Temática: Seguridad digital

Mensajería segura ¿y también federada?

Después de cinco años de trabajo, el protocolo de Seguridad en la Capa de Mensajería (MLS por sus siglas en inglés) será publicado próximamente por IETF, la principal organización para la definición de estándares de internet. El objetivo principal de este protocolo es facilitar la comunicación cifrada de extremo a extremo entre dos o más personas, quienes pueden utilizar uno o más dispositivos (por ejemplo, utilizar una misma aplicación de mensajería en el celular y el computador). Hasta hoy, algunas aplicaciones como Signal tienen esta capacidad, pero lo hacen por su cuenta y las personas usuarias deben confiar en que pueden hacerlo, y cómo.

Al ser un estándar abierto, MLS es un acuerdo común sobre cómo debe transportarse la información cifrada en sistemas de mensajería instantánea, una vez se ha establecido la comunicación. Por eso, no se ocupa de cuestiones -también importantes para la seguridad- como la autenticación de la identidad de quienes participan de la comunicación y el envío de los mensajes. Solo se trata del transporte. Pero sobre esto volveremos más adelante. Por ahora, es importante mencionar que la publicación de un estándar no garantiza su implementación.

Al igual que Signal, aplicaciones como Whatsapp (con alrededor de 2.400 millones de personas usuarias a finales de 2022) también cifran las comunicaciones, y dada su popularidad es muy probable que sean de las primeras en implementar MLS, ajustándolo a sus necesidades. ¿Qué quiere decir esto? MLS, como muchos protocolos para la privacidad que se han desarrollado en los últimos años, se basan en una mayor complejidad técnica, así como en requerimientos de mayor infraestructura para ser desplegados. Con esto, las empresas más grandes tienen mejores capacidades para implementarlos, sin necesidad de compartir los códigos. Y es así como mantienen su posición dominante en el mercado.

La buena noticia es que existe OpenMLS, un proyecto de implementación de código abierto que permite integrar MLS en cualquier aplicación que incluya mensajería instantánea. La existencia de este tipo de implementaciones contribuye a descentralizar el mercado de internet y también a fortalecer la confianza en los sistemas que utilizamos, pues cuando solo las grandes empresas ofrecen un servicio (como la mensajería instantánea) y nos prometen respetar nuestra privacidad utilizando códigos cerrados, no tenemos más opción que creerles. Pero si el código está abierto, más empresas y personas (con capacidad técnica y de cómputo) pueden instalar y auditar estos sistemas, y es más probable que confiemos en alguna de ellas.

Justamente para limitar el poder de las grandes plataformas digitales, en mayo de 2022 el Parlamento Europeo publicó el Digital Markets Act (DMA), una regulación que en su artículo 7 exige la interoperabilidad entre sistemas de mensajería. Aunque la interoperabilidad, e incluso la federación, han estado en la discusión de MLS desde sus comienzos, esta nueva regulación ha motivado la conformación de un nuevo grupo de trabajo denominado Más Interoperabilidad en la Mensajería Instantánea (mimi), donde se busca encontrar mecanismos para la autenticación de identidad y el envío de mensajes, compatibles con el transporte cifrado de información que ofrece MLS.

¿Qué quiere decir esto? Que varias entidades (empresas, personas) pueden operar servicios MLS independientes. Es decir, que tanto la autenticación como el envío de mensajes no deben ser gestionados por la misma entidad, pero cualquier entidad debe garantizar la seguridad (el cifrado) que ofrece MLS. Protocolos como Matrix soportan el cifrado de extremo a extremo y además la federación. Como puede pasar con cualquier sistema, este protocolo presenta ciertas limitaciones para la garantía plena de la privacidad. En su caso, principalmente por la cantidad de metadatos que requiere para establecer las comunicaciones.

Otra buena noticia es que proyectos como Matrix o Phoenix (involucrado en OpenMLS) están contribuyendo en el grupo de trabajo mimi en IETF. Y aunque este grupo no pretende ocuparse del procesamiento de metadatos, la última buena noticia es que, aún cuando hace tiempo se ha hablado de esto, actualmente en el Comité de Arquitectura de Internet (IAB por sus sigles en inglés), el órgano decisor dentro de IETF, se está desarrollando un documento sobre la minimización de datos como principio necesario para el respeto a la privacidad.

Si bien desde América Latina no es sencillo seguir, involucrarse ni mucho menos contribuir activamente en muchos de los procesos que se adelantan en cuerpos de estandarización como IETF, vale la pena saber que, también allí, hay personas comprometidas con la privacidad, la descentralización y, en últimas, la posibilidad de utilizar internet con cierta autonomía todavía.

Las personas al centro: la apertura en las políticas de ciberseguridad

A mediados de 2022 el gobierno de Chile anunció la designación del nuevo Coordinador Nacional de Ciberseguridad: el Dr. Daniel Álvarez (uno de los fundadores de Derechos Digitales).

La nueva autoridad llegó anunciando dos misiones concretas y cruciales: la evaluación de la Política Nacional de Ciberseguridad 2017-2022, y el desarrollo de su sucesora, una nueva Política Nacional de Ciberseguridad 2023-2028, como cuestiones que se desarrollarán de forma paralela.

El esfuerzo viene acompañado de otros sucesos. A nivel nacional, el avance en la extendida discusión de una reforma profunda a la ley de datos personales, y el retrasado pero recuperado debate de una ley marco de ciberseguridad muestran un contexto de avance en varios frentes.

A nivel internacional, Chile sigue junto a varios países de la región negociando normas no vinculantes para el ciberespacio o “cibernormas” para el comportamiento de los estados en el ciberespacio en un grupo de trabajo de la Primera Comisión de Naciones Unidas, y reglas de combate e investigación de ciberdelitos en el Comité Especial designado en la Tercera Comisión.

Hay un aspecto que sobresale ahora que el proceso de una nueva PNCS está en curso: la participación ciudadana en la definición de posturas y medidas oficiales relacionadas con la seguridad en el ciberespacio.

Proteger personas, no máquinas

La discusión por el desarrollo de reglas, principios y normas no vinculantes para el comportamiento de los estados en el ciberespacio, que lleva varios años y varias iteraciones en el OEWG de la ONU, parece ir encaminada con buenas intenciones en ese sentido.

Con insistencia de organizaciones de la sociedad civil y la academia, y con el apoyo de varios Estados (también de Latinoamérica), se ha destacado la necesidad de poner a las personas y los derechos humanos no solamente en el centro de los esfuerzos de protección, sino también como parte de la discusión en el OEWG.

No obstante, resulta un desafío permanente que la implementación de las normas no vinculantes sea efectivamente un espacio para la participación. Con frecuencia, da la impresión de que ciertos aspectos de la implementación de estas normas no vinculantes son más bien un asunto eminentemente técnico, donde la experiencia, la pericia y la perspectiva de múltiples partes interesadas, distintas del Estado y algunas empresas de seguridad, no tiene un espacio.

¿Es posible confiar en que los Estados incorporen a distintas partes interesadas al momento de implementar normas no vinculantes? ¿Es posible esperar al menos el compromiso de una mayor interacción a través de sus programas y estrategias de ciberseguridad? Ello depende fundamentalmente de la forma en que cada Estado observa, e integra, los aportes de esos distintos actores.

Los próximos pasos

Hace varios años, cuando analizamos los niveles y el impacto de la participación de múltiples partes interesadas en la formulación de la PNCS 2017-2022 de Chile, observamos con grata sorpresa lo que resultaba un positivo ejemplo. La convocatoria del gobierno de la época para sostener reuniones con distintas partes interesadas y de abrir la consulta pública a cualquier persona que quisiera intervenir, se vio reflejada en un texto final que efectivamente incorporaba cambios coincidentes con propuestas desde fuera del gobierno.

En nuestra opinión, esa mayor interacción permitió no solamente mejorar la comprensión y las capacidades entre distintos actores (Estado incluido), sino también dotar a la PNCS 2017-2022 de mayor calidad y legitimidad.

Un informe de la OEA y GPD, lanzado públicamente a fines de junio de 2022, daba cuenta de la experiencia en la región, relevando los procesos que integraron de distinto modo a la participación multisectorial. Tan solo falta que esa apertura se adopte como norma no vinculante a nivel global.

Creemos firmemente que las distintas partes interesadas, especialmente aquellas dedicadas a la promoción de derechos humanos o que representan a grupos especialmente vulnerables a ataques cibernéticos, son actores relevantes en la formulación y en la implementación de políticas sobre el ciberespacio, facilitando la capacitación, proponiendo políticas o medidas concretas, y ayudando a la sensibilización en cuestiones de seguridad digital.

Con esa experiencia, el nivel en materia de participación para una estrategia de ciberseguridad no debería ser un menor que en la ocasión anterior. No obstante, hasta ahora es poco lo que hemos encontrado en mejoras sustantivas.

Es positivo que la política chilena sea objeto de evaluación, como también que el nuevo proceso esté marcado por una mayor participación en audiencias. Pero todavía restan dudas, de cara a la ciudadanía, sobre cuáles son las fechas, etapas e instancias de interacción directa con el proceso, como también extrañamos una difusión amplia de las medidas que se adoptarán hacer de la elaboración un proceso abierto, transparente e inclusivo.

Que las experiencias pasadas se conviertan efectivamente en lecciones aprendidas tanto de lo nacional como de lo regional y mundial, depende ahora de las autoridades. La sociedad civil está atenta.

Los Estados tienen la obligación de reforzar y no poner en peligro los derechos humanos

Como les contamos en abril del año pasado, se encuentra en marcha y avanzando a paso firme la elaboración de una “Convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos” por un Comité Especial (el “Comité Ad Hoc”) en el seno de Naciones Unidas. 

Derechos Digitales participó de la cuarta sesión de trabajo del Comité Ad Hoc que tuvo lugar en Viena entre el 9 y 20 de enero. En esta columna queremos compartir con ustedes nuestras principales preocupaciones, y por qué creemos que se trata de un tema al que todos deberíamos prestarle más atención desde América Latina.

El trabajo de la cuarta sesión se centró en la revisión de un documento de negociación consolidado (DNC). Previo a la sesión, y en conocimiento del documento preparamos en conjunto con otras 79 organizaciones de sociedad civil, una carta para comunicar al Comité y los Estados nuestras preocupaciones.

Desde el inicio del proceso no hemos estado convencidos de la necesidad de una Convención global sobre ciberdelincuencia. Sin embargo, a través de esta nueva carta, reiteramos la necesidad de un enfoque basado en los derechos humanos para su redacción.

Nuestras preocupaciones se centran en la necesidad de garantizar que los derechos fundamentales tengan prioridad en la forma en la cual se definen los delitos cibernéticos, la forma de producir pruebas respecto de ellos, y al establecer mecanismos de cooperación internacional o de asistencia técnica. 

Lamentablemente, el texto examinado en esta cuarta sesión todavía resulta demasiado amplio en su alcance y no se limita solamente a los delitos cibernéticos en los que la tecnología es parte esencial del delito.

El texto se  expande de forma ambigua hacia otros delitos -muchas veces ya regulados- cuando pueden ser facilitados o cometidos a través del uso de tecnologías de la información. Lo anterior es incompatible con obligaciones internacionales de derechos humanos, y amenaza con criminalizar las actividades legítimas con propósitos de interés público como el trabajo de periodistas e investigadores de seguridad. 

Estuvo en el centro de las discusiones la cuestión de reducir el ámbito de alcance de los delitos contemplados en la Convención a aquellos esencialmente vinculados con el uso de la tecnología, y no expandirlo a los que son meramente facilitados por ella. 

Muchos estados manifestaron su preocupación por la excesiva expansión del listado de delitos considerados, sin embargo al término de las negociaciones la criminalización expansiva de delitos de expresión sigue estando presente en el texto.

También hay en el texto limitadas salvaguardias respecto de los ciberdelitos definidos que pueden impactar negativamente en las actividades legítimas de periodistas, informantes, defensores de derechos humanos, investigadores de seguridad y de ciencias sociales, niños y adolescentes, mujeres, diversidades sexuales, grupos vulnerables, opositores políticos, víctimas de delitos, entre otros. 

Qué nos preocupa, por qué y por qué te debe importar

Organizaciones de la sociedad civil, empresas y organismos internacionales como la Oficina del Alto Comisionado en Derechos Humanos presentaron diversas preocupaciones sobre los temas discutidos en la sesión. Sin intentar ser exhaustivos en la lista, queremos llamar la atención sobre algunos puntos que nos parecen cruciales,  en los que se requiere que el texto de la futura Convención continúe refinándose de cara a la presentación del borrador cero.

Particularmente nos preocupan áreas en las que resulta crucial la atención de los representantes de gobiernos de nuestra región para garantizar la adecuada protección de derechos fundamentales en la persecución del ciberdelito, con miras a la realidad normativa e institucional de América Latina.

También nos ocupan cuestiones que creemos que merecen atención general, por el impacto que pueden tener en la habilidad de ejercer la libertad de expresión, el acceso a la información y resguardar la privacidad. 

Riesgos de criminalización de la labor de investigadores de seguridad y ciencias sociales, periodistas y defensores de derechos humanos

El texto necesita incorporar en los delitos esencialmente vinculados con el uso de la tecnología la referencia a que la acción sancionada debe sobrepasar barreras técnicas. Solo así podrá evitar la ambigüedad de que la violación de términos y condiciones de servicio o políticas de seguridad establecidas por empresas privadas puedan permitir criminalizar la investigación de interés público en el funcionamiento de sistemas informáticos.

Delitos de expresión propuestos son una herramienta para la censura y la represión

Algunos delitos propuestos, como los delitos relacionados con el extremismo o con el terrorismo, son incompatibles con los estándares internacionales de libertad de expresión y pueden ser utilizados por los estados con fines represivos y de control social. Adicionalmente, no existen definiciones uniformes de estos conceptos en el derecho internacional, y muchos estados se basan en esta ambigüedad para justificar abusos contra los derechos humanos.

Respeto por la evolución progresiva de niños y adolescentes

Los artículos referidos a la criminalización de los usos de material de abuso sexual a menores han sido en general acogidos como necesarios por los Estados parte de la negociación. Sin embargo, muchos han afirmado la necesidad de asegurar la consistencia con otros instrumentos en que la materia se regula y ya han sido adoptados, cuestión que aún no se ve bien reflejada en en el texto.

Resulta preocupante que las redacciones discutidas no reflejen aún la necesidad de que, tal como lo afirmó UNICEF en sus aportes durante la tercera consulta intersesional, se considere la evolución de los adolescentes, evitando criminalizarlos por actividad sexual consentida y sin explotación, siempre que no haya elementos de coerción, abuso de confianza o dependencia entre los adolescentes. No se debe responsabilizar penalmente a niños por la generación, posesión o intercambio voluntario y consensuado de contenido sexual de sí mismo u otros, únicamente para su uso privado.

Hay también algunas provisiones que extienden la criminalización a dibujos u otras representaciones visuales o auditivas creíbles de niños que amenazan considerablemente la libertad de expresión y las expresiones artísticas. 

Limitación de la distribución de imágenes sexuales no consentidas a expensas de la autonomía de las víctimas

En el caso de la criminalización de la distribución de imágenes íntimas no consentidas y otras conductas relativas a adultos que involucran el uso de imágenes de contenido sexual con fines de acoso, intimidación o extorsión, resulta preocupante la excesiva vaguedad de la forma en la cual se define el elemento de falta consentimiento respecto de tales materiales, lo que arriesga a una sobrecriminalización.

También preocupa  la ausencia de excepciones a la tenencia, uso o distribución de imágenes que pueden tener un interés público, como la cobertura periodística, la atención y acompañamiento de víctimas, o la misma investigación de las conductas. a criminalización de este tipo de conductas no parece contar con una visión centrada en la víctima.uchas veces lo  primoridal es evitar la revictimización a través de procesos criminales, y manifestar preferencia por otro tipo de mecanismos que puedan ser más eficaces en limitar la distribución del material respectivo considerado lesivo.

Salvaguardas de derechos humanos excesivamente débiles

Desde la sociedad civil y de muchos estados comprometidos con los derechos fundamentales se celebró la incorporación de dos artículos -uno en las provisiones generales y otro en las procedimentales- en los que se aborda la protección de los derechos humanos y el respeto por las consideraciones de género y las condiciones de grupos vulnerables.  Sin embargo, esas protecciones se diluyen en las demás disposiciones de la Convención.

Es necesario que el capítulo de medidas procesales exija autorización judicial previa para los poderes intrusivos que se consagran, así como para garantizar explícitamente el derecho a un recurso efectivo. Resulta esencial retener la referencia a los principios de legalidad, necesidad y proporcionalidad, y al reconocimiento de la privacidad como derecho humano. 

Ambigüedades que favorecen el hacking estatal, los intentos de retención masiva de datos y el debilitamiento del uso de tecnologías de privacidad

Las provisiones procesales están redactadas de manera poco precisa.  De este modo, pueden ser usadas como una excusa para justificar la vigilancia masiva de las comunicaciones y dan la posibilidad a los gobiernos de desarrollar acciones ofensivas que debiliten la seguridad de los sistemas a través de puertas traseras en tecnologías de privacidad -como el cifrado- u operaciones de hacking que se beneficien de la explotación de vulnerabilidades, forzando a los proveedores de servicios de internet a transformarse en colaboradores de estas prácticas, que pueden ser tremendamente dañinas para la seguridad integral de los sistemas.

¡Ojo acá, Latinoamérica!

Esta Convención tiene el potencial de impactar profundamente en millones de personas en todo el mundo, y es por esto que debemos dejar muy claro que la lucha global contra el ciberdelito no debe socavar el respeto por los derechos humanos.

En abril el Comité Ad Hoc volverá a reunirse para continuar la revisión del texto y esperamos muchos más ojos atentos a la posición de los gobiernos de América Latina en estas cuestiones escenciales para el ejercicio de nuestros derechos fundamentales.

Argentina: amicus curiae en relación con el expediente 182908/2020-0

Descargar PDF

Esta es una acción del Observatorio de Derecho Informático Argentino, O.D.I.A., que cuestionó la constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En ella, pidió un juicio de amparo en primer grado de competencia, que requirió el análisis del sistema a través de la constitucionalidad y convencionalidad, además de las medidas cautelares para suspender su uso.

Mastodon: rumbo al Fediverso

Las redes sociales como Facebook, Instagram, Twitter y TikTok tienen una estructura centralizada y se caracterizan por tener un dueño que decide las reglas de su funcionamiento. Estas reglas pueden definir cuál contenido es aceptable y cuál no, cuándo suspender una cuenta, qué datos recolectar y qué hacer con los mismos. Las personas que usan estas redes no tienen posibilidad de incidir sobre las reglas que las rigen. Eso es un problema porque parte importante de la interacción social sucede en estos espacios.

Twitter es una fuente relevante de información y un espacio para el debate político en muchos países. Elon Musk compró esta plataforma por más de cuarenta mil millones de dólares y comenzó a tomar decisiones polémicas. Una de las primeras fue despedir a cerca de la mitad de sus empleados. Intentó realizar cambios como el “check-azul” de verificación y suspendió la cuenta que reportaba la ubicación de su avión privado. Varios periodistas que reportaron sobre estos sucesos terminaron con sus cuentas suspendidas.

Estos sucesos provocaron malestar en muchas personas, que buscaron alternativas. El nombre Mastodon comenzó a hacerse cada vez más conocido. Se trata de una plataforma de microblog, similar a Twitter, que permite compartir contenidos cortos y suscribirse a las publicaciones de las demás personas. Si bien son sistemas parecidos, existen al menos tres características que hacen Mastodon diferente de Twitter: es software libre, es un sistema federado y además forma parte de algo más grande que se conoce como el “Fediverso”.

Al igual que Twitter, Mastodon es un sistema cliente-servidor, donde existen una o varias máquinas, conocidas como servidores, a las que nos conectamos a través de aplicaciones instaladas en nuestros dispositivos, conocidos como clientes. Twitter trabaja con miles de servidores que hacen que la red funcione y la gente se conecta desde la página web o la aplicación de Twitter en dispositivos móviles. Todo el software que hace funcionar la red es propiedad de Twitter y no se puede saber cómo funciona, pues sus algoritmos son secretos.

Mastodon es software libre. Cualquier persona u organización que tenga el conocimiento y las capacidades puede montar su propia red de microblogging, del mismo modo en que cualquier persona que sepa cómo usarlo puede montar su propio sitio web gracias a WordPress. Que Mastodon sea software libre permite a personas y colectivos tener su espacio en Internet y, de esta manera, mayor autonomía: cada una podría implementar una instancia propia de Mastodon y formar una comunidad de personas donde compartir contenido con algún fin específico.

Que una comunidad o un colectivo tenga un espacio en internet para comunicarse es útil, pero la audiencia podría estar limitada, en especial si se compara con redes como Twitter. Es ahí donde la federación hace la diferencia. En su momento escribí un artículo sobre este tópico y las aplicaciones de mensajería. Básicamente, significa que una instancia de Mastodon puede interactuar con otras instancias de Mastodon.

En un ambiente federado no existe una empresa dueña de la red como sucede con las redes sociales centralizadas. El caso más conocido de servicios federados es el correo electrónico: se puede enviar un correo de Gmail a Hotmail o al servidor propio de una organización.

Los términos de uso y las reglas que rigen a una instancia de Mastodon dependen de las personas que gestionan la instancia. Si no estamos de acuerdo con esos términos podemos buscar otra instancia o gestionar la implementación de una instancia propia y definir nuestros propios términos.

Mastodon no es la única red social basada en software libre que es descentralizada. En realidad, es parte de algo más grande conocido como el Fediverso. Mastodon, al igual que GNU Social o Pleroma, son implementaciones de microblog similares a Twitter; Pixelfed es una herramienta para publicar fotografías, similar a Instagram; PeerTube es una plataforma que permite compartir videos a la manera de Youtube. Todas estas redes interactúan entre si a través del protocolo ActivityPub, el mismo que define las reglas que permiten a las participantes del Fediverso interactuar. En el Fediverso es posible seguir a una cuenta de Pixelfed desde Mastodon y viceversa. Es como si desde Twitter se pudiese seguir una cuenta de Instagram o al revés.

El estándar de ActivityPub ha sido construido de forma colaborativa y forma parte de los estándares publicados por la W3C, organización responsable de mantener estándares como el HTML. En lugar de ser una empresa la que define el funcionamiento de un sistema, en el Fediverso trabajan varias organizaciones y personas a nivel mundial y llegan a acuerdos sobre cómo se debería funcionar una red de redes sociales.

Soy usuario de Mastodon desde el año 2017, y entre 2009 y 2013 fui muy activo en una plataforma similar conocida como Identica. Creo que las redes sociales federadas son el camino correcto hacia una internet más libre, diversa y donde la ciudadanía puede empoderarse de la tecnología. La actividad de Elon Musk como dueño de Twitter a finales de 2022 muestran los riesgos de depender de plataformas de un solo dueño.

En este momento existe una oleada de gente nueva a Mastodon y hay mucho más contenido que el existente previo a que Musk comprara Twitter. Espero que esto sirva para que más gente se dé cuenta de que existen otras formas en la que internet puede funcionar y podamos apropiarnos de la tecnología. Sin embargo, dudo mucho que este sea el fin de Twitter y el despegue del Fediverso. Probablemente en un futuro, a través de legislación, Twitter y las otras redes sociales se vean obligadas a federar con ActivityPub u otro estándar.

Las redes federadas tienen cierta complejidad, que en un principio puede hacer la transición menos sencilla de lo que la mayoría de la gente quisiera. Sin embargo, debemos valorar que todavía podemos tener cierta autonomía. Twitter sigue siendo más conveniente para la mayoría de las personas, pero hay que ser conscientes de que no somos su prioridad.

La libertad no es gratuita y la conveniencia es una droga muy adictiva. Es importante dudar de los sistemas que utilizamos, saber quién está detrás de los mismos, cuestionarnos si nos dan libertad o nos capturan para hacernos dependientes. De nosotres depende decidir si queremos tener control sobre la tecnología o si queremos cederlo a un puñado de millonarios.

Sigue a Derechos Digitales en Mastodon: https://mastodon.social/@derechosdigital

Una última mirada a los derechos digitales en 2022

Cuando comenzamos 2022, una esperanza comenzaba a crecer en buena parte del mundo: las vacunas para reducir los contagios y los síntomas de la COVID-19 surtieron efecto y llegaron a más grupos de la población. Lentamente, aspectos de la vida prepandémica volvían a materializarse y, después de dos años dramáticos, el mundo parecía realinearse.

Pero el año inició con tumulto mundial: una invasión en Europa oriental creaba una crisis humanitaria de incalculable costo humano, que a su vez desviaba la atención de otras crisis en África oriental, en Asia meridional, en América Latina. Nuevas desigualdades, internas y externas, se hicieron patentes, ahora bajo la presión del riesgo vital de una pandemia que no termina.

Como en buena parte del mundo, América Latina ha visto el agravamiento de las distintas crisis superpuestas, agudizadas por un horizonte de crisis económica que está en pleno desarrollo. Aun así, grandes aires de esperanza se sintieron en la región, en la resistencia al abuso y la injusticia, y en la participación política en varias elecciones.

En América Latina, el 2022 partió con revelaciones de hackeo a periodistas en El Salvador, en una réplica de lo que fue descubierto años antes en México, revelando que el espionaje ilegal estatal con herramientas importadas continúa en la región.

A la vez, la vigilancia masiva todavía es una disputa inconclusa. En una insigne victoria para el activismo local, en México el invasivo Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), aprobado a fines de 2021, fue declarado inconstitucional, impidiendo la vinculación entre la identidad de un usuario de teléfono y su información biométrica, entre otros datos, en una decisión anunciada en abril. Poco antes, se había detenido en el metro de San Pablo, Brasil, el uso de un sistema de reconocimiento facial automatizado, aunque luego fue autorizado por la justicia. Esa batalla continúa, ahora contra una iniciativa por extender el reconocimiento facial a toda la urbe. En la Ciudad de Buenos Aires, en tanto, la justicia declaraba la inconstitucionalidad de un sistema de reconocimiento facial.

En Colombia, una preocupación constante por la incorporación de mecanismos legales para fórmulas riesgosas de identidad digital, como también un debate sobre neutralidad de la red y zero-rating se tomaron parte de la agenda después de la fuerte escalada de violencia de las protestas de 2021. El uso de máquinas digitales para el proceso electoral fue, como siempre, objeto de escrutinio.

Al igual que en Colombia, y ante los ojos del mundo, una nueva elección presidencial en Brasil ofrecía esperanza, pero también mostraba algunos de los peores temores de la región: torpes intentos de control de la desinformación amenazaban con alterar el funcionamiento de la mensajería personal, mientras varias acusaciones de desinformación enfrentaban al gobierno y a las iniciativas de empresas privadas por controlar el discurso en línea. Que todo eso ocurriera mientras aumentaba el gasto en tecnología de hackeo y vigilancia hacía temer por el futuro.

Por cierto, las protestas sociales de los últimos años no cesaron. En Ecuador, fuimos parte del reclamo de la sociedad civil en rechazo a la represión y la vigilancia en el marco de protestas sociales a mediados de año. Presentamos a la ONU múltiples antecedentes sobre situaciones de afectación de derechos, especialmente vinculados a la expresión y la protesta, en un informe dentro del contexto del Examen Periódico Universal. En paralelo, continúa el cuestionado juicio contra Ola Bini a pesar de las reportadas infracciones al debido proceso. También vimos que persiste la represión de la expresión y la protesta en Nicaragua, incluido el allanamiento y cierre de organizaciones y de medios de comunicación, alarmando a expertos internacionales que exigen visitar el país. Y, en Venezuela, informes tanto de la industria de las telecomunicaciones como de la sociedad civil, mostraron el nivel de vigilancia y represión en ese país.

Al mismo tiempo, Brasil progresaba en un área sensible para toda la región: la protección de datos personales. Sin ser un debate ajeno a la contingencia, Brasil avanzó en el otorgamiento de autarquía de carácter especial a su nueva autoridad de control de datos personales. Por su parte, Ecuador –que promulgó su ley en 2021– inició este año el proceso de reglamentación de la ley. En Chile, paso a paso se Avanza en un proyecto de reemplazo a una ley que hoy es ineficaz ante casos públicos de vulneración de los derechos sobre los datos.

También hubo otros relevantes debates legislativos en la región, para los que este recuento quizás no basta. Fuimos testigos de la discusión por una nueva ley de inteligencia artificial en Brasil, como también en iniciativas de leyes sobre ciberseguridad, sobre desinformación y sobre ciberdelitos en varios países de la región. Nuestro trabajo de monitoreo continúa con intensidad para identificar las oportunidades, los riesgos a las libertades y derechos que puedan acompañar a esas iniciativas. Nos involucramos en la discusión por una nueva constitución en Chile, con propuestas surgidas desde distintos lugares y grupos del país.

No obstante también aprovechamos instancias globales que afectan a América Latina. Como ejemplos, contribuimos a informes de oficinas de expertos de Naciones Unidas sobre apagones de internet y sobre inteligencia artificial y privacidad. Participamos en procesos como la reunión de plenipotenciarios de la UIT, en la peligrosa discusión por un nuevo tratado sobre ciberdelitos, en el debate global sobre normas para el comportamiento de los Estados en el ciberespacio, y mucho más.

Mirar hacia el futuro

Todo lo anterior es apenas una muestra de lo intenso que fue el trabajo del año desde nuestro activismo. No obstante, también hubo muchísima colaboración, la misma que creemos que es parte esencial de la proyección hacia el futuro de la labor de Derechos Digitales.

Como organización, el año también fue de oportunidades de cooperación cruciales para la región. Volvimos a albergar un evento virtual de difusión, intercambios y aprendizajes. Participamos muy activamente en la organización del Foro de Gobernanza de Internet de América Latina y el Caribe, el LAC IGF. Nos reunimos con nuestras aliadas de la coalición Al Sur para comenzar a pensar en el futuro, en un primer encuentro presencial después de años. Mantuvimos numerosos talleres y reuniones con organizaciones e instituciones a nivel regional y global. Y nos sumamos como socios organizadores, con esperanza, al Movimiento por una Mejor Internet.

Logramos también apoyar a 21 iniciativas de acción de 12 países de la región a través de nuestro Fondo de Respuesta Rápida, no solo facilitando la respuesta ágil a situaciones de emergencia, sino también favoreciendo el aprendizaje en múltiples contextos de activismo. Es a través de procesos como este que la colaboración de 2021 con el ODIA argentino ayudó en la declaración de inconstitucionalidad del sistema de reconocimiento facial en Buenos Aires. Mecanismos de apoyo como este Fondo demuestran que existen nuevas posibilidades para la articulación de organizaciones en la región.

Lo más importante: en una época global de grandes cambios, consolidamos un equipo sólido, de muy diversos orígenes y perfiles, fortaleciendo nuestra capacidad de trabajar en distintos ámbitos. Sabemos que en 2023 habrá más cambios, pero también que con ellos vendrán nuevas oportunidades de colaboración interna y externa.

Aunque ha sido un año desafiante, sentimos orgullo por el camino recorrido y mucha esperanza en el que queda por recorrer. La mirada introspectiva ha sido fuente de gran aprendizaje, como también de importante reflexión sobre lo que necesitamos seguir haciendo. Porque creemos en nuestro derecho y en nuestra capacidad de crear un futuro más justo para América Latina, reconocemos lo que significa el fin de 2022 y damos la bienvenida a 2023.

Guacamaya: El espectro de color de su mensaje

Una vez más es a través de la acción de un grupo de activistas informáticos que varios países de América Latina (Chile, Colombia, El Salvador, México y Perú, hasta ahora) han conocido información acerca de las acciones reñidas con el estado de derecho que dan cuenta de la vigilancia selectiva de periodistas y activistas de derechos humanos, así como de otros ilícitos de corrupción, obstrucción de la justicia y asociación criminal.

La técnica utilizada por los especialistas informáticos no reviste el nivel de sofisticación a que la ciencia ficción nos tiene acostumbradas Más bien toma ventaja de la falta de diligencia de los organismos públicos implicados para protegerse de las vulnerabilidades de los softwares que utilizan en sus labores, las cuales venían siendo advertidas por los proveedores a sus usuarios desde marzo de 2021.

Pero más allá de la espectacularidad de la deficiencia de los ejércitos de la región implicados en las revelaciones -que se sirven de tecnología sofisticada de vigilancia, pero fallan en actualizar sus softwares más básicos- lo que nos interesa aquí es dedicar una reflexión a la tensión que esta nueva filtración revela entre el interés público y la proporcionalidad de los impactos de tal revelación para individuos y países.

La falta de mecanismos efectivos de control sobre la acción de fuerzas armadas y sistemas de inteligencia dependientes de éstas en nuestra región, nos deja sistémicamente con este tipo de filtraciones como la única fuente efectiva de información para que -mediada por la valiente acción de sus reveladores y de la prensa que la procesa- la ciudadanía tenga ocasión de exigir rendición de cuentas a estos organismos y al poder político que se supone los controla, pero que como la información muestra se presenta muchas veces como cómplice o encubridor de las acciones ilegales reveladas.

Aquí la reflexión se encamina hacia los componentes de una tormenta perfecta: por un lado, la tecnología de vigilancia continua su avance de sofisticación, la oferta de tecnología de vigilancia en nuestra región se hace más atractiva comercialmente, y los Estados acceden a ella con mayor frecuencia y facilidad, sin que su alto costo sea un obstáculo. Pero al mismo tiempo, nuestros países aún carecen de marcos normativos nacionales sólidos y estructuras de control independientes capaces de realizar el escrutinio de qué se adquiere, para qué y cómo se usa en la práctica.

La sociedad civil de nuestra región, enfocada en la defensa de los derechos digitales viene advirtiendo desde años la necesidad de robustecer los marcos normativos para poder exigir la rendición de cuentas de los organismos estatales que tienen acceso a tecnologías de vigilancia bajo razones de control de orden público y seguridad nacional, pero hasta ahora no existe ningún país en la región que esté a la altura de lo que requiere una protección efectiva de los derechos fundamentales y el estado de derecho. Aquí es que Derechos Digitales y otras organizaciones de la región venimos abogando por un rol para la Comisión Interamericana de Derechos Humanos a través de la creación de estándares anclados en la Convención Americana de Derechos Humanos que orienten a los países de la región en el control del uso de la tecnología de vigilancia para que respete los derechos humanos.

Además de los estándares de control del uso de la tecnología por los organismos estatales cabe preguntarse por el impacto de las revelaciones Guacamaya en el interés colectivo desde la perspectiva de su proporcionalidad. Bienvenido es saber de los ilícitos que se han cometido en el uso de la vigilancia ilegal y otros crímenes revelados, pero ¿qué pasa con todos aquellos que aparecen tocados por las revelaciones como testigos, víctimas o ejemplos de resistencia interna? ¿Cuánto sacrificio de su propia intimidad y derechos es admisible en miras del interés público de la revelación? ¿Es este ejercicio de balance efectivamente conducido en forma previa a la revelación por parte de los grupos activistas responsables de ellas? ¿Qué medidas pueden adoptarse proactivamente por las reveladoras o la prensa para prevenir el impacto individual negativo de las revelaciones?

Una última arista de la revelación de información sobre el accionar de las fuerzas armadas de este caso es el impacto que tal información puede tener en la soberanía y seguridad nacional de los países implicados, así como ellas evidencian pobres desempeños en la garantía de la ciberseguridad. Más allá de la absoluta necesidad de poner límite y fin a las acciones ilícitas reveladas, cuidado con arrojar el bebé junto con el agua de la bañera, ya que mucha de la información revelada también da cuenta de acciones estratégicas de los organismos y puede generar incentivos al desarrollo de acciones maliciosas contra la seguridad y estabilidad nacional, que a la larga repercuten en un ambiente más inseguro e inestable para el ejercicio de derechos de la ciudadanía.

Confiamos en que más allá del impacto de las concretas revelaciones de la filtración Guacamaya, estas sirvan para llamar la atención en nuestra región hacia la urgencia de: estándares (nacionales y regionales) de control efectivo del uso de tecnología de vigilancia; un activismo informático balanceado que resguarde proporcionadamente los derechos de la ciudanía que están implicados en este tipo de revelaciones; y una conducta responsable de los organismos públicos en la garantía de la ciberseguridad de sus operaciones en protección de su ciudadanía.