Temática: Seguridad digital

Incidentes de seguridad en instituciones públicas: la deuda que los Estados aún no pagan

Hace algunos días la prensa daba cuenta de una  alerta dentro del poder judicial de Chile, tras detectar el ataque informático en la forma de ransomware,  afectando a un número importante de equipos con que funcionan los tribunales de justicia.

El ataque llevó a la paralización de muchas de las funciones regulares de la justicia en Chile. Ocurrió poco después de una enorme filtración de correos desde las Fuerzas Armadas chilenas tras otro ataque que explotaba una vulnerabilidad antigua y conocida. Fue semanas después de un ataque al Servicio Nacional del Consumidor en el mismo país.  Son algunos de los tantos  episodios solamente dentro del último año en la región, que también incluyen ataques y filtraciones en servicios públicos tales como sistemas de salud y de asistencia social en Brasil, servicios de importación y de supervigilancia de empresas en Colombia, servicios municipales y de tránsito en Ecuador, y una importante seguidilla de ataques en Costa Rica, con elevados costos.

Desde la perspectiva de los órganos atacados, resulta evidente que el riesgo de estos ataques termina siendo soportado por las personas usuarias de los servicios públicos, es decir, potencialmente toda la población y especialmente aquellos sectores con más interacción con el Estado. Es por ello que resulta crucial que los esfuerzos de seguridad mantengan a las personas en el centro, y que los riesgos se consideren de manera sistémica no como problemas de computadoras, sino como una posibilidad real de intensa afectación de los derechos de las personas. Sea en ámbitos de salud, defensa nacional o administración de justicia, la falla de sistemas del Estado puede tener consecuencias muy gravosas.

Desde la perspectiva del rol del Estado, se hace cada vez más  necesario contar con herramientas para prevenir y mitigar daños, y de manera integral, para incorporar mejores prácticas organizacionales sobre seguridad y asegurar su actualización.

No es este el espacio para reiterar el sinnúmero de recomendaciones en términos de seguridad, sino más bien para reiterar aquello que con cada nuevo ataque se vuelve patente: es urgente que los Estados latinoamericanos se tomen en serio las necesidades de seguridad que ya son parte de sus agendas, políticas nacionales y estrategias de ciberseguridad.

Por cierto, ni los más avanzados sistemas tecnológicos de defensa son suficientes sin capacitación y buenas prácticas. Organizaciones como Derechos Digitales han sido insistentes en la promoción de prácticas de seguridad digital, que incluyen la concientización para hacer frente a los riesgos de la ingeniería social como forma de vulneración de sistemas informáticos. A la vez, es importante que exista institucionalmente capacidad para promover y exigir estándares altos de seguridad en la operación cotidiana.

Los caminos globales a un ciberespacio seguro

Una de las grandes preocupaciones en torno a los ataques cibernéticos es la relativa a los ataques iniciados a gran distancia geográfica o a través de las fronteras de distintos países y la seguridad de las redes de comunicación global. Así, la ciberseguridad será parte de la agenda de la Conferencia de Plenipotenciarios de la UIT. Por otra parte, la persecución de los delitos propiamente cibernéticos y de los delitos facilitados por el ciberespacio se ha vuelto una materia donde la cooperación internacional se torna necesaria. El Convenio de Budapest, de creciente adopción en la región, invita a la colaboración entre los Estados; su segundo Protocolo Adicional, en tanto, pretende justamente reforzar la colaboración entre estados. El análisis de ese protocolo por Veridiana Alimonti expone las debilidades del mismo para el resguardo de derechos en la investigación y persecución de delitos. Esa cooperación es también parte de la discusión en la ONU de un nuevo tratado sobre ciberdelitos.

El rol de los Estados en la preservación de la paz y la seguridad internacionales en el ciberespacio ha sido objeto de intensa discusión entre los Estados. Esa discusión también tiene su centro en el segundo Grupo de Trabajo de Composición Abierta sobre los Avances en la Esfera de la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional convocado por la Organización de las Naciones Unidas (el OEWG). Allí, se ha destacado con frecuencia el riesgo tanto a nivel interno como internacional que representan las amenazas en el ciberespacio. Ataques sobre servicios o infraestructuras críticas, incluyendo a servicios públicos y poderes del Estado, afectan no solamente los derechos y las posibilidades de desarrollo, sino también la paz y la estabilidad internacional. Especialmente preocupante es que tanto los Estados como actores no estatales han adquirido capacidades crecientes para conducir ataques sobre infraestructura crítica y sobre infraestructura crítica de la información. Pomover la colaboración como el aprendizaje mutuo y la formación de confianza se vuelven necesarias también a nivel internacional.

En el OEWG, durante la sesión de julio de 2022, una propuesta de varios países del mundo, incluidos Chile y Costa Rica, sugería incorporar al texto del informe de progreso del OEWG la mención explícita tanto a las capacidades cibernéticas militares de los Estados, como al ransomware como forma concreta de amenaza a sistemas críticos en el uso malicioso de las tecnologías de información y comunicación. Es significativo que países tan célebremente afectados por estos ataques destaquen que distintos países con distintas capacidades pueden sufrir de manera distinta y más grave con ataques informáticos sofisticados. Aunque el texto no llegó al informe final, y considerando también el largo camino que queda hacia el futuro en el OEWG, las tensiones geopolíticas propias del proceso pueden volverse así un obstáculo para el consenso mundial.

Octubre: el mes de la ciberseguridad

La responsabilidad de los Estados en relación con las tecnologías va más allá de la respuesta a incidentes específicos o al hackeo exitoso de la semana. Se requiere una conducta activa tanto para promover un ciberespacio seguro como para proteger su propia infraestructura, y medidas que acojan la pericia recogida por distintas partes interesadas, apoyándose en ellas para promover la capacitación y generar confianza, así como para generar los cambios que la seguridad requiere sin afectar negativamente intereses legítimos. Es llamativo que justo al iniciar otro mes de la ciberseguridad, la contingencia nos recuerde cuán en deuda están los Estados.

De extremo a extremo

Las disputas por el cifrado son de vieja data. Sin embargo, recientes propuestas relacionadas con poner freno al abuso sexual infantil en línea han generado nuevas críticas,  pues podrían constituirse en puertas traseras y romper la promesa de privacidad que ofrece el cifrado en internet. Entre las propuestas más sonadas están la de Apple, que fue revertida rápidamente, y la de la Comisión Europea, que busca disponer de los recursos necesarios para que los proveedores de servicios puedan detectar, reportar e intervenir contenidos relacionados con el abuso.

Más allá de acciones, indudablemente necesarias como la prevención y reacción frente al abuso sexual infantil, hay muchos otros motivos por los que gobiernos y organismos judiciales consideran, todavía hoy, legítimo debilitar el cifrado en las comunicaciones. Estos motivos han sido fuertemente cuestionados y refutados desde distintos sectores que abogan por la defensa del cifrado de extremo a extremo (E2EE, por sus siglas en inglés).

Recientemente, el consultor en seguridad de redes Alec Muffet escribió un documento dirigido a la Sociedad Civil, donde declaró que “todo el mundo debería dejar de hablar de cifrado de extremo a extremo” y en cambio, referirse a la “seguridad de extremo a extremo (E2E)” ya que el cifrado, dice, es una tecnología, mientras que la seguridad es un resultado deseable, que no se garantiza automáticamente con el cifrado.

Esta propuesta presenta similitudes con  un internet-draft que se desarrolla actualmente en el área de seguridad de la IETF, donde se plantea que “si bien el cifrado es fundamental para el principio de extremo a extremo, no lo sostiene por sí solo”, pues no garantiza la autenticidad ni la integridad de los datos. La aparición de, al menos, estos dos documentos, da cuenta de una necesidad renovada de determinar cómo entendemos el principio de extremo a extremo en internet, y cómo puede este proteger la privacidad y la seguridad en las comunicaciones.  

Internet es un ecosistema cada vez más complejo, del que participan como intermediarios distintos sistemas y actores. Mientras el cifrado permite garantizar la confidencialidad de las comunicaciones, esto es, del contenido de los mensajes y no necesariamente protege los metadatos que acompañan dichos contenidos.  Los metadatos ofrecen  cada vez,  más información sobre quienes envían y reciben mensajes, haciéndoles potencialmente vulnerables frente a, por ejemplo, intromisiones en su privacidad.

De ahí que resulte importante, como decía Miguel Flores  en su columna de la semana pasada, “agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias”. Sin embargo, para Muffet, esta demanda puede ser muy negativa en la defensa de la seguridad de extremo a extremo, porque distrae la atención y genera desconfianza en las plataformas corporativas que operan de manera centralizada bajo modelos de negocios basados en el manejo de metadatos.  El problema central, sostiene, es de confianza, en un ecosistema donde las plataformas centralizadas existen y son quienes hoy manejan la mayoría de los datos de las personas usuarias en el mundo.

Desde una perspectiva técnica de diseño, el internet-draft sobre definición del cifrado de extremo a extremo plantea que “un sistema es completamente confiable si, y solo si, es completamente resiliente, fiable, responsable y seguro, de manera que satisfaga de manera consistente las expectativas de las personas usuarias”.

Por su parte, Muffet plantea que los modelos de negocio basados en el acceso a metadatos no rompen de ninguna manera la seguridad E2E, siempre que dicho acceso se haga de manera transparente, permitiendo a las personas usuarias tomar decisiones informadas sobre qué servicios usar y cómo. Y en consecuencia con esto, refiriéndose al cifrado dice que resulta «crítico no permitir que los legisladores regulen sobre la forma de las arquitecturas de software, en lugar de su intención y su uso«.

Es cierto que no existe una solución técnica, ni regulatoria, que por sí sola garantice la privacidad y la seguridad de las personas usuarias de internet. También es cierto que cualquier acción en defensa de la privacidad requiere una lectura del contexto, esto es, de la manera como está hoy configurado el ecosistema de internet, y sus actores corporativos dominantes. Pero además de eso, es necesario reconocer que, todavía hoy, internet funciona gracias al acceso a una cantidad enorme de metadatos que no están cifrados, y que son utilizados para la gestión del tráfico en las capas más bajas de internet.

Sin ánimo de distraer la atención, respecto de una expectativa de “seguridad de extremo a extremo” tal como la plantea Muffet, es importante considerar al menos dos elementos que también son críticos. De una parte, lo problemática que resulta la idea de las “decisiones informadas” para las personas usuarias, desconociendo múltiples brechas de acceso a internet. De otra parte, desde lo técnico, la importancia de fortalecer la privacidad, no solo en las aplicaciones sino también en la gestión del tráfico en internet.

De lo primero. Allí donde una persona puede “decidir”, por ejemplo, implementar cifrado múltiple para evadir el filtrado de contenido que se supone confidencial, hay muchísimas otras que no tienen las capacidades técnicas, o la información, o simplemente la opción de elegir. Esto no debería ser un argumento para la defensa de un status quo sobre la posición dominante de ciertas empresas que ofrecen servicios comerciales utilizados por el grueso de la población, sino más bien para cuestionar los modelos legislativos basados en las capacidades individuales de las personas para elegir, como han planteado las investigadoras feministas Joana Varón y Paz Peña.

De lo segundo, y por último. La arquitectura de internet se basa, cada vez más, en tecnologías respetuosas de la privacidad como TLS, QUIC o DoH, entre otras. De hecho, el Internet Architecture Board (IAB) realizará próximamente un taller sobre Técnicas de gestión en redes cifradas para explorar la interacción entre la gestión de la red y el cifrado del tráfico, con el fin de promover la seguridad y la privacidad de las personas usuarias al tiempo que cumplen requisitos operativos. Frente a estos importantes avances, queda todavía la inquietud de qué tanto podría minimizarse la cantidad de datos requeridos para la gestión del tráfico en internet.

El rol de la criptografía en el ejercicio democrático

Muchas de nuestras conversaciones privadas se dan en el ámbito digital. Lo que antes por condición propia de la comunicación presencial entendíamos por privacidad (juntarse en un lugar a conversar), no tiene las mismas seguridades en el entorno digital. Saber que nuestras conversaciones pueden ser vigiladas tiene efectos sobre nosotros, como la autocensura.

Durante décadas, y por ser la tecnología digital un elemento nuevo y con capacidades en desarrollo, no fue relevante pensar en comunicaciones cifradas dentro de las distintas aplicaciones de comunicación y almacenamiento de datos. Sin embargo, desde que internet se volvió masivo, incluyendo cada vez más aristas de nuestras vidas, han crecido la cantidad de ataques a las comunicaciones y datos almacenados.

Es en ese contexto que la criptografía, disciplina que estudia, investiga e implementa los métodos de cifrado, cobra una nueva relevancia.

¿Cómo funciona el cifrado en nuestras comunicaciones?

Uno de los esquemas más utilizados para el cifrado de datos en tránsito y que posee un uso masivo es el denominado cliente-servidor donde la comunicación entre el dispositivo del la persona emisora y quien provee el servicio es cifrada. De este modo, la comunicación desde el servidor de quien provee el servicio y hacia la persona destinataria de la comunicación también es cifrada. Este esquema logró solucionar en general la intervención de intermediarios no autorizados en la comunicación, pero debido a su diseño, generó un nuevo problema. El proveedor del servicio puede acceder a todo el contenido de las comunicaciones. Este problema se vuelve más grave en la medida que los servicios de comunicación digital se concentran en algunas pocas empresas de alcance global.

Debido a esto último, nace la necesidad de generar e implementar sistemas de comunicación con cifrado de extremo a extremo, esquema en el cual, y siempre que se cumplan condiciones de auditabilidad, el proveedor del servicio (quién posee control sobre los servidores mediante los cuales se realiza el intercambio) no puede leer los mensajes (descifrar).

Los sistemas de comunicación con cifrado de extremo a extremo nos dan la esperanza de que nuestras comunicaciones son inviolables inclusive por el proveedor del servicio, pero aún queda como objeto de valor para algunas instituciones los metadatos de las comunicaciones. Esto significa que aunque no tenga acceso a los mensajes entre dos o más personas, igualmente para el proveedor es posible saber quién se comunica con quién y a qué hora, y en algunos casos desde dónde se realizan las comunicaciones.

Es tal sentido cabe preguntarse si además de la defensa del cifrado deberíamos que agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias.

Para poder tener alternativas públicamente auditables, autónomas y federados, a las opciones que nos ofrecen las corporaciones de alcance global, existen una serie de esfuerzos y y/o dedicaciones de una serie de organizaciones formales y grupos de personas que lo hacen posible. Del mismo modo, la promoción y el uso de dichos sistemas favorecen su proliferación.

¿Qué podemos hacer en la defensa de la criptografía y el desarrollo de sistemas digitales cifrados?

Potenciar su uso

Luego de varios incidentes de seguridad reportados y con un alto grado de influencia sobre las revelaciones de Edward Snowden en 2013 es que la inviolabilidad de las comunicaciones y del almacenamiento de datos fue cobrando mayor relevancia.

En los últimos años ha aumentado el número de herramientas y aplicaciones, de código libertado y privativas, que implementan distintos tipos y niveles de cifrados con el fin de resguardar la información de las personas. Uno de los motivos es que las personas usuarias han generado expectativas de funcionamiento sobre las características técnicas (no legales) de aquellas herramientas que utilizan, en torno a la privacidad de sus comunicaciones y datos. Esto reafirma el efecto y la influencia que puede lograr que las usuarias finales tengan clara la importancia de la criptografía y cifrado.

Potenciar la disciplina

Otra arista de importancia es la promoción de la criptografía, en términos de materia de estudio, de implementación de métodos y de implementación de herramientas. Si bien para las personas usuarias lo importante es contar una aplicación y servicio que implemente un cifrado seguro, esto no es más que la punta del iceberg de una cadena de procesos. Bajo lo primeramente visible podemos encontrar todas aquellas instituciones, educacionales por esencia o con objetivos diversos, sin fines de lucro o privadas, que son generadoras de conocimiento en el ámbito de la criptografía.

Es posible que para varios grupos de personas la implementación de herramientas que proporcionen un cifrado fuerte sean materia del mercado. También es posible encontrar grupos de personas que encuentran valor, y coincido con ellas, en la implementación de herramientas de cifrado autónomas (que puedan ser auto gestionadas). En este caso es además necesario contar con personas capacitadas en la implementación de soluciones, generalmente de código libertado, que cuenten con la capacidad de resguardar las comunicaciones y datos.

Si consideramos que el desarrollo de la criptografía es importante para el desarrollo de la sociedad actual entonces debemos apoyar, dentro de nuestras posibilidades, todos aquellas organizaciones, personas e instancias que la promueven.

Potenciar regulaciones acorde al derecho a la privacidad

Es fundamental destacar el rol que juegan las legislaciones respecto de las regulaciones que se realizan en ámbitos que impactan las implementaciones criptográficas.

Existen casos de proyectos legislativos que han tratado de legalizar el uso de puertas traseras en distintos servicios como herramienta de lucha contra distintos tipos de delitos. Un ejemplo de esto sucedió con las plataformas de redes sociales con sede en los EE. UU., como Facebook y WhatsApp, que se vieron obligadas a compartir los mensajes cifrados de los usuarios con la policía británica debido a un  tratado entre los dos países.

Otro ejemplo de esto , sucedió cuando durante el gobierno de Trump, se fomentó una  legislación que prohíba a las empresas tecnológicas usar formas de encriptación que las fuerzas el orden no puedieran descifrar .

Si bien a primera vista, en ambos casos pareciese una solución eficaz, el problema es nada impide que los criminales sí utilicen herramientas alternativas que les provean de privacidad y cifrado fuerte. En la otra cara, todas aquellas personas que utilizan los servicios en actividades legales quedan expuestas a que sus comunicaciones y datos sean expuestos.

Es evidente, entonces,  la importancia que juegan las legislaciones en torno a generar marcos institucionales que otorguen las garantías necesarias para la efectiva privacidad y ejercicio de la libertad de expresión en entornos digitales.

Debemos trabajar en la promoción del uso de sistemas que cuenten con métodos de cifrado que resguarden nuestra privacidad, y por ende nuestra liberta de expresión, en todos los ámbitos posibles. Y no se trata de un afán geek sobre el uso de la tecnología si no de las implicaciones actuales del cifrado en  el desarrollo de nuestras vidas en torno al ejercicio de la democracia. 

Pasaportes hackeados e infraestructuras vulnerables

En diciembre de 2020, la base de datos de la Dirección Nacional de Identificación Civil (DNIC, organismo que se encarga de la identificación de las personas físicas que habitan el territorio del Uruguay) del Ministerio del Interior de Uruguay fue hackeada.

La dirección del organismo lo reconoció con un comunicado donde declaró: “Informamos que el 8 de diciembre la DNIC detectó un incidente de ciberseguridad que se contuvo y por el que se desplegaron medidas técnicas, operativas y administrativas para contrarrestar el evento con expertos en la materia, tanto del Ministerio del Interior como del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy)».

La senadora Silvia Nane, representante del partido Frente Amplio realizó, en marzo de 2021, un pedido de informe parlamentario con 28 preguntas, en el que se solicitaban datos sobre el incidente. La solicitud fue reiterada en el mes de junio y, el 6 de julio, el Senado completo hizo su propio requerimiento al respecto.

“¿Están nuestros datos biométricos en peligro?”, preguntó en Twitter la legisladora. Agregó que: “Nos preocupa la falta de transparencia ante esta situación, y las explicaciones que se han hecho públicas no condicen con la realidad”.

En julio de 2022 se conocieron los resultados que arrojan más dudas que certezas y la discusión está lejos de aclararse.

De acuerdo con lo señalado en la respuesta al pedido de informes, la DNIC y el Ministerio del Interior de Uruguay vieron sus bases de datos comprometidas por un ataque informático que vulneró los datos de 84.001 pasaportes electrónicos, comprometiendo información sensible que incluye datos biométricos de las personas: fotografía, huella digital, nombre y número de documento de identidad.

Según Nane, el informe pone en manifiesto que las autoridades desconocen el alcance real del ataque. La Senadora expresó con preocupación que, respecto de los datos vulnerados en 2020, no se cuenta con información de que no hayan sido utilizados para otros fines. Consultado por medios de prensa, el informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática concluye que “no fue posible identificar el vector de ataque inicial, el origen del ataque, ni las subsiguientes actividades dentro de la red de la DNIC”. Además, cataloga el incidente como de “intrusión” con una “severidad muy alta”, y sostiene que “el análisis no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de DNIC”. Las fuentes detallaron que «tampoco se puede hablar de hackers» ya que «no se pudo determinar si esa situación irregular fue externa o no”.

Otra de las preguntas realizadas por la Senadora consultó al Ministerio “desde qué momento se estima que los atacantes contaban con acceso a los datos”. La respuesta oficial sostiene que los “primeros registros del ataque” datan del 29 de octubre de 2020, mientras que las irregularidades fueron detectadas el 8 de diciembre del mismo año.  

En la respuesta al pedido de informes, el Ministerio del Interior declaró que no se cuenta con un Centro de Operaciones de Ciberseguridad en el organismo.  El informe que fue enviado a la legisladora indica que “se desplegaron las medidas técnicas de bloqueo inmediatas” ni bien se identificó la vulneración.  También indica que debido al ataque se han decidido migrar las bases de datos al Datacenter de Antel (empresa de telecomunicaciones estatal uruguaya). También se realizó una licitación pública internacional para poder cambiar el sistema de enrolamiento biométrico, ya que el vigente funciona hace 23 años.

El ministro del Interior de Uruguay, Luis Alberto Heber, manifestó a diferentes medios de prensa que se puede «asegurar a la población que no volverá a suceder».  Afirmó también que se renovará el equipamiento de la Dirección Nacional de Identificación Civil, ya que las máquinas existentes son “prehistóricas”. Dijo: «Hicimos la compra y un software que nos dé la seguridad de que no se pueda hackear así fácilmente».

Sin embargo, Federico Laca, exdirector general del Ministerio del Interior y asesor en ciberserguridad, indicó a La Diaria que “la infraestructura que está en el data center ministerial no fue comprometida”. Afirmó también que “son innegables las inversiones que se realizaron en tecnología en la administración pasada, pero  sucede que cuando hacés inversiones en tecnologías es que tenés que estar comprometido a mantenerla”.

 ¿Qué sucedió con los datos?

De acuerdo con las respuestas recibidas por parte del Ministerio del Interior, Nane manifestó que “no se pudo establecer el alcance total del ataque a la infraestructura de la DNIC”. Afirmó que “Los atacantes estuvieron más de un mes sin ser descubiertos” y que el informe deja en evidencia que quienes atacaron el sistema cuentan con «conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos y descargar a una máquina local toda la información vinculada al sistema de pasaportes”. 

La Senadora dijo al diario uruguayo El Observador que si bien se sabe que se afectó la información de pasaportes, no puede asegurarse que no se hayan comprometido otros datos de personas. Tampoco se puede asegurar el destino de la información obtenida de los pasaportes electrónicos, por lo que es imposible establecer la magnitud del hecho.

“¿Falta sentido de urgencia dado el incidente?”, cuestionó la representante nacional. Aclaró que aún se encuentra a la espera de los resultados de una auditoría iniciada en octubre de 2021 respecto al “estado actual en el marco de la ciberseguridad” en el Ministerio del Interior.

Según Nane, las respuestas brindadas por el Ministerio «no tienen nada que ver con lo que nos respondieron por escrito». Advirtió que «El Ministro del Interior, Luis Alberto Heber, dijo que tuvieron ese problema porque las computadores eran prehistóricas, pero cuando nos manda el listado de acciones que se van a tomar para remediar esta situación no hay un solo renglón que refiera a la compra de computadoras, por ejemplo».

Silvia Nane declaró también que realizará un nuevo pedido de información. «Ahora vamos a volver a hacer preguntas; y nuevamente esperamos y exhortamos que este tema sea tratado con seriedad, y que tengamos respuestas serias».

Es recurrente, cuando se habla de ciberseguridad pensar en criminales y estafas. Sin embargo, es importante pensar más allá de eso. El caso de Uruguay nos abre la posibilidad de pensar en la infraestructura de gobernanza de datos personales en la región. Hay actualmente en América Latina un desmonte de instituciones estatales encargadas de tecnología. Casos ocurridos en los últimos meses en Brasil, Costa Rica o República Dominicana son prueba de esto. Deja en evidencia la necesidad de reglamentaciones que exijan auditorías, y controles serios y profundos para que el tema no quede supeditado a pedidos de información que deban ser reiterados y reformulados.  No es posible alcanzar la tan deseada “digitalización” del Estado si esta no se hace en un marco de garantías para la ciudadanía. Y la garantía más básica debería ser una respuesta clara y concreta a la pregunta: ¿Quién tiene nuestros datos?

“Voto electrónico y consideraciones de política pública en América Latina”

Descargar PDF

Infografía realizada con insumos de la investigación «Voto electrónico y consideraciones de política pública en América Latina»¿En qué escenarios el voto electrónico puede ser factible? ¿Significa un acceso más equitativo al sistema democrático en ciertos segmentos de la población? ¿Qué riesgos conlleva la implementación de este tipo de tecnologías en relación con aspectos de seguridad informática?

Oficina virtual, segura y autónoma

El equipo de trabajo de Derechos Digitales está conformado por personas alrededor de América Latina. Nuestro trabajo es principalmente remoto por lo que nuestro sistema de chat es una oficina virtual.

Durante muchos años nuestra oficina fue Slack, un sistema avanzado de mensajería instantánea que funciona en la “nube”. Slack era una plataforma que hacía lo que tenía que hacer, nos permitía estar en contacto permanente y llevar a cabo nuestro trabajo. Parecía ser una herramienta perfecta, pero la dejamos de usar. ¿Por qué?

Desde el punto de vista funcional, Slack generalmente cumplía con nuestras necesidades. Sin embargo decidimos hacer un análisis técnico,  preguntándonos dónde se guardan nuestras comunicaciones y si están seguras.

Como Slack es un sistema en la nube, nuestra información se guarda en los servidores de la empresa que provee el servicio,  Slack Technologies. Es decir, Slack Technologies tiene acceso a nuestras comunicaciones y es técnicamente posible que pueda leerlas y analizarlas; salvo que las mismas estuvieran cifradas de extremo a extremo.

Lo primero que buscamos resolver fue que nuestros datos no fueran gestionados por otra organización. Para tener control de los mismos debíamos controlar nuestro propio sistema de chat.

Para eso íbamos a necesitar 3 cosas: software que implemente el sistema, un proveedor de hosting o servidor propio para instalarlo y un equipo técnico capaz de administrarlo.

En Derechos Digitales administramos varios servicios mediante software libre. Usamos Nextcloud con OnlyOffice para trabajo colaborativo, Limesurvey para realizar encuestas, WordPress para portales web, y algunos otros sistema. Disponemos de recursos de alojamiento y nuestro equipo técnico es capaz de investigar soluciones libres, realizar pruebas e implementarlas.

Basándonos en nuestra experiencia y según las recomendaciones de expertas técnicas identificamos tres aplicaciones libres con las que podríamos remplazar a Slack y ser administradas por nostras: Rocket Chat, Mattermost y Matrix.

Lo segundo que quisimos identificar fueron aplicaciones que soportaran cifrado extremo a extremo.

Las personas que usan Whatsapp o Signal habrán escuchado este término antes. Quiere decir, que si un mensaje sale de mi teléfono o computador, está cifrado para que nadie más que los destinatarios o lo puedan leer.

Ahora que la información no estaría gestionada por un tercero, pero sí por nuestro equipo técnico, es importante y deseable para nosotres que el equipo técnico no pueda leer los mensajes de las demás personas. El soporte de este tipo de cifrado es limitado para Mattermost y Rocket Chat, mientras que en el caso de Matrix funciona por defecto.

A diferencia de las otras dos, Matrix no es una aplicación, sino un protocolo de comunicaciones federado.  Hace unos meses explicamos lo que esto significa, pero para hacerlo simple haremos una analogía entre el correo electrónico y los sistemas de chat modernos. En el correo electrónico podemos enviar y recibir correos desde cualquier proveedor. Se puede enviar un correo desde gmail.com a hotmail.com o a derechosdigitales.org. Sin embargo, si hablamos de mensajería instantánea no es posible enviar mensajes entre Signal, WhatsApp y Telegram, por ejemplo.

En este sentido Matrix se parece más al correo electrónico que a WhatsApp. En Derechos Digitales tenemos nuestra propia instancia de Matrix donde nos podemos comunicar internamente, pero además podemos comunicarnos con gente de otras organizaciones que posean sus propias instancias de Matrix o bien que posean una cuenta en matrix.org u otra instancia pública. En un principio pensamos que seríamos los únicos usando Matrix, pero descubrimos con gusto que algunas organizaciones amigas ya lo usaban y que podríamos comunicarnos directamente a través de esta herramienta. Incluso en TEDIC ya lo están utilizando y han creado un canal de chat en español, donde se comparten dudas, recomendaciones, y experiencias. Se puede acceder en: #comunidadtedic:matrix.org.

Luego de decidir migrar nuestra mensajería a Matrix, comenzamos con el proceso de cambios. Dentro del Derechos Digitales contamos con un grupo de gente  con la idea de implementar una alternativa libre a Slack.

A finales del 2021 implementamos una instancia de pruebas y formamos un equipo de beta-testers para analizar si la aplicación sería viable en el día a día.

Sabemos que los cambios pueden ser resistidos, y pueden generar miedo, por lo que trabajamos en presentar una aplicación que solucione nuestros problemas y que no traiga nuevos.

Una vez superada la etapa de pruebas, implementamos lo que sería el servidor definitivo y fuimos sumando más gente a utilizarlo,  de manera paralela a Slack. Cuando el equipo completo estuvo trabajando sobre Matrix, se decidió dejar de usar Slack y conservarlo solo como un registro histórico.

Las comunicaciones son un recurso estratégico para las organizaciones, tener autonomía y control sobre las mismas nos brinda más seguridad y por ende poder. Derechos Digitales es una organización con los recursos humanos y tecnológicos para implementar una solución propia. Si embargo, sabemos que no es el caso de todas las organizaciones.

En el caso de no contar con los recursos necesarios para tener su propia infraestructura, siempre es posiblecontratar un proveedor que implemente soluciones como Matrix, en este caso no se tendría total control sobre sus comunicaciones pero estaría seguras ya que  estarían cifradas de extremo a extremo.

Nuestra oficina virtual funciona hace varios meses a través de Matrix. Sabemos que no es la única solución, y que existen otros proyectos de software libre que podrían funcionar en otros contextos. Conocerlos, probarlos y adaptarlos a nuestras realidades es el comienzo del camino para lograr comunicaciones más autónomas y seguras.

Infraestructuras de autenticidad para los contenidos digitales

En los últimos años se han comenzado a buscar soluciones técnicas y regulatorias al problema de la desinformación en plataformas digitales, considerando la rapidez con que se difunde y sus impactos sobre la población conectada, en coyunturas críticas como procesos electorales o protestas sociales. Sin embargo, muchas de estas soluciones han tendido a restringir los derechos a la libertad de expresión y acceso a la información, constituyéndose en mecanismos de vigilancia y censura de contenidos, y afectando principalmente a las voces disidentes.

En este contexto, la aparición de los llamados deepfakes (audios o vídeos alterados con tecnologías de inteligencia artificial) plantea un escenario más complejo, de una parte porque su autenticidad es cada vez más difícil de verificar, pero también porque pone de frente, otra vez, que respecto de la información no hay aproximaciones técnicas suficientes, ya que se trata también de un problema social sobre cómo se configuran política y culturalmente las ideas de “confianza” y “verdad”. Esto, sin contar con que además los deepfakes se han convertido en una nueva herramienta para la violencia de género mediada por tecnologías digitales, entre otros problemas menos visibilizados.

Desde hace tiempo, Witness ha hecho seguimiento a este tipo de tecnologías emergentes, procurando entender los riesgos y oportunidades que presentan para los derechos humanos, especialmente para la protección de voces marginalizadas. Como parte de ese esfuerzo, se vinculó al grupo de trabajo sobre amenazas y daños de la Coalición para la Procedencia y Autenticidad del Contenido (C2PA), una iniciativa empresarial dirigida por Adobe, Arm, Intel, Microsoft, BBC, Truepic y Twitter, que en palabras de la organización, es hasta ahora “el esfuerzo más consolidado que conduce hacia un uso más generalizado y potencialmente sistemático de la infraestructura de procedencia y autenticidad”.

C2PA es un estándar técnico para certificar la fuente y la historia de contenidos digitales como vídeos, audios, imágenes y documentos, a través de la creación de un manifiesto firmado por una autoridad de certificación, y protegido criptográficamente en cada plataforma digital donde el contenido ha sido intervenido. Por ser un estándar abierto, puede ser implementado en distintas aplicaciones como software de captura y edición de imágenes en dispositivos digitales, CMS, redes sociales o plataformas web de verificación. Con esto, se espera que la confianza sobre la autenticidad o no de contenidos se base en la identidad de los actores que firman sus datos de procedencia y no en el estándar mismo.

Junto con otras organizaciones de América Latina, venimos planteando hace años que el problema de la desinformación no es nuevo, ni propio de los entornos digitales, y que está muy relacionado con los monopolios de la información. Por eso es relevante reconocer que, aunque C2PA no se plantee como un ente de certificación, quienes promueven esta iniciativa lanzada oficialmente en enero de 2022, son grandes corporaciones como Adobe, Microsoft o Twitter, quienes cuentan con una ventaja comparativa como autoridades de certificación, al tener una capacidad temprana de implementar el estándar.

Sin embargo, también es relevante mencionar el proceso abierto y participativo mediante el cual se han desarrollado las especificaciones técnicas y otros documentos útiles como su guía de implementación, las recomendaciones sobre experiencia de usuarias para la implementación, las consideraciones de seguridad y el modelo de daños, de cuyo diseño la única organización de sociedad civil que ha participado es Witness.

Es relevante porque, para permitir la interoperabilidad entre distintos sistemas, los estándares técnicos deben no solo ser abiertos sino también flexibles y adaptables a diferentes contextos, necesidades y decisiones de implementación. Como herramientas puramente técnicas, los estándares son muy limitados para el resguardo, por diseño, de la privacidad y otros derechos humanos. Por eso, además de las necesarias preocupaciones y compromisos durante su desarrollo, es importante hacer un seguimiento permanente a la manera como los estándares son implementados, por quiénes, con qué capacidades e intereses y, sobre todo, qué impactos tienen sobre las personas, individual y colectivamente.

La existencia de un marco para la identificación de daños y abusos potenciales del estándar C2PA durante su diseño e implementación temprana, y también para garantizar la debida diligencia y la mitigación de daños cuando su despliegue sea más amplio, es una oportunidad para proteger la seguridad, la privacidad y otros derechos humanos dentro y fuera de los entornos digitales. Pero de poco sirve ese marco si no está siendo activamente utilizado, revisado y actualizado. Junto con la coalición, Witness continúa invitando a hacer aportes concretos (en inglés) sobre el estándar, y además abriendo espacios de trabajo sobre los riesgos y oportunidades que presenta, en diferentes regiones y con diferentes grupos sociales.

Este importante trabajo que adelanta Witness sirve para comprender mejor cómo puede funcionar este estándar en contextos tan diversos como los que hay en América Latina. Por ejemplo, cómo será afectada la visibilidad en redes sociales de contenidos producidos por medios independientes, que no cuenten con el estándar implementado en sus sitios web; cómo se reconfigura la normativa y la vigilancia sobre derechos de autor en contenidos digitales; o cómo se legitiman ciertas autoridades de certificación y otras no, entre otros asuntos relevantes.

Además de eso, sería muy interesante probar qué tan factible es, en términos técnicos y de infraestructura, que por ejemplo, una organización sin ánimo de lucro implemente el estándar. ¿Qué tan sencillo es el código?, ¿qué tantos recursos, habilidades o inversión de tiempo se requiere? Estas preguntas que quedan abiertas a manera de invitación.

Voto electrónico y consideraciones de política pública en América Latina

Descargar PDF

En este documento, se revisa el estado del voto electrónico en el mundo, con especial énfasis en América Latina. ¿En qué escenarios el voto electrónico pudiera ser factible? ¿Significa un acceso más equitativo al sistema democrático en ciertos segmentos de la población? ¿Qué riesgos conlleva la implementación de este tipo de tecnologías en relación con aspectos de seguridad informática?