Temática: Seguridad digital

El padrón del mal: irregularidades, inconstitucionalidad y vigilancia estatal de los datos telefónicos

Cómo en las películas de terror, el pasado 18 de mayo revivió de forma inesperada y con urgencia inmediata decretada por el presidente un proyecto de ley que dormía en el Congreso desde su nacimiento, en agosto de 2018.

Se trata del Boletín n° 12.042-15 que modifica la ley N° 18.168, General de Telecomunicaciones, en materia de individualización y registro de datos de los usuarios de servicios de telefonía en la modalidad de prepago. La idea del proyecto es la creación de un padrón de usuarios para combatir la delincuencia, imitando un método que ha fracasado a nivel mundial y que en algunos casos incluso ha empeorado la situación: en México el primer padrón tuvo que ser eliminado en 2011, después de la vulneración y venta en el mercado negro de la base de datos, lo que vino acompañado del aumento de los delitos de extorsión y de secuestro (+40% y +8% respectivamente. Para más información sobre el nuevo padrón en México, revisar aquí).

Una tramitación acelerada y desequilibrada

Tan pronto resucitó, el proyecto se puso en tabla para su discusión parlamentaria. Una semana después la Comisión de obras públicas de la Cámara de Diputados estaba sesionando para su votación, aunque finalmente se haya acordado postergarla con el objeto de escuchar previamente algunas exposiciones.

En sesión del 15 de junio expuso la Policía de Investigaciones, el Ministerio Público y la Subsecretaría de Telecomunicaciones, y se acordó gestionar la postergación de la Urgencia de discusión inmediata para escuchar también a la Subsecretaría de Prevención del Delito y al OS9 de Carabineros de Chile.

Hasta aquí, ningún representante de la academia o de la sociedad civil había sido invitada a participar de la discusión. Y como en pedir no hay engaño, los partidarios del proyecto aprovecharon la oportunidad para hacer particulares requerimientos.

En su primera exposición ante la Comisión, el Jefe Nacional de Delitos Económicos y Medio Ambiente hizo tres requerimientos, para su incorporación al proyecto de ley en discusión:

  • Uso de un sistema de autentificación biométrico en línea, proponiendo para ello el uso de las bases de datos del Registro Civil.
  • Un padrón de celulares, mediante el registro de su número IMEI (International Mobile Equipment Identity).
  • Reducir el tiempo dispuesto en el proyecto para su entrada en vigencia, de 2 años a 6 meses.

En cuanto a las dificultades económicas asociadas a propuestas de este tipo, señaló que ello se resolvía mediante el traspaso de sus costos y en cuanto al problema que se suscitaría para la población migrante que no cuenta con documentos de identificación, valoró que ello obligaría a los inmigrantes a acreditar su situación migratoria. De los problemas de proporcionalidad e inconstitucionalidad de este tipo de padrones y tecnologías de vigilancia, ni una sola palabra.

Un acto de fe

El 29 de junio se llevó a cabo una nueva sesión, la que por fin contó con la participación de una voz crítica. Daniel Álvarez Valenzuela, académico de la Facultad de Derecho de la Universidad de Chile, fue el encargado de mostrar la otra cara del proyecto.

El académico e investigador expuso sobre los problemas de ciberseguridad, proporcionalidad e inconstitucionalidad de la medida y sobre la ausencia de un marco normativo adecuado para asegurar que el pretendido registro termine sirviendo a intereses distintos a los tenidos en vista por el legislador en su proyecto. Además, y en caso de que la Comisión quisiera seguir avanzando con el proyecto a pesar de estas advertencias, planteó la necesidad de incorporar un sistema de responsabilidades y fuertes sanciones que prevengan y castiguen el mal uso de este tipo de medidas.

La reacción de las policías no se hizo esperar: criticaron la desconfianza, desmintieron la necesidad de contar con este tipo de sanciones y llamaron a confiar en las instituciones. Pero en un país donde el ejército espía a periodistas por investigar casos de corrupción y las policías realizan montajes burdos y vigilan sindicatos, organizaciones sociales como la Red Chilena Contra la Violencia hacia la Mujer, e incluso a la Agrupación Nacional de Empleados Públicos (ANEF), lo que piden, más que un acto de confianza, es un acto de fe.

Test de Proporcionalidad

Pero más allá de la confianza que podamos tener o no en nuestras instituciones, el proyecto no cumple con ninguno de los tres criterios del test de proporcionalidad que, conforme estándares internacionales, debiese cumplir cualquier medida susceptible de afectar derechos o garantías fundamentales: idoneidad, necesidad y proporcionalidad.

La medida no es idónea para alcanzar los objetivos propuestos, por cuanto existen otras formas de cometer delitos en el anonimato y la experiencia comparada ha demostrado que iniciativas similares no han logrado disminuir el tipo de delitos que se propone combatir. Tampoco resulta necesaria, según reconoció la misma PDI al señalar, en sesión legislativa del 15 de junio, que existen otros medios para lograr identificar a los delincuentes, pero que la medida en cuestión lo haría “mucho más fácil”. Y en ningún caso resulta proporcional, al implicar el sacrificio del derecho al anonimato de todos los chilenos, con la única finalidad de poder identificar —en el mejor de los casos—a un grupo de personas que representa el 0,05% de la población.

Así, el registro de usuarios de telefonía móvil que se discute en el Congreso tiene serios vicios de constitucionalidad y no cumple con ninguno de los tres criterios del test de proporcionalidad. Por si lo anterior no fuera suficiente, en el último tiempo se han registrado suficientes casos de vigilancia estatal como para comprender el peligro que significa una medida de este tipo en un país cuya infraestructura y normativa no entregan siquiera garantías mínimas para su uso restringido, seguro y adecuado.

En síntesis, existen razones de sobra para sostener que un registro como el propuesto no debiese existir y mucho menos incorporar tecnologías que, lejos de protegernos, entrega al Estado capacidades que menoscaban nuestros derechos.

Vivir internet siendo queer: Autoexpresión, comunidad y problemáticas

En un grupo de Facebook cerrado alguien escribe para consultar por dudas legales. Cuenta que quiere cambiarse el nombre registral y que le gustaría acceder a una mastectomía. Comenta que se siente cómode con pronombres femeninos y masculinos, pero plantea lo siguiente: “¿Algune lo ha hecho siendo no binarie? ¿Cómo ha solucionado el tema con su nombre?”. Les participantes del grupo dan consejos amables.

Este tipo de situaciones se replica en otras redes, es un intercambio que ocurre en algunos barrios de TikTok cuando alguien muestra un binder –prenda de ropa interior usada para comprimir el pecho–, y en los comentarios se leen recomendaciones de cómo usarlos y dónde conseguirlos. A pesar de que internet es un espacio en que la comunidad LGBTQIA+ puede apoyarse para construir confianzas (a veces complejas de emular en el mundo físico), la estructura de los servicios web, es limitada porque no considera una diversidad más allá de lo binario y reproducen problemas de la vida offline. Tanto al llenar formularios de inscripción en las que se consideran género masculino o femenino únicamente, o al intentar editar tu nombre visible, entre otras. 

Antes de reconocerme como una persona queer, sentía miedo de ser aceptada. Primero por mi familia, entre mis amigues, en mi trabajo y de igual modo en internet. ¿He sentido miedo de exponer que me identifico como parte de las disidencias sexuales y de género en redes sociales? Sí. ¿He temido por mi seguridad en la vía pública por expresar mi orientación de género o por manifestar mi sexualidad de forma libre? Sí. Con el paso del tiempo, aprendí a desenvolverme con más confianza, porque existo todo el año (no solo en junio) y estoy orgullosa de amar y ser amada. 

Una vez que se toma conciencia de la interseccionalidad de las problemáticas que aquejan a la comunidad LGBTQIA+, es posible entender que el mundo online no está exento de una mirada heterocispatriacal, donde en términos género prima lo masculino y lo femenino, pero también la heteronorma obviando otras identidades. Lo vemos en las grandes compañías de servicios de internet, que acaparan la mayor cantidad de tráfico, como Facebook, Google y terminan dominando las interfaces y algoritmos de los dispositivos que excluyen otras experiencias.

Entonces, ¿qué podemos exigir a las tecnologías para visibilizar, incluir y proteger las experiencias de la comunidad LGBTQIA+? ¿qué problemáticas, riesgos, amenazas, existen? y ¿qué posibilidades ofrece internet para nuestras vivencias? Estas son algunas reflexiones.

Búsqueda de espacios seguros

Según un estudio de discriminación y violencia hacia personas LGBTQIA+ (2020) de la Dirección de Estudios Sociales (DESUC) para la Subsecretaria de Prevención del Delito de Chile, un 89% de les encuestades dijo haber sufrido algún tipo de discriminación en su vida. Más de un 38% de les encuestades ha sido víctima de algún “delito cibernético, como hostigamiento por redes sociales”, y más de un 22% declaró que este tipo de vulneraciones habría ocurrido en el último año. 

En un intento por averiguar la visión de mis seguidores en Instagram, hice una encuesta a través de historias para conversar acerca de la forma en que las personas queer habitamos internet. Spoiler: la vida online no difiere mucho de la vida offline. 

A pesar de las posibilidades de conectarnos y construir espacios seguros, hay quienes se enfrentan a violencias en el entorno digital, como acoso digital, doxing, la proliferación de discursos transodiantes, descalificaciones por lesbodio o biodio, cuestionamientos y ataques a la visibilidad a diario. En este contexto, es pertinente citar el estudio de la Agrupación Lésbica Rompiendo el Silencio, tras la agresión que sufrió Carolina Torres en Chile en 2019. En el caso de Estados Unidos, esta temática se advierte en el Índice de seguridad en redes sociales de la Alianza de Gays y Lesbianas contra la difamación (GLAAD). Es por eso que es relevante exigir la urgencia de la moderación de contenidos en las plataformas digitales, para combatir ejércitos de trolls, evitar que proliferen discursos odiantes, que se siembre la desinformación, o la viralización de mitos en torno a las disidencias. 

Al momento de configurar las biografías de Twitter, Instagram, aplicaciones de citas o plataformas, incluir o no el emoji de la banderita LGBTQIA+, compartir fotos o usar ciertos hashtags puede involucrar lidiar con ansiedades debido a la exposición. En ocasiones, es una forma de autoexpresión, una reafirmación y, así mismo, una forma de encontrarse, pero también un riesgo que muches no quieren correr. Si bien la visibilidad puede ser una opción, pero no una obligación como pretenden las plataformas web. Es necesario entender el derecho al anonimato como una forma de tener control sobre esa visibilidad. 

Entre los testimonios que recopilé (en su mayoría identidades lésbicas, no binarias  y bisexuales), hubo una lesbiana que dijo que tras googlear “lesbiana”, la llevaron a una psicóloga para que se rehabilitara. Según su relato, encontrar espacios en internet antes de 2008 era complicado, pero logró dar con un foro en el conoció a sus primeras parejas. Otra persona, cuyos pronombres son ella/elle, aseguró que cuando era niña todas las actividades las realizaba en soledad. Escuchaba programas de radios gays a escondidas, antes que existieran los podcasts. “Ahora se pueden hacer redes de una forma muy sencilla y bonita. Es fácil encontrar a alguien que esté pasando por lo que tú, nunca estás sola”, escribió. Alguien bisexual comentó que se siente fuera del closet con amigues, en su entorno laboral, pero que no así con su familia. Aunque cree que en los últimos años gracias a infografías en Instagram, ahora hay más bi-visibilidad.

Otras problemáticas

Cuando hablamos de internet, las brechas de acceso y conectividad son una clara barrera. De acuerdo a cifras de la Alliance for Affordable Internet, a nivel mundial cerca de 4 mil millones de personas no cuentan con conexión. La dificultad para mantenerse conectade en algunas latitudes se suma a bloqueos de internet, a censura y respuestas desde violencias a multas por difusión de contenido LGBTQIA+ .

Así como hablamos de identidad y representación, también vale la pena mencionar otros obstáculos que tienden a la exclusión, relacionados al abordaje de políticas públicas. Así se documenta en “Sistemas de identificación y protección social en Venezuela y Bolivia: Impactos de género y otras formas de discriminación”. Este reporte de Derechos Digitales, plantea cómo los sistemas biométricos afectan de forma directa a mujeres y población LGBTQIA+, familias homoparentales y en mayor medida a personas transgénero. No solo en cuanto a derechos a la identidad, a la privacidad de datos, si no también afecta directamente el acceso a ítems de desarrollo social como el acceso a la alimentación, la salud, la integridad y la dignidad, entre otros. 

No es un secreto que en lo que respecta al uso de tecnologías de reconocimiento facial, las que se vuelven más cada vez más cotidianas, solemos tenerlas a mano, pero también se utilizan a nivel de gobiernos e incluso en aeropuertos. El principal problema es que se construyen en base a sesgos de diseño, que discriminan a la población no hegemónica y entran en conflicto aspectos como género y raza, según reportes de Coding Rights en Latinoamérica. 

En un mundo en que cada vez más la tecnología determina cómo se organiza la sociedad, los sesgos en los sistemas como tecnologías automatizadas, inteligencia artificial, o en base a algoritmos, moldean y disciplinan las identidades a partir de los cuerpos. Esto determina qué corporalidades están permitidas, y cuáles no, dejando fuera a personas trans, o no binarias. Así, la forma de subvertir las estructuras vigentes, es cambiarlo todo, o en palabras de Audre Lorde: “las herramientas del amo nunca desmantelarán la casa del amo”. Desde ahí, la concepción del diseño es la clave para abolir las desigualdades entre grupos excluidos, con el objetivo de co-crear herramientas y prácticas de transformación social, tal como explica Sasha Costanza-Chock en Design Justice.

Ante las diversas problemáticas vigentes, el escenario se vuelve complejo y desesperanzador. Pero a pesar de los obstáculos, decido creer en un futuro más auspicioso, que se construirá únicamente de la mano de una perspectiva feminista interseccional, que busque hackear los parámetros que limitan las posibilidades de ser de las personas. 

Para ello, es vital construir espacios seguros, en el mundo online y en el offline, que nos permitan aprender y encontrarnos. Identificando problemas, documentando violencias, visibilizando nuestras vivencias y liderando conversaciones, a fin de descolonizar el impacto de las estructuras que han sido gestadas desde la mirada del hombre blanco y heterocis. 

La persecución de Ola Bini: ¿el inicio del fin?

Hace casi dos años, cuando no había ni pandemia ni contagios por un nuevo y letal coronavirus, cuando varios países de la región parecían no ver venir protestas masivas en las calles, Ola Bini fue arrestado en Ecuador. Fue puesto en prisión por diez semanas y sus equipos tecnológicos fueron incautados, en busca de evidencia de los delitos que supuestamente justificaban el arresto. Casi dos años después, sin todavía lograr la libertad.

Recapitulando: el activista y desarrollador de origen sueco Ola Bini fue detenido en abril de 2019 en Ecuador, por su supuesta participación en una red de espionaje digital para desestabilizar al gobierno ecuatoriano. El arresto ocurrió muy poco después de la expulsión de Julian Assange de la embajada ecuatoriana en Londres, y después de que la ministra del interior alertara sobre intentos de «desestabilización del gobierno» por «hackers rusos» y gente afiliada a Wikileaks. Ataque del que aún no se conocen más antecedentes más allá de ese mismo anuncio.

Los (entonces) relatores especiales para la libertad de expresión de la ONU y de la CIDH solicitaron información desde el gobierno ecuatoriano, pero la persecución no cesó. Como hemos denunciado junto a otras organizaciones desde 2019, existe una serie de situaciones alarmantes en torno al arresto y la detención de Bini, siendo la más relevante la insistencia en la persecución penal en su contra, a pesar de la notoria falta de justificación suficiente. Es decir, no existen antecedentes suficientes ni para la inicial acusación de ser parte de una red de espionaje digital, ni de otras de “defraudación fiscal” o “tráfico de influencias”, manteniéndose hasta hoy una investigación con características de persecución política.

Una oportunidad de poner fin a las alegaciones surgió en diciembre de 2020, en una audiencia preparatoria al juicio por «acceso no consentido» a un sistema informático, con una única captura de pantalla. Sin embargo, tampoco ahí terminó la persecución. Es más, organizaciones como la Electronic Frontier Foundation y Amnistía Internacional fueron impedidas de participar como observadoras en la audiencia. El esfuerzo de la defensa por demostrar la violación de los derechos de Bini durante la investigación, en una exposición de cuatro horas de su abogado, tampoco fue suficiente en esa ocasión. El proceso fue así validado para continuar y la audiencia fue suspendida otra vez antes de la decisión de comenzar el juicio propiamente tal.

A la espera de que la audiencia se retome, para continuar la preparación hacia un juicio y la evidencia admisible, nuestra preocupación por el caso sigue vigente. Porque no está en juego solamente la situación judicial de una persona, sino la noción misma de debido proceso. Está en juego la confianza en los procesos institucionalizados para determinar con imparcialidad. Y, mirando con cuidado a antecedentes con componentes técnicos complejos, si es que hay sustento para la persecución de una persona, por encima de cualquier presión política. Está en juego la superación de los discursos que asocian la seguridad digital a la sospecha y la criminalidad. Está en juego el ejercicio de los derechos fundamentales en línea, incluidos no solo la privacidad y la libertad de expresión, sino también la investigación de seguridad y la promoción de herramientas de protección de comunicaciones y dispositivos. Seguimos observando el caso, porque queremos que liberen a Ola Bini.

Sobre la (in)violabilidad de las comunicaciones

El derecho a la inviolabilidad de las comunicaciones privadas es un derecho fundamental contemplado en las principales convenciones internacionales sobre derechos humanos. En Latinoamérica, la mayoría de sus países reconoce a nivel constitucional la inviolabilidad de las comunicaciones como un derecho fundamental y que, por tanto, solo puede ser suspendido en casos excepcionales y bajo las condiciones establecidas en una ley. O, al menos, así debería ser.

Los estudios, sin embargo, muestran que el uso de medidas investigativas intrusivas de la privacidad de las personas, entre ellas, la interceptación de las comunicaciones, es una práctica que está lejos de ser excepcional.

Interceptación de las comunicaciones

Dado su carácter de derecho fundamental, la regla general es que el derecho a la inviolabilidad de las comunicaciones solo pueda ser limitado en los casos y bajo las circunstancias establecidas expresamente por ley, lo que se da, generalmente, en el marco de investigaciones penales o por motivos de seguridad del Estado.

Adicionalmente, estas medidas intrusivas suelen ir acompañadas por algunos mecanismos de control para evitar su principal riesgo: que terminen siendo ocupadas como herramientas de vigilancia estatal, especialmente en contra de ciudadanos y disidentes del gobierno de turno. Esto no es conspiranoia, la protección de las comunicaciones privadas frente a la vigilancia estatal se remonta a varios años en el pasado, siendo uno de los primeros antecedentes el caso de Giuseppe Mazzini, activista por la unificación italiana que descubrió que agentes estatales leían sus cartas.

Mecanismos de control de la vigilancia estatal

El principal mecanismo de control es la autorización judicial previa, pero algunos países han ido un poco más allá. Por ejemplo, en el caso de Brasil, una vez realizada la diligencia de interceptación, el juez debe decidir si los resultados son relevantes para la investigación. Otro caso interesante es el de Chile, cuya legislación exige, además de la autorización judicial previa, que la medida de interceptación sea notificada al afectado con posterioridad a su realización (artículo 224 del CPP). Sin embargo, la evidencia indica que los mecanismos de control existentes no son suficientes.

En el caso chileno, el mecanismo judicial ha mostrado ser mucho menos estricto de lo que debiera. De acuerdo a números recientes, se realizan alrededor de 66 interceptaciones diarias, por lo que es difícil que jueces estén analizando el mérito de las solicitudes. Estas  solo debieran ser autorizadas bajo sospechas fundadas, basadas en hechos determinados, y para persecución de delitos que merezcan pena de crimen). En cuanto a la notificación del artículo 224, tampoco se cumple.

Actualmente el único mecanismo fiable de control que existe para comprobar cómo funcionan las interceptaciones del CPP es la entrega voluntaria que las principales empresas de telecomunicaciones realizan de datos anonimizados, lo que ha permitido evidenciar los problemas del sistema.

Pero el proyecto de ley sobre delitos informáticos pondría en riesgo este último mecanismo, al aumentar la sanción que arriesgan las empresas en caso de incumplir el deber secreto respecto de los requerimientos de interceptación que reciben. Con las nuevas reglas, bajo la amenaza de una sanción penal – hoy, multa administrativa-, difícilmente las empresas querrán colaborar con instancias de control ciudadano, como la encuesta Quién Defiende Tus Datos.

Una explicación posible para la falta de cumplimiento de esta obligación legal es la falta de capacidades técnicas para realizar las notificaciones exigidas por la ley. De ser este el caso, la dificultad podría ser fácilmente solucionada con la ayuda de las mismas empresas de telecomunicaciones que reciben las órdenes de interceptación.

Estas empresas fácilmente podrían comunicar a sus usuarios el hecho de haber sido objeto de escuchas telefónicas, una vez terminado el plazo de la investigación. Pero actualmente están impedidas de hacerlo. Esto, porque mientras no se formalice la investigación en su contra, el usuario afectado por una escucha telefónica no tiene calidad de interviniente en el proceso penal y, por tanto, el deber de secreto que pesa sobre las empresas de telecomunicaciones alcanza al propio usuario afectado. Esto último, por aplicación del secreto relativo del proceso penal chileno: las investigaciones del Ministerio Público sólo pueden ser conocidas por los intervinientes del proceso (artículo 182 CPP), es decir, fiscal, imputado, defensor, víctima y querellante (artículo 12 CPP).

¿Significa esto que las personas afectadas por interceptaciones no tienen derecho a saberlo? En ningún caso. El artículo 224 establece el deber de notificar al “afectado”, no al “interviniente”. Pero la falta de mecanismos de control eficaces y el desconocimiento de los afectados por esta clase de medidas permite que las mismas sean abusadas, llegando a usarse incluso para la creación de pruebas. Lo anterior es particularmente grave, considerando que ni siquiera el Congreso ha logrado que el Ministerio Público informe sobre el cumplimiento de sus obligaciones legales.

La solución

Dado que el Ministerio Público no está cumpliendo con el deber de notificación del artículo 224, y que se niega a entregar información al respecto, en una sesión reciente de la Cámara de Diputados de Chile, donde se discute el proyecto de ley sobre delitos informáticos, se propuso un mecanismo de control que pareciera ser una solución eficaz y eficiente: que sean las telcos las que cumplan con el referido deber de notificación.

Sin embargo, tanto los representantes del Ministerio del Interior y Seguridad Pública como del Ministerio Público se opusieron a la medida, sin ofrecer una alternativa, aún cuando durante la misma sesión admitieron no estar cumpliendo con la obligación legal de notificar al afectado.

Ante la falta de soluciones alternativas, lo razonable sería que se volviera a discutir la que, hasta ahora, pareciera ser la única solución efectiva.

Ni conspiranoia ni exageración. No necesitamos viajar cientos de años en el tiempo, recordando a Mazzini para justificar nuestra preocupación. Basta pensar en Edward Snowden, cuyo caso – lejos de ser el único- permitió develar la extensión de la vigilancia estatal.

La opacidad afecta la confianza en las agendas digitales

En enero de 2020, el gobierno salvadoreño presentó su Agenda Digital de País 2020-2030, en un contexto de enfrentamiento entre el presidente Nayib Bukele y la Asamblea Legislativa, a raíz de la solicitud del Ejecutivo de la aprobación de un préstamo por $109 millones para financiar la segunda etapa del denominado “Plan Control Territorial”.

La Agenda Digital de País 2020-2030 propone utilizar las tecnologías para implementar lo que denomina una “nueva gobernanza”. Esta agenda contiene 4 ejes programáticos, que básicamente se resumen en: 1. Identidad Digital; 2. Innovación, Educación y Competitividad; 3. Modernización del Estado; y 4. Gobernanza Digital.

Desde su lanzamiento, algunas dudas surgieron sobre la viabilidad de este ambicioso plan. En particular, aquellas referidas a los contrapesos y regulaciones necesarias para minimizar las afectaciones a los derechos y libertades que el uso de las tecnologías puede representar en una sociedad como la salvadoreña, en la que la conciencia de los derechos digitales y su ejercicio aún dista de ser ideal; en un país que aún no cuenta con una ley especializada en protección de datos personales y que tampoco cuenta con una política pública de ciberseguridad, entre otros riesgos.

En ese sentido, no era descabellado dudar sobre la protección y regulación en el uso de los datos que serán colectados para alimentar las soluciones tecnológicas que propondrá el gobierno, sobre quién tendrá acceso a ellos, qué destino tendrán esos datos, qué medidas de ciberseguridad se usarán para proteger los sistemas informáticos y la tecnología a implementar, cómo se evitará que las tecnologías implementadas y los datos colectados sean usados para la vigilancia indiscriminada, para la violación de los derechos o para favorecer intereses privados.

No obstante, era natural esperar que estas incertidumbres encontraran solución a medida que la actuación gubernamental pudiera ser evaluada. De ahí que el actual contexto de la pandemia de COVID-19 y la respuesta del Ejecutivo a la misma, haya servido para hacer una breve reflexión sobre estos temores.

Los temores se incrementan

En el marco de las acciones para enfrentar la pandemia de la COVID-19, el Ejecutivo salvadoreño tuvo a su disposición más de 3 mil millones de dólares, según informó el ex presidente del Banco Central de Reserva a la Comisión Especial de la Asamblea Legislativa, que investiga los gastos realizados por el gobierno de Bukele en este contexto.

Durante este mismo periodo, numerosos artículos periodísticos han revelado indicios de corrupción en los gastos realizados por el gobierno, como compras a empresas de familiares de funcionarios gubernamentales, compras a sobreprecios, compras de insumos médicos a empresas sin relación con el rubro, etc.

Ante estas revelaciones, lejos de corregir la opacidad en la rendición de cuentas, el gobierno de Bukele ha optado por obstaculizar el acceso a la información, al hacer un uso abusivo de las declaraciones de reserva contempladas en la Ley de Acceso a la Información Pública (Art. 19), sin cumplir con una adecuada fundamentación (Art. 21) para tal declaratoria.

Así, por ejemplo, el Ministerio de Agricultura y Ganadería puso en reserva la información relativa a la confección de paquetes alimenticios para ser entregados a personas en situación de vulnerabilidad, afectadas por la COVID-19, que esa cartera de Estado lideró. También, el Ministerio de Salud, uno de los que más señalamientos de compras anómalas ha recibido, declaró reservada la información contenida en memorándums y correspondencia producidos por el Laboratorio Nacional que realiza las pruebas COVID-19, así como los documentos relativos a la transición que el Centro Internacional de Ferias y Convenciones experimentó, para convertirse en el Hospital El Salvador. En ambos casos, las declaraciones de reserva fueron realizadas bajo una interpretación antojadiza de los preceptos legales que facultan esta declaratoria.

Aunque esta artimaña no es nueva, pues ya había sido utilizada para evitar rendir cuentas sobre gastos antes de la pandemia, su implementación recurrente en estas últimas semanas parece ser una pieza más de una estrategia del Ejecutivo de escapar, tanto del control de las instancias que constitucionalmente deben auditarlo, como del escrutinio de la sociedad. A esto se suma el interés del Ejecutivo por minar la independencia del Instituto de Acceso a la Información Pública –ente encargado de garantizar el acceso a la información pública y la protección de los datos personales– mediante el nombramiento de funcionarios afines a sus intereses políticos. Ese mismo interés se expresa en la flagrante desobediencia de los titulares de los ministerios señalados por indicios de corrupción a atender las demandas de explicación exigidas por la Asamblea Legislativa, y la negativa de la Policía Nacional Civil a cumplir su obligación constitucional cuando se ha requerido el apremio de los funcionarios que han ignorado estas solicitudes de la Asamblea.

Este esmero en optar por  la opacidad en la gestión del erario público, así como el proceso de desmantelamiento de la institucionalidad del Estado, reafirmado el 9 de febrero del presente año con la invasión de la Fuerza Armada al recinto Legislativo, y recrudecido con la desobediencia a las resoluciones del Órgano Judicial (incluyendo las de la Sala de lo Constitucional de la Corte Suprema de Justicia), son suficientes señales para incrementar los temores iniciales sobre la implementación de una Agenda Digital por parte del actual gobierno.

Y es que, con estos antecedentes, no puede confiarse la protección de los datos personales, de la privacidad, la libertad de expresión y la seguridad, a gobiernos capaces de ocultar sistemáticamente la información pública, de huir de la rendición de cuentas y de instrumentalizar a las fuerzas de seguridad del Estado con fines políticos. No podemos obviar el temor a que gobiernos opacos, que blanden el uso de las tecnologías como estandarte de modernidad, sientan el deseo de utilizarlas para la persecución política, la censura y el control de nuestros datos

En tal sentido, un estado de vigilancia permanente por parte de la sociedad civil nacional e internacional se vuelve necesario para prevenir el uso malicioso de las tecnologías desde el Estado, y para combatir agendas que busquen aumentar el control gubernamental sobre el despliegue de esas tecnologías. Considerando la muy probable victoria del oficialismo en las próximas elecciones de diputados, una nueva configuración del poder político podría darle un poder peligrosamente enorme a Bukele, lo cual vuelve urgente la contraloría social en el país. Esta actitud vigilante, claro está, aplica frente a cualquier mandatario o poder estatal, presente o futuro.

Arrestos más, arrestos menos

La puesta en prisión preventiva de un ingeniero dedicado a la seguridad informática es el suceso más reciente desde que fuera conocido el hackeo sufrido por servicios estatales en Chile. La atención mediática y la intensidad de la medida cautelar aparecen como respuesta a un acto de vastas proporciones: la vulneración de los servidores de la página web de Gobierno Digital, de responsabilidad del Ministerio de la Secretaría General de la Presidencia, que habría significado el acceso a una enorme cantidad de información personal de chilenas y chilenos.

En particular, se trataría de un acceso no autorizado a datos de sistemas que procesan datos personales, incluyendo datos del servicio ClaveÚnica (para trámites personales en línea) y de la Comisaría Virtual de la policía (para trámites relacionados a permisos, de especial importancia durante la pandemia). No obstante, aunque el acceso se habría producido el 8 de octubre de 2020, no fue sino hasta la semana posterior que el hecho fue conocido públicamente, sin información clara sobre la magnitud del incidente ni sobre la información que habría sido filtrada, y apenas conociéndose que no habría contraseñas de ClaveÚnica comprometidas.

Como episodio solitario, el hackeo del Gobierno Digital de Chile parece suficientemente grave. No obstante, es apenas un capítulo  más en una lista sobre incidentes de seguridad que sigue extendiéndose, y que solo en el último año han afectado ya a un importante banco de propiedad estatal y a la misma policía uniformada, y que ha demostrado falencias de diseño y de seguridad en los servicio del Gobierno Digital. ¿Está haciendo algo el gobierno chileno por mejorar la seguridad de la información?

La política en deuda con la seguridad

Como ha repetido una serie de expertas y de interesados frente al descalabro de seguridad del Gobierno Digital del Estado chileno, hay una serie de iniciativas legislativas supuestamente destinadas a prevenir y enfrentar esta clase de incidentes. Ninguna está cerca de convertirse en ley. A la vez, deudas institucionales del gobierno impiden dar pasos decididos hacia una mejor institucionalidad.

Una de esas es la reforma integral a la ley de datos personales chilena, la primera de América Latina. El actual proyecto lleva años en el Congreso, con larguísimos períodos de tiempo sin avances, y corriendo el riesgo de convertirse en otro conjunto de buenas intenciones que no pueden ser llevadas a la práctica por la falta de una autoridad de control independiente y con facultades suficientes. Aun cuando el proyecto conocido todavía es susceptible de mejoras, siguen siendo rescatables aspectos de actualización largamente en deuda, como el deber de notificación de brechas de seguridad que afecten a datos personales dentro de un muy breve plazo de tiempo. Otras consecuencias, como el aprovechamiento de la información personal que circula en la red después de estas filtraciones, pueden ser también objeto de alguna reclamación. Hoy no parece haber prisa alguna en fijar esos resguardos en torno a la información personal.

Por el contrario, el proyecto de ley que implementa en Chile el Convenio de Budapest sobre ciberdelincuencia sí está avanzando, aunque todavía de manera algo errática. También se trata de una actualización en deuda desde la primera ley en Chile de 1993, con positivos avances en la sanción de delitos complejos. Como ya hemos detallado, el primer intento de implementación de Budapest era peligroso; luego partes del mismo fueron corregidos y hasta hoy el proyecto conserva algunos de los vicios de los intentos de regulación de la persecución del delito en Chile: una expansión desproporcionada e injustificada de los poderes estatales para la intromisión en la vida de las personas bajo la excusa de la investigación criminal, sin siquiera mencionar el intento por expandir la retención de metadatos hoy vigente.

A la vez, la discusión legislativa en torno a los ciberdelitos todavía alberga una ardua oposición de los órganos policiales contra cualquier exención de responsabilidad a favor de quienes descubren vulnerabilidades de sistemas, en el marco de actividades de investigación, aun bajo requisitos estrictos para esa posible exención, a efectos de mantener bajo sanción penal actos que en otras latitudes son reconocidos como expresión de hacking ético.

La contumaz oposición a esa exención, de manera errada, conlleva la penalización una actividad seria y fundamental en la formación de capacidades de ciberseguridad y prevención de ataques. Al mismo tiempo, ignora que el crecimiento en cantidad y en sofisticación de los ciberataques, incluidos los ejecutados desde el extranjero, no va a detenerse porque haya sanciones penales más altas en Chile.

Finalmente, las carencias y falencias en los aspectos institucionales de ciberseguridad siguen siendo responsabilidad del gobierno. A acciones positivas como la entrada en vigencia de la Política Nacional de Ciberseguridad en 2017, la formación de un Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) de gobierno, y la creación del Comité Interministerial de Ciberseguridad (CICS), se han sucedido demoras significativas en el nombramiento de un encargado presidencial de ciberseguridad (siete meses de vacancia, y contando), la insistencia en un proyecto de ley de protección de infraestructura crítica que poco aporta en un resguardo significativo de instalaciones clave, y la eterna promesa incumplida de presentación de un proyecto de Ley Marco de Ciberseguridad que fije responsabilidades y procedimientos.

Por cierto, avanzar de manera sensible en todas esas áreas sería apenas un paso inicial: todavía estaría pendiente un real esfuerzo del Estado en transparentar y mejorar las medidas para garantizar la seguridad de la información y la respuesta a incidentes. Los despidos de alto nivel poco y nada aportan a mejorar las condiciones de seguridad; la imposición de urgencias sobre proyectos de ley deficientes tampoco ayudan. Los ataques seguirán ocurriendo, por lo que los esfuerzos y recursos puestos en educación y en prevención deben ser también prioritarios y continuos.

¿Y mientras tanto?

Pese a la celebración de autoridades políticas por el inicio de un proceso penal por el hackeo al Gobierno Digital, no hay nada que celebrar desde la perspectiva de la ciudadanía. Todavía es incierta la magnitud del acceso, todavía no se notifica individualmente a las personas afectadas, todavía no comenzamos a conocer los efectos de las filtraciones, todavía no hay certeza que el gobierno de Chile tenga la capacidad o la voluntad para enfrentar riesgos a los que está expuesta la ciudadanía. Es decir, todavía no hay razones entregadas por el Estado para que exista confianza de la ciudadanía en la gestión de riesgos en el ciberespacio. Más presuntos autores tras las rejas no es, y nunca ha sido, garantía de seguridad futura.

¿Qué queda hacer mientras tanto? Se ha insistido en la conveniencia del cambio de contraseñas para la ClaveÚnica, así como las prácticas de seguridad digital en general. Se ha reiterado la necesidad de mejorar las prácticas y elevar los estándares de ciberseguridad a los que se sujetan instituciones públicas y privadas. Pero la mayor responsabilidad todavía recae en la autoridad política, para materializar las aspiraciones de la Política Nacional de Ciberseguridad y reconducir una agenda hoy disgregada.

Mientras tanto, arrestos más y arrestos menos, seguimos tanto o más expuestas que antes al ciberdelito.

El regreso de los delatores en el proyecto de ley de delitos informáticos

En las últimas semanas se reactivó en el Congreso chileno la discusión del proyecto de ley sobre delitos informáticos, que implementa en Chile el Convenio de Budapest. Hasta ahora, la mayoría de las criticas se han centrado en tres temas: penalización del hackeo ético, modificación de las normas sobre retención de datos y acceso a comunicaciones, y ampliación de las facultades del Ministerio Público, incluida la eliminación del requisito de autorización judicial previa para determinadas diligencias.

Resumido en una sola gran crítica, el proyecto ha servido como excusa para inyectar de nueva fuerza el poder del Estado para invadir la privacidad y la autonomía de las personas. A pretexto de combatir el ciberdelito, el proyecto modificaría sustancialmente las actuales normas del código procesal penal chileno en materia de técnicas de investigación.

Pero hay otro aspecto de este proyecto que, a pesar de ser igualmente preocupante, no recibió mayor atención por parte de la Comisión: la utilización de agentes encubiertos para investigar a personas individualmente consideradas respecto de la generalidad de los delitos contemplados en el proyecto.

El agente encubierto es la medida investigativa más intrusiva que contempla nuestro ordenamiento jurídico y, por ello, históricamente ha sido limitada a la investigación de bandas delictivas organizadas y delitos de especial gravedad.

La marcha por implementar Budapest

El proyecto de ley Boletín 12192-25 sobre delitos informáticos tiene su origen en la suscripción y ratificación por parte de Chile al Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest. En 2017, con la ratificación del convenio, Chile adquirió la obligación de adecuar su normativa interna y, por ello, el proyecto busca modificar distintos cuerpos legales. Si bien el proyecto ingresado al Congreso en 2018 era altamente cuestionable y peligroso, algunos puntos han sido subsanados en la tramitación.

Pero con la reactivación del proyecto, urgencia del Ejecutivo mediante, algunos riesgos para los derechos fundamentales vuelven a la vida. Preocupa que el proyecto pretenda expandir los mandatos generales sobre retención de datos, acceso a comunicaciones privadas de las personas y las facultades investigativas del Ministerio Público, al punto de prescindir de autorización judicial para determinadas diligencias. Argumentando que es necesario para la investigación de los delitos informáticos, se busca modificar las normas sobre medidas investigativas del código procesal penal, ampliando el poder de vigilancia estatal dentro y fuera de la red. Todo lo anterior sin siquiera ofrecer garantías para impedir el abuso de este tipo de medidas, por ejemplo, robustecer la obligación de notificar al afectado por las mismas.

De estas nuevas medidas y facultades investigativas, solo algunas se encuentran, hasta ahora, limitadas al ámbito del ciberespacio: preservación y custodia de los antecedentes de investigación, comiso y agente encubierto en línea. Pero la forma en que este último irrumpirá es extremadamente preocupante, pues podrá interactuar directamente con las personas de manera individual, sin necesidad de sospecha de actuación en organizaciones delictuales, para la investigación de cualquiera de las conductas tipificadas en el proyecto, sin atender a la gravedad de las mismas.

La irrupción cibernética del agente encubierto

La figura del agente encubierto fue introducida en nuestro país el año 1995, mediante la ley 19.366, sobre tráfico ilícito de estupefacientes y sustancias psicotrópicas, exclusivamente para la investigación de este tipo de ilícito. Su ámbito de aplicación en el régimen penal común fue ampliado para la persecución de la pornografía infantil en 2004 y en 2011 para la investigación de los delitos de tráfico ilícito de migrantes y trata de personas.

Recién en 2016 fue incorporada en el código procesal penal chileno, a raíz de la ley 20.931, que “facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como “ley corta antidelincuencia”. Esta fue la primera vez que se contempló la posibilidad de utilizar la figura del agente encubierto para delitos contra la propiedad, pero solo para aquellos cometidos por  bandas complejas, imposibles de desbaratar sin hacer uso de este tipo de medidas.

Hoy esta medida se encuentra regulada en el artículo 226 bis del código procesal penal, bajo estrictos estándares de procedencia, exclusivamente para la investigación de los delitos ahí indicados y bajo fundadas sospechas de la participación de personas en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, requiriendo en todo caso autorización judicial previa.

El artículo 11 del proyecto de ley original sobre delitos informáticos contemplaba esta medida, pero limitada a la persecución de delitos cometidos por bandas organizadas. Hasta el día 8 de marzo de 2019 —plazo originalmente fijado para presentar indicaciones al proyecto de ley— este artículo solo fue objeto de 3 indicaciones, todas por su supresión total o parcial. Pero en enero de 2020 se propuso reemplazar su texto por uno nuevo, mediante una indicación del Ejecutivo que seguía de cerca lo propuesto por el Ministerio Público durante las sesiones de discusión. El nuevo artículo mantuvo la posibilidad de usar esta medida para la persecución de todos los delitos contenidos en el proyecto, pero además amplió radicalmente su ámbito de aplicación autorizando su uso para la persecución de sujetos individualmente considerados.

De la delación a la provocación

La medida del agente encubierto es de las más intrusivas en cualquier sistema de investigación criminal. Por ello, históricamente su aplicación ha estado limitada a la investigación de delitos cuya particular complejidad y gravedad justifique el uso de tales medidas. El proyecto de ley actual cambia ambas reglas: permite el uso de agentes encubiertos para investigar a personas que actúen individualmente y respecto de cualquiera de los delitos contemplados en la ley, ampliando de manera considerable el campo de aplicación de una medida que siempre debiese ser extraordinaria. Con esto, se infringen los requisitos de necesidad, proporcionalidad y legalidad que deben respetar las medidas intrusivas de investigación.

Además, este tipo de agentes difícilmente serán meros espectadores de los hechos que investigan. La realidad en la que se introduce siempre estará intervenida por su interacción con aquellos entre quienes busca permanecer encubierto. Por lo anterior, aun cuando se trate de una organización criminal, los casos en que estos agentes intervendrán en calidad de meros espectadores sin colaborar en la comisión de los delitos, serán excepcionales. De autorizarse el uso de agentes encubiertos para la investigación de personas individuales, podríamos pasar fácilmente de la investigación a la provocación, tal como sucedió con esta institución en sus orígenes. El agente encubierto nace de las actividades de espionaje político francés durante los años del absolutismo, derivando rápidamente en la provocación mediante el uso de “agentes provocadores” que promovían desordenes públicos para justificar el uso de medidas de persecución en contra de opositores. No obstante, la propuesta también los exime de responsabilidad de manera amplísima, favoreciendo una acción temeraria y perdonando anticipadamente la delincuencia de agentes estatales

Si, además, cómo pretendió originalmente el Ministerio Público, estos agentes pudieran ser introducidos en la sociedad sin necesidad de autorización judicial previa, se desdibujaría la división de poderes que debiese caracterizar a toda sociedad democrática. El control de este tipo de medidas sería prácticamente imposible.

Contra nuevos poderes desproporcionados para el Estado

El uso de agentes encubiertos es sin duda una amenaza para la democracia y de ahí que el legislador haya sido, hasta ahora, extremadamente celoso en su autorización. Permitir el uso de esta figura para vigilar a personas individualmente e investigar delitos comunes es absolutamente desproporcionado. Ello sería la normalización de una institución inquietantemente parecida a los delatores del período más oscuro de nuestra historia. Bajo esas condiciones la posibilidad real de ejercer determinados derechos como la libertad de expresión, es sencillamente imposible.

Ni aun las particulares características del ciberespacio, argumento recurrente para defender este tipo de medidas, justifican poner en peligro derechos tan esenciales como la privacidad, libertad personal y la seguridad individual (artículo 19 nº7 de la Constitución Política). De la misma manera que la persecución de los delitos informáticos no justifica la modificación de las reglas de investigación contenidas en el código procesal penal chileno para la persecución de delitos cometidos fuera del ciberespacio.

Proyecto de ley especial de ciberdelitos en Nicaragua: una herramienta más para la represión del disenso

El pasado lunes, la diputada Loria Raquel Dixon Brautigam, del partido nicaragüense Frente Sandinista, presentó un proyecto de Ley Especial de Ciberdelitos cuya redacción -ampliamente abarcante y vaga- de aprobarse, representaría un ataque a la privacidad, a la protección de los datos personales, pero sobre todo a la libertad de expresión y participación. Este proyecto se inscribe en una peligrosa tendencia, no solo en Nicaragua sino en la región, de utilizar legislaciones contra “cibercrimen” que en realidad buscan criminalizar la libertad de expresión. 

En Nicaragua, las redes sociales se han convertido en espacio de denuncia y expresión social, tanto o más que en otros países dada la constante represión del gobierno nicaragüense ante la denuncia y el disenso político. Esta es razón suficiente para creer, como han señalado organizaciones de la sociedad civil como el Observatorio Pro Transparencia y Anticorrupción, que esta ley busca fundamentalmente perseguir y controlar las redes sociales como espacio para la expresión ciudadana. Este tipo de persecución es una conducta utilizada por otros gobiernos de la región, siendo quizá los más graves los casos de Cuba y Venezuela, donde -de acuerdo con el reciente informe del Consejo de Derechos Humanos de la ONU- al menos 18 personas han sido detenidas y torturadas entre 2014 y 2019 por publicaciones en Twitter. Del mismo modo, en el caso de Nicaragua no es posible analizar un proyecto de ley como éste ignorando el contexto: esta iniciativa de ley sucede días después de que el Presidente, Daniel Ortega, expresara su interés de reformar la legislación para permitir la cadena perpetua, y junto con la iniciativa de Ley de Regulación de Agentes Extranjeros, que constituye un claro ataque contra la libertad de asociación y la defensa de los derechos humanos.

En el caso del proyecto de ley especial de ciberdelitos, el primer factor a considerar es su lenguaje amplio y ambiguo, una de las herramientas más utilizadas en las normativas que buscan ser suficientemente flexibles para poder ser utilizadas posteriormente en la persecución del ejercicio del disenso. El texto señala que castigará a quien “suplantare o se apoderare de la identidad informática de una persona natural o jurídica por medio de las TIC” sin indicar cuáles son los parámetros para considerar que una conducta constituye suplantación, lo que claramente puede convertirse en la ilegalización de la parodia y la sátira, expresiones tradicionalmente protegidas, y busca perseguir a “quien publique o difunda información falsa y/o tergiversada, que produzca alarma, temor, zozobra”, en un texto prácticamente idéntico al que contiene la Ley de Responsabilidad Social venezolana (también conocida, al igual que este proyecto, por el nombre de Ley Mordaza), y a la Ley Contra el Odio, que han creado el entorno legal por el cual se ha perseguido y arrestado a médicos y periodistas en el contexto de la pandemia. Sobre esta ley, en su momento, la CIDH declaró que:

«En un primer análisis tres aspectos resultan alarmantes: a) el uso de figuras vagas y sanciones exorbitantes e imprescriptibles para penalizar expresiones de interés público; b) la imposición de gravosas obligaciones a todos los medios de comunicación, entre ellas la supresión y retiro de información de interés público; c) la amplia posibilidad otorgada al Estado de utilizar los medios de comunicación e imponer contenidos.»

Estas mismas circunstancias tienen lugar en el proyecto de ley nicaragüense, que pretende castigar con penas de hasta ocho años de cárcel a publicaciones en redes sociales o en medios de comunicación que sean categorizadas como delitos contra la “seguridad del Estado”. No estamos hablando ya solo de publicaciones aisladas en redes sociales, sino también de filtraciones como la que revelara las cifras reales del Ministerio de Salud en el contexto de la pandemia por coronavirus.

El proyecto, que de sí busca abarcar un amplísimo rango de conductas, pretende también convertirse en el marco de referencia nicaragüense para las “noticias falsas”, castigando con hasta cuatro años de cárcel a quienes difundan información que sea categorizada como falsa por el gobierno. Como hemos señalado anteriormente, la tentación, ya global, de regular las “noticias falsas” a este nivel de granularidad no desemboca en otro lugar que no sea la infantilización y la censura: pretender que por apelación a la autoridad se considere cierto solo aquello que un gobierno califica como tal es el clavo final para enterrar las democracias.

En un país como Nicaragua, donde desde 2018 la represión sistemática por parte del aparato estatal hacia la oposición, los movimientos sociales y las organizaciones de derechos humanos, los medios de comunicación independientes y las empresas del sector privado no ha hecho más que intensificarse, no solo mediante la criminalización de sus acciones sino también mediante actos extrajudiciales como allanamientos, secuestros, ajusticiamientos y ataques de difamación, la creación de una herramienta legal que permita establecer un sistema arbitrario para controlar el flujo de información es especialmente alarmante. Es urgente garantizar que cualquier proceso legislativo en Nicaragua que busque establecer legislaciones en materia de ciberdelitos sea abierto a la participación de la sociedad civil mediante procesos que garanticen su involucramiento libre y vinculante, de modo que las normas resultantes respondan realmente a la protección de la seguridad de los ciudadanos en su utilización de tecnologías informáticas.