Temática: Seguridad digital

¿Quién está utilizando malware en México?

Lo que pasa en México nos comprueba que a pesar de esta retórica, los invasivos programas de vigilancia se usan contra periodistas, opositores políticos y activistas. A la fecha, no hemos sabido de un solo caso en el que dichas herramientas hayan ayudado a la captura de algún miembro de los carteles de droga. Y en cambio, los ejemplos contrarios abundan.

Hae pocos días, el New York Times y Citizen Lab publicaron una investigación, que revela cómo un investigador del Instituto Nacional de Salud Pública y dos directores de organizaciones no gubernamentales recibieron mensajes SMS con hipervínculos a un malware específico: Pegasus, de la empresa israelí NSO Group. Estas tres personas tienen en común su oposición pública a las compañías de refresco y desde 2014 han promovido grandes campañas para subir el impuesto a las bebidas azucaradas, por los problemas de salud y obesidad que estas generan.

Los mensajes utilizados para infectar los dispositivos de ellos tenían un alto grado de ingeniería social: sabían cómo hablarles y de qué forma llegar a ellos para hacerlos dar click a los hipervínculos maliciosos. Desde notas periodísticas con sus nombres hasta falsas infidelidades de sus parejas y supuestos accidentes de hijos.

Según Citizen Lab, aunque no es seguro que el gobierno mexicano esté involucrado en esta labor de espionaje, sí hay una alta probabilidad. Primero, porque según NSO Group solo venden este tipo de tecnología a gobiernos; segundo, porque ya en 2012 se confirmó que el estado mexicano le había pagado a la empresa 20 millones de dólares por sus productos; y tercero, porque no es la primera vez que pasa.

En este nuevo caso, llama la atención que el programa de vigilancia se haya querido utilizar para vigilar, o simplemente para amedrentar, a activistas cuya labor podría afectar intereses comerciales de las compañías refresqueras. Sin embargo, ya en agosto de 2016 supimos que el mismo malware había sido enviado a Rafael Cabrera, un periodista líder en la investigación sobre la Casa Blanca: uno de los más grandes casos de corrupción que se han denunciado en el periodo de presidencia de Enrique Peña Nieto, actual presidente de México.

Para R3D y Social TIC, las dos organizaciones mexicanas que alertaron sobre los casos de los activistas anti-refrescos e iniciaron la documentación de los mismos, esto demuestra que el espionaje en México “está fuera de control”.

Desde de 2015 supimos que el gobierno mexicano era el cliente más importante de Hacking Team, la empresa italiana que vende Galileo, otro invasivo programa que tiene la capacidad de activar micrófonos y cámaras de forma remota, acceder a correos electrónicos, historiales de navegación y otra información sensible. Además, es sabido que en este país el malware fue utilizado en contra de opositores políticos durante las campañas electorales.

Igual de grave resulta el hecho de que, según un reciente informe de R3D, el 99% de actos de vigilancia a las comunicaciones se realizan de forma ilegal, ya sea porque no cuentan con el respaldo de una orden judicial o porque las autoridades que compran este tipo de programas no tienen la autorización para usarlos.

No es una cosa de ciencia ficción: el espionaje es algo real, utilizado de forma desproporcionada en un país que atraviesa una grave crisis de derechos humanos. Sin controles democráticos adecuados, estas prácticas violan no solo el derecho a la privacidad, sino también a la libertad de expresión de la ciudadanía.

La vulnerabilidad de Whatsapp está en sus políticas

Desde que Whatsapp fue comprado por Facebook hace tres años, han surgido muchas dudas respecto a cómo esto afecta la privacidad de sus usuarios. A comienzos de 2016 la empresa comenzó a cifrar por defecto todas las conversaciones, lo cual fue celebrado en todo el mundo; pero en agosto informó que compartiría los datos de sus usuarios con Facebook, decisión que tuvo una respuesta menos favorable, que incluso fue llevada a la corte y finalmente fue rechazada en territorio europeo.

La semana pasada el diario The Guardian declaró que Whatsapp tiene una vulnerabilidad que podría ser utilizada por gobiernos como puerta trasera para espiar los mensajes de sus usuarios, de acuerdo con la investigación realizada por el criptógrafo Tobías Boelter. Tal vulnerabilidad consiste en que la aplicación puede generar una nueva clave de encriptación mientras el usuario está desconectado, por ejemplo cuando se reinstala la aplicación en un dispositivo nuevo, sin necesidad de notificarlo pero guardando los mensajes que se hayan enviado, encriptándolos nuevamente y re enviándolos con la nueva llave.

Open Whisper Systems, empresa creadora de la aplicación de mensajería Signal y del protocolo de encriptación que es utilizado también en Whatsapp, respondió que no hay tal falla sino una limitación propia de los sistemas de encriptación, y que en ningún caso se trata de una puerta trasera. Por eso la app ofrece la opción de notificación cuando se haya cambiado la clave de encriptación, lo que fortalece la seguridad en las comunicaciones.

Pero, ¿por qué no notifica siempre a sus usuarios? Porque frente a la seguridad, para Whatsapp es más importante que la experiencia de usuario sea cómoda y sencilla. Por eso no tomó medidas luego de que, en abril de 2016, Boelter les notificara la falla. Y si bien se ha dicho que la solución es tan sencilla como activar manualmente las notificaciones o que esta vulnerabilidad es pequeña aún si la persona usuaria teme ser interceptada por agencias gubernamentales, es problemático que el código de Whatsapp no sea auditable, lo que hace más difícil saber si esta limitación puede o no ser utilizada para analizar y espiar las comunicaciones.

La falla encontrada en WhatsApp es un recordatorio crítico de que las comunicaciones seguras no dependen solo de un buen protocolo, sino de la confianza en las empresas y personas que diseñan y mantienen las herramientas que utilizamos. Y en el caso de Whatsapp y su propietaria Facebook, aunque han declarado su compromiso con la seguridad de las comunicaciones frente a la solicitud por parte de gobiernos, como pasó por ejemplo en Brasil, parece cada vez más difícil confiar.

Al respecto, es necesario recordar que hace poco, Facebook comenzó a estudiar detenidamente la manera de ingresar al mercado chino, aceptando las políticas de censura en ese país, y también que ha optado por colaborar con Israel en censurar contenidos a nombre de la lucha contra los mensajes de odio, pero a costas del derecho a la libertad de expresión, principalmente de los palestinos.

Si bien es cierto que la seguridad responde a un modelo de amenazas particular para cada usuario, y que Whatsapp es una herramienta que ofrece grandes facilidades y beneficios, hoy día hay otras aplicaciones que ofrecen servicios similares pero se preocupan más por proteger las comunicaciones y menos por capitalizar al máximo los datos de sus usuarios. Un ejemplo claro es Signal, que aunque se basa en el mismo protocolo no presenta la misma falla de Whatsapp, o Wire, cuyo «más grande defecto» es que casi nadie la tiene instalada.

Un sistema que no mejora la democracia

En países con baja legitimación de sus sistemas políticos es frecuente oír, luego de cada elección de cargos públicos, propuestas tendientes a mejorar aspectos como la participación, la transparencia o la representatividad. En dicho escenario, el voto electrónico se alza por sus promotores como una alternativa viable y segura, en sintonía con la modernización de nuestras instituciones.

Sin embargo, la tecnología no es neutra y su relación con los diversos aspectos de nuestra vida social debe ser analizada bajo el lente de los derechos fundamentales. Cabe preguntarnos entonces si el sistema de votación electrónica es un mecanismo que refuerce las garantías democráticas al interior de las elecciones.

Y al respecto, hay que ser enfáticos: el voto electrónico no es seguro ni refuerza los valores democráticos que pretende, en el discurso, reforzar. Más aún, un sistema de votación que incorpore una máquina o programa ajeno al votante, difícilmente puede considerarse un mecanismo democrático.

En toda elección, la participación de los ciudadanos no se agota en la emisión del sufragio, sino en el derecho a supervisar y auditar el acto electoral, que se supone público y transparente. Así, los sistemas de votación de boleta de papel se han caracterizado por su horizontalidad en cuanto a participación se refiere: con una simple instrucción previa y uso de aritmética básica, gran parte de la población puede hacerse parte en el proceso de contar y supervisar una elección.

El voto electrónico implica necesariamente incluir software y hardware en alguna etapa de la votación. Esto hace que el sistema se vuelva opaco para el votante, cuya complejidad técnica impide la capacidad de control ciudadano durante el proceso, quedando relegado a un sector reducido de la sociedad civil: los expertos. En dicha línea falló el Tribunal Constitucional Federal de Alemania al declarar inconstitucional su sistema de votación electrónica, pues la elección en tanto acto público requiere ser entendida por cualquier ciudadano, sin necesidad de conocimientos técnicos específicos.

Por otra parte, la posibilidad de afirmar que un sistema informático es plenamente seguro, o libre de intervenciones, es casi imposible dadas las características propias de la infraestructura involucrada. Y, además, para que técnicos informáticos puedan llegar a esa conclusión es necesario recopilar gran cantidad de información, lo que pone en riesgo el secreto del voto que, como mencionamos anteriormente, es otro aspecto vital en una democracia sana.

La experiencia en la región en los últimos años ha sido concordante con esta postura. Observando al sistema vot.ar de la Ciudad Autónoma de Buenos Aires, expertos identificaron que las boletas podían ser individualizadas; hallaron la posibilidad de que una boleta tuviera más de un voto, e incluso que el voto fuera leído por un teléfono celular tan solo acercándolo a la boleta.

Alimenta la gravedad de los hechos el constatar que dos días antes de esas elecciones, un informe de la Policía Metropolitana anunciaba un grave ataque informático a los servidores de la empresa MSA, a cargo de todo el proceso electoral..

En Chile, tanto en las elecciones de la Agrupación Nacional de Empleados Fiscales (ANEF) como en la del partido Unión Demócrata Independiente UDI se experimentaron fallas en la seguridad y estabilidad, quedando abierta la discusión sobre la factibilidad técnica de la iniciativa.

No es desconocido para nadie que las tecnologías han contribuido considerablemente en el desarrollo de nuestra sociedad. Sin embargo, si algunos de sus avances resultan perjudiciales para aquellos principios democráticos que inspiran un sistema electoral, su aplicación debe ser descartada. El voto electrónico provoca un quiebre en la horizontalidad de una elección, al dejar solo a manos de unos pocos el poder de asegurar que un proceso es seguro, si es que asumimos que esa labor sea posible.

Facebook no es gratis y nunca lo será

En los últimos meses, y especialmente luego de las elecciones en Estados Unidos donde Donald Trump fue electo presidente, mucho se ha discutido sobre la incapacidad de Facebook para responder al enorme poder que tiene. Aunque se niegue a asumirlo, esta red social se ha convertido en la puerta de entrada a los medios y la opinión pública. Y la verdad es que en estos tiempos, sus políticas internas determinan nuestra relación con el mundo.

¿Te has preguntado qué pasa con los datos que subes a Facebook? Fotos, textos, videos, ubicación, toda nuestra información queda alojada en sus servidores. Esto no es un secreto en sentido estricto, está explícito en sus Términos y Condiciones, así que lo sabemos o deberíamos saberlo si nos proponemos leer todo el documento antes de aceptarlo. En cualquier caso, Facebook está actualizando sus Términos permanentemente.

Pero de manera implícita, casi todo lo que hacemos mientras navegamos en internet puede ser rastreado por esta compañía. Hoy día, muchos sitios tienen plug-ins de Facebook, que le permiten tener acceso a nuestro identificador de usuario y así conocer los sitios web que estamos visitando, la fecha y hora en que lo hacemos, y otra información relacionada con el navegador. Según Facebook eso es necesario para mejorar sus productos y servicios y para mostrarnos anuncios más interesantes y útiles.

En otras palabras, para Facebook, sus casi 2.000 millones de usuarios no somos más que consumidores y por eso, nuestros datos son utilizados para capitalizar su negocio, sin importar si estamos o no de acuerdo. Facebook tiene acceso a nuestros hábitos e ideas: a dónde vamos, dónde almorzamos, con quién tenemos relaciones amorosas o relaciones cercanas, por cuánto tiempo, qué compramos, dónde compramos, qué opinión tenemos sobre religión, política y muchos más; incluso puede predecir el futuro, ¿quieres intentarlo?

Pero no vayamos tan adentro de la red. Al fin y al cabo, sobre nuestros datos en Facebook la información a la que tenemos acceso es, por lo menos, vaga. Mejor tengamos en cuenta que la empresa almacenará nuestros datos durante el tiempo que lo requiera y en la medida que los pueda necesitar para ofrecernos servicios a sus usuarios o “a otras personas”. ¿Qué significa esto? Que como usuario o usuaria, pierdes el control sobre la información tuya alojada en la plataforma, sin importar si cancelas tu cuenta. Puede ser que tus datos nunca sean eliminados de los servidores de Facebook.

¿Y qué pasa, por ejemplo, con las imágenes que cargamos en la plataforma? Puedes hacer un sencillo experimento. Carga una fotografía cualquiera; anota la URL de la imagen en un editor de texto; elimina el post; dirígete a la URL de la imagen. La imagen no estará disponible en ese momento. Posiblemente sirva para ofrecer servicios a “otras personas”, nunca lo sabremos, pero es claro que la imagen no será eliminada.

¿Y qué implicaciones puede tener eso en nuestras vidas? Probablemente ninguna, eso tiene que ver con lo que cada quien hace en su vida y lo que quiere que Facebook sepa o no sepa. Cada persona en Facebook puede enfrentar riesgos distintos: el acoso, la censura, la persecución, el robo de información, entre muchos otros. Pero veamos algunos ejemplos:

Digamos que eres padre de un hijo muy lindo y en la fecha de su cumpleaños hiciste una fiesta de disfraces. A él le gusta el terror, así que se disfraza de monstruo. Sacaste muchas fotos y las subiste a Facebook. ¿Qué puede pasar en el futuro con estas? ¿O en el presente? Indudablemente las fotos están allí con tu consentimiento, pero algo que parece inocente en el presente, en otros contextos podría servir para cosas que no pensábamos, por ejemplo construir el perfil de un criminal.

Ahora imaginemos que eres una activista que trabaja el tema del Aborto (que está criminalizado en algunos países en América Latina). Tienes una foto en Facebook donde aparecen más integrantes de un colectivo que trabaja por la misma causa. La posibilidad de identificarles visualmente, así como los lugares donde se encuentran o se ponen cita, o los atuendos que utilizan, facilita a posibles agresores identificarles físicamente, en la calle, en los espacios de trabajo o incluso en su casa. Es cuestión de investigar un poco.

En este último caso, el gobierno podría además empezar a perseguir y acusar penalmente  activistas (no solo que defienden el aborto sino también causas ecologistas, ocupaciones, etc.) y pedir oficialmente información a Facebook. Y es sabido que Facebook entrega esta información.

Finalmente, piensa cuánta información compartes en Facebook cuando instalas sus aplicaciones en tu teléfono: contactos, calendario, su ubicación; identidad y estado del teléfono; SMS; contenido de la tarjeta SD; descargar archivos sin notificación; saber el estado de la red y su servicio de internet. Además, estás de “acuerdo” que todas las informaciones que colecta Facebook puedan ser compartidas con sus socios. Por suerte, la aplicación de Messenger ahora tiene chat cifrado, pero… Ya hablamos de lo que hacen con nuestros datos.

Sin embargo, creemos que la solución no es perder la calma ni salir corriendo a cerrar nuestra cuenta. Si quieres seguir usando Facebook, preparamos una lista de enlaces donde puedes leer más sobre cómo protegerte en las redes sociales:

Filtración de TiSA. Los temores se confirman

Hace unos meses reportamos sobre los avances en la negociación del “Trade in Services Agreement” (TiSA), con la información a la que tuvimos acceso a través del “cuarto adjunto” en Chile. Se trata de otro tratado negociado de espaldas a la ciudadanía. Siendo TiSA un tratado dedicado exclusivamente a servicios, en principio no ha parecido tener capítulos con el mismo nivel de controversia sobre TPP, como propiedad intelectual, inversiones y solución de controversias inversionista-Estado; por esta razón, ha pasado mucho más desapercibido para la sociedad civil y la opinión pública, escandalizada con el TPP.

Por lo mismo, podría suponerse que el contenido de TiSA no sería tan problemático como el del TPP,  que hace tan poco dimos por muerto. Sin embargo, el pasado 25 de noviembre, netzpolitik.org en conjunto con Greenpeace, filtraron una serie de borradores de algunos anexos del tratado, que sigue en negociación. Se trata de los anexos sobre Telecomunicaciones y sobre Comercio Electrónico, cuestiones clave para el desarrollo de internet. El contenido de estos documentos es sumamente preocupante y merece un análisis en profundidad, pues varios países latinoamericanos están participando de esta negociación, que amenaza aspectos claves de los derechos humanos en internet.

Una mala fórmula para la protección de intermediarios

En una disposición recientemente propuesta por Estados Unidos, se consagra un que puede resultar sumamente perjudicial para la libertad de expresión. El artículo X.X (entre los artículos 11 y 12) del anexo sobre Comercio Electrónico establece que ningún país miembro podrá considerar a un servicio de plataforma interactiva como “proveedor de contenido” al momento de determinar la responsabilidad en daños ocasionados por la información contenida, procesada o distribuida a través de sus servicios. Esto es, que servicios como YouTube, Facebook y otros no serán responsables por el contenido que sea subido a sus plataformas por los usuarios (excluyendo las infracciones a la propiedad intelectual, sujetas a otras reglas).

Al permitir que las plataformas no se transformen en guardianes del contenido que sus usuarios suben, esta cláusula es un importante resguardo para la libertad de expresión en Estados Unidos. La redacción de la propuesta parece estar inspirada en la sección 230 de la Communication Decency Act estadounidense. Sin embargo, la misma propuesta establece que estos mismos intermediarios no serán responsables cuando supriman, de forma proactiva, el acceso o disponibilidad de material “objetable o dañino”, cuando esta acción sea realizada de buena fe. Es decir, se establece la posibilidad de que las plataformas no sean responsables cuando retiren contenidos arbitrariamente, aun cuando este contenido no sea ilegal.

En casos en que el retiro de contenido afecte derechos como la libertad de expresión, corresponde que sean entes imparciales quienes decidan, por ejemplo tribunales de justicia, y no las empresas privadas, cuyas decisiones pueden constituir censura. En estas condiciones, la propuesta permite la censura sin atender a los Principios de Manila. Y la misma irresponsabilidad existiría cuando el retiro o bloqueo se produzca por medios técnicos, como ContentID. Teniendo en cuenta que cada día más servicios acuden a algoritmos para bajar contenido, esta presunción puede proteger a los intermediarios en casos graves de censura automatizada y arbitraria.

Neutralidad de la red, aún más descafeinada

La neutralidad de la red es uno de los principios básicos de internet como lo conocemos, y consiste en que los proveedores de internet deben tratar todos los bits de información del mismo modo, sin bloquear o privilegiar conexiones mientras no haya fundamento legal.

En el anexo de Comercio Electrónico (artículo 7.1 a), se reconocen los beneficios del acceso y uso de servicios y aplicaciones en internet, sujeto a la gestión razonable de redes. A esa “gestión razonable”, la Unión Europea propone agregar “no discriminatoria”, como permiten varias reglas de neutralidad de la red hoy vigentes para la gestión del tráfico de datos. No obstante, Estados Unidos y Colombia se oponen a la incorporación de dicha expresión, mutilando así un aspecto clave del principio de neutralidad de la red. También resulta desconcertante que el resto de los países de América Latina, muchos de los cuales ya cuentan con legislación que consagra la neutralidad de la red, no estén apoyando la incorporación de este concepto clave.

Desprotección de datos personales

Uno de los puntos más sensibles sobre TPP y TiSA ha sido el estado de la protección de datos personales frente al defendido principio de la libertad en el flujo de datos. En un contexto de continuo desencuentro entre la Unión Europea y Estados Unidos por la protección de datos tras las revelaciones de Snowden, TiSA aparece como una oportunidad clave para que la libre circulación de la información, a favor del comercio, eluda las trabas que le significan los derechos de las personas sobre sus datos.

Al igual que TPP, TiSA (artículo 4.3 del anexo de Comercio Electrónico) contiene disposiciones que obligan a sus países miembro a permitir el tráfico transfronterizo de datos personales, pero sin la obligación de certificar que el país receptor mantiene un nivel adecuado de resguardo de la privacidad o de protección de datos personales, sino proponiendo flexibilidades y exigencias blandas de protección similar. El borrador filtrado también prohíbe que los países condicionen la entrega de un servicio al hecho de que el servidor se encuentre ubicado dentro del territorio nacional del país miembro. Aunque en este último caso las leyes de datos personales suelen ser una limitación válida, no todos los países cuentan con tales reglas.

¿Entorpeciendo la difusión del software libre?

Al igual que TPP, el anexo de Comercio Electrónico de TiSA prohíbe a sus países miembro condicionar la comercialización de un software cuyo código sea abierto o revelado (Artículo 6.1). Si bien el artículo 6.3 a) aclara que nada impide a las partes negociar privada o contractualmente, a través de términos y condiciones, que el software sea de código abierto (por ejemplo, mediante una licencia de uso), la prohibición general significa que, de aplicarse estas reglas a la adquisición de software por un Estado (como parece buscar la Unión Europea en el artículo 5 a), el Estado puede encontrarse atado de manos para implementar políticas públicas que impliquen el uso de software libre.

La redacción de esta disposición es peor que la contenida en el TPP, el cual (Artículo 14.17.2) restringe la aplicación de esta prohibición a productos de mercados masivos que contengan tal programa informático, y no incluye los programas informáticos utilizados para la infraestructura crítica de un país. La redacción contenida en TiSA, por tanto, resta soberanía a los estados para implementar políticas públicas relacionadas con el software libre.

Pasos a seguir

Contrario a la creencia de que, por tratarse de un tratado dedicado a la regulación de servicios, TiSA sería poco polémico, la filtración de estos borradores ha confirmado que el secretismo en la negociación supone un riesgo para la garantía de los derechos fundamentales. Debemos exigir a los gobiernos de América Latina que levanten la voz, que negocien de manera transparente, que abran la discusión a la ciudadanía, la academia y la sociedad civil. En lo inmediato, deben también oponerse tenazmente a las disposiciones que vulneran los derechos fundamentales de sus habitantes, y a aquellas disposiciones que comprometen el ejercicio de derechos humanos en internet.

Los peligros del voto electrónico

Sin votos, un sistema carece de legitimidad. El voto es una parte muy importante de la democracia como se entiende hoy, al permitir a la población de un país elegir a sus representantes de manera libre y secreta. Pero además, recoge varios derechos como a la libertad de expresión y a la participación política.

En la actualidad, el voto electrónico surge como una alternativa viable y cómoda en los procesos electorales, tanto para el registro como para el conteo. De acuerdo con quienes han lo han impulsado, este sistema reduciría las posibilidades de fraude electoral y así, contribuiría a restaurar la confianza de la población votante. Los gobiernos que lo han implementado afirman que a través de este se garantiza la seguridad de los votantes, asegurando que el voto será secreto y el proceso electoral será transparente y enfocado a cumplir con una elección democrática de los representantes.

Sin embargo, estos sistemas no han considerado todas las implicaciones existentes en términos de derechos humanos. Por ejemplo, los derechos a la privacidad, a la seguridad o a la protección de los datos personales pueden verse fácilmente vulnerados, pues además de la cantidad de datos que puede recoger el software utilizado, acerca de los y las votantes, los sistemas de votación electrónica pueden ser fácilmente intervenidos o hackeados para afectar los resultados de la votación y cometer fraudes electorales.

¿Qué pasaría en un sistema político si el voto no fuera secreto? Podríamos imaginar persecuciones políticas a quienes votaron por el candidato perdedor, o a personas que se abstuvieron y decidieron no votar. La implementación de sistemas de voto electrónico no asegura que algo así no sucederá, sino que podría propiciar un abuso en el ejercicio del poder en la esfera política.

El desarrollo de la tecnología y el uso del internet permiten la creación de una vida en el entorno digital, con grandes beneficios para las personas y grupos sociales, pero por lo mismo modo ha facilitado el almacenamiento digital de innumerables datos personales, muchos de los cuales atentan contra la privacidad de los usuarios. Esto supone un riesgo en tanto el acceso a los datos personales no solo está habilitado para las personas titulares de dichos datos, sino para cualquiera que tenga interés en ellos.

Los sistemas digitales no son necesariamente seguros. O quizás deberíamos decir que en distintos grados, siempre son susceptibles de ser intervenidos. Así, en relación con el voto electrónico, derechos fundamentales, políticos y electorales se encuentran en riesgo si no se establecen medidas adecuadas para implementar métodos digitales de votación que garanticen procesos democráticos y transparentes de participación.

En el contexto latinoamericano, Argentina y Chile ya están considerando sistemas de voto electrónico. En el caso de Argentina, se han llevado a cabo diversas pruebas piloto para elecciones en sus diferentes provincias. Buenos Aires fue la primera provincia en legislar e implementar dicho sistema. Aunque el establecimiento del voto electrónico se ha dado de manera gradual, durante este proceso se ha ido manifestando la preocupación por parte de ciertos miembros de la sociedad civil sobre algunas vulnerabilidades que podría tener el sistema y las máquinas de votación electrónica.

Además, durante este año se aprobó en la Cámara de Diputados la reforma electoral que incluye la implementación del voto electrónico a nivel nacional. De ser aprobado en el Senado, este sistema, que ha sido fuertemente cuestionado tanto por la comunidad técnica como por activistas de derechos humanos y por la academia, sería utilizado en las elecciones de 2017, por lo que además implicaría un apresurado proceso de implementación. Por eso, instituciones, organizaciones y personas han manifestado su rechazo enfático frente a la adopción de este sistema.

En Chile se está considerando la implementación del voto electrónico debido a la constante abstención de la sociedad durante los procesos electorales. Los criterios que se están tomando en cuenta para el establecimiento del sistema electrónico de votación es la utilización de sistemas de medición biométricos para la identificación de las y los votantes, como por ejemplo, el registro de la huella dactilar.

Brasil, por otro lado, ha automatizado por completo su sistema electoral. Implementó el voto electrónico desde 1996 y, a pesar de que el sistema es considerado “exitoso”, se han encontrado numerosas fallas. Estudios han demostrado que es posible comprometer el encriptado del software y violar la secrecía del voto.

En el contexto latinoaméricano es necesario considerar si el voto electrónico, fácilmente manipulable y que puede impedir de la capacidad de emitir un voto libre y secreto, sea el mecanismo más apto para legitimar la democracia y la protección de los derechos políticos de las personas.

¿Son seguras las contraseñas que estás usando?

Las contraseñas protegen tus información más valiosas: el contenido de tus comunicaciones, el acceso a tus dispositivos e incluso el saldo de tu cuenta bancaria. A pesar de ello, usualmente somos negligentes a la hora de crearlas. Es cierto, crear contraseñas es dífícil y todavía más tener que recordarlas. ¿Qué hacer? ¿Cómo sé si las contraseñas que estoy usando son realmente seguras? Steffania Paola, miembro del equipo técnico de Derechos Digitales y Mozilla Fellow 2016-2017, nos da algunos consejos y herramientas.

¿Cuáles son los riesgos asociados al uso de una contraseña insegura?

Cuando usas una contraseña insegura o demasiado sencilla de adivinar, te vuelves vulnerable. Existen programas que pueden ser usados por cibercriminales para intentar descubrir tus contraseñas o puedes ser víctima de la llamada “ingeniería social”, la práctica de obtener información confidencial a través de la manipulación de usuarios.

Cuanto más sencilla es una contraseña, más rápidamente puede ser adivinada.

[left]Cuando usas una contraseña insegura o demasiado sencilla de adivinar, te vuelves vulnerable.[/left]

¿Cuándo podemos considerar que una contraseña es segura?

Una contraseña se considera segura cuando cumple los siguientes requisitos:

  • Es larga: Cuanto más larga es la contraseña, es menos probable que un computador sea capaz de descifrarla en un lapso de tiempo razonable. En rigor, es posible descifrar cualquier contraseña si se tiene suficiente tiempo, por lo que debemos aspirar a que sea muy trabajoso descifrar las nuestras.
  • Es compleja: Si es posible, siempre incluye en tu contraseña letras mayúsculas, minúsculas, números y símbolos, como signos de puntuación.
  • Es impersonal: Tu contraseña no debe estar relacionada a ti de manera personal: evita usar fechas importantes como tu cumpleaños, el nombre de un pariente o de tu mascota, ni de cualquier información que sea fácilmente asociada a ti.
  • Es secreta: No compartas tu contraseña con nadie a menos que sea absolutamente necesario.

Además, una contraseña debe ser escogida de modo que si alguien la descubre, el daño sea mínimo. Para ello, hazla única: Evita usar la misma contraseña para más de una cuenta.

¿Es necesario cambiar tus contraseña de forma regular?

Si bien es una recomendación recurrente, lo cierto es que si cumplimos las recomendaciones anteriores no es necesario actualizar nuestras contraseñas de forma regular. De cualquier forma, no hace daño, en la medida en que seamos capaces de recordar nuevas contraseñas largas, complejas y únicas. Para ello, la ayuda de un gestor de contraseñas es clave.

Al crear nuevas contraseñas, muchas veces se nos recomienda (y a veces se nos impone) usar caracteres poco usuales, números y combinar letras mayúsculas y minúsculas. ¿Es esto efectivo realmente?

Es efectivo, pero no garantiza la inviolabilidad. Cuanto más compleja es la contraseña, más difícil es descubrirla. Si usamos una mayor cantidad de elementos distintos en una contraseña (como letras mayúsculas, minúsculas, símbolos, etc.) se agrega una capa de seguridad contra los programas que intentan adivinarlas.

Estos programas funcionan por ensayo y error, y pueden estar diseñados para aprender palabras y nuevas combinaciones. Entonces, no garantiza que tu contraseña nunca será adivinada, pero puede costar más trabajo.

Ahora que tengo mi contraseña segura, ¿qué otras medidas complementarias puedo aplicar para resguardar mi información personal?

-Usar un gestor de contraseña, como KeePassX, es una buena idea. Se trata de una aplicación capaz de generar claves aleatorias y seguras.

Como sabemos, memorizar una contraseña bien pensada para cada cuenta en la práctica es inviable, Keepass puede ayudarte a crear una contraseña aleatoria, sin patrón o estructura, una contraseña difícil de adivinar. El programa es capaz de elegir contraseñas como «mRyKEQ3p$KdkpCRJxjl0v». Pero no te preocupes: el administrador de contraseñas las recuerda por ti, así que solo debes aprenderte una contraseña maestra y nada más. Es muy fácil de usar y además es gratis.

-Activa la autentificación de dos pasos (2FA). De esta manera, cada vez que se abre sesión en un nuevo dispositivo, te envían un mensaje a tu teléfono con una segunda contraseña. Esto significa que aunque alguien obtenga acceso a tu contraseña primaria, no podrá acceder a tu cuenta, a no ser que también esté en posesión de tu teléfono móvil. De esta forma, 2FA ofrece mayor protección al comprobar tu identidad por más de un método. Servicios como Facebook, Twitter y Gmail poseen esta característica.

Encuentra más consejos de seguridad digital acá.

Teléfonos que vigilan

Israel Leiva & Gisela Pérez de Acha

Los smartphones son parte de nuestra vida cotidiana más íntima. Todo lo que decimos, hacemos y pensamos, a dónde vamos, las cosas que buscamos y queremos, pasa por nuestro teléfono celular. Desde redes sociales al correo electrónico, parte importante de nuestra vida personal y profesional transcurre a través de estos aparatos.

Por eso los celulares son el objetivo perfecto si alguien está interesado en vigilarnos. No importa si es Android o iPhone, está comprobado que los teléfonos son la puerta principal a través de la cual los gobiernos, las empresas y los criminales acceden a nuestra información. La puerta es aún más ancha si como usuarios no tomamos precauciones para evitar que estos actores se infiltren en nuestros aparatos, por ejemplo, a través de software malicioso.

Un ejemplo reciente viene a colación a partir del último informe de la organización canadiense Citizen Lab sobre un tipo específico de software malicioso llamado “Pegasus”, comercializado por la empresa NSO Group.

Pegasus explota vulnerabilidades en el iPhone para obtener acceso a la información en él contenida. El informe documenta el caso del periodista Rafael Cabrera —uno de los principales encargados de la investigación que reveló escándalos de corrupción del presidente mexicano— quien recibió una serie de mensajes de texto donde alguien posaba como una agencia de noticias y referían a su vida personal y profesional de forma sospechosa. Si hubiera dado clic (cosa que al parecer no hizo) se habría infectado: todos sus mensajes, ubicación, historiales y conversaciones hubieran sido interceptados.

En lo que respecta a Android, la lógica es parecida. Vía vulnerabilidades en sus aplicaciones (un tipo de archivo llamado APK) se reportaron infiltraciones a periodistas en Irán. Si el usuario descarga estas aplicaciones maliciosas se puede acceder a todo el contenido de su teléfono. Ya en 2015 la organización Lookout descubrió lo que se conoce como “adware troyanizado”, una aplicación maliciosa que se disfraza de otra común, como podría ser Facebook, Twitter, CandyCrush o Snapchat, y permite que criminales accedan a información sensible en nuestros teléfonos. En Brasil y México cientos de miles de usuarios fueron afectados.

Si bien el panorama puede parecer alarmante, el malware utilizado en el iPhone cuesta alrededor de un millón de dólares y no tiene a los usuarios comunes como objetivo principal. Sin embargo, en términos generales, es importante seguir algunos pasos mínimos de seguridad: no abrir documentos y enlaces cuyo origen desconozcamos; nunca confiar en personas o servicios que nos piden nuestras contraseñas; verificar con quién efectivamente hablamos y no instalar archivos APK o aplicaciones de fuentes no confiables.

Un ejercicio responsable y consciente de nuestra vida en línea nos puede proteger contra ataques de empresas, gobiernos y criminales, y salvaguardar nuestros documentos e informaciones personales, y así existir de forma segura en internet.