Declaración de Derechos Digitales durante la quinta sesión del Comité Especial encargado de Elaborar una Convención Internacional Integral sobre la Lucha contra la Utilización de las Tecnologías de la Información y las Comunicaciones con Fines Delictivos

Mensajería segura ¿y también federada?

Después de cinco años de trabajo, el protocolo de Seguridad en la Capa de Mensajería (MLS por sus siglas en inglés) será publicado próximamente por IETF, la principal organización para la definición de estándares de internet. El objetivo principal de este protocolo es facilitar la comunicación cifrada de extremo a extremo entre dos o más personas, quienes pueden utilizar uno o más dispositivos (por ejemplo, utilizar una misma aplicación de mensajería en el celular y el computador). Hasta hoy, algunas aplicaciones como Signal tienen esta capacidad, pero lo hacen por su cuenta y las personas usuarias deben confiar en que pueden hacerlo, y cómo.

Al ser un estándar abierto, MLS es un acuerdo común sobre cómo debe transportarse la información cifrada en sistemas de mensajería instantánea, una vez se ha establecido la comunicación. Por eso, no se ocupa de cuestiones -también importantes para la seguridad- como la autenticación de la identidad de quienes participan de la comunicación y el envío de los mensajes. Solo se trata del transporte. Pero sobre esto volveremos más adelante. Por ahora, es importante mencionar que la publicación de un estándar no garantiza su implementación.

Al igual que Signal, aplicaciones como Whatsapp (con alrededor de 2.400 millones de personas usuarias a finales de 2022) también cifran las comunicaciones, y dada su popularidad es muy probable que sean de las primeras en implementar MLS, ajustándolo a sus necesidades. ¿Qué quiere decir esto? MLS, como muchos protocolos para la privacidad que se han desarrollado en los últimos años, se basan en una mayor complejidad técnica, así como en requerimientos de mayor infraestructura para ser desplegados. Con esto, las empresas más grandes tienen mejores capacidades para implementarlos, sin necesidad de compartir los códigos. Y es así como mantienen su posición dominante en el mercado.

La buena noticia es que existe OpenMLS, un proyecto de implementación de código abierto que permite integrar MLS en cualquier aplicación que incluya mensajería instantánea. La existencia de este tipo de implementaciones contribuye a descentralizar el mercado de internet y también a fortalecer la confianza en los sistemas que utilizamos, pues cuando solo las grandes empresas ofrecen un servicio (como la mensajería instantánea) y nos prometen respetar nuestra privacidad utilizando códigos cerrados, no tenemos más opción que creerles. Pero si el código está abierto, más empresas y personas (con capacidad técnica y de cómputo) pueden instalar y auditar estos sistemas, y es más probable que confiemos en alguna de ellas.

Justamente para limitar el poder de las grandes plataformas digitales, en mayo de 2022 el Parlamento Europeo publicó el D igital M arket s A ct (DM A ), una regulación que en su artículo 7 exige la interoperabilidad entre sistemas de mensajería. Aunque la interoperabilidad, e incluso la federación, han estado en la discusión de MLS desde sus comienzos, esta nueva regulación ha motivado la conformación de un nuevo grupo de trabajo denominado Más Interoperabilidad en la Mensajería Instantánea (mimi), donde se busca encontrar mecanismos para la autenticación de identidad y el envío de mensajes, compatibles con el transporte cifrado de información que ofrece MLS.

¿Qué quiere decir esto? Que varias entidades (empresas, personas) pueden operar servicios MLS independientes. Es decir, que tanto la autenticación como el envío de mensajes no deben ser gestionados por la misma entidad, pero cualquier entidad debe garantizar la seguridad (el cifrado) que ofrece MLS. Protocolos como Matrix soportan el cifrado de extremo a extremo y además la federación. Como puede pasar con cualquier sistema, este protocolo presenta ciertas limitaciones para la garantía plena de la privacidad. En su caso, principalmente por la cantidad de metadatos que requiere para establecer las comunicaciones.

Otra buena noticia es que proyectos como Matrix o Phoenix (involucrado en OpenMLS) están contribuyendo en el grupo de trabajo mimi en IETF. Y aunque este grupo no pretende ocuparse del procesamiento de metadatos, la última buena noticia es que, aún cuando hace tiempo se ha hablado de esto, actualmente en el Comité de Arquitectura de Internet (IAB por sus sigles en inglés), el órgano decisor dentro de IETF, se está desarrollando un documento sobre la minimización de datos como principio necesario para el respeto a la privacidad.

Si bien desde América Latina no es sencillo seguir, involucrarse ni mucho menos contribuir activamente en muchos de los procesos que se adelantan en cuerpos de estandarización como IETF, vale la pena saber que, también allí, hay personas comprometidas con la privacidad, la descentralización y, en últimas, la posibilidad de utilizar internet con cierta autonomía todavía.

Las personas al centro: la apertura en las políticas de ciberseguridad

A mediados de 2022 el gobierno de Chile anunció la designación del nuevo Coordinador Nacional de Ciberseguridad: el Dr. Daniel Álvarez (uno de los fundadores de Derechos Digitales).

La nueva autoridad llegó anunciando dos misiones concretas y cruciales: la evaluación de la Política Nacional de Ciberseguridad 2017-2022, y el desarrollo de su sucesora, una nueva Política Nacional de Ciberseguridad 2023-2028, como cuestiones que se desarrollarán de forma paralela.

El esfuerzo viene acompañado de otros sucesos. A nivel nacional, el avance en la extendida discusión de una reforma profunda a la ley de datos personales, y el retrasado pero recuperado debate de una ley marco de ciberseguridad muestran un contexto de avance en varios frentes.

A nivel internacional, Chile sigue junto a varios países de la región negociando normas no vinculantes para el ciberespacio o “cibernormas” para el comportamiento de los estados en el ciberespacio en un grupo de trabajo de la Primera Comisión de Naciones Unidas, y reglas de combate e investigación de ciberdelitos en el Comité Especial designado en la Tercera Comisión.

Hay un aspecto que sobresale ahora que el proceso de una nueva PNCS está en curso: la participación ciudadana en la definición de posturas y medidas oficiales relacionadas con la seguridad en el ciberespacio.

Proteger personas, no máquinas

La discusión por el desarrollo de reglas, principios y normas no vinculantes para el comportamiento de los estados en el ciberespacio, que lleva varios años y varias iteraciones en el OEWG de la ONU, parece ir encaminada con buenas intenciones en ese sentido.

Con insistencia de organizaciones de la sociedad civil y la academia, y con el apoyo de varios Estados (también de Latinoamérica), se ha destacado la necesidad de poner a las personas y los derechos humanos no solamente en el centro de los esfuerzos de protección, sino también como parte de la discusión en el OEWG.

No obstante, resulta un desafío permanente que la implementación de las normas no vinculantes sea efectivamente un espacio para la participación. Con frecuencia, da la impresión de que ciertos aspectos de la implementación de estas normas no vinculantes son más bien un asunto eminentemente técnico, donde la experiencia, la pericia y la perspectiva de múltiples partes interesadas, distintas del Estado y algunas empresas de seguridad, no tiene un espacio.

¿Es posible confiar en que los Estados incorporen a distintas partes interesadas al momento de implementar normas no vinculantes? ¿Es posible esperar al menos el compromiso de una mayor interacción a través de sus programas y estrategias de ciberseguridad? Ello depende fundamentalmente de la forma en que cada Estado observa, e integra, los aportes de esos distintos actores.

Los próximos pasos

Hace varios años, cuando analizamos los niveles y el impacto de la participación de múltiples partes interesadas en la formulación de la PNCS 2017-2022 de Chile, observamos con grata sorpresa lo que resultaba un positivo ejemplo. La convocatoria del gobierno de la época para sostener reuniones con distintas partes interesadas y de abrir la consulta pública a cualquier persona que quisiera intervenir, se vio reflejada en un texto final que efectivamente incorporaba cambios coincidentes con propuestas desde fuera del gobierno.

En nuestra opinión, esa mayor interacción permitió no solamente mejorar la comprensión y las capacidades entre distintos actores (Estado incluido), sino también dotar a la PNCS 2017-2022 de mayor calidad y legitimidad.

Un informe de la OEA y GPD, lanzado públicamente a fines de junio de 2022, daba cuenta de la experiencia en la región, relevando los procesos que integraron de distinto modo a la participación multisectorial. Tan solo falta que esa apertura se adopte como norma no vinculante a nivel global.

Creemos firmemente que las distintas partes interesadas, especialmente aquellas dedicadas a la promoción de derechos humanos o que representan a grupos especialmente vulnerables a ataques cibernéticos, son actores relevantes en la formulación y en la implementación de políticas sobre el ciberespacio, facilitando la capacitación, proponiendo políticas o medidas concretas, y ayudando a la sensibilización en cuestiones de seguridad digital.

Con esa experiencia, el nivel en materia de participación para una estrategia de ciberseguridad no debería ser un menor que en la ocasión anterior. No obstante, hasta ahora es poco lo que hemos encontrado en mejoras sustantivas.

Es positivo que la política chilena sea objeto de evaluación, como también que el nuevo proceso esté marcado por una mayor participación en audiencias. Pero todavía restan dudas, de cara a la ciudadanía, sobre cuáles son las fechas, etapas e instancias de interacción directa con el proceso, como también extrañamos una difusión amplia de las medidas que se adoptarán hacer de la elaboración un proceso abierto, transparente e inclusivo.

Que las experiencias pasadas se conviertan efectivamente en lecciones aprendidas tanto de lo nacional como de lo regional y mundial, depende ahora de las autoridades. La sociedad civil está atenta.

Los Estados tienen la obligación de reforzar y no poner en peligro los derechos humanos

Como les contamos en abril del año pasado, se encuentra en marcha y avanzando a paso firme la elaboración de una “Convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos” por un Comité Especial (el “Comité Ad Hoc”) en el seno de Naciones Unidas.

Derechos Digitales participó de la cuarta sesión de trabajo del Comité Ad Hoc que tuvo lugar en Viena entre el 9 y 20 de enero. En esta columna queremos compartir con ustedes nuestras principales preocupaciones, y por qué creemos que se trata de un tema al que todos deberíamos prestarle más atención desde América Latina.

El trabajo de la cuarta sesión se centró en la revisión de un documento de negociación consolidado (DNC). Previo a la sesión, y en conocimiento del documento preparamos en conjunto con otras 79 organizaciones de sociedad civil, una carta para comunicar al Comité y los Estados nuestras preocupaciones.

Desde el inicio del proceso no hemos estado convencidos de la necesidad de una Convención global sobre ciberdelincuencia. Sin embargo, a través de esta nueva carta, reiteramos la necesidad de un enfoque basado en los derechos humanos para su redacción.

Nuestras preocupaciones se centran en la necesidad de garantizar que los derechos fundamentales tengan prioridad en la forma en la cual se definen los delitos cibernéticos, la forma de producir pruebas respecto de ellos, y al establecer mecanismos de cooperación internacional o de asistencia técnica.

Lamentablemente, el texto examinado en esta cuarta sesión todavía resulta demasiado amplio en su alcance y no se limita solamente a los delitos cibernéticos en los que la tecnología es parte esencial del delito.

El texto se expande de forma ambigua hacia otros delitos -muchas veces ya regulados- cuando pueden ser facilitados o cometidos a través del uso de tecnologías de la información. Lo anterior es incompatible con obligaciones internacionales de derechos humanos, y amenaza con criminalizar las actividades legítimas con propósitos de interés público como el trabajo de periodistas e investigadores de seguridad.

Estuvo en el centro de las discusiones la cuestión de reducir el ámbito de alcance de los delitos contemplados en la Convención a aquellos esencialmente vinculados con el uso de la tecnología, y no expandirlo a los que son meramente facilitados por ella.

Muchos estados manifestaron su preocupación por la excesiva expansión del listado de delitos considerados, sin embargo al término de las negociaciones la criminalización expansiva de delitos de expresión sigue estando presente en el texto.

También hay en el texto limitadas salvaguardias respecto de los ciberdelitos definidos que pueden impactar negativamente en las actividades legítimas de periodistas, informantes, defensores de derechos humanos, investigadores de seguridad y de ciencias sociales, niños y adolescentes, mujeres, diversidades sexuales, grupos vulnerables, opositores políticos, víctimas de delitos, entre otros.

Qué nos preocupa, por qué y por qué te debe importar

Organizaciones de la sociedad civil, empresas y organismos internacionales como la Oficina del Alto Comisionado en Derechos Humanos presentaron diversas preocupaciones sobre los temas discutidos en la sesión. Sin intentar ser exhaustivos en la lista, queremos llamar la atención sobre algunos puntos que nos parecen cruciales, en los que se requiere que el texto de la futura Convención continúe refinándose de cara a la presentación del borrador cero.

Particularmente nos preocupan áreas en las que resulta crucial la atención de los representantes de gobiernos de nuestra región para garantizar la adecuada protección de derechos fundamentales en la persecución del ciberdelito, con miras a la realidad normativa e institucional de América Latina.

También nos ocupan cuestiones que creemos que merecen atención general, por el impacto que pueden tener en la habilidad de ejercer la libertad de expresión, el acceso a la información y resguardar la privacidad.

Riesgos de criminalización de la labor de investigadores de seguridad y ciencias sociales, periodistas y defensores de derechos humanos

El texto necesita incorporar en los delitos esencialmente vinculados con el uso de la tecnología la referencia a que la acción sancionada debe sobrepasar barreras técnicas. Solo así podrá evitar la ambigüedad de que la violación de términos y condiciones de servicio o políticas de seguridad establecidas por empresas privadas puedan permitir criminalizar la investigación de interés público en el funcionamiento de sistemas informáticos.

Delitos de expresión propuestos son una herramienta para la censura y la represión

Algunos delitos propuestos, como los delitos relacionados con el extremismo o con el terrorismo, son incompatibles con los estándares internacionales de libertad de expresión y pueden ser utilizados por los estados con fines represivos y de control social. Adicionalmente, no existen definiciones uniformes de estos conceptos en el derecho internacional, y muchos estados se basan en esta ambigüedad para justificar abusos contra los derechos humanos.

Respeto por la evolución progresiva de niños y adolescentes

Los artículos referidos a la criminalización de los usos de material de abuso sexual a menores han sido en general acogidos como necesarios por los Estados parte de la negociación. Sin embargo, muchos han afirmado la necesidad de asegurar la consistencia con otros instrumentos en que la materia se regula y ya han sido adoptados, cuestión que aún no se ve bien reflejada en en el texto.

Resulta preocupante que las redacciones discutidas no reflejen aún la necesidad de que, tal como lo afirmó UNICEF en sus aportes durante la tercera consulta intersesional, se considere la evolución de los adolescentes, evitando criminalizarlos por actividad sexual consentida y sin explotación, siempre que no haya elementos de coerción, abuso de confianza o dependencia entre los adolescentes. No se debe responsabilizar penalmente a niños por la generación, posesión o intercambio voluntario y consensuado de contenido sexual de sí mismo u otros, únicamente para su uso privado.

Hay también algunas provisiones que extienden la criminalización a dibujos u otras representaciones visuales o auditivas creíbles de niños que amenazan considerablemente la libertad de expresión y las expresiones artísticas.

Limitación de la distribución de imágenes sexuales no consentidas a expensas de la autonomía de las víctimas

En el caso de la criminalización de la distribución de imágenes íntimas no consentidas y otras conductas relativas a adultos que involucran el uso de imágenes de contenido sexual con fines de acoso, intimidación o extorsión, resulta preocupante la excesiva vaguedad de la forma en la cual se define el elemento de falta consentimiento respecto de tales materiales, lo que arriesga a una sobrecriminalización.

También preocupa la ausencia de excepciones a la tenencia, uso o distribución de imágenes que pueden tener un interés público, como la cobertura periodística, la atención y acompañamiento de víctimas, o la misma investigación de las conductas. a criminalización de este tipo de conductas no parece contar con una visión centrada en la víctima.uchas veces lo primoridal es evitar la revictimización a través de procesos criminales, y manifestar preferencia por otro tipo de mecanismos que puedan ser más eficaces en limitar la distribución del material respectivo considerado lesivo.

Salvaguardas de derechos humanos excesivamente débiles

Desde la sociedad civil y de muchos estados comprometidos con los derechos fundamentales se celebró la incorporación de dos artículos -uno en las provisiones generales y otro en las procedimentales- en los que se aborda la protección de los derechos humanos y el respeto por las consideraciones de género y las condiciones de grupos vulnerables. Sin embargo, esas protecciones se diluyen en las demás disposiciones de la Convención.

Es necesario que el capítulo de medidas procesales exija autorización judicial previa para los poderes intrusivos que se consagran, así como para garantizar explícitamente el derecho a un recurso efectivo. Resulta esencial retener la referencia a los principios de legalidad, necesidad y proporcionalidad, y al reconocimiento de la privacidad como derecho humano.

Ambigüedades que favorecen el hacking estatal, los intentos de retención masiva de datos y el debilitamiento del uso de tecnologías de privacidad

Las provisiones procesales están redactadas de manera poco precisa. De este modo, pueden ser usadas como una excusa para justificar la vigilancia masiva de las comunicaciones y dan la posibilidad a los gobiernos de desarrollar acciones ofensivas que debiliten la seguridad de los sistemas a través de puertas traseras en tecnologías de privacidad -como el cifrado- u operaciones de hacking que se beneficien de la explotación de vulnerabilidades, forzando a los proveedores de servicios de internet a transformarse en colaboradores de estas prácticas, que pueden ser tremendamente dañinas para la seguridad integral de los sistemas.

¡Ojo acá, Latinoamérica!

Esta Convención tiene el potencial de impactar profundamente en millones de personas en todo el mundo, y es por esto que debemos dejar muy claro que la lucha global contra el ciberdelito no debe socavar el respeto por los derechos humanos.

En abril el Comité Ad Hoc volverá a reunirse para continuar la revisión del texto y esperamos muchos más ojos atentos a la posición de los gobiernos de América Latina en estas cuestiones escenciales para el ejercicio de nuestros derechos fundamentales.

Argentina: amicus curiae en relación con el expediente 182908/2020-0

Descargar PDF

Esta es una acción del Observatorio de Derecho Informático Argentino, O.D.I.A., que cuestionó la constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En ella, pidió un juicio de amparo en primer grado de competencia, que requirió el análisis del sistema a través de la constitucionalidad y convencionalidad, además de las medidas cautelares para suspender su uso.

Mastodon: rumbo al Fediverso

Las redes sociales como Facebook, Instagram, Twitter y TikTok tienen una estructura centralizada y se caracterizan por tener un dueño que decide las reglas de su funcionamiento. Estas reglas pueden definir cuál contenido es aceptable y cuál no, cuándo suspender una cuenta, qué datos recolectar y qué hacer con los mismos. Las personas que usan estas redes no tienen posibilidad de incidir sobre las reglas que las rigen. Eso es un problema porque parte importante de la interacción social sucede en estos espacios.

Twitter es una fuente relevante de información y un espacio para el debate político en muchos países. Elon Musk compró esta plataforma por más de cuarenta mil millones de dólares y comenzó a tomar decisiones polémicas. Una de las primeras fue despedir a cerca de la mitad de sus empleados. Intentó realizar cambios como el “check-azul” de verificación y suspendió la cuenta que reportaba la ubicación de su avión privado. Varios periodistas que reportaron sobre estos sucesos terminaron con sus cuentas suspendidas.

Estos sucesos provocaron malestar en muchas personas, que buscaron alternativas. El nombre Mastodon comenzó a hacerse cada vez más conocido. Se trata de una plataforma de microblog, similar a Twitter, que permite compartir contenidos cortos y suscribirse a las publicaciones de las demás personas. Si bien son sistemas parecidos, existen al menos tres características que hacen Mastodon diferente de Twitter: es software libre, es un sistema federado y además forma parte de algo más grande que se conoce como el “Fediverso”.

Al igual que Twitter, Mastodon es un sistema cliente-servidor, donde existen una o varias máquinas, conocidas como servidores, a las que nos conectamos a través de aplicaciones instaladas en nuestros dispositivos, conocidos como clientes. Twitter trabaja con miles de servidores que hacen que la red funcione y la gente se conecta desde la página web o la aplicación de Twitter en dispositivos móviles. Todo el software que hace funcionar la red es propiedad de Twitter y no se puede saber cómo funciona, pues sus algoritmos son secretos.

Mastodon es software libre. Cualquier persona u organización que tenga el conocimiento y las capacidades puede montar su propia red de microblogging, del mismo modo en que cualquier persona que sepa cómo usarlo puede montar su propio sitio web gracias a WordPress. Que Mastodon sea software libre permite a personas y colectivos tener su espacio en Internet y, de esta manera, mayor autonomía: cada una podría implementar una instancia propia de Mastodon y formar una comunidad de personas donde compartir contenido con algún fin específico.

Que una comunidad o un colectivo tenga un espacio en internet para comunicarse es útil, pero la audiencia podría estar limitada, en especial si se compara con redes como Twitter. Es ahí donde la federación hace la diferencia. En su momento escribí un artículo sobre este tópico y las aplicaciones de mensajería. Básicamente, significa que una instancia de Mastodon puede interactuar con otras instancias de Mastodon.

En un ambiente federado no existe una empresa dueña de la red como sucede con las redes sociales centralizadas. El caso más conocido de servicios federados es el correo electrónico: se puede enviar un correo de Gmail a Hotmail o al servidor propio de una organización.

Los términos de uso y las reglas que rigen a una instancia de Mastodon dependen de las personas que gestionan la instancia. Si no estamos de acuerdo con esos términos podemos buscar otra instancia o gestionar la implementación de una instancia propia y definir nuestros propios términos.

Mastodon no es la única red social basada en software libre que es descentralizada. En realidad, es parte de algo más grande conocido como el Fediverso. Mastodon, al igual que GNU Social o Pleroma, son implementaciones de microblog similares a Twitter; Pixelfed es una herramienta para publicar fotografías, similar a Instagram; PeerTube es una plataforma que permite compartir videos a la manera de Youtube. Todas estas redes interactúan entre si a través del protocolo ActivityPub, el mismo que define las reglas que permiten a las participantes del Fediverso interactuar. En el Fediverso es posible seguir a una cuenta de Pixelfed desde Mastodon y viceversa. Es como si desde Twitter se pudiese seguir una cuenta de Instagram o al revés.

El estándar de ActivityPub ha sido construido de forma colaborativa y forma parte de los estándares publicados por la W3C, organización responsable de mantener estándares como el HTML. En lugar de ser una empresa la que define el funcionamiento de un sistema, en el Fediverso trabajan varias organizaciones y personas a nivel mundial y llegan a acuerdos sobre cómo se debería funcionar una red de redes sociales.

Soy usuario de Mastodon desde el año 2017, y entre 2009 y 2013 fui muy activo en una plataforma similar conocida como Identica. Creo que las redes sociales federadas son el camino correcto hacia una internet más libre, diversa y donde la ciudadanía puede empoderarse de la tecnología. La actividad de Elon Musk como dueño de Twitter a finales de 2022 muestran los riesgos de depender de plataformas de un solo dueño.

En este momento existe una oleada de gente nueva a Mastodon y hay mucho más contenido que el existente previo a que Musk comprara Twitter. Espero que esto sirva para que más gente se dé cuenta de que existen otras formas en la que internet puede funcionar y podamos apropiarnos de la tecnología. Sin embargo, dudo mucho que este sea el fin de Twitter y el despegue del Fediverso. Probablemente en un futuro, a través de legislación, Twitter y las otras redes sociales se vean obligadas a federar con ActivityPub u otro estándar.

Las redes federadas tienen cierta complejidad, que en un principio puede hacer la transición menos sencilla de lo que la mayoría de la gente quisiera. Sin embargo, debemos valorar que todavía podemos tener cierta autonomía. Twitter sigue siendo más conveniente para la mayoría de las personas, pero hay que ser conscientes de que no somos su prioridad.

La libertad no es gratuita y la conveniencia es una droga muy adictiva. Es importante dudar de los sistemas que utilizamos, saber quién está detrás de los mismos, cuestionarnos si nos dan libertad o nos capturan para hacernos dependientes. De nosotres depende decidir si queremos tener control sobre la tecnología o si queremos cederlo a un puñado de millonarios.

Sigue a Derechos Digitales en Mastodon: https://mastodon.social/@derechosdigital

Una última mirada a los derechos digitales en 2022

Cuando comenzamos 2022, una esperanza comenzaba a crecer en buena parte del mundo: las vacunas para reducir los contagios y los síntomas de la COVID-19 surtieron efecto y llegaron a más grupos de la población. Lentamente, aspectos de la vida prepandémica volvían a materializarse y, después de dos años dramáticos, el mundo parecía realinearse.

Pero el año inició con tumulto mundial: una invasión en Europa oriental creaba una crisis humanitaria de incalculable costo humano, que a su vez desviaba la atención de otras crisis en África oriental, en Asia meridional, en América Latina. Nuevas desigualdades, internas y externas, se hicieron patentes, ahora bajo la presión del riesgo vital de una pandemia que no termina.

Como en buena parte del mundo, América Latina ha visto el agravamiento de las distintas crisis superpuestas, agudizadas por un horizonte de crisis económica que está en pleno desarrollo. Aun así, grandes aires de esperanza se sintieron en la región, en la resistencia al abuso y la injusticia, y en la participación política en varias elecciones.

En América Latina, el 2022 partió con revelaciones de hackeo a periodistas en El Salvador, en una réplica de lo que fue descubierto años antes en México, revelando que el espionaje ilegal estatal con herramientas importadas continúa en la región.

A la vez, la vigilancia masiva todavía es una disputa inconclusa. En una insigne victoria para el activismo local, en México el invasivo Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), aprobado a fines de 2021, fue declarado inconstitucional, impidiendo la vinculación entre la identidad de un usuario de teléfono y su información biométrica, entre otros datos, en una decisión anunciada en abril. Poco antes, se había detenido en el metro de San Pablo, Brasil, el uso de un sistema de reconocimiento facial automatizado, aunque luego fue autorizado por la justicia. Esa batalla continúa, ahora contra una iniciativa por extender el reconocimiento facial a toda la urbe. En la Ciudad de Buenos Aires, en tanto, la justicia declaraba la inconstitucionalidad de un sistema de reconocimiento facial.

En Colombia, una preocupación constante por la incorporación de mecanismos legales para fórmulas riesgosas de identidad digital, como también un debate sobre neutralidad de la red y zero-rating se tomaron parte de la agenda después de la fuerte escalada de violencia de las protestas de 2021. El uso de máquinas digitales para el proceso electoral fue, como siempre, objeto de escrutinio.

Al igual que en Colombia, y ante los ojos del mundo, una nueva elección presidencial en Brasil ofrecía esperanza, pero también mostraba algunos de los peores temores de la región: torpes intentos de control de la desinformación amenazaban con alterar el funcionamiento de la mensajería personal, mientras varias acusaciones de desinformación enfrentaban al gobierno y a las iniciativas de empresas privadas por controlar el discurso en línea. Que todo eso ocurriera mientras aumentaba el gasto en tecnología de hackeo y vigilancia hacía temer por el futuro.

Por cierto, las protestas sociales de los últimos años no cesaron. En Ecuador, fuimos parte del reclamo de la sociedad civil en rechazo a la represión y la vigilancia en el marco de protestas sociales a mediados de año. Presentamos a la ONU múltiples antecedentes sobre situaciones de afectación de derechos, especialmente vinculados a la expresión y la protesta, en un informe dentro del contexto del Examen Periódico Universal. En paralelo, continúa el cuestionado juicio contra Ola Bini a pesar de las reportadas infracciones al debido proceso. También vimos que persiste la represión de la expresión y la protesta en Nicaragua, incluido el allanamiento y cierre de organizaciones y de medios de comunicación, alarmando a expertos internacionales que exigen visitar el país. Y, en Venezuela, informes tanto de la industria de las telecomunicaciones como de la sociedad civil, mostraron el nivel de vigilancia y represión en ese país.

Al mismo tiempo, Brasil progresaba en un área sensible para toda la región: la protección de datos personales. Sin ser un debate ajeno a la contingencia, Brasil avanzó en el otorgamiento de autarquía de carácter especial a su nueva autoridad de control de datos personales. Por su parte, Ecuador –que promulgó su ley en 2021– inició este año el proceso de reglamentación de la ley. En Chile, paso a paso se Avanza en un proyecto de reemplazo a una ley que hoy es ineficaz ante casos públicos de vulneración de los derechos sobre los datos.

También hubo otros relevantes debates legislativos en la región, para los que este recuento quizás no basta. Fuimos testigos de la discusión por una nueva ley de inteligencia artificial en Brasil, como también en iniciativas de leyes sobre ciberseguridad, sobre desinformación y sobre ciberdelitos en varios países de la región. Nuestro trabajo de monitoreo continúa con intensidad para identificar las oportunidades, los riesgos a las libertades y derechos que puedan acompañar a esas iniciativas. Nos involucramos en la discusión por una nueva constitución en Chile, con propuestas surgidas desde distintos lugares y grupos del país.

No obstante también aprovechamos instancias globales que afectan a América Latina. Como ejemplos, contribuimos a informes de oficinas de expertos de Naciones Unidas sobre apagones de internet y sobre inteligencia artificial y privacidad. Participamos en procesos como la reunión de plenipotenciarios de la UIT, en la peligrosa discusión por un nuevo tratado sobre ciberdelitos, en el debate global sobre normas para el comportamiento de los Estados en el ciberespacio, y mucho más.

Mirar hacia el futuro

Todo lo anterior es apenas una muestra de lo intenso que fue el trabajo del año desde nuestro activismo. No obstante, también hubo muchísima colaboración, la misma que creemos que es parte esencial de la proyección hacia el futuro de la labor de Derechos Digitales.

Como organización, el año también fue de oportunidades de cooperación cruciales para la región. Volvimos a albergar un evento virtual de difusión, intercambios y aprendizajes. Participamos muy activamente en la organización del Foro de Gobernanza de Internet de América Latina y el Caribe, el LAC IGF. Nos reunimos con nuestras aliadas de la coalición Al Sur para comenzar a pensar en el futuro, en un primer encuentro presencial después de años. Mantuvimos numerosos talleres y reuniones con organizaciones e instituciones a nivel regional y global. Y nos sumamos como socios organizadores, con esperanza, al Movimiento por una Mejor Internet.

Logramos también apoyar a 21 iniciativas de acción de 12 países de la región a través de nuestro Fondo de Respuesta Rápida, no solo facilitando la respuesta ágil a situaciones de emergencia, sino también favoreciendo el aprendizaje en múltiples contextos de activismo. Es a través de procesos como este que la colaboración de 2021 con el ODIA argentino ayudó en la declaración de inconstitucionalidad del sistema de reconocimiento facial en Buenos Aires. Mecanismos de apoyo como este Fondo demuestran que existen nuevas posibilidades para la articulación de organizaciones en la región.

Lo más importante: en una época global de grandes cambios, consolidamos un equipo sólido, de muy diversos orígenes y perfiles, fortaleciendo nuestra capacidad de trabajar en distintos ámbitos. Sabemos que en 2023 habrá más cambios, pero también que con ellos vendrán nuevas oportunidades de colaboración interna y externa.

Aunque ha sido un año desafiante, sentimos orgullo por el camino recorrido y mucha esperanza en el que queda por recorrer. La mirada introspectiva ha sido fuente de gran aprendizaje, como también de importante reflexión sobre lo que necesitamos seguir haciendo. Porque creemos en nuestro derecho y en nuestra capacidad de crear un futuro más justo para América Latina, reconocemos lo que significa el fin de 2022 y damos la bienvenida a 2023.

Guacamaya: El espectro de color de su mensaje

Una vez más es a través de la acción de un grupo de activistas informáticos que varios países de América Latina (Chile, Colombia, El Salvador, México y Perú, hasta ahora) han conocido información acerca de las acciones reñidas con el estado de derecho que dan cuenta de la vigilancia selectiva de periodistas y activistas de derechos humanos, así como de otros ilícitos de corrupción, obstrucción de la justicia y asociación criminal.

La técnica utilizada por los especialistas informáticos no reviste el nivel de sofisticación a que la ciencia ficción nos tiene acostumbradas Más bien toma ventaja de la falta de diligencia de los organismos públicos implicados para protegerse de las vulnerabilidades de los softwares que utilizan en sus labores, las cuales venían siendo advertidas por los proveedores a sus usuarios desde marzo de 2021.

Pero más allá de la espectacularidad de la deficiencia de los ejércitos de la región implicados en las revelaciones -que se sirven de tecnología sofisticada de vigilancia, pero fallan en actualizar sus softwares más básicos- lo que nos interesa aquí es dedicar una reflexión a la tensión que esta nueva filtración revela entre el interés público y la proporcionalidad de los impactos de tal revelación para individuos y países.

La falta de mecanismos efectivos de control sobre la acción de fuerzas armadas y sistemas de inteligencia dependientes de éstas en nuestra región, nos deja sistémicamente con este tipo de filtraciones como la única fuente efectiva de información para que -mediada por la valiente acción de sus reveladores y de la prensa que la procesa- la ciudadanía tenga ocasión de exigir rendición de cuentas a estos organismos y al poder político que se supone los controla, pero que como la información muestra se presenta muchas veces como cómplice o encubridor de las acciones ilegales reveladas.

Aquí la reflexión se encamina hacia los componentes de una tormenta perfecta: por un lado, la tecnología de vigilancia continua su avance de sofisticación, la oferta de tecnología de vigilancia en nuestra región se hace más atractiva comercialmente, y los Estados acceden a ella con mayor frecuencia y facilidad, sin que su alto costo sea un obstáculo. Pero al mismo tiempo, nuestros países aún carecen de marcos normativos nacionales sólidos y estructuras de control independientes capaces de realizar el escrutinio de qué se adquiere, para qué y cómo se usa en la práctica.

La sociedad civil de nuestra región, enfocada en la defensa de los derechos digitales viene advirtiendo desde años la necesidad de robustecer los marcos normativos para poder exigir la rendición de cuentas de los organismos estatales que tienen acceso a tecnologías de vigilancia bajo razones de control de orden público y seguridad nacional, pero hasta ahora no existe ningún país en la región que esté a la altura de lo que requiere una protección efectiva de los derechos fundamentales y el estado de derecho. Aquí es que Derechos Digitales y otras organizaciones de la región venimos abogando por un rol para la Comisión Interamericana de Derechos Humanos a través de la creación de estándares anclados en la Convención Americana de Derechos Humanos que orienten a los países de la región en el control del uso de la tecnología de vigilancia para que respete los derechos humanos.

Además de los estándares de control del uso de la tecnología por los organismos estatales cabe preguntarse por el impacto de las revelaciones Guacamaya en el interés colectivo desde la perspectiva de su proporcionalidad. Bienvenido es saber de los ilícitos que se han cometido en el uso de la vigilancia ilegal y otros crímenes revelados, pero ¿qué pasa con todos aquellos que aparecen tocados por las revelaciones como testigos, víctimas o ejemplos de resistencia interna? ¿Cuánto sacrificio de su propia intimidad y derechos es admisible en miras del interés público de la revelación? ¿Es este ejercicio de balance efectivamente conducido en forma previa a la revelación por parte de los grupos activistas responsables de ellas? ¿Qué medidas pueden adoptarse proactivamente por las reveladoras o la prensa para prevenir el impacto individual negativo de las revelaciones?

Una última arista de la revelación de información sobre el accionar de las fuerzas armadas de este caso es el impacto que tal información puede tener en la soberanía y seguridad nacional de los países implicados, así como ellas evidencian pobres desempeños en la garantía de la ciberseguridad. Más allá de la absoluta necesidad de poner límite y fin a las acciones ilícitas reveladas, cuidado con arrojar el bebé junto con el agua de la bañera, ya que mucha de la información revelada también da cuenta de acciones estratégicas de los organismos y puede generar incentivos al desarrollo de acciones maliciosas contra la seguridad y estabilidad nacional, que a la larga repercuten en un ambiente más inseguro e inestable para el ejercicio de derechos de la ciudadanía.

Confiamos en que más allá del impacto de las concretas revelaciones de la filtración Guacamaya, estas sirvan para llamar la atención en nuestra región hacia la urgencia de: estándares (nacionales y regionales) de control efectivo del uso de tecnología de vigilancia; un activismo informático balanceado que resguarde proporcionadamente los derechos de la ciudanía que están implicados en este tipo de revelaciones; y una conducta responsable de los organismos públicos en la garantía de la ciberseguridad de sus operaciones en protección de su ciudadanía.

Incidentes de seguridad en instituciones públicas: la deuda que los Estados aún no pagan

Hace algunos días la prensa daba cuenta de una alerta dentro del poder judicial de Chile, tras detectar el ataque informático en la forma de ransomware, afectando a un número importante de equipos con que funcionan los tribunales de justicia.

El ataque llevó a la paralización de muchas de las funciones regulares de la justicia en Chile. Ocurrió poco después de una enorme filtración de correos desde las Fuerzas Armadas chilenas tras otro ataque que explotaba una vulnerabilidad antigua y conocida. Fue semanas después de un ataque al Servicio Nacional del Consumidor en el mismo país. Son algunos de los tantos episodios solamente dentro del último año en la región, que también incluyen ataques y filtraciones en servicios públicos tales como sistemas de salud y de asistencia social en Brasil, servicios de importación y de supervigilancia de empresas en Colombia, servicios municipales y de tránsito en Ecuador, y una importante seguidilla de ataques en Costa Rica, con elevados costos.

Desde la perspectiva de los órganos atacados, resulta evidente que el riesgo de estos ataques termina siendo soportado por las personas usuarias de los servicios públicos, es decir, potencialmente toda la población y especialmente aquellos sectores con más interacción con el Estado. Es por ello que resulta crucial que los esfuerzos de seguridad mantengan a las personas en el centro, y que los riesgos se consideren de manera sistémica no como problemas de computadoras, sino como una posibilidad real de intensa afectación de los derechos de las personas. Sea en ámbitos de salud, defensa nacional o administración de justicia, la falla de sistemas del Estado puede tener consecuencias muy gravosas.

Desde la perspectiva del rol del Estado, se hace cada vez más necesario contar con herramientas para prevenir y mitigar daños, y de manera integral, para incorporar mejores prácticas organizacionales sobre seguridad y asegurar su actualización.

No es este el espacio para reiterar el sinnúmero de recomendaciones en términos de seguridad, sino más bien para reiterar aquello que con cada nuevo ataque se vuelve patente: es urgente que los Estados latinoamericanos se tomen en serio las necesidades de seguridad que ya son parte de sus agendas, políticas nacionales y estrategias de ciberseguridad.

Por cierto, ni los más avanzados sistemas tecnológicos de defensa son suficientes sin capacitación y buenas prácticas. Organizaciones como Derechos Digitales han sido insistentes en la promoción de prácticas de seguridad digital, que incluyen la concientización para hacer frente a los riesgos de la ingeniería social como forma de vulneración de sistemas informáticos. A la vez, es importante que exista institucionalmente capacidad para promover y exigir estándares altos de seguridad en la operación cotidiana.

Los caminos globales a un ciberespacio seguro

Una de las grandes preocupaciones en torno a los ataques cibernéticos es la relativa a los ataques iniciados a gran distancia geográfica o a través de las fronteras de distintos países y la seguridad de las redes de comunicación global. Así, la ciberseguridad será parte de la agenda de la Conferencia de Plenipotenciarios de la UIT. Por otra parte, la persecución de los delitos propiamente cibernéticos y de los delitos facilitados por el ciberespacio se ha vuelto una materia donde la cooperación internacional se torna necesaria. El Convenio de Budapest, de creciente adopción en la región, invita a la colaboración entre los Estados; su segundo Protocolo Adicional, en tanto, pretende justamente reforzar la colaboración entre estados. El análisis de ese protocolo por Veridiana Alimonti expone las debilidades del mismo para el resguardo de derechos en la investigación y persecución de delitos. Esa cooperación es también parte de la discusión en la ONU de un nuevo tratado sobre ciberdelitos.

El rol de los Estados en la preservación de la paz y la seguridad internacionales en el ciberespacio ha sido objeto de intensa discusión entre los Estados. Esa discusión también tiene su centro en el segundo Grupo de Trabajo de Composición Abierta sobre los Avances en la Esfera de la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional convocado por la Organización de las Naciones Unidas (el OEWG). Allí, se ha destacado con frecuencia el riesgo tanto a nivel interno como internacional que representan las amenazas en el ciberespacio. Ataques sobre servicios o infraestructuras críticas, incluyendo a servicios públicos y poderes del Estado, afectan no solamente los derechos y las posibilidades de desarrollo, sino también la paz y la estabilidad internacional. Especialmente preocupante es que tanto los Estados como actores no estatales han adquirido capacidades crecientes para conducir ataques sobre infraestructura crítica y sobre infraestructura crítica de la información. Pomover la colaboración como el aprendizaje mutuo y la formación de confianza se vuelven necesarias también a nivel internacional.

En el OEWG, durante la sesión de julio de 2022, una propuesta de varios países del mundo, incluidos Chile y Costa Rica, sugería incorporar al texto del informe de progreso del OEWG la mención explícita tanto a las capacidades cibernéticas militares de los Estados, como al ransomware como forma concreta de amenaza a sistemas críticos en el uso malicioso de las tecnologías de información y comunicación. Es significativo que países tan célebremente afectados por estos ataques destaquen que distintos países con distintas capacidades pueden sufrir de manera distinta y más grave con ataques informáticos sofisticados. Aunque el texto no llegó al informe final, y considerando también el largo camino que queda hacia el futuro en el OEWG, las tensiones geopolíticas propias del proceso pueden volverse así un obstáculo para el consenso mundial.

Octubre: el mes de la ciberseguridad

La responsabilidad de los Estados en relación con las tecnologías va más allá de la respuesta a incidentes específicos o al hackeo exitoso de la semana. Se requiere una conducta activa tanto para promover un ciberespacio seguro como para proteger su propia infraestructura, y medidas que acojan la pericia recogida por distintas partes interesadas, apoyándose en ellas para promover la capacitación y generar confianza, así como para generar los cambios que la seguridad requiere sin afectar negativamente intereses legítimos. Es llamativo que justo al iniciar otro mes de la ciberseguridad, la contingencia nos recuerde cuán en deuda están los Estados.

De extremo a extremo

Las disputas por el cifrado son de vieja data. Sin embargo, recientes propuestas relacionadas con poner freno al abuso sexual infantil en línea han generado nuevas críticas, pues podrían constituirse en puertas traseras y romper la promesa de privacidad que ofrece el cifrado en internet. Entre las propuestas más sonadas están la de Apple, que fue revertida rápidamente, y la de la Comisión Europea, que busca disponer de los recursos necesarios para que los proveedores de servicios puedan detectar, reportar e intervenir contenidos relacionados con el abuso.

Más allá de acciones, indudablemente necesarias como la prevención y reacción frente al abuso sexual infantil, hay muchos otros motivos por los que gobiernos y organismos judiciales consideran, todavía hoy, legítimo debilitar el cifrado en las comunicaciones. Estos motivos han sido fuertemente cuestionados y refutados desde distintos sectores que abogan por la defensa del cifrado de extremo a extremo (E2EE, por sus siglas en inglés).

Recientemente, el consultor en seguridad de redes Alec Muffet escribió un documento dirigido a la Sociedad Civil, donde declaró que “todo el mundo debería dejar de hablar de cifrado de extremo a extremo” y en cambio, referirse a la “seguridad de extremo a extremo (E2E)” ya que el cifrado, dice, es una tecnología, mientras que la seguridad es un resultado deseable, que no se garantiza automáticamente con el cifrado.

Esta propuesta presenta similitudes con un internet-draft que se desarrolla actualmente en el área de seguridad de la IETF, donde se plantea que “si bien el cifrado es fundamental para el principio de extremo a extremo, no lo sostiene por sí solo”, pues no garantiza la autenticidad ni la integridad de los datos. La aparición de, al menos, estos dos documentos, da cuenta de una necesidad renovada de determinar cómo entendemos el principio de extremo a extremo en internet, y cómo puede este proteger la privacidad y la seguridad en las comunicaciones.

Internet es un ecosistema cada vez más complejo, del que participan como intermediarios distintos sistemas y actores. Mientras el cifrado permite garantizar la confidencialidad de las comunicaciones, esto es, del contenido de los mensajes y no necesariamente protege los metadatos que acompañan dichos contenidos. Los metadatos ofrecen cada vez, más información sobre quienes envían y reciben mensajes, haciéndoles potencialmente vulnerables frente a, por ejemplo, intromisiones en su privacidad.

De ahí que resulte importante, como decía Miguel Flores en su columna de la semana pasada, “agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias”. Sin embargo, para Muffet, esta demanda puede ser muy negativa en la defensa de la seguridad de extremo a extremo, porque distrae la atención y genera desconfianza en las plataformas corporativas que operan de manera centralizada bajo modelos de negocios basados en el manejo de metadatos. El problema central, sostiene, es de confianza, en un ecosistema donde las plataformas centralizadas existen y son quienes hoy manejan la mayoría de los datos de las personas usuarias en el mundo.

Desde una perspectiva técnica de diseño, el internet-draft sobre definición del cifrado de extremo a extremo plantea que “un sistema es completamente confiable si, y solo si, es completamente resiliente, fiable, responsable y seguro, de manera que satisfaga de manera consistente las expectativas de las personas usuarias”.

Por su parte, Muffet plantea que los modelos de negocio basados en el acceso a metadatos no rompen de ninguna manera la seguridad E2E, siempre que dicho acceso se haga de manera transparente, permitiendo a las personas usuarias tomar decisiones informadas sobre qué servicios usar y cómo. Y en consecuencia con esto, refiriéndose al cifrado dice que resulta «crítico no permitir que los legisladores regulen sobre la forma de las arquitecturas de software, en lugar de su intención y su uso«.

Es cierto que no existe una solución técnica, ni regulatoria, que por sí sola garantice la privacidad y la seguridad de las personas usuarias de internet. También es cierto que cualquier acción en defensa de la privacidad requiere una lectura del contexto, esto es, de la manera como está hoy configurado el ecosistema de internet, y sus actores corporativos dominantes. Pero además de eso, es necesario reconocer que, todavía hoy, internet funciona gracias al acceso a una cantidad enorme de metadatos que no están cifrados, y que son utilizados para la gestión del tráfico en las capas más bajas de internet.

Sin ánimo de distraer la atención, respecto de una expectativa de “seguridad de extremo a extremo” tal como la plantea Muffet, es importante considerar al menos dos elementos que también son críticos. De una parte, lo problemática que resulta la idea de las “decisiones informadas” para las personas usuarias, desconociendo múltiples brechas de acceso a internet. De otra parte, desde lo técnico, la importancia de fortalecer la privacidad, no solo en las aplicaciones sino también en la gestión del tráfico en internet.

De lo primero. Allí donde una persona puede “decidir”, por ejemplo, implementar cifrado múltiple para evadir el filtrado de contenido que se supone confidencial, hay muchísimas otras que no tienen las capacidades técnicas, o la información, o simplemente la opción de elegir. Esto no debería ser un argumento para la defensa de u n status quo sobre la posición dominante de ciertas empresas que ofrecen servicios comerciales utilizados por el grueso de la población, sino más bien para cuestionar los modelos legislativos basados en las capacidades individuales de las personas para elegir, como han planteado las investigadoras feministas Joana Varón y Paz Peña.

De lo segundo, y por último. La arquitectura de internet se basa, cada vez más, en tecnologías respetuosas de la privacidad como TLS, QUIC o DoH, entre otras. De hecho, el Internet Architecture Board (IAB) realizará próximamente un taller sobre Técnicas de gestión en redes cifradas para explorar la interacción entre la gestión de la red y el cifrado del tráfico, con el fin de promover la seguridad y la privacidad de las personas usuarias al tiempo que cumplen requisitos operativos. Frente a estos importantes avances, queda todavía la inquietud de qué tanto podría minimizarse la cantidad de datos requeridos para la gestión del tráfico en internet.