Temática: Seguridad digital

¿Son estas las armas de espionaje de la NSA?

El pasado lunes, un desconocido grupo de hackers llamado The Shadow Brokers anunció haber obtenido archivos confidenciales de Equation Group, uno de los grupos abiertamente asociados a la NSA y los principales sospechosos del desarrollo de importantes armas de malware como Stuxnet o Flame. The Shadow Brokers inició una subasta millonaria por los archivos obtenidos, al mismo tiempo que publicaron parte de su botín como prueba de sus logros.

Si bien es imposible saber con certeza cuántas veces un grupo o servicio ligado a la NSA ha sido hackeado, esta es la primera vez que alguien indica haberlo hecho. La publicación de parte de los ficheros obtenidos le ha quitado el sueño a un buen número de profesionales y aficionados a la seguridad informática, que por primera vez tienen la posibilidad de observar y entender parte del arsenal digital con que cuenta la NSA.

Antes de avanzar es bueno recordar que el objetivo de la NSA es el espionaje masivo, es decir que -a diferencia de Hacking Team o Gamma International- no suele atacar a dispositivos específicos, sino a parte de lo que se suele denominar “infraestructura crítica”.

Objetivo: Firewalls

Gran parte de los ficheros están programados en python, un lenguaje que facilita mucho su lectura y donde es relativamente fácil encontrar pistas de qué hace qué en un programa. Es así como podemos saber que un buen número de las herramientas indican estar destinadas a firewalls.

Un Firewall es un dispositivo que se encarga de controlar el tráfico en una red de acuerdo a ciertas reglas definidas. Es la primera línea de defensa para impedir desastres en empresas, universidades, centros de salud y otros, protegiendo de ataques masivos a un gran número de ordenadores bajo su protección.

Las herramientas desarrolladas por Equiation Group serían exploits, un pequeño programa que aprovecha una vulnerabilidad de seguridad del sistema para conseguir un comportamiento anómalo. Dentro de los exploits más graves se encuentran los llamados “Remote Control Execution” o RCE que permiten a alguien ejecutar código sin tener acceso al dispositvo.

Entre los objetivos se encuentran modelos de firewall de Cisco PIX/ASA, Juniper Netscreen y Fortigate entre otros. Lo listado a continuación es la información que existe hasta el momento:

EGREGIOUSBLUNDER: Es un exploit que permite ejecución de código remoto (RCE) para firewalls Fortigate, afectando a 12 modelos específicos.

ELIGIBLEBOMBSHELL: Es un RCE para firewalls TOPSEC desde la versión 3.2.100.010.1_pbc_17_iv_3 a la 3.3.005.066.1. A este exploit le acompañan WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, una serie de programas que permiten el control del dispositivo tras la ejecución de ELIGIBLEBOMBSHELL.

ELIGIBLECANDIDATE: Es otro RCE que aprovecha otra falla de seguridad en la misma área en firewalls TOPSEC, afectando las versiones 3.3.005.057.1 a la 3.3.010.024.1.

ELIGIBLECONTESTANT: Es otro RCE también para firewalls que apunta a los mismos firewalls de ELIGIBLECANDIDATE, pero usando otra falla en su seguridad.

EXTRABACON: Es un RCE que afecta a Cisco Adaptive Security Appliance (ASA) en 15 distintas versiones. Usa una vulnerabilidad del protocolo SNMP y requiere como requisito saber el tiempo en línea como la versión de software.

EPICBANANA: es un exploit para escalar privilegios, esto significa poder ejecutar comandos de administrador en el dispositivo. Su objetivo son también los Cisco ASA y Cisco Private Internet eXchange (PIX). Usa una falla de seguridad, bastante común lamentablemente, que es usar las credenciales de acceso por defecto (la contraseña es cisco). Afecta a 15 versiones ASA y 7 PIX.

ESCALATEPLOWMAN: Es otro exploit para escalar privilegios, esta vez contra firewalls WatchGuard, sin conocerse aún las versiones afectadas. Se ejecuta mediante una inyección de código en el comando ifconfig.

BOOKISHMUTE: Exploit contra un firewall aún no identificado que ejecuta Red hat 6.0

FALSEMOREL: Permite usar el hash de una contraseña para escalar privilegios en un firewall no especificado. Requiere telnet habilitado para ejecutarse.

ELIGIBLEBACHELOR: Sirve para introducir un exploit desconocido hasta el momento en firewalls TOPSEC.

Gravedad

Varios de estos exploits son 0day (día cero), término con que se conocen las fallas de seguridad que son explotables sin tener parches por parte de sus desarrolladores. Varios de estos archivos datan de 2013, lo que implica que al menos durante tres años la NSA no informó a los fabricantes de firewalls sobre estas vulnerabilidades en sus sistemas y pudieron ser usadas.

Por la cantidad de dispositivos, EXTRABACON es posiblemente la herramienta de mayor gravedad. Si bien no está recomendado que estos routers dejen disponible SNMP en internet, una búsqueda rápida indica que en América Latina hay miles de estos dispositivos posiblemente vulnerables: más de 5200 en Brasil, casi 2000 en México, sobre 1100 en Chile  y casi 1000 en Colombia.

Combinando la nula responsabilidad de la NSA de informar los fallos de seguridad que detecta y la poca responsabilidad local de asegurar nuestras redes, miles de equipos han estado a merced de hackers durante años y hoy, por la libre disposición de estos ficheros, están a merced de cualquiera que se tome el tiempo de leer un poco

¿Cuáles son las responsabilidades que conlleva una filtración?

Hace pocos días, se supo de la filtración masiva de unos 20.000 mensajes de correo electrónico del Partido Demócrata, en el contexto de la controvertida carrera presidencial que tiene lugar en Estados Unidos. La filtración ocurrió en un momento clave: justo previo a la realización de la convención del partido, en que Hillary Clinton ha sido ungida como la candidata que hará frente a Donald Trump. Incluso se ha llegado a decir que Trump se habría asociado con el Gobierno ruso para llevar a cabo la filtración y perjudicar campaña demócrata, lo que por supuesto el implicado niega tajantemente.

Más allá de las acusaciones, la filtración sirvió para exponer ante los votantes las maquinaciones políticas en el partido de Clinton. En los correos quedaba en evidencia cómo la presidenta de la Convención Nacional Demócrata, Debbie Wasserman Schultz, junto a otros funcionarios, planearon la forma de perjudicar la campaña de Bernie Sanders para favorecer a Clinton. Se logró comprobar así algunas de las denuncias de la campaña de Sanders acerca de los obstáculos que la misma presidenta de la Convención había puesto a su campaña durante las primarias. El escándalo ya le costó el puesto a Wasserman Schultz, ante demandas de responsabilidad por una conducta considerada inapropiada.

La opacidad con la que actúan quienes están llamados a representarnos y la carencia de acceso suficiente a información que debiera ser pública, ha motivado el actuar de organizaciones y hackers anónimos, como aquellos que revelaron la información en casos como Hacking Team y los Panama Papers, hace algún tiempo. Sin su participación, probablemente la opinión pública jamás habría llegado a saber lo que estaba sucediendo en sus países, frente a sus propios ojos. Sirven estos actos como una forma de desnudar al poder y poner luz sobre la excesiva opacidad en que se desempeñan labores de interés público, que pesa sobre el derecho fundamental de acceso a la información pública, y en general, sobre la posibilidad de poder hacer un adecuado control ciudadano del ejercicio de los poderes.

En este sentido, la actividad desarrollada por quienes liberan la información constituye una forma de lograr transparencia de manera forzada, fiscalizando paralelamente a quienes ejercen poder incluso donde la ley no ha sido capaz de llegar. Desde esta perspectiva, se trata de una actividad que beneficia y fortalece las democracias.

Sin embargo, desde la perspectiva opuesta, se trata de actos que arriesgan seriamente a las personas cuyas comunicaciones salen a la luz.

Por una parte, porque ponen de manifiesto la vulnerabilidad de los sistemas frente a ataques informáticos de distinta naturaleza, que culminan en accesos no autorizados a esas comunicaciones. No todas las personas manejan el mismo nivel de influencia en las esferas de poder políticos; pero sí están sujetas a la misma vulnerabilidad, o incluso mayor, si sus sistemas de comunicación son los mismos.

Por otra parte, porque la privacidad se ve comprometida con cada acto de publicación de mensajes que, en principio, entendemos como comunicaciones privadas dignas de protección. El interés sobre el contenido de esos correos, no puede hacernos olvidar la importancia del resguardo de los derechos de quienes los intercambian. Esto es todavía más grave cuando, además de haber una intrusión en mensajes de correo electrónico, existe publicación de los mismos. Es decir, cuando quienes no son parte del poder ven expuesta al público su información personal.

Sería ilusorio no reconocer que pueden existir riesgos asociados y ejemplos recientes dan cuenta de ello. Así sucedió hace muy poco en Turquía, país en que tras un intento de golpe de estado, se filtró una gran cantidad de correos electrónicos, supuestamente provenientes del presidente en ejercicio, Erdogan, en la que también se vio involucrada Wikileaks. El Gobierno turco ha ordenado el bloqueo de redes sociales en varias ocasiones, provocando un rechazo generalizado por parte de los defensores de las libertades en internet. Sin embargo, la revisión posterior de la información liberada dio cuenta de que, en realidad, no había información que emanara de Erdogan o de su círculo cercano, y lo que es aún más grave, hizo públicos datos personales de cientos de mujeres turcas que podrían ver seriamente afectada su seguridad personal.

Esta acción ha levantado fuertes críticas contra Wikileaks. Este escenario podría terminar restándole credibilidad a un mecanismo de transparencia que ha probado ser muy útil en otros casos; e incluso, en el largo plazo, justificando a los ojos del público el bloqueo de sitios o apagones de internet, como parte de una estrategia de defensa de los gobiernos, diluyendo así el objetivo inicialmente perseguido.

En síntesis, tanto el hackeo como la publicación de las filtraciones son formas de participar del debate público que pueden significar grandes beneficios, pero a la vez acarrean grandes riesgos. Es importante terminar con la persecución de whistleblowers y darles protección legal, y a la vez, participar del debate público y mantener prácticas responsables en la publicación de filtraciones cuando pueda haber personas involucradas.

Una de las formas de responsabilidad es comprender el contexto en que se producen esas filtraciones y trabajar con personas locales para reducir riesgos asociados a la publicación de información. Son estas mismas razones las que han llevado incluso a levantar plataformas digitales para facilitar la denuncia de actos de corrupción, resguardando el anonimato y protegiendo las comunicaciones mediante el uso de cifrado. Ejemplos notables en Latinoamérica existen con Mexicoleaks, inaugurada a principios del año 2015, y más recientemente con Peruleaks.

Los riesgos de las filtraciones existen, y pueden constituir un precio demasiado alto a pagar para suplir un adecuado acceso a la información de interés público. Mientras reglas e instituciones no respondan adecuadamente a las necesidades de transparencia, el acceso seguirá existiendo por vías alternativas, más o menos formales, que están lejos de ser neutrales en su accionar, con relativos grados de confiabilidad y, aún más lamentablemente, sin el necesario compromiso por el respecto de las garantías fundamentales de los ciudadanos.

Una filtración que pone en peligro la democracia mexicana

Los datos de 93.4 millones de votantes mexicanos se filtraron y publicaron en el servidor de Amazon Cloud. Se trata de identificaciones básicas, fotografías y direcciones del 75% de la población mexicana. El investigador Chris Vickery dio con la información. No estaba protegida por contraseñas, no estaba en venta y cualquiera la podía bajar. Hizo lo posible por retirarla cuanto antes. Denunció ante Amazon, alertó al Departamento de Estado de Estados Unidos y previno a la Embajada de México en Estados Unidos. Le hicieron poco caso.

Se trata de una grave vulneración de normas básicas de protección de la información personal: una enorme cantidad de datos personales disponible en un servidor extranjero, sin medidas de protección, por largo tiempo. La base de datos estuvo en línea durante ocho días hasta que el Instituto Nacional Electoral (INE) se dio cuenta y pudo eliminarla. Según declaraciones del presidente del INE, no es que alguien hubiera hackeado o infiltrado la información, sino que existió un manejo negligente por parte de uno de los estamentos más cuestionados del sistema mexicano: los partidos políticos.

Los datos que aparecieron en internet coinciden con la lista de electores que había sido entregada en febrero de 2015. Según la ley, un mes antes de las elecciones se entrega a los partidos políticos la lista final de las personas que obtuvieron su credencial para votar, para que puedan vigilar y revisar la información. Por si fuera poco, a cada partido se le entregan casi 64 millones de pesos (1.100 millones de dólares) para llevar a cabo estas tareas.

Durante el tiempo que la información estuvo en línea, cualquier persona la pudo descargar. En un país con altos índices de secuestro y extorsión, el crimen organizado podría ser el primero en beneficiarse. Basta un nombre y apellido para saber dónde vive la persona, cuántos años tiene y cómo se llaman sus padres. En términos de acoso por razones de género también es complicado: de las redes al mundo real, cualquiera podría seguirnos y acosarnos en nuestro hogar. El caso de la periodista Andrea Noel es ejemplar: fue acosada en la calle, lo denunció por internet y en una ocasión la siguieron hasta su casa para amenazarla y apuntarle con un láser en la frente.

Fue posible deducir que el origen de la filtración fue un partido debido a que la llave USB en que el INE entregó la información tiene una “huella digital. Estos datos son estrictamente confidenciales y no pueden comunicarse o darse a conocer. Por lo mismo ya hay un procedimiento ante la Fiscalía Especial de Delitos Electorales. La sanción para la persona que lo haya filtrado, según el Código Penal, va de uno a cinco años de cárcel, además de la suspensión de su cargo.

Sin embargo, aunque exista una reacción penal, estamos frente a un caso de negligencia inexcusable. No es solo un atentado a la privacidad, a la seguridad y un riesgo a las personas sino que compromete el sistema democrático mexicano.

El actuar irresponsable de los partidos políticos amerita no sólo una sanción, sino que además se debe notificar y reparar el daño a todos los ciudadanos afectados. Pero más importante es que filtraciones como esta no deberían ocurrir. Todos los países de la región necesitamos mejores leyes y mecanismos para asegurar una protección óptima de la información personal. En el contexto de la discusión de la Ley General de Datos Personales en Posesión de Sujetos Obligados, esto debe tomarse en cuenta.

¿Vuelve el secreto de sumario a Chile?

Gran polémica ha causado una indicación contenida en la agenda corta antidelincuencia que pretende sancionar las filtraciones de información de los juicios criminales, con una pena no menor a 540 días de prisión a cualquiera que violare el secreto de la investigación.

Las reacciones han sido diversas: algunos estiman que la medida trae de vuelta el secreto de sumario que regía en el antiguo sistema penal, por lo que significa un retroceso; otros consideran que se trata de una necesidad frente a las continuas fugas de información relevante para una investigación en curso y que incluso pueden hacerlas fracasar.

Uno de los puntos que más suspicacias ha levantado tiene que ver con quiénes podrían resultar afectados por la medida. De manera excesivamente amplia, la norma se refiere a “quienes violen las normas sobre secreto”, sin más detalles, por lo que resultaría aplicable literalmente a cualquiera que se encuentre en el supuesto dado. Aunque se ha dicho que la medida no está destinada a acallar periodistas y medios de comunicación, la propia norma no resulta ser suficientemente precisa, pudiendo prestarse para esos fines, mermando la necesaria libertad de expresión e información que ha de existir en un estado de derecho democrático.

Una vez más asistimos a la tramitación de un proyecto que deja mucho que desear en el uso del lenguaje a la hora de legislar, dejando brechas que requieren que quienes han propuesto la norma salgan a dar explicaciones respecto a su aplicación, olvidando que esta debe bastarse a sí misma. Este tipo de imprecisiones no pueden ser aceptadas cuando el precio a pagar podrían ser los derechos fundamentales.

Se trata de una propuesta que, además, llega en un momento poco oportuno para Chile, abarrotado de casos de corrupción que afectan a distintas instituciones y personajes públicos, de manera transversal, por lo que para algunos se está legislando por la contingencia. Y hay que reconocer que muchos de los casos que hoy llenan las páginas de los periódicos nacionales no serían de público conocimiento de no ser por estas filtraciones.

Por cierto, las filtraciones siempre han existido, tanto en Chile como en el mundo, así como la figura del whistleblower, aquella persona que alerta respecto a actividades ilegales, antiéticas o incorrectas en una organización pública o privada, y que en los últimos años ha alcanzado gran visibilidad gracias a figuras como Edward Snowden, Chelsea Manning y WikiLeaks. Las posibilidades que entrega la tecnología para denunciar abusos y trabajar colectivamente en su difusión a través de la red debe ser un punto central en la discusión respecto al quehacer periodístico en el siglo XXI.

De modo que nuevamente nos encontramos frente a una norma inserta en un proyecto que ignora la evolución e impacto propios del periodismo de investigación y su relación con la red, donde las dinámicas son distintas a las de los medios tradicionales.

Nos enfrentamos a una propuesta que, en el mejor de los casos ignora (y en el peor, intenta aplacar) un deseo creciente de la ciudadanía por monitorear y hacer responsables de sus acciones a las instituciones sociales, que encuentra en internet una eficaz herramienta para informarse.

Es probable que en el marco de una investigación criminal este deseo ciudadano resulte contraproducente, perturbador, incómodo e incluso inoportuno para los fines que se persiguen, pero no parece que sanciones tan severas y aplicables a cualquier involucrado sean el camino adecuado. Más bien parecen ser una medida desesperada, destinada a poner atajo a la creciente demanda social por información oportuna acerca de cómo opera la justicia, a propósito de los procedimientos criminales.

Hace 15 años atrás la justicia chilena sufrió un profundo cambio, orientado hacia la transparencia, limitando el secreto a un ámbito excepcional y salvaguardando la libertad de expresión y de información. El proyecto en cuestión apunta en la dirección contraria.

Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión  del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y  la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.

Agenda antidelincuencia quiere aumentar sin justificación el poder de espionaje del Estado

A comienzos del 2015, el gobierno de Chile ingresó al parlamento el proyecto de ley que “Facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como la agenda corta antidelincuencia.

Si bien, hasta el momento el debate público ha girado en torno a la más polémica de estas medidas, el control preventivo de identidad, es preocupante cómo otras medidas propuestas por el Legislativo, que pueden resultar igualmente atentatorias contra los derechos de las personas, no han recibido el nivel de debate público que requieren. Esto ocurre con la propuesta de interceptación de comunicaciones por simples delitos.

Estando el proyecto en segundo trámite constitucional, los senadores Espina, Harboe y Larraín presentaron una indicación cuyo objetivo es extender la facultad del ministerio público para, previa autorización del juez de garantía, interceptar comunicaciones telefónicas o de otras formas de telecomunicación.

En efecto, el artículo 222 del Código Procesal Penal restringe la posibilidad de interceptar comunicaciones a aquellos casos donde la supuesta conducta del sospechoso pudiese merecer pena de crimen, y sólo cuando ésta resulte imprescindible para la investigación. De aprobarse el proyecto con la indicación, esta facultad se extendería a ciertas conductas punibles con pena de simple delito, como robo en lugar no habitado, el robo a cajeros automáticos, hasta el hurto de ganado, entre otros.

La restricción de esta figura sólo a hechos castigados con pena de crimen sigue una lógica que el proyecto desconoce de forma peligrosa: la interceptación de comunicaciones constituye una vulneración del derecho constitucional a la inviolabilidad de toda forma de comunicación privada. Como ha indicado el ex relator especial de la ONU, estos derechos sólo pueden limitarse en circunstancias excepcionales, ya que la vigilancia de las telecomunicaciones socava gravemente no sólo la privacidad, sino que también la libertad de expresión.

El sistema actual vela porque dicha limitación sea excepcional al hacerla aplicable sólo a ciertos delitos que resulten lo suficientemente graves para que la intercepción de comunicaciones privadas resulte justificable. El proyecto, por el contrario, infringe este criterio al permitir la vigilancia de comunicaciones privadas para simples delitos ¿Cómo podría considerarse excepcional la interceptación de comunicaciones si se permite para la persecución de delitos menores como el hurto de ganado y la receptación?

Como ha establecido repetidamente el Tribunal Constitucional, para que una ley que pretende limitar derechos fundamentales no resulte inconstitucional, debe cumplir con los requisitos de necesidad y de proporcionalidad. Que una ley sea “necesaria” quiere decir que la finalidad que busca no puede alcanzarse satisfactoriamente por ningún otro medio que resulte menos lesivo para los derechos fundamentales ¿Cumple este criterio la ley corta? Resulta difícil imaginar que no existen otras medidas que permitan combatir de forma más efectiva los delitos menores contra la propiedad, que aumentar la capacidad del Estado para vigilar las comunicaciones privadas de las personas.

El criterio de proporcionalidad exige una ponderación donde se compare el nivel de afectación que producirá la medida con su beneficio eventual. Si la limitación resulta mayor que el beneficio eventual, entonces la medida no cumple con el criterio de proporcionalidad. Es justamente lo que sucede en este caso, ya que no existe evidencia de que aumentar las facultades de vigilancia del Estado permita una persecución más eficiencia de los delitos menores con la propiedad.

En este sentido, de aprobarse el proyecto de ley de agenda corta antidelincuencia, habrá un serio detrimento de los derechos online y offline de las personas. Por otro lado, se seguirá legislando en una materia sumamente sensible para la ciudadanía echando mano a recetas obsoletas que optan el camino fácil y mediático, sin evidencia de su necesidad y proporcionalidad  y con serios problemas de adecuación a un marco de derechos humanos.

Como bien ha señalado la directora de Instituto Nacional de Derechos Humanos, Lorena Fríes, la seguridad también es un derecho fundamental y los ciudadanos tienen el derecho de exigir que el Estado los proteja de la delincuencia, pero ese deber no puede cumplirse afectando gravemente otros derechos y libertades.