Informe solicitado por la Defensoría Penal Pública a los profesionales que trabajan y colaboran con la organización no gubernamental Derechos Digitales.
Temática: Seguridad digital
Una breve historia de la ciberseguridad importada
El día 28 de setiembre, el Poder Ejecutivo de Perú remitió al Congreso de la República los documentos relacionados al Convenio de Budapest con el fin de que sean revisados y puestos en agenda para su ratificación. Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?
Antecedentes
A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.
El ciberespacio, término ambiguo y escurridizo, era un campo nuevo en donde muchas nociones perdían el sentido cuando se trataba de prevenir conductas indeseadas, identificar delitos y perseguirlos. Especialmente las ideas de jurisdicción (quién juzga) y competencia (dónde se juzga) eran insuficientes para combatir, por ejemplo, el fraude bancario perpetrado a través de medios electrónicos. Lo mismo con aquellas conductas sin consecuencias directas en el mundo físico, como la intrusión en servidores informáticos o el hurto de bases de datos.
Los primeros esfuerzos por crear cuerpos legales y mecanismos de respuesta frente a estas amenazas fueron locales. Un ejemplo es la temprana Computer Fraud and Abuse Act (CFAA) aprobada en Estados Unidos en 1986. Sin embargo, por su propia naturaleza, la efectividad de estas medidas estaba limitada al ámbito doméstico y perdieron vigencia cuando el crimen transfronterizo se incrementó, como consecuencia de la masificación de internet y la sofisticación de la tecnología computacional.
En ese contexto y ante la necesidad de crear un marco común de trabajo, el Consejo de Europa tomó la iniciativa en 1995 y creó un comité de expertos en delitos informáticos para producir recomendaciones sobre este tema, lo que llevó eventualmente a la redacción y aprobación del Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest. Este tratado, consensuado durante más de cinco años, fue aprobado en 2001 y reflejaba no solo las preocupaciones del momento, sino también dos aspiraciones europeas muy concretas: la necesidad de estandarizar los sistemas penales de justicia y, más importante aún, la urgencia de crear mecanismos de cooperación internacional contra la cibercriminalidad.
Pese a que existieron otros esfuerzos paralelos, el éxito del Convenio de Budapest lo ha convertido en una suerte de paradigma en el ámbito de la ciberseguridad. Quizás parte de ese éxito se debe a que este instrumento es fiel reflejo del contexto donde surgió y fue implementado: dentro de un bloque grande de países que compartían una visión similar del desarrollo en términos económicos y culturales. Por ello ha sido desde el inicio un punto de referencia para otros países, razón por la cual varios estados no miembros de la Unión Europea lo han suscrito, como Panamá y Chile.
Pero el Convenio también ha servido para reforzar la idea de que hace falta más control sobre el ciberespacio. Esto ha generado que, junto con las normas penales, se aglutinen también otros intereses y prioridades adyacentes, como la ciberdefensa, la protección de la infraestructura crítica y la seguridad de la información estatal. Todas estas, que comparten entre sí espacios comunes, han terminado casi siempre engarzadas en directrices, estrategias y planes de ciberseguridad de alcance institucional o nacional.
Latinoamérica y el Perú
Este proceso, que en el norte global ha durado décadas, ha sido bastante más corto en otras regiones como América Latina, en donde, luego de la implementación (tardía) de leyes de delitos informáticos o la suscripción del Convenio de Budapest, se ha empezado inmediatamente a trabajar en Planes Nacionales de Ciberseguridad. Muchas veces esto responde no solo a las necesidades apremiantes que produce el crimen globalizado, sino también al hecho de que en muchos casos la organización institucional que soporta el plan se ha tenido que replantear porque la anterior no estaba centralizada, era obsoleta o inexistente.
El escenario latinoamericano en materia de ciberseguridad es particular también porque, pese a que la mayoría de los países poseen una visión económica y cultural más o menos similar, no ha tenido tiempo para generar sus propios procesos ni llegar a consensos a través de organismos regionales, como la Organización de Estados Americanos (OEA). Esto hace que surjan muchas interrogantes con respecto a la forma en que estos procesos se están encarando y en qué medida otros factores como la idiosincrasia, el pasado común y las necesidades particulares están jugando un rol que ayude a diferenciarlos del modelo europeo en lo necesario para lograr un sistema eficiente y verdaderamente útil.
En el caso específico del Perú, decíamos al inicio que el proceso de ratificación del Convenio de Budapest está en su última etapa, a la que se ha llegado luego de muchos años de contar con normas contra los delitos informáticos. Sin embargo, actualmente el escenario no es del todo claro pues durante todo este tiempo no han existido análisis de situación o líneas de base que permitan conocer cuál es el estado de la ciberseguridad en el país y las necesidades locales con respecto a los beneficios que ofrece el Convenio.
Si bien existen reportes internacionales y de sectores muy específicos, e incluso propuestas para crear planes nacionales en torno a la ciberseguridad, ninguna ha profundizado en la problemática peruana. No se conoce lo básico, por ejemplo, qué tipo de delito informático es el más común en el país y quiénes son los principales afectados. Tampoco se sabe cuáles son las urgencias con respecto a la cooperación internacional, teniendo en cuenta que el Perú ya participa de varios foros internacionales relacionados al ciberespacio, a través del PeCERT y la Policía Nacional (Interpol). Menos aún se sabe sobre las amenazas para la Defensa Nacional, si es que existen en realidad más allá de las proyecciones de partes interesadas como vendedores de antivirus o firmas de consultoría en seguridad informática.
Por todo ello, es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en nuestro país. En general, es más lo que se debe hacer que lo hay que modificar, pero este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional. Solo así será posible aprovechar este instrumento internacional para mejorar nuestra situación, algo que ciertamente va a tomar mucho más tiempo después que el Convenio se ratifique.
¿Estamos preparados para acometer esa tarea? El tiempo y las acciones de quienes impulsan esta y otras iniciativas lo dirán.
***
Esta columna es la primera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además una serie de investigaciones desarrolladas por las mismas organizaciones. En el caso de Hiperderecho, la publicación se titula «De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo» y puede ser desacargada aquí.
Hiperderecho es una organización civil peruana sin fines de lucro, dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales.
DDHH en la primera línea de internet
En noviembre de 2015 el Gobierno de Chile hizo pública su Agenda Digital 2020, cuyo objetivo es desarrollar las capacidades tecnológicas, en todos los sectores y territorios, que permitan insertar al país en la Sociedad de la Información.
Dentro de los cinco ejes que componen la Agenda se contempla, como una de las medidas de Gobierno Digital, el desarrollo una Política Nacional de Ciberseguridad (en adelante PNCS) para Chile, la cual fue presentada por el Comité Interministerial sobre Ciberseguridad (CICS) a finales de 2016.
Pero el documento presentado no es, en sentido estricto, una política de ciberseguridad como se ha solido entender: dista de documentos como el de Estados Unidos o los de países europeos, pues Chile no cuenta con una legislación desarrollada en estas materias. Más bien se trata de una propuesta programática, un conjunto de medidas políticas y legislativas que deben implementarse para contar con una política funcional de ciberseguridad: proyectos de ley, políticas educativas y metas generales de desarrollo del país.
Sin embargo, la PNCS sí contiene diferentes directrices en áreas tradicionales y considera dentro de ellas el mandato del Estado de velar por los derechos fundamentales de las personas en el ciberespacio. Este es quizás uno de los pilares de la nueva política, porque varias son las amenazas que enfrenta la ciudadanía en el área de la seguridad digital: desde cibercrimen, políticas empresariales que no respetan los derechos de las personas en la gestión de datos, brechas de datos en organismos públicos y privados.
Como ciudadanas y ciudadanos nos encontramos expuestos a un gran número de riesgos respecto a los cuales, tanto el sector privado como público han de aunar esfuerzos para desarrollar un entorno digital que respete nuestros derechos, siendo la PNCS el instrumento que guíe tales esfuerzos.
Es en esta línea, han sido varias las declaraciones e instrumentos que han indicado la manera en que la relación entre ciberseguridad y derechos humanos ha de ser llevada. El criterio más claro y general ha consistido en indicar el simple hecho de que las personas contamos con los mismos derechos en ambientes dentro y fuera de línea, y por tanto los Estados tienen la obligación de proteger nuestros derechos fundamentales en los dos ámbitos por igual. Esto sería aplicable también para organizaciones privadas con las que como ciudadanos debemos interactuar en internet.
Pero esta afirmación por sí sola no es capaz de dar cuenta de la complejidad del fenómeno de la seguridad digital, y en este sentido indica la PNCS que “(…) todas las medidas propuestas por la política se deben diseñar y ejecutar con un enfoque de derechos fundamentales”, ¿qué debemos entender por enfoque de derechos fundamentales? No basta la simple afirmación de que son reconocidos y respetados dentro y fuera de la red.
En este sentido se han dado recomendaciones que dotan de contenido a esta expresión, señalando que implica comprender el desarrollo tecnológico a partir de los derechos fundamentales de las personas, a través de medidas concretas como:
“(…) 4. El desarrollo y la implementación de leyes, políticas y prácticas relacionadas con la ciberseguridad deben ser coherentes con el derecho internacional, incluidas las normas internacionales de derechos humanos y el derecho internacional humanitario.
5. Las leyes, políticas y prácticas relacionadas con la seguridad no deben utilizarse como pretexto para violar los derechos humanos, especialmente la libertad de expresión, asociación, reunión y privacidad.
6. Las respuestas a los incidentes cibernéticos no deben violar los derechos humanos.
7. Las leyes, políticas y prácticas relacionadas con la ciberseguridad deben mantener y proteger la estabilidad y la seguridad de Internet, y no deben socavar la integridad de la infraestructura, hardware, software y servicios. (…)”
También la Comisión Europea ha señalado que el enfoque de derechos humanos constituye uno de los medios ideales para el desarrollo y cooperación internacional en materia de seguridad, dando directrices específicas para su desarrollo en ciberseguridad. Así, las políticas que posean un enfoque de derechos humanos han de tener entre sus objetivos la persecución de un fin legítimo, ha de ser necesaria, proporcionada y considerar remedios efectivos, entre otros.
Al examinar las medidas que contiene la PNCS chilena parte importante de las recomendaciones dadas en materia de derechos humanos se encuentran presentes en algunos de los instrumentos que hemos indicado y creemos que estos criterios son los que han de informar la manera en que Chile se aproxime a los derechos humanos y la ciberseguridad.
Lo anterior no solo para reafirmar el compromiso del país con los derechos humanos y su desarrollo, sino porque la ciberseguridad destaca por una complejidad creciente en el desarrollo técnico de los medios de protección de la información donde el enfoque de derechos humanos podría servir como herramienta para solucionar conflictos.
En diversos países hay instituciones como el NIST o ENISA que ofrecen estándares o directrices técnicas tanto al sector público como privado de protección de la información, pero junto con estas directrices las organizaciones privadas cuentan con normas propias de ciberseguridad como las ISO, o en el sector público hay normas especiales de gestión de la información del Estado hacia sus organismos.
Todo este desarrollo legislativo y técnico hace que la ciberseguridad sea un área en donde existe una gran dispersión de posibles criterios de solución, por lo que llegado el momento de considerar cual ha de prevalecer sobre el otro puede resultar algo complejo. El enfoque de derechos humanos nos otorga un medio para dar una mayor claridad sobre los problemas y cómo solucionarlos.
¿Qué se debería hacer, por ejemplo, en el caso de una brecha de datos? Hay varias soluciones, por ejemplo seguir la norma técnica de mantención del servidor, que prevalezcan las obligaciones del responsable de la base de datos que indica la ley, o sostener otro criterio particular al caso. Una solución que considere el enfoque de derechos humanos nos llevaría a preguntarnos en primer lugar cuál derecho humano se ve afectado, y de qué manera puede y/o debería haber sido protegido. Esto permite dar una meta clara de solución al problema de ciberseguridad presentado, orientando las posibles soluciones a las que podría llegarse en vista de la protección del derecho vulnerado.
Esta clase de consideraciones caben no solo frente a incidentes de ciberseguridad, sino también al desarrollo y diseño de políticas e infraestructuras relacionadas con ciberseguridad. Esto permite orientar de manera clara los objetivos y medios que se consideran en esta materia en conformidad a los derechos humanos, valiéndose no solo de lo establecido en el derecho nacional, sino en el derecho internacional. El enfoque de derechos humanos requiere, en definitiva, un giro en la manera en que las intervenciones en las diferentes materias son conceptualizadas e implementadas.
La relación entre derechos humanos y ciberseguridad es una de las cuestiones de mayor relevancia y complejidad que se avecina para Chile con una nueva ley de protección de datos en camino, y con las medidas de la PNCS en desarrollo. Es el momento de comenzar de buena manera las nuevas políticas y leyes en esta materia.
Error 402 ¿Terrorismo Cibernético en Guatemala?
Hablar de terrorismo cibernético en Guatemala me hace pensar en una novela de ficción de Margaret Atwood situada en el año 3000. Luego recuerdo que vivo en el país de las distopías y me tranquilizo. La Iniciativa de Ley 5239, contra actos terroristas, se dio a conocer ante el Congreso el 23 de febrero de 2017; fue analizada por la comisión de Gobernación y recibió dictamen favorable en noviembre del mismo año. En estos momentos está en espera de una segunda y tercera lectura para ser aprobada.
¿Qué es el ciberterrorismo? ¿Por qué está incluído en la ley? ¿Por qué ha generado críticas de periodistas, activistas y defensores de derechos humanos? Recordar la historia reciente del país ayuda a entender mejor el contexto y los peligros potenciales del proyecto.
¿Ciberterrorismo?
La definición de ciberterrorismo que expone el proyecto parece sacada de una novela de apocalípsis tecnológico: el terrorismo cibernético lo comete “quien con fines económicos, políticos, religiosos, utilice los medios de comunicación, informática, tecnologías de información, electrónica o similar con el objeto de infundir temor, causar alarma, intimidar a la población, o compeler a un Estado o Gobierno u organismo nacional o internacional”, sancionándolo con entre diez a veinte años de prisión.
La Cámara de Periodistas de Guatemala rechazó la iniciativa, argumentando que el artículo 22 sobre ciberterrorismo es “pretensión velada y descarada de restringir el ejercicio de la libertad de emisión del pensamiento”.
“El solo hecho de que compeler al Estado por medios electrónicos configura un delito terrorista es una definición excesivamente amplia y puede ser utilizada como forma de reprimir discursos disidentes”, explica Pablo Viollier, analista de políticas públicas de Derechos Digitales, quien además recalca que “la tipificación de este tipo de delitos debe ser particularmente precisa” para evitar su uso con fines represivos.
Para Sara Fratti, abogada y directora de Políticas Públicas de IPANDETEC, “los riesgos son enormes, principalmente por la criminalización del movimiento ciudadano, que incluirá la penalización de actos como convocar a manifestaciones, críticas a funcionarios públicos, etc.”.
En paralelo existe un riesgo que pocas veces se menciona y “es que la gente genere autocensura en espacios donde antes no la había, por la sola existencia de este tipo de leyes”, explica David Oliva, consultor en seguridad digital de la Fundación Acceso.
El poder de las redes
“Es importante contextualizar brevemente el momento social y político que atraviesa Guatemala”, explica Sara Fratti: “la lucha contra la corrupción promovida desde la Comisión Internacional Contra la Impunidad en Guatemala (CICIG), el Ministerio Público (MP) y la ciudadanía han generado que las élites y grupos de poder vinculados a la corrupción inicien una campaña de desprestigio, principalmente a través de redes sociales. Como consecuencia, esta iniciativa de ley se presentó con la finalidad, entre otras cosas, de silenciar las voces de líderes, activistas, defensores y población en general”.
David Oliva considera que “estas leyes surgen alrededor del incremento en la sonoridad de las redes sociales, y es lamentable que a falta de profesionales probos se legislen leyes que buscan censurar masivamente expresiones de distintos tipos”. Así, esta ley puede ser leída como una forma de silenciar a la sociedad civil, detener las movilizaciones ciudadanas y criminalizar a los y las defensoras de derechos humanos.
Una nueva red de inteligencia
Por si esto fuera poco, la Iniciativa de Ley 5239 contempla además la creación de una Red de Comunicación “integrada por autoridades de seguridad, migratorias y aduaneras, que permita optimizar los procedimientos de control sin afectar el flujo del comercio”. Esta red tecnológica de información no solo será fundamental para la prevención de actividades terroristas, sino que intensificará el flujo de información entre países, sobre aquellas personas u organizaciones que se consideren bajo investigación.
“El proyecto no define las funciones específicas que tendrá esta red, básicamente es la creación de una red de inteligencia para vigilar a la ciudadanía. Además, carece de salvaguardas y estándares mínimos de aplicación. Lo cual, facultará al Gobierno establecer una red de vigilancia masiva”, explica Fratti.
Lo grave no es solamente la creación de un nuevo aparato de control estatal, sino que bajo el discurso de seguridad ciudadana este tipo de proyectos nacen desvinculados del deber de garantizar los derechos humanos.
Desde esa perspectiva, Víctor Quilaqueo, historiador y director del Centro de Política Públicas para el Socialimo, señala que “la creación de una Red de Comunicación es un atentado contra las garantías ciudadanas mínimas. Queda así como una medida arbitraria, que no define alcances ni modos de aplicación. Es crear una ley en cuyo centro no está la salvaguarda de nuestros derechos”.
Como vemos, el proyecto tiene un carácter eminentemente cohercitivo, sin perspectiva de derechos fundamentales. La tendencia a la criminalización de la diferencia es profunda y se materializa en iniciativas de este tipo.
“Creo que hay dos problemas con este tipo de legislaciones -explica David Oliva-: en primer lugar, están tipificando delitos digitales antes de tipificar derechos digitales de las personas, eso es una clara manifestación de criminalización. Por otro lado, cuando se legislan este tipo de leyes sin ninguna vista técnica ni de derechos humanos, el resultado son legislaciones totalitarias que de ninguna manera buscan hacernos crecer como sociedad, sino al contrario, generan control. El solo hecho de que una persona se sepa vigilada por el Estado la limita de ejercer su libre derecho de expresión o de generar puntos de vista diferentes”.
La ley sugiere un panorama que nos recuerda al gran hermano de Orwell. Según Sara Fratti, la iniciativa permitirá que el Gobierno tenga acceso y control a las publicaciones en redes sociales y plataformas digitales que realicen los usuarios del país, “con la finalidad de vigilar y castigar a ciudadanos que se opongan a la forma en la que se está llevando a cabo la administracion pública”.
En un país como Guatemala, que tuvo 36 años de conflicto armado y aparatos de inteligencia estatal y paraestatal represivos, hablar sobre crear una sistema de control y vigilancia masiva debe considerarse una agresión, no solo porque está en peligro nuestro derecho constitucional a la privacidad y a la libertad de expresión, sino también porque pende de un hilo la débil democracia que nos queda.
¿Confiable y seguro? Un vistazo a las potenciales vulnerabilidades de WhatssApp (2018)
¿Cómo se podrían obtener conversaciones de WhatsApp de un tercero? A partir del caso Huracán y la documentación técnicamente existente, intentamos aproximar una respuesta a esta pregunta.
Exigimos mayor transparencia cuando negocien sobre nuestros datos
Bajo los estándares actuales de protección de derechos humanos, la vigilancia de las comunicaciones y actividades en línea requiere ciertas precondiciones, una de las cuales es la existencia de una orden judicial. Sin embargo, de acuerdo con la normativa que se discute actualmente en Europa y en Estados Unidos, muchas cosas estarían por cambiar, en especial la garantía de que nuestros datos personales no terminen en manos de otros gobiernos sin que las leyes de protección de datos personales de nuestro país nos protejan.
Así, la llamada Ley CLOUD en Estados Unidos expande las posibilidades de las agencias policiales para acceder a los datos de personas que están fuera de sus límites territoriales, al permitir a las autoridades estadounidenses acceder a los contenidos de una comunicación y a sus metadatos sin importar dónde vivan o dónde se encuentre almacenada esa información. Además de esto, de ser aprobada, la ley permitiría a los Estados Unidos formar acuerdos ejecutivos con otros países que permitirían a ambos gobiernos acceder a estos datos de manera bilateral, independientemente de las leyes locales.
Simultáneamente, el Comité sobre Cibercrimen del Consejo de Europa negocia el segundo protocolo adicional al Convenio de Budapest sobre cibercrimen, que trata específicamente sobre el acceso transfronterizo a datos. A principios de abril, una larga lista de organizaciones no gubernamentales de todo el mundo, entre las que se incluye Derechos Digitales, suscribieron una carta al Consejo de Europa exigiendo una mayor transparencia en el proceso de estas negociaciones, dado que la sociedad civil en conjunto no ha tenido acceso al texto actual que contiene el inventario de las medidas que se están preparando.
Para Latinoamérica, esto significa -como ha significado hasta ahora en cuanto a otros instrumentos legales de carácter internacional, como al propia Convención de Budapest- enfrentar las consecuencias del desbalance de poder geopolítico de la región y de los países de manera individual. Cuando un país como Chile o Colombia entra a discutir su adhesión a un convenio internacional negociado por Europa, o a un pacto bilateral con los Estados Unidos, no entra en una relación de igualdad que le permita ejercer un contrapeso suficiente a las posibles ventajas a las que accede su contraparte. Así, por ejemplo, la adhesión de países latinoamericanos a la Convención de Budapest ha significado adaptar las legislaciones nacionales en materia de cibercrimen a un instrumento normativo en cuya discusión participaron únicamente los países de la Unión Europea, y que por tanto constituye un acuerdo de “tómalo o déjalo” donde poco cabe negociar, incluso en casos en que el país se acoge al tratado con reservas, como en el caso chileno o el costarricense.
Por otra parte, dada la influencia de los Estados Unidos con respecto a gran parte del tráfico mundial de datos de internet a causa de la localización de la mayor parte de las grandes compañías tecnológicas, cuando otro país ingresa en uno de estos acuerdos, esto le permitiría acceder a los datos de prácticamente cualquier persona localizada en cualquier país, independientemente de que el lugar donde esta persona se encuentra haya participado o no de estos acuerdos, una circunstancia que constituye una grave amenaza a la privacidad de las comunicaciones en todo el mundo. Esto, claro, con la excepción de los ciudadanos estadounidenses, los únicos que quedarían -relativamente- a salvo al estar protegidos por las leyes locales sobre privacidad.
Lamentablemente, en la mayor parte de los países latinoamericanos, los legisladores y creadores de políticas públicas entienden poco y nada sobre la materia que regulan cuando se trata de internet y tecnología. Esta brecha puede significar un enorme obstáculo al momento de suscribir esta clase de tratados y acuerdos, no permitiéndoles comprender los detalles relativos a la implementación efectiva de la norma y cómo podría afectar protecciones preexistentes en las leyes internas y en tratados internacionales sobre derechos humanos previamente suscritos. Tal como señala la carta de la sociedad civil, esto hace más indispensable aún que este tipo de procesos legislativos se hagan con participación abierta de todas las partes interesadas, lo que incluye no solo al sector no gubernamental, sino a los sectores técnicos, académicos y empresariales, cada uno de los cuales cuenta con intereses afectados y conocimientos específicos que deben incidir en la creación de este tipo de normas.
Entre tanto, la discusión de estos acuerdos internacionales -que afectarán a Latinoamérica independientemente de que ésta participe con peso específico en las negociaciones o no- sigue adelante, incrementando cada vez más las capacidades de los gobiernos del mundo para vigilarnos más y mejor.
La brecha oculta en las estadísticas de acceso a internet en México
El pasado 5 de abril presentamos la investigación donde “medimos” la brecha digital de género en México. Pongo la palabra con comillas porque en 2016, 51.5% de las mujeres estaban conectadas en el país. En teoría.
En el panel nos acompañaron colegas y compañeras que han trabajo el tema fuera de las estadísticas desde APC Women, Artículo 19, Luchadoras y Data Cívica. Todas coincidimos en una cosa: las estadísticas y definiciones bajo las cuales se levantan los datos sobre acceso a internet en México, esconden la realidad de muchas mujeres.
Primero que nada hay que definir un acceso funcional. El acceso a internet y a la tecnología va mucho más allá de tener datos en el celular o WiFi en una computadora. La autoridad que mide el acceso a internet en México lo define como “conexión en el hogar”. Para nosotras, hay acceso a internet cuando la red sirve como una herramienta para aprender y conocer; cuando como mujeres podemos pagarla sin abandonar otras prioridades; si tiene contenidos que nos interesen y sean relevantes para nosotras; si podemos producir y co-crear estos mismos; si un espacio seguro para compartir y disentir, en comunidad, en su propio idioma.
Segundo, las estadísticas que recogen los datos no tienen perspectiva de género. Por consiguiente, las políticas públicas que surjan a partir de dichas estadísticas también ignorarán la realidad de mujeres en el país, sobre todo en zonas rurales o indígenas. No importa lo que digan las cifras, la brecha digital aún existe. “Las estadísticas solo miden que exista conexión en los hogares”, dijo Lulú Barrera de Luchadoras en el panel de presentación, “pero si una mujer vive violencia en su casa y el único celular para conectarse es del esposo que la maltrata, no puede entrar a internet para encontrar solución. Entonces tenemos un problema.”
Para Paulina Gutiérrez de Artículo 19, en comunidades tales como Tabasco y Chiapas «tener un dispositivo o tener acceso a una herramienta tecnológica con conectividad no significa que haya un acceso sustancial”. Si la desigualdad es estructural, poco podrá cambiar.
Por todo lo anterior, no podemos decir que la revolución de las tecnologías de información y comunicación está transformando la vida de la mayor parte de las mujeres. Las soluciones también tienen que ser amplias, y van desde combatir la violencia de género (en línea y fuera de línea) hasta redefinir los propios estereotipos de género que nos codifican socialmente.
Las mujeres tenemos menos acceso por muchas razones. Estas van desde los estereotipos machistas del tipo “las damitas no deben usar internet” hasta la falta de tiempo; las mujeres tienen carga triple de trabajo, el doméstico, el relacionado con los hijos y el trabajo laboral profesional. La autocensura que proviene de la violencia de género en línea también es un problema: a las mujeres disidentes, que decidimos salirnos de nuestros roles de género y opinar de política o deportes, nos llegan amenazas de muerte y violación por expresarnos. Por otro lado, la brecha salarial de género disminuye la capacidad de las mujeres para pagar acceso a internet, sin mencionar la falta de conocimiento o las pocas mujeres que hay en el campo de la tecnología en México: en el nivel más alto del Sistema Nacional de Investigadores (SNI) solo el 22% eran mujeres en el 2012. Se considera “una cosa para chicos”.
La brecha digital de género no va a cerrarse mientras la sigamos abordando en casillas separadas denominadas «fuera de línea» y «en línea», sino que requiere un progreso en varios frentes a la vez. Con esto en mente proponemos cinco cosas: 1) evaluar y reformar México Conectado –el programa para ampliar la conectividad en México- desde una perspectiva de género; 2) terminar con la violencia de género en plataformas digitales; 3) hacer énfasis en la construcción y modernización de la infraestructura de internet y habilitar legalmente el uso de redes comunitarias; 4) priorizar la educación digital en todas las escuelas y comunidades; 5) crear programas educativos para que más mujeres participen en tecnología.
La igualdad digital es fundamental para realizar los importantes beneficios potenciales que internet puede aportar a las mujeres, sus comunidades y la economía en general. Esperemos esta investigación sea un primer paso para medirla y tomar cartas en el asunto.
Comentarios a la Estrategia Nacional de Seguridad Cibernética de Guatemala (2017)
Cómo el gobierno de Chile ha dado rienda suelta a sus policías
El escándalo
La Operación Huracán se detiene en razón de un peritaje encargado por la Fiscalía, el cual arrojó que dichos mensajes fueron introducidos en los celulares de los imputados con posterioridad a la incautación de sus equipos, es decir, después de haber presentado esos mensajes como antecedentes para perseguir. En otras palabras, se trata de un montaje policial de la mayor gravedad, que levanta aún más dudas sobre el actuar de Carabineros en la región, y de las excesivas facultades y el poco control con los que se le permite operar a las policías.
Cuesta explicar las horas que dedicamos en Derechos Digitales a especular sobre cuál sofisticado mecanismo había utilizado la inteligencia de Carabineros para interceptar la comunicación entre los comuneros. Y es que los mensajes de WhatsApp, y Telegram bajo ciertas circunstancias, cuentan con tecnología de cifrado de punto a punto. Por tanto, no son accesibles ni siquiera por las empresas de telecomunicaciones ni las de mensajería, menos aún por un tercero.
Sin embargo, resulta que no se trató de un sofisticado software de vigilancia, sino que la supuesta evidencia consistiría en archivos .txt, los que no tienen relación con el formato utilizado por los servicios de mensajería para sus respaldos de conversaciones, y que estaban localizados en carpetas distintas a las utilizadas por las aplicaciones. Aun peor, como muestran los peritajes, estos archivos fueron introducidos después de que los equipos fueron requisados por carabineros.
Para colmo, y como lo habían anunciado los familiares de los imputados, muchos de los celulares ni siquiera tenían instaladas las aplicaciones de mensajería. No podría haber sido de otra forma, luego de haberse destapado que el experto de Carabineros no parecía el genio criptógrafo que imaginábamos.
Las policías y el principio de no deliberación
Uno de los principios que inspiran el sistema normativo chileno es el de no deliberación de las policías. Esto implica que la policía no es un interviniente en el proceso penal, sino un órgano auxiliar de Fiscalía. En otras palabras, la investigación está a cargo de Fiscalía, y las policías solo están encargadas de realizar las diligencias que ésta les encargue.
Sin embargo, el uso impropio de la Ley 19.974 Sobre el sistema de inteligencia del Estado ha permitido justamente vulnerar este principio. Seamos claros: no corresponde la utilización de la ley de inteligencia para recabar prueba en un proceso penal. El objetivo de la inteligencia es el proceso sistemático de recolección, evaluación y análisis de información, cuya finalidad es producir conocimiento útil para la toma de decisiones del Estado, con fines específicos delimitados en la ley. La producción de prueba al interior del proceso penal tiene sus propias reglas, que buscan cautelar el debido proceso del imputado y están reguladas en el Código Procesal Penal.
Parte de la gravedad de este caso, es que Carabineros utilizó la Ley de inteligencia para solicitar directamente a la Corte de Apelaciones la interceptación de comunicaciones de los sospechosos. En otras palabras, a través de esta estratagema, Carabineros pudo operar sin el control de Fiscalía, produciendo antecedentes fraudulentos y luego presentándolos como prueba al interior del proceso penal. Esto es totalmente inaceptable en un Estado de Derecho.
Para colmo, Carabineros no proporcionó información sobre cómo fue obtenida la supuesta prueba, dejando a los acusados en la indefensión, ya que no contaban con los antecedentes necesarios para poder desmentir la veracidad de los antecedentes que se invocaban para acusarlos. Cuando se destapó el montaje, Carabineros mostró su oposición a la investigación del escándalo y se opuso físicamente al allanamiento de sus oficinas, situación que trae un amargo recuerdo en un país donde la falta de obediencia de las fuerzas armadas al poder civil es más bien reciente.
¿Quién vigila a los vigilantes?
Si bien es evidente que Carabineros debe asumir responsabilidad por sus actos, y corresponde que el general Villalobos presente su renuncia, lo cierto es que el problema no termina ahí. Lo que realmente está detrás de esto es un gobierno que ha decidido sistemáticamente apoyar el actuar de Carabineros en desmedro de su necesaria subordinación al poder civil. El hecho de que el Ministerio del Interior se haya opuesto al cierre de la investigación en la Operación Huracán (fuera de plazo, por lo demás) y que el subsecretario Aleuy no haya esperado los resultados del proceso para viajar a Argentina a desbaratar un supuesto tráfico de armas que nunca existió, dan cuenta de aquello.
El subsecretario Aleuy también jugó un rol en otra iniciativa que buscaba otorgarle facultades desproporcionadas a carabineros en desmedro de Fiscalía: el Decreto Espía. Como anunciamos en su momento, el decreto buscaba entregar acceso a nuestros metadatos a las policías sin necesariamente contar con una orden judicial. Fuentes periodísticas muestran que esto incluso significó la ausencia de Fiscalía en la mesa técnica que redactó el polémico decreto. El contundente fallo de Contraloría que detuvo la aprobación del Decreto Espía hizo eco de estos temores, al señalar que el decreto utilizaba referencias genéricas tales como «toda otra institución» o «autoridad» a referirse a las entidades que tendrían acceso a esta base de metadatos, posiblemente incluyendo así a Carabineros.
Ante esto, corresponde que la Subsecretaría del Interior asuma la responsabilidad política de intentar conseguir arrestos en el conflicto mapuche sin consideración a las debidas garantías del proceso penal; así como de intentar dotar a las policías de facultades incompatibles con el debido proceso.
Como ya dijimos, también la prensa está en deuda con la opinión pública, y le cabe asumir una cuota de responsabilidad. Fuera de contadas excepciones, la prensa nacional se contentó con reproducir la versión de Carabineros, que sostenía que estos mensajes habían sido interceptados por medios técnicos. No existió una debida contrastación de los hechos, ni consulta a expertos en la materia, que podrían haber aportado un sano nivel de escepticismo respecto de la factibilidad técnica de esta versión oficial.
¿Y ahora, qué?
Toda tragedia puede convertirse en una oportunidad. Las revelaciones de la última semana son gravísimas; y como en las comedias en donde el protagonista se mete cada vez más en problemas por tratar de tapar su mentira inicial, lo más probable es que se sigan destapando más antecedentes en los próximos días.
Este escándalo también provee una oportunidad para enmendar los cuerpos jurídicos que, sumados a prácticas cuestionables y al apoyo del gobierno, permiten que estas prácticas vulneratorias ocurran. Es necesario revisar nuestra Ley de inteligencia, a fin de que no pueda ser utilizada por Carabineros para operar sin el debido control de Fiscalía. Es necesario regular la compra de software (malware) de vigilancia por parte del Estado, cuestión pendiente desde la revelación de que la PDI había adquirido software de Hacking Team para obtener acceso a información que no obtendrán a través de una orden judicial. Hay que limitar las hipótesis en donde el Estado pueda incurrir en interceptación de comunicaciones o de equipos respecto de sus ciudadanos, de tal manera que se condiga con estándares internacionales, y se realice conforme a criterios de necesidad, idoneidad y proporcionalidad. Por último, es necesario que los órganos judiciales y políticos encargados del control de la operación de los órganos de inteligencia hagan su trabajo, como depositarios de la fe pública en el resguardo de los derechos de la ciudadanía.
En este sentido, los lineamientos de la recién estrenada Política Nacional de Ciberseguridad deben ser utilizados como una hoja de ruta para enmendar nuestro marco jurídico en la materia. Hoy más que nunca requerimos de una aproximación de derechos fundamentales para abordar materias complejas como la vigilancia, la interceptación de comunicaciones, el cifrado y las atribuciones de los órganos de persecución penal. Como Derechos Digitales seguiremos dando la batalla para que la persecución del delito no se transforme en una excusa para pasar por sobre los derechos de las personas.
La mugre y la furia: Operación Huracán podría ser un montaje
Esto es gravísimo. El 23 de septiembre, Carabineros de Chile anunció con bombos y platillos el éxito de la Operación Huracán, una acción de inteligencia policial con el fin de esclarecer responsabilidades en dos quemas de camiones forestales ocurridas durante agosto en La Araucanía. Ocho comuneros mapuches fueron detenidos, incriminados por conversaciones de WhatsApp intervenidas por la policía.
Hoy, cuatro meses más tarde y en un giro escandaloso, la fiscalía está iniciando una investigación contra Carabineros por montaje: las pruebas habrían sido falsificadas e implantadas por ellos en los teléfonos celulares de los acusados.
Repito: esto es gravísimo. GRAVÍSIMO. Esclarecer completamente qué demonios pasó acá es fundamental y ningún esfuerzo debe ser escatimado hasta que las responsabilidades hayan sido debidamente identificadas y sancionadas; del orden que sean: penales, por supuesto, pero también políticas. Cualquier cosa menos es un atentado mayor contra uno de los pilares fundamentales del sistema democrático.
Hay mucho por lo que estar enojados hoy. Todavía más cuando la manera de implantar las pruebas habría sido burda a un extremo irrisorio, mientras en las oficinas de Derechos Digitales nos partíamos la cabeza intentando dilucidar la factibilidad del relato de Carabineros, imaginando complejos estratagemas apoyados de tecnología altamente sofisticada. Nada de eso habría habido aquí. Y como suele suceder, la respuesta más sencilla debe ser la más probable: intervenir los mensajes cifrados de WhatsApp es, si no imposible, muy difícil. Es poco factible que Carabineros cuente con los recursos y las capacidades de efectuar una acción de este tipo.
Evidentemente, las preguntas que surgen de este caso son múltiples: si se comprueba que se trató de un montaje, ¿es este un hecho aislado? ¿Es una práctica común? ¿Ha habido otros casos similares? Y la pregunta del millón: ¿cuáles son efectivamente las capacidades técnicas de vigilancia con las que cuentan las policías y otras instituciones estatales en Chile? ¿Cómo se usan? ¿Cuántas veces se han usado? ¿Con qué fines? ¿En cuántos casos han sido determinantes? ¿Cuál es la naturaleza de esos casos? ¿Cómo se fiscaliza el uso de esas herramientas?
Y ya que estamos hablando de preguntas, no puedo pasar por alto la responsabilidad de la prensa, que en muchos casos actuó como interlocutor pasivo de un relato, a lo menos, sospechoso. Evidentemente, los periodistas no están obligados conocer las minucias técnicas detrás de un sistema de cifrado, pero es sorprendente la falta de curiosidad y sana desconfianza con la cual aceptaron la versión oficial de la historia y omitieron el acto fundacional del periodismo: preguntar.
Si se hubiesen acercado a los expertos, se habrían enterado de que la hazaña narrada por Carabineros era altamente compleja y que era necesario saber más. De cualquier manera, una gran historia: si Carabineros dice la verdad, entonces poseen técnicas y tecnología que desconocemos y sobre lo cual es importantísimo despejar dudas. En caso contrario, es un montaje. Pero las preguntas no se hicieron y los supuestos mensajes fueron incluso publicados. Lo mínimo es que los editores responsables entreguen también las explicaciones y las disculpas pertinentes.
En el escenario actual, donde poco y nada sabemos de las capacidades del Estado para vigilar, conocer, indagar y dar respuestas es imperativo. La prensa tiene un rol importantísimo que cumplir en esta tarea y, hasta ahora, está en deuda con la sociedad.
Por cuarta vez: esto es gravísimo y es necesario llegar al fondo. Tan grave es, que nos entrega una oportunidad única para revisar, reformar y generar mayores instancias de control del modelo de funcionamiento de los servicios de inteligencia en Chile. Esto es necesario y urgente. El momento es ahora. No lo desperdiciemos.