Temática: Seguridad digital

Reflexiones sobre la privacidad en videoconferencias

En primer lugar, están los servicios provistos por grandes empresas de Internet como son Zoom, Google Meet, Teams e Skype de Microsoft, entre otros. Estas plataformas suelen dar un servicio limitado gratuito y además ofrecen la posibilidad de pagar para tener funcionalidades extras.

Más allá de ser un servicio pago o gratuito, estas plataformas tienen la característica que la comunicación es gestionada por las empresas que proveen el servicio. Las conversaciones que viajan entre nuestros dispositivos y los servidores de las plataformas es cifrada. Esto quiere decir que alguien que pueda vigilar nuestras comunicaciones no tendrá la posibilidad de saber con quién hablamos ni lo que estamos diciendo, lo que es bueno y es el mínimo seguridad que se esperaría para cualquier sistema de comunicación.

Por otro lado, las empresas que proveen el servicio lo pueden ver todo y, si lo desean, tienen la capacidad de grabar y transcribir las conversaciones.

¿Nos sentiríamos a gusto si tuviéramos una conversación con micrófonos y cámaras en nuestra casa u oficina de trabajo? ¿Nos cuestionaríamos quién puede escuchar estas conversaciones y para qué? ¿Existe algún problema si las grandes empresas de internet pueden escuchar y grabar nuestras conversaciones?

Para contestar esta última pregunta vale la pena regresar a 2013, cuando Edward Snowden filtró documentos secretos de la agencia de inteligencia de Estados Unidos NSA. En estas revelaciones aparece el programa PRISM, en el que participaban empresas como Google, Microsoft, Meta (entonces Facebook), Yahoo, entre otras. Según las filtraciones, las empresas debían entregar información de cualquier usuaria si el gobierno de Estados Unidos se los pedía. Para ese entonces ya se incluía a las videoconferencias.

¿Estaríamos cómodos si supiéramos que en nuestras casas hay micrófonos y cámaras por dónde miran y escuchan agencias de inteligencia? ¿Está bien que nuestras conversaciones puedan ser escuchadas? ¿Se puede hablar por Internet sin que nos escuchen?

El primer camino es el cifrado de extremo a extremo. En ese caso, las organizaciones o personas que proveen el servicio no serán capaces de escuchar las conversaciones. Según las preguntas frecuentes de Zoom, es posible habilitar esta opción en sus llamadas. Sin embargo, si revisamos la historia reciente, en el año 2021 Zoom tuvo que pagar 85 millones de dólares en EEUU, como resultado de una demanda colectiva donde se les acusó de mentir sobre el cifrado extremo a extremo y entregar información a Google y a Facebook.

¿Se puede confiar en Zoom o cualquier otra empresa que provea cifrado extremo a extremo? La respuesta es sí, siempre y cuando se trate de software libre y que el protocolo de cifrado funcione en nuestro dispositivo y no en el servidor. El software libre es importante porque se sabe de manera pública cómo funciona la aplicación y se la puede auditar de forma colectiva a nivel global. Es muy difícil poner puertas traseras con este esquema de desarrollo. Por otro lado, es importante que el cifrado de extremo a extremo suceda en nuestros dispositivos, porque por más libre que sea el software, no podemos saber si el sistema que funciona en el servidor ha sufrido modificaciones y pueda servir para espiarnos.

En ese sentido, las videollamadas de Signal están cifradas de extremo a extremo desde finales de 2021 para llamadas de hasta 5 personas y se supone que hoy en día soportan hasta 40. Si bien es una aplicación con más de 10 años de existencia y ha demostrado ser confiable, tiene un problema. Todas las comunicaciones son gestionadas por los servidores de Signal. Si bien no pueden escuchar las llamadas, tienen la posibilidad de monitorear quién se comunica con quién a través de los metadatos. No significa que suceda, pero es algo técnicamente viable.

Si no se puede confiar en quién provee el servicio, ¿qué se puede hacer? Una opción es gestionar el servicio de manera autónoma con servidores propios que funcionen con software libre. De esta forma, la gestión de la comunicación ya no pasa por proveedores conocidos por colaborar con agencias de inteligencia o lucrar con nuestros datos. En otras palabras, se transfiere la confianza de estos proveedores a nuestra organización o a un proveedor más chico en el que se pueda confiar.

Herramientas libres como Jitsi y Big Blue Button permiten tener un sistema de videoconferencias propio. Si bien las comunicaciones ya no pasan por las grandes empresas de tecnología, en principio no están cifradas de extremo a extremo. Esto quiere decir que las personas que gestionan las comunicaciones podrían vigilarlas. Por ello, es muy importante conocer quién nos da el servicio y confiar en nuestro equipo. Es importante también destacar que Jitsi está trabajando para tener cifrado de extremo a extremo en sus comunicaciones.

¿Existe alguna opción en la que dos o más personas puedan hablar por internet de forma segura sin que un tercero sepa que esto está sucediendo? Puede sonar algo subversivo, sin embargo, es el equivalente a reunirnos en un parque sin celulares en los bolsillos, ya que el mundo físico no viene con vigilancia embebida. Algo que fue normal hasta hace algunos años.

Herramientas como Jami o Tox buscan que la gente se comunique de forma segura sin la necesidad de servidores de terceros. Estos son proyectos que ya tienen su muchos años de existencia, pero que por problemas de usabilidad no han despegado.

Una alternativa interesante es Wahay, que ha sido desarrollada en Latinoamérica por el Centro de Autonomía Digital. Esta aplicación combina los proyectos de software libre Mumble con los servicios cebolla de Tor. Su arquitectura garantiza que nadie por fuera de la conversación sepa que la mismo sucedió y menos lo que se dijo. Actualmente, Wahay funciona solamente en GNU/Linux.

Esta columna no tiene el objetivo de recomendar una aplicación sobre otra. Lo que busca es ampliar una visión crítica sobre la tecnología que nos permita tomar decisiones informadas basadas en nuestras necesidades.

Por ejemplo, la inteligencia artificial está llegando a estas plataformas de comunicación y es importante tener una visión crítica sobre la misma. Hoy en día es posible tener un asistente virtual en nuestras reuniones que pueda tomar nota, hacer resúmenes, grabar las reuniones e incluso destacar los puntos claves en las grabaciones. Algo que puede ser útil y conveniente, pero si es gestionado por servidores remotos pone en riesgo nuestra comunicación y nuestra privacidad. Sin embargo, si la aplicación de inteligencia virtual funciona con software libre y en nuestros dispositivos, puede ser interesante. Tal vez es más simple y seguro tomar las notas entre seres humanos.

Elecciones, derechos digitales y desinformación: desafíos y aprendizajes a partir de la experiencia brasileña en 2022

Descargar PDF

La publicación analiza las especificidades del ecosistema de desinformación en las últimas elecciones presidenciales de Brasil, buscando ofrecer recomendaciones para otros países de la región que enfrenten esta problemática. El estudio fue realizado por la investigadora y docente brasileña, Anna Bentes, en el marco de una pasantía en Derechos Digitales entre noviembre de 2022 y mayo de 2023. Revisa el estudio completo aquí.

 

«Escuchas» de llamadas telefónicas  a través de la infraestructura del proveedor de servicio

La seguridad de las comunicaciones ha sido un elemento relevante y estratégico dentro de la historia de la civilización, tanto a nivel personal como colectivo, ya sea en momentos de conflicto o de aparente calma. En el contexto actual, donde muchas de nuestras comunicaciones se materializan a través de teléfonos móviles, es válido preguntarse acerca de su seguridad y privacidad. Esta columna se centrará específicamente en las llamadas telefónicas que se realizan a través de la red del operador de telefonía, lo que comúnmente conocemos como “llamar por teléfono”.

Es cotidiano enterarse por la prensa de investigaciones judiciales o de inteligencia que utilizan la interceptación de llamadas, también conocidas como “pinchazos” o “escuchas” telefónicas. Este método se utiliza con la intención de recopilar pruebas en un contexto investigativo fundado, pero también existen casos en los que el método es usado con otros fines, como por ejemplo en el caso de Chile reportado en 2022 por el Centro de Investigación Periodística CIPER. En esa oportunidad, relata la investigación que «durante tres meses, entre diciembre de 2017 y febrero de 2018, el teléfono de una conocida productora de eventos estuvo intervenido por la Dirección de Inteligencia de Carabineros. Los agentes de la policía escucharon y pudieron grabar cada una de sus conversaciones, en las que ella dialogó con humoristas, cantantes y managers«.

Ante este escenario, en que personas y organizaciones que no deberían ser objeto de investigación están bajo vigilancia, resulta relevante entender cómo funciona la interceptación y cómo prevenirla.

Existen algunos supuestos indicios que podrían advertir al usuario del teléfono si su dispositivo está sometido a un proceso de interceptación de sus llamadas desde la infraestructura del operador de red. Para verificar eso, comentaremos el tipo de protocolo de comunicación utilizado actualmente, con el fin de dar una explicación que nos permita evaluar con mayor certeza qué tan ciertas pueden ser dichas afirmaciones.

Lo primero que debemos entender son los identificadores de rastreo. Cuando un teléfono es utilizado, sea “smartphone” o  «de los antiguos”, requiere de un chip o tarjeta SIM (por su sigla en inglés, Subscriber Identity Module). La tarjeta SIM cuenta con un número de teléfono asociado que puede ser reasignado, por ejemplo, en el caso en que se cambie de tarjeta SIM pero se mantenga el número telefónico. Además, la tarjeta cuenta con un identificador único, llamado IMSI (International Mobile Subscriber Identity), que es un “código inteligente” que nos entrega información acerca del país (MCC), red del operador (MNC) y un identificador (MSIN). El conjunto del código es único, identificable y rastreable. Por otro lado tenemos el identificador del dispositivo móvil (teléfono físico), llamado IMEI (International Mobile Equipment Identity), que es un código único que identifica al aparato de forma exclusiva a nivel mundial.

Cuando una compañía telefónica es notificada para monitorear la actividad de un número telefónico, utiliza el IMSI para generar el filtro necesario y captar las llamadas. Cabe mencionar que, además de las llamadas, existen otros tipos de datos que pueden ser entregados por el operador telefónico al solicitante: mensajes SMS, geolocalización y listado de llamadas.

En el caso del listado de llamadas y la geolocalización es posible que el operador pueda entregar información retroactiva, es decir, datos correspondientes a períodos previos a la fecha en que se requiere la interceptación.

Cambiando de tarjeta SIM

Existen personas que, dado su contexto de acción, tienen la sospecha de que pueden ser objeto de vigilancia, por lo que toman la medida de cambiar de tarjeta SIM con el fin de evitar que sus llamadas sean “pinchadas”. Es aquí donde interviene el identificador único del dispositivo móvil o IMEI.

Los operadores telefónicos tienen la capacidad de generar filtros por IMEI, por consecuencia, aunque se cambie la tarjeta SIM el filtro de monitoreo igual funcionará, pues tienen la capacidad de reconocer el dispositivo desde el cual se está utilizando.

¿Cómo saber si mi dispositivo está siendo parte de un procedimiento de interceptación de llamadas telefónicas a través de la infraestructura del operador de red?

Debido a los cambios en los protocolos e implementaciones tecnológicas, las llamadas pasaron de un sistema analógico a uno digital. Cuando la interceptación se realiza utilizando la infraestructura del operador, no existe forma de notar o probar que un dispositivo está en ese proceso.

Antiguamente, en las comunicaciones análogas, era posible escuchar ruidos o voces cuando un teléfono estaba siendo vigilado. Pero con la implementación de la comunicación digital los dispositivos que gestionan las llamadas son muy similares a un computador o servidor, y no generan ningún tipo de ruido o evidencia perceptible para los usuarios.

Es posible que, como en todo sistema de comunicación a distancia, al usar el dispositivo se generen ruidos, por distintos motivos: pérdida de señal, demoras en el procesamiento, congestión, etcétera. Pero aún así, eso no es evidencia de la interceptación. Desde la otra vereda, puede suceder que un dispositivo móvil esté siendo sujeto de interceptación, pero los usuarios no experimenten ruido alguno.

Es importante reiterar que esta columna solo está referida al proceso de interceptación a través de la infraestructura del operador de red telefónica, pues existen otro métodos, como el uso de Cell-Site Simulators/IMSI Catchers, que básicamente funcionan como antenas falsas que captan las comunicaciones de uno a más dispositivos telefónicos a su alrededor.

En el escenario del uso de antenas falsas es posible que se generen algunos efectos que puedan ser perceptibles por los usuarios. En otras técnicas de vigilancia, como el uso de malware, es posible evidenciar su funcionamiento con comportamientos anómalos en el dispositivo, como el uso excesivo de la batería, sobrecalentamiento o el uso inusual de cantidad de datos.

Técnicas avanzadas de rastreo y vigilancia

Como ya fue mencionado, los operadores pueden rastrear e identificar un dispositivo móvil a pesar del cambio de tarjeta SIM. Entonces, en el escenario de cambio de dispositivo físico y de tarjeta SIM, ¿es posible identificar a alguien? La respuesta es sí, es posible.

Con el supuesto de que se buscó la forma de adquirir un dispositivo físico y una tarjeta SIM sin que tenga relación de pago o suscripción con quien lo utilizará, existen técnicas de reconocimiento de patrones de llamadas que pueden identificar al usuario. 

Una técnica se centra en la utilización de una base de datos de registros de llamadas previas, para así generar reglas de comportamiento, tal como lo menciona la EFF en su columna de acerca del problema con los teléfonos móviles donde cita el reporte de intersecciones y explica el funcionamiento de un sistema del gobierno de Estados Unidos llamado PROTON.

En palabras simples, aunque una persona cambie de dispositivo físico y de tarjeta SIM, es posible su identificación debido al reconocimiento del patrón de números con los cuales se comunica habitualmente.

También es posible identificar un dispositivo si se mueve junto a otro. Esto significa que si se tienen dos teléfonos con perfiles de uso diferenciados, el operador puede relacionarlos si se mueven juntos y, de ese modo, identificar al usuario del dispositivo.

Prevención y soluciones

Existen varias formas de sortear la interceptación de llamadas telefónicas. Lo primero es tener en cuenta que en los teléfonos llamados “inteligentes” está la posibilidad de utilizar aplicaciones para hacer llamadas, que cuentan con cifrado de extremo a extremo. Estas aplicaciones permiten resguardar la privacidad de la llamada, pues el operador de la red no puede captar dichas comunicaciones debido al cifrado. En esta categoría encontramos aplicaciones como Signal, Whatsapp o Element/Matrix.

Si por algún motivo no se quiere utilizar un teléfono “inteligente”, son necesarias una serie de medidas que dificulten la identificación del dispositivo. Primero, no debe existir relación de adquisición o suscripción con la persona que lo utiliza. Segundo, no se debe usar o transportar en conjunto con otro dispositivo, para que no puedan ser relacionados. Finalmente, se debe tener un uso diferenciado de las comunicaciones, es decir, no se deben efectuar llamadas a números frecuentes, para que no se pueda generar la identificación del patrón de comunicación.

Esta columna solo trata de mostrar cómo se efectúa la interceptación de llamadas con la participación del operador de red, debido a que son casos muy comunes y frecuentes.

Existen otras técnicas de vigilancia que pueden ser aplicadas a dispositivos móviles, tales como el uso de antenas falsas o mediante la implantación de malware, pero ambas resultan ser menos frecuentes, dado que necesitan de más recursos técnicos e inversión monetaria. De todos modos, y aunque menos frecuentes, no dejan de ser una preocupación, por lo que posiblemente serán temas abordados futuras instancias.

Diplomacia y peligro: negociando la paz en el ciberespacio

El pasado mes de julio, el Grupo de Trabajo de Composición Abierta Sobre Seguridad y Uso De Las Tecnologías De La Información y las Comunicaciones 2021-2025  (OEWG, por sus siglas en inglés) de la Primera Comisión de la Organización de las Naciones Unidas, tuvo una nueva sesión sustantiva, dedicada a buscar consenso sobre su segundo informe anual de progreso. La instancia es el mecanismo por el cual todos los países de ONU discuten la actividad de los Estados en el ciberespacio, particularmente en atención al riesgo de ciberataques entre Estados. Se trata no solamente de la búsqueda de mecanismos para mejorar la seguridad, sino también para procurar la paz en el uso de las tecnologías.

Sin embargo, alcanzar consensos no fue fácil, y los avances se vieron opacados por la inclusión de elementos con poco apoyo, que algunos estados estiman pueden generar incertidumbre y riesgos.

Consenso, señor, consenso

Por un lado, la discusión del borrador final estuvo marcada por la insatisfacción de muchos Estados, debido a  cambios y omisiones de propuestas formuladas en la sala. Y por otro, por la inclusión casi forzada de propuestas todavía sin apoyo significativo, a fin de rescatar un frágil consenso, por la vía de notas al pie que reconocen la vieja aspiración de reglas internacionales vinculantes para los Estados, en lugar de prácticas y normas no obligatorias. Sin embargo, el informe constata puntos de avance y define las prioridades para las discusiones futuras, a la vez que identifica iniciativas de colaboración que ya existen entre Estados.

Dentro de los puntos positivos estuvo el avance en la propuesta de un directorio global de puntos de contacto en la ONU, para facilitar la comunicación entre Estados al momento de conocer una amenaza o un actor malicioso. Dicha propuesta ha avanzado hacia una operacionalización mediante la adopción de un documento anexo al informe anual. También se plasmaron las peticiones de reuniones intersesionales para tratar puntos de más difícil acuerdo, como la aplicabilidad del derecho internacional o la definición de las amenazas, que siguen siendo objeto de intensa discusión.

Asimismo, se incluye lenguaje que invita a los Estados a una mayor transparencia sobre su comprensión de las amenazas, las posturas sobre la aplicabilidad del derecho internacional y la implementación de reglas no vinculantes. Resultan alentadoras las referencias a la sensibilidad con el género, en particular en relación con las amenazas y la capacitación, en tímido reconocimiento de la multidimensionalidad de las brechas digitales de género.

Menos afortunada resultó la mención reducida o condicionada de la intervención de partes interesadas no gubernamentales («stakeholders»), incluyendo a la sociedad civil, como actores clave en varios de los aspectos de atención. Del mismo modo, la resistencia al lenguaje explícito sobre derechos humanos hizo que su presencia quedara muy acotada, limitando el reconocimiento de la necesaria consideración por los derechos humanos en las medidas para garantizar la seguridad en el ciberespacio.

 A pesar de que Derechos Digitales, como otras organizaciones, ha destacado el esquema de distintas partes interesadas, y ha defendido el lenguaje sobre derechos humanos, la atención de los Estados parece haber estado mucho más concentrada en  la búsqueda de consensos que en estos tópicos.

Negociación y denegación

El riesgo de no alcanzar consenso estuvo dado por la contumaz propuesta de integrar lenguaje que reconociera la propuesta —minoritaria— de trasladar los acuerdos a reglas de carácter vinculante a un nuevo tratado de la ONU sobre ciberseguridad. La “diplomacia de notas al pie” (como destacó una delegación) se convirtió en una salida práctica para salvar un consenso difícil entre países en abierto conflicto geopolítico. La insistencia recae en un punto promovido desde hace años por la delegación rusa y algunas aliadas, de negociar nuevos tratados de ciberseguridad y cibercrimen (esto último ya en discusión en un Comité Especial), debido a la importancia dada en algunos de esos países a la “seguridad de la información”, concepto más amplio que el de la “ciberseguridad”, preferido en Occidente.

Por cierto, la experiencia muestra que llegar a puntos muertos no implica necesariamente un fracaso total de los procesos, pero exige abordar la discusión de manera realista para no arriesgar la paz y el desarrollo globales.

Estamos lejos de considerar que el avance del OEWG represente las aspiraciones de la sociedad civil por promover medidas inclusivas y resguardar los derechos humanos. No obstante, no podemos abandonar la aspiración de mejores reglas de conducta entre Estados, que reconozcan que la seguridad y la paz requieren del aporte de distintos actores.

Un incentivo a la seguridad informática

Todo sistema informático es susceptible a vulnerabilidades. Esto incluye a sistemas informáticos tradicionales, pero también dispositivos móviles, cámaras, drones, automóviles y un número creciente de dispositivos electrónicos que llevan un computador dentro. Por esta razón, la búsqueda, detección, reporte y corrección de vulnerabilidades de software es cada vez más importante.

La investigación en seguridad informática consiste en un conjunto de prácticas que buscan hacer un sistema más seguro y confiable. Quienes la practican dedican su actividad profesional a incursionar dentro de los sistemas en busca de vulnerabilidades, para mitigar o eliminar el riesgo de que estas puedan ser explotadas. Es uno de los mecanismos más efectivos para mejorar la seguridad del software, aunque no siempre se realiza con autorización o consentimiento de la o las personas responsables del sistema. Es por ello que a veces se habla de “hacking ético”, entendido como aquel que se realiza con la intención de reportar vulnerabilidades para prevenir ataques cibernéticos malintencionados, protegiendo la información valiosa de empresas, usuarios y usuarias.

En Chile, la regulación sobre la investigación en seguridad está actualmente en discusión, a propósito de la nueva ley de delitos informáticos, vigente desde mediados de 2022, y que implementa el Convenio de Budapest contra la Ciberdelincuencia. Sin embargo, la forma en que la normativa favorece las actividades de seguridad es deficiente: solamente se despenaliza el acceso cuando existe autorización. En la discusión del nuevo proyecto de Ley Marco sobre Ciberseguridad se vuelve a intentar consagrar de forma razonable de una exención para la investigación de seguridad. En su artículo 46 se modifica la Ley de Delitos Informáticos, incluyendo la exención de responsabilidad penal por el delito de acceso ilícito, sin necesidad de autorización previa y sujeta a muchísimos resguardos.

Desde Derechos Digitales defendemos la aprobación de este artículo y la protección legal a la búsqueda y notificación de vulnerabilidades de ciberseguridad, especialmente si ponemos atención a las estadísticas. Según un análisis de la empresa multinacional de ciberseguridad Fortinet, durante el primer semestre de 2023, Chile fue el objetivo de más de 4.000 millones de intentos de ciberataques. Durante los últimos seis meses el secuestro de datos fue 13 veces más alto que a fines de 2022, posicionando a Chile como el quinto país con más intentos de ciberataques en la región.

La investigación en seguridad informática ayuda a las empresas a estar más protegidas. Es un elemento esencial para contrarrestar las acciones malintencionadas y reducir el impacto de los daños en todo tipo de organización. Además, permite mejorar las políticas y metodologías de ciberseguridad, reduce los ataques y las consecuencias derivadas de ellos, como los costos financieros y el daño a la reputación de la marca.

Es importante que las empresas comprendan el rol que tienen las y los investigadores para el ecosistema de seguridad de sus propios productos, servicios y sistemas, estableciendo estructuras mutuamente benéficas. Grandes empresas y organizaciones han aprendido la utilidad del proceso de notificación coordinada de vulnerabilidades. Las principales empresas de tecnología de Estados Unidos no solamente toleran esta actividad, sino que la fomentan, otorgando premios económicos en un proceso denominado Bug Bounty. Google, Microsoft, Facebook e incluso organizaciones como el Pentágono y la Fuerza Aérea de Estados Unidos interactúan de esta forma tanto con la comunidad de investigadores como de profesionales de ciberseguridad, fomentando su desarrollo.

La investigación permite mejorar los niveles de seguridad de los países, por eso es importante que cuente con la garantía de que quien la practique no se exponga a una sanción penal. En caso contrario, desincentiva la exploración en esta área. La investigación en seguridad informática puede, además, mejorar la formación de los profesionales de seguridad, ya que fomenta el aprendizaje de nuevas técnicas y métodos de protección de sistemas, y permite que los profesionales estén actualizados y preparados ante ataques informáticos cada vez más sofisticados. 

Por lo mismo, la exención de sanción al descubrimiento de vulnerabilidades genera mayor confianza y sube el estándar de ciberseguridad. Tal exención fue discutida también en la tramitación del proyecto de ley de delitos informáticos. La propuesta de la Cámara de Diputados planteaba una eximición de responsabilidad penal a quien ingresa sin autorización a un sistema, cuando informa de inmediato a la autoridad competente del Ministerio del Interior y Seguridad Pública. En esa ocasión, al igual que ahora, Derechos Digitales fue enfática en promover la exención, posición compartida por la academia y la comunidad técnica. Sin embargo, la propuesta fue rechazada en Comisión Mixta. La exención vigente, contemplada en el artículo 16 de la Ley de delitos informáticos, exige la autorización expresa del titular del sistema. El efecto que ha tenido esta disposición es claro: según el Coordinador Nacional de Ciberseguridad, en sesión de 10 de mayo de 2023, el número mensual de reportes sobre vulnerabilidades pasó de 40 a cero desde la entrada en vigor de la norma. 

El proyecto de Ley Marco de Ciberseguridad ofrece corregir las falencias de la propuesta rechazada y de la ley vigente, mediante la exigencia de múltiples requisitos para que opere la exención de responsabilidad. Y así fue, afortunadamente, aprobada en el Senado de Chile. No obstante, la propuesta está hoy bajo ataque: se teme que una exención —cualquier exención— abra la puerta a la actividad criminal.

Sin embargo, la oposición a la exención propuesta, de manera errada, conlleva la penalización de una actividad seria y fundamental en la formación de capacidades de ciberseguridad y prevención de ataques. Al mismo tiempo, ignora que el crecimiento en cantidad y en sofisticación de los ciberataques, incluidos los ejecutados desde el extranjero, no va a detenerse porque haya sanciones penales más altas en Chile. Es importante minimizar los riesgos legales para los investigadores. Esto puede hacerse por medio de evoluciones legislativas que otorguen garantías y condiciones para la realización de su trabajo, lo que debe ir aparejado de una sensibilización de los fiscales, para limitar los procedimientos legales en el caso de investigadoras e investigadores dedicados a la búsqueda de vulnerabilidades en sistemas informáticos.

Construyendo el fediverso

El fediverso es una “red de redes”, similar a internet. De ella participan redes federadas como Mastodon (que es similar a Twitter), Pixelfed (similar a Instagram), Peertube (a Youtube), entre muchas otras. Se puede pensar en el fediverso como un mundo compuesto por países, que están formados por ciudades. Los países serían las redes federadas y las ciudades serían las instancias donde las personas u organizaciones tienen cuentas. Las instancias son servidores en internet donde se instalan sistemas como Mastodon, Pixelfed u otros, y se pueden crear cuentas para publicar y leer contenido. En el fediverso existen miles de instancias que pueden interactuar unas con otras, a través de la federación.

La mayoría de personas que participan del fediverso lo hacen a través de cuentas que crean en instancias que son mantenidas por personas voluntarias y donaciones. Existen instancias grandes como Mastodon.Social, con más de 300 000 usuarias, y otras más pequeñas, como Mastodon Uruguay, que tiene poco más de 300. Las instancias funcionan gracias a sistemas de software libre que se instalan en servidores. De manera similar como se puede instalar WordPress para tener un sitio web, se puede instalar Mastodon para tener un microblog, PixelFed para compartir fotos, PeerTube para compartir videos, entre otros. Incluso, existen plataformas de hosting que permiten tener una instancia en el fediverso de manera fácil.

El pasado 31 de julio, la BBC decidió experimentar con el fediverso y creó una instancia de Mastodon, que actualmente aloja nueve cuentas de distintos programas. A diferencia de las instancias antes mencionadas, no está abierta para crear cuentas. Si alguien desea seguir una de las cuentas de la BBC en el fediverso, debe tener una cuenta en una instancia pública o implementar la propia. De esta forma, la BBC tiene la posibilidad de informar a la ciudadanía, sin tener la responsabilidad de almacenar los datos de las personas que comentan en sus artículos.

De manera similar, en abril de 2022, la Unión Europea implementó una instancia de Mastodon y otra de PeerTube para que distintas agencias puedan interactuar con la ciudadanía. Al igual que la de la BBC, estas instancias no están abiertas para que cualquier persona pueda crear una cuenta. Sin embargo, agencias estatales de la Unión Europea o funcionarios públicos podrían solicitar una.

Los gobiernos de Suiza, Holanda y Alemania han implementado sus propias instancias de Mastodon. El caso de Alemania es interesante. Algunos partidos políticos, como el Partido Verde y el Partido Social Demócrata, ya tienen sus propias instancias, lo que demuestra que diversos tipos de organizaciones están creando sus propios espacios en el fediverso para publicar y acceder a contenido.

La descentralización mitiga el impacto de los fallos

El modelo centralizado con el que trabajan las principales plataformas y redes sociales de internet es susceptible a un único punto de fallo. Si algo deja de funcionar en Twitter, este error afectará a más de 500 millones de cuentas; si la falla es en Instagram, entonces la afectación será a más 2 mil millones de cuentas. Esto ya ha sucedido. Por ejemplo, en octubre de 2021, Facebook, Instagram y WhatsApp dejaron de funcionar de manera simultánea por 5 horas a nivel de mundial. Eso quiere decir que miles de millones de personas a nivel global perdieron parte importante de su comunicación por culpa de una sola empresa.

En tal sentido, es casi imposible que todo el fediverso deje de funcionar a la vez o que que todas las instancias de una red como Mastodon fallen de manera simultánea. El modelo federado es más antiguo que internet y una de sus motivaciones es evitar un punto único de fallo. El correo electrónico es el caso de éxito más importante. Nunca ha sucedido que todos los correos electrónicos del mundo dejen de funcionar a la vez.

Desde el punto de vista de la privacidad, es importante tener la opción de escoger una instancia en la que se pueda confiar. De esta manera es posible saber quién tiene acceso a nuestros datos y se puede decidir dónde participar, sin perder la posibilidad de interactuar con el resto. Incluso, si se creó una cuenta en una instancia de Mastodon, es posible migrar la cuenta y sus seguidores a otra instancia. De esta manera, además de tener la posibilidad de proteger los datos, se evita tener dependencia de proveedor.

En el caso de las organizaciones, tener una instancia propia significa tener mayor autonomía. Las publicaciones no podrán ser borradas o censuradas, porque la plataforma está controlada por la organización. Desde el punto de vista técnico, no es más complejo que administrar un sitio web propio, sobre todo si la instancia no permite registrar cuentas de forma pública.

En marzo de este año, WordPress adoptó de manera oficial un plugin para publicar contenido al fediverso, a través del protocolo ActivityPub. Esto quiere decir que personas con cuentas en el fediverso pueden suscribirse al contenido publicado en un sitio web directamente desde su cuenta de Mastodon, Pixelfed u otra.

Las instancias gubernamentales mencionadas en este artículo y la de la BBC se encuentran en una etapa de pruebas. No se sabe si tendrán éxito y se mantengan a lo largo del tiempo, pero el hecho de que las empiecen a probar es alentador. Esperemos que en el futuro tengamos más redes descentralizadas y federadas, que estén pensadas para que las personas se comuniquen de manera libre y sin dependencia de proveedores. Ojalá que cada vez más gente habite el fediverso.

Normativas contra los ciberdelitos como herramientas para silenciar mujeres y personas LGBTQIA+ alrededor del mundo

“La libertad de opinión y de expresión empodera a las mujeres para que puedan hacer efectivos no solo sus derechos civiles y políticos, sino también sus derechos económicos, sociales, culturales y ambientales, y les permite alcanzar ese fin”, apunta la Relatora Especial para la Libertad de Expresión de la ONU, Irene Khan. Internet ha sido clave en potenciar el ejercicio de este derecho a mujeres y personas LGBTQIA+ es comúnmente usada para movilizaciones en favor de las luchas por la equidad de género. Los ejemplos son múltiples y van desde las campañas #MeToo contra el abuso sexual, hasta las movilizaciones en favor del aborto legal y seguro o la denuncia y visibilización de la violencia homofóbica.

A pesar de ser crucial para el avance de sociedades más justas y democráticas, la libertad de expresión de mujeres y personas LGBTQIA+ está fuertemente amenazada dentro y fuera de internet. Las distintas formas de violencia y discriminación enfrentadas por estas personas cuando se manifiestan públicamente se múltiplican y, cuando esto ocurre en redes sociales, pueden ser clasificadas como violencia de género basada en tecnologías (por la sigla en inglés TFGBV).

La TFGBV puede manifestarse de diferentes maneras y es considerada una forma de censura al generar un efecto paralizante (o chilling effect) que impacta tanto en la esfera individual como social, provocando efectos negativos para el debate público, esencial en las sociedades democráticas. Un estudio reciente lo confirma con números: más del 20% de las personas afectadas por esta forma de violencia afirman que esta ha limitado muy negativamente su libertad de expresar sus visiones políticas y personales. Entre las personas LGBTQIA+ el número supera el 25%.

El fortalecimiento de respuestas institucionales al avance de la violencia de género es urgente. La arena del derecho penal es solo uno de los espacios donde esta discusión debe avanzar, pero es donde normalmente se concentra el ansia regulatoria de muchos Estados. Ahí es también donde recaen otros importantes riesgos al ejercicio del derecho de expresión de mujeres y personas LGTBQIA+, ya conocidos por distintos activismos desde antes de la masificación de las nuevas tecnologías digitales. Leyes criminales con tipos penales amplios y vagos, acompañados de penas extensas, facilitan la interpretación discrecional, utilizada por los poderes políticos y económicos como una herramienta legal para silenciar voces críticas.

Preocupada por los posibles impactos de una convención global de cibercrimen y la manipulación del debate sobre la generación de respuestas a la TFGBV para legitimar medidas desproporcionadas de censura y vigilancia, Derechos Digitales, con apoyo de APC, desarrolló un mapeo que evidencia como leyes de ciberdelitos nacionales han sido utilizadas para silenciar y criminalizar mujeres y personas LGBTQIA+ alrededor del mundo. Partiendo de un análisis de marcos legales adoptados en distintos países, hemos identificado 11 casos en Arabia Saudita, Cuba, Egipto, Jordania, Libia, Nicaragua, Rusia, Uganda y Venezuela que demuestran que no estamos hablando de riesgos potenciales, sino de afectaciones concretas.

La “verdad” como instrumento de persecución

Todos los casos identificados se refieren a mujeres o personas LGBTQIA+ perseguidas por su activismo, expresión de género o simplemente por manifestar disenso con los poderes vigentes. En muchos casos, conceptos amplios y genéricos – como el de “propagación de noticias falsas” –, asociados a sanciones draconianas que incluyen el encarcelamiento, son utilizados para criminalizar actividades legítimas, incurriendo en violaciones a derechos fundamentales, como la libertad de expresión y asociación. Los tipos penales invocados son similares en su redacción ambigua, lo que permite la delimitación subjetiva sobre qué implica el concepto de noticias falsas, el que muchas veces se aplica a las opiniones críticas.

Este fue el caso de la nicaragüense Kareli Kaylani Hernández Urrutia (conocida como Lady Vulgaraza). Después de sucesivas amenazas, su casa en Managua fue cercada por la policía, para impedir su movilidad. En la época, la casa era utilizada como comedor infantil. Antes de enfrentar un proceso judicial, Kareli decidió exiliarse, primero en Costa Rica y luego en Estados Unidos.

Lady Vulgaraza tenía motivos para temer una posible condena bajo la Ley Especial de Ciberdelitos, aprobada en 2020 y utilizada frecuentemente para encarcelar a activistas y periodistas en Nicaragua. Una de ellas fue Cinthia Samantha Padilla Jirón, la más jóven de 46 personas detenidas en el marco de las elecciones de 2021. Fue condenada a ocho años de prisión — cuatro por infringir la ley de ciberdelitos — bajo la acusación de propagar noticias falsas. Cinthia fue una de las 222 personas excarceladas en 2023 y actualmente se encuentra en exilio en Estados Unidos. La estudiante de periodismo y ciencias políticas formaba parte de grupos políticos estudiantiles y en 2021 se sumó al equipo de campaña de uno de los precandidatos presidenciales, Félix Maradiaga.

La figura penal que sirvió para la condena de Cinthia no es nueva en América Latina. Un ejemplo de ello es el caso de la abogada y periodista cubana, Yaremis Flores. Ella fue detenida en 2012, acusada de difundir información falsa, cuando la discusión sobre la desinformación estaba lejos de la atención pública global. “Propagar noticias falsas con el propósito de perturbar la paz internacional, o de poner en peligro el prestigio o el crédito del Estado cubano o sus buenas relaciones con otro Estado” podría llevar a hasta cuatro años de cárcel en Cuba, según el artículo 115 del Código Penal de 1987, vigente al momento de la detención de Yaremis, quien estuvo más de 48 horas detenida.

Tras la reciente reforma del Código Penal cubano, el texto anterior se mantuvo y se incorporaron nuevas figuras penales igualmente riesgosas a la libertad de expresión. En enero de 2023, Sulmira Martínez, de 21 años, fue detenida poco después de publicar en redes sociales un llamado a protestar en espacios públicos contra el presidente Miguel Díaz-Canel. Desde entonces se encuentra detenida, según medios locales, acusada inicialmente de “propaganda contra el orden constitucional” y luego de “instigación a delinquir”.

Lejos de América Latina, la estudiante Olesya Krivtsova, de 20 años, enfrenta una condena de hasta 10 años de cárcel por criticar al gobierno de Rusia por la guerra en Ucrania en una red social. Las autoridades rusas la acusan de “descrédito al Ejército ruso”, “difusión de noticias falsas” y “actos que justifican el terrorismo”. Olga huyó del país antes del veredicto, después de haber estado detenida y luego en arresto domiciliario.

Más allá de que los procesos judiciales enfrentados por Cinthia, Yaremis, Sulmira y Olesya fueron permeados por distintos tipos de abusos e irregularidades, sus casos evidencian como una legislación amplia, sin perspectiva de derechos humanos ni transversalización de género, puede generar interpretaciones arbitrarias, incluso cuando nacen de intentos legítimos por limitar la circulación de información engañosa. Cuando los agentes de la desinformación son miembros del Estado, por ejemplo, el mero cuestionamiento a sus declaraciones puede resultar en amenazas, acusaciones, detención y condena.

En su informe de 2019, el Relator Especial de la ONU sobre el derecho a la libertad de reunión pacífica y de asociación señaló que el aumento de la legislación y las políticas destinadas a combatir la ciberdelincuencia abre la puerta a castigar y vigilar a activistas y manifestantes en muchos países del mundo. Estas legislaciones, como las de ciberdelitos o las de noticias falsas, pueden condenar la expresión y asociación en línea mediante el uso de términos vagos e indefinidos, aplicados de manera discrecional, lo que produce incertidumbre legal y un efecto paralizante, que impide que las personas usen internet para ejercer sus derechos.

Por su parte, la Declaración Conjunta sobre Libertad de Expresión y Noticias Falsas estableció que “las prohibiciones generales de difusión de información basadas en conceptos imprecisos y ambiguos, incluidos «noticias falsas» (fake news) o «información no objetiva», son incompatibles con los estándares internacionales sobre restricciones a la libertad de expresión”.

La “protección” como arma para la censura de género

Si bien existen obligaciones internacionales de los Estados para generar acciones positivas tendientes a la protección de los derechos de las personas en espacios digitales, la realidad es que la generalidad de las leyes de cibercrimen terminan siendo inefectivas, desproporcionadas y tienden a generar el efecto contrario.

Organizaciones como Body & Data y Pollicy han identificado como leyes teóricamente creadas para proteger a las personas terminan siendo utilizadas para la censura y la criminalización. El caso de Yamen, un hombre gay de 25 años que vive en Amman, Jordania, fue documentado por Human Rights Watch y evidencia cómo las instituciones que deberían operar la protección contra la violencia en línea pueden, en cambio, ser instrumentalizadas para castigar determinadas expresiones de género.

Yamen fue víctima de extorsión y amenazas por un hombre que conoció en una aplicación de citas. Cuando en 2021 hizo una denuncia ante una unidad especializada del país, su caso no solo fue ignorado, sino que él terminó acusado y condenado por “prostitución en línea”, bajo la misma ley de ciberdelitos que buscó invocar para protegerse de la violencia que enfrentaba.

En el caso de Stella Nyanzi, fue una acusación de ciberacoso la utilizada para arrestarla y mantenerla detenida en una cárcel de máxima seguridad. Su crimen fue publicar en Facebook críticas al presidente Uganda y a la primera dama, que además era la Ministra de Educación, después de que el gobierno frustrara una promesa de campaña de entregar productos menstruales a las niñas. En su publicación, Stella decía que el presidente no pasaba de “un par de nalgas” y que su esposa era “vacía de cerebro”. Fue detenida en dos ocasiones, una de 33 días y otra de 16 meses.

En Uganda, el crimen de ciberacoso está definido como el uso de una computadora para formular cualquier petición, sugerencia o propuesta que sea obscena, lasciva o indecente; amenazar con violencia o daño físico a una persona o la propiedad de cualquier persona o, conocidamente, permitir el uso de sus dispositivos para estos fines. La pena es de multa, prisión de hasta tres años o ambas. Como resalta Pollicy, definiciones para “obsceno”, “lascivo” e “indecente” no son ofrecidas en la ley.

Una opinión emitida por el Grupo de Trabajo sobre Detención Arbitraria de las Naciones Unidas categorizó como arbitrario el encarcelamiento de Stella – una reconocida académica y activista por la equidad de género y los derechos de las personas LGBTQIA+. El grupo también resaltó que leyes amplias y con definiciones vagas como esta pueden tener un efecto paralizante sobre la libertad de expresión.

En el caso de Olga Mata, la figura utilizada para tenerla detenida fue la de “delito de odio”. Olga, una mujer de 73 años, había hecho una publicación humorística en que insinuaba que la primera dama de Venezuela enviudaría. Según la Ley Contra el Odio de 2017, quien “fomente, promueva o incite al odio, la discriminación o la violencia públicamente será sancionado con prisión de 10 a 20 años”.

Mientras figuras como el ciberacoso y el ciberdelito son utilizadas para legitimar acciones en favor de los detentores del poder político frente a cualquier tipo de crítica y las instituciones que deberían ofrecer protección operan como policía moral, las víctimas de TFGBV siguen sin contar con herramientas que garanticen el acceso a la justicia. Casi 40% de las personas que reportan haber sufrido incidentes graves afirman que no buscaron ayuda y menos del 10% cuentan haber buscado apoyo formal de plataformas, gobiernos, policías u organizaciones de sociedad civil, según estudio del Centro para la Innovación en Gobernanza Internacional (CIGI).

Un riesgo real

Mapear casos como los reportados a nivel global es una tarea difícil y fue posible gracias a la documentación e iniciativas de organizaciones de derechos humanos. El esfuerzo emprendido por Derechos Digitales, con apoyo de APC, evidencia que los abusos en la aplicación de las leyes de ciberdelitos para restringir la expresión son abundantes. Un estudio sistemático sería valioso para encontrar más evidencias y relevar aprendizajes para la generación de respuestas equilibradas y proporcionadas a los delitos que ocurren con apoyo de las tecnologías y, en particular, a la TFGBV.

Hay preocupaciones legítimas sobre cómo el odio, la violencia y la desinformación afectan la participación de mujeres y personas LGBTQIA+ en los espacios públicos y decisorios, debidamente señaladas por la Relatora Irene Khan. La TFGBV debe ser abordada a nivel legislativo e institucional, pero la creación de reglas de ciberdelitos no solo es insuficiente como respuesta – especialmente cuando se trata de grupos históricamente marginados – sino que genera un peligro para el ejercicio de derechos humanos, al ser manipulada para silenciar y criminalizar a quienes debería defender, como ilustra el caso de Yamen.

Si bien las acusaciones en cada caso se basaron en distintos tipos de legislación, todas tienen como base figuras jurídicas que criminalizan el discurso en línea de manera expansiva en relación a los estándares existentes en materia de libertad de expresión. En general, se trata de figuras genéricas que no son debidamente definidas y que quedan abiertas a la interpretación de las autoridades vigentes. Los riesgos se profundizan aún más en contextos de fragilidad de las instituciones democráticas.

Los casos identificados demuestran que si bien se multiplican las normas de cibercrimen alrededor del mundo, no solo son ineficaces para proteger la expresión de mujeres y personas LGBTQIA+, sino que las pone en riesgo – más todavía en aquellos países donde existen restricciones legales contra ciertas expresiones de género.

Frente al avance de discusiones sobre una convención global de cibercrimen en el ámbito de las Naciones Unidas, es importante que estos puntos sean considerados, ya que la convención puede marcar la pauta para los países que aún están desarrollando sus legislaciones sobre ciberdelincuencia o para legitimar las leyes locales existentes. Además de evitar incluir restricciones de contenidos que validen una manipulación por determinados Estados o instituciones, es crucial que se piensen mecanismos para garantizar una perspectiva de género a lo largo de la concepción, implementación y monitoreo de normativas de ciberdelitos y otras relacionadas.

Este trabajo ha sido posible gracias al apoyo del gobierno del Reino Unido.