Temática: Seguridad digital

Volver a lo básico: la importancia de delimitar nuestros espacios de exposición 

Se puede pensar a la privacidad como tener el control de qué parte de nuestra vida compartimos y con quién. No es lo mismo una conversación de pareja, un intercambio familiar, que el que se tiene con amigos, o con colegas de trabajo. En cada conversación nos comportamos de una forma diferente, basada en el contexto, porque entendemos muy bien con quién nos comunicamos.

En internet esto no funciona así. Si bien hay quienes creen que la comunicación es anónima, la verdad es que cuando hacemos algo cotidiano, como enviar un mensaje vía WhatsApp, esta empresa conoce al remitente, destinatario, los teléfonos que intervienen, la hora y la frecuencia en que sucede la comunicación. Una empresa de telecomunicaciones puede acceder a información muy similar cuando utilizamos nuestro teléfono móvil. Quien tenga acceso a esos datos, a su vez, puede inferir mucho sobre nuestros hábitos más íntimos. Del mismo modo: el contenido que publicamos en Facebook puede ser visto por las personas que conocemos y queremos, pero también por personas totalmente desconocidas, a depender de nuestras configuraciones de privacidad y seguridad. El contexto dirá si tal acceso puede mostrarse peligroso o no.

La parte que nos toca

Ya sabemos de la vigilancia de las grandes empresas de tecnología y su relación con agencias de inteligencia. También de los mecanismos como podemos sufrir distintos tipos de intervención en nuestras comunicaciones de manera más o menos legítima.  Sin embargo, si bien hay situaciones en que es difícil escaparse de la intrusión de agentes externos, hay mucho que podemos hacer aún para proteger nuestra privacidad en las redes sociales.

Hay momentos en los que la información que queremos compartir debería llegar a todo el mundo y otros en las que no quisiéramos que personas (organismos, o empresas) específicas se enteren.

No es lo mismo promocionar un bien o servicio en Internet, emitir una opinión política o compartir una foto familiar. La opinión política, por ejemplo, podría poner en riesgo mi trabajo o mi emprendimiento. En algunos países, si se piensa en periodistas de investigación o activistas sociales, la exposición de ciertas informaciones personales de manera pública podría poner en riesgo sus vidas e incluso las vidas de sus familias.

La inteligencia de fuentes abiertas permite averiguar mucho de una persona basada en información pública, principalmente en internet. Es lo que utilizaría un periodista para investigar el perfil de un funcionario corrupto. También es utilizada por la policía para seguir a personas sospechosas. Los gobiernos, muchas veces la utilizan para monitorear redes sociales e identificar adversarios políticos. Delincuentes comunes utilizan esta información para conocer nuestros movimientos y así poder planificar actos criminales.

Algo tan sencillo como realizar publicaciones de Instagram en tiempo real, mostrando las maravillosas vacaciones que estoy teniendo podría alertar a un ladrón que no estoy en mi casa. El riesgo de esta situación se incrementa si además comparto esta información en estados de WhatsApp.

Utilizamos a diario esta plataforma para comunicarnos con gente cercana, pero también para interactuar de manera profesional con otras personas. De esta manera, en nuestros teléfonos, tenemos contactos de restaurantes, plomeros, albañiles, médicos y un largo etcétera de profesionales con los que interactuamos de manera cotidiana.

Muchas de estas personas utilizan estados para comunicar su trabajo y los servicios que ofrecen. Sin embargo, parte importante de ellas comparten su vida privada a través de estos estados. Personalmente me he encontrado en situaciones donde observo almuerzos familiares, bautizos, fiestas infantiles y un largo etcétera de situaciones de la vida privada de otras personas con las que no soy cercano.

Soy una persona con buenas intenciones y no quiero hacerle el mal a nadie, pero esta información es accesible a gente bien y mal intencionada. Como persona que trabaja en seguridad digital reflexiono sobre los riesgos a los que nos exponemos en este tipo de situaciones. ¿Qué es lo que haría un acosador, un ladrón, pedófilo o cualquier otro actor mal intencionado con esta información? Nos hemos preguntado, ¿qué tanto conocemos a las personas que tenemos como contactos en nuestros teléfonos?

(Re)tomando las riendas de nuestra información

Las redes sociales que utilizamos a diario tienen configuraciones de privacidad que nos permiten tener mejor control sobre quién puede, o no ver lo que publicamos. Es cierto también que estas configuraciones suelen ser complicadas y sus valores predefinidos son demasiado abiertos. Esto trae como primera consecuencia que la gente publique sin tener conciencia de quién lo verá o quién lo leerá.

Los estados de WhatsApp son accesibles para todas las personas que yo tengo registradas en mi teléfono y que me tienen registrado a mí, sin embargo se puede hacer una lista corta de quién puede leer lo que publico.  Instagram o X pueden ser configurados para que solamente las personas que nos siguen puedan ver las publicaciones y el seguimiento debe ser aceptado, de manera predeterminada cualquiera puede ver nuestras publicaciones. Incluso si la cuenta es privada, pero nos siguen cientos o miles de personas ya no es tan privada.

La privacidad sí importa

Internet ha traído cambios radicales en nuestras vidas, muchos de los cuales aún estamos intentando entender. Por un lado, podemos llegar con nuestros mensajes a cientos, miles y tal vez millones de personas. Por otro, nuestras vidas privadas pueden ser expuestas a audiencias indefinidas y personas mal intencionadas que podrían hoy o en el futuro usar esta información en nuestra contra.

Es importante pensar antes de publicar y utilizar Internet de una manera en la que podamos buscar nuestro beneficio. Si queremos compartir temas familiares mejor hacerlo en grupos pequeños donde conozcamos a las personas. Si queremos vender, informar, expresar nuestras ideas, pensemos cuáles son los mejores espacios de difusión.

Delimitar nuestros espacios de exposición nos protege, nos requiere reflexionar sobre los contenidos personales que compartimos diariamente. No todo está en nuestras manos, es verdad, pero un análisis acerca de cómo usamos nuestras redes está a nuestro alcance y puede ayudarnos a la hora de cuidar nuestra privacidad y nuestra seguridad en línea y fuera de ésta. 

Cibercrimen y castigo

En cierto clásico de la literatura universal de la segunda mitad del siglo diecinueve, deducible a partir del título de este texto, se nos presentan reiteradamente diálogos entre su protagonista, Raskólnikov, y un inspector de policía que dinamizan la historia, a la vez que permiten darle un vistazo a la realidad cultural, histórica e institucional del entonces Imperio Ruso. En uno de esos intercambios, el segundo le espeta al primero: “(…) y es que el caso general que responde a todas las formas y fórmulas jurídicas; el caso típico para el cual se han concebido y escrito las reglas, no existe, por la sencilla razón de que cada causa, cada crimen, apenas realizado, se convierte en un caso particular, ¡y cuán especial a veces!: un caso distinto a todos los otros conocidos y que, al parecer, no tiene ningún precedente”.

Esta deliberada ambigüedad con la que describo la novela tiene dos funciones: evitar spoilers e ilustrar que las definiciones en torno al crimen dependen, en gran medida, de los consensos al interior de cada grupo humano al respecto, sea este un clan, una tribu, un estado, un imperio, e incluso más allá: de acuerdo con el inspector, Porfiri Petróvich, depende de cada caso. Así, no es extraño que los procesos y mecanismos para legislar al respecto se extiendan por meses o años, sea a nivel local, regional o global.

La situación actual del Comité Ad Hoc de la Organización de las Naciones Unidas (ONU) encargado de elaborar una Convención Internacional para la Lucha contra la Ciberdelincuencia así lo evidencia, como hemos señalado desde el inicio de este Comité. La sesión supuestamente de cierre del Comité, finalizada el 9 de febrero, quedó en suspenso dada la falta de acuerdos en asuntos clave: el alcance de la convención, salvaguardas y derechos humanos, además de determinados crímenes específicos. La presidenta de la mesa determinó continuar la discusión en una sesión futura, de diez días de duración, posiblemente en julio de este año, lo que todavía debe ser aprobado y confirmado por la Asamblea General de la ONU.

El punto de partida de este curso fue una carta enviada, justamente, por la Federación Rusa al organismo internacional en 2017, que plantea la preocupación por “la gravedad de los problemas y amenazas que plantean los delitos relacionados con las tecnologías de la información y las comunicaciones (TIC)” y ofrece un texto preliminar de una convención contra la ciberdelincuencia, cuyo énfasis está en la amplia criminalización y promoción de la cooperación internacional para prevenir y combatir tales delitos.

Aunque no es la aproximación clásica para generar un instrumento internacional en instancias de las Naciones Unidas, en general dicha carta parece emanar de un genuino interés por asumir colectivamente los retos que comporta el desarrollo tecnológico. No obstante, la redacción del segundo de los tres objetivos ahí expresados, “impedir los actos contra la confidencialidad, la integridad y la accesibilidad de las TIC, y prevenir el uso indebido de las TIC” tiene la línea que más controversia ha causado en estos siete años: “(…) tipificando como delitos los actos descritos en la presente Convención” y que despierta sospechas sobre las reales intenciones de la Federación Rusa al presentar, más tarde, un borrador del tratado listo en la primera sesión, previo a cualquier discusión plenaria sobre la materia, a la par que está documentado el uso que se le da en ese Estado a tipos penales sobre cibercrimen para criminalizar de manera arbitraria a las voces críticas del actual Gobierno.

Luego, en noviembre de 2019, una resolución, patrocinada por Rusia –junto con Bielorrusia, Camboya, China, Irán, Myanmar, Nicaragua, Siria y Venezuela– para establecer un comité internacional para combatir el cibercrimen pasa en la Asamblea General de la ONU. Estados Unidos, la Unión Europea y otras naciones se opusieron a la resolución, junto con organizaciones de derechos humanos, incluidas la Asociación para el Progreso de las Comunicaciones y la EFF, las que instaron a la Asamblea General a votar en contra de la resolución, citando preocupaciones de que “podría socavar el uso de Internet para ejercer los derechos humanos y facilitar el desarrollo social y económico”. Un mes más tarde, sin embargo, la Asamblea General resuelve seguir adelante con esta iniciativa.

Un ajedrez imposible

Si las dinámicas de la política doméstica a veces pueden ser agotadoras e incomprensibles, cuando se trata de geopolítica, esto se enreda todavía más. Lograr que los 193 países que ocupan un asiento en la Asamblea General de las Naciones Unidas lleguen a consensos sobre las materias más diversas se vuelve una odisea. Hay diferencias entre países que son simplemente irreconciliables y el escenario provisto por la discusión hasta ahora de este tratado así lo demuestra.

El objetivo inicial de tipificación de delitos facilitados por TIC ha sido impugnado una y otra vez en cuanto a que no hay manera de realizar un catálogo de estos que deje contento a todo el mundo. Los Estados Miembros de este órgano internacional, al decidir sentarse en esta mesa y participar de las discusiones globales, lo hacen en conformidad con lo señalado en la Declaración Universal de los Derechos Humanos, documento rector de la Asamblea de la ONU, además de otros instrumentos similares. Sin embargo, en medio de las discusiones en esta sesión delegaciones de China, Cuba y otros Estados estimaron que el “lenguaje de derechos humanos” presente en el actual borrador es un exceso, siendo este un documento concebido nada más que como una guía en la aplicación de justicia.

Un ejemplo tiene relación con los artículos sobre explotación de menores en contextos digitales. El interés superior de las niñas, niños y adolescentes (NNA), además de la autonomía progresiva de las NNA, es una preocupación de todos los Estados, sin duda, pero las aproximaciones al resguardo de este son radicalmente opuestas entre el bloque occidental y el resto del mundo. Mientras que la UNICEF y la Oficina del Alto Comisionado de Derechos Humanos enfatizan que los adolescentes que están próximos en edad, madurez y desarrollo no deben ser criminalizados por una actividad sexual consentida y no explotadora, siempre que no exista ningún elemento de coacción, abuso de confianza o dependencia entre los adolescentes, muchas delegaciones como Egipto, Oman, Qatar, entre otras, expresaron que esta descriminalización no debería estar en la Convención.

Supongamos que un adolescente envía una nude o imagen íntima de manera voluntaria mediante una aplicación de mensajería instantánea. Según su nacionalidad, este acto puede constituir o una manifestación del libre albedrío y de la autonomía progresiva que todas las personas adquirimos conforme crecemos, o podría constituir el delito de producción de material pornográfico mediado por las tecnologías, habilitando su persecución y castigo con la ayuda de la cooperación internacional que fomenta el actual borrador del tratado.

Esto no tiene sentido para quienes habitamos el lado occidental del mapa mundial, pero ocurrió. Human Rights Watch documentó, hace un año, los casos de Yamen y Amar, dos jóvenes LGBTQAI+ de Jordania que fueron criminalizadas con base en su actividad en WhatsApp y aplicaciones de citas como Grindr. En ese país, el código penal considera a las relaciones del mismo sexo como ofensas a la moral y refleja el dilema que representa legislar con una perspectiva de derechos humanos a escala global. Los artículos 13 y 15 del borrador más reciente consolidan estas prácticas, al dejar al arbitrio de cada Estado la tipificación de delitos en este tema.

Alianzas inesperadas

No todo es tan oscuro. Esta última etapa demostró que la participación multisectorial logra resultados y, en nuestra región, podemos atribuirlos sin empacho al trabajo de incidencia que hemos realizado desde el consorcio AlSur junto con la Red en Defensa de los Derechos Digitales (R3D), el Instituto Panamericano de Derecho y Tecnologías (IPANDETEC) e Hiperderecho. Celebramos, igualmente, la articulación que se observa en el Sur Global. Una carta de la International Press Foundation recoge preocupaciones similares a las nuestras, emanadas desde la sociedad civil del continente africano. La Comisión Internacional de Juristas también puso el acento, en una declaración publicada en enero de este año, en la incorporación de principios de no discriminación, legalidad, interés legítimo, y necesidad y proporcionalidad en el texto discutido.

La mayoría de los países de América Latina se mostraron a favor de incorporar garantías de protección de derechos humanos en el borrador, y esto es el producto tanto de la incidencia presencial en las diferentes reuniones del comité como de la producción de investigaciones y relatorías que dan cuenta de la importancia de tales salvaguardas. Asimismo, la cooperación con otras partes interesadas también ha sido clave. El Manifiesto Multisectorial de 2021 fue firmado por organizaciones de la sociedad civil y representantes de la industria tecnológica, toda vez que hay preocupaciones compartidas respecto del alcance del tratado y sus posibles consecuencias en la fragmentación del ciberespacio.

Ahora durante la sesión de clausura, una carta abierta de la sociedad civil y organizaciones de la industria tecnológica puso el acento en que el primer propósito de un tratado de estas características es proteger a las víctimas de cibercrímenes, ofrecerles reparación efectiva y garantías en el resguardo de sus derechos humanos. Además, señaló que “Un nuevo tratado contra el cibercrimen no debe reducir las obligaciones existentes de los Estados en virtud del derecho internacional, especialmente el derecho internacional de los derechos humanos”. Por el contrario: lo que esperamos desde la sociedad civil es que dichas obligaciones se incrementen, en particular en lo que refiere a las consideraciones sobre género. Una victoria que podemos reconocer, en esta fase, es la incorporación de una frase sobre este tema en el preámbulo, fruto del esfuerzo sostenido y conjunto entre múltiples partes interesadas, aun cuando apuntamos a su incorporación transversal en todo el tratado.

Compañías como Microsoft, desde el primer momento, han expresado que el tratado no debe entenderse como un conjunto de tipos penales. En cambio, ha de fomentar el fortalecimiento de capacidades a escala global para combatir los delitos en entornos digitales, asegurar la consulta con expertas en la materia y poner especial cuidado en aspectos como el flujo transfronterizo de datos personales.

¿Qué hacer?

Frente al enorme poder que detentan los Estados Miembros en instancias multilaterales, cuyos consensos tienen impacto directo en las vidas de todas las personas, alianzas como las mencionadas son imperativas. Pese a que la suspensión de la sesión deja el tema en un limbo de incertidumbre, puede no ser solamente una mala noticia, por ejemplo, por los costos con este proceso. Pero cuando no hay poder suficiente para detener un proceso, demorar su cierre es una estrategia común desde las partes con menor ventaja.

Todavía queda tiempo para visibilizar los graves conflictos que podría acarrear la aprobación de este tratado y en esto la difusión y socialización de sus consecuencias cobra vital relevancia. Hemos sido testigos de cómo algunos Estados han modificado sus posiciones a partir de las conversaciones de pasillo en la ONU y la multitud de voces que han alertado sobre los aspectos más controversiales del tratado.

Desde el Sur Global, nuestra posición es clara: haremos todo lo que esté a nuestro alcance para impedir que un documento altamente punitivo, tremendamente amplio, sin limitar atribuciones estatales de vigilancia, y sin garantías efectivas de derechos humanos, tenga luz verde. En Derechos Digitales no le restamos importancia a la necesidad de regular el cibercrimen a escala internacional, pues va en la dirección correcta en el resguardo de los derechos humanos de todas las personas. Hemos señalado nuestros reparos y ponemos a disposición nuestras capacidades para seguir bregando por un documento que garantice mayor seguridad en línea a todas las personas, defendiendo y promoviendo los derechos humanos, con una perspectiva de género efectiva.

Tú también puedes colaborar. Visita el minisitio sobre este tema, comparte en tus redes, habla con tus amigas y revisa cuál es la posición de tu Gobierno al respecto. Petróvich, en otra conversación con Raskólnikov, afirma lo siguiente: “¿Qué importan estas normas, que en más de un caso resultan sencillamente absurdas? A veces, una simple charla amistosa da mejores resultados”.

Seguridad en el ciberespacio: de la negociación a la acción

Por varios años, la sociedad civil global, incluida la latinoamericana, ha levantado alertas sobre negociaciones internacionales que significan oportunidades o (más frecuentemente) riesgos para los derechos humanos en el ciberespacio. Es el caso del Comité Especial sobre Cibercrimen, como también del Grupo de Trabajo de Composición Abierta sobre TIC, en la Tercera y la Primera Comisión de la ONU respectivamente. Mientras la discusión para cibercrimen parece terminar una etapa, el Grupo de Trabajo de Composición Abierta (OEWG) sigue su curso, procurando encontrar un consenso sobre el comportamiento de los Estados en el ciberespacio.

Dentro de ese marco, son varios países de la región que a su vez son promotores del “Programa de Acción Cibernético” cuya creación fuera aprobada a fines de 2022 por la Asamblea General de la ONU. Con diversos matices, varios países de la región mantienen compromisos a nivel internacional con aspectos de la agenda del comportamiento responsable de los estados en el ciberespacio, desde perspectiva a menudo inclusivas y favorable al interés público.

Por cierto, los compromisos de alto nivel que los Estados una y otra vez declaran como propios, distan aún de lo que la práctica ofrece en cada país. Como muestra el Portal de Política Cibernética del Instituto de las Naciones Unidas de Investigación sobre el Desarme, buena parte de la región cuenta ya con estrategias nacionales, incluidas las adiciones de los últimos meses de las estrategias de Brasil, Costa Rica y Chile.

En el caso de Chile, esto vino acompañado de más noticias. Después de los anuncios realizados durante la primera mitad de 2023, se publicó en Chile la Política Nacional de Ciberseguridad 2023-2028, con cinco objetivos estratégicos y ejes transversales que incluyen a las consideraciones de género,  una semana antes de la Sexta Sesión Sustantiva del OEWG. La semana siguiente, el Senado chileno aprobó la Ley Marco de Ciberseguridad, que fomenta la implementación de estándares de ciberseguridad en los sectores público y privado y crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades regulatorias, fiscalizadoras y sancionatorias, entre varias otras medidas.

Del dicho al hecho

Todo esto luce y suena bien. Siguiendo con el ejemplo chileno, después de los procesos participativos que antecedieron a las estrategias nacionales tanto en la PNCS 2017-2022 como en la PNCS 2023-2028, el avance regulatorio es un hito. Contar no solamente con un marco general, sino con reglas legales que ofrecen una infraestructura orgánica para implementar las medidas tendientes a la ciberseguridad, parece un avance significativo y uno de los ejemplos a observar dentro de la región. El avance en paralelo de una Ley de Protección de Datos Personales que también parece tomarse la seguridad de la información con seriedad, entrega un panorama auspicioso.

No obstante, quedan varias brechas por cubrir para pasar de los altos niveles de compromiso internacional y de los elevados objetivos de una estrategia nacional, a una realidad donde el Estado sea capaz de fortalecer la confianza con otros países, mientras a nivel interno tanto las entidades públicas como las privadas entiendan el rol que les corresponde en una cultura de la ciberseguridad.

Esto pasa, en primer lugar, por el nivel internacional. Además de la necesaria actitud para mantener negociaciones de buena fe en los distintos foros donde se discute el futuro de las redes de comunicación, es importante que exista suficiente coordinación entre las entidades nacionales. En un año en que veremos el avance del proceso de los veinte años de la Cumbre Mundial de la Sociedad de la Información (WSIS+20), la Cumbre por la Democracia y la presentación del Pacto Digital Mundial, además del posible final del Comité Especial de Cibercrimen y la continuación del OEWG, junto con otros eventos y encuentros de coaliciones, es necesario que cada país mantenga pleno alineamiento con sus políticas internas y sus aspiraciones de largo plazo, más allá de las contingencias y de los gobiernos de turno.

 También, que se permitan fijar acuerdos a nivel internacional y regional que incorporen a múltiples partes interesadas en esfuerzos concretos para implementar medidas de fomento de la confianza y de formación de capacidades, donde la sociedad civil, la academia y el sector privado tienen roles cruciales.

Sin embargo, donde quizás esté la deuda más relevante que se debe saldar antes de pensar en cómo se implementarán cibernormas es a nivel nacional. Un elemento distintivo de esta Política es la decisión de publicar los ejes y objetivos de alto nivel, y detallar las medidas concretas en un documento aparte, que aún no conocemos. Este Plan de Acción comprenderá los objetivos y medidas de corto plazo derivados de la Política, y su publicación será esencial para obtener una visión completa de la implementación práctica de la Política. Antes de ese Plan, la carencia es significativa: saber cómo se cumplirán objetivos como fortalecer a la industria, capacitar a la función pública, corregir inequidades de acceso, favorecer la investigación, hacer el seguimiento de las necesidades de coordinación y la relación concreta con las otras políticas nacionales, son todavía materia por conocer. Tampoco conocemos hoy las alternativas de seguimiento e implementación de la Política que deben ser propuestas por el Comité Interministerial sobre Ciberseguridad (PNCS, 1.3). Así, los objetivos de política pública contenidos en la Política son materias que todavía están en el terreno la aspiración.

Por cierto, nada de eso obstaculiza a la posibilidad de una pronta puesta a punto de un entramado normativo e institucional que permita en Chile la implementación de normas y medidas que faciliten la práctica de la ciberseguridad en todos los niveles de la interacción social.

Como siempre, la sociedad civil estará dispuesta a colaborar en ello.

Ciberseguridad desde una perspectiva de género interseccional: desafíos persistentes a una demanda urgente

Investigaciones que exploran los nodos claves de la ciberseguridad desde una perspectiva de género, hacen hincapié en la vulnerabilidad diferenciada de ciertos grupos ante ciberataques, así como su impacto diferenciado según el género. Tanto la brecha de género, como las dimensiones de la violencia de género se presentan, por lo tanto, como elementos clave para entender a esta problemática.

Si bien la brecha digital de género se ha reducido, persisten desigualdades significativas. Por ejemplo, aunque se registran aumentos en el número de mujeres profesionales en la industria de tecnologías, ellas siguen representando apenas 25% de la fuerza de trabajo en ciberseguridad (contra al menos 40% de la fuerza de trabajo en general). Además, la incorporación de mujeres jóvenes es muy lenta y la ausencia de diversidad es muy notoria en los cargos directivos. Cuando se trata de personas LGBTQIA+ los mismos datos son escasos evidenciando brechas aún más profundas.

Esto también se refleja en las grandes instituciones que gobiernan internet. Como hemos señalado en publicaciones anteriores, por ejemplo, la Unión Internacional de Telecomunicaciones (UIT), sólo ahora tiene una mujer en su Secretaría General, tras décadas de estar encabezada por hombres mayoritariamente blancos.

Ciber-inseguridad y violencia de género facilitada por las tecnologías

Tales brechas históricas han dejado las principales decisiones en materia de tecnologías en las manos de una minoría, lo que ha contribuido con la persistencia de violencias de género que retroalimentan desigualdades luego perceptibles en las políticas. A pesar de ser reconocida internacionalmente como un problema acuciante, la violencia de género facilitada por la tecnología (TFGBV, por sus siglas en inglés) no suele considerarse un problema de ciberseguridad debido a la subestimación de asuntos domésticos/privados y porque se elige dar prioridad a las amenazas “más graves”.

Cabe recordar que la TFGBV es un problema generalizado que vulnera los derechos humanos de las personas afectadas. Actúa como un obstáculo a su pleno ejercicio y representa una barrera adicional para la participación en las esferas económica, social, cultural y política, obstruyendo así la realización de la igualdad de género.

Al tratar de ofrecer respuestas, los Estados a menudo han puesto un foco mayoritario en el uso del sistema criminal mediante legislaciones que han resultado no solo ineficaces sino que han puesto en peligro a las personas a quienes apunta a proteger. En una investigación reciente, hemos señalado que las leyes existentes sobre ciberdelincuencia tienden a prestarse a abusos debido a su terminología imprecisa y a la falta de mecanismos de reparación suficientes. Tampoco están específicamente diseñadas para abordar los problemas de género.

Por tanto, estrategias de ciberseguridad sólidas que sitúen a las personas y al género en el centro de las políticas y acciones públicas son una respuesta importante a la violencia de género y una alternativa al uso de normas sobre ciberdelincuencia, que deben aplicarse e interpretarse de forma restrictiva.

Espacios de incidencia: más allá de la participación

En los últimos años, los procesos multilaterales sobre ciberseguridad empezaron a incluir en sus declaraciones oficiales consideraciones sobre la dimensión de género, pero aún de manera muy tímida y limitada.

La falta de representación igualitaria en los procesos de elaboración de normas técnicas fue considerada especialmente preocupante en un informe reciente del Alto Comisionado de las Naciones Unidas para los Derechos Humanos (ACNUDH), que ahonda en la relación entre los derechos humanos y los estándares técnicos. El documento señala que es difícil encontrar datos fiables sobre la magnitud del problema, en gran parte porque las organizaciones de normalización no recogen sistemáticamente datos desglosados sobre el género de los participantes.

La situación ha sido también diagnosticada al interior de instituciones dedicadas al desarrollo de estándares técnicos. Una resolución sobre Promoción de la igualdad de género en las actividades del Sector de Normalización de las Telecomunicaciones de la UIT (UIT-T), alerta a la escasa participación de mujeres en sus procesos. El documento apunta como necesario garantizar que ellas puedan desempeñar un papel activo y relevante en todas las actividades del UIT-T. En ese sentido, se resuelve dar alta prioridad a la integración de las cuestiones de género en la gestión, la contratación de personal y el funcionamiento del UIT-T, teniendo en cuenta también la representación geográfica. Si bien reconocimientos de este tipo son importantes, el lenguaje de género binario es aún un limitante a la efectiva equidad de género.

El acceso a la participación de mujeres es clave para avanzar hacia un cambio sistémico en el abordaje de la ciberseguridad. Sin embargo, es igualmente importante notar que el abordaje de género es mucho más amplio, y debe incluir aspectos como los riesgos, necesidades e impactos diferenciados en base al género y otras interseccionalidades que deben ser incluidas tanto en normativas como la mencionada, como en procesos de desarrollo de capacidades.

Para que la integración de la perspectiva de género (o gender mainstreaming) sea efectiva, las preocupaciones y experiencias de mujeres y hombres deben ser parte integral del diseño, la aplicación, el seguimiento y la evaluación de políticas y programas en todas las esferas políticas, económicas y sociales. En ese sentido, las normas internacionales han reconocido la necesidad de que la legislación y las políticas sean «sensibles al género», es decir, que tengan en cuenta las diferencias de impacto en función del género, y que impulsen un proceso de elaboración de normas más integrador que incorpore diferentes perspectivas de género, aborde las desigualdades e, idealmente, genere empoderamiento.

Esto implica que si bien es importante avanzar en pronunciamientos específicos de la problemática de género en la ciberseguridad, este aspecto debe abordarse integralmente en tanto el género es un factor social transversal que impacta todos los aspectos relacionados a las políticas sobre el tema.

Orientada hacia ese sentido, la resolución del Alto Comisionado referida anteriormente expresa que debe prestarse especial atención no solo a la promoción de la igualdad de representación de género en los procesos de elaboración de normas sino también a la sensibilidad de género de las normas. Esto incluye la necesidad de crear y mantener proactivamente culturas libres de misoginia y discriminación.

Espacios de incidencia como la Unión Internacional de Telecomunicaciones (UIT) –  como hemos señalado en publicaciones anteriores – son fundamentales para fomentar la discusión de aspectos relevantes en la construcción de políticas públicas de ciberseguridad, que están directamente relacionadas con el cumplimiento de los derechos humanos. En términos de género, la participación se vuelve crucial no solo en asegurar paridad en las delegaciones y miembros de sociedad civil, sino en generar códigos de conducta apropiados e instalar la aplicación de la perspectiva de género también como un elemento central de la agenda de ciberseguridad.

Hacia un cambio sistémico en el abordaje de la ciberseguridad

El aporte crucial de la perspectiva de derechos humanos y el enfoque de género a la ciberseguridad insta a contemplar sus necesidades, prioridades y percepciones de la ciberseguridad en función del género y otros factores como orientación sexual, identidad de género, raza, clase social entre otros.

Citando a un reporte presentado por APC, este enfoque no implica simplemente agregar medidas a una política ya existente; sino que representa un cambio sistémico en la aproximación a la ciberseguridad. Aboga por una reevaluación del concepto tradicional de ciberseguridad, para superar la priorización de la defensa nacional o las demandas de la industria, y poner las personas en el centro. En ese sentido, es fundamental entender a las redes digitales como una base esencial para el ejercicio de derechos humanos en la actualidad.

Reflexiones sobre la privacidad en videoconferencias

En primer lugar, están los servicios provistos por grandes empresas de Internet como son Zoom, Google Meet, Teams e Skype de Microsoft, entre otros. Estas plataformas suelen dar un servicio limitado gratuito y además ofrecen la posibilidad de pagar para tener funcionalidades extras.

Más allá de ser un servicio pago o gratuito, estas plataformas tienen la característica que la comunicación es gestionada por las empresas que proveen el servicio. Las conversaciones que viajan entre nuestros dispositivos y los servidores de las plataformas es cifrada. Esto quiere decir que alguien que pueda vigilar nuestras comunicaciones no tendrá la posibilidad de saber con quién hablamos ni lo que estamos diciendo, lo que es bueno y es el mínimo seguridad que se esperaría para cualquier sistema de comunicación.

Por otro lado, las empresas que proveen el servicio lo pueden ver todo y, si lo desean, tienen la capacidad de grabar y transcribir las conversaciones.

¿Nos sentiríamos a gusto si tuviéramos una conversación con micrófonos y cámaras en nuestra casa u oficina de trabajo? ¿Nos cuestionaríamos quién puede escuchar estas conversaciones y para qué? ¿Existe algún problema si las grandes empresas de internet pueden escuchar y grabar nuestras conversaciones?

Para contestar esta última pregunta vale la pena regresar a 2013, cuando Edward Snowden filtró documentos secretos de la agencia de inteligencia de Estados Unidos NSA. En estas revelaciones aparece el programa PRISM, en el que participaban empresas como Google, Microsoft, Meta (entonces Facebook), Yahoo, entre otras. Según las filtraciones, las empresas debían entregar información de cualquier usuaria si el gobierno de Estados Unidos se los pedía. Para ese entonces ya se incluía a las videoconferencias.

¿Estaríamos cómodos si supiéramos que en nuestras casas hay micrófonos y cámaras por dónde miran y escuchan agencias de inteligencia? ¿Está bien que nuestras conversaciones puedan ser escuchadas? ¿Se puede hablar por Internet sin que nos escuchen?

El primer camino es el cifrado de extremo a extremo. En ese caso, las organizaciones o personas que proveen el servicio no serán capaces de escuchar las conversaciones. Según las preguntas frecuentes de Zoom, es posible habilitar esta opción en sus llamadas. Sin embargo, si revisamos la historia reciente, en el año 2021 Zoom tuvo que pagar 85 millones de dólares en EEUU, como resultado de una demanda colectiva donde se les acusó de mentir sobre el cifrado extremo a extremo y entregar información a Google y a Facebook.

¿Se puede confiar en Zoom o cualquier otra empresa que provea cifrado extremo a extremo? La respuesta es sí, siempre y cuando se trate de software libre y que el protocolo de cifrado funcione en nuestro dispositivo y no en el servidor. El software libre es importante porque se sabe de manera pública cómo funciona la aplicación y se la puede auditar de forma colectiva a nivel global. Es muy difícil poner puertas traseras con este esquema de desarrollo. Por otro lado, es importante que el cifrado de extremo a extremo suceda en nuestros dispositivos, porque por más libre que sea el software, no podemos saber si el sistema que funciona en el servidor ha sufrido modificaciones y pueda servir para espiarnos.

En ese sentido, las videollamadas de Signal están cifradas de extremo a extremo desde finales de 2021 para llamadas de hasta 5 personas y se supone que hoy en día soportan hasta 40. Si bien es una aplicación con más de 10 años de existencia y ha demostrado ser confiable, tiene un problema. Todas las comunicaciones son gestionadas por los servidores de Signal. Si bien no pueden escuchar las llamadas, tienen la posibilidad de monitorear quién se comunica con quién a través de los metadatos. No significa que suceda, pero es algo técnicamente viable.

Si no se puede confiar en quién provee el servicio, ¿qué se puede hacer? Una opción es gestionar el servicio de manera autónoma con servidores propios que funcionen con software libre. De esta forma, la gestión de la comunicación ya no pasa por proveedores conocidos por colaborar con agencias de inteligencia o lucrar con nuestros datos. En otras palabras, se transfiere la confianza de estos proveedores a nuestra organización o a un proveedor más chico en el que se pueda confiar.

Herramientas libres como Jitsi y Big Blue Button permiten tener un sistema de videoconferencias propio. Si bien las comunicaciones ya no pasan por las grandes empresas de tecnología, en principio no están cifradas de extremo a extremo. Esto quiere decir que las personas que gestionan las comunicaciones podrían vigilarlas. Por ello, es muy importante conocer quién nos da el servicio y confiar en nuestro equipo. Es importante también destacar que Jitsi está trabajando para tener cifrado de extremo a extremo en sus comunicaciones.

¿Existe alguna opción en la que dos o más personas puedan hablar por internet de forma segura sin que un tercero sepa que esto está sucediendo? Puede sonar algo subversivo, sin embargo, es el equivalente a reunirnos en un parque sin celulares en los bolsillos, ya que el mundo físico no viene con vigilancia embebida. Algo que fue normal hasta hace algunos años.

Herramientas como Jami o Tox buscan que la gente se comunique de forma segura sin la necesidad de servidores de terceros. Estos son proyectos que ya tienen su muchos años de existencia, pero que por problemas de usabilidad no han despegado.

Una alternativa interesante es Wahay, que ha sido desarrollada en Latinoamérica por el Centro de Autonomía Digital. Esta aplicación combina los proyectos de software libre Mumble con los servicios cebolla de Tor. Su arquitectura garantiza que nadie por fuera de la conversación sepa que la mismo sucedió y menos lo que se dijo. Actualmente, Wahay funciona solamente en GNU/Linux.

Esta columna no tiene el objetivo de recomendar una aplicación sobre otra. Lo que busca es ampliar una visión crítica sobre la tecnología que nos permita tomar decisiones informadas basadas en nuestras necesidades.

Por ejemplo, la inteligencia artificial está llegando a estas plataformas de comunicación y es importante tener una visión crítica sobre la misma. Hoy en día es posible tener un asistente virtual en nuestras reuniones que pueda tomar nota, hacer resúmenes, grabar las reuniones e incluso destacar los puntos claves en las grabaciones. Algo que puede ser útil y conveniente, pero si es gestionado por servidores remotos pone en riesgo nuestra comunicación y nuestra privacidad. Sin embargo, si la aplicación de inteligencia virtual funciona con software libre y en nuestros dispositivos, puede ser interesante. Tal vez es más simple y seguro tomar las notas entre seres humanos.

Elecciones, derechos digitales y desinformación: desafíos y aprendizajes a partir de la experiencia brasileña en 2022

Descargar PDF

La publicación analiza las especificidades del ecosistema de desinformación en las últimas elecciones presidenciales de Brasil, buscando ofrecer recomendaciones para otros países de la región que enfrenten esta problemática. El estudio fue realizado por la investigadora y docente brasileña, Anna Bentes, en el marco de una pasantía en Derechos Digitales entre noviembre de 2022 y mayo de 2023. Revisa el estudio completo aquí.

 

«Escuchas» de llamadas telefónicas  a través de la infraestructura del proveedor de servicio

La seguridad de las comunicaciones ha sido un elemento relevante y estratégico dentro de la historia de la civilización, tanto a nivel personal como colectivo, ya sea en momentos de conflicto o de aparente calma. En el contexto actual, donde muchas de nuestras comunicaciones se materializan a través de teléfonos móviles, es válido preguntarse acerca de su seguridad y privacidad. Esta columna se centrará específicamente en las llamadas telefónicas que se realizan a través de la red del operador de telefonía, lo que comúnmente conocemos como “llamar por teléfono”.

Es cotidiano enterarse por la prensa de investigaciones judiciales o de inteligencia que utilizan la interceptación de llamadas, también conocidas como “pinchazos” o “escuchas” telefónicas. Este método se utiliza con la intención de recopilar pruebas en un contexto investigativo fundado, pero también existen casos en los que el método es usado con otros fines, como por ejemplo en el caso de Chile reportado en 2022 por el Centro de Investigación Periodística CIPER. En esa oportunidad, relata la investigación que «durante tres meses, entre diciembre de 2017 y febrero de 2018, el teléfono de una conocida productora de eventos estuvo intervenido por la Dirección de Inteligencia de Carabineros. Los agentes de la policía escucharon y pudieron grabar cada una de sus conversaciones, en las que ella dialogó con humoristas, cantantes y managers«.

Ante este escenario, en que personas y organizaciones que no deberían ser objeto de investigación están bajo vigilancia, resulta relevante entender cómo funciona la interceptación y cómo prevenirla.

Existen algunos supuestos indicios que podrían advertir al usuario del teléfono si su dispositivo está sometido a un proceso de interceptación de sus llamadas desde la infraestructura del operador de red. Para verificar eso, comentaremos el tipo de protocolo de comunicación utilizado actualmente, con el fin de dar una explicación que nos permita evaluar con mayor certeza qué tan ciertas pueden ser dichas afirmaciones.

Lo primero que debemos entender son los identificadores de rastreo. Cuando un teléfono es utilizado, sea “smartphone” o  «de los antiguos”, requiere de un chip o tarjeta SIM (por su sigla en inglés, Subscriber Identity Module). La tarjeta SIM cuenta con un número de teléfono asociado que puede ser reasignado, por ejemplo, en el caso en que se cambie de tarjeta SIM pero se mantenga el número telefónico. Además, la tarjeta cuenta con un identificador único, llamado IMSI (International Mobile Subscriber Identity), que es un “código inteligente” que nos entrega información acerca del país (MCC), red del operador (MNC) y un identificador (MSIN). El conjunto del código es único, identificable y rastreable. Por otro lado tenemos el identificador del dispositivo móvil (teléfono físico), llamado IMEI (International Mobile Equipment Identity), que es un código único que identifica al aparato de forma exclusiva a nivel mundial.

Cuando una compañía telefónica es notificada para monitorear la actividad de un número telefónico, utiliza el IMSI para generar el filtro necesario y captar las llamadas. Cabe mencionar que, además de las llamadas, existen otros tipos de datos que pueden ser entregados por el operador telefónico al solicitante: mensajes SMS, geolocalización y listado de llamadas.

En el caso del listado de llamadas y la geolocalización es posible que el operador pueda entregar información retroactiva, es decir, datos correspondientes a períodos previos a la fecha en que se requiere la interceptación.

Cambiando de tarjeta SIM

Existen personas que, dado su contexto de acción, tienen la sospecha de que pueden ser objeto de vigilancia, por lo que toman la medida de cambiar de tarjeta SIM con el fin de evitar que sus llamadas sean “pinchadas”. Es aquí donde interviene el identificador único del dispositivo móvil o IMEI.

Los operadores telefónicos tienen la capacidad de generar filtros por IMEI, por consecuencia, aunque se cambie la tarjeta SIM el filtro de monitoreo igual funcionará, pues tienen la capacidad de reconocer el dispositivo desde el cual se está utilizando.

¿Cómo saber si mi dispositivo está siendo parte de un procedimiento de interceptación de llamadas telefónicas a través de la infraestructura del operador de red?

Debido a los cambios en los protocolos e implementaciones tecnológicas, las llamadas pasaron de un sistema analógico a uno digital. Cuando la interceptación se realiza utilizando la infraestructura del operador, no existe forma de notar o probar que un dispositivo está en ese proceso.

Antiguamente, en las comunicaciones análogas, era posible escuchar ruidos o voces cuando un teléfono estaba siendo vigilado. Pero con la implementación de la comunicación digital los dispositivos que gestionan las llamadas son muy similares a un computador o servidor, y no generan ningún tipo de ruido o evidencia perceptible para los usuarios.

Es posible que, como en todo sistema de comunicación a distancia, al usar el dispositivo se generen ruidos, por distintos motivos: pérdida de señal, demoras en el procesamiento, congestión, etcétera. Pero aún así, eso no es evidencia de la interceptación. Desde la otra vereda, puede suceder que un dispositivo móvil esté siendo sujeto de interceptación, pero los usuarios no experimenten ruido alguno.

Es importante reiterar que esta columna solo está referida al proceso de interceptación a través de la infraestructura del operador de red telefónica, pues existen otro métodos, como el uso de Cell-Site Simulators/IMSI Catchers, que básicamente funcionan como antenas falsas que captan las comunicaciones de uno a más dispositivos telefónicos a su alrededor.

En el escenario del uso de antenas falsas es posible que se generen algunos efectos que puedan ser perceptibles por los usuarios. En otras técnicas de vigilancia, como el uso de malware, es posible evidenciar su funcionamiento con comportamientos anómalos en el dispositivo, como el uso excesivo de la batería, sobrecalentamiento o el uso inusual de cantidad de datos.

Técnicas avanzadas de rastreo y vigilancia

Como ya fue mencionado, los operadores pueden rastrear e identificar un dispositivo móvil a pesar del cambio de tarjeta SIM. Entonces, en el escenario de cambio de dispositivo físico y de tarjeta SIM, ¿es posible identificar a alguien? La respuesta es sí, es posible.

Con el supuesto de que se buscó la forma de adquirir un dispositivo físico y una tarjeta SIM sin que tenga relación de pago o suscripción con quien lo utilizará, existen técnicas de reconocimiento de patrones de llamadas que pueden identificar al usuario. 

Una técnica se centra en la utilización de una base de datos de registros de llamadas previas, para así generar reglas de comportamiento, tal como lo menciona la EFF en su columna de acerca del problema con los teléfonos móviles donde cita el reporte de intersecciones y explica el funcionamiento de un sistema del gobierno de Estados Unidos llamado PROTON.

En palabras simples, aunque una persona cambie de dispositivo físico y de tarjeta SIM, es posible su identificación debido al reconocimiento del patrón de números con los cuales se comunica habitualmente.

También es posible identificar un dispositivo si se mueve junto a otro. Esto significa que si se tienen dos teléfonos con perfiles de uso diferenciados, el operador puede relacionarlos si se mueven juntos y, de ese modo, identificar al usuario del dispositivo.

Prevención y soluciones

Existen varias formas de sortear la interceptación de llamadas telefónicas. Lo primero es tener en cuenta que en los teléfonos llamados “inteligentes” está la posibilidad de utilizar aplicaciones para hacer llamadas, que cuentan con cifrado de extremo a extremo. Estas aplicaciones permiten resguardar la privacidad de la llamada, pues el operador de la red no puede captar dichas comunicaciones debido al cifrado. En esta categoría encontramos aplicaciones como Signal, Whatsapp o Element/Matrix.

Si por algún motivo no se quiere utilizar un teléfono “inteligente”, son necesarias una serie de medidas que dificulten la identificación del dispositivo. Primero, no debe existir relación de adquisición o suscripción con la persona que lo utiliza. Segundo, no se debe usar o transportar en conjunto con otro dispositivo, para que no puedan ser relacionados. Finalmente, se debe tener un uso diferenciado de las comunicaciones, es decir, no se deben efectuar llamadas a números frecuentes, para que no se pueda generar la identificación del patrón de comunicación.

Esta columna solo trata de mostrar cómo se efectúa la interceptación de llamadas con la participación del operador de red, debido a que son casos muy comunes y frecuentes.

Existen otras técnicas de vigilancia que pueden ser aplicadas a dispositivos móviles, tales como el uso de antenas falsas o mediante la implantación de malware, pero ambas resultan ser menos frecuentes, dado que necesitan de más recursos técnicos e inversión monetaria. De todos modos, y aunque menos frecuentes, no dejan de ser una preocupación, por lo que posiblemente serán temas abordados futuras instancias.

Diplomacia y peligro: negociando la paz en el ciberespacio

El pasado mes de julio, el Grupo de Trabajo de Composición Abierta Sobre Seguridad y Uso De Las Tecnologías De La Información y las Comunicaciones 2021-2025  (OEWG, por sus siglas en inglés) de la Primera Comisión de la Organización de las Naciones Unidas, tuvo una nueva sesión sustantiva, dedicada a buscar consenso sobre su segundo informe anual de progreso. La instancia es el mecanismo por el cual todos los países de ONU discuten la actividad de los Estados en el ciberespacio, particularmente en atención al riesgo de ciberataques entre Estados. Se trata no solamente de la búsqueda de mecanismos para mejorar la seguridad, sino también para procurar la paz en el uso de las tecnologías.

Sin embargo, alcanzar consensos no fue fácil, y los avances se vieron opacados por la inclusión de elementos con poco apoyo, que algunos estados estiman pueden generar incertidumbre y riesgos.

Consenso, señor, consenso

Por un lado, la discusión del borrador final estuvo marcada por la insatisfacción de muchos Estados, debido a  cambios y omisiones de propuestas formuladas en la sala. Y por otro, por la inclusión casi forzada de propuestas todavía sin apoyo significativo, a fin de rescatar un frágil consenso, por la vía de notas al pie que reconocen la vieja aspiración de reglas internacionales vinculantes para los Estados, en lugar de prácticas y normas no obligatorias. Sin embargo, el informe constata puntos de avance y define las prioridades para las discusiones futuras, a la vez que identifica iniciativas de colaboración que ya existen entre Estados.

Dentro de los puntos positivos estuvo el avance en la propuesta de un directorio global de puntos de contacto en la ONU, para facilitar la comunicación entre Estados al momento de conocer una amenaza o un actor malicioso. Dicha propuesta ha avanzado hacia una operacionalización mediante la adopción de un documento anexo al informe anual. También se plasmaron las peticiones de reuniones intersesionales para tratar puntos de más difícil acuerdo, como la aplicabilidad del derecho internacional o la definición de las amenazas, que siguen siendo objeto de intensa discusión.

Asimismo, se incluye lenguaje que invita a los Estados a una mayor transparencia sobre su comprensión de las amenazas, las posturas sobre la aplicabilidad del derecho internacional y la implementación de reglas no vinculantes. Resultan alentadoras las referencias a la sensibilidad con el género, en particular en relación con las amenazas y la capacitación, en tímido reconocimiento de la multidimensionalidad de las brechas digitales de género.

Menos afortunada resultó la mención reducida o condicionada de la intervención de partes interesadas no gubernamentales («stakeholders»), incluyendo a la sociedad civil, como actores clave en varios de los aspectos de atención. Del mismo modo, la resistencia al lenguaje explícito sobre derechos humanos hizo que su presencia quedara muy acotada, limitando el reconocimiento de la necesaria consideración por los derechos humanos en las medidas para garantizar la seguridad en el ciberespacio.

 A pesar de que Derechos Digitales, como otras organizaciones, ha destacado el esquema de distintas partes interesadas, y ha defendido el lenguaje sobre derechos humanos, la atención de los Estados parece haber estado mucho más concentrada en  la búsqueda de consensos que en estos tópicos.

Negociación y denegación

El riesgo de no alcanzar consenso estuvo dado por la contumaz propuesta de integrar lenguaje que reconociera la propuesta —minoritaria— de trasladar los acuerdos a reglas de carácter vinculante a un nuevo tratado de la ONU sobre ciberseguridad. La “diplomacia de notas al pie” (como destacó una delegación) se convirtió en una salida práctica para salvar un consenso difícil entre países en abierto conflicto geopolítico. La insistencia recae en un punto promovido desde hace años por la delegación rusa y algunas aliadas, de negociar nuevos tratados de ciberseguridad y cibercrimen (esto último ya en discusión en un Comité Especial), debido a la importancia dada en algunos de esos países a la “seguridad de la información”, concepto más amplio que el de la “ciberseguridad”, preferido en Occidente.

Por cierto, la experiencia muestra que llegar a puntos muertos no implica necesariamente un fracaso total de los procesos, pero exige abordar la discusión de manera realista para no arriesgar la paz y el desarrollo globales.

Estamos lejos de considerar que el avance del OEWG represente las aspiraciones de la sociedad civil por promover medidas inclusivas y resguardar los derechos humanos. No obstante, no podemos abandonar la aspiración de mejores reglas de conducta entre Estados, que reconozcan que la seguridad y la paz requieren del aporte de distintos actores.