Temática: Seguridad digital

Puertas cerradas y llaves seguras: Seguridad informática en infraestructura Cloud

Correo electrónico, Netflix, Google, Instagram y la mayoría de las aplicaciones más populares hoy en día tienen sus operaciones alojadas en la “nube”, una solución que vino a cambiar la forma de ver la infraestructura donde se despliegan las aplicaciones informáticas. El cloud computing es el acceso bajo demanda a recursos de computación a través de Internet con precios de pago por uso.

Considerando que, según Cloud Industry Forum (CIF), el 100% de las empresas utilizan algún tipo de servicio cloud, en sus diversos tipos, el impacto de fallos de seguridad en sus aplicaciones comprometería los servicios y los datos de sus miles de personas usuarias. Antes de ver algunos de los puntos críticos de este modelo de negocio, corresponde entender las categorías en las que se puede clasificar, mismas que se describen brevemente a continuación:

  • Infraestructura como Servicio (IaaS, siglas del inglés Infrastructure as a service): Disponibiliza recursos de infraestructura virtualizados, como almacenamiento y servidores. La seguridad en IaaS es responsabilidad directa y completa de quién instala las aplicaciones, así como la protección de los datos. Este es un modelo más autónomo y de gestión total por quien contrata el servicio.
  • Plataforma como Servicio (PaaS, siglas del inglés Platform as a service): Facilita plataformas para gestionar aplicaciones en sus diferentes niveles (desarrollo, pruebas y producción), proporcionando herramientas y servicios adicionales tales como monitoreo y logs. La seguridad de la aplicación y de los datos corresponde a quien adquiere el servicio mientras que el acceso a la plataforma y su seguridad relacionada corresponde al proveedor del servicio. Este es un modelo muy popular a nivel empresarial, y entre sus máximos representantes se encuentran AWS, Google y Azure.
  • Software como Servicio (SaaS, siglas del inglés Software as a service): Una nueva forma de hacer software y proveerlo. Estas son aplicaciones listas para usar que se ejecutan en la nube. La seguridad de los datos y el acceso son responsabilidad de quien gestiona el servicio y disponibiliza el software. Servicios como correo electrónico y redes sociales responden a este modelo de servicio. 

Ahora bien, independientemente de si se gestionan servicios en la nube a nivel corporativo o para una organización de la sociedad civil, de tipo público o privado, es importante tener presente que la seguridad siempre será un punto que cuidar, aún más considerando que el 80% de los riesgos de seguridad están presentes en entornos cloud. Desde la gestión de acceso y monitoreo hasta la mitigación de impacto de los fallos de seguridad en un entorno de producción.

Según la revista Portafolio, los errores humanos siguen siendo un punto de fallo con un 31% en las causas, junto a la explotación de vulnerabilidades conocidas que se llevan un 28% y la falla en la configuración de MFA (múltiples factores de autenticación) que tiene un 17%. A esto se suma el incremento del 27% en ataques ransomware, durante el primer semestre del 2024; este es un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima como un modelo de extorsión que busca un “recompensa” por liberar la información o servidores comprometidos.

Entre los múltiples desafíos a enfrentar en la gestión de infraestructura cloud se puede citar el acceso no autorizado, sean cuales sean los medios que usen los atacantes para conseguir credenciales de inicio de sesión. Ante esto, Ola Bini, director técnico en el Centro de Autonomía Digital, recomienda ejecutar acciones de gestión de listas de acceso, implementación de MFA, utilizar contraseñas fuertes que sean cambiadas periódicamente y aplicación del principio de mínimo privilegio en los permisos de usuario. Por supuesto, cuidar del acceso del rol administrador y usarlo cuando las operaciones a ejecutar, así lo ameriten.

La vulneración de puertos (puertas de entrada y salida para el tráfico de red) no se queda atrás cuando se trata de ingresar a los sistemas. Profesionales del área pueden hacer un escaneo de puertos abiertos e identificar servicios que están siendo utilizados para insertar fragmentos de código que ejecuten peticiones hacia un servidor. Frente a esto, Rafael Bonifaz, líder de proyecto LAREDD en Derechos Digitales, menciona la importancia de hacer una gestión de red crítica que evalúe la necesidad de tener un puerto disponible o no, esto en base a lo que se requiera permitir acceso. Asimismo, los sistemas que sirven para que una aplicación funcione, pero que no tienen comunicación directa con el usuario final, deberían tener una configuración de red diferente a aquellos servicios que reciben peticiones desde el exterior.

¿Saber qué está pasando ayuda a atacar el problema? Sin un monitoreo adecuado, las brechas de seguridad podrían pasar sin ser notadas durante largos periodos de tiempo. Según un reporte de IBM, el tiempo promedio para detectar brechas es de 207 días y mitigarlas puede ascender a 277 días. Centralizar y analizar logs así como utilizar herramientas de monitoreo en tiempo real y automatizar el envío de alertas no se ven más como acciones opcionales, sino como necesidades persistentes.

El activo más valioso a día de hoy, los datos, son un punto atractivo hacia el cual pueden apuntar los ciberdelincuentes. En una recopilación publicada en Sealpath, se documenta que para el 2023 “más del 50% de víctimas de ransomware pagaron al menos $100000 USD”. Además, en Latinoamérica, cerca del 62% de las empresas reconoce haber sufrido filtración de datos. Muchos de los datos son almacenados en la nube tal como son recolectados, es decir, sin medidas de cifrado, lo que da como resultado una creciente necesidad por la implementación de políticas de encriptación de datos con llaves seguras, retención y eliminación de datos de forma confiable, así como una clasificación por grado de criticidad.

Con estos y muchos otros puntos críticos, las capacidades técnicas requieren cada vez más especialización, así como la implementación de normas que den lineamiento sobre las medidas de seguridad necesarias. Varias de las empresas que proveen PaaS deben alinearse al Cumpliemiento de la Nube, que son una serie de estándares internacionalmente reconocidos que intentan que los proveedores estén en la capacidad de ofrecer condiciones de seguridad.

Con esto han ido emergiendo guías y tendencias de medidas de seguridad y buenas prácticas que se ejecutan durante todas las etapas de la producción de soluciones informáticas. Un ejemplo de esto es AppSec, que se refiere al proceso de identificar y reparar vulnerabilidades en el software desde su desarrollo hasta su despliegue. DevSecOps es un proceso que une acciones de desarrollo, seguridad y operaciones a lo largo del ciclo de vida de un sistema. A esto se suman varios puntos a validar antes de lanzar un servicio SaaS, como pruebas de seguridad de aplicaciones estáticas (SAST), dinámicas (DAST) e interactivas (IAST). Incluso, algunos sistemas basan sus controles de seguridad en la recopilación de vulnerabilidades Owasp Top Ten.

El desafío de la gestión de seguridad en la infraestructura cloud aplica a todos quienes desarrollen y desplieguen sus servicios pensando en entornos virtuales. Aunque, posiblemente, el reto más grande es para quienes optan por IaaS, ya que el tipo de servicio no incluye varios de los complementos de seguridad como pasa en PaaS. El BigData y su valor en el mercado hace que sea cada vez más imperativa la necesidad de cuidar la integridad de los datos, así como cualquier posibilidad de acceso no autorizado.

La confiabilidad de un sistema o aplicación está sujeta a su disponibilidad y resiliencia ante fallos y ataques, lo que obliga a establecer medidas de mitigación de puntos de quiebre con respuesta rápida. La cifras de vulneraciones hacen que la veracidad se cuestione, sin embargo, la necesidad de soluciones con más cobertura y horas de funcionamiento hace que la tendencia a servicios basados en la nube crezca cada vez más. Es un hecho que el uso de cloud no disminuirá, por lo que resta cuidar la seguridad en estas infraestructuras, aplicando estándares y buenas prácticas.

En resumen, la seguridad en infraestructura cloud es un campo en constante evolución que requiere tanto de medidas técnicas avanzadas como de un monitoreo continuo para mitigar los riesgos inherentes. A medida que las empresas y organizaciones de todo tipo continúan migrando hacia la nube, la adopción de buenas prácticas de seguridad y el cumplimiento de estándares internacionales serán clave para garantizar la protección de los datos y la resiliencia de los sistemas frente a amenazas cada vez más sofisticadas.

La amenaza persistente de la censura en Internet y cómo evadirla

Cuándo nos conectamos a algún servicio en internet, nuestra comunicación atraviesa varias computadoras conocidas como ruteadores. El primer dispositivo al que nos conectaremos es el ruteador de internet de nuestra casa – si lo hacemos a través de internet fijo – o la antena de telefonía celular, si lo hacemos con internet móvil. Luego, la comunicación sigue a través de otros dispositivos en la red del proveedor de internet y de otros proveedores de comunicación hasta llegar al destino. En cualquiera de estos sitios se podría filtrar el contenido de nuestras comunicaciones.

Cuando un Estado quiere bloquear contenidos o aplicaciones, una posibilidad para concretarlo es obligar a los proveedores de acceso a internet – también conocidos como ISPs por sus siglas en inglés – a hacerlo en su favor. Dado que el ISP es responsable por conectar una computadora de origen a un sitio web ubicado en una computadora de destino, basta que este intermediario no efectúe la comunicación para que el sitio quede inaccesible.

Otra forma de bloqueo se da a partir de modificaciones en los registros de nombres de dominio (DNS), el que asocia dispositivos físicos a nombres y números que lo permiten ubicar en la red. Estas no son las únicas formas de operar la censura en Internet, sobre el funcionamiento técnico y las estas estrategias de bloqueo hablamos en otra columna.

El diseño de Internet implica que los proveedores de Internet sepan quién solicita el acceso a un sitio y la dirección IP de destino. Con esta información es posible operar la conexión, pero también la censura. Cuando estos registros se almacenan por periodos largos de tiempo, sea por requisitos técnicos o legales, puede facilitar prácticas de vigilancia, una vez que esos datos permiten identificar patrones de acceso por parte de usuarias específicas. Por eso, el uso de herramientas para evadir la censura en muchos casos también sirve para proteger la privacidad de las comunicaciones.

Evadir la censura

Una primera medida de protección contra la censura son las redes virtuales privadas, o VPNs. Esta tecnología permite generar un canal cifrado desde nuestros dispositivos hasta uno de los servidores de VPNs que, por su vez, nos irá dirigir al destino deseado. El ISP solo podrá ver que existen conexiones cifradas a ciertas direcciones IPs de las VPNs, pero no sabrá hacia donde esta nos está direccionando o el tipo de actividad que se está realizando. De este modo, salvo que los ISPs empiecen a bloquear las VPNs o que las mismas VPNs bloqueen determinados contenidos, no será posible impedir el acceso.

El colectivo Riseup provee desde hace mucho tiempo la VPN RiseupVPN que se puede utilizar de manera gratuita y sin entregar datos de registro. En la coyuntura actual de Venezuela proveedores de VPN como ProtonVPN y TunnelBear están ofreciendo acceso gratuito a sus servicios si la conexión proviene de Venezuela.

Si mucha gente empieza a utilizar estos servicios, entonces el Estado podría intentar bloquear las VPNs. Se podría intentar con otras que no están mencionadas acá y seguir jugando el juego del gato y el ratón. Otra opción es aprovechar el hecho de que la tecnología de VPNs se basa en estándares abiertos, lo que permite a otros proveedores implementar VPNs propias de forma autónoma con software libre. Lo que se necesita para esto es un servidor virtual (VPS) que se puede contratar por un costo bajo y alguien con conocimientos de Linux.

Outline es una solución sencilla que nos permite implementar nuestros propios servidores de VPN de manera fácil y segura. Al usar una solución como esta se tendría un servicio que sería menos visible que el servicio de VPNs conocidas pero se requieren ciertos conocimientos técnicos. Una vez implementado el servidor es fácil conectarse desde computadoras o celulares.

Otra opción para evadir la censura es la red de anonimato Tor. Para acceder a este red no es necesario pagar ni entregar datos personales. Al igual que las VPNs, Tor se puede instalar en teléfonos celulares y computadoras. La forma más común de acceder a la red es a través del navegador Tor, disponible para computadoras y celulares Android, en el caso de Iphone se puede usar el navegador Onion Browser.

Mediante este navegador se puede evadir la censura de sitios web, pero no es tan evidente su uso para evadir el bloqueo de aplicaciones como Signal o WhatsApp. En el caso de celulares, existe la aplicación Orbot que funciona de forma similar a una VPN, pero con la red Tor. En este caso se podría conectar Orbot a la red Tor y decirle que ciertas aplicaciones funcionen a través de esta aplicación. De esta manera se podría utilizar Signal, WhatsApp, X o cualquier otra aplicación.

Estas son algunas soluciones para evadir la censura en Internet, pero no son las únicas. Como documentado en años anteriores, incluso en el caso de Venezuela, es posible a los operadores bloquear incluso el acceso a la red de Tor. Así, es recomendable probar más de una opción por si el Estado llegara a bloquear una de estas, se puede usar otra.

Documentar la censura del Internet

La censura en Internet normalmente está asociada con acontecimientos que suceden en la sociedad. En el caso de Venezuela tiene que ver con las elecciones, pero se han registrado bloqueos de comunicaciones en otros países de la región durante eventos de conmoción social.

El proyecto OONI es una herramienta de software libre que se puede instalar en nuestros teléfonos o computadoras para que realice pruebas recurrentes a sitios web y aplicaciones y así identificar si estas están bloqueadas. Los datos recolectados pueden ser subidos a OONI para ser accesibles por investigadores a través de su explorador.

El uso de OONI es simple y hace unos años publicamos una guía sobre como hacerlo. Es importante tener cuidado y estar atentos a los riesgos que podemos tener al monitorear bloqueos de Internet, debido a que algunos países restringen este tipo de actividad.

En el caso de Latinoamérica hay organizaciones que utilizan OONI y herramientas similares para detectar bloqueos. Nos gustaría destacar el trabajo de organizaciones como Conexión Segura y Libre (antes Venezuela Inteligente) con su proyecto VEsinFiltro donde documentan bloqueos a Internet en este país. En Colombia se encuentra la Fundación Karisma con el Observatorio de Bloqueos de Internet en dónde han publicado una guía para investigar de bloqueos de Internet.

Internet es una herramienta esencial para poder informarnos, pero también para ejercer un conjunto de derechos fundamentales, como a la educación, la salud, entre muchos otros. La censura de sitios y aplicaciones afecta directamente el ejercicio de estos derechos, además de limitar la libre expresión y asociación en momentos de crisis política, como observamos ahora en Venezuela. Poder documentar estos casos es de suma importancia para denunciar abusos, desarrollar mejores estrategias para evadirlos y también para exigir comunicaciones libres.

La red es vulnerable a ser censurada, y necesitamos seguir presionando agentes públicos y privados a que atenten a sus obligaciones internacionales de mantener la integridad de Internet. Por otro lado, su naturaleza abierta permite que tengamos herramientas para poder evadirla. Es recomendable aprender a usar estas herramientas incluso si en nuestro país no existen bloqueos aparentes, ya que para cuando existan estaremos listas para seguir comunicándonos y accediendo a información relevante.

Análisis forense automatizado: como funciona la intrusión de los Estados en nuestros dispositivos


Autoridades de varios países de América Latina han utilizado la herramienta de Cellebrite para investigaciones judiciales en lo últimos años. El sistema facilita el proceso de análisis de datos contenidos en aparatos móviles, considerando dispositivos que tienen cada vez mayor capacidad de almacenamiento – lo que se traduce en un problema a la hora de realizar una revisión manual.

Entre los casos de uso registrados por la prensa en los últimos años está el de Chile, donde la Fiscalía Nacional  recientemente lo ha utilizado en una investigación sobre tráfico de influencias sobre el dispositivo del abogado Luís Hermosilla; Perú; Argentina, en el contexto de la investigación del atentado contra la ex-Presidenta Cristina Kirchner; Brasil, donde estudios recientes apuntan a un uso indiscriminado de este tipo de herramientas, entre otros.

El uso de este tipo de software es conocido como una forma de hackeo gubernamental, toda vez que permite la vulneración de los recursos de seguridad de dispositivos o aplicaciones personales. El uso de técnicas de este tipo requiere un conjunto de salvaguardias para que sea legítima y genere pruebas válidas en un proceso judicial.

Si bien en Latinoamérica no hay reportes de uso de la herramienta fuera de un contexto supuestamente legal, sí existen varias denuncias en otras regiones respecto a abusos contra periodistas y la ciudadanía, según se declara en el portal especializado Segu Info. Además, muchas veces, la utilización se da en ausencia de reglas específicas que den cuenta de los criterios para la implementación de técnicas de hackeo gubernamental.

La arquitectura y funcionamiento de un dispositivo móvil

Los dispositivos móviles actuales, teléfonos inteligentes y tabletas, poseen una arquitectura muy similar a la de un computador. Dentro de sus componentes podemos encontrar algunos elementos centrales como lo son: contar con un procesador (CPU), memoria volátil (RAM) y almacenamiento interno. Además, cuentan con una serie de otros componentes que pueden ser opcionales en un computador como cámaras, GPS, entre otros.

Desde la arquitectura de software tenemos principalmente dos sistemas operativos: Android y iOS, ambos con raíces en sistemas Unix/Linux, pero al que se han añadido capas de componentes propietarios, además de aplicaciones de terceros conocidas comúnmente como “Apps”. Tanto el sistema operativo como las aplicaciones guardan información dentro del dispositivo con distintos niveles de detalle y en algunos casos adjuntando metadatos como fecha y geolocalización.

En términos generales, el funcionamiento de un dispositivo móvil se basa en la ejecución del sistema operativo, que controla las funciones base y gestiona el funcionamiento de las distintas aplicaciones. Al igual que en un computador, las aplicaciones están alojadas en la memoria interna, durante su ejecución se cargan en la RAM y funcionan por medio del procesador. Los archivos almacenados en el almacenamiento interno, al ser utilizados, también son cargados en la RAM.

Es importante mencionar que la RAM se utiliza como intermediaria entre al almacenamiento interno y el procesador pues es, en órdenes de magnitud, mil veces más rápida que el almacenamiento interno. Su característica es que no almacena los datos o archivos de forma permanente. Es por ello, por ejemplo, que cuando reabrimos una aplicación luego de reiniciar un dispositivo no volvemos al punto exacto donde estábamos, sino a su estado inicial.

Las herramientas de análisis forense digital: caso UFED

Junto a la aparición de sistemas computacionales se han desarrollado técnicas de investigación sobre los mismos, en particular buscando atender a las necesidades de autoridades policiales y judiciales. Más allá de la revisión manual a partir del acceso físico a un dispositivo, se han desarrollado herramientas para el análisis específico de los distintos espacios de memoria, permanentes y volátiles, en ciertos sistemas. Las herramientas de análisis forense actuales están un peldaño más arriba: ellas automatizan el proceso extracción de datos otorgando opciones para analizar muchos sistemas en sus distintos componentes de almacenamiento de datos.

Si bien tanto Android como iOS cuentan con medidas de seguridad ante un intento de intrusión, lo cierto es que las herramientas de análisis forense han ido generando métodos para poder lidiar con ellos. Esto resulta en una especie de guerra armamentista donde los desarrolladores de los sistemas operativos van mejorando la seguridad de los mismos mientras los desarrolladores de las herramientas de análisis forense las van derribando.

Actualmente, las herramientas UFED son capaces de desbloquear un dispositivo iOS o Android protegido con contraseña o PIN en la mayoría de los casos. Además tiene la capacidad de acceder a contenidos cifrados. La extracción de datos se puede realizar de distintas formas:

a. Extracción física: esta técnica consiste en generar una copia de todo el sistema de memorias sin detenerse a revisar el contenido en dicha etapa. Funciona como un respaldo total del sistema y puede ser utilizado para su posterior análisis.

b. Extracción lógica: se refiere a la extracción específica de datos almacenados en el dispositivo tales como contactos, registro de llamadas, mensajes de texto, imágenes, documentos, correos electrónicos, datos de geolocalización y conversaciones en sistemas de mensajería cifrada (como por ejemplo Whatsapp o Signal).

c. Extracción de respaldos: esta técnica consiste en la recuperación de copias de seguridad almacenadas en la nube y se puede aplicar a las distintas aplicaciones y sus distintas fuentes de almacenamiento de respaldos.

Dentro del proceso de extracción de datos, las UFED pueden recuperar archivos ocultos o eliminados. Cabe mencionar que cuando borramos un archivo este no se borra efectivamente desde el espacio de memoria, lo que sucede es que el sistema operativo genera la instrucción de marcar como disponibles para escritura los bloques de memoria que utilizaba el archivo y que, mientras dichos bloques no sean reescritos, el archivo será recuperable con las herramientas adecuadas.

Otra de las funcionalidades que poseen estas herramientas es la de poder hacer una copia de la memoria volátil. Con acceso al dispositivo encendido puede realizar una copia de todo aquello que está almacenado en dicha memoria, como aplicaciones, datos, imágenes, etc.

Luego del proceso de extracción, es posible generar análisis que van desde el ordenamiento, hasta el filtrado y clasificación de los datos, facilitando la identificación de información relevante. Desde una mirada general, las herramientas UFED permiten automatizar la extracción de datos e información de un dispositivo móvil.

A pesar de estas funcionalidades, las UFED han también estado sujetas a algunas gritas en su funcionamiento. En abril del 2021 Moxie Marlinspike, creador de Signal y reconocido criptógrafo, demostró que era posible explotar algunas vulnerabilidades de las herramientas de compañía Cellebrite generando que la aplicación deje de funcionar. Ya en 2023, en 2023 la empresa israelí sufrió un ataque que concluyó con la filtración de 1.7 TB de datos relacionados a sus productos.

¿Qué hacer ante el uso de este tipo de tecnologías?

Si bien el análisis forense de dispositivos puede estar amparado legalmente, es importante entender que estas herramientas también pueden ser utilizadas de forma incorrecta y que las normativas nacionales no siempre están alineadas a los estándares internacionales en la materia. Además, casos de intrusión estatal abusiva con técnicas más o menos refinadas a las comunicaciones de defensoras y defensores de derechos humanos y periodistas no son excepcionales en la región.

Por otra parte, la extracción o copia de datos y su almacenamiento por instituciones gubernamentales por largos periodos genera una ventana de ataque que puede terminar con la fuga de datos privados de las personas investigadas exponiendo así su vida íntima.

Ante esta inquietud, algunas medidas pueden ser tomadas con el fin de minimizar una intrusión excesiva a las comunicaciones por medio de herramientas de análisis forense:

  • Prevención: hay muchas medidas preventivas que se pueden adoptar, entre ellas compartimentar la información y, de ser posible, no utilizar un mismo dispositivo para almacenar todo, ya sean conversaciones por mensajería, imágenes o documentos.
  • Utilizar mensajes desvanecientes: las funciones disponibles tanto Signal como Whatsapp de configurar los chats individuales y grupales con mensajes desvanecientes ayuda a minimizar el almacenamiento de datos sensibles. Este tipo de mensaje tiene un tiempo de caducidad y luego se borra de forma automática.
  • Uso de contraseñas: el uso de contraseñas seguras de acceso al dispositivo puede frenar el acceso en algunos casos. Además aplicaciones como Signal o Whatsapp tienen la posibilidad de ser bloqueadas a través de contraseña, con lo que se genera una nueva barrera en caso de que la versión de tú teléfono no esté soportada en la versión de la herramienta forense.
  • Eliminar archivos de forma segura: para asegurarse de que un archivo fue eliminado efectivamente de un dispositivo es necesario utilizar una aplicación específica. Existen varias herramientas que cumplen esta función y sobreescriben los espacios de memoria liberados con datos aleatorios, de forma que no se puedan recuperar los contenidos. IShredder una de las más utilizadas.

Garantías necesarias

Más allá de las posibles medidas de protección, es difícil detectar un ataque de este tipo de herramienta. Además, sabemos que en la realidad mucha de nuestras comunicaciones personas y para fines de activismo dependen del uso de dispositivos móviles y sus aplicaciones – lo que no significa que entregamos con eso un permiso a las policías para acceder a toda nuestra vida privada. El uso de herramientas de análisis forense automatizado por parte de los Estados requiere un conjunto de procedimientos que aseguren su legalidad y legitimidad. En ningún caso ellas deben ser utilizadas sin un marco legal específico y que atienda a los estándares internacionales de derechos humanos.

Examen Periódico Universal 4to ciclo, sesión 47 del Consejo de Derechos Humanos

Descargar PDF

Este informe ha sido elaborado en conjunto por el Instituto Panamericano de Derecho y Tecnología y Derechos Digitales.Se enfoca en el ejercicio de los derechos humanos en el entorno digital del Estado de Nicaragua y analiza el cumplimiento de las 11 recomendaciones aceptadas por Nicaragua que se vinculan a esta materia recibidas durante el tercer ciclo del Examen Periódico Universal (EPU) llevado a cabo en 2019

Ola Bini y la criminalización del conocimiento

“El caso de Ola Bini se ha convertido en un emblema de la persecución que viven las personas expertas en seguridad digital en la región”, escribíamos hace unos meses en el marco de la presentación del libro “Colateral”, de Diego Cazar sobre el mencionado caso. Como organización que trabaja en la defensa de los Derechos Humanos en entornos digitales, hemos abordado este asunto en reiteradas oportunidades y apoyado la campaña #FreeOlaBini.

Se trata del programador sueco detenido en 2019 en Ecuador, acusado de ser cercano a Wikileaks y de participar en intentos para desestabilizar al gobierno ecuatoriano. En agosto de 2019, la fiscalía general del Estado lo acusó de acceso no consentido a un sistema informático de la Corporación Nacional de Telecomunicaciones (CNT) en el año 2015. 

Bini fue arrestado el 11 de abril de 2019 cuando pretendía viajar a Quito con destino a Japón, apenas unas horas después de que el Gobierno ecuatoriano, bajo el mandato de Lenín Moreno, pusiera fin al asilo de Julian Assange en su Embajada en Londres.

En esa ocasión, escribíamos que “no existen antecedentes suficientes ni para la inicial acusación de ser parte de una red de espionaje digital, ni de otras de ‘defraudación fiscal’ o ‘tráfico de influencias’, manteniéndose hasta hoy una investigación con características de persecución política”.

Ola Bini salió en libertad luego de 70 días mediante un recurso de hábeas corpus. El vínculo entre Bini y Assange fue utilizado en reiteradas ocasiones durante el juicio y luego de este. El 31 de enero del 2022 un tribunal ratificó, por unanimidad, la inocencia de Ola Bini.

Sin embargo, el viernes 5 de abril de 2024, más de un año después de haber declarado la inocencia de Ola, un tribunal de apelaciones revocó el fallo de inocencia dictado en 2023 y lo condenó a un año de prisión y a una multa de 1.840 dólares. El 8 de abril de este mismo año, tres días después del fallo, un tribunal de la provincia de Pichincha (Ecuador) aceptó la solicitud de suspención de la condena presentada por la defensa de Ola.  Además, estableció nuevas condiciones para el sueco que deberá “presentarse cada 15 días ante la autoridad competente, no salir del país sin autorización del juez, tener domicilio determinado, ejercer un trabajo, profesión u oficio; no ser reincidente y no ser procesado por otra causa”.

Durante estos años, la sociedad civil, y la defensa de Binihan denunciado diversas irregularidades en el proceso que deberían haberse resuelto en 2019, todo como resultado de un proceso que ha sido suspendido varias veces.

Más allá de la suspensión condicional de la pena de un año de cárcel impuesta por el delito de acceso no consentido a un sistema informático en grado de tentativa, el abogado a cargo del caso Carlos Soria Ávila, nos comentó que apelará para que en la instancia de casación los jueces de la Corte Nacional de Justicia analicen los fallos.

 Según palabras del abogado, el caso representó una “pena ambivalente”, es decir, “tiene un componente de privación de libertad en un centro de detención, un año, por haber sido un tema de tentativa, y no haberse consumado el supuesto delito”. Sin embargo “la pena fue suspendida para que pueda ser cumplida fuera de un centro carcelario, pero esto solo en caso de que perdamos la apelación y el recurso de casación”, proceso que todavía continúa.

Soria Ávila nos dijo que en su opinión “El fallo es completamente ridículo, antitécnico, antijurídico, incluso porque hacen precisiones ajenas al ordenamiento jurídico nacional, e incluso a nivel dogmático. El razonamiento de la pena es que, porque Ola tiene el conocimiento y tiene las capacidades para poder cometer un delito por su formación en este ámbito, lo hacen responsable de haber intentado cometer el delito”. Es decir, “ni siquiera es porque haya hecho algo, sino porque tiene las capacidades”. Se refiere a la pena como una “criminalización del conocimiento pura y dura, en la que se pretende generar miedo en las personas que se dedican a la seguridad y privacidad digital”. Destaca también, que “el profundo desconocimiento del tema técnico en el país es asombroso. Es preocupante, además porque se está persiguiendo a los defensores de los derechos digitales. Y esto es un aliciente perverso para el Ecuador”.

En una conferencia en 2013, Ola Bini propuso la posibilidad de transformar a Ecuador en un paraíso de la privacidad informática.  Hoy declara: “Yo pensé que en ese entonces existía la posibilidad, pero la verdad es que el panorama político ha cambiado mucho. Lamentablemente, no estoy seguro si es posible recuperar esta posibilidad ahora. Hay otras luchas más importantes, como por ejemplo reformas sobre ciberdelitos, o la figura de agente informático encubierto”.

En la condena a Bini se mencionó lo peligroso que podría ser debido a sus conocimientos técnicos. Al respecto, opina:  “Los jueces dijeron claramente que me condenan porque yo tengo la posibilidad de cometer delitos por mis conocimientos. Y claro, es muy peligroso para muchas personas en Ecuador, pero especialmente personas que trabajan con ciberseguridad”.

Asimismo, destaca que las auditorias de seguridad son medidas muy importantes para mantener la seguridad.  Sin embargo, es difícil determinar si el conocimiento adquirido podría ser suficiente para una condena.  Actualmente subraya, “sería muy peligroso estudiar estos temas. Vamos a quedar sin expertos que sepan cómo protegernos, y el resultado es que habrá más incidentes y ataques de ciberseguridad”.

La seguridad informática es un problema grave en Ecuador. En el año 2019, ocurrieron las filtraciones de Databook y Novaestrat, donde se filtraron datos personales de la población de todo el país. Estos casos marcaron el inicio de muchas filtraciones de datos y fallas de seguridad que no han parado desde entonces.

Dentro de este contexto, lo que Ecuador necesita son personas con conocimientos en seguridad digital para fortalecer los sistemas y garantizar la seguridad de los datos de la ciudadanía. En lugar de penalizar el conocimiento técnico, como si estuviéramos viviendo en la Edad Media, necesitamos fomentar un mayor conocimiento y una mayor investigación.

Es más urgente que nunca contar con conocimientos en seguridad informática que ayuden a tener sistemas más seguros.

Volver a lo básico: la importancia de delimitar nuestros espacios de exposición 

Se puede pensar a la privacidad como tener el control de qué parte de nuestra vida compartimos y con quién. No es lo mismo una conversación de pareja, un intercambio familiar, que el que se tiene con amigos, o con colegas de trabajo. En cada conversación nos comportamos de una forma diferente, basada en el contexto, porque entendemos muy bien con quién nos comunicamos.

En internet esto no funciona así. Si bien hay quienes creen que la comunicación es anónima, la verdad es que cuando hacemos algo cotidiano, como enviar un mensaje vía WhatsApp, esta empresa conoce al remitente, destinatario, los teléfonos que intervienen, la hora y la frecuencia en que sucede la comunicación. Una empresa de telecomunicaciones puede acceder a información muy similar cuando utilizamos nuestro teléfono móvil. Quien tenga acceso a esos datos, a su vez, puede inferir mucho sobre nuestros hábitos más íntimos. Del mismo modo: el contenido que publicamos en Facebook puede ser visto por las personas que conocemos y queremos, pero también por personas totalmente desconocidas, a depender de nuestras configuraciones de privacidad y seguridad. El contexto dirá si tal acceso puede mostrarse peligroso o no.

La parte que nos toca

Ya sabemos de la vigilancia de las grandes empresas de tecnología y su relación con agencias de inteligencia. También de los mecanismos como podemos sufrir distintos tipos de intervención en nuestras comunicaciones de manera más o menos legítima.  Sin embargo, si bien hay situaciones en que es difícil escaparse de la intrusión de agentes externos, hay mucho que podemos hacer aún para proteger nuestra privacidad en las redes sociales.

Hay momentos en los que la información que queremos compartir debería llegar a todo el mundo y otros en las que no quisiéramos que personas (organismos, o empresas) específicas se enteren.

No es lo mismo promocionar un bien o servicio en Internet, emitir una opinión política o compartir una foto familiar. La opinión política, por ejemplo, podría poner en riesgo mi trabajo o mi emprendimiento. En algunos países, si se piensa en periodistas de investigación o activistas sociales, la exposición de ciertas informaciones personales de manera pública podría poner en riesgo sus vidas e incluso las vidas de sus familias.

La inteligencia de fuentes abiertas permite averiguar mucho de una persona basada en información pública, principalmente en internet. Es lo que utilizaría un periodista para investigar el perfil de un funcionario corrupto. También es utilizada por la policía para seguir a personas sospechosas. Los gobiernos, muchas veces la utilizan para monitorear redes sociales e identificar adversarios políticos. Delincuentes comunes utilizan esta información para conocer nuestros movimientos y así poder planificar actos criminales.

Algo tan sencillo como realizar publicaciones de Instagram en tiempo real, mostrando las maravillosas vacaciones que estoy teniendo podría alertar a un ladrón que no estoy en mi casa. El riesgo de esta situación se incrementa si además comparto esta información en estados de WhatsApp.

Utilizamos a diario esta plataforma para comunicarnos con gente cercana, pero también para interactuar de manera profesional con otras personas. De esta manera, en nuestros teléfonos, tenemos contactos de restaurantes, plomeros, albañiles, médicos y un largo etcétera de profesionales con los que interactuamos de manera cotidiana.

Muchas de estas personas utilizan estados para comunicar su trabajo y los servicios que ofrecen. Sin embargo, parte importante de ellas comparten su vida privada a través de estos estados. Personalmente me he encontrado en situaciones donde observo almuerzos familiares, bautizos, fiestas infantiles y un largo etcétera de situaciones de la vida privada de otras personas con las que no soy cercano.

Soy una persona con buenas intenciones y no quiero hacerle el mal a nadie, pero esta información es accesible a gente bien y mal intencionada. Como persona que trabaja en seguridad digital reflexiono sobre los riesgos a los que nos exponemos en este tipo de situaciones. ¿Qué es lo que haría un acosador, un ladrón, pedófilo o cualquier otro actor mal intencionado con esta información? Nos hemos preguntado, ¿qué tanto conocemos a las personas que tenemos como contactos en nuestros teléfonos?

(Re)tomando las riendas de nuestra información

Las redes sociales que utilizamos a diario tienen configuraciones de privacidad que nos permiten tener mejor control sobre quién puede, o no ver lo que publicamos. Es cierto también que estas configuraciones suelen ser complicadas y sus valores predefinidos son demasiado abiertos. Esto trae como primera consecuencia que la gente publique sin tener conciencia de quién lo verá o quién lo leerá.

Los estados de WhatsApp son accesibles para todas las personas que yo tengo registradas en mi teléfono y que me tienen registrado a mí, sin embargo se puede hacer una lista corta de quién puede leer lo que publico.  Instagram o X pueden ser configurados para que solamente las personas que nos siguen puedan ver las publicaciones y el seguimiento debe ser aceptado, de manera predeterminada cualquiera puede ver nuestras publicaciones. Incluso si la cuenta es privada, pero nos siguen cientos o miles de personas ya no es tan privada.

La privacidad sí importa

Internet ha traído cambios radicales en nuestras vidas, muchos de los cuales aún estamos intentando entender. Por un lado, podemos llegar con nuestros mensajes a cientos, miles y tal vez millones de personas. Por otro, nuestras vidas privadas pueden ser expuestas a audiencias indefinidas y personas mal intencionadas que podrían hoy o en el futuro usar esta información en nuestra contra.

Es importante pensar antes de publicar y utilizar Internet de una manera en la que podamos buscar nuestro beneficio. Si queremos compartir temas familiares mejor hacerlo en grupos pequeños donde conozcamos a las personas. Si queremos vender, informar, expresar nuestras ideas, pensemos cuáles son los mejores espacios de difusión.

Delimitar nuestros espacios de exposición nos protege, nos requiere reflexionar sobre los contenidos personales que compartimos diariamente. No todo está en nuestras manos, es verdad, pero un análisis acerca de cómo usamos nuestras redes está a nuestro alcance y puede ayudarnos a la hora de cuidar nuestra privacidad y nuestra seguridad en línea y fuera de ésta. 

Cibercrimen y castigo

En cierto clásico de la literatura universal de la segunda mitad del siglo diecinueve, deducible a partir del título de este texto, se nos presentan reiteradamente diálogos entre su protagonista, Raskólnikov, y un inspector de policía que dinamizan la historia, a la vez que permiten darle un vistazo a la realidad cultural, histórica e institucional del entonces Imperio Ruso. En uno de esos intercambios, el segundo le espeta al primero: “(…) y es que el caso general que responde a todas las formas y fórmulas jurídicas; el caso típico para el cual se han concebido y escrito las reglas, no existe, por la sencilla razón de que cada causa, cada crimen, apenas realizado, se convierte en un caso particular, ¡y cuán especial a veces!: un caso distinto a todos los otros conocidos y que, al parecer, no tiene ningún precedente”.

Esta deliberada ambigüedad con la que describo la novela tiene dos funciones: evitar spoilers e ilustrar que las definiciones en torno al crimen dependen, en gran medida, de los consensos al interior de cada grupo humano al respecto, sea este un clan, una tribu, un estado, un imperio, e incluso más allá: de acuerdo con el inspector, Porfiri Petróvich, depende de cada caso. Así, no es extraño que los procesos y mecanismos para legislar al respecto se extiendan por meses o años, sea a nivel local, regional o global.

La situación actual del Comité Ad Hoc de la Organización de las Naciones Unidas (ONU) encargado de elaborar una Convención Internacional para la Lucha contra la Ciberdelincuencia así lo evidencia, como hemos señalado desde el inicio de este Comité. La sesión supuestamente de cierre del Comité, finalizada el 9 de febrero, quedó en suspenso dada la falta de acuerdos en asuntos clave: el alcance de la convención, salvaguardas y derechos humanos, además de determinados crímenes específicos. La presidenta de la mesa determinó continuar la discusión en una sesión futura, de diez días de duración, posiblemente en julio de este año, lo que todavía debe ser aprobado y confirmado por la Asamblea General de la ONU.

El punto de partida de este curso fue una carta enviada, justamente, por la Federación Rusa al organismo internacional en 2017, que plantea la preocupación por “la gravedad de los problemas y amenazas que plantean los delitos relacionados con las tecnologías de la información y las comunicaciones (TIC)” y ofrece un texto preliminar de una convención contra la ciberdelincuencia, cuyo énfasis está en la amplia criminalización y promoción de la cooperación internacional para prevenir y combatir tales delitos.

Aunque no es la aproximación clásica para generar un instrumento internacional en instancias de las Naciones Unidas, en general dicha carta parece emanar de un genuino interés por asumir colectivamente los retos que comporta el desarrollo tecnológico. No obstante, la redacción del segundo de los tres objetivos ahí expresados, “impedir los actos contra la confidencialidad, la integridad y la accesibilidad de las TIC, y prevenir el uso indebido de las TIC” tiene la línea que más controversia ha causado en estos siete años: “(…) tipificando como delitos los actos descritos en la presente Convención” y que despierta sospechas sobre las reales intenciones de la Federación Rusa al presentar, más tarde, un borrador del tratado listo en la primera sesión, previo a cualquier discusión plenaria sobre la materia, a la par que está documentado el uso que se le da en ese Estado a tipos penales sobre cibercrimen para criminalizar de manera arbitraria a las voces críticas del actual Gobierno.

Luego, en noviembre de 2019, una resolución, patrocinada por Rusia –junto con Bielorrusia, Camboya, China, Irán, Myanmar, Nicaragua, Siria y Venezuela– para establecer un comité internacional para combatir el cibercrimen pasa en la Asamblea General de la ONU. Estados Unidos, la Unión Europea y otras naciones se opusieron a la resolución, junto con organizaciones de derechos humanos, incluidas la Asociación para el Progreso de las Comunicaciones y la EFF, las que instaron a la Asamblea General a votar en contra de la resolución, citando preocupaciones de que “podría socavar el uso de Internet para ejercer los derechos humanos y facilitar el desarrollo social y económico”. Un mes más tarde, sin embargo, la Asamblea General resuelve seguir adelante con esta iniciativa.

Un ajedrez imposible

Si las dinámicas de la política doméstica a veces pueden ser agotadoras e incomprensibles, cuando se trata de geopolítica, esto se enreda todavía más. Lograr que los 193 países que ocupan un asiento en la Asamblea General de las Naciones Unidas lleguen a consensos sobre las materias más diversas se vuelve una odisea. Hay diferencias entre países que son simplemente irreconciliables y el escenario provisto por la discusión hasta ahora de este tratado así lo demuestra.

El objetivo inicial de tipificación de delitos facilitados por TIC ha sido impugnado una y otra vez en cuanto a que no hay manera de realizar un catálogo de estos que deje contento a todo el mundo. Los Estados Miembros de este órgano internacional, al decidir sentarse en esta mesa y participar de las discusiones globales, lo hacen en conformidad con lo señalado en la Declaración Universal de los Derechos Humanos, documento rector de la Asamblea de la ONU, además de otros instrumentos similares. Sin embargo, en medio de las discusiones en esta sesión delegaciones de China, Cuba y otros Estados estimaron que el “lenguaje de derechos humanos” presente en el actual borrador es un exceso, siendo este un documento concebido nada más que como una guía en la aplicación de justicia.

Un ejemplo tiene relación con los artículos sobre explotación de menores en contextos digitales. El interés superior de las niñas, niños y adolescentes (NNA), además de la autonomía progresiva de las NNA, es una preocupación de todos los Estados, sin duda, pero las aproximaciones al resguardo de este son radicalmente opuestas entre el bloque occidental y el resto del mundo. Mientras que la UNICEF y la Oficina del Alto Comisionado de Derechos Humanos enfatizan que los adolescentes que están próximos en edad, madurez y desarrollo no deben ser criminalizados por una actividad sexual consentida y no explotadora, siempre que no exista ningún elemento de coacción, abuso de confianza o dependencia entre los adolescentes, muchas delegaciones como Egipto, Oman, Qatar, entre otras, expresaron que esta descriminalización no debería estar en la Convención.

Supongamos que un adolescente envía una nude o imagen íntima de manera voluntaria mediante una aplicación de mensajería instantánea. Según su nacionalidad, este acto puede constituir o una manifestación del libre albedrío y de la autonomía progresiva que todas las personas adquirimos conforme crecemos, o podría constituir el delito de producción de material pornográfico mediado por las tecnologías, habilitando su persecución y castigo con la ayuda de la cooperación internacional que fomenta el actual borrador del tratado.

Esto no tiene sentido para quienes habitamos el lado occidental del mapa mundial, pero ocurrió. Human Rights Watch documentó, hace un año, los casos de Yamen y Amar, dos jóvenes LGBTQAI+ de Jordania que fueron criminalizadas con base en su actividad en WhatsApp y aplicaciones de citas como Grindr. En ese país, el código penal considera a las relaciones del mismo sexo como ofensas a la moral y refleja el dilema que representa legislar con una perspectiva de derechos humanos a escala global. Los artículos 13 y 15 del borrador más reciente consolidan estas prácticas, al dejar al arbitrio de cada Estado la tipificación de delitos en este tema.

Alianzas inesperadas

No todo es tan oscuro. Esta última etapa demostró que la participación multisectorial logra resultados y, en nuestra región, podemos atribuirlos sin empacho al trabajo de incidencia que hemos realizado desde el consorcio AlSur junto con la Red en Defensa de los Derechos Digitales (R3D), el Instituto Panamericano de Derecho y Tecnologías (IPANDETEC) e Hiperderecho. Celebramos, igualmente, la articulación que se observa en el Sur Global. Una carta de la International Press Foundation recoge preocupaciones similares a las nuestras, emanadas desde la sociedad civil del continente africano. La Comisión Internacional de Juristas también puso el acento, en una declaración publicada en enero de este año, en la incorporación de principios de no discriminación, legalidad, interés legítimo, y necesidad y proporcionalidad en el texto discutido.

La mayoría de los países de América Latina se mostraron a favor de incorporar garantías de protección de derechos humanos en el borrador, y esto es el producto tanto de la incidencia presencial en las diferentes reuniones del comité como de la producción de investigaciones y relatorías que dan cuenta de la importancia de tales salvaguardas. Asimismo, la cooperación con otras partes interesadas también ha sido clave. El Manifiesto Multisectorial de 2021 fue firmado por organizaciones de la sociedad civil y representantes de la industria tecnológica, toda vez que hay preocupaciones compartidas respecto del alcance del tratado y sus posibles consecuencias en la fragmentación del ciberespacio.

Ahora durante la sesión de clausura, una carta abierta de la sociedad civil y organizaciones de la industria tecnológica puso el acento en que el primer propósito de un tratado de estas características es proteger a las víctimas de cibercrímenes, ofrecerles reparación efectiva y garantías en el resguardo de sus derechos humanos. Además, señaló que “Un nuevo tratado contra el cibercrimen no debe reducir las obligaciones existentes de los Estados en virtud del derecho internacional, especialmente el derecho internacional de los derechos humanos”. Por el contrario: lo que esperamos desde la sociedad civil es que dichas obligaciones se incrementen, en particular en lo que refiere a las consideraciones sobre género. Una victoria que podemos reconocer, en esta fase, es la incorporación de una frase sobre este tema en el preámbulo, fruto del esfuerzo sostenido y conjunto entre múltiples partes interesadas, aun cuando apuntamos a su incorporación transversal en todo el tratado.

Compañías como Microsoft, desde el primer momento, han expresado que el tratado no debe entenderse como un conjunto de tipos penales. En cambio, ha de fomentar el fortalecimiento de capacidades a escala global para combatir los delitos en entornos digitales, asegurar la consulta con expertas en la materia y poner especial cuidado en aspectos como el flujo transfronterizo de datos personales.

¿Qué hacer?

Frente al enorme poder que detentan los Estados Miembros en instancias multilaterales, cuyos consensos tienen impacto directo en las vidas de todas las personas, alianzas como las mencionadas son imperativas. Pese a que la suspensión de la sesión deja el tema en un limbo de incertidumbre, puede no ser solamente una mala noticia, por ejemplo, por los costos con este proceso. Pero cuando no hay poder suficiente para detener un proceso, demorar su cierre es una estrategia común desde las partes con menor ventaja.

Todavía queda tiempo para visibilizar los graves conflictos que podría acarrear la aprobación de este tratado y en esto la difusión y socialización de sus consecuencias cobra vital relevancia. Hemos sido testigos de cómo algunos Estados han modificado sus posiciones a partir de las conversaciones de pasillo en la ONU y la multitud de voces que han alertado sobre los aspectos más controversiales del tratado.

Desde el Sur Global, nuestra posición es clara: haremos todo lo que esté a nuestro alcance para impedir que un documento altamente punitivo, tremendamente amplio, sin limitar atribuciones estatales de vigilancia, y sin garantías efectivas de derechos humanos, tenga luz verde. En Derechos Digitales no le restamos importancia a la necesidad de regular el cibercrimen a escala internacional, pues va en la dirección correcta en el resguardo de los derechos humanos de todas las personas. Hemos señalado nuestros reparos y ponemos a disposición nuestras capacidades para seguir bregando por un documento que garantice mayor seguridad en línea a todas las personas, defendiendo y promoviendo los derechos humanos, con una perspectiva de género efectiva.

Tú también puedes colaborar. Visita el minisitio sobre este tema, comparte en tus redes, habla con tus amigas y revisa cuál es la posición de tu Gobierno al respecto. Petróvich, en otra conversación con Raskólnikov, afirma lo siguiente: “¿Qué importan estas normas, que en más de un caso resultan sencillamente absurdas? A veces, una simple charla amistosa da mejores resultados”.

Seguridad en el ciberespacio: de la negociación a la acción

Por varios años, la sociedad civil global, incluida la latinoamericana, ha levantado alertas sobre negociaciones internacionales que significan oportunidades o (más frecuentemente) riesgos para los derechos humanos en el ciberespacio. Es el caso del Comité Especial sobre Cibercrimen, como también del Grupo de Trabajo de Composición Abierta sobre TIC, en la Tercera y la Primera Comisión de la ONU respectivamente. Mientras la discusión para cibercrimen parece terminar una etapa, el Grupo de Trabajo de Composición Abierta (OEWG) sigue su curso, procurando encontrar un consenso sobre el comportamiento de los Estados en el ciberespacio.

Dentro de ese marco, son varios países de la región que a su vez son promotores del “Programa de Acción Cibernético” cuya creación fuera aprobada a fines de 2022 por la Asamblea General de la ONU. Con diversos matices, varios países de la región mantienen compromisos a nivel internacional con aspectos de la agenda del comportamiento responsable de los estados en el ciberespacio, desde perspectiva a menudo inclusivas y favorable al interés público.

Por cierto, los compromisos de alto nivel que los Estados una y otra vez declaran como propios, distan aún de lo que la práctica ofrece en cada país. Como muestra el Portal de Política Cibernética del Instituto de las Naciones Unidas de Investigación sobre el Desarme, buena parte de la región cuenta ya con estrategias nacionales, incluidas las adiciones de los últimos meses de las estrategias de Brasil, Costa Rica y Chile.

En el caso de Chile, esto vino acompañado de más noticias. Después de los anuncios realizados durante la primera mitad de 2023, se publicó en Chile la Política Nacional de Ciberseguridad 2023-2028, con cinco objetivos estratégicos y ejes transversales que incluyen a las consideraciones de género,  una semana antes de la Sexta Sesión Sustantiva del OEWG. La semana siguiente, el Senado chileno aprobó la Ley Marco de Ciberseguridad, que fomenta la implementación de estándares de ciberseguridad en los sectores público y privado y crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades regulatorias, fiscalizadoras y sancionatorias, entre varias otras medidas.

Del dicho al hecho

Todo esto luce y suena bien. Siguiendo con el ejemplo chileno, después de los procesos participativos que antecedieron a las estrategias nacionales tanto en la PNCS 2017-2022 como en la PNCS 2023-2028, el avance regulatorio es un hito. Contar no solamente con un marco general, sino con reglas legales que ofrecen una infraestructura orgánica para implementar las medidas tendientes a la ciberseguridad, parece un avance significativo y uno de los ejemplos a observar dentro de la región. El avance en paralelo de una Ley de Protección de Datos Personales que también parece tomarse la seguridad de la información con seriedad, entrega un panorama auspicioso.

No obstante, quedan varias brechas por cubrir para pasar de los altos niveles de compromiso internacional y de los elevados objetivos de una estrategia nacional, a una realidad donde el Estado sea capaz de fortalecer la confianza con otros países, mientras a nivel interno tanto las entidades públicas como las privadas entiendan el rol que les corresponde en una cultura de la ciberseguridad.

Esto pasa, en primer lugar, por el nivel internacional. Además de la necesaria actitud para mantener negociaciones de buena fe en los distintos foros donde se discute el futuro de las redes de comunicación, es importante que exista suficiente coordinación entre las entidades nacionales. En un año en que veremos el avance del proceso de los veinte años de la Cumbre Mundial de la Sociedad de la Información (WSIS+20), la Cumbre por la Democracia y la presentación del Pacto Digital Mundial, además del posible final del Comité Especial de Cibercrimen y la continuación del OEWG, junto con otros eventos y encuentros de coaliciones, es necesario que cada país mantenga pleno alineamiento con sus políticas internas y sus aspiraciones de largo plazo, más allá de las contingencias y de los gobiernos de turno.

 También, que se permitan fijar acuerdos a nivel internacional y regional que incorporen a múltiples partes interesadas en esfuerzos concretos para implementar medidas de fomento de la confianza y de formación de capacidades, donde la sociedad civil, la academia y el sector privado tienen roles cruciales.

Sin embargo, donde quizás esté la deuda más relevante que se debe saldar antes de pensar en cómo se implementarán cibernormas es a nivel nacional. Un elemento distintivo de esta Política es la decisión de publicar los ejes y objetivos de alto nivel, y detallar las medidas concretas en un documento aparte, que aún no conocemos. Este Plan de Acción comprenderá los objetivos y medidas de corto plazo derivados de la Política, y su publicación será esencial para obtener una visión completa de la implementación práctica de la Política. Antes de ese Plan, la carencia es significativa: saber cómo se cumplirán objetivos como fortalecer a la industria, capacitar a la función pública, corregir inequidades de acceso, favorecer la investigación, hacer el seguimiento de las necesidades de coordinación y la relación concreta con las otras políticas nacionales, son todavía materia por conocer. Tampoco conocemos hoy las alternativas de seguimiento e implementación de la Política que deben ser propuestas por el Comité Interministerial sobre Ciberseguridad (PNCS, 1.3). Así, los objetivos de política pública contenidos en la Política son materias que todavía están en el terreno la aspiración.

Por cierto, nada de eso obstaculiza a la posibilidad de una pronta puesta a punto de un entramado normativo e institucional que permita en Chile la implementación de normas y medidas que faciliten la práctica de la ciberseguridad en todos los niveles de la interacción social.

Como siempre, la sociedad civil estará dispuesta a colaborar en ello.

Ciberseguridad desde una perspectiva de género interseccional: desafíos persistentes a una demanda urgente

Investigaciones que exploran los nodos claves de la ciberseguridad desde una perspectiva de género, hacen hincapié en la vulnerabilidad diferenciada de ciertos grupos ante ciberataques, así como su impacto diferenciado según el género. Tanto la brecha de género, como las dimensiones de la violencia de género se presentan, por lo tanto, como elementos clave para entender a esta problemática.

Si bien la brecha digital de género se ha reducido, persisten desigualdades significativas. Por ejemplo, aunque se registran aumentos en el número de mujeres profesionales en la industria de tecnologías, ellas siguen representando apenas 25% de la fuerza de trabajo en ciberseguridad (contra al menos 40% de la fuerza de trabajo en general). Además, la incorporación de mujeres jóvenes es muy lenta y la ausencia de diversidad es muy notoria en los cargos directivos. Cuando se trata de personas LGBTQIA+ los mismos datos son escasos evidenciando brechas aún más profundas.

Esto también se refleja en las grandes instituciones que gobiernan internet. Como hemos señalado en publicaciones anteriores, por ejemplo, la Unión Internacional de Telecomunicaciones (UIT), sólo ahora tiene una mujer en su Secretaría General, tras décadas de estar encabezada por hombres mayoritariamente blancos.

Ciber-inseguridad y violencia de género facilitada por las tecnologías

Tales brechas históricas han dejado las principales decisiones en materia de tecnologías en las manos de una minoría, lo que ha contribuido con la persistencia de violencias de género que retroalimentan desigualdades luego perceptibles en las políticas. A pesar de ser reconocida internacionalmente como un problema acuciante, la violencia de género facilitada por la tecnología (TFGBV, por sus siglas en inglés) no suele considerarse un problema de ciberseguridad debido a la subestimación de asuntos domésticos/privados y porque se elige dar prioridad a las amenazas “más graves”.

Cabe recordar que la TFGBV es un problema generalizado que vulnera los derechos humanos de las personas afectadas. Actúa como un obstáculo a su pleno ejercicio y representa una barrera adicional para la participación en las esferas económica, social, cultural y política, obstruyendo así la realización de la igualdad de género.

Al tratar de ofrecer respuestas, los Estados a menudo han puesto un foco mayoritario en el uso del sistema criminal mediante legislaciones que han resultado no solo ineficaces sino que han puesto en peligro a las personas a quienes apunta a proteger. En una investigación reciente, hemos señalado que las leyes existentes sobre ciberdelincuencia tienden a prestarse a abusos debido a su terminología imprecisa y a la falta de mecanismos de reparación suficientes. Tampoco están específicamente diseñadas para abordar los problemas de género.

Por tanto, estrategias de ciberseguridad sólidas que sitúen a las personas y al género en el centro de las políticas y acciones públicas son una respuesta importante a la violencia de género y una alternativa al uso de normas sobre ciberdelincuencia, que deben aplicarse e interpretarse de forma restrictiva.

Espacios de incidencia: más allá de la participación

En los últimos años, los procesos multilaterales sobre ciberseguridad empezaron a incluir en sus declaraciones oficiales consideraciones sobre la dimensión de género, pero aún de manera muy tímida y limitada.

La falta de representación igualitaria en los procesos de elaboración de normas técnicas fue considerada especialmente preocupante en un informe reciente del Alto Comisionado de las Naciones Unidas para los Derechos Humanos (ACNUDH), que ahonda en la relación entre los derechos humanos y los estándares técnicos. El documento señala que es difícil encontrar datos fiables sobre la magnitud del problema, en gran parte porque las organizaciones de normalización no recogen sistemáticamente datos desglosados sobre el género de los participantes.

La situación ha sido también diagnosticada al interior de instituciones dedicadas al desarrollo de estándares técnicos. Una resolución sobre Promoción de la igualdad de género en las actividades del Sector de Normalización de las Telecomunicaciones de la UIT (UIT-T), alerta a la escasa participación de mujeres en sus procesos. El documento apunta como necesario garantizar que ellas puedan desempeñar un papel activo y relevante en todas las actividades del UIT-T. En ese sentido, se resuelve dar alta prioridad a la integración de las cuestiones de género en la gestión, la contratación de personal y el funcionamiento del UIT-T, teniendo en cuenta también la representación geográfica. Si bien reconocimientos de este tipo son importantes, el lenguaje de género binario es aún un limitante a la efectiva equidad de género.

El acceso a la participación de mujeres es clave para avanzar hacia un cambio sistémico en el abordaje de la ciberseguridad. Sin embargo, es igualmente importante notar que el abordaje de género es mucho más amplio, y debe incluir aspectos como los riesgos, necesidades e impactos diferenciados en base al género y otras interseccionalidades que deben ser incluidas tanto en normativas como la mencionada, como en procesos de desarrollo de capacidades.

Para que la integración de la perspectiva de género (o gender mainstreaming) sea efectiva, las preocupaciones y experiencias de mujeres y hombres deben ser parte integral del diseño, la aplicación, el seguimiento y la evaluación de políticas y programas en todas las esferas políticas, económicas y sociales. En ese sentido, las normas internacionales han reconocido la necesidad de que la legislación y las políticas sean «sensibles al género», es decir, que tengan en cuenta las diferencias de impacto en función del género, y que impulsen un proceso de elaboración de normas más integrador que incorpore diferentes perspectivas de género, aborde las desigualdades e, idealmente, genere empoderamiento.

Esto implica que si bien es importante avanzar en pronunciamientos específicos de la problemática de género en la ciberseguridad, este aspecto debe abordarse integralmente en tanto el género es un factor social transversal que impacta todos los aspectos relacionados a las políticas sobre el tema.

Orientada hacia ese sentido, la resolución del Alto Comisionado referida anteriormente expresa que debe prestarse especial atención no solo a la promoción de la igualdad de representación de género en los procesos de elaboración de normas sino también a la sensibilidad de género de las normas. Esto incluye la necesidad de crear y mantener proactivamente culturas libres de misoginia y discriminación.

Espacios de incidencia como la Unión Internacional de Telecomunicaciones (UIT) –  como hemos señalado en publicaciones anteriores – son fundamentales para fomentar la discusión de aspectos relevantes en la construcción de políticas públicas de ciberseguridad, que están directamente relacionadas con el cumplimiento de los derechos humanos. En términos de género, la participación se vuelve crucial no solo en asegurar paridad en las delegaciones y miembros de sociedad civil, sino en generar códigos de conducta apropiados e instalar la aplicación de la perspectiva de género también como un elemento central de la agenda de ciberseguridad.

Hacia un cambio sistémico en el abordaje de la ciberseguridad

El aporte crucial de la perspectiva de derechos humanos y el enfoque de género a la ciberseguridad insta a contemplar sus necesidades, prioridades y percepciones de la ciberseguridad en función del género y otros factores como orientación sexual, identidad de género, raza, clase social entre otros.

Citando a un reporte presentado por APC, este enfoque no implica simplemente agregar medidas a una política ya existente; sino que representa un cambio sistémico en la aproximación a la ciberseguridad. Aboga por una reevaluación del concepto tradicional de ciberseguridad, para superar la priorización de la defensa nacional o las demandas de la industria, y poner las personas en el centro. En ese sentido, es fundamental entender a las redes digitales como una base esencial para el ejercicio de derechos humanos en la actualidad.