Este informe da cuenta de las políticas y estrategias nacionales de ciberseguridad en América Latina, identificando los puntos comunes y desafíos que persisten en su implementación. El documento muestra la diversidad de enfoques que existen en la región y destaca la urgencia para generar mayor colaboración internacional, fortalecer las capacidades locales y alinear las estrategias nacionales con los estándares internacionales.
Temática: Seguridad digital
Nueva normativa sobre ciberseguridad en Chile
Este informe aborda la Ley Marco de Ciberseguridad de Chile, promulgada el 26 de marzo de 2024, destacando su enfoque en prevenir ciberataques y fortalecer la gobernanza. Detalla la creación de la Agencia Nacional de Ciberseguridad y la importancia de la colaboración entre sectores público y privado, apuntando a un ciberespacio más seguro y resiliente.
Ciberseguridad en Chile: enfoque de género en posicionamiento internacional
Este informe examina cómo Chile ha integrado la perspectiva de género en sus políticas de ciberseguridad de 2017 a 2028 y en foros internacionales de la ONU. Destaca avances y desafíos en la implementación de acciones concretas para un ciberespacio más inclusivo y equitativo.
Ciberseguridad en Chile: panorama normativo e institucional
Este informe analiza la evolución de la ciberseguridad en Chile, destacando leyes como la de Delitos Informáticos y la Política Nacional de Ciberseguridad 2023-2028. Se enfoca en la protección de datos, derechos humanos e inclusión, y aborda los desafíos de coordinación y actualización normativa.
En la mira: seguridad y principales amenazas digitales en América Latina
El informe “En la Mira” fue liderado por Derechos Digitales y desarrollado por el Observatorio Latinoamericano de Amenazas Digitales (OLAD). Estas 14 organizaciones atendieron 411 casos en América Latina sobre ciberataques, violencia de género digital, censura, espionaje y vigilancia masiva que son analizados en el reporte.
Vigilancia Estatal: Los riesgos de los IMSI Catchers
Hace pocas semanas se aprobó en Chile el proyecto de Ley Antiterrorista que actualiza la ley vigente para facilitar nuevos mecanismos de investigación y persecución. La discusión tuvo varios puntos álgidos, como por ejemplo, la ampliación del concepto de delito terrorista incluyendo a individuos sin necesidad de asociación con actividades terroristas. Pero sin duda el apartado que generó mayor debate fue la inclusión del uso de “IMSI Catchers” o “antenas falsas” para el espionaje en el contexto de las investigaciones.
En el marco del espionaje estatal, un IMSI Catcher, Stingray o simplemente una “antena falsa” es un dispositivo electrónico, compuesto por hardware y software, que simula ser una antena de telefonía legítima, pero en verdad no lo es, ya que su objetivo es capturar datos de los dispositivos que estén a su alcance, mediante un ataque de intermediario o MITM (man-in-the-middle), esto es, la instalación de un dispositivo “en el medio” de una comunicación entre personas.
Esto es facilitado por la forma en que funciona la telefonía móvil. El diseño arquitectónico de las redes móviles se basa en la división geográfica en pequeñas áreas o células, cada una cubierta por una o más antenas que reciben y redistribuyen señales. Estas antenas tienen áreas de cobertura que se sobreponen, garantizando así que no haya sectores sin señal. Dado que un dispositivo móvil puede detectar múltiples antenas simultáneamente, utiliza un protocolo para seleccionar aquella con la señal más potente.
En términos generales, las antenas actúan como intermediarios entre los dispositivos móviles y la estación telefónica, donde se generan los enrutamientos de las comunicaciones. Por otro lado, las “antenas falsas” operan de manera similar a las antenas reales, pero se diferencian en quién controla su operación y en el hecho de que pueden ser móviles, no requiriendo una instalación fija. Estas antenas falsas replican los parámetros de identificación de una antena legítima, engañando así a los dispositivos. Uno de los principales mecanismos para captar la señal de los dispositivos es por medio del uso de una potencia de señal mayor a la que presentan las antenas legítimas del sector.
Una vez conectados a una antena falsa, los dispositivos tienen dos posibles cursos de acción, según el propósito de la falsa antena. El primero es la denegación del servicio, y el segundo, actuar como intermediario entre el dispositivo y la red legítima. Esta última opción es más habitual, ya que a la vez que no interrumpe la comunicación, permite la recolección de datos de identificación del dispositivo, como el IMSI (International Mobile Subscriber Identity o Identidad Internacional de Suscriptor Móvil), un número único asignado a cada dispositivo móvil. Poseer el IMSI de un dispositivo facilita su rastreo a través de redes telefónicas legítimas, generalmente mediante una orden judicial conforme a las regulaciones locales. Además, existen varios tipos de comunicaciones que pueden ser captadas o intervenidas como los mensajes de texto pues carecen de cifrado.
A su vez, se ha demostrado que las llamadas realizadas mediante protocolos de la generación 2G pueden ser interceptadas debido a su cifrado débil, como demostró Chris Paget en DEF CON 18. Aunque los protocolos de redes 3G, 4G y 5G utilizan esquemas de cifrado más robustos, una antena falsa aún puede forzar un ataque de degradación de servicio, limitando los dispositivos a conectarse solo a redes 2G. Es decir, forzando a los dispositivos a utilizar protocolos menos eficientes, menos avanzados y menos seguros. Este fenómeno no es inusual dado que algunas redes de telefonía todavía operan bajo este protocolo. Otra vulnerabilidad es la extracción de metadatos: incluso si un dispositivo se comunica a través de protocolos que permiten que la información en tránsito esté cifrada, la antena falsa puede registrar cuando se conecta a un sitio específico, cuando utiliza aplicaciones de mensajería o cuando realiza llamadas.
Problemas plausibles
El uso de tecnologías de “antenas falsas” trae consigo una serie de riesgos asociados. En primer lugar, quien tenga acceso al manejo del dispositivo de interceptación puede utilizarlo sin que exista una contraparte que pueda tener control sobre su uso. En una columna pasada, explicamos el funcionamiento de las interceptaciones telefónicas a través de la infraestructura del proveedor, que por requerimientos legales actúa en la práctica como un agente de registro y control de las interceptaciones solicitadas por los cuerpos investigativos. El control sobre el uso de “antenas falsas” es algo que está muy lejos de quedar bien definido en la nueva ley, tal como expresamos también en conversación con la Radio y Diario Universidad de Chile.
En segundo lugar, debemos enfatizar que se trata de un mecanismo de vigilancia no solo altamente intrusivo, sino también indiscriminado respecto de quienes están cerca del dispositivo. Dentro de la operación de una “antena falsa” es posible captar a todos los dispositivos que estén dentro de su radio de acción y no solamente un dispositivo de interés, afectando la privacidad de personas que no son el objetivo de una investigación. En términos metafóricos esto ha sido ejemplificado como “pesca de arrastre” o “pescar con dinamita” debido a su grosera falta de proporcionalidad.
El tercer gran problema en la disponibilidad de este tipo de tecnologías es la posibilidad de uso dirigido a lugares o grupos con fines de persecución de actividades lícitas, bajo la excusa de aplicabilidad de la ley. Por ejemplo, serviría para poder identificar los dispositivos de personas que participan de una movilización social. Dado que operan dentro de un radio específico, pueden captar todos los dispositivos en un área específica, para eventualmente identificar participantes. Esta factibilidad técnica es preocupante, especialmente considerando precedentes donde se ha solicitado a los proveedores de servicio que entreguen información de los dispositivos conectados en ciertas áreas durante manifestaciones, como ocurrió durante el estallido social en Chile. Asimismo, es concebible su implementación en zonas ya estigmatizadas, como poblaciones en sectores socioeconómicos bajos, así como en regiones donde existen procesos activos de reivindicación territorial por parte de grupos indígenas.
Atrapando al catcher
Sin embargo, no se trata de una tecnología infalible o inevitable. El riesgo de ser interceptado por IMSI catchers puede minimizarse significativamente si se toman ciertas precauciones. Entre las medidas efectivas se incluyen configurar el dispositivo para usar exclusivamente redes 4G, emplear aplicaciones de mensajería y llamadas con cifrado robusto como Signal, y utilizar servicios de VPN o TOR, entre otras.
El uso de “antenas falsas” tiene un gran alcance y potencial en contextos de sociedades donde las personas no tienen un alto grado de preocupación por sus comunicaciones, en especial cuando los niveles de conectividad son tan altos. Me atrevería a decir que actualmente la mayoría de las personas vive de esta forma, lo cual allana aún más el camino para peligrosas prácticas de vigilancia masiva. Pero esto no debería significar una aceptación de que las comunicaciones sean seguras, ni de que el Estado esté siempre a un paso de vigilar todo lo que hacemos. Necesitamos no solamente comprender los riesgos, sino también empujar por cambios en la regulación y en la conducta de los agentes públicos.
MicroSD
MicroSD es nuestra baraja de cartas para jugar en serio con la seguridad digital. Una colección interactiva, física y online, que traduce conceptos complejos en consejos prácticos para periodistas, comunicadoras y cualquier persona que quiera moverse más segura en internet. Con glosarios, visitas guiadas y recursos para descargar, MicroSD es la excusa perfecta para aprender, compartir y poner en práctica la seguridad digital sin enredos.
Latin America in a Glimpse: Reflexiones para una IA comunitaria y feminista
Un informe de Derechos Digitales que explora cómo la IA puede adaptarse a las necesidades y contextos culturales de América Latina, en lugar de imponer modelos extractivistas y coloniales. A través de conversaciones con investigadoras, tecnólogas y activistas de distintos países de la región, analizamos enfoques críticos y metodologías que responden a tres temas: educación, territorio y género.
Comentarios de Derechos Digitales sobre los “Lineamientos interamericanos para la gobernanza de datos y la IA” de la Organización de Estados Americanos OEA
En este documento comentamos sobre nuestra participación en el marco del grupo de sociedad civil que fue participó en la elaboración de los «Lineamientos interamericanos de gobernanza de datos e inteligencia artificial» publicados recientemente por la Organización de Estados Americanos OEA
11 años después de Snowden: ¿Realmente estamos más protegidos?
Edward Snowden era un analista de inteligencia que trabajó para la CIA y la NSA. Al inicio de su carrera consideró que su trabajo correspondía al deber patriótico de defender a su país. Con el tiempo se dio cuenta que era parte de un sistema de vigilancia global secreto que era utilizado incluso para espiar dentro del país. Él consideró que la población de un país democrático debería, al menos, estar enterada de que algo así sucedía. Por este motivo filtró miles de documentos que demostraron lo que sucedía a periodistas que publicaron varios reportajes en importantes medios a nivel global.
En los mismos se pude ver las diversas formas en las que la NSA recolectaba, analizaba y luego utilizaba esta información para operaciones de espionaje alrededor del mundo. [RB1] En una diapositiva se puede ver las capacidades recolección de información a nivel global a través de un mapa mundi dónde se explica cómo se recolectaba la información desde los cables fibra óptica, a través de embajadas, espiando comunicaciones satelitales, en colaboración con agencias de otros países o mediante ataques informáticos.
Toda esta información recolectada se almacenaba en centros de datos para luego ser accedida a través del sistema XKeyScore. Este sistema funciona de forma parecida a buscadores de internet dónde puedo realizar búsquedas. La diferencia radica en que las búsquedas se las hace sobre información privada. Los documentos muestran que se podían hacer consultas sobre como leer todos los correos electrónicos de persona X, saber quiénes usan correo cifrado en un país determinado, contraseñas de cuentas en línea, entre muchas otras. Básicamente un buscador sobre las vidas privadas de miles de millones de personas, sin ningún tipo de control.
Uno de los programas expuestos que más llamó la atención es el conocido como PRISM ya que involucra a grandes empresas de internet como Google, Facebook, Apple, Youtube, Microsoft, Yahoo, entre otras. Estas empresas tienen plataformas que funcionan como software de servicio, también conocido como “la nube”. Cuando compartes un documento con Google Drive, no solo lo compartes con tus colegas, sino también con Google. Cuando envías un correo usando Outlook, ese contenido es accedido por Microsoft. Si guardas tus fotos en la nube de Apple o de Google sucede lo mismo.
Resultaba lógico entender que estas empresas tendrían acceso a nuestra información para poder brindarnos el servicio. Algunas personas considerábamos que era probable que las empresas se aprovechen de nuestra información. Lo que la gran mayoría no imaginábamos era que además nuestras comunicaciones privadas eran vigiladas por agencias de inteligencia como la NSA. Lo que aprendimos en ese momento fue que, si no eres ciudadano de Estados Unidos y no resides en ese país, la NSA puede acceder a los datos de los servicios de estas empresas para informarse sobre ti. Estamos hablando de llamadas de voz y video, correos electrónicos, chats documentos, fotos, ubicación etcétera.
La recolección de este tipo de información sumada a la capacidad de análisis de la NSA permitieron hacer operaciones de espionaje a lideres mundiales como Angela Merkel, Enrique Peña Nieto o Dilma Rousseff. También existieron operaciones mediáticas para manipular la opinión pública como fue la operación QUITO que promovía una visión favorable para Inglaterra sobre las Islas Malvinas en América Latina.
Esto es un resumen muy superficial de lo que aprendimos hace 11 años. Es importante mirar para atrás y pensar qué cambió desde entonces. ¿Se suprimieron estos programas y ahora nuestra privacidad esta más aseguradas? Personalmente creo que algunas cosas mejoraron y otras han empeorado.
El escándalo de las revelaciones generó una discusión a nivel mundial sobre la privacidad en Internet. Una de las primeras consecuencias fue el Marco Civil de Internet en Brasil dónde se fortaleció la protección de los derechos civiles en internet y en particular la privacidad. En el caso de Europa, esto promovió la discusión de la protección de los datos que personales que en 2017 se vio reflejada en el Reglamento General de Protección de Datos Personales (RGPD). Esta legislación sirvió para que países como Ecuador tengan su ley de protección de datos personales en 2021.
Estas legislaciones son muy positivas y en el caso Europea, incluso se ha llegado a multar a empresas como Google y Meta (antes Facebook). Sin embargo, no es suficiente ya que si bien estas legislaciones buscan el consentimiento informado para el tratamiento de datos personales, en la práctica se traduce como una incómoda ventana dónde se nos pide aceptar la política de privacidad y gestionar las configuraciones de cookies. En la práctica la mayoría de personas aceptan los términos y probablemente todas las cookies.
En lo tecnológico el cambio fue mayor. Antes de las revelaciones de Snowden la mayoría de sitios web funcionaban bajo el protocolo inseguro de HTTP. En 2015 la EFF en colaboración con otras organizaciones y empresas lanzaron la iniciativa de Letsencrypt que hizo que la implementación de sitios web con el protocolo seguro HTTPS sea accesible para cualquier sitio o aplicación web. Gracias a esta iniciativa hoy casi todos los sitios y aplicaciones que usamos en Internet cifran la comunicación. De esta manera se puede presumir que parte importante de los programas de recolección de información de la NSA quedaran obsoletas. Esta característica no solo nos protege de la NSA, sino de cualquier actor con malas intenciones, desde un ciber criminal a Estados.
Sin duda una mejora importantísima para la seguridad de las comunicaciones de todas las personas que utilizamos internet. No obstante, esto no nos protege del espionaje de programas como PRISM, ya que la información que utilizamos en servicios en la nube generalmente es accesible por las empresas que proveen el servicio como se mencionó anteriormente. Personalmente creo que la situación ahora es peor.
Durante estos 11 años la NSA ha seguido trabajando en secreto y sus capacidades tecnológicas debieron mejorar. Pero la debilidad más fuerte es que empresas mencionadas en PRISM siguen siendo parte esencial de nuestras vidas. Nuestros teléfonos celulares si no funcionan con Android de Google, funcionan con el iOS de Apple. Los sistemas de reconocimiento de voz como Siri, Hey Google o Cortana son todos provistos por empresas PRISM. Por citar dos ejemplos.
Otro avance importante que tenemos desde las revelaciones de Snowden es la adopción del cifrado extremo a extremo. A diferencia del cifrado de tráfico en la red, con este podemos proteger el contenido de la información incluso de la empresa que provee el servicio. Si ciframos un correo de Gmail, incluso Google no lo podría leer.
Si bien el cifrado de correo electrónico existe hace más de una década, su adopción es marginal. El caso más importante es la adopción de cifrado extremo a extremo es la de WhatsApp en 2016 que permitió a miles de millones de personas cifrar sus mensajes.
Claro que no podemos olvidar que WhatsApp es una empresa de Meta (antes Facebook), que está involucrada en el programa PRISM. La aplicación es de código propietario y no se puede saber cómo está hecha por lo que podría tener una puerta trasera. Incluso me atrevería a decir que tiene una puerta delantera cuándo en las conversaciones de la aplicación tenemos la opción de que participe la inteligencia artificial de Meta. Es una forma cool de pedirnos acceso a nuestras conversaciones.
Otro gran avance que hemos tenido es el desarrollo de aplicaciones de software libre que nos permiten controlar nuestra información. Existen aplicaciones de chat, correo electrónico, colaboración, edición de documentos y más. En Derechos Digitales, por ejemplo, utilizamos Matrix como nuestro sistema de chat, Nextcloud para compartir documentos, OnlyOffice para editarlos, Jitsi y BigBlueButton para video llamadas. Ninguna de estas aplicaciones es perfecta, algunas pueden llegar a ser incómodas o fallar en cuestiones que no quisiéramos, pero nos permiten tener agencia sobre nuestros datos y privacidad.
Snowden nos hizo saber que vivimos en una máquina de vigilancia y que estamos perdiendo nuestra privacidad. Ahora como sociedad debemos decidir si queremos seguir atrapados en este sistema o buscamos alternativas. En próximas columnas reflexionaré sobre algunas herramientas que usamos de forma cotidianas y las alternativas que respetan nuestra privacidad. Por lo pronto comparto columnas que escribí sobre aplicaciones de chat, teléfonos móviles, redes sociales y herramientas de video conferencia.