Temática: Seguridad digital

Por la libertad del acceso, la privacidad y el anonimato

El pasado 6 de Abril Dmitry Bogatov fue detenido en Moscú tras ser acusado de publicar mensajes extremistas en un sitio web ruso bajo los cargos de “incitar actividades terroristas o justificar terrorismo a través de Internet”. De acuerdo al dictamen, Bogatov debía permanecer en prisión al menos hasta el 8 de Junio a la espera del juicio en su contra. Hace un par de días se extendió dicho plazo hasta el 30 de Junio, rechazando la opción de cumplir arresto domiciliario. De ser encontrado culpable, Bogatov podría ser condenado a siete años de cárcel.

Lo cierto es que los mensajes en cuestión fueron publicados bajo un seudónimo a través de Tor. Como contexto, la red Tor está compuesta por miles de servidores distribuidos alrededor del mundo, y es mantenida principalmente por voluntarias y voluntarios que abogan por la privacidad, el anonimato y la evasión de la censura en línea. Al utilizar Tor para navegar, el tráfico pasa por tres nodos de la red antes de llegar a su destino, lo que permite ocultar la ubicación de origen de la usuaria. Estos nodos son elegidos de manera aleatoria y cada uno tiene un rol: entrada, intermedio y salida. El nodo de salida es el último punto en el circuito y está a cargo de acceder a internet como intermediario entre la red Tor y el sitio web de destino. Es decir, es un nodo puente entre la red Tor e internet.

Dada la naturaleza de Tor, quien mantiene un nodo de salida no posee control ni responsabilidad del contenido que pasa a través del mismo (aunque no se recomienda realizarlo desde casa). Probablemente cientos o miles de personas usaron el nodo de Bogatov para permanecer anónimas y anónimos, o para evadir la censura en sus países. En este caso, a Bogatov no se le está exigiendo responsabilidad como intermediario (y, de hecho, no la tiene); peor aún, se le atribuye autoría del contenido que pasó a través de su nodo de salida. Esto refleja un malentendido grotesco sobre cómo funciona la red Tor. Si también se considera que existen grabaciones de cámaras de seguridad confirmando que Bogatov no estaba en su hogar cuando los mensajes fueron publicados, y que la cuenta anónima continuó publicando mensajes después que Bogatov fuera detenido, se tiene un caso sin pies ni cabeza. Así y todo las autoridades decidieron que Dmitry debía permanecer tras las rejas por casi dos meses, como mínimo.

Esto presenta un grave atentado en contra de quienes luchan por el derecho a la privacidad y el anonimato en Internet. El caso de Bogatov sin duda puede producir efectos negativos sobre la percepción de la red Tor y amedrentar a quienes en defensa del acceso al conocimiento y el derecho a la privacidad y el anonimato en línea deciden contribuir con su tiempo, ancho de banda y hardware para mantener nodos de salida. Si bien son una excepción, existen casos de individuos que en el pasado se han visto en problemas por mantener un nodo de salida, pero nunca ha involucrado tiempo en prisión como en este caso. El proyecto Tor y otras organizaciones como Torservers, Debian, Access Now y la Electronic Frontier Foundation se han pronunciado al respecto y han condenado el hecho, pero sin duda es necesario un mayor esfuerzo y acciones por parte de la comunidad para revertir este tipo de situaciones, de lo contrario las voluntarias y voluntarios que mantienen nodos de salida podrían no encontrar el respaldo suficiente para seguir colaborando en pos de una Internet libre.

En Derechos Digitales creemos que no solo es importante denunciar este tipo de persecuciones sino que también abogamos por potenciar las herramientas que ayudan a proteger la privacidad y anonimato en línea. En este sentido nos parece de suma importancia masificar herramientas como Tor, ya sea fomentando el uso de Tor Browser entre las usuarias y usuarios que necesitan navegar de manera anónima, o aportando al crecimiento de la red con la instalación de más nodos de salida Tor en instituciones públicas, bibliotecas, universidades, colectivos u otro tipo de organizaciones que tengan los recursos para ello. Es por esto que en colaboración con organizaciones de la región buscamos promover el aumento de nodos de salida en América Latina como una manera más de expresar compromiso y aporte técnico a la defensa de los derechos humanos en Internet y como una forma de proporcionar diversidad e infraestructura desde el Sur. Desde principios de 2017 aportamos nuestro pequeño grano de arena a la red, y esperamos en breve comenzar con la documentación para reflexionar y compartir lo aprendido, con la esperanza de sumar a más organizaciones en la región y juntos generar conciencia en la comunidad y en las autoridades, sobre las implicaciones legales y técnicas asociadas a la mantención de nodos Tor, y sobre cómo el apoyo a esta red significa también un apoyo a los principios fundamentales de una Internet libre.

El ransomware que paralizó al mundo

El pasado viernes 12 de mayo, más de 200 mil computadoras en 150 países alrededor del mundo fueron afectadas por una agresiva campaña de ransomware llamada WannaCry, WannaCrypt0r o WCry. Se le llama «ransomware» porque cifra los documentos de una computadora y exige el pago de una suma de dinero para devolver los archivos a su estado original. Es decir, los archivos quedan inaccesibles hasta que se paga el rescate. Lo que ha hecho famoso al ransomware WannaCry es la capacidad y métodos utilizados para propagarse: fue demasiado rápido, desatando una crisis cibernética. Cuando empresas como Deutsche Bhan, Telefónica España y el Sistema Nacional de Salud (NHS) de Inglaterra recibieron el virus, los trenes se detuvieron, las líneas telefónicas dejaron de funcionar y los hospitales no pudieron tomar rayos X.

¿Qué pasó? ¿Se podía prevenir? ¿Y qué rol juega Estados Unidos en esta crisis?

Como contexto, el año pasado un grupo llamado “Shadow Brokers” hackeó a la National Security Agency (NSA) e hizo públicas todas sus “ciberarmas”. Se les dice “armas” porque, mediante ellas, la agencia más poderosa de espionaje del gobierno estadounidense explota vulnerabilidades y errores en plataformas comerciales de Apple, Microsoft o Android -comúnmente utilizados- para saber todo lo que sucede en sus sistemas. No es necesario dar clic: es un defecto de fábrica que nadie conoce, y que permite a la NSA entrar a teléfonos o computadoras.

WannaCry aprovechó una de las vulnerabilidades hechas pública por Shadow Brokers para atacar Windows. Técnicamente, se trataba de un fallo en SMBv1, que se utiliza para acceder de manera remota a un computador e intenta infectar a más computadores, generando una cantidad de direcciones IP públicas aleatorias y escaneando los computadores vulnerables de la red local en que se encuentra (de la oficina o de la casa donde está conectado el computador infectado).

En su momento, las preguntas más importantes fueron: ¿se puede prevenir infección? ¿conviene pagar para recuperar la información?  Sin embargo, lo primero era corregir las vulnerabilidades. En Marzo de 2017 Microsoft hizo pública una actualización que corrige la vulnerabilidad utilizada por WannaCry para infectar nuevos computadores, por lo que la medida básica para prevenir cualquier infección del ransomware es mantener actualizado Windows. Esta es una responsabilidad que tenemos los usuarios y usuarias en el mundo: es importante actualizar.

Otras medidas para prevenir el ataque son deshabilitar SMBv1, y aplicar reglas de firewall para bloquear el acceso por defecto al puerto 445, pero si el computador ya está infectado con el ransomware, lo más importante es revisar si existen respaldos de la información. En general, WannaCry infectó redes institucionales o corporativas que debiesen tener respaldos de la información de las estaciones de trabajo, en cuyo caso los encargados deben volver a instalar el sistema operativo y restaurar los respaldos previos a la infección. De cualquier manera, no era recomendable pagar, dado que de ningún modo garantizaba la devolución de la información en su estado original.

Es importante resaltar que la NSA jugó un rol crucial en esta crisis. Como agencia de inteligencia no solo se ha encontrado con estos fallos sino que los ha buscado activamente para obtener ventajas competitivas ante conflictos que se desarrollan en el espacio virtual, además de utilizarlos en contra de los usuarios. Es decir, que además de violar la privacidad, ha dispuesto dichas vulnerabilidades para su uso arbitrario e indiscriminado. Si la NSA hubiera hecho públicas las vulnerabilidades en lugar de intentar tener una ventaja a partir de ellas, la crisis de WannaCry nunca se hubiera desatado. Su deber como organismo estatal es proteger y respetar derechos humanos, pero en este caso lograron todo lo contrario.

Las vulnerabilidades en sistemas operativos y programas siempre van a existir, y quien las explote tiene una ventaja competitiva en términos de poder de coacción sobre otros [así como tener una pistola o una bomba nuclear] o de inteligencia [recolección de información]. Los países no renuncian nunca a tener ese poder, por eso es urgente y necesario regularlo mediante políticas de control de «armas digitales» para que los gobiernos más poderosos estén obligados a hacerlas públicas, en vez de usarlas en contra de las personas. Además, las políticas de prevención y mitigación de ataques a infraestructura «básica» (estaciones de trabajo de instituciones públicas, sistemas de manejo y control de información, sistemas financieros o de salud, etc) son vitales.

Con respecto a las empresas, es obvio que deben «parchar» o «arreglar» las vulnerabilidades de sus productos. Sin embargo, parte del problema en este caso fue la dificultad para actualizar los sistemas, ya sea porque no son originales, porque no se les da la importancia necesaria o simplemente por falta de personal capacitado. En última instancia, los y las usuarias también jugamos un papel importante en la prevención y respuesta ante situaciones como esta. En el caso de América Latina -como ocurre en muchas otras regiones del mundo-, el uso extendido de software privativo sin licencia resulta, más que un problema de legalidad, una barrera en el acceso a una internet segura. Ante casos como estos, vale la pena invitar una vez mas a la reflexión sobre la importancia de utilizar sistemas libres, que permitan la actualización periódica, a la vez que son sistemas auditables.

La crisis de WannaCry deja algo claro: a medida en que la tecnología permea nuestra vida un problema similar se puede volver a presentar en cualquier momento. Lo importante es que existan políticas y medidas para prevenir el daño que puedan causar, además de presionar para que los estados se hagan responsables por las «armas digitales» que desarrollan: no pueden invadir nuestra privacidad arbitrariamente, y no pueden desatar crisis en infraestructura básica para la sociedad.

Ciberseguridad en Chile: una oportunidad que no se puede desaprovechar

En abril de 2015, el gobierno de Chile estrenó el Comité Interministerial sobre Ciberseguridad (CICS), encargado de elaborar y proponer ante la presidenta de la república, la Política Nacional de Ciberseguridad (PNCS), una serie de medidas para proteger la seguridad y la libertad de los usuarios en internet, al mismo tiempo que promueve un ciberespacio libre, abierto, democrático y seguro.

Esta Política crea una hoja de ruta que permitiría abordar de manera coordinada y armónica distintos desafíos tales como las vulnerabilidades de seguridad tecnológica, los delitos informáticos, la protección de infraestructura crítica, entre otros asuntos. También incluye la elaboración de medidas congruentes de corto, mediano y largo plazo, que sean capaces de afrontar el desafío de la ciberseguridad desde distintos ángulos, lo que a su vez requiere la coordinación de distintos organismos públicos y otros actores involucrados.

En febrero de 2016 el Comité abrió un proceso de consulta pública cuyo objetivo era que los distintos actores de la sociedad civil, las empresas, otros organismos públicos y la comunidad técnica pudiesen aportar sus comentarios, críticas y recomendaciones al borrador de la PNCS (PDF). Proceso del cual fuimos parte como Derechos Digitales.

Este proceso, así como las audiencias temáticas con los actores involucrados, fueron particularmente relevantes puesto que mostraron un genuino interés por parte del CICS, de construir la Política de manea participativa. Esta realidad contrasta fuertemente con los anteriores procesos de elaboración de políticas públicas digitales, cuyos procesos participativos han sido superficiales o se han visto truncados a medio camino. Basta recordar que la Agenda Digital 2020 terminó siendo una vaga lista de deseos y la consulta pública convocada por el Consejo de la Sociedad Civil de Protección de Datos Personales nunca llegó a buen puerto.

Y es que a nivel internacional se ha generado un consenso en torno al necesario carácter abierto, participativo y transparente de los procesos de elaboración de políticas públicas, lo cual no solo mejora su calidad sino que genera procesos democráticos y de consenso, lo que a su vez facilita la implementación de las medidas.

En este sentido, y justamente porque la PNCS efectivamente contó con un proceso participativo efectivo, es preocupante que haya transcurrido un año desde la finalización del proceso de consulta pública y aún no se haya publicado la versión con los diferentes aportes. La PNCS se presenta como una oportunidad para enmendar errores pasados en los procesos de elaboración de políticas públicas digitales y puede servir como ejemplo futuro para la incorporación de diversas voces en la elaboración de políticas públicas.

Por lo mismo, y teniendo en consideración que ya está finalizando el periodo de gobierno, es necesario que de publicarse la versión final de la PNCS, se establezcan mecanismos que permitan consolidar esta hoja de ruta más allá de los resultados de la próxima elección presidencial. De lo contrario, se corre el peligro -como ha ocurrido con los sucesivos proyectos de reforma a la ley de protección de datos personales- de que el proceso se pierda y haya que volver a empezar desde cero.

Hoy el futuro de la PNCS está en manos del gobierno, a quien corresponde decidir si existe la voluntad política necesaria para generar una hoja de ruta que nos permita enfrentar de forma sistemática y coordinada los desafíos de la ciberseguridad. De ser así, la PNCS puede convertirse en un ejemplo para futuros procesos participativos de elaboración de políticas públicas, o de los contrario, se sumará a la lista de procesos que solo tuvieron la apariencia de participación o fueron abandonados a medio camino.

Los bloqueos de internet y la defensa de la democracia

El 29 de marzo pasado, luego de 14 meses de estado de excepción constitucional, el Tribunal Supremo de Venezuela suspendió las funciones de la Asamblea Nacional y delegó las funciones legislativas al presidente Nicolás Maduro, alegando su desacato por aceptar la investidura de tres parlamentarios de oposición acusados de fraude electoral.

Este hecho es resultado de meses de tensiones entre el ejecutivo y el legislativo, luego que el partido de gobierno perdiera su mayoría en la Asamblea Nacional. Con esto, la noticia del que ha sido denominado un auto-golpe de Estado se diseminó rápidamente a través de redes sociales y medios de comunicación en línea, llevando incluso a convertir el tema en tendencia mundial.

Desde la pérdida de control de la Asamblea Nacional por parte del oficialismo, y en medio de diversas manifestaciones, se ha vuelto central la participación de los medios en línea para acceder a información, ya que desde 2014 la Comisión de Telecomunicaciones emitió una resolución que amenazaba con multar y clausurar a los medios tradicionales que cubrieran “incitaciones a la violencia”, tales como manifestaciones críticas del gobierno venezolano.

La mañana del viernes 7 de abril, cibernautas venezolanos comenzaron a reportar que no podían acceder al canal de televisión web Vivoplay desde dentro del país. Luego, la denuncia se expandió a que VPITV y El Capitolio TV también se encontraban bloqueados de acceso. Los medios online afectados por el bloqueo eran los únicos que transmitían en directo las actividades de la oposición y tenían equipos en la primera línea de las manifestaciones. Según informó luego Ipys, pruebas técnicas conducidas por Venezuela Inteligente, demostraron el bloqueo de contenidos por DNS, esto es, que se impidió a los venezolanos acceder a estas web desde el servicio de Internet de Cantv, Movilnet (proveedores estatales), Movistar, Inter, y Digitel (proveedores privados).

Por otra parte, el reciente proceso electoral en Ecuador convirtió a internet en un campo de batalla donde, según denuncias, se intentó restringir el acceso a la información sobre el proceso. La organización ecuatoriana Usuarios Digitales denunció el bloqueo de su cuenta de Twitter, durante la tarde del 30 de marzo pasado, motivado por la publicación de información tributaria del candidato presidencial oficialista. Al día siguiente, los servidores web de Usuarios Digitales sufrieron lo que se consideró un ataque DDoS (Denegación de Servicio Distribuido). Esto ocurrió poco después de que publicaron un tuit informando que el sitio web del partido del principal candidato de la oposición, Guillermo Lasso, parecía estar fuera de línea.

El 2 de abril, investigadores de Usuarios Digitales realizaron pruebas técnicas que mostraron que en los proveedores de servicios locales de internet, incluidos Movistar, CNT y Netlife, hubo una interrupción del tráfico en toda la red desde las 18:05 hasta las 19:20. Luego de la interrupción, los investigadores vieron una disminución repentina de tráfico de los sitios web conocidos por sus opiniones contrarias al candidato oficialista. Por último, Usuarios Digitales informó sobre la caída, por cerca de dos horas, del enlace oficial de los resultados de las elecciones. Esta denuncia forzó al saliente presidente Correa a ordenar una auditoría para verificar el funcionamiento del sitio del CNE.

Como se aprecia en estos dos ejemplos, las organizaciones de la sociedad civil en estos dos países están haciendo un llamado público a los operadores de telecomunicaciones, así como a las autoridades involucradas, a informar a la ciudadanía de forma clara y precisa sobre las afectaciones técnicas que han sufrido las redes de Internet, lo cual supone una forma de censura que erosiona el acceso a la información por parte de la ciudadanía y con esto, el ejercicio democrático.

Los actos de bloqueo a Internet ejecutados sin garantías de debido proceso (como una orden judicial), violan los principios de acceso, pluralidad y neutralidad de la red, los cuales se consideran una extensión de la promoción y protección del derecho a la libertad opinión y de expresión, comprometida en el artículo 13 de la Convención Americana de Derechos Humanos.

En los casos descritos no parecen cumplirse los requisitos de la Declaración conjunta sobre Libertad de Expresión e Internet, para que pueda ser excepcionalmente aceptable un bloqueo en Internet: “el bloqueo obligatorio de sitios web enteros, direcciones IP, puertos, protocolos de red o ciertos tipos de usos (como las redes sociales) constituye una medida extrema—análoga a la prohibición de un periódico o una emisora de radio o televisión— que solo podría estar justificada conforme a estándares internacionales, por ejemplo, cuando sea necesaria para proteger a menores del abuso sexual”.

Celebramos y apoyamos el trabajo de las organizaciones de la sociedad civil poniendo en alerta al público en general acerca de los atentados al correcto funcionamiento de internet. El acceso libre a internet es una herramienta esencial para la discusión democrática, para exigir transparencia y responsabilidad en los procesos políticos.

¿Quién está utilizando malware en México?

Lo que pasa en México nos comprueba que a pesar de esta retórica, los invasivos programas de vigilancia se usan contra periodistas, opositores políticos y activistas. A la fecha, no hemos sabido de un solo caso en el que dichas herramientas hayan ayudado a la captura de algún miembro de los carteles de droga. Y en cambio, los ejemplos contrarios abundan.

Hae pocos días, el New York Times y Citizen Lab publicaron una investigación, que revela cómo un investigador del Instituto Nacional de Salud Pública y dos directores de organizaciones no gubernamentales recibieron mensajes SMS con hipervínculos a un malware específico: Pegasus, de la empresa israelí NSO Group. Estas tres personas tienen en común su oposición pública a las compañías de refresco y desde 2014 han promovido grandes campañas para subir el impuesto a las bebidas azucaradas, por los problemas de salud y obesidad que estas generan.

Los mensajes utilizados para infectar los dispositivos de ellos tenían un alto grado de ingeniería social: sabían cómo hablarles y de qué forma llegar a ellos para hacerlos dar click a los hipervínculos maliciosos. Desde notas periodísticas con sus nombres hasta falsas infidelidades de sus parejas y supuestos accidentes de hijos.

Según Citizen Lab, aunque no es seguro que el gobierno mexicano esté involucrado en esta labor de espionaje, sí hay una alta probabilidad. Primero, porque según NSO Group solo venden este tipo de tecnología a gobiernos; segundo, porque ya en 2012 se confirmó que el estado mexicano le había pagado a la empresa 20 millones de dólares por sus productos; y tercero, porque no es la primera vez que pasa.

En este nuevo caso, llama la atención que el programa de vigilancia se haya querido utilizar para vigilar, o simplemente para amedrentar, a activistas cuya labor podría afectar intereses comerciales de las compañías refresqueras. Sin embargo, ya en agosto de 2016 supimos que el mismo malware había sido enviado a Rafael Cabrera, un periodista líder en la investigación sobre la Casa Blanca: uno de los más grandes casos de corrupción que se han denunciado en el periodo de presidencia de Enrique Peña Nieto, actual presidente de México.

Para R3D y Social TIC, las dos organizaciones mexicanas que alertaron sobre los casos de los activistas anti-refrescos e iniciaron la documentación de los mismos, esto demuestra que el espionaje en México “está fuera de control”.

Desde de 2015 supimos que el gobierno mexicano era el cliente más importante de Hacking Team, la empresa italiana que vende Galileo, otro invasivo programa que tiene la capacidad de activar micrófonos y cámaras de forma remota, acceder a correos electrónicos, historiales de navegación y otra información sensible. Además, es sabido que en este país el malware fue utilizado en contra de opositores políticos durante las campañas electorales.

Igual de grave resulta el hecho de que, según un reciente informe de R3D, el 99% de actos de vigilancia a las comunicaciones se realizan de forma ilegal, ya sea porque no cuentan con el respaldo de una orden judicial o porque las autoridades que compran este tipo de programas no tienen la autorización para usarlos.

No es una cosa de ciencia ficción: el espionaje es algo real, utilizado de forma desproporcionada en un país que atraviesa una grave crisis de derechos humanos. Sin controles democráticos adecuados, estas prácticas violan no solo el derecho a la privacidad, sino también a la libertad de expresión de la ciudadanía.

La vulnerabilidad de Whatsapp está en sus políticas

Desde que Whatsapp fue comprado por Facebook hace tres años, han surgido muchas dudas respecto a cómo esto afecta la privacidad de sus usuarios. A comienzos de 2016 la empresa comenzó a cifrar por defecto todas las conversaciones, lo cual fue celebrado en todo el mundo; pero en agosto informó que compartiría los datos de sus usuarios con Facebook, decisión que tuvo una respuesta menos favorable, que incluso fue llevada a la corte y finalmente fue rechazada en territorio europeo.

La semana pasada el diario The Guardian declaró que Whatsapp tiene una vulnerabilidad que podría ser utilizada por gobiernos como puerta trasera para espiar los mensajes de sus usuarios, de acuerdo con la investigación realizada por el criptógrafo Tobías Boelter. Tal vulnerabilidad consiste en que la aplicación puede generar una nueva clave de encriptación mientras el usuario está desconectado, por ejemplo cuando se reinstala la aplicación en un dispositivo nuevo, sin necesidad de notificarlo pero guardando los mensajes que se hayan enviado, encriptándolos nuevamente y re enviándolos con la nueva llave.

Open Whisper Systems, empresa creadora de la aplicación de mensajería Signal y del protocolo de encriptación que es utilizado también en Whatsapp, respondió que no hay tal falla sino una limitación propia de los sistemas de encriptación, y que en ningún caso se trata de una puerta trasera. Por eso la app ofrece la opción de notificación cuando se haya cambiado la clave de encriptación, lo que fortalece la seguridad en las comunicaciones.

Pero, ¿por qué no notifica siempre a sus usuarios? Porque frente a la seguridad, para Whatsapp es más importante que la experiencia de usuario sea cómoda y sencilla. Por eso no tomó medidas luego de que, en abril de 2016, Boelter les notificara la falla. Y si bien se ha dicho que la solución es tan sencilla como activar manualmente las notificaciones o que esta vulnerabilidad es pequeña aún si la persona usuaria teme ser interceptada por agencias gubernamentales, es problemático que el código de Whatsapp no sea auditable, lo que hace más difícil saber si esta limitación puede o no ser utilizada para analizar y espiar las comunicaciones.

La falla encontrada en WhatsApp es un recordatorio crítico de que las comunicaciones seguras no dependen solo de un buen protocolo, sino de la confianza en las empresas y personas que diseñan y mantienen las herramientas que utilizamos. Y en el caso de Whatsapp y su propietaria Facebook, aunque han declarado su compromiso con la seguridad de las comunicaciones frente a la solicitud por parte de gobiernos, como pasó por ejemplo en Brasil, parece cada vez más difícil confiar.

Al respecto, es necesario recordar que hace poco, Facebook comenzó a estudiar detenidamente la manera de ingresar al mercado chino, aceptando las políticas de censura en ese país, y también que ha optado por colaborar con Israel en censurar contenidos a nombre de la lucha contra los mensajes de odio, pero a costas del derecho a la libertad de expresión, principalmente de los palestinos.

Si bien es cierto que la seguridad responde a un modelo de amenazas particular para cada usuario, y que Whatsapp es una herramienta que ofrece grandes facilidades y beneficios, hoy día hay otras aplicaciones que ofrecen servicios similares pero se preocupan más por proteger las comunicaciones y menos por capitalizar al máximo los datos de sus usuarios. Un ejemplo claro es Signal, que aunque se basa en el mismo protocolo no presenta la misma falla de Whatsapp, o Wire, cuyo «más grande defecto» es que casi nadie la tiene instalada.

Un sistema que no mejora la democracia

En países con baja legitimación de sus sistemas políticos es frecuente oír, luego de cada elección de cargos públicos, propuestas tendientes a mejorar aspectos como la participación, la transparencia o la representatividad. En dicho escenario, el voto electrónico se alza por sus promotores como una alternativa viable y segura, en sintonía con la modernización de nuestras instituciones.

Sin embargo, la tecnología no es neutra y su relación con los diversos aspectos de nuestra vida social debe ser analizada bajo el lente de los derechos fundamentales. Cabe preguntarnos entonces si el sistema de votación electrónica es un mecanismo que refuerce las garantías democráticas al interior de las elecciones.

Y al respecto, hay que ser enfáticos: el voto electrónico no es seguro ni refuerza los valores democráticos que pretende, en el discurso, reforzar. Más aún, un sistema de votación que incorpore una máquina o programa ajeno al votante, difícilmente puede considerarse un mecanismo democrático.

En toda elección, la participación de los ciudadanos no se agota en la emisión del sufragio, sino en el derecho a supervisar y auditar el acto electoral, que se supone público y transparente. Así, los sistemas de votación de boleta de papel se han caracterizado por su horizontalidad en cuanto a participación se refiere: con una simple instrucción previa y uso de aritmética básica, gran parte de la población puede hacerse parte en el proceso de contar y supervisar una elección.

El voto electrónico implica necesariamente incluir software y hardware en alguna etapa de la votación. Esto hace que el sistema se vuelva opaco para el votante, cuya complejidad técnica impide la capacidad de control ciudadano durante el proceso, quedando relegado a un sector reducido de la sociedad civil: los expertos. En dicha línea falló el Tribunal Constitucional Federal de Alemania al declarar inconstitucional su sistema de votación electrónica, pues la elección en tanto acto público requiere ser entendida por cualquier ciudadano, sin necesidad de conocimientos técnicos específicos.

Por otra parte, la posibilidad de afirmar que un sistema informático es plenamente seguro, o libre de intervenciones, es casi imposible dadas las características propias de la infraestructura involucrada. Y, además, para que técnicos informáticos puedan llegar a esa conclusión es necesario recopilar gran cantidad de información, lo que pone en riesgo el secreto del voto que, como mencionamos anteriormente, es otro aspecto vital en una democracia sana.

La experiencia en la región en los últimos años ha sido concordante con esta postura. Observando al sistema vot.ar de la Ciudad Autónoma de Buenos Aires, expertos identificaron que las boletas podían ser individualizadas; hallaron la posibilidad de que una boleta tuviera más de un voto, e incluso que el voto fuera leído por un teléfono celular tan solo acercándolo a la boleta.

Alimenta la gravedad de los hechos el constatar que dos días antes de esas elecciones, un informe de la Policía Metropolitana anunciaba un grave ataque informático a los servidores de la empresa MSA, a cargo de todo el proceso electoral..

En Chile, tanto en las elecciones de la Agrupación Nacional de Empleados Fiscales (ANEF) como en la del partido Unión Demócrata Independiente UDI se experimentaron fallas en la seguridad y estabilidad, quedando abierta la discusión sobre la factibilidad técnica de la iniciativa.

No es desconocido para nadie que las tecnologías han contribuido considerablemente en el desarrollo de nuestra sociedad. Sin embargo, si algunos de sus avances resultan perjudiciales para aquellos principios democráticos que inspiran un sistema electoral, su aplicación debe ser descartada. El voto electrónico provoca un quiebre en la horizontalidad de una elección, al dejar solo a manos de unos pocos el poder de asegurar que un proceso es seguro, si es que asumimos que esa labor sea posible.

Facebook no es gratis y nunca lo será

En los últimos meses, y especialmente luego de las elecciones en Estados Unidos donde Donald Trump fue electo presidente, mucho se ha discutido sobre la incapacidad de Facebook para responder al enorme poder que tiene. Aunque se niegue a asumirlo, esta red social se ha convertido en la puerta de entrada a los medios y la opinión pública. Y la verdad es que en estos tiempos, sus políticas internas determinan nuestra relación con el mundo.

¿Te has preguntado qué pasa con los datos que subes a Facebook? Fotos, textos, videos, ubicación, toda nuestra información queda alojada en sus servidores. Esto no es un secreto en sentido estricto, está explícito en sus Términos y Condiciones, así que lo sabemos o deberíamos saberlo si nos proponemos leer todo el documento antes de aceptarlo. En cualquier caso, Facebook está actualizando sus Términos permanentemente.

Pero de manera implícita, casi todo lo que hacemos mientras navegamos en internet puede ser rastreado por esta compañía. Hoy día, muchos sitios tienen plug-ins de Facebook, que le permiten tener acceso a nuestro identificador de usuario y así conocer los sitios web que estamos visitando, la fecha y hora en que lo hacemos, y otra información relacionada con el navegador. Según Facebook eso es necesario para mejorar sus productos y servicios y para mostrarnos anuncios más interesantes y útiles.

En otras palabras, para Facebook, sus casi 2.000 millones de usuarios no somos más que consumidores y por eso, nuestros datos son utilizados para capitalizar su negocio, sin importar si estamos o no de acuerdo. Facebook tiene acceso a nuestros hábitos e ideas: a dónde vamos, dónde almorzamos, con quién tenemos relaciones amorosas o relaciones cercanas, por cuánto tiempo, qué compramos, dónde compramos, qué opinión tenemos sobre religión, política y muchos más; incluso puede predecir el futuro, ¿quieres intentarlo?

Pero no vayamos tan adentro de la red. Al fin y al cabo, sobre nuestros datos en Facebook la información a la que tenemos acceso es, por lo menos, vaga. Mejor tengamos en cuenta que la empresa almacenará nuestros datos durante el tiempo que lo requiera y en la medida que los pueda necesitar para ofrecernos servicios a sus usuarios o “a otras personas”. ¿Qué significa esto? Que como usuario o usuaria, pierdes el control sobre la información tuya alojada en la plataforma, sin importar si cancelas tu cuenta. Puede ser que tus datos nunca sean eliminados de los servidores de Facebook.

¿Y qué pasa, por ejemplo, con las imágenes que cargamos en la plataforma? Puedes hacer un sencillo experimento. Carga una fotografía cualquiera; anota la URL de la imagen en un editor de texto; elimina el post; dirígete a la URL de la imagen. La imagen no estará disponible en ese momento. Posiblemente sirva para ofrecer servicios a “otras personas”, nunca lo sabremos, pero es claro que la imagen no será eliminada.

¿Y qué implicaciones puede tener eso en nuestras vidas? Probablemente ninguna, eso tiene que ver con lo que cada quien hace en su vida y lo que quiere que Facebook sepa o no sepa. Cada persona en Facebook puede enfrentar riesgos distintos: el acoso, la censura, la persecución, el robo de información, entre muchos otros. Pero veamos algunos ejemplos:

Digamos que eres padre de un hijo muy lindo y en la fecha de su cumpleaños hiciste una fiesta de disfraces. A él le gusta el terror, así que se disfraza de monstruo. Sacaste muchas fotos y las subiste a Facebook. ¿Qué puede pasar en el futuro con estas? ¿O en el presente? Indudablemente las fotos están allí con tu consentimiento, pero algo que parece inocente en el presente, en otros contextos podría servir para cosas que no pensábamos, por ejemplo construir el perfil de un criminal.

Ahora imaginemos que eres una activista que trabaja el tema del Aborto (que está criminalizado en algunos países en América Latina). Tienes una foto en Facebook donde aparecen más integrantes de un colectivo que trabaja por la misma causa. La posibilidad de identificarles visualmente, así como los lugares donde se encuentran o se ponen cita, o los atuendos que utilizan, facilita a posibles agresores identificarles físicamente, en la calle, en los espacios de trabajo o incluso en su casa. Es cuestión de investigar un poco.

En este último caso, el gobierno podría además empezar a perseguir y acusar penalmente  activistas (no solo que defienden el aborto sino también causas ecologistas, ocupaciones, etc.) y pedir oficialmente información a Facebook. Y es sabido que Facebook entrega esta información.

Finalmente, piensa cuánta información compartes en Facebook cuando instalas sus aplicaciones en tu teléfono: contactos, calendario, su ubicación; identidad y estado del teléfono; SMS; contenido de la tarjeta SD; descargar archivos sin notificación; saber el estado de la red y su servicio de internet. Además, estás de “acuerdo” que todas las informaciones que colecta Facebook puedan ser compartidas con sus socios. Por suerte, la aplicación de Messenger ahora tiene chat cifrado, pero… Ya hablamos de lo que hacen con nuestros datos.

Sin embargo, creemos que la solución no es perder la calma ni salir corriendo a cerrar nuestra cuenta. Si quieres seguir usando Facebook, preparamos una lista de enlaces donde puedes leer más sobre cómo protegerte en las redes sociales:

Filtración de TiSA. Los temores se confirman

Hace unos meses reportamos sobre los avances en la negociación del “Trade in Services Agreement” (TiSA), con la información a la que tuvimos acceso a través del “cuarto adjunto” en Chile. Se trata de otro tratado negociado de espaldas a la ciudadanía. Siendo TiSA un tratado dedicado exclusivamente a servicios, en principio no ha parecido tener capítulos con el mismo nivel de controversia sobre TPP, como propiedad intelectual, inversiones y solución de controversias inversionista-Estado; por esta razón, ha pasado mucho más desapercibido para la sociedad civil y la opinión pública, escandalizada con el TPP.

Por lo mismo, podría suponerse que el contenido de TiSA no sería tan problemático como el del TPP,  que hace tan poco dimos por muerto. Sin embargo, el pasado 25 de noviembre, netzpolitik.org en conjunto con Greenpeace, filtraron una serie de borradores de algunos anexos del tratado, que sigue en negociación. Se trata de los anexos sobre Telecomunicaciones y sobre Comercio Electrónico, cuestiones clave para el desarrollo de internet. El contenido de estos documentos es sumamente preocupante y merece un análisis en profundidad, pues varios países latinoamericanos están participando de esta negociación, que amenaza aspectos claves de los derechos humanos en internet.

Una mala fórmula para la protección de intermediarios

En una disposición recientemente propuesta por Estados Unidos, se consagra un que puede resultar sumamente perjudicial para la libertad de expresión. El artículo X.X (entre los artículos 11 y 12) del anexo sobre Comercio Electrónico establece que ningún país miembro podrá considerar a un servicio de plataforma interactiva como “proveedor de contenido” al momento de determinar la responsabilidad en daños ocasionados por la información contenida, procesada o distribuida a través de sus servicios. Esto es, que servicios como YouTube, Facebook y otros no serán responsables por el contenido que sea subido a sus plataformas por los usuarios (excluyendo las infracciones a la propiedad intelectual, sujetas a otras reglas).

Al permitir que las plataformas no se transformen en guardianes del contenido que sus usuarios suben, esta cláusula es un importante resguardo para la libertad de expresión en Estados Unidos. La redacción de la propuesta parece estar inspirada en la sección 230 de la Communication Decency Act estadounidense. Sin embargo, la misma propuesta establece que estos mismos intermediarios no serán responsables cuando supriman, de forma proactiva, el acceso o disponibilidad de material “objetable o dañino”, cuando esta acción sea realizada de buena fe. Es decir, se establece la posibilidad de que las plataformas no sean responsables cuando retiren contenidos arbitrariamente, aun cuando este contenido no sea ilegal.

En casos en que el retiro de contenido afecte derechos como la libertad de expresión, corresponde que sean entes imparciales quienes decidan, por ejemplo tribunales de justicia, y no las empresas privadas, cuyas decisiones pueden constituir censura. En estas condiciones, la propuesta permite la censura sin atender a los Principios de Manila. Y la misma irresponsabilidad existiría cuando el retiro o bloqueo se produzca por medios técnicos, como ContentID. Teniendo en cuenta que cada día más servicios acuden a algoritmos para bajar contenido, esta presunción puede proteger a los intermediarios en casos graves de censura automatizada y arbitraria.

Neutralidad de la red, aún más descafeinada

La neutralidad de la red es uno de los principios básicos de internet como lo conocemos, y consiste en que los proveedores de internet deben tratar todos los bits de información del mismo modo, sin bloquear o privilegiar conexiones mientras no haya fundamento legal.

En el anexo de Comercio Electrónico (artículo 7.1 a), se reconocen los beneficios del acceso y uso de servicios y aplicaciones en internet, sujeto a la gestión razonable de redes. A esa “gestión razonable”, la Unión Europea propone agregar “no discriminatoria”, como permiten varias reglas de neutralidad de la red hoy vigentes para la gestión del tráfico de datos. No obstante, Estados Unidos y Colombia se oponen a la incorporación de dicha expresión, mutilando así un aspecto clave del principio de neutralidad de la red. También resulta desconcertante que el resto de los países de América Latina, muchos de los cuales ya cuentan con legislación que consagra la neutralidad de la red, no estén apoyando la incorporación de este concepto clave.

Desprotección de datos personales

Uno de los puntos más sensibles sobre TPP y TiSA ha sido el estado de la protección de datos personales frente al defendido principio de la libertad en el flujo de datos. En un contexto de continuo desencuentro entre la Unión Europea y Estados Unidos por la protección de datos tras las revelaciones de Snowden, TiSA aparece como una oportunidad clave para que la libre circulación de la información, a favor del comercio, eluda las trabas que le significan los derechos de las personas sobre sus datos.

Al igual que TPP, TiSA (artículo 4.3 del anexo de Comercio Electrónico) contiene disposiciones que obligan a sus países miembro a permitir el tráfico transfronterizo de datos personales, pero sin la obligación de certificar que el país receptor mantiene un nivel adecuado de resguardo de la privacidad o de protección de datos personales, sino proponiendo flexibilidades y exigencias blandas de protección similar. El borrador filtrado también prohíbe que los países condicionen la entrega de un servicio al hecho de que el servidor se encuentre ubicado dentro del territorio nacional del país miembro. Aunque en este último caso las leyes de datos personales suelen ser una limitación válida, no todos los países cuentan con tales reglas.

¿Entorpeciendo la difusión del software libre?

Al igual que TPP, el anexo de Comercio Electrónico de TiSA prohíbe a sus países miembro condicionar la comercialización de un software cuyo código sea abierto o revelado (Artículo 6.1). Si bien el artículo 6.3 a) aclara que nada impide a las partes negociar privada o contractualmente, a través de términos y condiciones, que el software sea de código abierto (por ejemplo, mediante una licencia de uso), la prohibición general significa que, de aplicarse estas reglas a la adquisición de software por un Estado (como parece buscar la Unión Europea en el artículo 5 a), el Estado puede encontrarse atado de manos para implementar políticas públicas que impliquen el uso de software libre.

La redacción de esta disposición es peor que la contenida en el TPP, el cual (Artículo 14.17.2) restringe la aplicación de esta prohibición a productos de mercados masivos que contengan tal programa informático, y no incluye los programas informáticos utilizados para la infraestructura crítica de un país. La redacción contenida en TiSA, por tanto, resta soberanía a los estados para implementar políticas públicas relacionadas con el software libre.

Pasos a seguir

Contrario a la creencia de que, por tratarse de un tratado dedicado a la regulación de servicios, TiSA sería poco polémico, la filtración de estos borradores ha confirmado que el secretismo en la negociación supone un riesgo para la garantía de los derechos fundamentales. Debemos exigir a los gobiernos de América Latina que levanten la voz, que negocien de manera transparente, que abran la discusión a la ciudadanía, la academia y la sociedad civil. En lo inmediato, deben también oponerse tenazmente a las disposiciones que vulneran los derechos fundamentales de sus habitantes, y a aquellas disposiciones que comprometen el ejercicio de derechos humanos en internet.