de 2018 por carecer de condiciones mínimas para ser vinculante. Acto seguido, en el portal Wikipedia apareció reflejado Juan Guaidó como presidente de la República, a las pocas horas los primeros usuarios comenzaron a reportar que no podían acceder al sitio a través de los servicios de CANTV: el ISP más importante del país, que además es manejado por el gobierno.

Después de recopilar evidencia técnica se descubrió que este bloqueo fue hecho por filtración de paquetes SNI. Para poder realizar este tipo de bloqueos es necesario tener un entendimiento más completo sobre el funcionamiento de la transmisión de datos en internet y capacidad de configuración del equipamiento correspondiente; para poder filtrar paquetes SNI en cuyo contenido figuren palabras clave particulares, en este caso wikipedia.org.

La técnica de bloqueo por filtración de paquetes SNI requiere que se revise el tráfico web de forma masiva ya que hace que un paquete necesario para establecer una sesión segura no sea entregado, impidiendo que se establezca la conexión de forma exitosa: evitando así la visualización de un sitio web, en este caso Wikipedia.

Luego de llevarse a cabo este bloqueo, el cual está siendo ejecutado de forma variable en el tiempo y en las diferentes regiones del país, se reportó que usando la misma técnica se estaba bloqueando el acceso a servicios como Youtube, Twitter e Instagram. Lo cual provee aún más evidencia sobre el uso intencional de esta nueva técnica para restringir el acceso a sitios incómodos para los entes censores.

Una particularidad de este tipo de bloqueos es que es resistente a algunas soluciones para acceder a sitios bloqueados: en el momento en que el ISP vea que queremos consultar un recurso en el dominio bloqueado nos interrumpirá la conexión, sin importar conozcamos la dirección IP del servidor al que nos queremos conectar (frustrando así un cambio de DNS por parte del usuario). En este escenario, la recomendación más sencilla es utilizar servicios de Red Privada Virtual (VPN) o Tor, ya que usando estas tecnologías nuestro ISP sólo ve tráfico de red cifrado y no puede saber a dónde nos queremos conectar.

Ante estos acontecimientos, vemos con preocupación la escalada en la sofisticación técnica con la que se están ejecutando los bloqueos en Venezuela. La combinación de bloqueos por filtrado de paquetes SNI y el bloqueo de plataformas de evasión de censura como Tor configuran una estrategia de censura técnica de alta eficacia, que obliga a los usuarios que deseen acceder a los contenidos bloqueados a tomar medidas cada vez más engorrosas a nivel de usabilidad o incluso inaplicables en aquellos contextos en los que el ancho de banda o la intermitencia del servicio no permiten establecer conexiones estables a la red Tor o a servicios VPN.

Desde Derechos Digitales nos hemos sumado al descontento de organizaciones internacionales ante el clima de represión y censura en Venezuela, del mismo modo hacemos un llamado a la comunidad local y global para participar en las iniciativas de registro de incidentes de bloqueo y mapeo de servicios que organiza la sociedad civil venezolana para hacer frente a estos abusos, promover la libertad de expresión y defender los derechos humanos en el país.

Ciberseguridad: ¿En qué debe poner atención el gobierno de Andrés Manuel López Obrador?

En el sexenio de Enrique Peña Nieto se implementó el Plan Nacional de Desarrollo 2013-2018, en este programa se propuso la creación de una Estrategia Nacional de Ciberseguridad  (ENCS) que tiene como objetivo mejorar las capacidades nacionales de seguridad cibernética en el país. Para lograr esto se realizaron mesas de trabajo en donde se incorporó a diferentes actores como lo son la sociedad civil y derechos humanos; la comunidad técnica y académica; el gobierno; el sector financiero y la industria privada.

Con ayuda técnica de la Organización de los Estados Americanos (OEA) se realizaron durante los meses de abril a julio de 2017 mesas de trabajo donde se dieron una serie de recomendaciones por parte de estos múltiples actores para crear una estrategia que incluyera  principios rectores basados en una perspectiva de derechos humanos, un enfoque de riesgos y la colaboración de múltiples actores en todas las fases.

Durante y posterior a estas mesas de trabajo la OEA dió recomendaciones específicas al gobierno en materia de derechos humanos, desarrollo e investigación académica, marco jurídico, terminologías y un modelo de gobernanza para que en la propuesta final se reflejará  una inclusión y preservación de los derechos humanos.

Se recomendó que la  contribución a la estrategia se amplíe a un enfoque de toda la sociedad y no en un grupo pequeño, asimismo se recalcó la importancia de  incorporar otras disciplinas como las humanidades y la ingeniería tradicional.

Para la construcción de la ENCS era importante incorporar una responsabilidad compartida por parte del gobierno y la población; generar campañas de sensibilización para públicos específicos, -incluidos los grupos marginados-, hablar de las amenazas que pueden existir en internet pero también de las oportunidades que este espacio representa.

Se planteó la incorporación de la niñez temas de protección de datos y privacidad a través de los planes de estudio.  La privacidad y la protección de datos deben formar parte de la currícula nacional básica; asimismo plantearon que la reforma educativa era una buena oportunidad para este cambio.

La mesa de sociedad civil recomendó la  posibilidad de ratificar el Convenio sobre Ciberdelincuencia o mejor conocido como Convenio Budapest que tiene como objetivo establecer herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos  debido a que el delito cibernético no es un problema exclusivo del país sino que se está dando a nivel mundial. Sin embargo, en México existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos. La incorporación de herramientas penales  puede resultar contraproducente en un país con altos niveles de corrupción e  impunidad porque pueden usados para la vigilacia sistemática “legal” por parte del Estado.

En materia de violencia de género en línea México tiene un gran trabajo qué hacer. Según el informe La violencia en línea contra las mujeres en México al menos 9 millones de mujeres han sufrido alguna forma de ciberacoso y no existe una estadística oficial que le de seguimiento a este tipo de agresiones. 

Es importante recalcar que a las mujeres se les agrede de formas diferentes, a los hombres no se les sextorsiona, o se les amenaza con difundir imágenes íntimas sin su consentimiento, las campañas de desprestigio orquestadas en redes sociales contra mujeres -casi siempre- tienen connotaciones sexuales.

Además de eso la vigilancia por parte del Estado a comunicadoras, periodistas y defensoras tuvieron componente de género.  Ejemplo de esto fue la agresión a la periodista Carmen Aristegui; el software pegasus también infectó el dispositivo de su hijo, Emilio Aristegui, tuvieron acceso a la cámara del celular, microfono,  mensajes de texto y lista de contactos del hijo de la comunicadora.

Para la creación de la ENCS el gobierno tiene un trabajo muy importante al incorporar  a las mujeres y niñas en temas de derechos humanos. Es importante que se les informe sobre sus derechos humanos en línea y offline para que puedan aprenderlos y hacerlos valer, solo de esta manera las mujeres tendrán más oportunidades en  mejorar su pleno desarrollo, su derecho a la información, a la educación y tener una vida digna.

No obstante a todas estas recomendaciones y casos que surgieron durante la administración de Enrique Peña Nieto la ENCS se construyó bajo un enfoque empresarial, económico y gubernamental.  En el cuerpo del texto de la propuesta de la estrategia no mencionaron de qué forma se trabajaría la perspectiva de derechos humanos de la que hablan, ni cómo sería el diálogo con la sociedad civil. Lo que sí recalcan es cómo promoverán buenas prácticas en el uso de TICs por parte de la población y cómo combatirán los ataques cibernéticos a empresas y organismos gubernamentales, este enfoque puede traer como consecuencia un  incremento a la vigilancia y pérdida de derechos fundamentales como son la privacidad, libre expresión y participación política.

Estos planteamientos demostraron que minimizaron los ataques a individuos/ sociedad civil, ya que dejaron de lado la violencia contra las mujeres, el acoso contra comunicadores, periodistas y activistas en derechos humanos pero sí priorizan el “cuidado”  en los ataques económicos, gubernamentales y empresariales.

El gobierno de Andrés Manuel López Obrador tiene el reto de continuar con la propuesta de la Estrategia pero con un enfoque que integre a toda la  población  civil y no solo a los pequeños grupos élite. También tiene el reto de esclarecer y nombrar a los responsables que han ejercido vigilancia contra todos estos sectores de la población.

Nosotros nos cuestionamos: ¿Para la cuarta transformación será prioridad preservar los derechos humanos de la población en materia de seguridad digital?