Temática: Seguridad digital

La mugre y la furia: Operación Huracán podría ser un montaje

Esto es gravísimo. El 23 de septiembre, Carabineros de Chile anunció con bombos y platillos el éxito de la Operación Huracán, una acción de inteligencia policial con el fin de esclarecer responsabilidades en dos quemas de camiones forestales ocurridas durante agosto en La Araucanía. Ocho comuneros mapuches fueron detenidos, incriminados por conversaciones de WhatsApp intervenidas por la policía.

Hoy, cuatro meses más tarde y en un giro escandaloso, la fiscalía está iniciando una investigación contra Carabineros por montaje: las pruebas habrían sido falsificadas e implantadas por ellos en los teléfonos celulares de los acusados.

Repito: esto es gravísimo. GRAVÍSIMO. Esclarecer completamente qué demonios pasó acá es fundamental y ningún esfuerzo debe ser escatimado hasta que las responsabilidades hayan sido debidamente identificadas y sancionadas; del orden que sean: penales, por supuesto, pero también políticas. Cualquier cosa menos es un atentado mayor contra uno de los pilares fundamentales del sistema democrático.

Hay mucho por lo que estar enojados hoy. Todavía más cuando la manera de implantar las pruebas habría sido burda a un extremo irrisorio, mientras en las oficinas de Derechos Digitales nos partíamos la cabeza intentando dilucidar la factibilidad del relato de Carabineros, imaginando complejos estratagemas apoyados de tecnología altamente sofisticada. Nada de eso habría habido aquí. Y como suele suceder, la respuesta más sencilla debe ser la más probable: intervenir los mensajes cifrados de WhatsApp es, si no imposible, muy difícil. Es poco factible que Carabineros cuente con los recursos y las capacidades de efectuar una acción de este tipo.

Evidentemente, las preguntas que surgen de este caso son múltiples: si se comprueba que se trató de un montaje, ¿es este un hecho aislado? ¿Es una práctica común? ¿Ha habido otros casos similares? Y la pregunta del millón: ¿cuáles son efectivamente las capacidades técnicas de vigilancia con las que cuentan las policías y otras instituciones estatales en Chile? ¿Cómo se usan? ¿Cuántas veces se han usado? ¿Con qué fines? ¿En cuántos casos han sido determinantes? ¿Cuál es la naturaleza de esos casos? ¿Cómo se fiscaliza el uso de esas herramientas?

Y ya que estamos hablando de preguntas, no puedo pasar por alto la responsabilidad de la prensa, que en muchos casos actuó como interlocutor pasivo de un relato, a lo menos, sospechoso. Evidentemente, los periodistas no están obligados conocer las minucias técnicas detrás de un sistema de cifrado, pero es sorprendente la falta de curiosidad y sana desconfianza con la cual aceptaron la versión oficial de la historia y omitieron el acto fundacional del periodismo: preguntar.

Si se hubiesen acercado a los expertos, se habrían enterado de que la hazaña narrada por Carabineros era altamente compleja y que era necesario saber más. De cualquier manera, una gran historia: si Carabineros dice la verdad, entonces poseen técnicas y tecnología que desconocemos y sobre lo cual es importantísimo despejar dudas. En caso contrario, es un montaje. Pero las preguntas no se hicieron y los supuestos mensajes fueron incluso publicados. Lo mínimo es que los editores responsables entreguen también las explicaciones y las disculpas pertinentes.

En el escenario actual, donde poco y nada sabemos de las capacidades del Estado para vigilar, conocer, indagar y dar respuestas es imperativo. La prensa tiene un rol importantísimo que cumplir en esta tarea y, hasta ahora, está en deuda con la sociedad.

Por cuarta vez: esto es gravísimo y es necesario llegar al fondo. Tan grave es, que nos entrega una oportunidad única para revisar, reformar y generar mayores instancias de control del modelo de funcionamiento de los servicios de inteligencia en Chile. Esto es necesario y urgente. El momento es ahora. No lo desperdiciemos.

WPA2 recomendaciones de siempre para nuevas vulnerabilidades

Hace unos días fue anunciada una vulnerabilidad que afecta a todas las redes Wi-Fi modernas que utilizan el protocolo WPA2 para proteger la señal con contraseña. El ataque, denominado «Key Reinstallation Attacks» (KRACKS), es el resultado de una investigación académica enviada a revisión a mediados de mayo y hecha pública hace un par de semanas. Utilizando esta vulnerabilidad, un atacante que esté dentro del rango de la señal Wi-Fi podría obtener el contenido de nuestra navegación: mensajes, imágenes y contraseñas entre otro tipo de datos privados que circulan en la red Wi-Fi mientras utilizamos Internet. Además, dependiendo de la configuración de la red, el atacante también podría engañarnos haciéndonos ingresar datos privados en versiones de sitios que no corresponden a los oficiales u obligándonos a descargar algún tipo de virus o aplicación que no deseamos en el dispositivo. ¿Qué se puede hacer frente a esto?

Esta es una vulnerabilidad que existe en WPA2 como tecnología en sí misma, por lo tanto todos los dispositivos y sistemas operativos que utilizan WPA2 para conectarse a redes inalámbricas pueden verse afectados, incluyendo computadores con Windows, Linux o MacOS, celulares iPhone o Android e incluso radios, televisores o aspiradoras «inteligentes». Muchas de las empresas detrás de estos productos ya han publicado actualizaciones de seguridad que se hacen cargo de este problema, por lo tanto la recomendación principal (y permanente) es mantener actualizadas las aplicaciones y sistemas operativos de nuestros dispositivos para evitar de esta manera permanecer expuestos al ataque. En el caso de los dispositivos que ya no tengan soporte por parte del fabricante y que por tanto no puedan ser actualizados, no hay una recomendación clara: deben evaluar si el dispositivo puede conectarse a Internet de otra manera (cableado o por plan de datos de compañías de telefonía móvil), si es realmente necesario que el dispositivo esté conectado a Internet o, por último, utilizar el dispositivo asumiendo que el canal de comunicación (Wi-Fi en este caso) no es confiable y aplicar otras medidas de protección para el contenido, tales como VPN.

¿Cómo funciona el ataque?

Cuando un dispositivo intenta conectarse a una red inalámbrica se realiza un procedimiento llamado «4-way handshake», que es como un saludo doble entre el dispositivo y el punto de acceso o router con el objetivo de verificar que se posee la clave correcta para ingresar a la red y luego entregar una llave de cifrado que protege el contenido de potenciales observadores no deseados. Pues bien, los investigadores descubrieron una manera de engañar al punto de acceso y hacerle creer que el saludo doble nunca se completó, forzándolo a reenviar la llave de cifrado múltiples veces y eventualmente derivar ciertos aspectos criptográficos de la comunicación. Esto permite fácilmente llegar a descifrar el contenido y en algunos casos manipular información, permitiendo inyectar tráfico de red falso para la instalación forzada de ransomware u otro tipo de aplicaciones no deseadas. En sí, este método no permite obtener la clave con la que se accede a la red Wi-Fi, y requiere que el atacante esté dentro del rango que cubre el punto de acceso inalámbrico.

Posibles dudas que aún tengas:

¿Si navego por HTTPS, mi información sigue estando expuesta?

El protocolo HTTPS va a cifrar todo el contenido que se intercambie entre tu navegador y el servidor del sitio web que estás visitando. Lamentablemente esta vulnerabilidad permite que el atacante te fuerce a utilizar HTTP, la versión sin cifrado de HTTPS, dejando expuesto el contenido de tus comunicaciones nuevamente. Existen algunos sitios que solo permiten la navegación a través de HTTPS por lo que simplemente no funcionanrían si fueses victima de este ataque. Por último existe una extensión para Chrome, Firefox y Opera llamada HTTPS Everywhere que protege la navegación forzando el uso de HTTPS.

¿De qué manera me protege el uso de VPN?

Las VPN (Red privada virtual) son una manera de cifrar todo el contenido que viaja desde y hacia Internet en tu dispositivo. Funcionan estableciendo un canal cifrado entre la organización que te ofrece el servicio VPN y tu dispositivo, canal que funciona por encima de la conexión a Internet que estés usando, lo que previene que nadie en el medio pueda ver qué o con quién te estás comunicando, incluyendo a posible atacantes de esta vulnerabilidad pero también incluyendo al ISP que te da acceso a Internet, lo que permite brindar mayor privacidad a tus comunicaciones. Existen numerosas empresas que ofrecen este servicio por un pago mensual y algunas que lo ofrecen de manera gratuita limitando algunas características de uso. Si quieres saber más visita esta página de la EFF.

Cuando la tecnología nos amenaza

Esta última semana la prensa fue invadida por fotos de robots asesinos y titulares sobre el sistema de inteligencia artificial (IA) que debió desactivar Facebook, luego de que creara su propio lenguaje. Esta conjunción entre imagen y encabezado sugiere el terror que supone el hecho de que las inteligencias artificiales se salgan de control, levantándose contra la humanidad, intentando dominarla y destruirla. Sucedió en Terminator y en Wall-e; es posible en nuestras mentes asustadas.

La realidad detrás de esta noticia es, simplemente, que dos inteligencias artificiales se enviaban mensajes tomando palabras y turnándose en responder. Palabras al azar sin más sentido, solo recibir y responder; los pobres Alice y Bob ni se enteraron del problema. No estamos frente a mentes pensantes autónomas ni cerca de eso. Todavía falta mucho trabajo e investigación para que que una IA pueda tomar decisiones razonadas a nivel humano. Recién podemos lograr que analicen, seleccionen o aprendan una cantidad incontable de patrones, que jueguen al ajedrez o seleccionen material en Marte, pero eso no equivale a pensar por cuenta propia, solo nos lleva a entender que si ponemos mucha información en un programa de IA, este responderá ante estímulos o siguiendo el código de su programa o, con suerte, dará respuestas aleatorias.

Un buen ejemplo de esto es Cleverbot y su capacidad de aprender de las conversaciones que va teniendo con quienes se animan a escribirle, entrando en el interesante mundo del machine learning en vivo y en directo. Pero si queremos ir hasta los actuales reyes de la IA debemos entrar al traductor de Google y maravillarnos con las mejoras que se generan a través de este mismo aprendizaje, ante la interacción de millones de usuarios de una multiplicidad de idiomas alrededor del globo.

¿Acaso el sistema detenido por Facebook es un caso más de noticias falsas? Sí y no. Estas noticias solo se encargan de abrir nuestra imaginación y recordarnos lo que nos ha enseñado la ciencia ficción, base y motor de la creación científica, de la misma internet y de otros inventos e ideas geniales: “si puedes imaginarlo, puede llegar a existir”. Solo pensemos en la película Her, casi tan real como una nueva actualización de nuestros computadoras y dispositivos: la ideal asistente personal virtual que, como ha analizado y creado todas las conexiones posibles con los datos del protagonista, sabe perfectamente lo que necesita y cómo complacerlo.

Lo cierto es que no estamos ante robots asesinos acechándonos. No podemos pensar que las tecnologías son nuestros enemigos próximos y latentes. El problema con la tecnología es su utilización simplista para dar solución a problemas sociales: no todo puede solucionarse con tecnología. La delincuencia no se acaba con llenar de cámaras o drones (y menos empezar a programar robocops para apoyar a las policías mundiales).

El uso indiscriminado de cámaras y drones no soluciona de raíz el problema de la delincuencia, solo genera una falsa sensación de seguridad. Además ¿quién controla lo que se está grabando? ¿Dónde queda esa información y con quién se comparte? ¿Realmente deseamos que sepan dónde estamos en cada momento y a cada instante? Decir “no tengo nada que esconder” no es una respuesta válida cuando se vulneran nuestros derechos.

Tampoco podemos aceptar el uso desmedido de algoritmos para asuntos policiales; si tenemos un programa que nos ayuda a predecir delitos (ya que aprendió de los datos entregados sobre criminalidad), identificando a cierto tipo de personas como posibles criminales por su color de piel o vestimenta o ciertas zonas como focos de delincuencia, solo aumenta la discriminación y hace que se asignen mayores recursos en la seguridad o represión de ciertos sectores, formando guetos. Lo único que logra este tipo de políticas de seguridad es una exacerbada y desmedida generalización de acontecimientos delictuales y con ello seguir criminalizando a ciertas personas. Un buen ejemplo son los algoritmos policiales usados en Estados Unidos, que finalmente solo llevan más policías a lugares pobres, asumiendo por algunos datos que ahí se generará el próximo delito, provocando enfrentamientos que no sucederían si no se usaran estas tecnologías algorítmicas tan al pie de la letra.

Periodismo, libertad de expresión y seguridad digital

Tamara De Anda es bloguera del diario El Universal y locutora en otros medios de comunicación en México. En marzo de este año, fue víctima de acoso y hostigamiento a través de las redes sociales, luego de denunciar allí mismo haber sido víctima de acoso por parte de un taxista. Decenas de usuarios publicaron amenazas explícitas de muerte contra ella y expusieron sus datos personales, incluida la dirección de su casa. Según datos de la organización Artículo 19, que acompañó el caso, se acumularon alrededor de 250 mensajes por hora, pero este es apenas uno de los innumerables casos de acoso que a diario sufren periodistas a la hora de utilizar las redes como medio de visibilización y denuncia.

Un porcentaje importante de las amenazas en línea pueden convertirse en agresiones físicas a una persona o a su círculo cercano, pueden afectar sus dispositivos o la información que maneja. En muchos de estos casos, se trata de las mismas amenazas que antes se hacían offline, solo que trasladadas al mundo digital: las amenazas de muerte que antes se hacían en papel ahora llegan por Twitter, pero no por eso resultan menos peligrosas.

El creciente uso de las redes sociales para acosar y agredir periodistas puede explicarse por el bajo costo que esto supone. Pero los otros usuarios no son la única amenaza, pues también es creciente la vigilancia y el espionaje de las comunicaciones por parte de los gobiernos. En Argentina, por ejemplo, se confirmó que al menos 33 personas (jueces, fiscales, políticos y periodistas) fueron espiadas por la Agencia Federal de Inteligencia a través de un software malicioso instalado en sus dispositivos móviles.

Asimismo, se ha vuelto cada vez más frecuente la creación de cuentas falsas en redes sociales y las campañas de difamación contra periodistas, una práctica que atenta contra uno de los activos más valiosos para un comunicador: su capital social. La creación artificial de rumores para generar la pérdida de la confianza en un comunicador o en un medio de comunicación (o, como en Turquía, en las redes sociales como entorno para la obtención de información) es una práctica profundamente dañina para la libertad de expresión.

También los ataques distribuidos de denegación de servicio (DDoS) son usados cada vez con mayor frecuencia para impedir o entorpecer el acceso a ciertos medios de comunicación en línea: en 2015, los diarios argentinos Clarín y Página 12 sufrieron este tipo de ataques; en los últimos meses, los medios venezolanos El Pitazo, Correo del Caroní y Caraota Digital enfrentaron ataques similares, todos los cuales resultaron en la caída de estos sitios web durante al menos algunas horas. Este tipo de ataques pueden provenir de agentes estatales pero también de personas u organizaciones interesadas en causar daño, ya que es muy simple llevarlos a cabo, generando una cantidad de solicitudes artificiales al servidor donde se encuentra el sitio web, hasta que este ya no tenga capacidad de responder.

La colaboración efectiva entre los sectores tecnológico y periodístico siempre ha sido, cuando menos, problemática. Los expertos en seguridad suelen recomendar el uso de herramientas como el cifrado PGP, una herramienta excelente en términos de protección, pero compleja en términos de uso y aprendizaje, los cuales requieren una inversión de tiempo y esfuerzo que no muchos periodistas están dispuestos a hacer.

La adopción de herramientas y prácticas de seguridad digital requiere una inversión de tiempo, dinero y capacitación que, aunque es de suma importancia y puede evitar costos mayores al impedir que se materialicen ciertos riesgos, puede ser una dificultad para quienes se encuentran en situaciones de tensión, con restricciones de tiempo y altas cargas de trabajo. Además, a pesar de los innumerables y loables esfuerzos hechos por la comunidad tecnológica para el desarrollo de herramientas y guías que faciliten el acceso del público general a temas de seguridad digital, estos siguen apareciendo como oscuros y complejo para muchas personas.

Por otra parte, resulta al menos problemática la tendencia a desarrollar y utilizar aplicaciones o software especializados para solucionar problemas sociales concretos. La utilidad de este tipo de herramientas está directamente relacionada con la comprensión sobre cómo operan las amenazas en el entorno digital y qué hábitos debemos cambiar, instaurar o fortalecer.

Cada vez existen más mecanismos para la protección y defensa de periodistas; herramientas como Project Shield, de Google, o Deflect, de eQualit.ie, permiten que los medios de comunicación (y en especial los medios de comunicación independientes) se protejan de ataques de denegación de servicio. Pero estos ataques no ocurren en el vacío y no podemos permitir que los aspectos tecnológicos de la protección a periodistas y medios ocupen toda la conversación.

Es importante atender a las dimensiones legales, sociales, políticas y psicológicas de esta violencia y comprender, por ejemplo, la forma en que un ataque de difamación y hostigamiento puede afectar las redes de un periodista, su reputación, su estabilidad psicoemocional y a su entorno íntimo, desencadenando así un efecto de enfriamiento que perjudica la libertad de expresión y por ende, el libre desenvolvimiento de una sociedad democrática.

Por la libertad del acceso, la privacidad y el anonimato

El pasado 6 de Abril Dmitry Bogatov fue detenido en Moscú tras ser acusado de publicar mensajes extremistas en un sitio web ruso bajo los cargos de “incitar actividades terroristas o justificar terrorismo a través de Internet”. De acuerdo al dictamen, Bogatov debía permanecer en prisión al menos hasta el 8 de Junio a la espera del juicio en su contra. Hace un par de días se extendió dicho plazo hasta el 30 de Junio, rechazando la opción de cumplir arresto domiciliario. De ser encontrado culpable, Bogatov podría ser condenado a siete años de cárcel.

Lo cierto es que los mensajes en cuestión fueron publicados bajo un seudónimo a través de Tor. Como contexto, la red Tor está compuesta por miles de servidores distribuidos alrededor del mundo, y es mantenida principalmente por voluntarias y voluntarios que abogan por la privacidad, el anonimato y la evasión de la censura en línea. Al utilizar Tor para navegar, el tráfico pasa por tres nodos de la red antes de llegar a su destino, lo que permite ocultar la ubicación de origen de la usuaria. Estos nodos son elegidos de manera aleatoria y cada uno tiene un rol: entrada, intermedio y salida. El nodo de salida es el último punto en el circuito y está a cargo de acceder a internet como intermediario entre la red Tor y el sitio web de destino. Es decir, es un nodo puente entre la red Tor e internet.

Dada la naturaleza de Tor, quien mantiene un nodo de salida no posee control ni responsabilidad del contenido que pasa a través del mismo (aunque no se recomienda realizarlo desde casa). Probablemente cientos o miles de personas usaron el nodo de Bogatov para permanecer anónimas y anónimos, o para evadir la censura en sus países. En este caso, a Bogatov no se le está exigiendo responsabilidad como intermediario (y, de hecho, no la tiene); peor aún, se le atribuye autoría del contenido que pasó a través de su nodo de salida. Esto refleja un malentendido grotesco sobre cómo funciona la red Tor. Si también se considera que existen grabaciones de cámaras de seguridad confirmando que Bogatov no estaba en su hogar cuando los mensajes fueron publicados, y que la cuenta anónima continuó publicando mensajes después que Bogatov fuera detenido, se tiene un caso sin pies ni cabeza. Así y todo las autoridades decidieron que Dmitry debía permanecer tras las rejas por casi dos meses, como mínimo.

Esto presenta un grave atentado en contra de quienes luchan por el derecho a la privacidad y el anonimato en Internet. El caso de Bogatov sin duda puede producir efectos negativos sobre la percepción de la red Tor y amedrentar a quienes en defensa del acceso al conocimiento y el derecho a la privacidad y el anonimato en línea deciden contribuir con su tiempo, ancho de banda y hardware para mantener nodos de salida. Si bien son una excepción, existen casos de individuos que en el pasado se han visto en problemas por mantener un nodo de salida, pero nunca ha involucrado tiempo en prisión como en este caso. El proyecto Tor y otras organizaciones como Torservers, Debian, Access Now y la Electronic Frontier Foundation se han pronunciado al respecto y han condenado el hecho, pero sin duda es necesario un mayor esfuerzo y acciones por parte de la comunidad para revertir este tipo de situaciones, de lo contrario las voluntarias y voluntarios que mantienen nodos de salida podrían no encontrar el respaldo suficiente para seguir colaborando en pos de una Internet libre.

En Derechos Digitales creemos que no solo es importante denunciar este tipo de persecuciones sino que también abogamos por potenciar las herramientas que ayudan a proteger la privacidad y anonimato en línea. En este sentido nos parece de suma importancia masificar herramientas como Tor, ya sea fomentando el uso de Tor Browser entre las usuarias y usuarios que necesitan navegar de manera anónima, o aportando al crecimiento de la red con la instalación de más nodos de salida Tor en instituciones públicas, bibliotecas, universidades, colectivos u otro tipo de organizaciones que tengan los recursos para ello. Es por esto que en colaboración con organizaciones de la región buscamos promover el aumento de nodos de salida en América Latina como una manera más de expresar compromiso y aporte técnico a la defensa de los derechos humanos en Internet y como una forma de proporcionar diversidad e infraestructura desde el Sur. Desde principios de 2017 aportamos nuestro pequeño grano de arena a la red, y esperamos en breve comenzar con la documentación para reflexionar y compartir lo aprendido, con la esperanza de sumar a más organizaciones en la región y juntos generar conciencia en la comunidad y en las autoridades, sobre las implicaciones legales y técnicas asociadas a la mantención de nodos Tor, y sobre cómo el apoyo a esta red significa también un apoyo a los principios fundamentales de una Internet libre.

El ransomware que paralizó al mundo

El pasado viernes 12 de mayo, más de 200 mil computadoras en 150 países alrededor del mundo fueron afectadas por una agresiva campaña de ransomware llamada WannaCry, WannaCrypt0r o WCry. Se le llama «ransomware» porque cifra los documentos de una computadora y exige el pago de una suma de dinero para devolver los archivos a su estado original. Es decir, los archivos quedan inaccesibles hasta que se paga el rescate. Lo que ha hecho famoso al ransomware WannaCry es la capacidad y métodos utilizados para propagarse: fue demasiado rápido, desatando una crisis cibernética. Cuando empresas como Deutsche Bhan, Telefónica España y el Sistema Nacional de Salud (NHS) de Inglaterra recibieron el virus, los trenes se detuvieron, las líneas telefónicas dejaron de funcionar y los hospitales no pudieron tomar rayos X.

¿Qué pasó? ¿Se podía prevenir? ¿Y qué rol juega Estados Unidos en esta crisis?

Como contexto, el año pasado un grupo llamado “Shadow Brokers” hackeó a la National Security Agency (NSA) e hizo públicas todas sus “ciberarmas”. Se les dice “armas” porque, mediante ellas, la agencia más poderosa de espionaje del gobierno estadounidense explota vulnerabilidades y errores en plataformas comerciales de Apple, Microsoft o Android -comúnmente utilizados- para saber todo lo que sucede en sus sistemas. No es necesario dar clic: es un defecto de fábrica que nadie conoce, y que permite a la NSA entrar a teléfonos o computadoras.

WannaCry aprovechó una de las vulnerabilidades hechas pública por Shadow Brokers para atacar Windows. Técnicamente, se trataba de un fallo en SMBv1, que se utiliza para acceder de manera remota a un computador e intenta infectar a más computadores, generando una cantidad de direcciones IP públicas aleatorias y escaneando los computadores vulnerables de la red local en que se encuentra (de la oficina o de la casa donde está conectado el computador infectado).

En su momento, las preguntas más importantes fueron: ¿se puede prevenir infección? ¿conviene pagar para recuperar la información?  Sin embargo, lo primero era corregir las vulnerabilidades. En Marzo de 2017 Microsoft hizo pública una actualización que corrige la vulnerabilidad utilizada por WannaCry para infectar nuevos computadores, por lo que la medida básica para prevenir cualquier infección del ransomware es mantener actualizado Windows. Esta es una responsabilidad que tenemos los usuarios y usuarias en el mundo: es importante actualizar.

Otras medidas para prevenir el ataque son deshabilitar SMBv1, y aplicar reglas de firewall para bloquear el acceso por defecto al puerto 445, pero si el computador ya está infectado con el ransomware, lo más importante es revisar si existen respaldos de la información. En general, WannaCry infectó redes institucionales o corporativas que debiesen tener respaldos de la información de las estaciones de trabajo, en cuyo caso los encargados deben volver a instalar el sistema operativo y restaurar los respaldos previos a la infección. De cualquier manera, no era recomendable pagar, dado que de ningún modo garantizaba la devolución de la información en su estado original.

Es importante resaltar que la NSA jugó un rol crucial en esta crisis. Como agencia de inteligencia no solo se ha encontrado con estos fallos sino que los ha buscado activamente para obtener ventajas competitivas ante conflictos que se desarrollan en el espacio virtual, además de utilizarlos en contra de los usuarios. Es decir, que además de violar la privacidad, ha dispuesto dichas vulnerabilidades para su uso arbitrario e indiscriminado. Si la NSA hubiera hecho públicas las vulnerabilidades en lugar de intentar tener una ventaja a partir de ellas, la crisis de WannaCry nunca se hubiera desatado. Su deber como organismo estatal es proteger y respetar derechos humanos, pero en este caso lograron todo lo contrario.

Las vulnerabilidades en sistemas operativos y programas siempre van a existir, y quien las explote tiene una ventaja competitiva en términos de poder de coacción sobre otros [así como tener una pistola o una bomba nuclear] o de inteligencia [recolección de información]. Los países no renuncian nunca a tener ese poder, por eso es urgente y necesario regularlo mediante políticas de control de «armas digitales» para que los gobiernos más poderosos estén obligados a hacerlas públicas, en vez de usarlas en contra de las personas. Además, las políticas de prevención y mitigación de ataques a infraestructura «básica» (estaciones de trabajo de instituciones públicas, sistemas de manejo y control de información, sistemas financieros o de salud, etc) son vitales.

Con respecto a las empresas, es obvio que deben «parchar» o «arreglar» las vulnerabilidades de sus productos. Sin embargo, parte del problema en este caso fue la dificultad para actualizar los sistemas, ya sea porque no son originales, porque no se les da la importancia necesaria o simplemente por falta de personal capacitado. En última instancia, los y las usuarias también jugamos un papel importante en la prevención y respuesta ante situaciones como esta. En el caso de América Latina -como ocurre en muchas otras regiones del mundo-, el uso extendido de software privativo sin licencia resulta, más que un problema de legalidad, una barrera en el acceso a una internet segura. Ante casos como estos, vale la pena invitar una vez mas a la reflexión sobre la importancia de utilizar sistemas libres, que permitan la actualización periódica, a la vez que son sistemas auditables.

La crisis de WannaCry deja algo claro: a medida en que la tecnología permea nuestra vida un problema similar se puede volver a presentar en cualquier momento. Lo importante es que existan políticas y medidas para prevenir el daño que puedan causar, además de presionar para que los estados se hagan responsables por las «armas digitales» que desarrollan: no pueden invadir nuestra privacidad arbitrariamente, y no pueden desatar crisis en infraestructura básica para la sociedad.

Ciberseguridad en Chile: una oportunidad que no se puede desaprovechar

En abril de 2015, el gobierno de Chile estrenó el Comité Interministerial sobre Ciberseguridad (CICS), encargado de elaborar y proponer ante la presidenta de la república, la Política Nacional de Ciberseguridad (PNCS), una serie de medidas para proteger la seguridad y la libertad de los usuarios en internet, al mismo tiempo que promueve un ciberespacio libre, abierto, democrático y seguro.

Esta Política crea una hoja de ruta que permitiría abordar de manera coordinada y armónica distintos desafíos tales como las vulnerabilidades de seguridad tecnológica, los delitos informáticos, la protección de infraestructura crítica, entre otros asuntos. También incluye la elaboración de medidas congruentes de corto, mediano y largo plazo, que sean capaces de afrontar el desafío de la ciberseguridad desde distintos ángulos, lo que a su vez requiere la coordinación de distintos organismos públicos y otros actores involucrados.

En febrero de 2016 el Comité abrió un proceso de consulta pública cuyo objetivo era que los distintos actores de la sociedad civil, las empresas, otros organismos públicos y la comunidad técnica pudiesen aportar sus comentarios, críticas y recomendaciones al borrador de la PNCS (PDF). Proceso del cual fuimos parte como Derechos Digitales.

Este proceso, así como las audiencias temáticas con los actores involucrados, fueron particularmente relevantes puesto que mostraron un genuino interés por parte del CICS, de construir la Política de manea participativa. Esta realidad contrasta fuertemente con los anteriores procesos de elaboración de políticas públicas digitales, cuyos procesos participativos han sido superficiales o se han visto truncados a medio camino. Basta recordar que la Agenda Digital 2020 terminó siendo una vaga lista de deseos y la consulta pública convocada por el Consejo de la Sociedad Civil de Protección de Datos Personales nunca llegó a buen puerto.

Y es que a nivel internacional se ha generado un consenso en torno al necesario carácter abierto, participativo y transparente de los procesos de elaboración de políticas públicas, lo cual no solo mejora su calidad sino que genera procesos democráticos y de consenso, lo que a su vez facilita la implementación de las medidas.

En este sentido, y justamente porque la PNCS efectivamente contó con un proceso participativo efectivo, es preocupante que haya transcurrido un año desde la finalización del proceso de consulta pública y aún no se haya publicado la versión con los diferentes aportes. La PNCS se presenta como una oportunidad para enmendar errores pasados en los procesos de elaboración de políticas públicas digitales y puede servir como ejemplo futuro para la incorporación de diversas voces en la elaboración de políticas públicas.

Por lo mismo, y teniendo en consideración que ya está finalizando el periodo de gobierno, es necesario que de publicarse la versión final de la PNCS, se establezcan mecanismos que permitan consolidar esta hoja de ruta más allá de los resultados de la próxima elección presidencial. De lo contrario, se corre el peligro -como ha ocurrido con los sucesivos proyectos de reforma a la ley de protección de datos personales- de que el proceso se pierda y haya que volver a empezar desde cero.

Hoy el futuro de la PNCS está en manos del gobierno, a quien corresponde decidir si existe la voluntad política necesaria para generar una hoja de ruta que nos permita enfrentar de forma sistemática y coordinada los desafíos de la ciberseguridad. De ser así, la PNCS puede convertirse en un ejemplo para futuros procesos participativos de elaboración de políticas públicas, o de los contrario, se sumará a la lista de procesos que solo tuvieron la apariencia de participación o fueron abandonados a medio camino.

Los bloqueos de internet y la defensa de la democracia

El 29 de marzo pasado, luego de 14 meses de estado de excepción constitucional, el Tribunal Supremo de Venezuela suspendió las funciones de la Asamblea Nacional y delegó las funciones legislativas al presidente Nicolás Maduro, alegando su desacato por aceptar la investidura de tres parlamentarios de oposición acusados de fraude electoral.

Este hecho es resultado de meses de tensiones entre el ejecutivo y el legislativo, luego que el partido de gobierno perdiera su mayoría en la Asamblea Nacional. Con esto, la noticia del que ha sido denominado un auto-golpe de Estado se diseminó rápidamente a través de redes sociales y medios de comunicación en línea, llevando incluso a convertir el tema en tendencia mundial.

Desde la pérdida de control de la Asamblea Nacional por parte del oficialismo, y en medio de diversas manifestaciones, se ha vuelto central la participación de los medios en línea para acceder a información, ya que desde 2014 la Comisión de Telecomunicaciones emitió una resolución que amenazaba con multar y clausurar a los medios tradicionales que cubrieran “incitaciones a la violencia”, tales como manifestaciones críticas del gobierno venezolano.

La mañana del viernes 7 de abril, cibernautas venezolanos comenzaron a reportar que no podían acceder al canal de televisión web Vivoplay desde dentro del país. Luego, la denuncia se expandió a que VPITV y El Capitolio TV también se encontraban bloqueados de acceso. Los medios online afectados por el bloqueo eran los únicos que transmitían en directo las actividades de la oposición y tenían equipos en la primera línea de las manifestaciones. Según informó luego Ipys, pruebas técnicas conducidas por Venezuela Inteligente, demostraron el bloqueo de contenidos por DNS, esto es, que se impidió a los venezolanos acceder a estas web desde el servicio de Internet de Cantv, Movilnet (proveedores estatales), Movistar, Inter, y Digitel (proveedores privados).

Por otra parte, el reciente proceso electoral en Ecuador convirtió a internet en un campo de batalla donde, según denuncias, se intentó restringir el acceso a la información sobre el proceso. La organización ecuatoriana Usuarios Digitales denunció el bloqueo de su cuenta de Twitter, durante la tarde del 30 de marzo pasado, motivado por la publicación de información tributaria del candidato presidencial oficialista. Al día siguiente, los servidores web de Usuarios Digitales sufrieron lo que se consideró un ataque DDoS (Denegación de Servicio Distribuido). Esto ocurrió poco después de que publicaron un tuit informando que el sitio web del partido del principal candidato de la oposición, Guillermo Lasso, parecía estar fuera de línea.

El 2 de abril, investigadores de Usuarios Digitales realizaron pruebas técnicas que mostraron que en los proveedores de servicios locales de internet, incluidos Movistar, CNT y Netlife, hubo una interrupción del tráfico en toda la red desde las 18:05 hasta las 19:20. Luego de la interrupción, los investigadores vieron una disminución repentina de tráfico de los sitios web conocidos por sus opiniones contrarias al candidato oficialista. Por último, Usuarios Digitales informó sobre la caída, por cerca de dos horas, del enlace oficial de los resultados de las elecciones. Esta denuncia forzó al saliente presidente Correa a ordenar una auditoría para verificar el funcionamiento del sitio del CNE.

Como se aprecia en estos dos ejemplos, las organizaciones de la sociedad civil en estos dos países están haciendo un llamado público a los operadores de telecomunicaciones, así como a las autoridades involucradas, a informar a la ciudadanía de forma clara y precisa sobre las afectaciones técnicas que han sufrido las redes de Internet, lo cual supone una forma de censura que erosiona el acceso a la información por parte de la ciudadanía y con esto, el ejercicio democrático.

Los actos de bloqueo a Internet ejecutados sin garantías de debido proceso (como una orden judicial), violan los principios de acceso, pluralidad y neutralidad de la red, los cuales se consideran una extensión de la promoción y protección del derecho a la libertad opinión y de expresión, comprometida en el artículo 13 de la Convención Americana de Derechos Humanos.

En los casos descritos no parecen cumplirse los requisitos de la Declaración conjunta sobre Libertad de Expresión e Internet, para que pueda ser excepcionalmente aceptable un bloqueo en Internet: “el bloqueo obligatorio de sitios web enteros, direcciones IP, puertos, protocolos de red o ciertos tipos de usos (como las redes sociales) constituye una medida extrema—análoga a la prohibición de un periódico o una emisora de radio o televisión— que solo podría estar justificada conforme a estándares internacionales, por ejemplo, cuando sea necesaria para proteger a menores del abuso sexual”.

Celebramos y apoyamos el trabajo de las organizaciones de la sociedad civil poniendo en alerta al público en general acerca de los atentados al correcto funcionamiento de internet. El acceso libre a internet es una herramienta esencial para la discusión democrática, para exigir transparencia y responsabilidad en los procesos políticos.