Temática: Seguridad digital

Legalidad del proyecto Tor: La herramienta del siglo XXI que garantiza la privacidad y su uso en México (2018)

Con el fin de preservar la seguridad de quienes navegan en internet, proyectos como Tor se han desarrollado para proteger a las personas. Sin embargo, es necesario conocer las implicaciones legales que comprenden estas herramientas.

Ciberseguridad: ¿En qué debe poner atención el gobierno de Andrés Manuel López Obrador?

En el sexenio de Enrique Peña Nieto se implementó el Plan Nacional de Desarrollo 2013-2018, en este programa se propuso la creación de una Estrategia Nacional de Ciberseguridad (ENCS) que tiene como objetivo mejorar las capacidades nacionales de seguridad cibernética en el país. Para lograr esto se realizaron mesas de trabajo en donde se incorporó a diferentes actores como lo son la sociedad civil y derechos humanos; la comunidad técnica y académica; el gobierno; el sector financiero y la industria privada.

Con ayuda técnica de la Organización de los Estados Americanos (OEA) se realizaron durante los meses de abril a julio de 2017 mesas de trabajo donde se dieron una serie de recomendaciones por parte de estos múltiples actores para crear una estrategia que incluyera principios rectores basados en una perspectiva de derechos humanos, un enfoque de riesgos y la colaboración de múltiples actores en todas las fases.

Durante y posterior a estas mesas de trabajo la OEA dió recomendaciones específicas al gobierno en materia de derechos humanos, desarrollo e investigación académica, marco jurídico, terminologías y un modelo de gobernanza para que en la propuesta final se reflejará una inclusión y preservación de los derechos humanos.

Se recomendó que la contribución a la estrategia se amplíe a un enfoque de toda la sociedad y no en un grupo pequeño, asimismo se recalcó la importancia de incorporar otras disciplinas como las humanidades y la ingeniería tradicional.

Para la construcción de la ENCS era importante incorporar una responsabilidad compartida por parte del gobierno y la población; generar campañas de sensibilización para públicos específicos, -incluidos los grupos marginados-, hablar de las amenazas que pueden existir en internet pero también de las oportunidades que este espacio representa.

Se planteó la incorporación de la niñez temas de protección de datos y privacidad a través de los planes de estudio. La privacidad y la protección de datos deben formar parte de la currícula nacional básica; asimismo plantearon que la reforma educativa era una buena oportunidad para este cambio.

La mesa de sociedad civil recomendó la posibilidad de ratificar el Convenio sobre Ciberdelincuencia o mejor conocido como Convenio Budapest que tiene como objetivo establecer herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos debido a que el delito cibernético no es un problema exclusivo del país sino que se está dando a nivel mundial. Sin embargo, en México existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos. La incorporación de herramientas penales puede resultar contraproducente en un país con altos niveles de corrupción e impunidad porque pueden usados para la vigilacia sistemática “legal” por parte del Estado.

En materia de violencia de género en línea México tiene un gran trabajo qué hacer. Según el informe La violencia en línea contra las mujeres en México al menos 9 millones de mujeres han sufrido alguna forma de ciberacoso y no existe una estadística oficial que le de seguimiento a este tipo de agresiones.

Es importante recalcar que a las mujeres se les agrede de formas diferentes, a los hombres no se les sextorsiona, o se les amenaza con difundir imágenes íntimas sin su consentimiento, las campañas de desprestigio orquestadas en redes sociales contra mujeres -casi siempre- tienen connotaciones sexuales.

Además de eso la vigilancia por parte del Estado a comunicadoras, periodistas y defensoras tuvieron componente de género. Ejemplo de esto fue la agresión a la periodista Carmen Aristegui; el software pegasus también infectó el dispositivo de su hijo, Emilio Aristegui, tuvieron acceso a la cámara del celular, microfono, mensajes de texto y lista de contactos del hijo de la comunicadora.

Para la creación de la ENCS el gobierno tiene un trabajo muy importante al incorporar a las mujeres y niñas en temas de derechos humanos. Es importante que se les informe sobre sus derechos humanos en línea y offline para que puedan aprenderlos y hacerlos valer, solo de esta manera las mujeres tendrán más oportunidades en mejorar su pleno desarrollo, su derecho a la información, a la educación y tener una vida digna.

No obstante a todas estas recomendaciones y casos que surgieron durante la administración de Enrique Peña Nieto la ENCS se construyó bajo un enfoque empresarial, económico y gubernamental. En el cuerpo del texto de la propuesta de la estrategia no mencionaron de qué forma se trabajaría la perspectiva de derechos humanos de la que hablan, ni cómo sería el diálogo con la sociedad civil. Lo que sí recalcan es cómo promoverán buenas prácticas en el uso de TICs por parte de la población y cómo combatirán los ataques cibernéticos a empresas y organismos gubernamentales, este enfoque puede traer como consecuencia un incremento a la vigilancia y pérdida de derechos fundamentales como son la privacidad, libre expresión y participación política.

Estos planteamientos demostraron que minimizaron los ataques a individuos/ sociedad civil, ya que dejaron de lado la violencia contra las mujeres, el acoso contra comunicadores, periodistas y activistas en derechos humanos pero sí priorizan el “cuidado” en los ataques económicos, gubernamentales y empresariales.

El gobierno de Andrés Manuel López Obrador tiene el reto de continuar con la propuesta de la Estrategia pero con un enfoque que integre a toda la población civil y no solo a los pequeños grupos élite. También tiene el reto de esclarecer y nombrar a los responsables que han ejercido vigilancia contra todos estos sectores de la población.

Nosotros nos cuestionamos: ¿Para la cuarta transformación será prioridad preservar los derechos humanos de la población en materia de seguridad digital?

Por una ley de delitos informáticos que proteja y respete los derechos de las ciudadanas en internet

Esta semana ingresó al Senado de Chile, a través del Boletín 12192-25, el tan esperado proyecto de ley que modifica la legislación sobre delitos informáticos y deroga la actual Ley 19.223. El proyecto también busca cumplir con los compromisos internacionales adquiridos por Chile al ratificar el Convenio de Budapest, instrumento internacional que busca homogeneizar la regulación de los delitos informáticos a nivel internacional y mejorar la capacidades de colaboración de los distintos países en la persecución del crimen en línea.

El proyecto de ley se presenta como una oportunidad para subsanar las falencias que la doctrina y la jurisprudencia han apuntado hace más de una década en materia de delitos informáticos. Sin embargo, el proyecto en su forma actual desperdicia las oportunidades de flexibilidad en la implementación del Convenio de Budapest, para que la regulación de los delitos informáticos se pueda promover la seguridad de las personas en línea y a la protección de sus derechos fundamentales.

En los siguientes párrafos nos enfocaremos en tres elementos particularmente problemáticos del proyecto que, sin ser los únicos y más allá del perfeccionamiento de la técnica legislativa, requieren un cambio sustantivo de aproximación durante el debate legislativo, para que las normas que se aprueben protejan efectivamente a las personas y el ejercicio de sus derechos en línea.

Ausencia de una regulación que garantice la legalidad de las investigaciones de seguridad informática

La capacidad para formar, capacitar y entrenar a profesionales dedicados a la seguridad informática se ha transformado en una prioridad de los países que buscan mejorar la ciberseguridad de su industria local, del aparato público y sus ciudadanos. Es por ello que la detección y el reporte de vulnerabilidades informáticas se han transformado en actividades que los Estados se han propuesto promover, al punto en que ciertas industrias han prometido premios en dinero a aquellos que detecten y reporten dichas vulnerabilidades en sus sistemas.

Para cumplir su labor, los expertos de seguridad informática deben contar con la certeza de que su actividad es lícita y de que no serán perseguidos por su actuar de buena fe y en función del interés público. Lamentablemente, la tipificación del delito de acceso ilícito del proyecto está redactada de forma que abre la puerta para la criminalización de esta actividad necesaria y deseable.

El artículo 2 del proyecto solo exige que el acceso a un sistema informático se haga de forma indebida, independiente de si este acceso se realiza de buena o mala fe, o con la intención de apoderarse o conocer indebidamente la información ahí contenida. Al considerarse el requisito de “indebido” como sinónimo de “sin permiso”, el experto en seguridad informática que acceda a un sistema para probar la seguridad del mismo en búsqueda de vulnerabilidades estará cometiendo un delito, Incluso si su actividad es realizada de buena fe y con la intención reportar la vulnerabilidad al administrador del sistema.

El proyecto también establece que vulnerar, evadir o transgredir medidas de seguridad informática para lograr dicho acceso constituye una agravante para la comisión del delito. Sin embargo, esta agravante debería ser en realidad un requisito del delito de acceso ilícito, ya que no puede existir un delito informático si el perpetrador no ha superado algún tipo de barrera técnica. De lo contrario, la simple infracción de una obligación contractual o de los términos y condiciones de un sitio web pasarían a constituir un delito castigado por la ley, desnaturalizando el bien jurídico protegido de los delitos informáticos y entregando menos incentivos para que los actores del ecosistema digital establezcan medidas de seguridad efectivas para sus sistemas.

Para subsanar estas imprecisiones y evitar que la legislación criminalice a quienes se dedican profesional o voluntariamente a mejorar la seguridad de los sistemas informáticos, se hace necesario que el delito de acceso ilícito tenga como requisito un componente volitivo que apunte a la mala fe de la acción. Del mismo modo, es necesario que el proyecto defina qué entiende por “indebidamente”, aclarando que la mera infracción de obligaciones contractuales o términos y condiciones no son suficientes para cumplir esta condición. Por último, la superación de una barrera técnica debe ser un requisito del tipo penal y no un agravante del mismo.

El problema de cifrado

El cifrado de punto a punto es una tecnología clave para promover la seguridad de los sistemas, la inviolabilidad de las comunicaciones y la privacidad de las personas. El rol del cifrado de punto a punto en la promoción de la ciberseguridad es tal que la Política Nacional de Ciberseguridad chilena explícitamente llama a promover su adopción como forma de mejorar la resiliencia de los sistemas de tratamiento de la información.

Sin embargo, el proyecto se encuentra mal encaminado en esta materia al establecer que el uso de tecnologías de cifrado se considerará como un agravante de cualquiera de los delitos contenidos en la ley, en la medida que tenga por principal objetivo obstaculizar la acción de la justicia. Esta propuesta es preocupante por varias razones.

En primer lugar, criminalizar el cifrado atenta contra el principio de derecho penal que considera no condenable el auto encubrimiento. Castigar el que la persona oculte su identidad, acción que formaría parte de la comisión del ilícito, equivale a castigarlo por no favorecer su propia persecución penal. A lo anterior se suma la dificultad que implicaría el discernir cuando una tecnología es utilizada “principalmente” para obstaculizar a la justicia, en particular -como veremos a continuación- cuando el cifrado se ha transformado en el estándar para la industria a nivel global para garantizar la mayor protección de las personas en sus comunicaciones. En tal sentido, en un futuro inmediato simplemente será imposible cometer un delito informático sin haber utilizado alguna forma de tecnología que involucre cifrado. Así, la redacción del proyecto implicaría que todos los delitos informáticos estarían -por defecto- agravados por esta causal.

Más allá de la deficiencia de técnica legislativa y la perspectiva del interés jurídico por la mayor protección de las personas en el uso de las tecnologías, a cuya protección está orientada la ley de delitos informáticos, la criminalización de la utilización del cifrado de punto a punto va en el sentido inverso a dicho interés, colocando un severo desincentivo a las empresas y proveedores de tecnología que utilizan el cifrado como un elemento que mejora la seguridad de las personas y los sistemas informáticos, lo que es necesario promover y no desincentivar, como lo reconoce la Política Nacional de Ciberseguridad y la Resolución sobre Promoción, protección y disfrute de los derechos humanos en Internet de las Naciones Unidas.

Retención de metadatos: el fantasma del Decreto Espía

Actualmente las empresas proveedoras de internet tienen la obligación de almacenar y tener a disposición del Ministerio Público un listado actualizado anualmente de los números IP involucrados en las conexiones que realicen sus clientes. Esto implica que las empresas de internet tienen que crear gigantescas bases de datos con los datos de tráfico de las comunicaciones (o metadatos) de todos sus usuarios.

Los metadatos son, como su nombre lo indica, “datos sobre un dato”. No se trata del contenido de la comunicación, sino de la información que acompaña a dicha comunicación: fecha, hora, duración, geolocalización, intervinientes e información del dispositivo. Si bien los proponentes de las políticas de retención de metadatos tratan de convencernos de que se trata de información inofensiva, que no tienen el carácter de dato personal, lo cierto es que el análisis de la información de tráfico agregada de una persona permite inferir elementos sensibles como sus rutinas, hábitos, redes de interacción, sitios con los que interactúa, perimitiendo inclusopredecir su comportamiento.

Es por ello que en 2014 la Unión Europea declaró inválida la directiva sobre retención de metadatos por resultar desproporcionada, al aumentar innecesariamente la capacidad de vigilancia del Estado y vulnerar los derechos de las personas. Del mismo modo, las políticas de retención de metadatos invierten el principio de inocencia: se recolecta información sensible de toda la población ante la posibilidad de que alguno de nosotros cometa un crimen y esa información hipotéticamente pudiese resultar útil en un proceso penal. Se nos trata a todos como sospechosos hasta que demostremos lo contrario, contraviniendo lo establecido en el artículo 4 de nuestro código de procedimiento penal.

Por último, la retención de metadatos es contradictoria con la finalidad buscada por la ciberseguridad. La ciberseguridad se trata de generar la condiciones para que las personas estén más seguras en el uso del ciberespacio. La retención de metadatos no solo es una medida desproporcionada que aumenta los costos de las empresas de internet, sino que implica que estas tendrán que almacenar innecesariamente el historial de nuestras comunicaciones. Estos datos sensibles serían expuestos innecesariamente a ser mal utilizados por quienes los almacenan o robados por delincuentes informáticos. Se trata, en definitiva, de una medida técnico-organizativa contraria a la ciberseguridad.

En Chile ya tuvimos una amplia discusión pública sobre las consecuencias adversas de la implementación de este tipo de medidas el año 2017, cuando se discutió la eventual aprobación del llamado Decreto Espía. Esta iniciativa fue rechazada por la Contraloría e incluso fue rechazada por actores de la academia, la sociedad civil, la comunidad técnica y de todo el espectro político.

Sin embargo el proyecto de ley busca, en definitiva, aprobar los principales elementos contenidos por el Decreto Espía a través de la ampliación de la definición de “datos relativos al tráfico” para incluir información no contemplada hoy en nuestra legislación, incluyendo la localización de las comunicaciones. Del mismo modo, el proyecto pretende extender el período de retención de datos de tráfico de uno a dos años -al igual que el decreto espía- y mantiene que este sería un período mínimo y no máximo.

Las políticas de retención de metadatos han demostrado ser ineficaces para el combate del delito, vulneratorias de los derechos fundamentales de las personas, costosas para la industria, contrarias a los principios de ciberseguridad y han sido consistentemente cuestionadas en diferentes jurisdicciones alrededor del globo. Es por ello que su propuesta no debería tener lugar en un proyecto de ley que busca generar las condiciones para mantener la seguridad de las personas.

Aún estamos a tiempo

La buena noticia es que en el proceso legislativo existe la oportunidad de enmendar el rumbo del proyecto de ley y que se ingresen las enmiendas necesarias para subsanar sus falencias. Es labor de los parlamentarios modificar la iniciativa de forma tal que se eliminen sus elementos contradictorios y se perfeccionen todos aquellos que requieren ser afinados.

El Convenio de Budapest otorga a los países la flexibilidad necesaria para que implementen sus obligaciones de una manera consistente con el ejercicio de los derechos fundamentales. Es responsabilidad del gobierno y de los parlamentarios aprovechar esa flexibilidad para legislar protegiendo los derechos de los ciudadanos, un compromiso fue expresamente afirmado en la discusión parlamentaria sobre la ratificación del Convenio de Budapest, tanto en la comisión de relaciones exteriores de la Cámara como del Senado. El ejecutivo se comprometió a que la implementación del Convenio de Budapest no iba a significar un debilitamiento de los estándares procesales, derechos y garantías al interior del proceso penal. Algunos parlamentarios, como el diputado Vlado Mirosevic, incluso condicionaron su voto a dicho compromiso explícito.

Esperamos que el ejecutivo honre la palabra empeñada y se abra a modificar el proyecto a fin de que este cumpla su objeto de proteger los derechos de los ciudadanos en el ciberespacio.

La delgada línea roja del cifrado y la desinformación en Brasil

En septiembre, el New York Times reportó sobre la existencia de una habitación en las oficinas de Facebook cuya función era combatir la interferencia en las elecciones. Este lugar es denominado el “cuarto de guerra” de Facebook y monitoriza las tendencias en los diferentes sitios que la compañía maneja, tales como artículos que se hacen virales o alzas en la adquisición de anuncios políticos.

El 7 de octubre, durante la primera jornada de las elecciones presidenciales brasileñas, los expertos notaron un alza en los reportes de discurso de odio orientados hacia usuarios específicamente en la zona noreste de Brasil, región donde -según las encuestas- el candidato de izquierda, Fernando Haddad, llevaba ventaja. Según Facebook, todo el contenido infractor fue removido, lo que la compañía consideró un éxito que demostraba cuán efectivos son al responder a este tipo de amenazas. Sin embargo, Brasil es apenas el caso más reciente en una larga serie de países donde la desinformación a través de redes sociales ha sido utilizada como una herramienta política.

A pesar de los esfuerzos de Facebook en hacer visible su trabajo en el combate de contenido relativo a las elecciones, Brasil sigue enfrentando un grave problema de desinformación, y la mayor parte de ésta parece estar siendo distribuida no través del sitio principal de Facebook, sino mediante otro de sus servicios: WhatsApp, la aplicación de mensajería más usada en el país, cuyos mensajes son difíciles de monitorear dado que se transmiten bajo un protocolo de cifrado. Según señaló el New York Times, 120 millones de usuarios brasileños están en WhatsApp, y en meses recientes han enfrentado una ola sin precedentes de spam en torno a las elecciones, incluyendo desde información falsa hasta instructivos sobre cómo votar.

En el contexto de las elecciones presidenciales brasileñas, esta ola de desinformación parece haber beneficiado a Jaír Bolsonaro, el candidato de derecha que enfrenta denuncias de fraude por parte de su contendiente, Fernando Haddad, quien lo ha señalado por difundir noticias falsas, por uso inadecuado de WhatsApp y por recibir donaciones corporativas ilegales para su campaña. No existen dudas de que Facebook y WhatsApp han jugado un rol significativo durante la campaña, según escribe Taisa Sganzerla para Global Voices:

Los productos de Facebook han aparecido de manera destacada en la marejada de apoyo a Bolsonaro. Junto con la amplia cobertura de medios regionales y nacionales que reflejan diversas perspectivas sobre Bolsonaro y los demás candidatos, Facebook y WhatsApp han visto oleadas de publicaciones falsas y engañosas que promocionan al candidato de extrema derecha.

Un documental reciente de VICE Brazil entrevista a integrantes de las fuerzas que apoyan a Bolsonaro, mostrando a un usuario que administra varios grupos de WhatsApp donde se difunde contenido político a favor del candidato; dicho usuario declara que la mayor parte de este contenido es recibido directamente de la plataforma electoral de Bolsonaro.

Debido a la característica cerrada de Whatsapp, que se origina tanto en su cifrado como en su carácter de aplicación de mensajería (en lugar de red social u otro tipo de plataforma), se dificulta en gran medida verificar o confirmar si el contenido que se difunde es falso o engañoso de manera deliberada. Un estudio reciente analizó el contenido de 347 chats de Whatsapp abiertos al público, encontrando que de 50 imágenes seleccionadas (consideradas las “más compartidas” en estos grupos) el 56% eran engañosas de alguna manera, y solo un 8% podían ser clasificadas como completamente veraces.

No obstante, en días recientes, WhatsApp declaró haber identificado y eliminado 100.000 cuentas “fraudulentas”, en las cuales habría detectado cuentas que llevaban a cabo prácticas de spam y comportamiento identificado como “anormal”. Por otro lado, a pesar de que el Tribunal Superior Electoral de Brasil había prometido tomar medidas contra la difusión de información falsa en el contexto de las elecciones y anunciado planes de crear un Consejo Consultivo sobre Internet y Elecciones en diciembre de 2017, las medidas anunciadas no fueron ejecutadas y desde la fecha de su creación el Consejo solo se ha reunido en dos ocasiones. Además, el tribunal no llegó a aprobar ninguna directiva en cuanto a la información falsa, ni a lanzar las herramientas y aplicaciones que había ofrecido para que los usuarios pudieran denunciar el contenido infractor.

La segunda vuelta de las elecciones en Brasil se llevará a cabo el 28 de octubre y son pocas las personas que parecen tener fe alguna en que estas medidas pudieran resarcir el daño a tiempo para tener cualquier tipo de efecto sobre los resultados. Por otra parte, como señalan Francisco Britto Cruz y Mariana Giorgiani Valente en El País, no sería inteligente pretender que manipular la opinión pública es tan sencillo como entregar el mayor número de mensajes de propaganda al mayor número de personas: la eficiencia de la campaña de Bolsonaro viene irremediablemente ligada al hecho de haber sabido apelar a las emociones de un grupo político.

Si bien no es posible ignorar las consecuencias reales de la desinformación y la manipulación de información sobre la opinión pública -particularmente sobre el derecho a la libre expresión e información de los ciudadanos- es importante no perder de vista la relevancia de proteger el cifrado y el anonimato: herramientas indispensables para la supervivencia de periodistas, activistas y ciudadanos trabajando en situaciones de riesgo. Muy probablemente la solución no se encuentre en qué plataformas o redes sociales se conviertan en mediadoras y en filtros del contenido que los usuarios reciben, sino en ofrecerle a las personas herramientas y mecanismos para diferenciar, verificar y reportar ese contenido bajo un criterio informado y crítico.

Que no quede huella, que no que no (2018)

Descargar PDF

Dálogos feministas para las libertades y autocuidados digitales, a propósito de la Tor Meeting 2018 en Ciudad de México.

Hacia una justicia penal que hable el lenguaje de internet

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y, particularmente, a la adhesión al Convenio de Budapest.

Para el caso Paraguayo, las autoras proponen un análisis crítico sobre la Convención y su armonización en el sistema penal paraguayo, a partir de una revisión jurídica y de entrevistas a los responsables en la aplicación del código penal y procesal penal en Paraguay. Para Sequera y Samaniego, la Convención es un instrumento legal que regulariza los esfuerzos internacionales en la persecución de la conducta delictiva por medios digital, pero a su vez contiene fallas de forma y fondo, a pesar de que a primera vista se observe como una propuesta que garantiza la protección de los derechos humanos.

Es decir, la investigación expone que la Convención genera importantes conflictos de proporcionalidad con relación a la protección del derecho a la privacidad. Por tanto, para la armonización de este instrumento internacional al sistema penal interno, se deberá tomar recaudos en el diseño de investigación para acceder a las evidencias electrónicas, incautación de pruebas a través de sistemas informáticos, retención de datos de tráfico entre otros porque muchas de estas acciones procesales conllevan la violación de la Constitución Nacional paraguaya y los derechos humanos.

Entre otros puntos a destacar, se encuentran los principales hallazgos que se deberán tener en cuenta para la armonización de la Convención:

Los jueces entrevistados del Poder Judicial reconocen que no cuentan con criterios técnicos para evaluar el proceso de incautación de las evidencias digitales solicitadas por el Ministerio Público. Esta situación es grave porque para otorgar autorización judicial, el juez debe analizar si el uso de tecnología es excesiva o no para la investigación penal, sin este proceso no existe salvaguarda de las garantías establecidas en la Constitución Nacional.
El Ministerio público contiene protocolos de tratamientos y acceso a las evidencias, sin embargo no cuenta con protocolos específicos de evidencias digitales.

Por otro lado se encuentra el desconocimiento que tienen los funcionarios de las Unidades de delitos ordinarios del Ministerio Público sobre el rol y los delitos que persigue la Unidad especializada de delitos informáticos. Desde la creación de esta Unidad, hasta la fecha reciben casos ordinarios que tienen como evidencia el uso de tecnología. Este tipo de casos derivados genera retardos en la persecución efectiva del delito, ya que no se determina cual Unidad ser hará responsable para la investigación fiscal.

También existe desconocimiento por parte de la ciudadanía en general sobre las instancias de persecución penal. Se recurre al Ministerio Público para realizar las denuncias delitos realizados a través de internet, sin embargo la mayoría de estas denuncias son de acción penal privada por ejemplo acoso cibernético, bullying, difamación y calumnia entre otros. Esto también genera recarga administrativa a una unidad que actualmente cuenta con dos fiscales para atender a nivel nacional todos los delitos informáticos.

La policía Nacional recibe las denuncias que son etiquetadas como “delitos informáticos” en su sistema. Sin embargo no se distingue si estos delitos se adecuan a la tipificados en el código penal como delitos informáticos o simplemente son delitos ordinarios que tienen como evidencia el uso de tecnología, como por ejemplo los casos de hurto de celulares. La falta de categorización unificada de datos cuantitativos de los delitos informáticos en Paraguay genera riesgos a la hora de elaborar políticas públicas para la mitigación y persecución penal de los mismos.
Paraguay no cuenta con una ley de protección de datos personales, este instrumento legal brindaría garantías y control de la información personal depositada en sistemas de almacenamiento digital, asegurando que personas que lucren sin consentimiento del titular cualquier dato de carácter personal sean llevados a la justicia. Tampoco se puede debatir un proyecto de Retención de Datos sin antes contar con una Ley de Protección de Datos Personales.

Para finalizar, las autoras concluyen que la Convención debería tomarse como una norma modelo a seguir, no como algo para aplicar: por un lado porque no tiene en cuenta la diversidad cultural, política y económica de los países, y por otro lado porque disminuye las barreras de seguridad nacional, entra en conflicto con el interés público y los derechos humanos. Es necesario realizar salvedades para no ceder jurisdicción y la privacidad de forma desproporcionada. Además se debería de priorizar el conocimiento sobre el contenido y alcance del mismo. Debe darse un debate calmo y sereno entre todos los sectores de la sociedad con plena participación ciudadana a nivel nacional y regional, para conjuntamente elaborar una armonización eficaz y que respete los derechos humanos.

También será necesario fortalecer las instituciones penales para una mejor interpretación de la leyes nacionales e internacionales sobre vigilancia de las comunicaciones, dado el avance de las técnicas y tecnologías de vigilancia. Para que los jueces del Poder Judicial realicen un análisis de proporcionalidad de ley o el uso de software malicioso como FinFisher o cualquier forma interpretación de las comunicaciones incluyendo los metadatos, deberán estar capacitados para conocer y justificar su uso, y así evitar negligencias o abusos por parte de los otras Instituciones del sistema penal como SENAD, Policía Nacional o Ministerio Público.

Y por sobre todo desarrollar áreas que permitan contar medios de investigación académica y capacitación para ofrecer respuestas a los delitos con y en las TIC. Así también la promoción de espacios técnicos que permitan a los diferentes actores interactuar e intercambiar experiencias y opiniones. Esto es además una necesidad para el diseño de las políticas públicas en la materia, por los requerimientos técnicos que implica.

***

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales, y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y en particular a la adhesión al Convenio de Budapest.La publicación puede ser descargada aquí.

TEDIC es una organización de la sociedad civil paraguaya cuya misión es promover los principios de una cultura libre y defender los derechos civiles en internet, propiciando espacios de interacción e intercambio de conocimientos y desarrollando herramientas Web con código y diseño abierto, apoyado en un trabajo de comunicación e incidencia alternativa e innovadora.

Nunca Más Huracán: sobre la necesidad de legislar en torno al uso de nuevas tecnologías en las acciones de vigilancia estatal

En septiembre de 2017, y con gran pompa mediática, Carabineros anunciaba la detención de ocho comuneros mapuches, identificados como responsables de dos ataques incendiarios contra camiones forestales ocurridos en agosto en la Región de la Araucanía, gracias a una acción de inteligencia policial bautizada como “Operación Huracán”.

Un año más tarde, los responsables del operativo se encuentran con prisión preventiva, en el marco de una investigación por falsificación de pruebas, en uno de los episodios más bochornosos protagonizado por Carabineros de Chile en el último tiempo, que puso en evidencia las deficiencias normativas y de prácticas en materia de vigilancia.

Tras el estallido del escándalo, mucho se ha escrito sobre Operación Huracán y sus principales protagonistas, con gran parte de la discusión pública girando en torno a la falta de pericia técnica de Carabineros y sus colaboradores. Sin embargo, es necesario comprender que, más que una vergonzosa excepción, Huracán es consecuencia de un sistema normativo e institucional que no está preparado para lidiar con la compleja intersección entre tecnología e investigación criminal

Se trata de un sistema particularmente opaco, plagado de áreas legales grises y con escasas instancias de fiscalización externa efectiva en materia de servicios de inteligencia, protegido por un manto de secretismo muchas veces amparado en razones de “seguridad nacional”, que impide conocer en detalle los modos en que se opera y las herramientas que se utilizan.

Una normativa robusta y claramente delineada en torno al respeto a los derechos humanos fundamentales asegura que las actividades de vigilancia sean realizadas en todo contexto de forma proporcional, evitando que personas inocentes vean sus derechos arbitrariamente vulnerados y evitando que las instituciones encargadas de ejecutar la vigilancia, en forma legal y excepcional, ya sea bajo facultades de inteligencia o persecución penal, se vean expuestas por la acción de funcionarios inescrupulosos.

Mejorar la regulación en diversos ámbitos que implican capacidades de vigilancia, generando mayor transparencia y mecanismos de participación en torno a las operaciones de inteligencia, técnicas de investigación criminal, uso de televigilancia y sistemas biométricos, creando instancias de fiscalización respecto al modo en que la vigilancia es decidida y ejecutada, y estableciendo contrapesos orgánicos fuertes que permitan que los derechos de las personas sean respetados a cabalidad, es la única manera de asegurar un sistema justo y democrático, particularmente para aquellos grupos que han sido históricamente discriminados por su etnia, clase social, género y sexualidad.

Junto con ello, se hace fundamental la formación de los actores del sistema judicial criminal -incluyendo a jueces, fiscales, defensores y policías- respecto a los alcances y consecuencias del uso de tecnologías y sus limitantes, de modo que las decisiones que se tomen en el marco de todo proceso legal tengan una base sólida, producto de una comprensión cabal del modo en que las distintas herramientas pudiesen afectar derechos fundamentales, en razón de las características propias de su funcionamiento.

Por todo lo anterior, A través de la presente declaración, las organizaciones firmantes hacemos un llamado enfático a los tomadores de decisiones sobre la imperiosa necesidad de generar un marco regulatorio moderno y transparente, en torno a la utilización de nuevas tecnologías en una actividad tan delicada y potencialmente lesiva de derechos fundamentales como es la vigilancia estatal, con participación de la ciudadanía y conforme a los estándares internacionales de derechos humanos.