Temática: Seguridad digital

Otra mala pasada del Congreso chileno

Mientras México celebra el retiro de la peor iniciativa de ley sobre internet, la Cámara de Diputados en Chile dedica estas semanas a la discusión de una nueva ley de delitos informáticos. Esta debería ser una buena noticia. La sociedad civil y la academia han discutido la necesidad de reformular las reglas sobre delincuencia informática con perspectiva de derechos humanos. Sin ir más lejos, investigadores de Derechos Digitales han manifestado los reparos a la ley actual desde el punto de vista del interés público como también de la técnica legislativa. Sin embargo, lo que nos muestra el nuevo proyecto es un nuevo intento por regular internet desde intuiciones y prejuicios.

Viejos nuevos problemas: sancionar cualquier cosa

La actual ley 19.223 ha sido objeto de críticas desde la academia desde su inicio. Incluso de forma reciente, ha sido denodado el esfuerzo por cuadrar el círculo e intentar salvar los serios problemas que trae en su regulación de los delitos de sabotaje informático y de espionaje informático. Detrás de esos problemas de técnica legislativa, se sigue una práctica de uso reducido, pero selectivo de la ley, para obtener condenas por muy distintos actos. Entre otras cosas, la ley vigente considera “delitos informáticos” actos tan poco cibernéticos como destruir un mouse, dejando a las policías y fiscalía con un peligroso margen de discreción.

El proyecto de ley hace frente a algunos de esos problemas. Por ejemplo, limita sanciones a los ataques contra elementos “lógicos” (es decir, software), y modifica ligeramente la redacción. Al mismo tiempo, agrega agravantes relativas a ataques que involucren a servicios públicos críticos o de seguridad nacional.

[left]Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.[/left]

Por otra parte, modifica el delito de espionaje informático en términos preocupantes. El proyecto sanciona a quien “sin derecho acceda o use información contenida en un sistema de tratamiento de datos”, estableciendo un tipo penal sumamente amplio, que castiga aun a figuras no dolosas, y sin distinguir ni la clase de información ni la forma para acceder a ella. Es decir, convierte en delito “informático” el acto de conocer o usar información, sin hackear nada.

Además, en el propuesto artículo 5º agrega como delito “[l]a tenencia, posesión, producción, venta, difusión, o cualquier otra forma de puesta a disposición de dispositivos, programas informáticos, aplicaciones, claves, códigos de acceso u otro tipo de elemento informático que permitan o faciliten la comisión de delitos”; es decir, prácticamente cualquier acto sobre cualquier tecnología que permita o facilite cometer delito, como por ejemplo, cualquier computador. Sanciona hasta la “tenencia” de un dispositivo que permite cometer delitos, incriminando así a la tecnología, en lugar de preocuparse del uso criminal de la misma.

Finalmente, en el Artículo 9º, intenta agregar como agravante general de delitos el uso de “medios informáticos”. Sin una justificación mínima, el solo uso de sistemas electrónicos hace de cualquier delito algo más grave. Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.

Más facultades para la intrusión

El proyecto de ley considera a los delitos informáticos, tan raramente perseguidos en el sistema chileno, como algo lo suficientemente grave como para necesitar medidas especiales de investigación. Increíblemente, cuando existan “sospechas fundadas” de que se ha hecho o se prepara la comisión de los ambiguos delitos de la misma ley, el artículo 6º del proyecto permite que (previa autorización judicial) se autorice la interceptación o grabación de comunicaciones de quienes sean sospechosos. Y bajo los mismos supuestos, que se autorice el uso de agentes encubiertos o entregas vigiladas de material.

[left]Cuando exista la sospecha de que alguien ha cometido un delito, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de proporcionalidad es echada por tierra[/left]

Se trata de medidas intrusivas usualmente justificadas a propósito de delitos graves o crímenes, pero traídas de forma inexplicable al uso de tecnología. Esto significa, por ejemplo, que cuando exista la sospecha de que alguien ha cometido el delito de “tenencia de dispositivo que facilite el delito”, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de necesidad o proporcionalidad en la capacidad de vigilancia por el Estado es echada por tierra.

La exacerbación de la vigilancia masiva

Durante este año, vimos a la sociedad civil paraguaya triunfar contra la nociva y desproporcionada ley #Pyrawebs, en una lucha ejemplar en el combate a la mala tendencia a la acumulación masiva de información. Este fuerte rechazo se suma a la calificación de la retención de datos de tráfico como contraria a los derechos humanos en Europa. No hay dos lecturas: la recolección de metadatos es una forma de vigilancia masiva, contraria a los derechos humanos. Es una manera de convertir a los ciudadanos en sospechosos, sin delito de por medio.

En Chile, en tanto, esa acumulación de registros de actividad en línea no solamente es legal desde 2004, sino que fue extendida en plazo de seis meses a un año en el año 2011. Pero el nuevo proyecto de ley de delitos informáticos, en lugar de hacer caso de la experiencia paraguaya o del rechazo europeo, hace lo contrario y aumenta la acumulación masiva de datos.

El artículo 10 del proyecto no deja la obligación de registro de actividades solamente sobre las empresas de comunicaciones, sino que pesa sobre cualquier entidad que provea acceso a sistemas informáticos, como “empresas telefónicas, de comunicaciones o de cualquier naturaleza, bancos, establecimientos educacionales, establecimientos comerciales”, y más. Información que debe estar disponible ante un requerimiento de información de parte de la Fiscalía, dentro de veinticuatro horas, sin orden judicial, bajo pena de delito de obstrucción a la justicia.

[left]El proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años.[/left]

Además, la obligación de registro no solamente se refiere a los números IP y sus fechas y horas, sino que extiende la información que se registra a las direcciones físicas asociadas a cada IP. Y lo más grave: el proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años. ¿Es posible aceptar que alguien guarde registros de nuestra actividad, de con quien nos comunicamos, de qué cosas leemos, de cuándo estamos en línea, por quince años? Fuera de una distopía orwelliana, es sencillamente inverosímil. Pero el Boletín 10.145–07 busca exactamente eso.

No a la nueva ley de delitos informáticos

El proyecto de ley de delitos informáticos en Chile representa una oportunidad perdida para actualizar la anquilosada legislación chilena. Además de profundizar los problemas de la ley existente, ignora la experiencia comparada, y elude consideraciones mínimas sobre derechos fundamentales como la protección de la privacidad y el derecho al debido proceso. Asimismo, busca convertir a los proveedores de conexión en informantes de la Fiscalía respecto de todas las actividades en línea de todos los ciudadanos.

Esta forma de regular el uso de las tecnologías como una actividad digna de vigilancia, de sospecha o de sanción agravada, muestra la incapacidad de la clase política chilena por asumir esas mismas tecnologías como un espacio de libertades. También muestra la incapacidad de preocuparse de la persecución criminal de manera sensata, dedicando “herramientas” a las policías sin ponderar la erosión a los derechos fundamentales de las personas.

Institucionalidad de la vigilancia en Chile (2015)

Descargar PDF

Informe realizado como parte del trabajo Derechos Digitales en la Cyber Stewards Network, que busca determinar cuáles son las instituciones habilitadas en Chile para ejercer actividades de vigilancia e inteligencia y bajo qué parámetros legales lo hacen.

Los derechos fundamentales supeditados al comercio internacional

El pasado 5 de noviembre, después de años de negociación secreta y a puertas cerradas, DIRECON liberó los textos de los distintos capítulos que conforman la versión final del TPP. Sin embargo, la negociación del tratado ya había finalizado el pasado 5 de octubre; la versión final del texto es, por tanto, producto de un proceso antidemocrático, poco transparente y contrario a los principios que inspiran a las democracias del siglo XXI.

Hasta el momento, la ciudadanía y la sociedad civil solo habían podido tener acceso y analizar las implicancias de los capítulos de propiedad intelectual, medioambiente e inversiones a través de las filtraciones realizadas por el portal Wikileaks. Sin embargo, el tratado cuenta con 30 capítulos, que regulan temas desde textiles a servicios financieros y asuntos laborales.

El capítulo sobre comercio electrónico establece reglas que, en el caso de ratificarse, moldearán el desarrollo de la economía digital en los años que vienen. Por lo mismo, resulta sumamente preocupante que lo haga solo teniendo en cuenta el interés particular de las empresas transnacionales que han empujado la negociación del tratado, en desmedro de la protección y el ejercicio de los derechos fundamentales de los ciudadanos.

En nuestro país existe cada vez un mayor consenso en la necesidad de actualizar y fortalecer nuestro marco de protección de datos personales, y son varios los proyectos de ley impulsados por el gobierno que van en esa línea. Sin embargo, la aprobación del TPP podría significar que nos veamos amarrados de manos para adoptar reglas que protejan la privacidad de los consumidores y usuarios de Internet.

El artículo 14.11 del capítulo de comercio electrónico obliga a los países a permitir la transferencia transfronteriza de información por medios electrónico, incluso cuando dicha información sea de carácter personal o sensible, sin la consideración de que dicho país cuente con un nivel adecuado de protección de datos personales.

El mismo capítulo permite a los países establecer una excepción a dicha regla, siempre y cuando dicha política pública no constituya una “restricción encubierta al comercio”. Este lenguaje, reminiscente a los mecanismos de solución de controversias de la Organización Mundial del Comercio, implica reconocer que políticas públicas que protegen derechos fundamentales puedan ser considerados como eventuales restricciones comerciales que den pie a litigación internacional.

En otras palabras, el TPP supedita la protección de la privacidad y los datos personales de las personas a los requerimientos del comercio internacional. Cualquier empresa que sienta que la política de protección de datos de un país representa una “restricción encubierta al comercio” podrá demandar ante un tribunal arbitral internacional.

El TPP también incluye una versión descafeinada del principio de neutralidad en la red, elemento clave en el funcionamiento de una internet libre y abierta. Sin embargo, el texto no tiene obligaciones concretas para los países signatarios e incluye una serie de excepciones amplias que pueden ser utilizadas por las empresas para burlar dicho principio.

Por último, el capítulo establece que ningún país podrá exigir que se libere el código fuente de un software de mercado de masas para permitir su importación, distribución, venta o uso. Esta obligación no correría para contratos “comercialmente negociados”. Esto podría dificultar la aplicación de ciertas cláusulas contenidas en licencias de software libre, ya que estas muchas veces exigen que quien utiliza un software libre para crear otro producto, deba hacerlo liberando el código fuente del software derivado.

El rol de la economía digital será cada vez más gravitante en los próximos años. Del mismo modo, la forma en que protegemos la neutralidad en la red y los datos personales de las personas se volverá crucial para la defensa de una Internet libre y abierta. El TPP pretende supeditar todo lo anterior al interés particular de un puñado de empresas transnacionales. No lo permitamos.

Latin America in a Glimpse (2015)

Descargar PDF

Resumen de lo más relevante sobre la situación de los derechos humanos e internet en América Latina durante 2015.

Cómo la paranoia y la ignorancia producen proyectos de ley lesivos para ti e internet

En el marco de la semana de la Ciberseguridad de la Organización de Estados Americanos (llevada a cabo en México con opacidad y poca participación de la sociedad civil) el senador mexicano Omar Fayad presentó la iniciativa de la Ley Federal para Prevenir y Sancionar los Delitos Informáticos.

Para el senador y su partido, internet es un terreno inhóspito y peligroso, un “campo fértil para la delincuencia, que ha encontrado nuevas formas para consumar delitos a través de medios electrónicos.” Bajo este pretexto, su ánimo es en favor de la censura y en contra de la privacidad. Todo con el fin de “protegernos.”

La iniciativa presenta dos problemas principales. Primero, limita el derecho a la privacidad en internet al obligar la retención de datos y facultar a una nueva unidad de la Policía Federal para que “vigile nuestras comunicaciones” [artículo 6, II] y opere “códigos maliciosos” para protegernos. Segundo, pone en riesgo la libertad de expresión en internet porque regula el acoso y la llamada “porno-venganza” de manera excesivamente amplia, además de establecer un régimen de responsabilidad penal para los administradores de sitios de internet.

Pensar en otorgar más facultades de vigilancia es peligroso en un país donde la policía mata a civiles y el gobierno espía a opositores y periodistas. La tendencia debería ser justamente la contraria. La iniciativa faculta a una nueva unidad especializada de la Policía Federal para que “operen laboratorios de códigos maliciosos, electrónica forense y nuevas tecnologías” e intentar así prevenir la comisión de delitos informáticos [Artículo 9, fracción II]. Si bien se castiga con dos a seis años de prisión a quien “utilice armas informáticas o códigos maliciosos”, al parecer, estas sanciones no aplican a las autoridades [Artículo 18].

Por si fuera poco, se reafirman los problemáticos artículos 189 y 190 de la Ley Telecom, extendiendo las obligaciones de retención de datos a proveedores de servicios de internet y no solo a compañías de telecomunicaciones [Artículos 11 y 12].

Por otro, lado se pretende regular dos importantes temas en la agenda de género: el acoso y la divulgación de imágenes íntimas sin consentimiento. Pero sin una perspectiva de género adecuada, la iniciativa toma una postura a favor de la censura en internet.

En primer lugar, el proyecto contempla penas de entre seis meses a dos años de prisión a quien, a través de medios informáticos, “acose, hostigue, intimide, agreda o profiera cualquier forma de maltrato físico, verbal o psicológico en contra de usuarios de internet de forma reiterada y sistemática”. Pero estas categorías son tan amplias que básicamente pueden incluir cualquier tipo de crítica realizada, por ejemplo, a funcionarios o personajes públicos.

En el caso de la “divulgación de imágenes íntimas sin consentimiento” en el artículo 38 se sanciona con entre seis y quince años de prisión a quien, sin consentimiento de la persona afectada, “difunda, publique, copie, reproduzca, comparta o exhiba” imágenes, audio o videos de contenido sexual o erótico. El problema es que la misma pena se quiere aplicar a los administradores de sitios de Internet que no bajen estas imágenes de manera inmediata a solicitud de la persona afectada.

Además de lo poco plausible de este mecanismo (que explique el Senador cómo va a meter a Mark Zuckerberg a la cárcel cuando se publiquen fotografías íntimas en Facebook), lo que se genera es un sistema de monitoreo privado por parte de las empresas y proveedores de servicios de internet, con el riesgo de terminar dando de baja más imágenes de las que deberían, ante las dudas y buscando no ir a la cárcel o pagar grandes multas.

Una iniciativa así debe al menos discutirse públicamente para evitar que la libertad en internet se restrinja de manera desproporcionada, con la justificación de un discurso paranoico.

La acumulación compulsiva de datos personales en América Latina

La semana pasada, la Oficina de Administración de Personal de Estados Unidos admitió el robo de 5,6 millones de huellas digitales, producto de un ciberataque. Esto significa que, por el resto de sus vidas, millones de empleados del gobierno estadounidense tendrán que vivir sabiendo que alguien tiene copia de sus huellas digitales, con consecuencias todavía desconocidas.

La preocupante tendencia a recolectar compulsivamente datos biométricos no es exclusiva de Estados Unidos. En América Latina, varios son los gobiernos que se han empeñado en crear y mantener bases de datos sobre sus ciudadanos cada vez mayores, con el fin de mejorar la prestación de servicios públicos y, principalmente, facilitar los procedimientos de investigación y condena criminal.

El caso paradigmático es el argentino, que desde el año 2011 cuenta con el Sistema Federal de Identificación Biométrica para la Seguridad (SIBIOS), el cual permite individualizar a todos los ciudadanos a través de un software, mediante un convenio con el Registro Nacional de Personas. Con esta herramienta se procesan tanto las fotografías como las huellas dactilares, apoyando así la investigación científica como a la prevención delictual.

Además, en Argentina es requisito presentar el documento nacional de identidad para solicitar la tarjeta de transporte público en Buenos Aires (SUBE), quedando vinculada de forma personal a su usuario y, con ello, individualizados todos sus movimientos por la ciudad. De igual forma, existe un proyecto de ley que busca crear un registro de ADN, despertando importantes cuestionamientos jurídicos, de seguridad y de derechos humanos.

Por su parte, el 27 de julio el gobierno peruano promulgó el Decreto Legislativo 1182, también conocido como Ley Stalker, que faculta a la policía a geolocalizar al sospechoso de un ilícito sin necesidad de una orden judicial, otorgándoles 72 horas para validar la acción en tribunales. Además, la ley obliga a las empresas de telecomunicaciones a almacenar los registros, duración, frecuencia y demás datos de las llamadas telefónicas y navegación por internet de todo Perú, para que pueda ser consultadas en cualquier momento.

Mientras tanto, Paraguay aprobó la implementación de un ticket electrónico para el cobro del pasaje, tarjetas que también serán nominales e intransferibles, similares a las argentinas: cada tarjeta llevará el nombre del usuario y permitirá conocer los destinos de cada pasajero, datos que serán entregados al Poder Judicial en caso de solicitarlos en virtud de una investigación criminal. Cabe mencionar también al fallido proyecto Pyrawebs, que buscaba obligar a los prestadores de servicio de internet a conservar los datos de tráfico de sus usuarios, haciéndolos accesibles al poder judicial.

Aparte de suprimir el derecho a la presunción de inocencia, la recolección masiva de datos personales presenta dos grandes peligros potenciales: el primero – tal como ocurrió en Estados Unidos- es que la base de datos sea robada. En el año 2014, el Registro Civil chileno informó de la copia irregular de 50.481.298 registros relativos a documentación de cédula de identidad y pasaporte de todos sus habitantes; todavía no hay ningún indicio de quién estuvo tras el robo.

El segundo peligro dice relación con el uso que puede hacerse de estos datos para perfilar, por ejemplo, a opositores políticos. Esto, puesto que el análisis que puede hacerse a partir de los datos y metadatos – datos anexos que describen o se refieren a otros, como lo sería la frecuencia de utilización de un bus en particular o la duración de las llamadas telefónicas- es tan poderoso, que pueden predecirse con exactitud hábitos, relaciones sociales, preferencias privadas e identidad del usuario.

Es por ello que el Consejo de Derechos Humanos de las Naciones Unidas emitió un informe que expone como la recolección de datos ha interferido en los derechos a la libertad de expresión y privacidad. La seguridad es un bien público relevante y en el cual todos estamos de acuerdo en que debe ser debidamente resguardado, pero también es necesario analizar la proporcionalidad de las medidas que se están adoptando para su tutela.

Cualquier afectación a derechos fundamentales debe ser sometida a un test de legalidad, necesidad y proporcionalidad, concentrándose el problema en estos últimos dos. El registro y análisis de datos de toda la población escapa a estos parámetros. Identificar a la población completa y saber donde están, con quien están y con cuanta frecuencia visitan una determinada parte de la ciudad –entre muchos otros datos que pueden ser deducidos- no puede ser justificado. La renuncia a la privacidad no debiese ser exigida.

Vigilancia estatal y violaciones a los derechos humanos

*Este artículo fue hecho en conjunto con Gisela Pérez de Acha.

El pasado domingo 5 de julio, la empresa italiana Hacking Team sufrió un ataque informático y una enorme cantidad de su información fue públicamente expuesta: 400 GB de documentos fueron publicados en internet, incluyendo intercambio de correos electrónicos con clientes e, incluso, código fuente.

La empresa fabrica un programa de espionaje llamado Remote Control System -conocido también como DaVinci o Galileo- que vende principalmente a gobiernos y entidades estatales de seguridad. Gracias a las facturas y correos revelados, fue posible verificar que seis países de América Latina se encuentran entre sus clientes: Chile, Colombia, Ecuador, Honduras, México y Panamá.

Según una investigación de Privacy International, Remote Control System es capaz de eludir el cifrado del software de comunicación y registrar llamadas de Skype, correo electrónico, mensajería instantánea, el historial de navegación web y los archivos y fotos del dispositivo, aun si han sido eliminados. Registra cada tecla y botón que ha sido oprimido. Además, puede tomar control de los micrófonos y cámaras del aparato, usándolos para ver y oír a su víctima, y utilizar el sistema GPS para monitorear su ubicación.

Se trata de un sistema altamente intrusivo, que abre la puerta a tremendos abusos y del cual probablemente no sabríamos nada de no ser por esta filtración. Si los estados usan este software sin resguardos mínimos, o si no hay leyes que regulen su uso específico y se vigila a los ciudadanos de manera desproporcionada, estaríamos hablando de serias violaciones a los derechos humanos.

Este tipo de tecnología es tan invasiva, que su adquisición y uso debe sujetarse a los más altos parámetros establecidos en el Sistema Interamericano de Derechos Humanos. Se reconoce que su uso excepcional podría eventualmente ser legítimo, si es necesario para prevenir delitos gravísimos o preservar la seguridad nacional. Pero la mera existencia de leyes que habiliten la interceptación de las comunicaciones no es suficiente; se debe establecer específicamente qué causas puede invocar el Estado para solicitar una intromisión de esta magnitud, siempre debe ser autorizada por un juez y obedecer los principios de necesidad y proporcionalidad.

Del mismo modo, los alcances de estas prácticas deben ser transparentados con mecanismos de fiscalización y control que prevengan y detecten abusos. Dado que se trata de una tecnología difícil de rastrear y fácil de masificar, resulta sencillo y poco riesgoso para los gobiernos hacer mal uso de ella. A la luz del historial de autoritarismo y represión estatal en la región, un estricto control sobre el uso de este y otros mecanismos de espionaje electrónico son necesarios y marcan la diferencia entre una democracia sustantiva y una meramente nominal en los países de América Latina.

Ya hemos sido testigos de cómo estos programas han sido usados para espiar y amedrentar activistas políticos en países de África, América Latina y Medio Oriente. ¿Qué garantías de que este fenómeno no se seguirá extendiendo y se utilice contra periodistas, disidentes y activistas? ¿Dónde están las reglas aplicables a las compañías que producen y comercializan estas tecnologías? ¿Dónde están la transparencia y valores democráticos?

No sabemos si con estos programas se espía a gran parte de la población o tan solo a unos cuantos y, fácilmente, podríamos estar frente a una colusión político-empresarial en contra de los derechos de los ciudadanos. Por ello, como mínimo, los estados deben ser transparentes en el uso y objetivos del programa de vigilancia.

Sociedad Civil de América Latina rechaza software espía de Hacking Team

El domingo 5 de julio se expusieron públicamente 400GB de información de la empresa italiana Hacking Team, dedicada a la comercialización de software de espionaje a gobiernos. Los documentos incluyen facturas, correos electrónicos, datos fiscales, código fuente, entre otros archivos. Las revelaciones permiten entender los alcances a nivel global de Hacking Team, una compañía que fue catalogada en 2013 por Reporteros Sin Fronteras como uno de los “enemigos de Internet”.

El software de espionaje comercializado por Hacking Team, conocido también como DaVinci o Galileo, es un programa que infecta los dispositivos de la persona atacada, permitiendo sustraer datos, mensajes, llamadas y correos. El atacante también obtiene acceso al micrófono, cámara y teclado para registrar imágenes, audio o cualquier otra actividad sin conocimiento de la persona afectada.

En la filtración se halló que seis países de América Latina son clientes de Hacking Team: Chile, Colombia, Ecuador, Honduras, México y Panamá. Dependencias como la Policía de Investigaciones de Chile (PDI), la Secretaría de Inteligencia de Ecuador (SENAIN) la Dirección de Inteligencia Policial de Colombia (DIPOL) o el Centro de Investigación y Seguridad Nacional de México (CISEN) han adquirido licencias de software de control remoto (RCS) a la empresa italiana. En el caso de México, se identificaron hasta 14 contratos individuales con la compañía, por parte del gobierno federal y los gobiernos estatales, algunos de ellos sin facultades legales para la intervención de comunicaciones privadas.

Las organizaciones de la sociedad civil de América Latina rechazamos la venta y adquisición de estos programas de vigilancia, que sin controles adecuados, ponen en riesgo los derechos humanos de la región, por los siguientes motivos:

1.El proceso de compra ha sido realizado con total opacidad. Exigimos que los Estados involucrados realicen esfuerzos para asegurar la transparencia de sus actividades de inteligencia, en particular relativos a la compra y tipo de utilización efectiva de tecnologías que permiten vigilancia informática, ante la posibilidad real de que este software esté siendo utilizado para espiar a activistas y disidentes sin causa justificada. En 2013, la firma Kaspersky ya demostró que DaVinci fue usado para el espionaje de activistas políticos en el Medio Oriente.

2.Debido a los bajos estándares de control legal en la adquisición y uso de las tecnologías de vigilancia en la región, se necesita una discusión abierta en los Congresos nacionales acerca de las leyes que rigen y regulan las actividades de vigilancia, sometidas al escrutinio público. Ante la posibilidad técnica de que estas actividades pongan en riesgo derechos humanos, estas legislaciones deben reflejar los estándares más altos y sujetar las acciones de los organismos de inteligencia a la autorización previa de un organismo judicial imparcial e independiente.

3.Las labores de vigilancia de los gobiernos deben regirse bajo el principio de proporcionalidad, agotando todas las instancias legales posibles antes de violar la privacidad de un individuo. Se debe abogar por las medidas menos intrusivas y por la existencia de puntos de control estrictos. De lo contrario, no solo se violenta el derecho a la privacidad, sino que se atenta contra la libertad de expresión, el derecho a la información, la libertad de circulación y de asociación; así como el completo ejercicio de los derechos humanos.

La empresa Hacking Team y los gobiernos involucrados son responsables de dicho espionaje en la esfera internacional. Exigimos que las empresas tengan como prioridad el respeto de los derechos humanos y no los contratos de prestación de servicios con gobiernos opresores y abusivos. A los Estados, exigimos que respeten los derechos humanos de sus ciudadanos, cesen dichas prácticas ilegales de vigilancia y transparenten el objetivo de la compra de software, el presupuesto público gastado en cada caso y las garantías tanto legales como procedimentales para evitar la violación masiva de derechos.

Adhieren:

Asociación por los Derechos Civiles (Argentina)

Artículo 19 (México y Centroamérica)

ACI-Participa (Honduras)

Contingente MX (México)

Derechos Digitales (América Latina)

Enjambre Digital (Mexico)

Electronic Frontier Foundation

RedPato2 (Colombia)

R3D Red en Defensa de los Derechos Digitales (México)

Fundación Karisma (Colombia)

Hiperderecho (Perú)

Asociación para el Progreso de las Comunicaciones

Data Uruguay (Uruguay)

Tedic (Paraguay)

Fundación para la Libertad de Prensa (Colombia)

Fundación Datos Protegidos (Chile)

¿Son los sistemas electrónicos de votación realmente más seguros?

Hay quienes dicen que elegir a nuestras autoridades en una papeleta es anacrónico, que el papel nos es cada vez más ajeno y que utilizarlo en procesos eleccionarios es hacerlos susceptibles a “errores humanos” e intentos de fraude, mediante fotocopias o el robo de las boletas. El voto electrónico, dicen, haría el sistema más eficiente y solucionaría los problemas anteriores. Pero, ¿acaso las máquinas son infalibles? ¿Son los sistemas electrónicos de votación realmente más seguros?

La decisión sobre el soporte en que votamos depende de la autoridad y legislación electoral de cada país, en pleno ejercicio de su soberanía nacional. Hasta ahora en Latinoamérica, Argentina, Brasil, Ecuador, México, Panamá, Paraguay, Perú y Venezuela tienen sistemas de voto electrónico en diferentes niveles de gobierno y con distintos alcances.

Pero en vez de resolver los problemas de la votación en papel, el voto electrónico los desplaza a un ámbito distinto, con sus consiguientes implicaciones democráticas. Los fraudes ahora pueden hacerse mediante ataques informáticos y manipulaciones a los códigos de las máquinas. Según el proyecto Burla Electrónica, las máquinas para votar tienen tres millones de líneas de código y se necesitan solo tres o cuatro para introducir una programación maliciosa que desvíe votos de un candidato a otro.

En América Latina el debate sobre el voto electrónico tiene una implicación adicional: los mecanismos de elección, voto y conteo se delegan a empresas privadas que tienen el control último sobre los procesos electorales, preferencias y datos privados de los ciudadanos.

En Brasil y Venezuela, países en los que existe el voto electrónico desde 1996 y 1997 respectivamente, los organismos electorales han delegado el sistema de automatizado de la votación a la empresa Smartmatic.

Smartmatic ha sido investigada por su participación en fraudes en las elecciones de Venezuela de 2006 y en Brasil cuando Dilma Rousseff ganó las elecciones en 2014 con apenas un margen de 3.28% sobre su contrincante. Su blindaje frente a ataques externos tampoco es perfecto. A pesar de esto, la empresa sigue con planes para entrar a Ecuador y México.

El poder de la empresa, de origen estadounidense con subsidiarias en los países donde opera, es enorme, pues tiene control sobre el proceso electoral completo, incluyendo hardware y software, tabulación, resguardo, transmisión y adjudicación de resultados electorales. Surge así un nuevo tipo de intermediarios electorales: empresas privadas encargadas de facilitar las transacciones de voto entre los ciudadanos y el gobierno de cada país.

¿Qué regulación y legislación les será aplicada? ¿Cómo garantizar la independencia entre la empresa y el gobierno que la contrató? Frente al voto secreto, un principio democrático básico que impide las presiones externas sobre los votantes, ¿qué hacer para proteger los datos privados y preferencias políticas de los ciudadanos? De manera inevitable, este tipo de preguntas tienen que empezar a plantearse dentro de la regulación de cada país.

El caso de Argentina es distinto. En julio de 2015 se celebrarán “elecciones electrónicas” por primera vez en la provincia de Buenos Aires. El proceso licitatorio sembró dudas, pues en lugar de Smartmatic que a pesar de todo tiene más experiencia, quedó seleccionada la local MSA (Magic Software Argentina): una empresa a la que se acusa de estar relacionada con el Gobierno de la ciudad y porque las condiciones establecidas en la convocatoria fueron diseñadas a su medida.

En suma, las dudas sobra la transparencia y mecanismos de reconteo de votos e impugnación electoral son bastante amplias. El voto electrónico no es una panacea. Para resguardar la democracia hay que poner especial atención en las reglas procesales y sustanciales que la rigen. Votar en máquinas no es la excepción.

Hasta ahora, ningún país latinoamericano se ha hecho el planteamiento sobre el rol de los intermediarios, su poder en las elecciones y cómo regularlos. Para evitar la implementación de tendencias autoritarias en manos de máquinas privadas, tendríamos que empezar a hacerlo.

¿Mejores democracias o más represión y vigilancia?

Internet es indudablemente una plataforma para la libertad de expresión. Lo es no solo porque permite la producción y difusión de nuevos discursos, sino también porque su diseño técnico es sustancial para este propósito: por un lado, es una red descentralizada, una “red de redes” que hace muy difícil -aunque no imposible- controlar la distribución de los contenidos; por otro, se sustenta en el amenazado principio de la “neutralidad de la red”, la no discriminación de los paquetes de datos no importando de dónde vengan, lo que hace que el contenido de un bloguero independiente pueda llegar a su audiencia final con la misma prioridad que el de una corporación o Estado.

La emergencia de nuevos discursos, muchos de ellos no hegemónicos, críticos del poder estatal, corporativo o de organizaciones criminales, es uno de los aspectos más refrescantes de Internet, aunque los niveles de brechas de acceso y uso de esta plataforma, especialmente en Latinoamérica, hagan pensar que el disfrute de este hecho tenga un fuerte componente de género, clase social, etnia y edad.

En este marco, una corriente muy fuerte, e increíblemente optimista, piensa que el mero acceso y uso de Internet es garantía de mayor participación y, por tanto, de mejores democracias.

Sin embargo, ¿nuestras democracias regionales han respondido con mejoras al sistema?

Si se hace una revisión de cómo ha cambiado el marco legal en Latinoamérica solo el año 2014, no hay muchas razones para el optimismo. La creciente criminalización del uso de Internet en diversas iniciativas legales, hacen evidente que nuestras democracias han respondido a la emergencia de discursos críticos, tristemente, con más represión y vigilancia.

Hagamos un somero repaso por solo algunos países de la región.

En Chile hay iniciativas legales tan lesivas para los usuarios de Internet como la Ley de Medios Digitales (Boletines 9460-19 y 9461-19), que busca que los medios digitales tengan la misma responsabilidad que los medios de comunicación tradicional. Su tipificación es tan absurda, que el Facebook o Twitter de cualquier persona pueden ser considerados medios de comunicación y deberán cumplir nuevas y disparatadas obligaciones ante la ley, como “establecer un responsable legal”. Imponer este tipo de cargas a los usuarios de Internet busca desmotivar la creación de contenido crítico en la red.

En México, este año se aprobó la nefasta Ley de Telecomunicaciones, que con amenazas concretas a la privacidad de los usuarios, como la retención de 24 meses de metadatos de comunicaciones, su acceso en tiempo real y sin autorización judicial previa, entre otros tantos problemas, busca poner un manto de vigilancia sobre las personas de tal forma que nunca se sientan libres para expresarse o reunirse a través de plataformas tecnológicas como Internet.

En Paraguay las cosas tampoco son mejores, pues un proyecto de ley busca que los proveedores de servicios de Internet (ISP) rastreen y almacenen los datos del tráfico de sus redes durante 12 meses. Una iniciativa que afecta directamente formas de comunicación fundamentales para la libertad de expresión, como el anonimato que, entre otras cosas, permite la denuncia, la información o la sátira, todos elementos que retan el poder.

Venezuela tampoco es la excepción a esta tendencia, y en su reforma a la Ley sobre el Crimen Organizado, introduce penas de cárcel a las personas que usen las redes sociales u otros medios electrónicos para promover o atacar el orden constitucional o alterar la paz pública, como también la introducción de allanamientos, detenciones y rastreos preventivos, sin necesidad de orden judicial. Esto último más la vaguedad de conceptos, abre las puertas a la represión de cualquier discurso crítico en Internet.

Éstas y otras iniciativas legales, unas ya aprobadas, otras todavía en curso, hacen palidecer lo que para muchos fue la mejor noticia del año a nivel regional: la aprobación del Marco Civil en Brasil. Pese a sus detalles, sigue siendo un paradigma de una regulación construida en un primer momento desde la sociedad civil a través de procesos de alta participación.

La creciente criminalización de la red adoptada por las autoridades de los diversos países de la región solo desnudan la crisis de democracias que han sido incapaces de abrazar una plataforma que puede dar voces y congregar a millones de personas. Todo indica que, lamentablemente, esta tendencia seguirá en el nuevo año y el llamado es, entonces, a reforzar el activismo para fortalecer nuestros derechos humanos en tecnologías como Internet. Ahora se vuelve indispensable.