Temática: Seguridad digital

Nueva ley de delitos informáticos

Dentro de las próximas semanas Chile debiera contar con una nueva ley sobre delitos informáticos. La discusión del proyecto de ley Boletín 12192-25 que busca modificar la normativa vigente (Ley 19.223 que tipifica figuras penales relativas a la informática) está en su recta final.

Con la mayoría de su articulado ya aprobado queda pendiente que la Comisión Mixta —compuesta por senadores y diputados— termine de revisar aquellos artículos donde no hubo acuerdo en las etapas legislativas previas. Como es de esperarse, los pendientes implican los temas más polémicos: la criminalización de la investigación informática, y la modificación del Código Procesal Penal (CPP) para ampliar y flexibilizar algunas de las medidas investigativas más intrusivas de nuestro sistema. Entre ellas, se encuentra el artículo 219 del CPP sobre interceptación de las comunicaciones privadas.

La excusa del Convenio de Budapest para reducir el control de la actividad estatal

No cabe duda de que Chile necesita con urgencia una normativa adaptada a la realidad actual. A 30 años de la entrada en vigor de la ley 19.223 es una excelente noticia. Sin embargo, este proyecto ha servido de excusa para cambiar las reglas del CPP chileno en materia de técnicas de investigación de una manera que nada tiene que ver con el Convenio de Budapest, cuya implementación dio origen a este proyecto, como ya hemos explicado.   

A pretexto de combatir el ciberdelito, el proyecto busca reducir aquellos mecanismos que fueron diseñados para evitar el abuso de las medidas intrusivas de investigación, limitando las posibilidades de control democrático. Así, hemos llegado al absurdo que una cuestión tan relevante como normas procesales penales de aplicación general, puedan terminar siendo discutidas en forma incidental, como una cuestión accesoria, a pesar de tratarse de una materia que evidentemente requiere de una discusión particular.

Así como la separación de poderes es un elemento imprescindible de toda democracia, también lo es el control de su ejercicio. En este punto, el texto propuesto por el Senado contiene una propuesta extremadamente peligrosa: flexibiliza las herramientas para el uso de medidas investigativas profundamente intrusivas. Algunos ejemplos son el uso de agentes encubiertos, la interceptación de las comunicaciones, y ampliar las facultades de investigación a las policías.

En términos resumidos, el proyecto busca modificar la regla general bajo la cual funcionan la mayoría de los sistemas penales del mundo, incluido el chileno: la necesidad de contar con una autorización judicial previa. Además, si consideramos que la normativa contempla el secreto por tiempo ilimitado de estas actividades de investigación, sumado al histórico incumplimiento de la obligación de informar a las personas afectadas por una medida de interceptación de sus comunicaciones (cuando sea posible hacerlo), el resultado que tenemos es la entrega de un poder de intrusión ilimitado y descontrolado.

Por otra parte, preocupa la falta de claridad con que fue redactado el texto que busca reemplazar el actual artículo 219 del CPP, donde no queda claro cuáles serían los casos en que el Ministerio Público podría hacer uso de las facultades que le otorga la ley.

Investigación en seguridad informática

Otro de los aspectos polémicos del proyecto es la criminalización de la comunidad de seguridad informática. A pesar que el trabajo de los investigadores en seguridad informática es detectar vulnerabilidades e informarlas, de manera que los dueños de los sistemas de información puedan hacer los ajustes que sean necesarios, sobre ellos pesa el estigma ser “ciberdelincuentes” y mal llamados hackers. Además, en varias oportunidades son perseguidos por los propios beneficiados por su trabajo (quienes son informados sobre las vulnerabilidades) a quienes les resulta más cómodo perseguir al mensajero.

Pero no todo está perdido. El Congreso logró comprender la significación de esta importante labor, y al menos existiría consenso en establecer una eximente de responsabilidad penal para quienes realicen esta actividad en el contexto de una investigación académica de seguridad informática previamente registrada. En todo caso, sujeto a ciertas condiciones: que no haya mediado actuación policial, judicial o del Ministerio Público de ninguna especie; y que tanto el acceso como la vulnerabilidad informática detectada hayan sido reportadas al responsable del sistema informático y a la autoridad competente.

Desde Derechos Digitales creemos que, si bien esta consideración es un avance, no es suficiente. La investigación en seguridad informática es esencial para la detección y solución de brechas de seguridad: de lo contrario solo conoceremos vulnerabilidades una vez que sean explotadas por terceros. Por el contrario, las leyes que criminalizan la investigación informática suelen ser abusadas para perseguir a quienes investigan, ya sea por motivos políticos, o como reacción de las empresas privadas ante el impacto reputacional que significa que alguien revele sus brechas de seguridad, tal como se puede ver claramente en el informe elaborado por Access Now.

Por último, a quienes más perjudican este tipo de leyes es a las personas. Solo las grandes empresas cuentan con los medios económicos necesarios para poder costear investigadores privados que revisen sus sistemas constantemente. La actividad de la comunidad de seguridad informática permite a pequeñas empresas ser advertidas de la existencia de brechas, y reaccionar antes que su información y la de sus clientes sea expuesta. Acompañada de estrictos mecanismos de resguardo, una autorización amplia para la investigación en seguridad informática no debería generar problemas.

Llamado a rechazar la modificación del artículo 219

Un proyecto de ley que busca modificar la normativa penal debe ofrecer ciertas garantías mínimas para impedir el abuso de aquellas técnicas de investigación que resultan lesivas de derechos fundamentales.

Considerando que en la actualidad no contamos con un sistema que se haga cargo de todas las vulneraciones del debido proceso, al no tener capacidad para controlar el uso de las medidas en cuestión, ni conocimiento para la rendición de cuentas una vez que termina una entrega de información o una interceptación, pareciera que aumentar las hipótesis de medidas intrusivas de investigación sin control suficiente ex ante y ex post solo pone en mayor riesgo la institución del debido proceso y derechos sin los cuales es imposible pensar en una democracia: el derecho a la privacidad, a la protección de los datos personales y a la inviolabilidad de las comunicaciones privadas.

Por ello, creemos que cualquier reforma del CPP en este sentido requiere, ineludiblemente, una reforma transversal a las normas sobre entrega de datos personales y privacidad de las comunicaciones, y el establecimiento de fuertes sanciones para el uso abusivo de medidas como las propuestas, cuestión que solo es posible mediante una discusión de fondo.

Dado lo anterior, no parece prudente intentar regular una materia tan compleja como esta en forma anexa e incidental a un proyecto de ley que no se refiere específicamente al CPP. En el marco actual, ya han sido identificados diversos riesgos asociados al uso abusivo de este tipo de técnicas investigativas. Sumado a esto, la norma propuesta contraviene la regla general sobre principios básicos del proceso penal contenida en el artículo 9 de nuestro CPP, por lo que no parece prudente aumentar las facultades de las policías sin una revisión del sistema completo.  

Llamamos a rechazar la modificación del artículo 219, y dejar dicha discusión para una instancia en que se pueda analizar el tema con la dedicación necesaria, que englobe una mirada integral a nuestro sistema procesal penal, evitando introducir reglas contrarias al debido proceso.

Garantías mínimas

Con todo, para el caso de optar por insistir en la modificación del artículo 219, a lo menos debiesen tomarse los siguientes resguardos como un mínimo necesario:

  1. Necesidad de contar con autorización judicial, idealmente previa, pero al menos en forma posterior;
  2. Modificar la redacción del § 3 del artículo 219 propuesto, en orden a dar mayor claridad sobre los casos en que el Ministerio Público podría hacer uso de las facultades que se busca otorgarle;
  3. Establecer que toda orden que imponga la reserva de una medida investigativa debe señalar un límite del tiempo para dicha reserva;
  4. Establecer que, una vez cumplido el plazo indicado para la reserva de la medida investigativa, termine el deber de secreto que pesa sobre las empresas de telecomunicaciones, de manera que estas sean libres de notificar a sus usuarias, en los términos establecidos en el artículo 224 del CPP; y,
  5. Reforzar el deber de notificación al afectado por una medida de interceptación establecido en el referido artículo 224, de forma que el mismo sea efectivamente cumplido, pues no existen antecedentes que muestren que dicha norma esté siendo cumplida en la actualidad.

Por una internet descentralizada

WhatsApp es la plataforma utilizada en América Latina para los chats familiares, de estudios, de trabajo, para comercio y más. De repente, durante casi un día todas estas personas quedan incomunicadas. Seguramente habrá quiénes se alegraron por la paz de un día de desconexión. Sin embargo, para una parte no despreciable, dicho evento significó inconvenientes varios y posiblemente no cumplir sus actividades con normalidad.

A nivel mundial, WhatsApp sirve para comunicar a dos mil millones de personas, casi tres veces la población de América Latina. ¿Qué habría pasado si en lugar de caerse las plataformas de Meta, se hubieran caído Claro y Movistar? Seguramente esto habría sido un escándalo y estas empresas habrían sido multadas por los Estados de varios países y por no miles, sino millones de clientes. No es para menos: las telecomunicaciones son un recurso esencial en la sociedad actual. Además, consideremos que WhatsApp utiliza como estrategia el zero rating, es decir, no precisa comprar previamente un paquete de datos por lo que afecta especialmente a las personas con menor poder adquisitivo.

Se podría decir que “si no pagamos por el servicio tampoco podemos quejarnos”, pero la realidad es que sí pagamos cuando aceptamos que nuestros datos sean recolectados y analizados por estas empresas. Esta vez no hablaremos sobre privacidad, sino sobre la concentración de las comunicaciones en la red. Internet fue pensada originalmente como una red de redes. En la que, si una de estas redes fallaba, no se tenía un fallo a nivel global. Cada vez más internet ya no es una red de redes, sino una red de pocas redes dominadas por pocas empresas de Estados Unidos.

Muchos al ver la caída de WhatsApp decidieron cambiarse a plataformas como Telegram o Signal. Esto tampoco es una solución mientras Telegram y Signal no puedan hablar entre sí y con otros proveedores, de manera similar a como funciona el correo electrónico. Si existen varios proveedores que funcionen de forma interconectada va a ser más difícil generar una estructura de poder centralizada y fuerte que, tarde o temprano, será abusiva.

Es innegable que para el correo electrónico existen grandes proveedores como Gmail, Yahoo u Outlook.  De todas maneras, contamos con disposición de miles de servidores de correo electrónico provistos por empresas más pequeñas; autogestionados por empresas, organizaciones o individuos. No ha existido nunca una caída de correo electrónico como tal. Si bien en diciembre de 2020 se registró una falla de Gmail y otros servicios de Google (una importante: afectó a más de mil millones de personas) no implicó la suspensión de los servicios de todas las redes de correos electrónicos en el mundo.

El concepto de tener varios proveedores que se comunican entre sí es conocido como federación. Si el correo electrónico es un servicio federado, ¿por qué no pueden serlo los sistemas de mensajería instantánea? Esta pregunta se la planteó un grupo de técnicos a finales de los años noventa y trabajaron en lograr un estándar que permita la comunicación de varios servidores de chat para que se puedan comunicar entre sí. Así es que en octubre de 2004 nació la primera versión del protocolo XMPP (protocolo extensible de mensajería y comunicación de presencia, por su sigla en inglés) que desde entonces permite la mensajería instantánea federada.

Este protocolo con un nombre difícil de recordar fue adoptado de forma parcial por WhatsApp en sus inicios. Es más, WhatsApp no inició desde cero, sino que utilizó el popular sistema de software libre Ejabberd para brindar el servicio. La implementación de XMPP fue parcial, puesto que no implementaron la federación. Es decir, que, si bien la tecnología permitía interactuar de forma igual con otros sistemas, WhatsApp no la quiso implementar.

WhatsApp no fue la única empresa grande que apoyó sus sistemas de chat con el protocolo XMPP: el sistema Google Talk funcionó de manera federada entre los años 2005 al 2013. Durante ese periodo de tiempo, se podría chatear desde la interfaz web de Gmail con cualquier persona dentro de la red XMPP. Lamentablemente, para Google la interoperabilidad dejó de ser una prioridad, por lo que esta opción no se encuentra en funcionamiento.

Si es técnicamente posible que los sistemas de chat sean federados, ¿por qué los principales sistemas no lo son? A inicios de los años dos mil, antes de WhatsApp, era común el uso de SMS. En Ecuador, hasta octubre de 2004 era imposible enviar SMS entre diferentes operadoras celulares, pero esto cambió gracias a una regulación estatal, y fue un suceso tan importante que el primer SMS recibido entre operadoras fue realizado por el entonces presidente de la república.

No es necesario tener Gmail para enviar un correo a alguien que tiene cuenta en este servicio. No debería ser necesario tener WhatsApp para poder contactarse con alguien de esta red desde otra plataforma como Signal, Telegram o cualquier otra. En este artículo se habló sobre XMPP, pero hay otras tecnologías que permiten tener sistemas de chat federados, por ejemplo, Matrix, un estándar similar a XMPP que se viene desarrollando desde 2014.

Desde sus orígenes, las tecnologías detrás de internet han permitido tener una red descentralizada con muchas redes pequeñas que se comunican entre sí. En los últimos años, internet se ha convertido en un espacio centralizado donde pocas empresas controlan las comunicaciones de miles de millones de personas. Esto da demasiado poder a las empresas y les quita autonomía a las personas. Las soluciones técnicas no son suficientes: es necesario contar con políticas que obliguen a las plataformas a interactuar entre sí y con proveedores pequeños para que las personas decidan qué servicio quieren usar o, de ser el caso, implementarlo en su propia infraestructura.

¿Podemos reducir las barreras de participación?

En el Grupo de Trabajo de Ingeniería de Internet (o IETF por sus siglas en inglés) actualmente se discuten asuntos tan relevantes para los derechos humanos como la privacidad en el sistema de nombres de dominio (DNS) o la asignación aleatoria y cambiante de direcciones MAC (Media Access Control) de los dispositivos conectados, para proteger la identidad de las personas usuarias, entre otros.

Hace unos años empezamos a conocer y participar de este espacio, contribuyendo primero en el desarrollo de un documento sobre libertad de asociación en internet, y luego en otro sobre feminismo y protocolos. Y como señalábamos desde un comienzo, a pesar de ser una organización abierta, que funciona de manera horizontal y colaborativa, donde la participación es libre y se hace a título personal, y donde se busca alcanzar consensos manteniendo un ambiente de trabajo respetuoso e inclusivo, todavía encontramos muchas dificultades para compartir nuestras preocupaciones y necesidades, e incluso para vincularnos a los debates y procesos.

Sin embargo insistimos en participar, pues consideramos necesario fortalecer la gobernanza de la infraestructura, contribuyendo en espacios donde se toman decisiones técnicas. Y es que en la IETF se están buscando soluciones para problemas técnicos inmediatos, pero también se busca analizar cómo evolucionan los protocolos técnicos, para pensar las posibilidades del futuro de internet. Las discusiones allí son técnicas pero también son profundamente políticas; por ejemplo, cómo el fortalecimiento de la privacidad en ciertas tecnologías puede redundar en mayor centralización del mercado o cómo sistemas más complejos de cifrado pueden debilitar el anonimato de las personas usuarias.

Durante este tiempo nos hemos interesado en conocer y entender las distintas barreras de participación en este espacio, con el fin de buscar estrategias para reducirlas. Existe un borrador sobre diversidad e inclusión que ofrece una lista, pero aquí intentaremos señalar algunas. La primera y más evidente es el costo de participación, pues la IETF acostumbra reunirse tres veces al año, en Norteamérica, Europa y Asia respectivamente, y porque la inscripción al evento tiene un costo que puede ser alto incluso en dichas regiones. Aunque desde antes existía la posibilidad de participar de manera remota y sin costo, durante la pandemia por COVID-19 se mejoraron enormemente las posibilidades técnicas de participación remota, y se han venido estableciendo reglas para garantizar que las reuniones totalmente en línea sean no solo funcionales sino accesibles y satisfactorias.

Pero aún participando remotamente y sin costo, resulta muy complicado vincularse a las discusiones que tienen lugar en las listas de correo y en los distintos grupos de trabajo. Para quienes trabajamos en la intersección entre derechos humanos y tecnología, por ejemplo, puede ser útil conocer “Cómo funciona realmente internet” y que si bien ante cualquier conflicto IETF busca “favorecer a las personas usuarias finales”, en términos generales “los usuarios” de las tecnologías desarrolladas aquí son los operadores de redes y las empresas proveedoras de internet. También es útil conocer el “Tao. Guía para principiantes”, un documento explicativo sobre la estructura y procesos dentro de IETF que está traducido en siete lenguas, incluyendo el español

La lengua es una barrera que se extiende a todo el campo de las tecnologías de internet, pues las computadoras y la industria funcionan principalmente en inglés. Y específicamente en IETF, cualquier persona que quiera participar activamente de las discusiones abiertas debe no solo entender sino desenvolverse cómodamente en inglés. Por suerte hay personas dentro de la comunidad técnica en América Latina interesadas en traducir y contextualizar algunos asuntos relevantes, por ejemplo “Cómo leer un RFC” o el “Estado actual de los protocolos de seguridad de la IoT”. Pero falta mucho por analizar, discutir y contribuir desde nuestra región.

Hace un tiempo estuvimos en el programa IT-Women de Lacnic conversando al respecto y señalamos que, gracias a los datos existentes, es posible establecer que la participación desde regiones como América Latina o África, así como la participación general de mujeres, es muy marginal. Esto se evidencia en el reporte de la coordinación de IETF presentado en su más reciente plenaria, donde mostró que la participación sigue siendo predominantemente de Estados Unidos (38,9%), seguida de China (9,7%), Alemania (7,2%), Reino Unido (4,8%), Japón (3,9%), Canadá (3,6%), India (3,4%) y Francia (2,9%), y no se conocen datos desagregados por género, por ejemplo.

Estos datos no contradicen, sino que confirman, la brecha estructural de participación en entornos tecnológicos. Sin embargo, consideramos importante preguntarnos cuáles son los datos disponibles para construir estas estadísticas, ¿son suficientes? Frente a esta pregunta, desde hace tiempo hay una comunidad involucrada en los debates sobre protocolos y derechos humanos, trabajando en Big-Bang, una herramienta para el análisis de comunidades que desarrollan estándares y participan de la gobernanza de internet, a través del análisis estadístico, discursivo y de redes en las listas de correo. Este tipo de herramientas pueden servir para entender mejor quiénes y cómo están participando de las discusiones en IETF.

Pero, ¿de qué depende que esta situación cambie? Sabemos que en los entornos de diseño, producción y consumo de tecnologías digitales se manifiestan y re actualizan los problemas sociales estructurales, y que no es suficiente con transformar las tecnologías para transformar la sociedad. Sin embargo, también consideramos que traer otros casos de uso a la discusión, así como otras maneras de discutir y otros intereses (más allá de la estabilidad del mercado o la seguridad nacional, por ejemplo), es necesario para encaminarnos hacia una internet centrada en las personas y en nuestros derechos individuales y colectivos.

Incluso en América Latina, hace falta mucha reflexión sobre derechos humanos dentro las comunidades técnicas y entre las empresas operadoras y proveedoras de internet, como comentamos hace poco en el marco del Workshop PreIETF organizado por la Sociedad Brasilera de Computación. Creemos, sin embargo, que hay varios espacios donde se puede conocer e incidir en estos temas: el Public Interest Technology Group publica mensualmente un boletín (en inglés) con temas relevantes en materia de derechos humanos y protocolos; Lacnic cuenta con un programa cíclico de mentoreo IT Women (cuya inscripción cierra hoy 12 de novimebre); y está la lista de interés IETF-Lac donde es posible conversar sobre diversos temas de IETF, tanto en español como respecto a sus implicaciones en América Latina. Además, dentro de IETF está el Education, Mentoring and Outreach Directorate, que busca promover la diversidad e inclusión en la organización, y también está Systers, una lista de interés para mujeres que participan de IETF.

Desde Derechos Digitales seguiremos publicando al respecto, y estamos abiertas a contribuir con otras personas y organizaciones en la región interesadas en vincularse a esta discusión.

El Caso Ola Bini en primera persona

El 11 de abril de 2019, algunas horas después de que el presidente de Ecuador, Lenin Moreno, retirara el asilo político a Julian Assange, Ola Bini fue detenido cuando se disponía a iniciar un viaje a Japón planificado con meses de anticipación. María Paula Romo, entonces Ministra de Gobierno,  dijo en rueda de prensa: “Desde hace varios años vive en Ecuador uno de los miembros claves de Wikileaks y una persona cercana a Assange. Tenemos evidencia que ha estado colaborando con los intentos de desestabilización del gobierno”. Esa persona era Ola Bini.

Ese fue el inicio de una persecución que le costó a Ola setenta días en la carcel y que no ha terminado. Una vez fuera de prisión no recuperó su libertad: debe presentarse todos los viernes ante fiscalía, tiene prohibición de salir del país y es vigilado constantemente. Además, ha sido víctima de acoso mediático, donde se lo dibujó como un villano capaz de atacar cualquier sistema informático.

Una reciente investigación del portal digital La Posta, hace presumir que Ola Bini fue detenido porque la ministra Romo buscaba a un culpable para la filtración de INAPapers, que incluía correos electrónicos, chats, fotografías y otra información obtenida del teléfono del (ex) presidente Moreno. Según la investigación, se sabía que Ola no era la persona detrás de esta filtración, pero la ministra necesitaba un nombre que entregar al presidente.

Conozco a Ola desde 2013 y tuve el gusto de trabajar con él durante dos años en el Centro de Autonomía Digital – CAD. Este es el relato de su caso desde la perspectiva de alguien que estuvo cerca.

Antes de la Persecución

Ola Bini se mudó a Ecuador en 2013, cuando trabajaba en una empresa que abrió oficinas en Quito. Tuve el gusto de conocerlo ya que a los dos nos preocupaba la privacidad en internet y considerábamos que el software libre con criptografía es una herramienta esencial para las comunicaciones seguras.

Desde la empresa, el equipo liderado por Ola ya había realizado importantes trabajos en relación al desarrollo de herramientas libres para la protección de la privacidad. El cliente de chat seguro CoyIM es un ejemplo, pero también había colaborado con proyectos importantes como Tor, Tails, Enigmail y Let’s Encrypt, entre otros.

En 2017 se fundó el CAD, organización sin fines de lucro con oficinas en Sao Paulo, Brasil, enfocado en el desarrollo de herramientas libres para la protección de la privacidad. Fue durante 2019 cuando las oficinas se trasladan Quito y tuve el privilegio de ser una de las primeras personas en trabajar allí. En un mundo digitalizado, donde el derecho humano a la privacidad es vulnerado constantemente, tener una organización como el CAD en Ecuador es una oportunidad enorme. La creación de herramientas para la protección de la privacidad es importante, pero la formación de talento humano para la protección de la privacidad desde Ecuador lo es aún más.

El que iba a ser el trabajo de mis sueños pronto se convirtió en una pesadilla: nunca imaginamos que el Estado ecuatoriano nos atacaría de esa manera.

El arresto

El 11 de abril de 2019 revisé Twitter temprano en la mañana y vi que el presidente de Ecuador había publicado un video durante la madrugada, anunciando que Ecuador retiraba el asilo político a Julian Assange y lo entregaba a las autoridades de Londres. Ese día estuvimos pendientes de las noticias. Durante la mañana, el Canciller y la Ministra de Gobierno hablaron de “un miembro clave de Wikileaks” y de dos “hackers rusos” que pronto serían detenidos.

Los hackers rusos nunca aparecieron. En ese momento no sabíamos que Ola había sido detenido, pensábamos que estaba de viaje. De regreso en casa, escuché  a la ministra Romo en la radio, que dijo que el colaborador  de Wikileaks había sido detenido “cuando se disponía a escaparse al Japón”. “¡Ojalá no sea Ola!”, era lo único que pensaba. Por la noche recibí un mensaje de mi papá preguntando si conocía a “un tal Ola Bini”; los medios habían anunciado su detención en un caso relacionado con Julian Assange. En ese momento me entró el miedo, mucho miedo, como nunca antes lo había sentido.

Con esa información, las declaraciones de la Ministra adquirieron para mí un tono mucho más fuerte y :  “no vamos a permitir que Ecuador se convierta en un centro de piratería informática.” Ola Bini había sido detenido por supuestos intentos de desestabilización al gobierno y yo trabajaba con él. “¿Será que me van a investigar? ¿Van a ir a mi casa o a la oficina y nos van a allanar como a Ola?”, pensé, asustado.

Durante dos días casi no dormí y lo único que ingerí fue agua de Guayusa. La detención fue un jueves y desde el CAD se decidió trabajar desde casa, por miedo a que nos allanaran la oficina. No sé si fue buena o mala idea, pero aguantar lo que acontecía en soledad fue difícil. Tuve algunas llamadas vía Signal con colegas del trabajo, amigos y amigas, donde intentábamos entender qué pasaba y calmarnos los unos a los otros.

Esta sensación de miedo y estrés nos acompañó durante varios meses. Cuando sentíamos que las cosas se calmaban, venía un reportaje de prensa con un titular escandaloso que traía el temor de vuelta a nuestras vidas.

La prensa

Mi expectativa era que la prensa investigara, que la verdad saliera a la luz y así poder explicar a la ciudadanía lo que estaba sucediendo. No fue así. La prensa decidió hacer las relaciones públicas del gobierno y estigmatizar a Ola Bini. Dos ejemplos:

En agosto de 2019,  el Portal 4 Pelagatos publicaba:

“Fiscalía pudo ingresar al celular de Ola Bini. Esto pone en evidencia dos hechos: es un hacker que vino al país para trabajar con el gobierno de Correa y, dos, es un mentiroso que contó cuentos chinos a la opinión. 4P les trae la historia en exclusiva”. 

Esa fue una de las veces en las que se me heló la sangre.  “Ahora sí se acabó todo, pero ¿qué es lo que hizo Ola?” —pensé. Cuando leí el artículo, lo único relevante que pude entender fue que habían desbloqueado su teléfono y tenían información respecto al ingreso a los sistemas de la Corporación Nacional de Telecomunicaciones (CNT). Dos días después publicaron una famosa foto de la pantalla de Telnet, considerada por los periodistas como una la prueba irrefutable de que Ola habría ingresado a los sistemas informáticos de CNT. La EFF, organización experta en estos temas, realizó un análisis de la imagen publicada, donde explican claramente que nunca se ingresó al sistema.

La segunda historia sucedió algunos meses después. El 4 de marzo de 2020, el portal Código Vidrio publicó un reportaje titulado “El hacker Müller, cercano a Assange, se reunió en Quito con Ola Bini y capacitó a informáticos ecuatorianos.” Andy es un reconocido informático, experto en seguridad, defensor de derechos humanos y con quién tuve el honor de trabajar durante 2 años administrando la infraestructura del CAD. Éramos responsables del funcionamiento de nuestras herramientas de colaboración, correo electrónico y sitios web.

Además de la persecución de Andy y Ola por trabajar con Assange, me descolocó el hecho de saber que habíamos sido espiados durante la semana de Kickoff del CAD. Antes temíamos haber sido espiados, pero ahora lo sabíamos, lo que por cierto es una sensación muy desagradable. Por algún motivo, este portal tuvo acceso a información de la inteligencia ecuatoriana. De hecho, pude encontrar en el sitio de Código Vidrio una foto donde estoy regresando a la oficina luego del almuerzo. ¿Por qué un portal tenía acceso a estas fotos? ¿Por qué nos estaban espiando?

Para finalizar

En este relato no he hablado de las irregularidades del caso, las audiencias fallidas, los robos a la oficina y otras situaciones desagradables que nos tocó vivir a la gente cercana a Ola; han sido tantas que se podría escribir un libro al respecto. Muchas veces nos enteramos de noticias en las redes sociales, tomamos partido y juzgamos. En esta ocasión, quería compartir un testimonio desde el lado humano de esta persecución y como cada situación similar tiene un impacto en muchas personas

Si bien soy un actor secundario de esta historia, la vivencia ha sido muy fuerte. No puedo imaginar como es estar en la situación de Ola, cuando desde el Estado y desde la prensa se lo ha hostigado con tanta saña.  

Solo espero que esta pesadilla termine pronto.

#CriptoAgosto: Nuevos ataques al cifrado

Mientras la sociedad civil brasileña celebra por segunda vez el #Criptoagosto, una invitación a defender y promover el uso de las tecnologías de cifrado, parece ser que las figuras del poder hacen un esfuerzo significativo por atacarlo.

¿De dónde nacen todas estas amenazas? Si revisamos noticias, vemos que la pugna ocurre paralelamente ante tribunales, en la discusión legislativa, en la pretensión de vigilancia y hasta en los planes comerciales globales de un fabricante de teléfonos a sobreprecio.

Hace un año comentábamos que se acercaba el fin de dos importantísimas causas judiciales críticas para la supervivencia de comunicaciones cifradas de punto a punto, pese a los discursos gubernamentales que lo asocian a la actividad criminal o exigen herramientas para desactivarlo. Existen todavía esfuerzos legislativos en Brasil, a nivel federal, que reflejan ese discurso a favor de la seguridad nacional o del orden público, a costa de la seguridad de las comunicaciones.

Al mismo tiempo, se mantenía una presión importante por desactivar las peores provisiones del proyecto de «Ley de fake news», que exigían la trazabilidad de las fuentes de los mensajes vitalizados en mensajería privada, aun tratándose de comunicaciones cifradas. Esta última amenaza no ha desaparecido: el artículo 10 de la propuesta aún significaría la exigencia de que los proveedores de aplicaciones de mensajería mantengan registros de «reenvíos masivos» de mensajes por tres meses, con el fin de trazar el origen de posibles fuentes de desinformación en redes de mensajes cifrados. Registros que incluirían no solo datos del mensaje, sino de quienes lo han reenviado con fecha y hora y número de receptoras.

Aunque el proyecto mantiene resguardos a favor del contenido de los mensajes y restricciones al acceso a los registros, sigue tratándose de un arma de vigilancia masiva en manos privadas: implica mantener un registro de los reenvíos al menos por 15 días en caso de que puedan convertirse en «reenvíos masivos» y, si lo son, cada mensaje registrado estará vinculado a cada usuaria que lo haya enviado o recibido. Con ese nivel de acceso a la información sobre la circulación del mensaje, el cifrado mismo se vuelve inútil.

Adicionalmente, encontramos el avance del Código de Procedimiento Penal, también objeto de atención de la sociedad civil para asegurar una mejor protección de los derechos fundamentales en la persecución criminal. La amenaza al cifrado se produjo mediante propuestas para incorporar mecanismos de intercepción de dispositivos y la explotación de vulnerabilidades, como medios para generar evidencia, lo que generó inmediato rechazo: la reforma amenazaba así con requerir la creación de puertas traseras y con legalizar la rotura del cifrado.

Aun cuando todo lo anterior estuviera restringido al debate jurídico y técnico, los intentos reales por comprometer la seguridad de los equipos también son parte de la historia reciente: hace algunos años el Citizen Lab identificó a Brasil como posible cliente de NSO Group; ahora un reporte señala que durante 2021 la empresa israelí participó de un proceso de licitación del Ministerio de Justicia y Seguridad Pública para la adquisición de Pegasus, para luego retirarse cuando se reportó que el hijo del presidente intervino en la negociación con la aparente intención de crear un aparato de inteligencia (y de vigilancia) paralelo a la institucionalidad de inteligencia actual.

Todo eso ocurre en momentos en que la búsqueda de alternativas —es decir, puertas traseras—para el acceso a comunicaciones y datos cifrados es defendida por las propias compañías fabricantes de equipos, con el objetivo loable de prevenir la circulación de material audiovisual de abuso sexual infantil. Pero las puertas traseras no sirven: comprometen la privacidad y la seguridad de todas las personas sin hacerse cargo del abuso real que ocurre más allá de pantallas y nubes de almacenamiento. Esta es la clase de medidas que abre aún más el apetito de los Estados por conocer el contenido de las comunicaciones de las personas, probablemente bajo los mismos discursos falaces sobre seguridad que se usan hasta para las peores conductas de vigilancia.

Con un panorama global tan complejo y tantas discusiones en curso dentro de Brasil, se hace más necesario que nunca que en los niveles local, regional y global exista mayor coordinación, no solamente de sociedad civil, sino de todas las partes interesadas en la promoción y la defensa del cifrado, la seguridad y la privacidad. Que el #CriptoAgosto brasileño sirva como motivación para avanzar en ello.

El padrón del mal: irregularidades, inconstitucionalidad y vigilancia estatal de los datos telefónicos

Cómo en las películas de terror, el pasado 18 de mayo revivió de forma inesperada y con urgencia inmediata decretada por el presidente un proyecto de ley que dormía en el Congreso desde su nacimiento, en agosto de 2018.

Se trata del Boletín n° 12.042-15 que modifica la ley N° 18.168, General de Telecomunicaciones, en materia de individualización y registro de datos de los usuarios de servicios de telefonía en la modalidad de prepago. La idea del proyecto es la creación de un padrón de usuarios para combatir la delincuencia, imitando un método que ha fracasado a nivel mundial y que en algunos casos incluso ha empeorado la situación: en México el primer padrón tuvo que ser eliminado en 2011, después de la vulneración y venta en el mercado negro de la base de datos, lo que vino acompañado del aumento de los delitos de extorsión y de secuestro (+40% y +8% respectivamente. Para más información sobre el nuevo padrón en México, revisar aquí).

Una tramitación acelerada y desequilibrada

Tan pronto resucitó, el proyecto se puso en tabla para su discusión parlamentaria. Una semana después la Comisión de obras públicas de la Cámara de Diputados estaba sesionando para su votación, aunque finalmente se haya acordado postergarla con el objeto de escuchar previamente algunas exposiciones.

En sesión del 15 de junio expuso la Policía de Investigaciones, el Ministerio Público y la Subsecretaría de Telecomunicaciones, y se acordó gestionar la postergación de la Urgencia de discusión inmediata para escuchar también a la Subsecretaría de Prevención del Delito y al OS9 de Carabineros de Chile.

Hasta aquí, ningún representante de la academia o de la sociedad civil había sido invitada a participar de la discusión. Y como en pedir no hay engaño, los partidarios del proyecto aprovecharon la oportunidad para hacer particulares requerimientos.

En su primera exposición ante la Comisión, el Jefe Nacional de Delitos Económicos y Medio Ambiente hizo tres requerimientos, para su incorporación al proyecto de ley en discusión:

  • Uso de un sistema de autentificación biométrico en línea, proponiendo para ello el uso de las bases de datos del Registro Civil.
  • Un padrón de celulares, mediante el registro de su número IMEI (International Mobile Equipment Identity).
  • Reducir el tiempo dispuesto en el proyecto para su entrada en vigencia, de 2 años a 6 meses.

En cuanto a las dificultades económicas asociadas a propuestas de este tipo, señaló que ello se resolvía mediante el traspaso de sus costos y en cuanto al problema que se suscitaría para la población migrante que no cuenta con documentos de identificación, valoró que ello obligaría a los inmigrantes a acreditar su situación migratoria. De los problemas de proporcionalidad e inconstitucionalidad de este tipo de padrones y tecnologías de vigilancia, ni una sola palabra.

Un acto de fe

El 29 de junio se llevó a cabo una nueva sesión, la que por fin contó con la participación de una voz crítica. Daniel Álvarez Valenzuela, académico de la Facultad de Derecho de la Universidad de Chile, fue el encargado de mostrar la otra cara del proyecto.

El académico e investigador expuso sobre los problemas de ciberseguridad, proporcionalidad e inconstitucionalidad de la medida y sobre la ausencia de un marco normativo adecuado para asegurar que el pretendido registro termine sirviendo a intereses distintos a los tenidos en vista por el legislador en su proyecto. Además, y en caso de que la Comisión quisiera seguir avanzando con el proyecto a pesar de estas advertencias, planteó la necesidad de incorporar un sistema de responsabilidades y fuertes sanciones que prevengan y castiguen el mal uso de este tipo de medidas.

La reacción de las policías no se hizo esperar: criticaron la desconfianza, desmintieron la necesidad de contar con este tipo de sanciones y llamaron a confiar en las instituciones. Pero en un país donde el ejército espía a periodistas por investigar casos de corrupción y las policías realizan montajes burdos y vigilan sindicatos, organizaciones sociales como la Red Chilena Contra la Violencia hacia la Mujer, e incluso a la Agrupación Nacional de Empleados Públicos (ANEF), lo que piden, más que un acto de confianza, es un acto de fe.

Test de Proporcionalidad

Pero más allá de la confianza que podamos tener o no en nuestras instituciones, el proyecto no cumple con ninguno de los tres criterios del test de proporcionalidad que, conforme estándares internacionales, debiese cumplir cualquier medida susceptible de afectar derechos o garantías fundamentales: idoneidad, necesidad y proporcionalidad.

La medida no es idónea para alcanzar los objetivos propuestos, por cuanto existen otras formas de cometer delitos en el anonimato y la experiencia comparada ha demostrado que iniciativas similares no han logrado disminuir el tipo de delitos que se propone combatir. Tampoco resulta necesaria, según reconoció la misma PDI al señalar, en sesión legislativa del 15 de junio, que existen otros medios para lograr identificar a los delincuentes, pero que la medida en cuestión lo haría “mucho más fácil”. Y en ningún caso resulta proporcional, al implicar el sacrificio del derecho al anonimato de todos los chilenos, con la única finalidad de poder identificar —en el mejor de los casos—a un grupo de personas que representa el 0,05% de la población.

Así, el registro de usuarios de telefonía móvil que se discute en el Congreso tiene serios vicios de constitucionalidad y no cumple con ninguno de los tres criterios del test de proporcionalidad. Por si lo anterior no fuera suficiente, en el último tiempo se han registrado suficientes casos de vigilancia estatal como para comprender el peligro que significa una medida de este tipo en un país cuya infraestructura y normativa no entregan siquiera garantías mínimas para su uso restringido, seguro y adecuado.

En síntesis, existen razones de sobra para sostener que un registro como el propuesto no debiese existir y mucho menos incorporar tecnologías que, lejos de protegernos, entrega al Estado capacidades que menoscaban nuestros derechos.

Vivir internet siendo queer: Autoexpresión, comunidad y problemáticas

En un grupo de Facebook cerrado alguien escribe para consultar por dudas legales. Cuenta que quiere cambiarse el nombre registral y que le gustaría acceder a una mastectomía. Comenta que se siente cómode con pronombres femeninos y masculinos, pero plantea lo siguiente: “¿Algune lo ha hecho siendo no binarie? ¿Cómo ha solucionado el tema con su nombre?”. Les participantes del grupo dan consejos amables.

Este tipo de situaciones se replica en otras redes, es un intercambio que ocurre en algunos barrios de TikTok cuando alguien muestra un binder –prenda de ropa interior usada para comprimir el pecho–, y en los comentarios se leen recomendaciones de cómo usarlos y dónde conseguirlos. A pesar de que internet es un espacio en que la comunidad LGBTQIA+ puede apoyarse para construir confianzas (a veces complejas de emular en el mundo físico), la estructura de los servicios web, es limitada porque no considera una diversidad más allá de lo binario y reproducen problemas de la vida offline. Tanto al llenar formularios de inscripción en las que se consideran género masculino o femenino únicamente, o al intentar editar tu nombre visible, entre otras. 

Antes de reconocerme como una persona queer, sentía miedo de ser aceptada. Primero por mi familia, entre mis amigues, en mi trabajo y de igual modo en internet. ¿He sentido miedo de exponer que me identifico como parte de las disidencias sexuales y de género en redes sociales? Sí. ¿He temido por mi seguridad en la vía pública por expresar mi orientación de género o por manifestar mi sexualidad de forma libre? Sí. Con el paso del tiempo, aprendí a desenvolverme con más confianza, porque existo todo el año (no solo en junio) y estoy orgullosa de amar y ser amada. 

Una vez que se toma conciencia de la interseccionalidad de las problemáticas que aquejan a la comunidad LGBTQIA+, es posible entender que el mundo online no está exento de una mirada heterocispatriacal, donde en términos género prima lo masculino y lo femenino, pero también la heteronorma obviando otras identidades. Lo vemos en las grandes compañías de servicios de internet, que acaparan la mayor cantidad de tráfico, como Facebook, Google y terminan dominando las interfaces y algoritmos de los dispositivos que excluyen otras experiencias.

Entonces, ¿qué podemos exigir a las tecnologías para visibilizar, incluir y proteger las experiencias de la comunidad LGBTQIA+? ¿qué problemáticas, riesgos, amenazas, existen? y ¿qué posibilidades ofrece internet para nuestras vivencias? Estas son algunas reflexiones.

Búsqueda de espacios seguros

Según un estudio de discriminación y violencia hacia personas LGBTQIA+ (2020) de la Dirección de Estudios Sociales (DESUC) para la Subsecretaria de Prevención del Delito de Chile, un 89% de les encuestades dijo haber sufrido algún tipo de discriminación en su vida. Más de un 38% de les encuestades ha sido víctima de algún “delito cibernético, como hostigamiento por redes sociales”, y más de un 22% declaró que este tipo de vulneraciones habría ocurrido en el último año. 

En un intento por averiguar la visión de mis seguidores en Instagram, hice una encuesta a través de historias para conversar acerca de la forma en que las personas queer habitamos internet. Spoiler: la vida online no difiere mucho de la vida offline. 

A pesar de las posibilidades de conectarnos y construir espacios seguros, hay quienes se enfrentan a violencias en el entorno digital, como acoso digital, doxing, la proliferación de discursos transodiantes, descalificaciones por lesbodio o biodio, cuestionamientos y ataques a la visibilidad a diario. En este contexto, es pertinente citar el estudio de la Agrupación Lésbica Rompiendo el Silencio, tras la agresión que sufrió Carolina Torres en Chile en 2019. En el caso de Estados Unidos, esta temática se advierte en el Índice de seguridad en redes sociales de la Alianza de Gays y Lesbianas contra la difamación (GLAAD). Es por eso que es relevante exigir la urgencia de la moderación de contenidos en las plataformas digitales, para combatir ejércitos de trolls, evitar que proliferen discursos odiantes, que se siembre la desinformación, o la viralización de mitos en torno a las disidencias. 

Al momento de configurar las biografías de Twitter, Instagram, aplicaciones de citas o plataformas, incluir o no el emoji de la banderita LGBTQIA+, compartir fotos o usar ciertos hashtags puede involucrar lidiar con ansiedades debido a la exposición. En ocasiones, es una forma de autoexpresión, una reafirmación y, así mismo, una forma de encontrarse, pero también un riesgo que muches no quieren correr. Si bien la visibilidad puede ser una opción, pero no una obligación como pretenden las plataformas web. Es necesario entender el derecho al anonimato como una forma de tener control sobre esa visibilidad. 

Entre los testimonios que recopilé (en su mayoría identidades lésbicas, no binarias  y bisexuales), hubo una lesbiana que dijo que tras googlear “lesbiana”, la llevaron a una psicóloga para que se rehabilitara. Según su relato, encontrar espacios en internet antes de 2008 era complicado, pero logró dar con un foro en el conoció a sus primeras parejas. Otra persona, cuyos pronombres son ella/elle, aseguró que cuando era niña todas las actividades las realizaba en soledad. Escuchaba programas de radios gays a escondidas, antes que existieran los podcasts. “Ahora se pueden hacer redes de una forma muy sencilla y bonita. Es fácil encontrar a alguien que esté pasando por lo que tú, nunca estás sola”, escribió. Alguien bisexual comentó que se siente fuera del closet con amigues, en su entorno laboral, pero que no así con su familia. Aunque cree que en los últimos años gracias a infografías en Instagram, ahora hay más bi-visibilidad.

Otras problemáticas

Cuando hablamos de internet, las brechas de acceso y conectividad son una clara barrera. De acuerdo a cifras de la Alliance for Affordable Internet, a nivel mundial cerca de 4 mil millones de personas no cuentan con conexión. La dificultad para mantenerse conectade en algunas latitudes se suma a bloqueos de internet, a censura y respuestas desde violencias a multas por difusión de contenido LGBTQIA+ .

Así como hablamos de identidad y representación, también vale la pena mencionar otros obstáculos que tienden a la exclusión, relacionados al abordaje de políticas públicas. Así se documenta en “Sistemas de identificación y protección social en Venezuela y Bolivia: Impactos de género y otras formas de discriminación”. Este reporte de Derechos Digitales, plantea cómo los sistemas biométricos afectan de forma directa a mujeres y población LGBTQIA+, familias homoparentales y en mayor medida a personas transgénero. No solo en cuanto a derechos a la identidad, a la privacidad de datos, si no también afecta directamente el acceso a ítems de desarrollo social como el acceso a la alimentación, la salud, la integridad y la dignidad, entre otros. 

No es un secreto que en lo que respecta al uso de tecnologías de reconocimiento facial, las que se vuelven más cada vez más cotidianas, solemos tenerlas a mano, pero también se utilizan a nivel de gobiernos e incluso en aeropuertos. El principal problema es que se construyen en base a sesgos de diseño, que discriminan a la población no hegemónica y entran en conflicto aspectos como género y raza, según reportes de Coding Rights en Latinoamérica. 

En un mundo en que cada vez más la tecnología determina cómo se organiza la sociedad, los sesgos en los sistemas como tecnologías automatizadas, inteligencia artificial, o en base a algoritmos, moldean y disciplinan las identidades a partir de los cuerpos. Esto determina qué corporalidades están permitidas, y cuáles no, dejando fuera a personas trans, o no binarias. Así, la forma de subvertir las estructuras vigentes, es cambiarlo todo, o en palabras de Audre Lorde: “las herramientas del amo nunca desmantelarán la casa del amo”. Desde ahí, la concepción del diseño es la clave para abolir las desigualdades entre grupos excluidos, con el objetivo de co-crear herramientas y prácticas de transformación social, tal como explica Sasha Costanza-Chock en Design Justice.

Ante las diversas problemáticas vigentes, el escenario se vuelve complejo y desesperanzador. Pero a pesar de los obstáculos, decido creer en un futuro más auspicioso, que se construirá únicamente de la mano de una perspectiva feminista interseccional, que busque hackear los parámetros que limitan las posibilidades de ser de las personas. 

Para ello, es vital construir espacios seguros, en el mundo online y en el offline, que nos permitan aprender y encontrarnos. Identificando problemas, documentando violencias, visibilizando nuestras vivencias y liderando conversaciones, a fin de descolonizar el impacto de las estructuras que han sido gestadas desde la mirada del hombre blanco y heterocis. 

La persecución de Ola Bini: ¿el inicio del fin?

Hace casi dos años, cuando no había ni pandemia ni contagios por un nuevo y letal coronavirus, cuando varios países de la región parecían no ver venir protestas masivas en las calles, Ola Bini fue arrestado en Ecuador. Fue puesto en prisión por diez semanas y sus equipos tecnológicos fueron incautados, en busca de evidencia de los delitos que supuestamente justificaban el arresto. Casi dos años después, sin todavía lograr la libertad.

Recapitulando: el activista y desarrollador de origen sueco Ola Bini fue detenido en abril de 2019 en Ecuador, por su supuesta participación en una red de espionaje digital para desestabilizar al gobierno ecuatoriano. El arresto ocurrió muy poco después de la expulsión de Julian Assange de la embajada ecuatoriana en Londres, y después de que la ministra del interior alertara sobre intentos de «desestabilización del gobierno» por «hackers rusos» y gente afiliada a Wikileaks. Ataque del que aún no se conocen más antecedentes más allá de ese mismo anuncio.

Los (entonces) relatores especiales para la libertad de expresión de la ONU y de la CIDH solicitaron información desde el gobierno ecuatoriano, pero la persecución no cesó. Como hemos denunciado junto a otras organizaciones desde 2019, existe una serie de situaciones alarmantes en torno al arresto y la detención de Bini, siendo la más relevante la insistencia en la persecución penal en su contra, a pesar de la notoria falta de justificación suficiente. Es decir, no existen antecedentes suficientes ni para la inicial acusación de ser parte de una red de espionaje digital, ni de otras de “defraudación fiscal” o “tráfico de influencias”, manteniéndose hasta hoy una investigación con características de persecución política.

Una oportunidad de poner fin a las alegaciones surgió en diciembre de 2020, en una audiencia preparatoria al juicio por «acceso no consentido» a un sistema informático, con una única captura de pantalla. Sin embargo, tampoco ahí terminó la persecución. Es más, organizaciones como la Electronic Frontier Foundation y Amnistía Internacional fueron impedidas de participar como observadoras en la audiencia. El esfuerzo de la defensa por demostrar la violación de los derechos de Bini durante la investigación, en una exposición de cuatro horas de su abogado, tampoco fue suficiente en esa ocasión. El proceso fue así validado para continuar y la audiencia fue suspendida otra vez antes de la decisión de comenzar el juicio propiamente tal.

A la espera de que la audiencia se retome, para continuar la preparación hacia un juicio y la evidencia admisible, nuestra preocupación por el caso sigue vigente. Porque no está en juego solamente la situación judicial de una persona, sino la noción misma de debido proceso. Está en juego la confianza en los procesos institucionalizados para determinar con imparcialidad. Y, mirando con cuidado a antecedentes con componentes técnicos complejos, si es que hay sustento para la persecución de una persona, por encima de cualquier presión política. Está en juego la superación de los discursos que asocian la seguridad digital a la sospecha y la criminalidad. Está en juego el ejercicio de los derechos fundamentales en línea, incluidos no solo la privacidad y la libertad de expresión, sino también la investigación de seguridad y la promoción de herramientas de protección de comunicaciones y dispositivos. Seguimos observando el caso, porque queremos que liberen a Ola Bini.

Sobre la (in)violabilidad de las comunicaciones

El derecho a la inviolabilidad de las comunicaciones privadas es un derecho fundamental contemplado en las principales convenciones internacionales sobre derechos humanos. En Latinoamérica, la mayoría de sus países reconoce a nivel constitucional la inviolabilidad de las comunicaciones como un derecho fundamental y que, por tanto, solo puede ser suspendido en casos excepcionales y bajo las condiciones establecidas en una ley. O, al menos, así debería ser.

Los estudios, sin embargo, muestran que el uso de medidas investigativas intrusivas de la privacidad de las personas, entre ellas, la interceptación de las comunicaciones, es una práctica que está lejos de ser excepcional.

Interceptación de las comunicaciones

Dado su carácter de derecho fundamental, la regla general es que el derecho a la inviolabilidad de las comunicaciones solo pueda ser limitado en los casos y bajo las circunstancias establecidas expresamente por ley, lo que se da, generalmente, en el marco de investigaciones penales o por motivos de seguridad del Estado.

Adicionalmente, estas medidas intrusivas suelen ir acompañadas por algunos mecanismos de control para evitar su principal riesgo: que terminen siendo ocupadas como herramientas de vigilancia estatal, especialmente en contra de ciudadanos y disidentes del gobierno de turno. Esto no es conspiranoia, la protección de las comunicaciones privadas frente a la vigilancia estatal se remonta a varios años en el pasado, siendo uno de los primeros antecedentes el caso de Giuseppe Mazzini, activista por la unificación italiana que descubrió que agentes estatales leían sus cartas.

Mecanismos de control de la vigilancia estatal

El principal mecanismo de control es la autorización judicial previa, pero algunos países han ido un poco más allá. Por ejemplo, en el caso de Brasil, una vez realizada la diligencia de interceptación, el juez debe decidir si los resultados son relevantes para la investigación. Otro caso interesante es el de Chile, cuya legislación exige, además de la autorización judicial previa, que la medida de interceptación sea notificada al afectado con posterioridad a su realización (artículo 224 del CPP). Sin embargo, la evidencia indica que los mecanismos de control existentes no son suficientes.

En el caso chileno, el mecanismo judicial ha mostrado ser mucho menos estricto de lo que debiera. De acuerdo a números recientes, se realizan alrededor de 66 interceptaciones diarias, por lo que es difícil que jueces estén analizando el mérito de las solicitudes. Estas  solo debieran ser autorizadas bajo sospechas fundadas, basadas en hechos determinados, y para persecución de delitos que merezcan pena de crimen). En cuanto a la notificación del artículo 224, tampoco se cumple.

Actualmente el único mecanismo fiable de control que existe para comprobar cómo funcionan las interceptaciones del CPP es la entrega voluntaria que las principales empresas de telecomunicaciones realizan de datos anonimizados, lo que ha permitido evidenciar los problemas del sistema.

Pero el proyecto de ley sobre delitos informáticos pondría en riesgo este último mecanismo, al aumentar la sanción que arriesgan las empresas en caso de incumplir el deber secreto respecto de los requerimientos de interceptación que reciben. Con las nuevas reglas, bajo la amenaza de una sanción penal – hoy, multa administrativa-, difícilmente las empresas querrán colaborar con instancias de control ciudadano, como la encuesta Quién Defiende Tus Datos.

Una explicación posible para la falta de cumplimiento de esta obligación legal es la falta de capacidades técnicas para realizar las notificaciones exigidas por la ley. De ser este el caso, la dificultad podría ser fácilmente solucionada con la ayuda de las mismas empresas de telecomunicaciones que reciben las órdenes de interceptación.

Estas empresas fácilmente podrían comunicar a sus usuarios el hecho de haber sido objeto de escuchas telefónicas, una vez terminado el plazo de la investigación. Pero actualmente están impedidas de hacerlo. Esto, porque mientras no se formalice la investigación en su contra, el usuario afectado por una escucha telefónica no tiene calidad de interviniente en el proceso penal y, por tanto, el deber de secreto que pesa sobre las empresas de telecomunicaciones alcanza al propio usuario afectado. Esto último, por aplicación del secreto relativo del proceso penal chileno: las investigaciones del Ministerio Público sólo pueden ser conocidas por los intervinientes del proceso (artículo 182 CPP), es decir, fiscal, imputado, defensor, víctima y querellante (artículo 12 CPP).

¿Significa esto que las personas afectadas por interceptaciones no tienen derecho a saberlo? En ningún caso. El artículo 224 establece el deber de notificar al “afectado”, no al “interviniente”. Pero la falta de mecanismos de control eficaces y el desconocimiento de los afectados por esta clase de medidas permite que las mismas sean abusadas, llegando a usarse incluso para la creación de pruebas. Lo anterior es particularmente grave, considerando que ni siquiera el Congreso ha logrado que el Ministerio Público informe sobre el cumplimiento de sus obligaciones legales.

La solución

Dado que el Ministerio Público no está cumpliendo con el deber de notificación del artículo 224, y que se niega a entregar información al respecto, en una sesión reciente de la Cámara de Diputados de Chile, donde se discute el proyecto de ley sobre delitos informáticos, se propuso un mecanismo de control que pareciera ser una solución eficaz y eficiente: que sean las telcos las que cumplan con el referido deber de notificación.

Sin embargo, tanto los representantes del Ministerio del Interior y Seguridad Pública como del Ministerio Público se opusieron a la medida, sin ofrecer una alternativa, aún cuando durante la misma sesión admitieron no estar cumpliendo con la obligación legal de notificar al afectado.

Ante la falta de soluciones alternativas, lo razonable sería que se volviera a discutir la que, hasta ahora, pareciera ser la única solución efectiva.

Ni conspiranoia ni exageración. No necesitamos viajar cientos de años en el tiempo, recordando a Mazzini para justificar nuestra preocupación. Basta pensar en Edward Snowden, cuyo caso – lejos de ser el único- permitió develar la extensión de la vigilancia estatal.