Temática: Seguridad digital

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.

Agenda antidelincuencia quiere aumentar sin justificación el poder de espionaje del Estado

A comienzos del 2015, el gobierno de Chile ingresó al parlamento el proyecto de ley que “Facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como la agenda corta antidelincuencia.

Si bien, hasta el momento el debate público ha girado en torno a la más polémica de estas medidas, el control preventivo de identidad, es preocupante cómo otras medidas propuestas por el Legislativo, que pueden resultar igualmente atentatorias contra los derechos de las personas, no han recibido el nivel de debate público que requieren. Esto ocurre con la propuesta de interceptación de comunicaciones por simples delitos.

Estando el proyecto en segundo trámite constitucional, los senadores Espina, Harboe y Larraín presentaron una indicación cuyo objetivo es extender la facultad del ministerio público para, previa autorización del juez de garantía, interceptar comunicaciones telefónicas o de otras formas de telecomunicación.

En efecto, el artículo 222 del Código Procesal Penal restringe la posibilidad de interceptar comunicaciones a aquellos casos donde la supuesta conducta del sospechoso pudiese merecer pena de crimen, y sólo cuando ésta resulte imprescindible para la investigación. De aprobarse el proyecto con la indicación, esta facultad se extendería a ciertas conductas punibles con pena de simple delito, como robo en lugar no habitado, el robo a cajeros automáticos, hasta el hurto de ganado, entre otros.

La restricción de esta figura sólo a hechos castigados con pena de crimen sigue una lógica que el proyecto desconoce de forma peligrosa: la interceptación de comunicaciones constituye una vulneración del derecho constitucional a la inviolabilidad de toda forma de comunicación privada. Como ha indicado el ex relator especial de la ONU, estos derechos sólo pueden limitarse en circunstancias excepcionales, ya que la vigilancia de las telecomunicaciones socava gravemente no sólo la privacidad, sino que también la libertad de expresión.

El sistema actual vela porque dicha limitación sea excepcional al hacerla aplicable sólo a ciertos delitos que resulten lo suficientemente graves para que la intercepción de comunicaciones privadas resulte justificable. El proyecto, por el contrario, infringe este criterio al permitir la vigilancia de comunicaciones privadas para simples delitos ¿Cómo podría considerarse excepcional la interceptación de comunicaciones si se permite para la persecución de delitos menores como el hurto de ganado y la receptación?

Como ha establecido repetidamente el Tribunal Constitucional, para que una ley que pretende limitar derechos fundamentales no resulte inconstitucional, debe cumplir con los requisitos de necesidad y de proporcionalidad. Que una ley sea “necesaria” quiere decir que la finalidad que busca no puede alcanzarse satisfactoriamente por ningún otro medio que resulte menos lesivo para los derechos fundamentales ¿Cumple este criterio la ley corta? Resulta difícil imaginar que no existen otras medidas que permitan combatir de forma más efectiva los delitos menores contra la propiedad, que aumentar la capacidad del Estado para vigilar las comunicaciones privadas de las personas.

El criterio de proporcionalidad exige una ponderación donde se compare el nivel de afectación que producirá la medida con su beneficio eventual. Si la limitación resulta mayor que el beneficio eventual, entonces la medida no cumple con el criterio de proporcionalidad. Es justamente lo que sucede en este caso, ya que no existe evidencia de que aumentar las facultades de vigilancia del Estado permita una persecución más eficiencia de los delitos menores con la propiedad.

En este sentido, de aprobarse el proyecto de ley de agenda corta antidelincuencia, habrá un serio detrimento de los derechos online y offline de las personas. Por otro lado, se seguirá legislando en una materia sumamente sensible para la ciudadanía echando mano a recetas obsoletas que optan el camino fácil y mediático, sin evidencia de su necesidad y proporcionalidad  y con serios problemas de adecuación a un marco de derechos humanos.

Como bien ha señalado la directora de Instituto Nacional de Derechos Humanos, Lorena Fríes, la seguridad también es un derecho fundamental y los ciudadanos tienen el derecho de exigir que el Estado los proteja de la delincuencia, pero ese deber no puede cumplirse afectando gravemente otros derechos y libertades.

Solo un cifrado fuerte protege los derechos de la población

Desde los 90 hasta hoy, varios han sido los intentos por regular el uso de cifrado en las comunicaciones personales. La discusión se ha vigorizado tras los ataques terroristas ocurridos en Francia, particularmente los de noviembre de 2015, dado que muchos consideraron que el cifrado habría sido fundamental en la coordinación de los atentados, impidiendo su oportuna detección.

Dichos alegatos son falsos: se comprobó que los terroristas habían coordinado sus acciones por medio de mensajes de texto comunes, no cifrados, perfectamente interceptables por las agencias de seguridad francesas. El problema estuvo a nivel de análisis de estos datos más que en no tener acceso a ellos.

A pesar de esto, autoridades gubernamentales de diversos países han exigido formalmente a las mayores empresas de Silicon Valley que cooperen en el combate al terrorismo y el crimen organizado, demandando una vía de acceso a las comunicaciones cifradas asociadas a estos grupos. ¿Es esto posible sin comprometer la privacidad de todos aquellos que, sin conexiones criminales, eligen legítimamente ejercer su derecho a cifrar sus comunicaciones? La respuesta es un rotundo no.

Los métodos usualmente propuestos son tres. Todos poseen fallas:

Depósito de llaves o “Key Escrow”: consiste en tener una copia de la llave que permite desbloquear el mensaje o archivo cifrado. Esto supone entregar a un “tercero de confianza” la copia de la llave, para que este la almacene en una base de datos. Esto es altamente peligroso, pues los sistemas computacionales no son 100% seguros y alguien con las habilidades suficientes podría acceder fraudulentamente y robar la información. Además, existen incentivos para que el guardian haga uso ilegítimo de las llaves que almacena.

Divulgación de la clave o “Key Disclosure”: consiste en solicitar la entrega de la llave en caso de ser investigado judicialmente. Esta propuesta plantea un problema de proporcionalidad de la medida, dado que para averiguar el contenido de una conversación o un archivo específico, se entrega acceso a la totalidad de las conversaciones y a todos los documentos protegidos.

 Puertas traseras o “Backdoors”: consiste en crear vulnerabilidades introducidas intencionalmente a un sistema informático, las que solo podrán ser explotadas por quienes estén legalmente autorizados y únicamente con fines de seguridad pública. En este caso, no hay cómo filtrar quien ingresa a través de la vulnerabilidad, poniendo en riesgo la integridad, seguridad y confidencialidad del sistema completo, no solo de las comunicaciones privadas, sino que de toda la red.

Actualmente existen otras alternativas para poder perseguir al crimen organizado. Sin ir más lejos, el análisis de metadatos hoy es suficientemente preciso como para predecir con exactitud las conductas de los sujetos analizados, sin siquiera tener que ver el contenido de sus comunicaciones.

Por otro lado, una alternativa que permite balancear el legítimo interés en la seguridad pública, los derechos fundamentales de la población y no comprometer el tráfico seguro de la red, es la solicitud de acceso mediante orden judicial a información cifrada específica, sea una conversación, un correo electrónico o un archivo, cumpliendo así con los parámetros de proporcionalidad.

La posibilidad de cifrar nuestras comunicaciones hoy es de gran importancia, no solo para realizar transacciones delicadas a través de internet, sino que es una condición necesaria -junto al anonimato- para poder efectivamente ejercer nuestros derechos a la privacidad y libertad de expresión en línea, por lo que su uso no puede prohibirse, condicionarse ni limitarse. Solo un cifrado fuerte protege los derechos de la población.

¿Tienen las municipalidades más facultades que el Ministerio Público?

Paula Jaramillo y Claudio Ruiz

A mediados de octubre de 2015, la prensa chilena daba cuenta de la instalación de dos globos aerostáticos en la comuna de Las Condes y uno en Lo Barnechea, supuestamente destinados a incrementar los niveles de seguridad de los habitantes de ambos municipios y a colaborar en la gestión del tránsito de sus calles.

Se trata de tecnología de origen militar: potentes cámaras que flotan sobre las comunas, equipadas con lentes de gran alcance, capaces de efectuar seguimientos en un radio de 3 kilómetros, operadas por una empresa privada y no por funcionarios públicos.

Pero más que una medida adicional para la prevención delictual o el control del tránsito, las cámaras adheridas a los globos municipales constituyen una política de vigilancia masiva arbitraria por parte de las municipalidades, cuyo uso no está autorizado en la ley. Es este el fundamento del recurso de protección en su contra, actualmente en trámite en la Corte de Apelaciones de Santiago.

La defensa de las municipalidades se ha desarrollado tanto en los pasillos de la Corte de Apelaciones como a través de los medios. Allí, los alcaldes han explicado que la seguridad vecinal sería un bien mayor a los derechos de las personas, aun cuando puede que la medida no funcione.

En Tribunales han tratado de equiparar el funcionamiento de los globos al de las cámaras estáticas de control de tránsito, señalando —erróneamente- que los globos solo graban espacios públicos y no privados. También han intentado desacreditar las críticas a través de la recolección generalizada de firmas de vecinos con el objeto de ilustrar el apoyo popular de la medida.

Esta defensa es una simplificación extrema del problema que la instalación de los globos plantea. En este caso, se trata de cámaras con características especiales por su alcance y que han sido ubicadas en una posición de privilegio, capaces no solamente de grabar rostros de personas y patentes de vehículos desde el aire en alta definición, de día y de noche, sino que de traspasar los límites físicos de una propiedad e incluso apuntar sus lentes a través de una ventana, hacia el interior de una vivienda.

Adicionalmente, el eventual efecto disuasivo para los delincuentes no deja de ser una ilusión sin asidero en la realidad. No se registran cambios sustantivos en el número de denuncias de delitos en las comunas involucradas, ni tampoco una baja de las sentencias condenatorias basadas en eventuales pruebas entregadas por las cámaras. Y, aun en el caso de que existiese un eventual efecto disuasivo, no parece ser una medida proporcional a la vulneración real de la privacidad que conlleva.

Más bien somos testigos de un efecto de la vigilancia permanente: la incertidumbre de saber si estamos o no siendo observados cambia nuestros hábitos de conducta, de circulación y de confianza. Aun cuando una cámara no esté efectivamente grabando, el solo hecho de que ella apunte a donde circulamos afecta nuestra privacidad, tal como ha reconocido reciente jurisprudencia en Chile.

Incluso si olvidamos todo lo anterior, la tesis de la defensa de las municipalidades está basada en un curioso absurdo legal: cuando el Ministerio Público, en el ejercicio legítimo de sus funciones, necesita realizar medidas de vigilancia a sospechosos de delitos, debe contar necesariamente con una orden de un juez de garantía. Sin dicha orden, de acuerdo a la ley, estas medidas no pueden ser consideradas prueba en juicio. En el caso de los globos, las municipalidades sostienen que ellas no requieren autorización alguna para realizar estas diligencias, aun cuando la vigilancia no es a sospechosos de un delito, sino a ciudadanos con la mala suerte de vivir o circular en las comunas de Las Condes y Lo Barnechea.

Lo que está en juego en el caso de los globos de vigilancia no es si necesitamos otra medida más para combatir hechos delictivos, sino dilucidar si las municipalidades tienen o no facultades mayores que el Ministerio Público, y si este combate al delito justifica medidas instrusivas y masivas que afectan derechos fundamentales de vecinos y personas que circulan por el sector oriente de la capital.

El agresivo discurso del alcalde de Lo Barnechea en los medios da cuenta de una manera de entender la gestión comunal donde los derechos establecidos en nuestro ordenamiento legal son solo un molesto obstáculo a medidas privadas de seguimiento y control social. Esto no es compatible con el estado de derecho y lleva a conclusiones absurdas que, esperamos, los tribunales chilenos sabrán determinar.

¿Por qué medios y periodistas deberían involucrarse en el debate de la ciberseguridad?

Durante más de una semana fue muy difícil entrar a Página 12, un medio de comunicación argentino que, días después de asumir el nuevo gobierno de Mauricio Macri, recibió un ataque de DDoS (Ataque Distribuido de Denegación de Servicios). Se trata de uno de los ataques informáticos más simples y efectivos: se provoca artificialmente una demanda tal al servidor del sitio web que este no tiene capacidad de responder, por lo que el sitio web aparece caído. Días después, el diario Clarín denunció otro ataque DDOS (que se suma a los cuatro sufridos el 2014).

Pero este año la prensa sufrió además ataques más sofisticados; en El Salvador, por ejemplo, se clonó el diario La Prensa Gráfica y se publicaron dos entrevistas falsas al presidente del periódico, José Roberto Dutriz. Luego de identificar al supuesto culpable, la Sociedad Interamericana de Prensa (SIP) se mostró satisfecha y destacó la importancia de denunciar estos delitos contra los medios y el periodismo libre. En Guatemala ocurrió algo similar: el diario Prensa Libre fue clonado y, según el periódico, se “registró el dominio Prensallibre.com (con doble l) en el cual se copiaron ilegalmente notas del diario y se insertaron ataques contra críticos y rivales del partido Líder, así como una supuesta encuesta”.

En Brasil, el sitio web de Repórter Brasil -una organización de periodistas, educadores y científicos sociales que lucha contra el trabajo forzado y promueve los derechos humanos- fue hackeado y una serie de reportajes de investigación que denunciaba a importantes sectores económicos sufrieron modificaciones. Los orígenes del ataque y sus objetivos están siendo investigados por las autoridades. Para esta organización:

“Los ataques de este tipo son cada vez más frecuentes, tanto en los medios de comunicación grandes y pequeños grupos independientes. Es importante saber quiénes son los autores y sancionarlos de acuerdo a la ley, así como educar a los lectores a ser capaz de juzgar qué información puede haber sido falsificada. También es importante para defender la libertad de prensa como un pilar fundamental de la democracia”.

Los ataques pueden provenir de múltiples fuentes interesadas, desde organizaciones criminales, agrupaciones particulares, individuos, como también del Estado. Recientemente, un nuevo caso de interceptación ilegal de equipos de telecomunicación se destapó en Colombia, donde la misma policía habría interferido y eliminado información del computador de un periodista. Todo gracias a las capacidades brindadas por diversos softwares espías que el Estado ha adquirido en los últimos años.

El reconocido aumento y complejidad de este tipo de ataques en la región exige que los medios de comunicación y organizaciones afines estén a la altura y puedan debidamente proteger y fortalecer el libre ejercicio de la prensa a través de distintos cursos de acción.

Por un lado, es imprescindible que los medios de comunicación y los periodistas comprendan la necesidad de invertir en la seguridad informática de todas las plataformas online que utilizan. Muchas veces los ataques pueden provenir de esfuerzos programados para afectar la libertad de expresión de un medio, mientras que en otras ocasiones son ataques aislados que deberían encontrar resistencia suficiente desde sus potenciales víctimas.

¿Pero qué ocurre con medios independientes que no cuentan con recursos para fortalecer su seguridad digital? Una posibilidad es que exploren modelos de cooperación entre medios y otras organizaciones afines en este sentido, tanto a nivel local, regional e internacional.

Por otra parte, es necesario que los periodistas se formen en capacidades de seguridad digital. Acciones tan simples como el uso de cifrado en sus comunicaciones puede resguardar no solamente la información, sino también asegurar la protección de sus fuentes.

Pero por sobre todo, debido a la la importancia vital que tiene el ejercicio de la prensa libre y la existencia de medios de comunicación independientes para una democracia moderna, es imprescindible su involucramiento en la discusión de políticas públicas sobre ciberseguridad. En un contexto donde la seguridad nacional también pasa por proteger los sistemas, la información y las personas en los entornos digitales, son los medios y organizaciones afines las llamadas también a defender el rol clave de la continuidad del ejercicio periodístico independiente en la red, garantizando derechos como la libertad de expresión y la privacidad.

En tiempos de creciente persecución al anonimato, tecnologías de cifrado y whistleblowers por parte de algunos Estados y otros actores, es fundamental que los medios de comunicación y periodistas de la región comprendan la complejidad del debate sobre la libertad de expresión en las tecnologías digitales y se involucren crecientemente en la defensa de los derechos humanos en el contexto digital: local, regional e internacionalmente.

¿Necesitamos más vigilancia?

Casi inmediatamente después de producidos los ataques del pasado 13 de noviembre en París, aparecieron voces solicitando mayores facultades para vigilar las comunicaciones en línea, con la esperanza de que con ello sea posible evitar que se comentan actos tan atroces.

Particularmente se culpa al cifrado, señalando que así los terroristas habrían logrado comunicarse y coordinar los ataques sin lograr ser interceptados y detenidos a tiempo.

Sin embargo no es correcto concluir que el cifrado ha hecho más difícil prevenir el terrorismo, haciendo nuestras sociedades más inseguras. La confusión probablemente nace de la forma en que comúnmente se concibe dicho cifrado, asociándolo inmediatamente con el ocultamiento de información necesariamente negativa, lo que sumado a la convicción de que quien no hace nada malo nada tiene que ocultar, dan pie a la ya clásica tensión entre privacidad y seguridad.

En primer lugar, no hay pruebas de que los terroristas utilizasen servicios de mensajería cifrada para comunicarse. Por otra parte, es lógico que quienes realizan este tipo de crímenes procuren buscar los medios de comunicación que sean más eficientes y más seguros para sus fines, aunque no sean de última tecnología.

Por otro lado, todo parece indicar que algunos de los miembros del grupo que ejecutó los ataques ya estaban siendo objeto de algún tipo de vigilancia por parte de las autoridades, sin que ello fuera suficiente para lograr evitar la tragedia.

Hay que considerar que actualmente los sistemas vigilancia permiten recolectar gran cantidad de metadatos o registros de actividad a relativamente bajo costo, revelando información acerca de quien se comunica con quién y con qué frecuencia; esto permite levantar alertas que conduzcan a otras investigaciones cuando se presuma algún riesgo para la seguridad de un Estado. Si esos metadatos están cifrados, lo que se hace más difícil es el acceso al contenido de la comunicación, pero no es cierto que las policías estén completamente a oscuras en sus actividades de vigilancia.

En palabras de Edward Snowden “como analista, yo preferiría ver metadatos que contenido, porque es más rápido, es más fácil y no miente. Si estuviera escuchando tus llamadas telefónicas, tú podrías intentar disfrazar la conversación o hablar en código. Pero si estoy mirando metadatos, sé qué número llamó a qué número”.

Finalmente, cabe entonces preguntarse ¿qué falló en el caso de Paris? Las facultades para vigilar ya existían antes de los atentados y, aparentemente, ya se habían activados las alarmas de los servicios de inteligencia. Si algo falló, claramente no tuvo relación tanto con la cantidad de información que podía ser recolectada, sino más bien con su análisis.

Es por ello que no debemos dejar que se utilice este tipo de actos terroristas como una excusa para elevar los niveles de vigilancia de actividades en línea, haciéndonos creer que ello no tiene impacto sobre nuestros derechos y, en particular, sobre nuestra privacidad.

Institucionalidad de la vigilancia en Chile (2015)

Descargar PDF

Informe realizado como parte del trabajo Derechos Digitales en la Cyber Stewards Network, que busca determinar cuáles son las instituciones habilitadas en Chile para ejercer actividades de vigilancia e inteligencia y bajo qué parámetros legales lo hacen.

Otra mala pasada del Congreso chileno

Mientras México celebra el retiro de la peor iniciativa de ley sobre internet, la Cámara de Diputados en Chile dedica estas semanas a la discusión de una nueva ley de delitos informáticos. Esta debería ser una buena noticia. La sociedad civil y la academia han discutido la necesidad de reformular las reglas sobre delincuencia informática con perspectiva de derechos humanos. Sin ir más lejos, investigadores de Derechos Digitales han manifestado los reparos a la ley actual desde el punto de vista del interés público como también de la técnica legislativa. Sin embargo, lo que nos muestra el nuevo proyecto es un nuevo intento por regular internet desde intuiciones y prejuicios.

Viejos nuevos problemas: sancionar cualquier cosa

La actual ley 19.223 ha sido objeto de críticas desde la academia desde su inicio. Incluso de forma reciente, ha sido denodado el esfuerzo por cuadrar el círculo e intentar salvar los serios problemas que trae en su regulación de los delitos de sabotaje informático y de espionaje informático. Detrás de esos problemas de técnica legislativa, se sigue una práctica de uso reducido, pero selectivo de la ley, para obtener condenas por muy distintos actos. Entre otras cosas, la ley vigente considera “delitos informáticos” actos tan poco cibernéticos como destruir un mouse, dejando a las policías y fiscalía con un peligroso margen de discreción.

El proyecto de ley hace frente a algunos de esos problemas. Por ejemplo, limita sanciones a los ataques contra elementos “lógicos” (es decir, software), y modifica ligeramente la redacción. Al mismo tiempo, agrega agravantes relativas a ataques que involucren a servicios públicos críticos o de seguridad nacional.

[left]Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.[/left]

Por otra parte, modifica el delito de espionaje informático en términos preocupantes. El proyecto sanciona a quien “sin derecho acceda o use información contenida en un sistema de tratamiento de datos”, estableciendo un tipo penal sumamente amplio, que castiga aun a figuras no dolosas, y sin distinguir ni la clase de información ni la forma para acceder a ella. Es decir, convierte en delito “informático” el acto de conocer o usar información, sin hackear nada.

Además, en el propuesto artículo 5º agrega como delito “[l]a tenencia, posesión, producción, venta, difusión, o cualquier otra forma de puesta a disposición de dispositivos, programas informáticos, aplicaciones, claves, códigos de acceso u otro tipo de elemento informático que permitan o faciliten la comisión de delitos”; es decir, prácticamente cualquier acto sobre cualquier tecnología que permita o facilite cometer delito, como por ejemplo, cualquier computador. Sanciona hasta la “tenencia” de un dispositivo que permite cometer delitos, incriminando así a la tecnología, en lugar de preocuparse del uso criminal de la misma.

Finalmente, en el Artículo 9º, intenta agregar como agravante general de delitos el uso de “medios informáticos”. Sin una justificación mínima, el solo uso de sistemas electrónicos hace de cualquier delito algo más grave. Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.

Más facultades para la intrusión

El proyecto de ley considera a los delitos informáticos, tan raramente perseguidos en el sistema chileno, como algo lo suficientemente grave como para necesitar medidas especiales de investigación. Increíblemente, cuando existan “sospechas fundadas” de que se ha hecho o se prepara la comisión de los ambiguos delitos de la misma ley, el artículo 6º del proyecto permite que (previa autorización judicial) se autorice la interceptación o grabación de comunicaciones de quienes sean sospechosos. Y bajo los mismos supuestos, que se autorice el uso de agentes encubiertos o entregas vigiladas de material.

[left]Cuando exista la sospecha de que alguien ha cometido un delito, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de proporcionalidad es echada por tierra[/left]

Se trata de medidas intrusivas usualmente justificadas a propósito de delitos graves o crímenes, pero traídas de forma inexplicable al uso de tecnología. Esto significa, por ejemplo, que cuando exista la sospecha de que alguien ha cometido el delito de “tenencia de dispositivo que facilite el delito”, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de necesidad o proporcionalidad en la capacidad de vigilancia por el Estado es echada por tierra.

La exacerbación de la vigilancia masiva

Durante este año, vimos a la sociedad civil paraguaya triunfar contra la nociva y desproporcionada ley #Pyrawebs, en una lucha ejemplar en el combate a la mala tendencia a la acumulación masiva de información. Este fuerte rechazo se suma a la calificación de la retención de datos de tráfico como contraria a los derechos humanos en Europa. No hay dos lecturas: la recolección de metadatos es una forma de vigilancia masiva, contraria a los derechos humanos. Es una manera de convertir a los ciudadanos en sospechosos, sin delito de por medio.

En Chile, en tanto, esa acumulación de registros de actividad en línea no solamente es legal desde 2004, sino que fue extendida en plazo de seis meses a un año en el año 2011. Pero el nuevo proyecto de ley de delitos informáticos, en lugar de hacer caso de la experiencia paraguaya o del rechazo europeo, hace lo contrario y aumenta la acumulación masiva de datos.

El artículo 10 del proyecto no deja la obligación de registro de actividades solamente sobre las empresas de comunicaciones, sino que pesa sobre cualquier entidad que provea acceso a sistemas informáticos, como “empresas telefónicas, de comunicaciones o de cualquier naturaleza, bancos, establecimientos educacionales, establecimientos comerciales”, y más. Información que debe estar disponible ante un requerimiento de información de parte de la Fiscalía, dentro de veinticuatro horas, sin orden judicial, bajo pena de delito de obstrucción a la justicia.

[left]El proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años.[/left]

Además, la obligación de registro no solamente se refiere a los números IP y sus fechas y horas, sino que extiende la información que se registra a las direcciones físicas asociadas a cada IP. Y lo más grave: el proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años. ¿Es posible aceptar que alguien guarde registros de nuestra actividad, de con quien nos comunicamos, de qué cosas leemos, de cuándo estamos en línea, por quince años? Fuera de una distopía orwelliana, es sencillamente inverosímil. Pero el Boletín 10.145–07 busca exactamente eso.

No a la nueva ley de delitos informáticos

El proyecto de ley de delitos informáticos en Chile representa una oportunidad perdida para actualizar la anquilosada legislación chilena. Además de profundizar los problemas de la ley existente, ignora la experiencia comparada, y elude consideraciones mínimas sobre derechos fundamentales como la protección de la privacidad y el derecho al debido proceso. Asimismo, busca convertir a los proveedores de conexión en informantes de la Fiscalía respecto de todas las actividades en línea de todos los ciudadanos.

Esta forma de regular el uso de las tecnologías como una actividad digna de vigilancia, de sospecha o de sanción agravada, muestra la incapacidad de la clase política chilena por asumir esas mismas tecnologías como un espacio de libertades. También muestra la incapacidad de preocuparse de la persecución criminal de manera sensata, dedicando “herramientas” a las policías sin ponderar la erosión a los derechos fundamentales de las personas.