Temática: Seguridad digital

Nuestro derecho a decidir

En América Latina, el derecho a decidir es uno de los reclamos más fuertes y compartidos por los movimientos en los últimos años: la acción concreta se ha sumado a la disputa legal y mediática; las consignas por un “aborto legal, seguro y gratuito” se han arriesgado a exigir un “aborto libre”; los pañuelos verdes se han adaptado cientos de veces y así han conquistado las vestimentas, las redes y las calles.

Garantizar el acceso a salud de calidad, superar estigmas sociales en los entornos familiares, educativos y laborales, y contrarrestar la violencia de los grupos anti-derechos son necesidades urgentes para la vida digna de las personas gestantes. Pero la posibilidad de decidir es mucho más que el derecho a interrumpir voluntariamente un embarazo. Es un asunto de autonomía sobre nuestros cuerpos y territorios.

¿Cómo construimos autonomía cuando tantas cosas de la vida están mediadas por tecnologías digitales? Volvamos sobre el derecho a abortar. Desde hace décadas, y como respuesta a leyes restrictivas y punitivas en distintos países, iniciativas como Women on Waves se han valido de distintas estrategias y canales para dar apoyo a quienes desean abortar de manera segura.

Desde hace poco más de tres años, el Open Observatory of Network Interference (OONI) ha documentado el bloqueo del sitio web de esta organización en al menos cinco países, incluyendo Brasil, lo que fue reportado en conjunto a la organización Coding Rights. Esto significa que desde ciertos lugares, cuando alguien quiere acceder a womenonwaves.org la página no carga y entonces no es posible obtener información ni apoyo. Hasta hoy, no ha habido una respuesta oficial sobre los motivos o soporte legal para realizar dicho bloqueo.

Entender cómo funcionan estas tecnologías, y específicamente la posibilidad de un bloqueo web, nos permite verificar si existe tal bloqueo y también burlarlo. Aplicaciones como OONI Probe sirven para medir la censura en internet de manera sencilla y desde cualquier celular o computador, mientras que navegar a través de Tor nos permite mantener oculta la ubicación real desde donde nos estamos conectando, y así es posible acceder a cualquier sitio bloqueado localmente.

Cuando todavía falta para que el aborto sea un derecho pleno en América Latina, puede ser alentador saber que womenonwaves.org no registre bloqueos en otros países de la región. También es alentador saber que existen varias iniciativas locales de acompañamiento al aborto, que se valen de distintos canales y estrategias para llegar a más personas que lo requieran. Justamente por eso, es importante cuidar que los canales de comunicación de estas iniciativas se mantengan activos y disponibles.

Ahora volvamos a la pregunta por la autonomía mediada por tecnologías digitales y nuestra posibilidad de decidir. ¿Qué tanto entendemos las tecnologías que usamos para comunicarnos? ¿Qué tanto sabemos sobre quiénes diseñan, operan y administran dichas tecnologías? ¿Podríamos hacerlo por nuestra cuenta? ¿Qué implicaría? Son algunas preguntas difíciles de responder por las características mismas del entorno digital, que consiste en utilizar un lenguaje (binario) común para hacer funcionar muy distintas tecnologías de comunicación (teléfono, chat, video, correo, juegos, por mencionar algunas) a través de internet.

Desde hace años hemos escuchado que “si un servicio es gratuito, el producto eres tú”. Con las tecnologías de inteligencia artificial que se ejecutan en cada vez más servicios en internet, es difícil establecer en qué momento estamos aprovechando la efectividad —muchas veces invasiva, como las recomendaciones de cosas que apenas hemos pensado — de estos sistemas, y cuándo estamos alimentándolos; por ejemplo, al hacer un captcha señalando buses, pasos peatonales o montañas.

Mucho se habla hoy de los sesgos algorítmicos y sus posibles efectos discriminatorios, además, se han propuesto marcos y principios éticos para reducir los posibles daños asociados a su uso. Sin embargo, para las personas usuarias es cada vez más difícil entender dónde y cómo se están ejecutando sesgos, reproduciendo patrones nocivos y directamente restringiendo derechos (como en el caso de bloquear el acceso a información sobre aborto). Más allá de pensar en cómo hacer más justos o menos nocivos los algoritmos que hoy, y cada vez más, median nuestras comunicaciones, queremos pensar qué tanto nos permiten disentir y decidir con autonomía lo que queremos.

Costa Rica: elecciones entre denuncias, violación de datos personales y reformas de ley insuficientes

El próximo 3 de abril se realizará la segunda vuelta presidencial en Costa Rica. El electorado elegirá al nuevo presidente entre José María Figueres, candidato del histórico Partido Liberación Nacional y ex presidente de la nación, y el oficialista Rodrigo Chaves, ex ministro de Hacienda e integrante del Partido Progreso Social Democrático. En un escenario convulsionado por las elecciones, uno de los temas más polémicos es la protección de datos personales. Varias organizaciones sociales se han reunido con los candidatos para conocer sus iniciativas en la materia.

Costa Rica fue uno de los primeros países de la región en aprobar una legislación en materia de datos personales, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, promulgada en 2011. Sin embargo, durante la última década la normativa se ha mantenido inalterada, pese a diferentes iniciativas de reforma que no prosperaron.

No solo eso. Los dos últimos años han estado marcados por varios casos de muy alto perfil relacionados con la violación de la intimidad y de la privacidad de las y los costarricenses, que involucran al actual presidente, Carlos Alvarado.   

La UPAD (Unidad Presidencial de Análisis de Datos) fue una iniciativa creada por el presidente Alvarado con el objetivo de ayudar a la toma de decisiones en materias tales como el diseño de políticas públicas y los presupuestos institucionales. Funcionó durante un año y medio en la Casa Presidencial, sin contar con aval del Ministerio de Planificación y sin que trascendiera públicamente su existencia.

Durante su funcionamiento, la UPAD tuvo acceso a información sensible de diversas entidades públicas como la Dirección General de Migración y Extranjeria Ministerio de Educación o Instituto Nacional de Estadísticas y Censo. Sin embargo, su trayectoria fue breve. El repudio general que produjo la noticia de que la Unidad manejaba datos confidenciales de los y las costarricenses tuvo como resultado la derogación del artículo que habilitó la creación de UPAD y su posterior desmantelación, en febrero de 2020.

El acceso discrecional de la presidencia a datos confidenciales llegó a ser calificada como “terrorismo de estado” por el Secretario General de la Asociación Nacional de Empleados Públicos y Privados, Albino Vargas, y los diputados opositores a Alvarado manifestaron que UPAD es una iniciativa “ilegal, inconstitucional y un abuso de poder”. Las irregularidades en su creación, la falta de transparencia en el manejo de datos y diferentes denuncias recibidas llevaron al inicio de investigaciones por parte de la Fiscalía, la Defensoría de los Habitantes y la Cámara de Diputados.

Debido a la gravedad de los hechos, la Fiscalía de Costa Rica ordenó allanar la casa presidencial y levantó acusaciones por los presuntos delitos de prevaricato (dictar resoluciones contrarias a la ley), fraude y abuso de autoridad contra Alvarado y otros siete funcionarios del Gobierno.  Concretamente, la Fiscalía considera que bajo el mando de Alvarado, la UPAD violó el artículo 14 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, que prohíbe la transferencia de datos personales sin mediar el consentimiento, así como el artículo 40 del Reglamento de esa ley; y la Ley de Registro, Examen y Secuestro de Documentos Privados e Intervención de Comunicaciones.

En su comparecencia frente a una Comisión Especial de la Asamblea Legislativa, en febrero de 2021, Alvarado declaró: “Finalizo esta jornada con la paz y tranquilidad de que hoy le rendí cuentas a las y los costarricenses y que lo dicho es la verdad: nadie espió a nadie, nadie se robó plata, nadie vendió información”.  Los delitos de los que se acusan al presidente y sus asesores se contemplan en el Código Penal, con penas que oscilan entre los tres meses y seis años de cárcel.

En medio de este escándalo, lo que suceda este año será crucial para el futuro de la protección de datos en Costa Rica. UPAD no es el único proyecto relevante en la materia. Actualmente existen diversas iniciativas en discusión.

El Proyecto de Repositorio de Datos Biométricos propone centralizar en el Tribunal Supremo de Elecciones (TSE) la recolección y tratamiento de datos biométricos de toda la población. De esta manera, la Policía, el Ministerio Público, el Organismo de Investigación Judicial y la Dirección General de Migración podrían acceder a estos datos sin orden ni intervención judicial. Este proyecto prevé que se  comercialice un módulo de consulta de datos biométricos, lo que convertiría a Costa Rica en el primer país del mundo en comercializar libremente datos biométricos de su población, incluyendo a menores de edad y turistas. La iniciativa fue dictaminada de manera unánime por la Comisión de Gobierno y Administración en octubre de 2021.

Además, la Dirección de Migración lanzará en el primer trimestre de 2022 un nuevo pasaporte que incorpora un sistema inteligente de datos biométricos. El pasaporte incluirá un chip con la biometría del rostro y las huellas dactilares de todas las personas con documento costarricense. Frente a esta iniciativa, la Fundación Privacidad y Datos presentó un recurso de amparo, pues considera que Migración y Extranjería no resolvió adecuadamente una serie de consultas que fueran realizadas sobre respecto al nuevo pasaporte. Además, sostienen que el proyecto no respeta el marco jurídico, ya que el tratamiento de datos biométricos solo puede darse mediante una ley habilitante, y esta ley no existe.

Asimismo, la Dirección de Migración no ha explicado las medidas de seguridad que dispondrá para que los datos se encuentren seguros en sus servidores. Como si fuera poco, dicho organismo indicó que no descarta compartir esos datos con fuerzas policiales, e incluso con otros países, sin que exista ninguna norma que regule su utilización.

Por último, una propuesta de reforma a la Ley de Protección de Datos Personales.  Actualmente existe un proyecto impulsado por el Partido Acción Ciudadana, cuyo objetivo es reformar el marco regulador de la protección de datos en el país, incluyendo el funcionamiento de la Agencia de Protección de Datos Personales. Sin embargo,  organizaciones sociales plantean que no se trata de una reforma integral, sino que de la misma ley actual con algunos agregados y conceptos actualizados. Sin embargo, manifiestan que el proyecto se perfila como un primer paso que podría admitir mejoras para una mayor seguridad jurídica.

Los principales problemas del proyecto son que no prevé sanciones relevantes cuando es el propio Estado quien incumple la legislación. También plantea la posibilidad de que los organismos públicos intercambien datos personales de la población teniendo como único requisito la firma de convenios institucionales.

Con motivo de la celebración del Día Internacional de la Protección de datos, Daniel Rodríguez, director ejecutivo de la Fundación Privacidad y Datos manifestó que en “Costa Rica, el reto más importante que enfrentamos es actualizar nuestra legislación en la materia. Tenemos, cuando menos, diez años de retraso en este tema y el precio que pagamos por cada día que pasa sin una nueva ley, es muy alto”.

Comprender las violencias facilitadas por las tecnologías

Cuando hablamos de privacidad en internet estamos hablando también de confianza. La privacidad es eso que nos permite actuar libremente sin temor a los juicios por parte de otras personas o instituciones. Para hacernos una idea, en las ciudades contemporáneas los baños pueden ser esos lugares donde esperamos tener privacidad plena: que nadie nos esté observando, que nadie nos moleste. Cuando entramos al baño en un local comercial, confiamos en que sus dueños no estarán espiándonos y cuidan que nadie más lo haga.

En internet, la confianza es la garantía de que nuestra privacidad está resguardada cuando utilizamos servicios que son ofrecidos por terceros como las apps, plataformas de redes sociales o sistemas de pago en línea. Con el desarrollo permanente de las tecnologías digitales, cada tanto es bueno volver a preguntarnos, ¿existe algún lugar en internet donde tengamos plena confianza de que nadie nos está observando?

Hace poco, en una sesión de trabajo de protocolos de internet donde se conversaba sobre distintos escenarios de conectividad, el presentador afirmó que en una conexión casera puede haber total confianza: “porque no me preocupa si mi perro ve mi dirección MAC, o mi esposa o mis hijos. No creo que ellos vayan a atacarme”. Por supuesto, aclaró, “soy un usuario ingenuo que vive en los Estados Unidos y cuyo vecino más cercano se encuentra a una milla y media de distancia”.

La dirección MAC es un identificador único para cada uno de los aparatos que se conectan a internet. En esa sesión se estaba discutiendo sobre la posibilidad de que la dirección MAC se asigne de manera aleatoria a los aparatos cada vez que se conectan, de manera que no permita la identificación de la persona que está utilizando cierto aparato para conectarse a internet. Supongamos que ese aparato es un celular y la persona que se conecta está buscando información sobre aborto seguro, o cómo denunciar violencia doméstica. Si la dirección es única y estática, alguien con capacidad de ver el tráfico de red en el hogar puede saber desde el aparato de quién se están haciendo dichas búsquedas.

Para el presentador “ingenuo” solo su vecino sería un posible atacante, es decir alguien con capacidad suficiente para conocer el tráfico de red en su hogar, y es evidente que su esposa, sus hijos o su perro, no. Pero como bien sabemos, esta situación puede ser completamente diferente para otras personas. La privacidad y la confianza, tanto en el hogar como en internet, están determinadas por relaciones de poder. Por ejemplo, ¿quién contrata el servicio de internet? ¿quién puede configurar los aparatos instalados? ¿cuántas personas acceden a cada aparato conectado, y en qué condiciones? ¿quién conoce y quién controla las credenciales de acceso?

La idea de que el hogar es un lugar de “total confianza” (o que la familia es un grupo de “mucha fraternidad”, parafraseando al actual presidente de México) ha sido ampliamente cuestionada por grupos feministas que combaten las violencias de género normalizadas en nuestra sociedad. Sin embargo, quienes diseñan las tecnologías que utilizamos y quienes gobiernan los países donde vivimos continúan pensando que una declaración es suficiente para garantizar espacios seguros y libres de violencias, tanto dentro como fuera de línea.

Pero concentrémonos en las tecnologías digitales. En esa misma sesión de trabajo, varias personas señalaron que, en términos de seguridad, el hogar no es un escenario de confianza pero una empresa sí lo es. ¿De qué confianza estamos hablando?, ¿y de qué seguridad? ¿Para quién?, ¿para qué? En una empresa, en una institución militar o de gobierno, es necesario proteger la información que se comparte. La confianza está mediada por contratos de trabajo, acuerdos de confidencialidad, políticas y protocolos de procedimiento que han sido meticulosamente diseñados para garantizar el correcto funcionamiento institucional.

La seguridad es una característica necesaria en cualquier sistema informático y quienes han estado a cargo de esta labor en los contextos empresariales e institucionales son principalmente ingenieros hombres, que viven en familias consideradas “normales”, en condiciones económicas muy cómodas, en países del norte. Pero hoy, cuando a través de un mismo dispositivo conectado a internet sostenemos por igual relaciones laborales, académicas, burocráticas e íntimas, la seguridad digital se ha quedado corta en responder a las necesidades de las -cada vez más y más diversas- personas que nos conectamos.

El campo de la ciberseguridad se ha construido sobre la base de identificar adversarios, amenazas y riesgos asociados al uso de tecnologías digitales, así como de garantizar la confidencialidad, integridad y disponibilidad de la información. Pero muy poco se ha estudiado sobre cómo el diseño de las tecnologías digitales afecta a las diferentes personas, y qué tipos de amenazas aparecen en los entornos privados e íntimos. Quienes trabajan en seguridad suelen pensar que estas amenazas son poco sofisticadas porque técnicamente son fáciles de ejecutar y no dependen de un diseño tecnológico complejo. Nada más alejado de la realidad.

Estas amenazas están basadas en una profunda conflictividad social que difícilmente es experimentada en el día a día por quienes diseñan, mantienen y analizan sistemas de seguridad: en su mayoría hombres cis, heterosexuales, no racializados en su contexto local y con cierta comodidad financiera. Hacerle frente a esta conflictividad implica entender, no solo la complejidad técnica de los ataques, sino las condiciones sociales en que configuraciones técnicas muy sencillas facilitan la ejecución y amplificación de prácticas normalizadas que son violentas, por ejemplo, la vigilancia y el control de los cuerpos de las mujeres por parte de sus familiares o parejas sentimentales. 

A tiempo que construimos tecnologías para acabar el patriarcado necesitamos hablar más de las violencias facilitadas por las tecnologías que hoy día estamos usando, esa condición de facilidad y simpleza con que permiten a los agresores (principalmente hombres allegados a las personas agredidas) ejercer violencia. No solo se trata de las aplicaciones para descubrir una infidelidad, que cada día se hacen más comunes en las tiendas de descarga, sino de las características de muchas aplicaciones que usamos cotidianamente, y que incitan a la vigilancia, el seguimiento y el abuso sobre la privacidad de quienes tienen (por condiciones estructurales que ya mencionamos aquí) menos habilidades o posibilidades de conocer el trasfondo del funcionamiento de estas aplicaciones.

Derechos digitales en 2021: un último vistazo al año que nos deja

«Es navidad y ¿que has hecho?» nos pregunta una famosa canción navideña cada fin de año. Intentar responder nos obliga recordar y reflexionar.

La pandemia del COVID-19 hizo evidentes las escandalosas desigualdades que atraviesan nuestras sociedades y los límites de un modo de producción que debemos repensar si queremos construir un futuro más respetuoso y justo para todos los seres que habitamos este planeta. Ese contraste sigue vívido frente a nuestros ojos.

En América Latina, el deterioro de las condiciones de vida como resultado de una serie de crisis que se superponen —sanitaria, económica, política, climática y ambiental—se hace visible en los paisajes de muchas ciudades. Sin embargo, la fuerza de la solidaridad, la colaboración y la resistencia una vez más dejará su marca en nuestra historia. En 2021, la gigantesca marcha de mujeres indígenas en Brasil, los fuertes movimientos de protesta en Colombia y en Cuba, la movilización en los períodos de elecciones en Chile, y la resistencia ante la crisis en Venezuela, Nicaragua, Honduras y El Salvador, fueron muestras de una intensa lucha por derechos, en una región tan marcada por la dificultad de los cambios.

Son innumerables las iniciativas locales que buscaron garantizar y promover derechos, desde grupos grandes y pequeños, desde comunidades y redes de solidaridad a nivel local, regional y global. Desde Derechos Digitales, pudimos apoyar algunas por medio del Fondo de Respuesta Rápida: fueron 20 proyectos apoyados durante el año, con acciones en 11 países. Y sabemos que hay mucho más por hacer.

En este contexto, la vida en internet se ha vuelto aun más importante que los vaticinios tecnoptimistas de principios de siglo. Por la misma razón, defender la libertad de expresión, el acceso a la información, la privacidad, los derechos a la protesta y participación en línea se hizo aún más fundamental. La posibilidad de conectarse a una internet de calidad, sin interferencias excesivas y arbitrarias fue lo que le permitió a algunas personas trabajar, estudiar y mantener una vida social de manera segura. Sin embargo, no fue así para todas. Algunos gobiernos aprovecharon la crisis sanitaria para intentar establecer mayores controles sobre discursos legítimos.

En Bolivia y Brasil, la sociedad civil movilizada logró impedir iniciativas peligrosas para la libertad expresión en línea. En Chile, junto con reconocidas expertas y expertos internacionales criticamos firmemente el proyecto de ley para regular las plataformas digitales, que tiene un enorme potencial de daño al ejercicio de derechos fundamentales; además de sus errores de conceptuales, el proyecto ignora desarrollos importantes de derechos humanos a nivel internacional. En Colombia, asistimos al Congreso a detener una iniciativa legal que, en nombre de los derechos de niños, niñas y adolescentes, buscaba implementar una serie de disposiciones para el control de la circulación de contenidos en internet, contrarias a las condiciones establecidas en la Convención Americana sobre Derechos Humanos; una medida que probablemente tenía buenas intenciones, pero que constituía una amenaza peligrosa.  

La violencia en línea —especialmente la violencia de género—se multiplicó como estrategia para silenciar las críticas. Como reconoció la Relatora Especial de Naciones Unidas sobre libertad de expresión, Irene Kahn, este tipo de práctica representa una forma de censura y muchas veces obliga a las víctimas a desconectarse para sentirse seguras. Reiteramos lo dicho por incontables activistas y expertas a nivel mundial: la violencia de género en línea es un atentado contra los derechos humanos

Los distintos impactos de la brecha digitales se hicieron más evidentes que nunca: miles de personas se vieron excluidas por la digitalización de servicios públicos, al no tener ningún tipo de conexión o por la precariedad de su forma de acceso, incluidos los servicios vinculados al control de la pandemia o de sus efectos sobre la vida de las personas en la región. Algunas de estas iniciativas abrieron espacio para nuevas formas de  discriminación y para una vigilancia diferenciada hacia las personas que se encuentran en situación de mayor vulnerabilidad y, por lo tanto, dependen del apoyo del Estado, como apuntamos en nuestro análisis de los sistemas de sistemas de protección social en Bolivia y Venezuela.

Para quienes lograron conectarse, la digitalización del sector público también ha implicado una mayor recolección de datos, en muchos casos, sin las debidas garantías de protección. Con el consorcio Al Sur, analizamos el uso de tecnologías para el combate al virus y concluimos que su implementación se basó en escasas evidencias de efectividad, sin considerar tampoco procesos de evaluación o auditorías participativas. Debido a la ausencia de estudios previos de impacto y de medidas suficientes de seguridad, estas iniciativas se constituyeron como riesgos al ejercicio de derechos humanos y fallaron en el cumplimiento de estándares de legalidad, necesidad y proporcionalidad.

La vigilancia floreció en América Latina durante el último año: observamos con preocupación el avance del uso de tecnologías de reconocimiento facial, especialmente en espacios públicos, sin mayores cuestionamientos sobre sus consecuencias. En Uruguay una ley aprobada en abril autorizó la creación de una base de datos de identificación facial para uso en la seguridad pública, a pesar de la manifestación de docenas de organizaciones de la sociedad civil y de crecientes cuestionamientos a este tipo de tecnologías.

Junto a otras organizaciones, colaboramos en la investigación y denuncia del uso de tecnologías en el contexto del control de la pandemia como vía para acumular información de las personas y la gestión de los datos por fuera de estándares de derechos humanos.

También asistimos al trabajo de tribunales en la región. En Argentina participamos como amicus curiae  en una acción que cuestiona constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En Perú el proyecto “Ni un examen virtual más” cuestionó la obligatoriedad de esos sistemas para la participación en exámenes de ingreso en universidades públicas. En Brasil y Paraguay la sociedad civil también se ha organizado para resistir la implementación del reconocimiento facial, y participamos en un amicus curiae en este último país en defensa de la transparencia en el uso de estas tecnologías. En Colombia, intervinimos dos veces en apoyo a organizaciones locales en el cuestionamiento del uso de datos personales para la pandemia, relevando la importancia de los estándares que la ley ya contempla.

La movilización no ha sido solo resistencia: en Ecuador se ha logrado aprobar finalmente una ley de protección de datos, donde fuimos activos partícipes; en Brasil se han presentado propuestas para la prohibición del reconocimiento facial; Nos sumamos también al movimiento global para cuestionar la forma en que una empresa con amplia base de usuarias en la región ha procurado cambiar sus reglas, con la reacción positiva de la autoridad de libre competencia en Chile.

Pasaron demasiadas cosas como para listarlo todo. Ello nos trae orgullo y satisfacción, pero a la vez nos muestra los desafíos hacia el futuro. Al mismo tiempo, nos mueve a observar nuestra acción hacia afuera, como también nuestra situación como grupo de personas. Las organizaciones de derechos humanos como Derechos Digitales no hemos estado excluidas de los impactos generados por la pandemia en los últimos dos años, que van más allá de situaciones nacionales y globales.

Mantenernos activas ha implicado también hacer una mirada hacia adentro y pensar cómo nos cuidamos y fortalecemos, cómo nos auxiliamos mutuamente para generar la fuerza que requiere nuestra labor. Y así, mantenemos nuestra convicción de cara al año que comienza. Ante los desafíos enfrentados, esperamos para 2022 no solo hacer, sino también recuperar nuestro derecho a imaginar.

Nueva ley de delitos informáticos

Dentro de las próximas semanas Chile debiera contar con una nueva ley sobre delitos informáticos. La discusión del proyecto de ley Boletín 12192-25 que busca modificar la normativa vigente (Ley 19.223 que tipifica figuras penales relativas a la informática) está en su recta final.

Con la mayoría de su articulado ya aprobado queda pendiente que la Comisión Mixta —compuesta por senadores y diputados— termine de revisar aquellos artículos donde no hubo acuerdo en las etapas legislativas previas. Como es de esperarse, los pendientes implican los temas más polémicos: la criminalización de la investigación informática, y la modificación del Código Procesal Penal (CPP) para ampliar y flexibilizar algunas de las medidas investigativas más intrusivas de nuestro sistema. Entre ellas, se encuentra el artículo 219 del CPP sobre interceptación de las comunicaciones privadas.

La excusa del Convenio de Budapest para reducir el control de la actividad estatal

No cabe duda de que Chile necesita con urgencia una normativa adaptada a la realidad actual. A 30 años de la entrada en vigor de la ley 19.223 es una excelente noticia. Sin embargo, este proyecto ha servido de excusa para cambiar las reglas del CPP chileno en materia de técnicas de investigación de una manera que nada tiene que ver con el Convenio de Budapest, cuya implementación dio origen a este proyecto, como ya hemos explicado.   

A pretexto de combatir el ciberdelito, el proyecto busca reducir aquellos mecanismos que fueron diseñados para evitar el abuso de las medidas intrusivas de investigación, limitando las posibilidades de control democrático. Así, hemos llegado al absurdo que una cuestión tan relevante como normas procesales penales de aplicación general, puedan terminar siendo discutidas en forma incidental, como una cuestión accesoria, a pesar de tratarse de una materia que evidentemente requiere de una discusión particular.

Así como la separación de poderes es un elemento imprescindible de toda democracia, también lo es el control de su ejercicio. En este punto, el texto propuesto por el Senado contiene una propuesta extremadamente peligrosa: flexibiliza las herramientas para el uso de medidas investigativas profundamente intrusivas. Algunos ejemplos son el uso de agentes encubiertos, la interceptación de las comunicaciones, y ampliar las facultades de investigación a las policías.

En términos resumidos, el proyecto busca modificar la regla general bajo la cual funcionan la mayoría de los sistemas penales del mundo, incluido el chileno: la necesidad de contar con una autorización judicial previa. Además, si consideramos que la normativa contempla el secreto por tiempo ilimitado de estas actividades de investigación, sumado al histórico incumplimiento de la obligación de informar a las personas afectadas por una medida de interceptación de sus comunicaciones (cuando sea posible hacerlo), el resultado que tenemos es la entrega de un poder de intrusión ilimitado y descontrolado.

Por otra parte, preocupa la falta de claridad con que fue redactado el texto que busca reemplazar el actual artículo 219 del CPP, donde no queda claro cuáles serían los casos en que el Ministerio Público podría hacer uso de las facultades que le otorga la ley.

Investigación en seguridad informática

Otro de los aspectos polémicos del proyecto es la criminalización de la comunidad de seguridad informática. A pesar que el trabajo de los investigadores en seguridad informática es detectar vulnerabilidades e informarlas, de manera que los dueños de los sistemas de información puedan hacer los ajustes que sean necesarios, sobre ellos pesa el estigma ser “ciberdelincuentes” y mal llamados hackers. Además, en varias oportunidades son perseguidos por los propios beneficiados por su trabajo (quienes son informados sobre las vulnerabilidades) a quienes les resulta más cómodo perseguir al mensajero.

Pero no todo está perdido. El Congreso logró comprender la significación de esta importante labor, y al menos existiría consenso en establecer una eximente de responsabilidad penal para quienes realicen esta actividad en el contexto de una investigación académica de seguridad informática previamente registrada. En todo caso, sujeto a ciertas condiciones: que no haya mediado actuación policial, judicial o del Ministerio Público de ninguna especie; y que tanto el acceso como la vulnerabilidad informática detectada hayan sido reportadas al responsable del sistema informático y a la autoridad competente.

Desde Derechos Digitales creemos que, si bien esta consideración es un avance, no es suficiente. La investigación en seguridad informática es esencial para la detección y solución de brechas de seguridad: de lo contrario solo conoceremos vulnerabilidades una vez que sean explotadas por terceros. Por el contrario, las leyes que criminalizan la investigación informática suelen ser abusadas para perseguir a quienes investigan, ya sea por motivos políticos, o como reacción de las empresas privadas ante el impacto reputacional que significa que alguien revele sus brechas de seguridad, tal como se puede ver claramente en el informe elaborado por Access Now.

Por último, a quienes más perjudican este tipo de leyes es a las personas. Solo las grandes empresas cuentan con los medios económicos necesarios para poder costear investigadores privados que revisen sus sistemas constantemente. La actividad de la comunidad de seguridad informática permite a pequeñas empresas ser advertidas de la existencia de brechas, y reaccionar antes que su información y la de sus clientes sea expuesta. Acompañada de estrictos mecanismos de resguardo, una autorización amplia para la investigación en seguridad informática no debería generar problemas.

Llamado a rechazar la modificación del artículo 219

Un proyecto de ley que busca modificar la normativa penal debe ofrecer ciertas garantías mínimas para impedir el abuso de aquellas técnicas de investigación que resultan lesivas de derechos fundamentales.

Considerando que en la actualidad no contamos con un sistema que se haga cargo de todas las vulneraciones del debido proceso, al no tener capacidad para controlar el uso de las medidas en cuestión, ni conocimiento para la rendición de cuentas una vez que termina una entrega de información o una interceptación, pareciera que aumentar las hipótesis de medidas intrusivas de investigación sin control suficiente ex ante y ex post solo pone en mayor riesgo la institución del debido proceso y derechos sin los cuales es imposible pensar en una democracia: el derecho a la privacidad, a la protección de los datos personales y a la inviolabilidad de las comunicaciones privadas.

Por ello, creemos que cualquier reforma del CPP en este sentido requiere, ineludiblemente, una reforma transversal a las normas sobre entrega de datos personales y privacidad de las comunicaciones, y el establecimiento de fuertes sanciones para el uso abusivo de medidas como las propuestas, cuestión que solo es posible mediante una discusión de fondo.

Dado lo anterior, no parece prudente intentar regular una materia tan compleja como esta en forma anexa e incidental a un proyecto de ley que no se refiere específicamente al CPP. En el marco actual, ya han sido identificados diversos riesgos asociados al uso abusivo de este tipo de técnicas investigativas. Sumado a esto, la norma propuesta contraviene la regla general sobre principios básicos del proceso penal contenida en el artículo 9 de nuestro CPP, por lo que no parece prudente aumentar las facultades de las policías sin una revisión del sistema completo.  

Llamamos a rechazar la modificación del artículo 219, y dejar dicha discusión para una instancia en que se pueda analizar el tema con la dedicación necesaria, que englobe una mirada integral a nuestro sistema procesal penal, evitando introducir reglas contrarias al debido proceso.

Garantías mínimas

Con todo, para el caso de optar por insistir en la modificación del artículo 219, a lo menos debiesen tomarse los siguientes resguardos como un mínimo necesario:

  1. Necesidad de contar con autorización judicial, idealmente previa, pero al menos en forma posterior;
  2. Modificar la redacción del § 3 del artículo 219 propuesto, en orden a dar mayor claridad sobre los casos en que el Ministerio Público podría hacer uso de las facultades que se busca otorgarle;
  3. Establecer que toda orden que imponga la reserva de una medida investigativa debe señalar un límite del tiempo para dicha reserva;
  4. Establecer que, una vez cumplido el plazo indicado para la reserva de la medida investigativa, termine el deber de secreto que pesa sobre las empresas de telecomunicaciones, de manera que estas sean libres de notificar a sus usuarias, en los términos establecidos en el artículo 224 del CPP; y,
  5. Reforzar el deber de notificación al afectado por una medida de interceptación establecido en el referido artículo 224, de forma que el mismo sea efectivamente cumplido, pues no existen antecedentes que muestren que dicha norma esté siendo cumplida en la actualidad.

Por una internet descentralizada

WhatsApp es la plataforma utilizada en América Latina para los chats familiares, de estudios, de trabajo, para comercio y más. De repente, durante casi un día todas estas personas quedan incomunicadas. Seguramente habrá quiénes se alegraron por la paz de un día de desconexión. Sin embargo, para una parte no despreciable, dicho evento significó inconvenientes varios y posiblemente no cumplir sus actividades con normalidad.

A nivel mundial, WhatsApp sirve para comunicar a dos mil millones de personas, casi tres veces la población de América Latina. ¿Qué habría pasado si en lugar de caerse las plataformas de Meta, se hubieran caído Claro y Movistar? Seguramente esto habría sido un escándalo y estas empresas habrían sido multadas por los Estados de varios países y por no miles, sino millones de clientes. No es para menos: las telecomunicaciones son un recurso esencial en la sociedad actual. Además, consideremos que WhatsApp utiliza como estrategia el zero rating, es decir, no precisa comprar previamente un paquete de datos por lo que afecta especialmente a las personas con menor poder adquisitivo.

Se podría decir que “si no pagamos por el servicio tampoco podemos quejarnos”, pero la realidad es que sí pagamos cuando aceptamos que nuestros datos sean recolectados y analizados por estas empresas. Esta vez no hablaremos sobre privacidad, sino sobre la concentración de las comunicaciones en la red. Internet fue pensada originalmente como una red de redes. En la que, si una de estas redes fallaba, no se tenía un fallo a nivel global. Cada vez más internet ya no es una red de redes, sino una red de pocas redes dominadas por pocas empresas de Estados Unidos.

Muchos al ver la caída de WhatsApp decidieron cambiarse a plataformas como Telegram o Signal. Esto tampoco es una solución mientras Telegram y Signal no puedan hablar entre sí y con otros proveedores, de manera similar a como funciona el correo electrónico. Si existen varios proveedores que funcionen de forma interconectada va a ser más difícil generar una estructura de poder centralizada y fuerte que, tarde o temprano, será abusiva.

Es innegable que para el correo electrónico existen grandes proveedores como Gmail, Yahoo u Outlook.  De todas maneras, contamos con disposición de miles de servidores de correo electrónico provistos por empresas más pequeñas; autogestionados por empresas, organizaciones o individuos. No ha existido nunca una caída de correo electrónico como tal. Si bien en diciembre de 2020 se registró una falla de Gmail y otros servicios de Google (una importante: afectó a más de mil millones de personas) no implicó la suspensión de los servicios de todas las redes de correos electrónicos en el mundo.

El concepto de tener varios proveedores que se comunican entre sí es conocido como federación. Si el correo electrónico es un servicio federado, ¿por qué no pueden serlo los sistemas de mensajería instantánea? Esta pregunta se la planteó un grupo de técnicos a finales de los años noventa y trabajaron en lograr un estándar que permita la comunicación de varios servidores de chat para que se puedan comunicar entre sí. Así es que en octubre de 2004 nació la primera versión del protocolo XMPP (protocolo extensible de mensajería y comunicación de presencia, por su sigla en inglés) que desde entonces permite la mensajería instantánea federada.

Este protocolo con un nombre difícil de recordar fue adoptado de forma parcial por WhatsApp en sus inicios. Es más, WhatsApp no inició desde cero, sino que utilizó el popular sistema de software libre Ejabberd para brindar el servicio. La implementación de XMPP fue parcial, puesto que no implementaron la federación. Es decir, que, si bien la tecnología permitía interactuar de forma igual con otros sistemas, WhatsApp no la quiso implementar.

WhatsApp no fue la única empresa grande que apoyó sus sistemas de chat con el protocolo XMPP: el sistema Google Talk funcionó de manera federada entre los años 2005 al 2013. Durante ese periodo de tiempo, se podría chatear desde la interfaz web de Gmail con cualquier persona dentro de la red XMPP. Lamentablemente, para Google la interoperabilidad dejó de ser una prioridad, por lo que esta opción no se encuentra en funcionamiento.

Si es técnicamente posible que los sistemas de chat sean federados, ¿por qué los principales sistemas no lo son? A inicios de los años dos mil, antes de WhatsApp, era común el uso de SMS. En Ecuador, hasta octubre de 2004 era imposible enviar SMS entre diferentes operadoras celulares, pero esto cambió gracias a una regulación estatal, y fue un suceso tan importante que el primer SMS recibido entre operadoras fue realizado por el entonces presidente de la república.

No es necesario tener Gmail para enviar un correo a alguien que tiene cuenta en este servicio. No debería ser necesario tener WhatsApp para poder contactarse con alguien de esta red desde otra plataforma como Signal, Telegram o cualquier otra. En este artículo se habló sobre XMPP, pero hay otras tecnologías que permiten tener sistemas de chat federados, por ejemplo, Matrix, un estándar similar a XMPP que se viene desarrollando desde 2014.

Desde sus orígenes, las tecnologías detrás de internet han permitido tener una red descentralizada con muchas redes pequeñas que se comunican entre sí. En los últimos años, internet se ha convertido en un espacio centralizado donde pocas empresas controlan las comunicaciones de miles de millones de personas. Esto da demasiado poder a las empresas y les quita autonomía a las personas. Las soluciones técnicas no son suficientes: es necesario contar con políticas que obliguen a las plataformas a interactuar entre sí y con proveedores pequeños para que las personas decidan qué servicio quieren usar o, de ser el caso, implementarlo en su propia infraestructura.

¿Podemos reducir las barreras de participación?

En el Grupo de Trabajo de Ingeniería de Internet (o IETF por sus siglas en inglés) actualmente se discuten asuntos tan relevantes para los derechos humanos como la privacidad en el sistema de nombres de dominio (DNS) o la asignación aleatoria y cambiante de direcciones MAC (Media Access Control) de los dispositivos conectados, para proteger la identidad de las personas usuarias, entre otros.

Hace unos años empezamos a conocer y participar de este espacio, contribuyendo primero en el desarrollo de un documento sobre libertad de asociación en internet, y luego en otro sobre feminismo y protocolos. Y como señalábamos desde un comienzo, a pesar de ser una organización abierta, que funciona de manera horizontal y colaborativa, donde la participación es libre y se hace a título personal, y donde se busca alcanzar consensos manteniendo un ambiente de trabajo respetuoso e inclusivo, todavía encontramos muchas dificultades para compartir nuestras preocupaciones y necesidades, e incluso para vincularnos a los debates y procesos.

Sin embargo insistimos en participar, pues consideramos necesario fortalecer la gobernanza de la infraestructura, contribuyendo en espacios donde se toman decisiones técnicas. Y es que en la IETF se están buscando soluciones para problemas técnicos inmediatos, pero también se busca analizar cómo evolucionan los protocolos técnicos, para pensar las posibilidades del futuro de internet. Las discusiones allí son técnicas pero también son profundamente políticas; por ejemplo, cómo el fortalecimiento de la privacidad en ciertas tecnologías puede redundar en mayor centralización del mercado o cómo sistemas más complejos de cifrado pueden debilitar el anonimato de las personas usuarias.

Durante este tiempo nos hemos interesado en conocer y entender las distintas barreras de participación en este espacio, con el fin de buscar estrategias para reducirlas. Existe un borrador sobre diversidad e inclusión que ofrece una lista, pero aquí intentaremos señalar algunas. La primera y más evidente es el costo de participación, pues la IETF acostumbra reunirse tres veces al año, en Norteamérica, Europa y Asia respectivamente, y porque la inscripción al evento tiene un costo que puede ser alto incluso en dichas regiones. Aunque desde antes existía la posibilidad de participar de manera remota y sin costo, durante la pandemia por COVID-19 se mejoraron enormemente las posibilidades técnicas de participación remota, y se han venido estableciendo reglas para garantizar que las reuniones totalmente en línea sean no solo funcionales sino accesibles y satisfactorias.

Pero aún participando remotamente y sin costo, resulta muy complicado vincularse a las discusiones que tienen lugar en las listas de correo y en los distintos grupos de trabajo. Para quienes trabajamos en la intersección entre derechos humanos y tecnología, por ejemplo, puede ser útil conocer “Cómo funciona realmente internet” y que si bien ante cualquier conflicto IETF busca “favorecer a las personas usuarias finales”, en términos generales “los usuarios” de las tecnologías desarrolladas aquí son los operadores de redes y las empresas proveedoras de internet. También es útil conocer el “Tao. Guía para principiantes”, un documento explicativo sobre la estructura y procesos dentro de IETF que está traducido en siete lenguas, incluyendo el español

La lengua es una barrera que se extiende a todo el campo de las tecnologías de internet, pues las computadoras y la industria funcionan principalmente en inglés. Y específicamente en IETF, cualquier persona que quiera participar activamente de las discusiones abiertas debe no solo entender sino desenvolverse cómodamente en inglés. Por suerte hay personas dentro de la comunidad técnica en América Latina interesadas en traducir y contextualizar algunos asuntos relevantes, por ejemplo “Cómo leer un RFC” o el “Estado actual de los protocolos de seguridad de la IoT”. Pero falta mucho por analizar, discutir y contribuir desde nuestra región.

Hace un tiempo estuvimos en el programa IT-Women de Lacnic conversando al respecto y señalamos que, gracias a los datos existentes, es posible establecer que la participación desde regiones como América Latina o África, así como la participación general de mujeres, es muy marginal. Esto se evidencia en el reporte de la coordinación de IETF presentado en su más reciente plenaria, donde mostró que la participación sigue siendo predominantemente de Estados Unidos (38,9%), seguida de China (9,7%), Alemania (7,2%), Reino Unido (4,8%), Japón (3,9%), Canadá (3,6%), India (3,4%) y Francia (2,9%), y no se conocen datos desagregados por género, por ejemplo.

Estos datos no contradicen, sino que confirman, la brecha estructural de participación en entornos tecnológicos. Sin embargo, consideramos importante preguntarnos cuáles son los datos disponibles para construir estas estadísticas, ¿son suficientes? Frente a esta pregunta, desde hace tiempo hay una comunidad involucrada en los debates sobre protocolos y derechos humanos, trabajando en Big-Bang, una herramienta para el análisis de comunidades que desarrollan estándares y participan de la gobernanza de internet, a través del análisis estadístico, discursivo y de redes en las listas de correo. Este tipo de herramientas pueden servir para entender mejor quiénes y cómo están participando de las discusiones en IETF.

Pero, ¿de qué depende que esta situación cambie? Sabemos que en los entornos de diseño, producción y consumo de tecnologías digitales se manifiestan y re actualizan los problemas sociales estructurales, y que no es suficiente con transformar las tecnologías para transformar la sociedad. Sin embargo, también consideramos que traer otros casos de uso a la discusión, así como otras maneras de discutir y otros intereses (más allá de la estabilidad del mercado o la seguridad nacional, por ejemplo), es necesario para encaminarnos hacia una internet centrada en las personas y en nuestros derechos individuales y colectivos.

Incluso en América Latina, hace falta mucha reflexión sobre derechos humanos dentro las comunidades técnicas y entre las empresas operadoras y proveedoras de internet, como comentamos hace poco en el marco del Workshop PreIETF organizado por la Sociedad Brasilera de Computación. Creemos, sin embargo, que hay varios espacios donde se puede conocer e incidir en estos temas: el Public Interest Technology Group publica mensualmente un boletín (en inglés) con temas relevantes en materia de derechos humanos y protocolos; Lacnic cuenta con un programa cíclico de mentoreo IT Women (cuya inscripción cierra hoy 12 de novimebre); y está la lista de interés IETF-Lac donde es posible conversar sobre diversos temas de IETF, tanto en español como respecto a sus implicaciones en América Latina. Además, dentro de IETF está el Education, Mentoring and Outreach Directorate, que busca promover la diversidad e inclusión en la organización, y también está Systers, una lista de interés para mujeres que participan de IETF.

Desde Derechos Digitales seguiremos publicando al respecto, y estamos abiertas a contribuir con otras personas y organizaciones en la región interesadas en vincularse a esta discusión.

El Caso Ola Bini en primera persona

El 11 de abril de 2019, algunas horas después de que el presidente de Ecuador, Lenin Moreno, retirara el asilo político a Julian Assange, Ola Bini fue detenido cuando se disponía a iniciar un viaje a Japón planificado con meses de anticipación. María Paula Romo, entonces Ministra de Gobierno,  dijo en rueda de prensa: “Desde hace varios años vive en Ecuador uno de los miembros claves de Wikileaks y una persona cercana a Assange. Tenemos evidencia que ha estado colaborando con los intentos de desestabilización del gobierno”. Esa persona era Ola Bini.

Ese fue el inicio de una persecución que le costó a Ola setenta días en la carcel y que no ha terminado. Una vez fuera de prisión no recuperó su libertad: debe presentarse todos los viernes ante fiscalía, tiene prohibición de salir del país y es vigilado constantemente. Además, ha sido víctima de acoso mediático, donde se lo dibujó como un villano capaz de atacar cualquier sistema informático.

Una reciente investigación del portal digital La Posta, hace presumir que Ola Bini fue detenido porque la ministra Romo buscaba a un culpable para la filtración de INAPapers, que incluía correos electrónicos, chats, fotografías y otra información obtenida del teléfono del (ex) presidente Moreno. Según la investigación, se sabía que Ola no era la persona detrás de esta filtración, pero la ministra necesitaba un nombre que entregar al presidente.

Conozco a Ola desde 2013 y tuve el gusto de trabajar con él durante dos años en el Centro de Autonomía Digital – CAD. Este es el relato de su caso desde la perspectiva de alguien que estuvo cerca.

Antes de la Persecución

Ola Bini se mudó a Ecuador en 2013, cuando trabajaba en una empresa que abrió oficinas en Quito. Tuve el gusto de conocerlo ya que a los dos nos preocupaba la privacidad en internet y considerábamos que el software libre con criptografía es una herramienta esencial para las comunicaciones seguras.

Desde la empresa, el equipo liderado por Ola ya había realizado importantes trabajos en relación al desarrollo de herramientas libres para la protección de la privacidad. El cliente de chat seguro CoyIM es un ejemplo, pero también había colaborado con proyectos importantes como Tor, Tails, Enigmail y Let’s Encrypt, entre otros.

En 2017 se fundó el CAD, organización sin fines de lucro con oficinas en Sao Paulo, Brasil, enfocado en el desarrollo de herramientas libres para la protección de la privacidad. Fue durante 2019 cuando las oficinas se trasladan Quito y tuve el privilegio de ser una de las primeras personas en trabajar allí. En un mundo digitalizado, donde el derecho humano a la privacidad es vulnerado constantemente, tener una organización como el CAD en Ecuador es una oportunidad enorme. La creación de herramientas para la protección de la privacidad es importante, pero la formación de talento humano para la protección de la privacidad desde Ecuador lo es aún más.

El que iba a ser el trabajo de mis sueños pronto se convirtió en una pesadilla: nunca imaginamos que el Estado ecuatoriano nos atacaría de esa manera.

El arresto

El 11 de abril de 2019 revisé Twitter temprano en la mañana y vi que el presidente de Ecuador había publicado un video durante la madrugada, anunciando que Ecuador retiraba el asilo político a Julian Assange y lo entregaba a las autoridades de Londres. Ese día estuvimos pendientes de las noticias. Durante la mañana, el Canciller y la Ministra de Gobierno hablaron de “un miembro clave de Wikileaks” y de dos “hackers rusos” que pronto serían detenidos.

Los hackers rusos nunca aparecieron. En ese momento no sabíamos que Ola había sido detenido, pensábamos que estaba de viaje. De regreso en casa, escuché  a la ministra Romo en la radio, que dijo que el colaborador  de Wikileaks había sido detenido “cuando se disponía a escaparse al Japón”. “¡Ojalá no sea Ola!”, era lo único que pensaba. Por la noche recibí un mensaje de mi papá preguntando si conocía a “un tal Ola Bini”; los medios habían anunciado su detención en un caso relacionado con Julian Assange. En ese momento me entró el miedo, mucho miedo, como nunca antes lo había sentido.

Con esa información, las declaraciones de la Ministra adquirieron para mí un tono mucho más fuerte y :  “no vamos a permitir que Ecuador se convierta en un centro de piratería informática.” Ola Bini había sido detenido por supuestos intentos de desestabilización al gobierno y yo trabajaba con él. “¿Será que me van a investigar? ¿Van a ir a mi casa o a la oficina y nos van a allanar como a Ola?”, pensé, asustado.

Durante dos días casi no dormí y lo único que ingerí fue agua de Guayusa. La detención fue un jueves y desde el CAD se decidió trabajar desde casa, por miedo a que nos allanaran la oficina. No sé si fue buena o mala idea, pero aguantar lo que acontecía en soledad fue difícil. Tuve algunas llamadas vía Signal con colegas del trabajo, amigos y amigas, donde intentábamos entender qué pasaba y calmarnos los unos a los otros.

Esta sensación de miedo y estrés nos acompañó durante varios meses. Cuando sentíamos que las cosas se calmaban, venía un reportaje de prensa con un titular escandaloso que traía el temor de vuelta a nuestras vidas.

La prensa

Mi expectativa era que la prensa investigara, que la verdad saliera a la luz y así poder explicar a la ciudadanía lo que estaba sucediendo. No fue así. La prensa decidió hacer las relaciones públicas del gobierno y estigmatizar a Ola Bini. Dos ejemplos:

En agosto de 2019,  el Portal 4 Pelagatos publicaba:

“Fiscalía pudo ingresar al celular de Ola Bini. Esto pone en evidencia dos hechos: es un hacker que vino al país para trabajar con el gobierno de Correa y, dos, es un mentiroso que contó cuentos chinos a la opinión. 4P les trae la historia en exclusiva”. 

Esa fue una de las veces en las que se me heló la sangre.  “Ahora sí se acabó todo, pero ¿qué es lo que hizo Ola?” —pensé. Cuando leí el artículo, lo único relevante que pude entender fue que habían desbloqueado su teléfono y tenían información respecto al ingreso a los sistemas de la Corporación Nacional de Telecomunicaciones (CNT). Dos días después publicaron una famosa foto de la pantalla de Telnet, considerada por los periodistas como una la prueba irrefutable de que Ola habría ingresado a los sistemas informáticos de CNT. La EFF, organización experta en estos temas, realizó un análisis de la imagen publicada, donde explican claramente que nunca se ingresó al sistema.

La segunda historia sucedió algunos meses después. El 4 de marzo de 2020, el portal Código Vidrio publicó un reportaje titulado “El hacker Müller, cercano a Assange, se reunió en Quito con Ola Bini y capacitó a informáticos ecuatorianos.” Andy es un reconocido informático, experto en seguridad, defensor de derechos humanos y con quién tuve el honor de trabajar durante 2 años administrando la infraestructura del CAD. Éramos responsables del funcionamiento de nuestras herramientas de colaboración, correo electrónico y sitios web.

Además de la persecución de Andy y Ola por trabajar con Assange, me descolocó el hecho de saber que habíamos sido espiados durante la semana de Kickoff del CAD. Antes temíamos haber sido espiados, pero ahora lo sabíamos, lo que por cierto es una sensación muy desagradable. Por algún motivo, este portal tuvo acceso a información de la inteligencia ecuatoriana. De hecho, pude encontrar en el sitio de Código Vidrio una foto donde estoy regresando a la oficina luego del almuerzo. ¿Por qué un portal tenía acceso a estas fotos? ¿Por qué nos estaban espiando?

Para finalizar

En este relato no he hablado de las irregularidades del caso, las audiencias fallidas, los robos a la oficina y otras situaciones desagradables que nos tocó vivir a la gente cercana a Ola; han sido tantas que se podría escribir un libro al respecto. Muchas veces nos enteramos de noticias en las redes sociales, tomamos partido y juzgamos. En esta ocasión, quería compartir un testimonio desde el lado humano de esta persecución y como cada situación similar tiene un impacto en muchas personas

Si bien soy un actor secundario de esta historia, la vivencia ha sido muy fuerte. No puedo imaginar como es estar en la situación de Ola, cuando desde el Estado y desde la prensa se lo ha hostigado con tanta saña.  

Solo espero que esta pesadilla termine pronto.

#CriptoAgosto: Nuevos ataques al cifrado

Mientras la sociedad civil brasileña celebra por segunda vez el #Criptoagosto, una invitación a defender y promover el uso de las tecnologías de cifrado, parece ser que las figuras del poder hacen un esfuerzo significativo por atacarlo.

¿De dónde nacen todas estas amenazas? Si revisamos noticias, vemos que la pugna ocurre paralelamente ante tribunales, en la discusión legislativa, en la pretensión de vigilancia y hasta en los planes comerciales globales de un fabricante de teléfonos a sobreprecio.

Hace un año comentábamos que se acercaba el fin de dos importantísimas causas judiciales críticas para la supervivencia de comunicaciones cifradas de punto a punto, pese a los discursos gubernamentales que lo asocian a la actividad criminal o exigen herramientas para desactivarlo. Existen todavía esfuerzos legislativos en Brasil, a nivel federal, que reflejan ese discurso a favor de la seguridad nacional o del orden público, a costa de la seguridad de las comunicaciones.

Al mismo tiempo, se mantenía una presión importante por desactivar las peores provisiones del proyecto de «Ley de fake news», que exigían la trazabilidad de las fuentes de los mensajes vitalizados en mensajería privada, aun tratándose de comunicaciones cifradas. Esta última amenaza no ha desaparecido: el artículo 10 de la propuesta aún significaría la exigencia de que los proveedores de aplicaciones de mensajería mantengan registros de «reenvíos masivos» de mensajes por tres meses, con el fin de trazar el origen de posibles fuentes de desinformación en redes de mensajes cifrados. Registros que incluirían no solo datos del mensaje, sino de quienes lo han reenviado con fecha y hora y número de receptoras.

Aunque el proyecto mantiene resguardos a favor del contenido de los mensajes y restricciones al acceso a los registros, sigue tratándose de un arma de vigilancia masiva en manos privadas: implica mantener un registro de los reenvíos al menos por 15 días en caso de que puedan convertirse en «reenvíos masivos» y, si lo son, cada mensaje registrado estará vinculado a cada usuaria que lo haya enviado o recibido. Con ese nivel de acceso a la información sobre la circulación del mensaje, el cifrado mismo se vuelve inútil.

Adicionalmente, encontramos el avance del Código de Procedimiento Penal, también objeto de atención de la sociedad civil para asegurar una mejor protección de los derechos fundamentales en la persecución criminal. La amenaza al cifrado se produjo mediante propuestas para incorporar mecanismos de intercepción de dispositivos y la explotación de vulnerabilidades, como medios para generar evidencia, lo que generó inmediato rechazo: la reforma amenazaba así con requerir la creación de puertas traseras y con legalizar la rotura del cifrado.

Aun cuando todo lo anterior estuviera restringido al debate jurídico y técnico, los intentos reales por comprometer la seguridad de los equipos también son parte de la historia reciente: hace algunos años el Citizen Lab identificó a Brasil como posible cliente de NSO Group; ahora un reporte señala que durante 2021 la empresa israelí participó de un proceso de licitación del Ministerio de Justicia y Seguridad Pública para la adquisición de Pegasus, para luego retirarse cuando se reportó que el hijo del presidente intervino en la negociación con la aparente intención de crear un aparato de inteligencia (y de vigilancia) paralelo a la institucionalidad de inteligencia actual.

Todo eso ocurre en momentos en que la búsqueda de alternativas —es decir, puertas traseras—para el acceso a comunicaciones y datos cifrados es defendida por las propias compañías fabricantes de equipos, con el objetivo loable de prevenir la circulación de material audiovisual de abuso sexual infantil. Pero las puertas traseras no sirven: comprometen la privacidad y la seguridad de todas las personas sin hacerse cargo del abuso real que ocurre más allá de pantallas y nubes de almacenamiento. Esta es la clase de medidas que abre aún más el apetito de los Estados por conocer el contenido de las comunicaciones de las personas, probablemente bajo los mismos discursos falaces sobre seguridad que se usan hasta para las peores conductas de vigilancia.

Con un panorama global tan complejo y tantas discusiones en curso dentro de Brasil, se hace más necesario que nunca que en los niveles local, regional y global exista mayor coordinación, no solamente de sociedad civil, sino de todas las partes interesadas en la promoción y la defensa del cifrado, la seguridad y la privacidad. Que el #CriptoAgosto brasileño sirva como motivación para avanzar en ello.