Temática: Seguridad digital

Herramientas para perseguir a la oposición en Guatemala

El proyecto de vigilancia, creado en 2012 por el gobierno guatemalteco, se inicia por la adquisición por vía de excepción por parte de la Dirección General de Inteligencia Civil (DIGICL) de un software por valor de 1.4 millones de quetzales (alrededor de 186.000 dólares) cuya finalidad es permitir la intercepción de mensajes y correos electrónicos. A finales del mismo año, se suma la compra de dos maletines con fines de intercepción de llamadas telefónicas, por un valor equivalente a 2.5 millones de dólares. De acuerdo con Nuestro Diario, entre los softwares adquiridos se encuentran “las versiones más avanzadas” de Pegasus, Pen-Link, Circles, Citer, Conceptus, Memex, Sitev, Laguna, Avatar y del software Galileo, de Hacking Team, empresa que ha sido objeto de escándalo anteriormente al venderle su software a una larga lista de gobiernos latinoamericanos.

La investigación revela que la Dirección General de Inteligencia Civil, cuyo mandato es la recolección de información para el combate del crimen organizado, utilizó la información recabada con fines políticos, en el contexto de las protestas por corrupción enfrentadas por el gobierno entre 2014 y 2015. Así, a medida que crecía el rechazo hacia los actos gubernamentales, se fue incrementando la vigilancia contra todo aquel que el gobierno considerara un enemigo político, incluyendo no solo la interceptación de las comunicaciones tanto digitales como analógicas, sino también la vigilancia física, todo esto llevado a cabo por grupos de trabajo conformados tanto por militares como por civiles. Estas técnicas fueron también usadas para vigilar a los manifestantes durante las protestas de 2015.

Tal como resume la Fundación Acceso en la siguiente infografía, entre 2012 y 2014 el gobierno habría ido ampliando progresivamente sus capacidades de vigilancia, adquiriendo actualizaciones de software y alquilando un edificio destinado exclusivamente al centro de espionaje.

De acuerdo con la investigación presentada por Nuestro Diario, el sistema de vigilancia permitiría a las autoridades interceptar las comunicaciones telefónicas y los servicios de mensajería, hacer una copia espejo de lo que se escribe en un dispositivo intervenido, infiltrarse en redes sociales mediante la creación de perfiles falsos, así como activar la cámara y el micrófono de teléfonos celulares y computadoras con la finalidad de grabar audio, video y fotografías. Como señalamos, este tipo de prácticas no son nuevas en la región: ya en 2016 se denunciaba la adquisición por parte de los gobiernos de México, Honduras, Panamá, Ecuador, Colombia, Brasil y Chile del software proporcionado por Hacking Team, y se sabía que al menos otros seis países de la región (incluida Guatemala) habían sostenido negociaciones para la compra de este software.

Enrique Degenhart, Ministro de Gobernación guatemalteco, declaró negando la existencia de la red de espionaje, y afirmó que el sistema, que fuera adquirido por la administración anterior durante la presidencia de Otto Pérez Molina, estaría en poder de la Fiscalía y la CICIG (Comisión Internacional contra la Impunidad en Guatemala). Según Degenhart, las herramientas fueron secuestradas por las autoridades por la vía judicial. Pérez Molina actualmente cumple prisión preventiva por cargos de corrupción. “No tenemos conocimiento sobre qué están haciendo con ellas”, señaló el ministro, añadiendo que el uso de estas tecnologías estaría a discreción de las instituciones que las secuestraron, en lo que parece ser un intento de desmarcarse de cualquier responsabilidad sobre el uso de estos sistemas para la vigilancia.

Este tipo de circunstancias, precisamente, apunta a uno de los problemas más graves respecto a las tendencias recientes en tecnologías para la vigilancia en Latinoamérica: la total carencia de transparencia y rendición de cuentas en los procesos de licitación, adquisición, implementación y uso de estas tecnologías, que son adoptadas en procesos de secretismo bajo excusas de “seguridad nacional” e “inteligencia militar”, incurriendo así en afectaciones gravísimas a la privacidad de los ciudadanos sin que estos posean ningún mecanismo ni posibilidad alguna de ejercer los controles pertinentes sobre la manera en que son vigilados, y sin que puedan ser protegidos por las garantías judiciales mínimas que garanticen la proporcionalidad, la necesidad y la legalidad de las medidas tomadas.

Este tipo de tecnologías, que facilitan a los Estados la utilización de técnicas de hackeo con fines de vigilancia, socavan la privacidad de los ciudadanos de un modo especialmente grave, por cuanto recurren a la explotación de vulnerabilidades de seguridad en los sistemas informáticos, frecuentemente sin justificación legal y en maneras que no suelen ser compatibles con la normativa internacional en materia de derechos humanos. Así, Privacy International señala, en un informe de 2017 sobre la práctica del hackeo con fines de vigilancia en América Latina:

No queda claro si estas actividades pueden en alguna instancia realizarse en conformidad con las normas internacionales de derechos humanos. Si los Gobiernos insisten, a pesar de lo anterior, en poner en práctica estas facultades, deben cumplir con una serie de salvaguardas necesarias mínimas (según lo establece la legislación internacional en materia de derechos humanos) que aborden las implicancias que tiene el hackeo en la seguridad.

En este sentido, el primer factor de urgencia, tanto en Guatemala como en el resto de Latinoamérica, es la articulación de una base legal clara con respecto a las actividades de inteligencia, vigilancia y hackeo llevadas a cabo por parte de los Gobiernos. La carencia de una base legal clara, específica y que haya sido creada a través de una discusión abierta, pública y de carácter parlamentario, con la inclusión de todos los sectores de la sociedad, es el primer factor que ocasiona que todas estas actividades estén siendo llevadas a cabo en violación de las normativas internacionales en materia de derechos humanos. Por otra parte, si bien la Procuraduría de Guatemala anunció la apertura de un expediente para investigar los hechos mencionados, los gobiernos de la región han sido consistentes en ignorar las investigaciones o procesos judiciales que deberían haber sido llevados a cabo al descubrir las irregularidades cometidas en la implementación y uso de estas tecnologías, así como en lo que respecta a la revisión necesaria de las leyes vigentes.

Mientras seguimos siendo vigilados, la transparencia, la rendición de cuentas y la creación de garantías y controles judiciales efectivos frente a las medidas invasivas a la privacidad se hacen cada vez más urgentes. De lo contrario, la vulneración constante a nuestra privacidad no será más que un factor adicional en el debilitamiento de nuestra libertad de expresión y participación y por ende, en el socavamiento de las ya frágiles democracias de nuestra región.

La necesidad de legislar sobre cibercrimen en Panamá

El Networked Readiness Index (NRI) es un indicador producido por el Foro Económico Mundial sobre acceso a las Tecnologías de la Información y comunicación, que busca medir qué tan preparado está un país para afrontar la transición al nuevo mundo, marcado por la convergencia de tecnologías digitales, físicas y biológicas, en lo que algunos economistas denominan “la cuarta revolución industrial”. Según el NRI, Panamá se encuentra en una posición de ventaja frente al resto de países centroamericanos, el uso de las tecnologías es cada vez más frecuente en un creciente espectro de actividades diarias de los ciudadanos.

Sin embargo, el uso de las tecnologías de la información no está necesariamente limitado por la legalidad y, en algunos casos, se está utilizando también para cometer delitos: el creciente acceso a internet y las tecnologías de la información han requerido de la creación de marcos jurídicos que lidien con los delitos cibernéticos, un aspecto que la legislación panameña todavía tiene pendiente de resolver.

Lo interesante es que Panamá fue el segundo país latinoamericano en ratificar el Convenio de Budapest, después de la República Dominicana: La Asamblea Nacional de Panamá aprobó el Convenio sobre la Ciberdelincuencia a través de la Ley 79 del 22 de octubre de 2013; Panamá aprobó el texto del Convenio de Budapest sin reservas ni modificaciones, y depositó el instrumento de adhesión en marzo del 2014 ante la Secretaría del Consejo de Europa.

Al mismo tiempo, Panamá cuenta con institucionalidad en materia de ciberserguridad. En el año 2011 se creó el CSIRT-Panamá (Computer Security Incident Response Team, por sus siglas en inglés) bajo la estructura gubernamental de la Autoridad Nacional para la Innovación Gubernamental, creado a través del Decreto Ejecutivo No.709 del Ministerio de Presidencia. El CSIRT-Panamá es la institución encargada de prevenir e identificar ataques e incidentes de seguridad a los sistemas informáticos de la infraestructura crítica del país.

El Consejo Nacional para la Innovación Gubernamental elaboró y aprobó en 2013, la Estrategia Nacional de Seguridad Cibernética y Protección de Infraestructuras Críticas, esta política establece un conjunto de acciones y procedimientos para mejorar la ciberseguridad, así como proteger las infraestructuras vitales del país.

Panamá investiga los casos de delincuencia cibernética a través de la Unidad de Investigaciones de Delitos Informáticos, dependiente de la Dirección de Investigación Judicial, y a través de la Fiscalía Superior Especializada en Delitos contra la Propiedad Intelectual y Seguridad Informática. Sin embargo, actualmente, el Código Penal vigente únicamente tipifica 2 conductas como delitos informáticos, y no incluye los delitos que se realicen por medios electrónicos. Del artículo 289 al 292 regula los delitos contra la seguridad informática: a) ingresar o utilizar de bases de datos, red o sistemas informáticos; y, b) apoderar, copiar, utilizar o modificar datos en tránsito o contenidos en bases de datos o sistemas informáticos, o interferir, interceptar, obstaculizar o impedir la transmisión.

En ese sentido, Panamá tiene la obligación internacional de adecuar su legislación penal conforme a los estándares regulados en el Convenio de Budapest, lo que implica elaborar reformas al Código Penal y Código Procesal Penal.

Ya se han presentado anteproyectos para la implementación del Convenio de Budapest, sin embargo, el Proyecto de Ley 558 que modifica y adiciona artículos al Código Penal, relacionados al cibercrimen, presentado el 27 de septiembre de 2017, es el que se encuentra más avanzado en la Asamblea Nacional.

Este proyecto de ley carece de una adecuación integral, ya que debería incluir la adopción de nuevos tipos penales más allá de una simple adecuación de tipos penales ya existentes en un entorno cibernético. En materia procesal, este proyecto únicamente incluye un apartado sobre la evidencia digital, sin embargo, no profundiza en otros aspectos procedimentales regulados en el Convenio de Budapest. Esto último dificultaría la adecuada implementación a nivel nacional e internacional de los mecanismos de investigación de ciberdelincuencia, así como el procesamiento de las personas involucradas en estos actos.

Panamá enfrente grandes desafíos en la implementación del Convenio de Budapest, especialmente en la necesidad de crear estándares legales claros para la investigación de ciberdelitos y la falta de capacidades adecuadas en las diferentes instituciones públicas que participan en los procesos de persecución penal y que dificultan los procedimientos internos para la investigación en ciberdelincuencia.

La construcción de políticas públicas y legislaciones, sustantivas y procesales, adecuadas a los estándares internacionales en materia de ciberdelincuencia es una urgencia en Panamá. Las entidades públicas que participan en los procesos de investigación penal y de otros sectores, como el sector privado y la comunidad técnica, deben buscar el desarrollo de capacidades para hacer frente en la lucha contra la ciberdelincuencia.

Una reforma adecuada de este último permitiría que los mecanismos para la investigación penal aseguren la correcta guía y salvaguarda de los derechos humanos y garantías procesales reconocidos por tratados internacionales y la Constitución.

***

Esta columna fue escrita por Sara Fratti y es la tercera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Ipandetec, la investigación se titula “Panamá, un país con la necesidad de una legislación sobre cibercrimen’ y puede ser descargada aquí.

El Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) es una asociación sin fines de lucro que promueve el uso y regulación de las TICs y la defensa de los derechos humanos en el entorno digital en Panamá y Centroamérica.

El Convenio de Budapest desde una perspectiva de derechos humanos

El Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest, es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.

En función de lo anterior, para abordar la efectividad del mismo o la necesidad de que México se adhiera a él, surge una primer interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. Como explica Miguel Polaino Navarrete, el primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.

Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.

Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.

El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.

En México, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado mexicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.

Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.

Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?

La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.

La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la «ciberdelincuencia». Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.

En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.

Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.

***

Esta columna es la segunda de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de R3D, la publicación se titula «México y el Convenio de Budapest: posibles incompatibilidades» y puede ser descargada aquí.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital.

Una breve historia de la ciberseguridad importada

El día 28 de setiembre, el Poder Ejecutivo de Perú remitió al Congreso de la República los documentos relacionados al Convenio de Budapest con el fin de que sean revisados y puestos en agenda para su ratificación. Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?

Antecedentes

A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.

El ciberespacio, término ambiguo y escurridizo, era un campo nuevo en donde muchas nociones perdían el sentido cuando se trataba de prevenir conductas indeseadas, identificar delitos y perseguirlos. Especialmente las ideas de jurisdicción (quién juzga) y competencia (dónde se juzga) eran insuficientes para combatir, por ejemplo, el fraude bancario perpetrado a través de medios electrónicos. Lo mismo con aquellas conductas sin consecuencias directas en el mundo físico, como la intrusión en servidores informáticos o el hurto de bases de datos.

Los primeros esfuerzos por crear cuerpos legales y mecanismos de respuesta frente a estas amenazas fueron locales. Un ejemplo es la temprana Computer Fraud and Abuse Act (CFAA) aprobada en Estados Unidos en 1986. Sin embargo, por su propia naturaleza, la efectividad de estas medidas estaba limitada al ámbito doméstico y perdieron vigencia cuando el crimen transfronterizo se incrementó, como consecuencia de la masificación de internet y la sofisticación de la tecnología computacional.

En ese contexto y ante la necesidad de crear un marco común de trabajo, el Consejo de Europa tomó la iniciativa en 1995 y creó un comité de expertos en delitos informáticos para producir recomendaciones sobre este tema, lo que llevó eventualmente a la redacción y aprobación del Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest. Este tratado, consensuado durante más de cinco años, fue aprobado en 2001 y reflejaba no solo las preocupaciones del momento, sino también dos aspiraciones europeas muy concretas: la necesidad de estandarizar los sistemas penales de justicia y, más importante aún, la urgencia de crear mecanismos de cooperación internacional contra la cibercriminalidad.

Pese a que existieron otros esfuerzos paralelos, el éxito del Convenio de Budapest lo ha convertido en una suerte de paradigma en el ámbito de la ciberseguridad. Quizás parte de ese éxito se debe a que este instrumento es fiel reflejo del contexto donde surgió y fue implementado: dentro de un bloque grande de países que compartían una visión similar del desarrollo en términos económicos y culturales. Por ello ha sido desde el inicio un punto de referencia para otros países, razón por la cual varios estados no miembros de la Unión Europea lo han suscrito, como Panamá y Chile.

Pero el Convenio también ha servido para reforzar la idea de que hace falta más control sobre el ciberespacio. Esto ha generado que, junto con las normas penales, se aglutinen también otros intereses y prioridades adyacentes, como la ciberdefensa, la protección de la infraestructura crítica y la seguridad de la información estatal. Todas estas, que comparten entre sí espacios comunes, han terminado casi siempre engarzadas en directrices, estrategias y planes de ciberseguridad de alcance institucional o nacional.

Latinoamérica y el Perú

Este proceso, que en el norte global ha durado décadas, ha sido bastante más corto en otras regiones como América Latina, en donde, luego de la implementación (tardía) de leyes de delitos informáticos o la suscripción del Convenio de Budapest, se ha empezado inmediatamente a trabajar en Planes Nacionales de Ciberseguridad. Muchas veces esto responde no solo a las necesidades apremiantes que produce el crimen globalizado, sino también al hecho de que en muchos casos la organización institucional que soporta el plan se ha tenido que replantear porque la anterior no estaba centralizada, era obsoleta o inexistente.

El escenario latinoamericano en materia de ciberseguridad es particular también porque, pese a que la mayoría de los países poseen una visión económica y cultural más o menos similar, no ha tenido tiempo para generar sus propios procesos ni llegar a consensos a través de organismos regionales, como la Organización de Estados Americanos (OEA). Esto hace que surjan muchas interrogantes con respecto a la forma en que estos procesos se están encarando y en qué medida otros factores como la idiosincrasia, el pasado común y las necesidades particulares están jugando un rol que ayude a diferenciarlos del modelo europeo en lo necesario para lograr un sistema eficiente y verdaderamente útil.

En el caso específico del Perú, decíamos al inicio que el proceso de ratificación del Convenio de Budapest está en su última etapa, a la que se ha llegado luego de muchos años de contar con normas contra los delitos informáticos. Sin embargo, actualmente el escenario no es del todo claro pues durante todo este tiempo no han existido análisis de situación o líneas de base que permitan conocer cuál es el estado de la ciberseguridad en el país y las necesidades locales con respecto a los beneficios que ofrece el Convenio.

Si bien existen reportes internacionales y de sectores muy específicos, e incluso propuestas para crear planes nacionales en torno a la ciberseguridad, ninguna ha profundizado en la problemática peruana. No se conoce lo básico, por ejemplo, qué tipo de delito informático es el más común en el país y quiénes son los principales afectados. Tampoco se sabe cuáles son las urgencias con respecto a la cooperación internacional, teniendo en cuenta que el Perú ya participa de varios foros internacionales relacionados al ciberespacio, a través del PeCERT y la Policía Nacional (Interpol). Menos aún se sabe sobre las amenazas para la Defensa Nacional, si es que existen en realidad más allá de las proyecciones de partes interesadas como vendedores de antivirus o firmas de consultoría en seguridad informática.

Por todo ello, es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en nuestro país. En general, es más lo que se debe hacer que lo hay que modificar, pero este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional. Solo así será posible aprovechar este instrumento internacional para mejorar nuestra situación, algo que ciertamente va a tomar mucho más tiempo después que el Convenio se ratifique.

¿Estamos preparados para acometer esa tarea? El tiempo y las acciones de quienes impulsan esta y otras iniciativas lo dirán.

***

Esta columna es la primera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además una serie de investigaciones desarrolladas por las mismas organizaciones. En el caso de Hiperderecho, la publicación se titula «De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo» y puede ser desacargada aquí.

Hiperderecho es una organización civil peruana sin fines de lucro, dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales.

DDHH en la primera línea de internet

En noviembre de 2015 el Gobierno de Chile hizo pública su Agenda Digital 2020, cuyo objetivo es desarrollar las capacidades tecnológicas, en todos los sectores y territorios, que permitan insertar al país en la Sociedad de la Información.

Dentro de los cinco ejes que componen la Agenda se contempla, como una de las medidas de Gobierno Digital, el desarrollo una Política Nacional de Ciberseguridad (en adelante PNCS) para Chile, la cual fue presentada por el Comité Interministerial sobre Ciberseguridad (CICS) a finales de 2016.

Pero el documento presentado no es, en sentido estricto, una política de ciberseguridad como se ha solido entender: dista de documentos como el de Estados Unidos o los de países europeos, pues Chile no cuenta con una legislación desarrollada en estas materias. Más bien se trata de una propuesta programática, un conjunto de medidas políticas y legislativas que deben implementarse para contar con una política funcional de ciberseguridad: proyectos de ley, políticas educativas y metas generales de desarrollo del país.

Sin embargo, la PNCS sí contiene diferentes directrices en áreas tradicionales y considera dentro de ellas el mandato del Estado de velar por los derechos fundamentales de las personas en el ciberespacio. Este es quizás uno de los pilares de la nueva política, porque varias son las amenazas que enfrenta la ciudadanía en el área de la seguridad digital: desde cibercrimen, políticas empresariales que no respetan los derechos de las personas en la gestión de datos, brechas de datos en organismos públicos y privados.

Como ciudadanas y ciudadanos nos encontramos expuestos a un gran número de riesgos respecto a los cuales, tanto el sector privado como público han de aunar esfuerzos para desarrollar un entorno digital que respete nuestros derechos, siendo la PNCS el instrumento que guíe tales esfuerzos.

Es en esta línea, han sido varias las declaraciones e instrumentos que han indicado la manera en que la relación entre ciberseguridad y derechos humanos ha de ser llevada. El criterio más claro y general ha consistido en indicar el simple hecho de que las personas contamos con los mismos derechos en ambientes dentro y fuera de línea, y por tanto los Estados tienen la obligación de proteger nuestros derechos fundamentales en los dos ámbitos por igual. Esto sería aplicable también para organizaciones privadas con las que como ciudadanos debemos interactuar en internet.

Pero esta afirmación por sí sola no es capaz de dar cuenta de la complejidad del fenómeno de la seguridad digital, y en este sentido indica la PNCS que “(…) todas las medidas propuestas por la política se deben diseñar y ejecutar con un enfoque de derechos fundamentales, ¿qué debemos entender por enfoque de derechos fundamentales? No basta la simple afirmación de que son reconocidos y respetados dentro y fuera de la red.

En este sentido se han dado recomendaciones que dotan de contenido a esta expresión, señalando que implica comprender el desarrollo tecnológico a partir de los derechos fundamentales de las personas, a través de medidas concretas como:

(…) 4. El desarrollo y la implementación de leyes, políticas y prácticas relacionadas con la ciberseguridad deben ser coherentes con el derecho internacional, incluidas las normas internacionales de derechos humanos y el derecho internacional humanitario.

5. Las leyes, políticas y prácticas relacionadas con la seguridad no deben utilizarse como pretexto para violar los derechos humanos, especialmente la libertad de expresión, asociación, reunión y privacidad.

6. Las respuestas a los incidentes cibernéticos no deben violar los derechos humanos.

7. Las leyes, políticas y prácticas relacionadas con la ciberseguridad deben mantener y proteger la estabilidad y la seguridad de Internet, y no deben socavar la integridad de la infraestructura, hardware, software y servicios. (…)”

También la Comisión Europea ha señalado que el enfoque de derechos humanos constituye uno de los medios ideales para el desarrollo y cooperación internacional en materia de seguridad, dando directrices específicas para su desarrollo en ciberseguridad. Así, las políticas que posean un enfoque de derechos humanos han de tener entre sus objetivos la persecución de un fin legítimo, ha de ser necesaria, proporcionada y considerar remedios efectivos, entre otros.

Al examinar las medidas que contiene la PNCS chilena parte importante de las recomendaciones dadas en materia de derechos humanos se encuentran presentes en algunos de los instrumentos que hemos indicado y creemos que estos criterios son los que han de informar la manera en que Chile se aproxime a los derechos humanos y la ciberseguridad.

Lo anterior no solo para reafirmar el compromiso del país con los derechos humanos y su desarrollo, sino porque la ciberseguridad destaca por una complejidad creciente en el desarrollo técnico de los medios de protección de la información donde el enfoque de derechos humanos podría servir como herramienta para solucionar conflictos.

En diversos países hay instituciones como el NIST o ENISA que ofrecen estándares o directrices técnicas tanto al sector público como privado de protección de la información, pero junto con estas directrices las organizaciones privadas cuentan con normas propias de ciberseguridad como las ISO, o en el sector público hay normas especiales de gestión de la información del Estado hacia sus organismos.

Todo este desarrollo legislativo y técnico hace que la ciberseguridad sea un área en donde existe una gran dispersión de posibles criterios de solución, por lo que llegado el momento de considerar cual ha de prevalecer sobre el otro puede resultar algo complejo. El enfoque de derechos humanos nos otorga un medio para dar una mayor claridad sobre los problemas y cómo solucionarlos.

¿Qué se debería hacer, por ejemplo, en el caso de una brecha de datos? Hay varias soluciones, por ejemplo seguir la norma técnica de mantención del servidor, que prevalezcan las obligaciones del responsable de la base de datos que indica la ley, o sostener otro criterio particular al caso. Una solución que considere el enfoque de derechos humanos nos llevaría a preguntarnos en primer lugar cuál derecho humano se ve afectado, y de qué manera puede y/o debería haber sido protegido. Esto permite dar una meta clara de solución al problema de ciberseguridad presentado, orientando las posibles soluciones a las que podría llegarse en vista de la protección del derecho vulnerado.

Esta clase de consideraciones caben no solo frente a incidentes de ciberseguridad, sino también al desarrollo y diseño de políticas e infraestructuras relacionadas con ciberseguridad. Esto permite orientar de manera clara los objetivos y medios que se consideran en esta materia en conformidad a los derechos humanos, valiéndose no solo de lo establecido en el derecho nacional, sino en el derecho internacional. El enfoque de derechos humanos requiere, en definitiva, un giro en la manera en que las intervenciones en las diferentes materias son conceptualizadas e implementadas.

La relación entre derechos humanos y ciberseguridad es una de las cuestiones de mayor relevancia y complejidad que se avecina para Chile con una nueva ley de protección de datos en camino, y con las medidas de la PNCS en desarrollo. Es el momento de comenzar de buena manera las nuevas políticas y leyes en esta materia.

Error 402 ¿Terrorismo Cibernético en Guatemala?

Hablar de terrorismo cibernético en Guatemala me hace pensar en una novela de ficción de Margaret Atwood situada en el año 3000. Luego recuerdo que vivo en el país de las distopías y me tranquilizo. La Iniciativa de Ley 5239, contra actos terroristas, se dio a conocer ante el Congreso el 23 de febrero de 2017; fue analizada por la comisión de Gobernación y recibió dictamen favorable en noviembre del mismo año. En estos momentos está en espera de una segunda y tercera lectura para ser aprobada.

¿Qué es el ciberterrorismo? ¿Por qué está incluído en la ley? ¿Por qué ha generado críticas de periodistas, activistas y defensores de derechos humanos? Recordar la historia reciente del país ayuda a entender mejor el contexto y los peligros potenciales del proyecto.

¿Ciberterrorismo?

La definición de ciberterrorismo que expone el proyecto parece sacada de una novela de apocalípsis tecnológico: el terrorismo cibernético lo comete “quien con fines económicos, políticos, religiosos, utilice los medios de comunicación, informática, tecnologías de información, electrónica o similar con el objeto de infundir temor, causar alarma, intimidar a la población, o compeler a un Estado o Gobierno u organismo nacional o internacional”, sancionándolo con entre diez a veinte años de prisión.

La Cámara de Periodistas de Guatemala rechazó la iniciativa, argumentando que el artículo 22 sobre ciberterrorismo es “pretensión velada y descarada de restringir el ejercicio de la libertad de emisión del pensamiento”.

“El solo hecho de que compeler al Estado por medios electrónicos configura un delito terrorista es una definición excesivamente amplia y puede ser utilizada como forma de reprimir discursos disidentes”, explica Pablo Viollier, analista de políticas públicas de Derechos Digitales, quien además recalca que “la tipificación de este tipo de delitos debe ser particularmente precisa” para evitar su uso con fines represivos.

Para Sara Fratti, abogada y directora de Políticas Públicas de IPANDETEC, “los riesgos son enormes, principalmente por la criminalización del movimiento ciudadano, que incluirá la penalización de actos como convocar a manifestaciones, críticas a funcionarios públicos, etc.”.

En paralelo existe un riesgo que pocas veces se menciona y “es que la gente genere autocensura en espacios donde antes no la había, por la sola existencia de este tipo de leyes”, explica David Oliva, consultor en seguridad digital de la Fundación Acceso.

El poder de las redes

“Es importante contextualizar brevemente el momento social y político que atraviesa Guatemala”, explica Sara Fratti: “la lucha contra la corrupción promovida desde la Comisión Internacional Contra la Impunidad en Guatemala (CICIG), el Ministerio Público (MP) y la ciudadanía han generado que las élites y grupos de poder vinculados a la corrupción inicien una campaña de desprestigio, principalmente a través de redes sociales. Como consecuencia, esta iniciativa de ley se presentó con la finalidad, entre otras cosas, de silenciar las voces de líderes, activistas, defensores y población en general”.

David Oliva considera que “estas leyes surgen alrededor del incremento en la sonoridad de las redes sociales, y es lamentable que a falta de profesionales probos se legislen leyes que buscan censurar masivamente expresiones de distintos tipos”. Así, esta ley puede ser leída como una forma de silenciar a la sociedad civil, detener las movilizaciones ciudadanas y criminalizar a los y las defensoras de derechos humanos.

Una nueva red de inteligencia

Por si esto fuera poco, la Iniciativa de Ley 5239 contempla además la creación de una Red de Comunicación “integrada por autoridades de seguridad, migratorias y aduaneras, que permita optimizar los procedimientos de control sin afectar el flujo del comercio”. Esta red tecnológica de información no solo será fundamental para la prevención de actividades terroristas, sino que intensificará el flujo de información entre países, sobre aquellas personas u organizaciones que se consideren bajo investigación.

“El proyecto no define las funciones específicas que tendrá esta red, básicamente es la creación de una red de inteligencia para vigilar a la ciudadanía. Además, carece de salvaguardas y estándares mínimos de aplicación. Lo cual, facultará al Gobierno establecer una red de vigilancia masiva”, explica Fratti.

Lo grave no es solamente la creación de un nuevo aparato de control estatal, sino que bajo el discurso de seguridad ciudadana este tipo de proyectos nacen desvinculados del deber de garantizar los derechos humanos.

Desde esa perspectiva, Víctor Quilaqueo, historiador y director del Centro de Política Públicas para el Socialimo, señala que “la creación de una Red de Comunicación es un atentado contra las garantías ciudadanas mínimas. Queda así como una medida arbitraria, que no define alcances ni modos de aplicación. Es crear una ley en cuyo centro no está la salvaguarda de nuestros derechos”.

Como vemos, el proyecto tiene un carácter eminentemente cohercitivo, sin perspectiva de derechos fundamentales. La tendencia a la criminalización de la diferencia es profunda y se materializa en iniciativas de este tipo.

“Creo que hay dos problemas con este tipo de legislaciones -explica David Oliva-: en primer lugar, están tipificando delitos digitales antes de tipificar derechos digitales de las personas, eso es una clara manifestación de criminalización. Por otro lado, cuando se legislan este tipo de leyes sin ninguna vista técnica ni de derechos humanos, el resultado son legislaciones totalitarias que de ninguna manera buscan hacernos crecer como sociedad, sino al contrario, generan control. El solo hecho de que una persona se sepa vigilada por el Estado la limita de ejercer su libre derecho de expresión o de generar puntos de vista diferentes”.

La ley sugiere un panorama que nos recuerda al gran hermano de Orwell. Según Sara Fratti, la iniciativa permitirá que el Gobierno tenga acceso y control a las publicaciones en redes sociales y plataformas digitales que realicen los usuarios del país, “con la finalidad de vigilar y castigar a ciudadanos que se opongan a la forma en la que se está llevando a cabo la administracion pública”.

En un país como Guatemala, que tuvo 36 años de conflicto armado y aparatos de inteligencia estatal y paraestatal represivos, hablar sobre crear una sistema de control y vigilancia masiva debe considerarse una agresión, no solo porque está en peligro nuestro derecho constitucional a la privacidad y a la libertad de expresión, sino también porque pende de un hilo la débil democracia que nos queda.