Temática: Seguridad digital

Instala software libre este fin de semana en FLISoL

Todos los años de manera simultánea en cientos de ciudades de América Latina (en la actualidad, también en varias ciudades europeas) activistas se reúnen para instalar software libre en forma colaborativa. América Latina es una región diversa lo que se ve reflejado en el cada Festival Latinoamericano de Instalación de Software Libre, ya que ninguno es igual a otro. De todas maneras, la consigna es clara: todas las sedes colaboran en la difusión y uso de software libre, principalmente el sistema operativo GNU/Linux, a través de conferencias, talleres y demostraciones.

Una comunidad sin fronteras

FLISoL se creó con dos objetivos principales: promover el software libre en la región e integrar a las comunidades de software libre de América Latina. Los orígenes remontan al año 2003, en Colombia, cuándo se realizó un festival de instalación a nivel nacional. Las personas activistas que organizaron estos eventos en Colombia decidieron expandir la idea a nivel regional. Alejandro Forero, uno de los iniciadores del FLISoL lo explica: “Se esperaba llegar a los países con los que teníamos relaciones y comunicación previamente como Ecuador, Perú, Argentina y Brasil , de hecho creo que nadie imaginó el alcance que se tendría realmente”.

Organizar el evento causó que la gente de una misma ciudad que no se conocía trabaje junta para su realización. Como suele suceder en estos casos, se crearon lazos de amistad, profesionales y de militancia que en muchos casos perduran hasta la fecha. De la misma manera, sucedió a nivel de país cuándo se establecieron los vínculos nacionales para coordinarlo en varias ciudades. Por supuesto, el crecimiento exponencial llevó a establecer vínculos a nivel regional que se fueron fortaleciendo con el tiempo. Los objetivos de juntar a las comunidades de América Latina y difundir el software libre se convirtieron en una realidad que superó las expectativas.

El impacto del FLISoL ha sido a nivel regional, aunque en unos países fue mayor que en otros. En el caso de Ecuador, por ejemplo, la comunidad de software libre era incipiente antes del primer FLISoL comparada con la región. No obstante, a partir de la primera convocatoria un equipo sin articulación previa logró participación en nueve ciudades. El alcance fue tal, que para la tercera edición del FLISoL hasta el presidente del país hablaba de software libre y lo declaraba como política pública.

Han pasado 18 años y la gente que organiza el FLISoL ahora no es la misma que al inicio. Algunas de las personas que lo hacen ahora, eran niños y niñas en esa época. La gente cambió, pero el entusiasmo no y surgieron nuevos retos. En el año 2020 debido a la pandemia, muchos pensaron que no habría FLISoL. En cambio, los entusiasmos por aprender, compartir y enseñar no se iban a ver limitados. El festival también se adaptó a una modalidad virtual, con una  ventaja que la integración ya no fue con la gente de cada ciudad sino con toda la región. Hoy en el 2022 existen sedes que organizan el FLISoL de forma presencial, otras de manera telemática y hay las que combinan ambas modalidades.

Apropiarse de la tecnología

En estos 18 años el software libre pasó de ser un tipo de tecnología utilizada por poca a gente a ser el concreto y el acero sobre lo que se construye internet. Las grandes plataformas, la mayoría de celulares Android y gran parte de sitios web funcionan con software libre. El FLISoL es parte importante de este movimiento y es una oportunidad para no desperdiciar perder, más aún con tantas posibilidades de participar desde casa.  Si quieres conocer más sobre las actividades ingresa a la wiki del FLISoL y busca tu ciudad.

El software libre permite tener control sobre la tecnología y permite que cualquier persona que tenga una computadora conectada a Internet con una IP pública pueda tener su espacio propio en Internet. Los primeros FLISOL es se organizaban con plataformas tecnológicas autogestionadas con software libre. La principal fuente de comunicación eran listas de correos para organizarse, una wiki donde de carga de la información y canales de chat por IRC para las reuniones virtuales.

En el año 2006, antes de que existan plataformas como Ustream y mucho antes de que Youtube o Facebook permitan hacer streaming en tiempo real con video, varias charlas del FLISoL se transmitían en vivo y con video gracias al software libre y activistas que se apropiaron de la tecnología. No fue tarea fácil, pero lograr algo nuevo y desconocido es fuente de enrome satisfacción.

El tiempo pasó y aparecieron nuevas tecnologías que, si bien funcionan con software libre, no son libres y no brindan autonomía. Las listas de correo se han ido remplazando por Telegram, que, si bien la aplicación que se instala en el teléfono es libre, el funcionamiento del servidor no lo es. En general para organizar las conferencias se utilizan herramientas libres como Jitsi o Big Blue Button, pero el streaming se lo suele hacer a través de Youtube. Sería muy bueno que el FLISoL también empiece a utilizar herramientas libres para su organización.

Charlas de Derechos Digitales en FLISOL

En este momento ya se han organizado varias actividades relacionadas con el FLISOL. Por ejemplo, desde Derechos Digitales hemos participado en el pre-FLISoL de Bolivia con la charla: “Matrix Chat Seguro, Autónomo y Federado para Organizaciones”. El viernes 22, en FLISoL de Latacunga de Ecuador, tambíén conversamos sobre nuestra experiencia migración a Matrix. En ambas instancias compartimos nuestra experiencia migrando nuestra plataforma de chat a un sistema libre, seguro descentralizado y autónomo.

El sábado 23 de abril reiteramos participación en FLISoL de Bogotá a las 9hs. (GMT -5).

Las ruedas que mueven al mundo: el futuro tratado de “ciberdelincuencia” de las Naciones Unidas

En diciembre de 2019, la Asamblea General de la ONU adoptó una resolución (A/RES/74/247) para crear un Comité Especial encargado de elaborar una “Convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos”, coloquialmente conocido como el “Comité Ad Hoc”. La primera sesión, programada para fines de 2021, tuvo que posponerse debido al aumento de casos de Covid-19. Finalmente, sesionó en régimen híbrido en febrero de 2022 en Nueva York. Unos días después en Viena, tuvo lugar la primera reunión inter sesiones, con el objetivo de escuchar y consultar a diversos actores y personas expertas de los Estados miembro.

Meses atrás, más de 130 de organizaciones de la sociedad civil y referentes de todo el mundo expresamos nuestra preocupación sobre este proceso. En esta columna —una vez transcurrida la primera sesión, ante un escenario internacional marcado por la guerra— presentamos las principales discusiones de ambas sesiones.

Incertidumbres geopolíticas, formas de participación y organización del trabajo

Uno de los puntos más repetidos en la primera sesión fue un tema que no estaba en la agenda formal a los inicios: el ataque de Rusia a Ucrania, junto con el llamado al cese de la agresión por varios Estados. Se esperaba que Rusia estuviera en el centro de atención, pero no por la guerra: fue una de las naciones que propuso la iniciativa de crear el Comité. Además, durante en junio de 2021 la Federación Rusa presentó un borrador completo de tratado. Las expectativas respecto a su protagonismo de eran altas, lo que finalmente no sucedió.

Por parte de la sociedad civil, organizaciones como Derechos Digitales, Privacy International, Human Rights Watch, Global Partners Digital y Electronic Frontier Foundation aportaron comentarios generales sobre las aspiraciones para este proceso. Muchas de las declaraciones enfatizaron los puntos planteados en una carta firmada por más de 130 organizaciones de la sociedad civil y personas expertas, dirigida a la presidenta del Comité Ad Hoc. Allí, se demandó respeto a las garantías de derechos humanos dados los antecedentes y el uso generalizado de las normas nacionales de “ciberdelincuencia” contra disidentes políticos, activistas y periodistas. También, que el Comité considerara un alcance objetivo sobre las disposiciones penales sustantivas y garantías procesales penales en las investigaciones.  No fue menor la presencia de organizaciones intergubernamentales, como Interpol, que participó activamente en las discusiones.

La modalidad de trabajo en las siguientes sesiones y la participación de distintos sectores fue discutida. En síntesis, habrá seis sesiones de discusión sustantiva alternando entre Nueva York y Viena, con consultas a múltiples partes interesadas en reuniones especiales entre las sesiones. Las contribuciones escritas pueden ser enviadas al Comité para su difusión en un sitio web específico. La segunda sesión, tendrá lugar en Viena del 20 de mayo al 10 de junio de 2022. Allí se discutirán aspectos como la estructura que adoptará el futuro convenio, sus objetivos y alcance.

“No reinventemos la rueda”

Los efectos de la pandemia estuvieron presentes en el discurso de varios Estados para enfatizar el aumento de los riesgos de ciberdelincuencia y los impactos estructurales que se produjeron en la comunicación así como en el uso de las diferentes tecnologías.

Por otro lado, se repitió la idea que la nueva convención no debería crear cosas desde cero, cuando existen ya otros esfuerzos y tratados en materias idénticas o similares. La expresión que “no hay que reinventar la rueda” fue repetida por representantes de Suiza, Reino Unido, Marruecos, Australia y el representante de la Unión Europea. En sus declaraciones enfatizaron que ya existen tratados que deben ser tomados en cuenta para la estructuración de este nuevo, aclarando cuestiones de lenguaje, y señalando la necesidad de armonización entre los tratados internacionales y las posibles soluciones.

En el ámbito de las Naciones Unidas, la Convención contra la Corrupción (UNCAC) y la Convención contra la Delincuencia Organizada Transnacional (UNTOC) fueron las convenciones más citadas como ejemplo, además del Grupo Intergubernamental de Expertos en Ciberdelincuencia (IEG-Cybercrime). A nivel internacional y regional, se hizo referencia al Convenio de Budapest, abierto a la firma por el Consejo de Europa en noviembre de 2001, y con cada vez más adhesiones en América Latina, junto con sus protocolos adicionales, y el Convenio de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales. Todos fueron citados como ejemplos a seguir tanto en su contenido sustantivo como en relación a los mecanismos de observación y cooperación.

Falta de consenso sobre lo esencial: derechos humanos y salvaguardias

A pesar de las referencias los tratados y documentos internacionales, quedó claro que todavía hay una falta de consenso sobre qué es el delito cibernético. Cuando se discutió este tema específico en la primera sesión, con base a un documento previamente preparado por la secretaría y la presidencia del Comité, fueron objeto de desacuerdo dos puntos. El primero, respecto a cómo debe abordarse la soberanía de los Estados y el segundo, relativo a la inclusión de los derechos humanos en el tratado.

No hay forma de pensar un futuro tratado sobre ciberdelincuencia sin respeto por los derechos humanos. Durante años, la sociedad civil y las organizaciones internacionales han brindado ejemplos de casos nacionales en los que la amplitud y vaguedad de las leyes sobre delitos cibernéticos se utiliza con fines de persecución. En cambio, varios Estados pidieron la palabra para decir que esto “no sería un tratado de derechos humanos, sino que el foco debería estar solo en los ciberdelitos”, como si eso fuera posible.

Siguiendo una posición más protectora de los derechos humanos, la representante de Australia resaltó que “no debe haber dudas sobre el tema, ya que la discusión debe ser el lugar más estratégico para determinar el respeto a los derechos humanos, si se quiere hacer una referencia amplia como un principio general y propósito del tratado, o bien haciendo referencias específicas en cada sección o punto”.

La segunda sesión: tipificación y medidas procesales penales

Dos puntos fundamentales del tratado serán discutidos en mayo, en la segunda sesión del Comité en Viena: la definición respecto a qué delitos se incluirán en el futuro tratado y cómo tratar las medidas procesales penales.

El primer punto despierta fuerte disenso. Un eventual tratado debería centrarse en los “delitos cibernéticos por esencia”, esto es, un “conjunto restringido de delitos inherentes al ciberespacio”, como fue descrito por la Oficina del Alto Comisionado para los Derechos Humanos en enero 2022. En este sentido, resulta excesiva la criminalización de las tecnologías de protección de la privacidad y el anonimato, como las redes privadas virtuales o VPN y el uso de herramientas de cifrado, lo que afecta a todas las personas que utilizan estas tecnologías para defender su privacidad y luchar contra la vigilancia. El cifrado y el anonimato permiten a las personas ejercer sus derechos humanos en la era digital y, según el relator especial para la libertad de expresión David Kaye, “merecen una fuerte protección”.

Del mismo modo, existe un gran riesgo para los derechos humanos cuando las leyes nacionales definen los delitos de manera vaga y amplia, permitiendo que conductas inocuas sean incluidas en catálogos de ciberdelitos, facilitando la persecución selectiva y el uso de la persecución penal como mecanismo de censura.

Asimismo, existe un gran riesgo cuando se propone incluir en este tratado los delitos relacionados al contenido (speech-related crimes) imponiendo así restricciones indebidas a la libertad de expresión. Como bien defendía Artículo 19 en el panel de la primera reunión, la tipificación genérica de la desinformación, el discurso de odio o la afectación de la moral “no respeta los derechos humanos, ya que no pasan la prueba tripartita de finalidad legítima, necesidad y proporcionalidad”. En general, las leyes nacionales sobre delitos cibernéticos que incluyen delitos de contenido se utilizan para encarcelar a quienes critican a las autoridades o las voces disidentes, o incluso para bloquear plataformas enteras.

La segunda gran área de debate es la relacionada con la forma en que se investigan los ciberdelitos, incluida la recolección de evidencia y la cooperación con los entes persecutores. La discusión sobre cuáles serían las medidas procesales adecuadas no puede precipitarse. Tales medidas no pueden ser amplias y deben ser estrictamente respetuosas de las garantías de derechos humanos, especialmente los principios de legalidad, necesidad y proporcionalidad. Es necesario recordar que existe un gran riesgo de cibervigilancia masiva, falta de transparencia y rendición de cuentas al solicitar medidas procesales penales irrestrictas para obtener pruebas y acuerdos mutuos de intercambio de datos entre entes estatales.

¿Qué viene ahora?

Con las contribuciones escritas más claras y objetivamente definidas por los Estados (deberán ser enviadas el 8 de abril) y con las discusiones que tendrán lugar en la próxima sesión de discusión en Viena, podremos conocer el nivel de acuerdo sobre los temas fundamentales del futuro tratado.

Desde que se inventó la rueda en el siglo III a.c., esta ha transitado actualizaciones, cambios y nuevos usos. Reinventar la rueda no es uno de los objetivos del Comité Ad Hoc: se encuentra con un desafío más vigente y complejo. El ámbito digital es una de las ruedas que mueve al mundo actual y nos exige el desarrollo de nuevos consensos. En este caso, la difícil tarea de definir sobre qué y cómo combatir el ciberdelito a nivel global sin atentar contra los derechos humanos.

Nuestro derecho a decidir

En América Latina, el derecho a decidir es uno de los reclamos más fuertes y compartidos por los movimientos en los últimos años: la acción concreta se ha sumado a la disputa legal y mediática; las consignas por un “aborto legal, seguro y gratuito” se han arriesgado a exigir un “aborto libre”; los pañuelos verdes se han adaptado cientos de veces y así han conquistado las vestimentas, las redes y las calles.

Garantizar el acceso a salud de calidad, superar estigmas sociales en los entornos familiares, educativos y laborales, y contrarrestar la violencia de los grupos anti-derechos son necesidades urgentes para la vida digna de las personas gestantes. Pero la posibilidad de decidir es mucho más que el derecho a interrumpir voluntariamente un embarazo. Es un asunto de autonomía sobre nuestros cuerpos y territorios.

¿Cómo construimos autonomía cuando tantas cosas de la vida están mediadas por tecnologías digitales? Volvamos sobre el derecho a abortar. Desde hace décadas, y como respuesta a leyes restrictivas y punitivas en distintos países, iniciativas como Women on Waves se han valido de distintas estrategias y canales para dar apoyo a quienes desean abortar de manera segura.

Desde hace poco más de tres años, el Open Observatory of Network Interference (OONI) ha documentado el bloqueo del sitio web de esta organización en al menos cinco países, incluyendo Brasil, lo que fue reportado en conjunto a la organización Coding Rights. Esto significa que desde ciertos lugares, cuando alguien quiere acceder a womenonwaves.org la página no carga y entonces no es posible obtener información ni apoyo. Hasta hoy, no ha habido una respuesta oficial sobre los motivos o soporte legal para realizar dicho bloqueo.

Entender cómo funcionan estas tecnologías, y específicamente la posibilidad de un bloqueo web, nos permite verificar si existe tal bloqueo y también burlarlo. Aplicaciones como OONI Probe sirven para medir la censura en internet de manera sencilla y desde cualquier celular o computador, mientras que navegar a través de Tor nos permite mantener oculta la ubicación real desde donde nos estamos conectando, y así es posible acceder a cualquier sitio bloqueado localmente.

Cuando todavía falta para que el aborto sea un derecho pleno en América Latina, puede ser alentador saber que womenonwaves.org no registre bloqueos en otros países de la región. También es alentador saber que existen varias iniciativas locales de acompañamiento al aborto, que se valen de distintos canales y estrategias para llegar a más personas que lo requieran. Justamente por eso, es importante cuidar que los canales de comunicación de estas iniciativas se mantengan activos y disponibles.

Ahora volvamos a la pregunta por la autonomía mediada por tecnologías digitales y nuestra posibilidad de decidir. ¿Qué tanto entendemos las tecnologías que usamos para comunicarnos? ¿Qué tanto sabemos sobre quiénes diseñan, operan y administran dichas tecnologías? ¿Podríamos hacerlo por nuestra cuenta? ¿Qué implicaría? Son algunas preguntas difíciles de responder por las características mismas del entorno digital, que consiste en utilizar un lenguaje (binario) común para hacer funcionar muy distintas tecnologías de comunicación (teléfono, chat, video, correo, juegos, por mencionar algunas) a través de internet.

Desde hace años hemos escuchado que “si un servicio es gratuito, el producto eres tú”. Con las tecnologías de inteligencia artificial que se ejecutan en cada vez más servicios en internet, es difícil establecer en qué momento estamos aprovechando la efectividad —muchas veces invasiva, como las recomendaciones de cosas que apenas hemos pensado — de estos sistemas, y cuándo estamos alimentándolos; por ejemplo, al hacer un captcha señalando buses, pasos peatonales o montañas.

Mucho se habla hoy de los sesgos algorítmicos y sus posibles efectos discriminatorios, además, se han propuesto marcos y principios éticos para reducir los posibles daños asociados a su uso. Sin embargo, para las personas usuarias es cada vez más difícil entender dónde y cómo se están ejecutando sesgos, reproduciendo patrones nocivos y directamente restringiendo derechos (como en el caso de bloquear el acceso a información sobre aborto). Más allá de pensar en cómo hacer más justos o menos nocivos los algoritmos que hoy, y cada vez más, median nuestras comunicaciones, queremos pensar qué tanto nos permiten disentir y decidir con autonomía lo que queremos.

Costa Rica: elecciones entre denuncias, violación de datos personales y reformas de ley insuficientes

El próximo 3 de abril se realizará la segunda vuelta presidencial en Costa Rica. El electorado elegirá al nuevo presidente entre José María Figueres, candidato del histórico Partido Liberación Nacional y ex presidente de la nación, y el oficialista Rodrigo Chaves, ex ministro de Hacienda e integrante del Partido Progreso Social Democrático. En un escenario convulsionado por las elecciones, uno de los temas más polémicos es la protección de datos personales. Varias organizaciones sociales se han reunido con los candidatos para conocer sus iniciativas en la materia.

Costa Rica fue uno de los primeros países de la región en aprobar una legislación en materia de datos personales, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, promulgada en 2011. Sin embargo, durante la última década la normativa se ha mantenido inalterada, pese a diferentes iniciativas de reforma que no prosperaron.

No solo eso. Los dos últimos años han estado marcados por varios casos de muy alto perfil relacionados con la violación de la intimidad y de la privacidad de las y los costarricenses, que involucran al actual presidente, Carlos Alvarado.   

La UPAD (Unidad Presidencial de Análisis de Datos) fue una iniciativa creada por el presidente Alvarado con el objetivo de ayudar a la toma de decisiones en materias tales como el diseño de políticas públicas y los presupuestos institucionales. Funcionó durante un año y medio en la Casa Presidencial, sin contar con aval del Ministerio de Planificación y sin que trascendiera públicamente su existencia.

Durante su funcionamiento, la UPAD tuvo acceso a información sensible de diversas entidades públicas como la Dirección General de Migración y Extranjeria Ministerio de Educación o Instituto Nacional de Estadísticas y Censo. Sin embargo, su trayectoria fue breve. El repudio general que produjo la noticia de que la Unidad manejaba datos confidenciales de los y las costarricenses tuvo como resultado la derogación del artículo que habilitó la creación de UPAD y su posterior desmantelación, en febrero de 2020.

El acceso discrecional de la presidencia a datos confidenciales llegó a ser calificada como “terrorismo de estado” por el Secretario General de la Asociación Nacional de Empleados Públicos y Privados, Albino Vargas, y los diputados opositores a Alvarado manifestaron que UPAD es una iniciativa “ilegal, inconstitucional y un abuso de poder”. Las irregularidades en su creación, la falta de transparencia en el manejo de datos y diferentes denuncias recibidas llevaron al inicio de investigaciones por parte de la Fiscalía, la Defensoría de los Habitantes y la Cámara de Diputados.

Debido a la gravedad de los hechos, la Fiscalía de Costa Rica ordenó allanar la casa presidencial y levantó acusaciones por los presuntos delitos de prevaricato (dictar resoluciones contrarias a la ley), fraude y abuso de autoridad contra Alvarado y otros siete funcionarios del Gobierno.  Concretamente, la Fiscalía considera que bajo el mando de Alvarado, la UPAD violó el artículo 14 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, que prohíbe la transferencia de datos personales sin mediar el consentimiento, así como el artículo 40 del Reglamento de esa ley; y la Ley de Registro, Examen y Secuestro de Documentos Privados e Intervención de Comunicaciones.

En su comparecencia frente a una Comisión Especial de la Asamblea Legislativa, en febrero de 2021, Alvarado declaró: “Finalizo esta jornada con la paz y tranquilidad de que hoy le rendí cuentas a las y los costarricenses y que lo dicho es la verdad: nadie espió a nadie, nadie se robó plata, nadie vendió información”.  Los delitos de los que se acusan al presidente y sus asesores se contemplan en el Código Penal, con penas que oscilan entre los tres meses y seis años de cárcel.

En medio de este escándalo, lo que suceda este año será crucial para el futuro de la protección de datos en Costa Rica. UPAD no es el único proyecto relevante en la materia. Actualmente existen diversas iniciativas en discusión.

El Proyecto de Repositorio de Datos Biométricos propone centralizar en el Tribunal Supremo de Elecciones (TSE) la recolección y tratamiento de datos biométricos de toda la población. De esta manera, la Policía, el Ministerio Público, el Organismo de Investigación Judicial y la Dirección General de Migración podrían acceder a estos datos sin orden ni intervención judicial. Este proyecto prevé que se  comercialice un módulo de consulta de datos biométricos, lo que convertiría a Costa Rica en el primer país del mundo en comercializar libremente datos biométricos de su población, incluyendo a menores de edad y turistas. La iniciativa fue dictaminada de manera unánime por la Comisión de Gobierno y Administración en octubre de 2021.

Además, la Dirección de Migración lanzará en el primer trimestre de 2022 un nuevo pasaporte que incorpora un sistema inteligente de datos biométricos. El pasaporte incluirá un chip con la biometría del rostro y las huellas dactilares de todas las personas con documento costarricense. Frente a esta iniciativa, la Fundación Privacidad y Datos presentó un recurso de amparo, pues considera que Migración y Extranjería no resolvió adecuadamente una serie de consultas que fueran realizadas sobre respecto al nuevo pasaporte. Además, sostienen que el proyecto no respeta el marco jurídico, ya que el tratamiento de datos biométricos solo puede darse mediante una ley habilitante, y esta ley no existe.

Asimismo, la Dirección de Migración no ha explicado las medidas de seguridad que dispondrá para que los datos se encuentren seguros en sus servidores. Como si fuera poco, dicho organismo indicó que no descarta compartir esos datos con fuerzas policiales, e incluso con otros países, sin que exista ninguna norma que regule su utilización.

Por último, una propuesta de reforma a la Ley de Protección de Datos Personales.  Actualmente existe un proyecto impulsado por el Partido Acción Ciudadana, cuyo objetivo es reformar el marco regulador de la protección de datos en el país, incluyendo el funcionamiento de la Agencia de Protección de Datos Personales. Sin embargo,  organizaciones sociales plantean que no se trata de una reforma integral, sino que de la misma ley actual con algunos agregados y conceptos actualizados. Sin embargo, manifiestan que el proyecto se perfila como un primer paso que podría admitir mejoras para una mayor seguridad jurídica.

Los principales problemas del proyecto son que no prevé sanciones relevantes cuando es el propio Estado quien incumple la legislación. También plantea la posibilidad de que los organismos públicos intercambien datos personales de la población teniendo como único requisito la firma de convenios institucionales.

Con motivo de la celebración del Día Internacional de la Protección de datos, Daniel Rodríguez, director ejecutivo de la Fundación Privacidad y Datos manifestó que en “Costa Rica, el reto más importante que enfrentamos es actualizar nuestra legislación en la materia. Tenemos, cuando menos, diez años de retraso en este tema y el precio que pagamos por cada día que pasa sin una nueva ley, es muy alto”.

Comprender las violencias facilitadas por las tecnologías

Cuando hablamos de privacidad en internet estamos hablando también de confianza. La privacidad es eso que nos permite actuar libremente sin temor a los juicios por parte de otras personas o instituciones. Para hacernos una idea, en las ciudades contemporáneas los baños pueden ser esos lugares donde esperamos tener privacidad plena: que nadie nos esté observando, que nadie nos moleste. Cuando entramos al baño en un local comercial, confiamos en que sus dueños no estarán espiándonos y cuidan que nadie más lo haga.

En internet, la confianza es la garantía de que nuestra privacidad está resguardada cuando utilizamos servicios que son ofrecidos por terceros como las apps, plataformas de redes sociales o sistemas de pago en línea. Con el desarrollo permanente de las tecnologías digitales, cada tanto es bueno volver a preguntarnos, ¿existe algún lugar en internet donde tengamos plena confianza de que nadie nos está observando?

Hace poco, en una sesión de trabajo de protocolos de internet donde se conversaba sobre distintos escenarios de conectividad, el presentador afirmó que en una conexión casera puede haber total confianza: “porque no me preocupa si mi perro ve mi dirección MAC, o mi esposa o mis hijos. No creo que ellos vayan a atacarme”. Por supuesto, aclaró, “soy un usuario ingenuo que vive en los Estados Unidos y cuyo vecino más cercano se encuentra a una milla y media de distancia”.

La dirección MAC es un identificador único para cada uno de los aparatos que se conectan a internet. En esa sesión se estaba discutiendo sobre la posibilidad de que la dirección MAC se asigne de manera aleatoria a los aparatos cada vez que se conectan, de manera que no permita la identificación de la persona que está utilizando cierto aparato para conectarse a internet. Supongamos que ese aparato es un celular y la persona que se conecta está buscando información sobre aborto seguro, o cómo denunciar violencia doméstica. Si la dirección es única y estática, alguien con capacidad de ver el tráfico de red en el hogar puede saber desde el aparato de quién se están haciendo dichas búsquedas.

Para el presentador “ingenuo” solo su vecino sería un posible atacante, es decir alguien con capacidad suficiente para conocer el tráfico de red en su hogar, y es evidente que su esposa, sus hijos o su perro, no. Pero como bien sabemos, esta situación puede ser completamente diferente para otras personas. La privacidad y la confianza, tanto en el hogar como en internet, están determinadas por relaciones de poder. Por ejemplo, ¿quién contrata el servicio de internet? ¿quién puede configurar los aparatos instalados? ¿cuántas personas acceden a cada aparato conectado, y en qué condiciones? ¿quién conoce y quién controla las credenciales de acceso?

La idea de que el hogar es un lugar de “total confianza” (o que la familia es un grupo de “mucha fraternidad”, parafraseando al actual presidente de México) ha sido ampliamente cuestionada por grupos feministas que combaten las violencias de género normalizadas en nuestra sociedad. Sin embargo, quienes diseñan las tecnologías que utilizamos y quienes gobiernan los países donde vivimos continúan pensando que una declaración es suficiente para garantizar espacios seguros y libres de violencias, tanto dentro como fuera de línea.

Pero concentrémonos en las tecnologías digitales. En esa misma sesión de trabajo, varias personas señalaron que, en términos de seguridad, el hogar no es un escenario de confianza pero una empresa sí lo es. ¿De qué confianza estamos hablando?, ¿y de qué seguridad? ¿Para quién?, ¿para qué? En una empresa, en una institución militar o de gobierno, es necesario proteger la información que se comparte. La confianza está mediada por contratos de trabajo, acuerdos de confidencialidad, políticas y protocolos de procedimiento que han sido meticulosamente diseñados para garantizar el correcto funcionamiento institucional.

La seguridad es una característica necesaria en cualquier sistema informático y quienes han estado a cargo de esta labor en los contextos empresariales e institucionales son principalmente ingenieros hombres, que viven en familias consideradas “normales”, en condiciones económicas muy cómodas, en países del norte. Pero hoy, cuando a través de un mismo dispositivo conectado a internet sostenemos por igual relaciones laborales, académicas, burocráticas e íntimas, la seguridad digital se ha quedado corta en responder a las necesidades de las -cada vez más y más diversas- personas que nos conectamos.

El campo de la ciberseguridad se ha construido sobre la base de identificar adversarios, amenazas y riesgos asociados al uso de tecnologías digitales, así como de garantizar la confidencialidad, integridad y disponibilidad de la información. Pero muy poco se ha estudiado sobre cómo el diseño de las tecnologías digitales afecta a las diferentes personas, y qué tipos de amenazas aparecen en los entornos privados e íntimos. Quienes trabajan en seguridad suelen pensar que estas amenazas son poco sofisticadas porque técnicamente son fáciles de ejecutar y no dependen de un diseño tecnológico complejo. Nada más alejado de la realidad.

Estas amenazas están basadas en una profunda conflictividad social que difícilmente es experimentada en el día a día por quienes diseñan, mantienen y analizan sistemas de seguridad: en su mayoría hombres cis, heterosexuales, no racializados en su contexto local y con cierta comodidad financiera. Hacerle frente a esta conflictividad implica entender, no solo la complejidad técnica de los ataques, sino las condiciones sociales en que configuraciones técnicas muy sencillas facilitan la ejecución y amplificación de prácticas normalizadas que son violentas, por ejemplo, la vigilancia y el control de los cuerpos de las mujeres por parte de sus familiares o parejas sentimentales. 

A tiempo que construimos tecnologías para acabar el patriarcado necesitamos hablar más de las violencias facilitadas por las tecnologías que hoy día estamos usando, esa condición de facilidad y simpleza con que permiten a los agresores (principalmente hombres allegados a las personas agredidas) ejercer violencia. No solo se trata de las aplicaciones para descubrir una infidelidad, que cada día se hacen más comunes en las tiendas de descarga, sino de las características de muchas aplicaciones que usamos cotidianamente, y que incitan a la vigilancia, el seguimiento y el abuso sobre la privacidad de quienes tienen (por condiciones estructurales que ya mencionamos aquí) menos habilidades o posibilidades de conocer el trasfondo del funcionamiento de estas aplicaciones.

Derechos digitales en 2021: un último vistazo al año que nos deja

«Es navidad y ¿que has hecho?» nos pregunta una famosa canción navideña cada fin de año. Intentar responder nos obliga recordar y reflexionar.

La pandemia del COVID-19 hizo evidentes las escandalosas desigualdades que atraviesan nuestras sociedades y los límites de un modo de producción que debemos repensar si queremos construir un futuro más respetuoso y justo para todos los seres que habitamos este planeta. Ese contraste sigue vívido frente a nuestros ojos.

En América Latina, el deterioro de las condiciones de vida como resultado de una serie de crisis que se superponen —sanitaria, económica, política, climática y ambiental—se hace visible en los paisajes de muchas ciudades. Sin embargo, la fuerza de la solidaridad, la colaboración y la resistencia una vez más dejará su marca en nuestra historia. En 2021, la gigantesca marcha de mujeres indígenas en Brasil, los fuertes movimientos de protesta en Colombia y en Cuba, la movilización en los períodos de elecciones en Chile, y la resistencia ante la crisis en Venezuela, Nicaragua, Honduras y El Salvador, fueron muestras de una intensa lucha por derechos, en una región tan marcada por la dificultad de los cambios.

Son innumerables las iniciativas locales que buscaron garantizar y promover derechos, desde grupos grandes y pequeños, desde comunidades y redes de solidaridad a nivel local, regional y global. Desde Derechos Digitales, pudimos apoyar algunas por medio del Fondo de Respuesta Rápida: fueron 20 proyectos apoyados durante el año, con acciones en 11 países. Y sabemos que hay mucho más por hacer.

En este contexto, la vida en internet se ha vuelto aun más importante que los vaticinios tecnoptimistas de principios de siglo. Por la misma razón, defender la libertad de expresión, el acceso a la información, la privacidad, los derechos a la protesta y participación en línea se hizo aún más fundamental. La posibilidad de conectarse a una internet de calidad, sin interferencias excesivas y arbitrarias fue lo que le permitió a algunas personas trabajar, estudiar y mantener una vida social de manera segura. Sin embargo, no fue así para todas. Algunos gobiernos aprovecharon la crisis sanitaria para intentar establecer mayores controles sobre discursos legítimos.

En Bolivia y Brasil, la sociedad civil movilizada logró impedir iniciativas peligrosas para la libertad expresión en línea. En Chile, junto con reconocidas expertas y expertos internacionales criticamos firmemente el proyecto de ley para regular las plataformas digitales, que tiene un enorme potencial de daño al ejercicio de derechos fundamentales; además de sus errores de conceptuales, el proyecto ignora desarrollos importantes de derechos humanos a nivel internacional. En Colombia, asistimos al Congreso a detener una iniciativa legal que, en nombre de los derechos de niños, niñas y adolescentes, buscaba implementar una serie de disposiciones para el control de la circulación de contenidos en internet, contrarias a las condiciones establecidas en la Convención Americana sobre Derechos Humanos; una medida que probablemente tenía buenas intenciones, pero que constituía una amenaza peligrosa.  

La violencia en línea —especialmente la violencia de género—se multiplicó como estrategia para silenciar las críticas. Como reconoció la Relatora Especial de Naciones Unidas sobre libertad de expresión, Irene Kahn, este tipo de práctica representa una forma de censura y muchas veces obliga a las víctimas a desconectarse para sentirse seguras. Reiteramos lo dicho por incontables activistas y expertas a nivel mundial: la violencia de género en línea es un atentado contra los derechos humanos

Los distintos impactos de la brecha digitales se hicieron más evidentes que nunca: miles de personas se vieron excluidas por la digitalización de servicios públicos, al no tener ningún tipo de conexión o por la precariedad de su forma de acceso, incluidos los servicios vinculados al control de la pandemia o de sus efectos sobre la vida de las personas en la región. Algunas de estas iniciativas abrieron espacio para nuevas formas de  discriminación y para una vigilancia diferenciada hacia las personas que se encuentran en situación de mayor vulnerabilidad y, por lo tanto, dependen del apoyo del Estado, como apuntamos en nuestro análisis de los sistemas de sistemas de protección social en Bolivia y Venezuela.

Para quienes lograron conectarse, la digitalización del sector público también ha implicado una mayor recolección de datos, en muchos casos, sin las debidas garantías de protección. Con el consorcio Al Sur, analizamos el uso de tecnologías para el combate al virus y concluimos que su implementación se basó en escasas evidencias de efectividad, sin considerar tampoco procesos de evaluación o auditorías participativas. Debido a la ausencia de estudios previos de impacto y de medidas suficientes de seguridad, estas iniciativas se constituyeron como riesgos al ejercicio de derechos humanos y fallaron en el cumplimiento de estándares de legalidad, necesidad y proporcionalidad.

La vigilancia floreció en América Latina durante el último año: observamos con preocupación el avance del uso de tecnologías de reconocimiento facial, especialmente en espacios públicos, sin mayores cuestionamientos sobre sus consecuencias. En Uruguay una ley aprobada en abril autorizó la creación de una base de datos de identificación facial para uso en la seguridad pública, a pesar de la manifestación de docenas de organizaciones de la sociedad civil y de crecientes cuestionamientos a este tipo de tecnologías.

Junto a otras organizaciones, colaboramos en la investigación y denuncia del uso de tecnologías en el contexto del control de la pandemia como vía para acumular información de las personas y la gestión de los datos por fuera de estándares de derechos humanos.

También asistimos al trabajo de tribunales en la región. En Argentina participamos como amicus curiae  en una acción que cuestiona constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En Perú el proyecto “Ni un examen virtual más” cuestionó la obligatoriedad de esos sistemas para la participación en exámenes de ingreso en universidades públicas. En Brasil y Paraguay la sociedad civil también se ha organizado para resistir la implementación del reconocimiento facial, y participamos en un amicus curiae en este último país en defensa de la transparencia en el uso de estas tecnologías. En Colombia, intervinimos dos veces en apoyo a organizaciones locales en el cuestionamiento del uso de datos personales para la pandemia, relevando la importancia de los estándares que la ley ya contempla.

La movilización no ha sido solo resistencia: en Ecuador se ha logrado aprobar finalmente una ley de protección de datos, donde fuimos activos partícipes; en Brasil se han presentado propuestas para la prohibición del reconocimiento facial; Nos sumamos también al movimiento global para cuestionar la forma en que una empresa con amplia base de usuarias en la región ha procurado cambiar sus reglas, con la reacción positiva de la autoridad de libre competencia en Chile.

Pasaron demasiadas cosas como para listarlo todo. Ello nos trae orgullo y satisfacción, pero a la vez nos muestra los desafíos hacia el futuro. Al mismo tiempo, nos mueve a observar nuestra acción hacia afuera, como también nuestra situación como grupo de personas. Las organizaciones de derechos humanos como Derechos Digitales no hemos estado excluidas de los impactos generados por la pandemia en los últimos dos años, que van más allá de situaciones nacionales y globales.

Mantenernos activas ha implicado también hacer una mirada hacia adentro y pensar cómo nos cuidamos y fortalecemos, cómo nos auxiliamos mutuamente para generar la fuerza que requiere nuestra labor. Y así, mantenemos nuestra convicción de cara al año que comienza. Ante los desafíos enfrentados, esperamos para 2022 no solo hacer, sino también recuperar nuestro derecho a imaginar.

Nueva ley de delitos informáticos

Dentro de las próximas semanas Chile debiera contar con una nueva ley sobre delitos informáticos. La discusión del proyecto de ley Boletín 12192-25 que busca modificar la normativa vigente (Ley 19.223 que tipifica figuras penales relativas a la informática) está en su recta final.

Con la mayoría de su articulado ya aprobado queda pendiente que la Comisión Mixta —compuesta por senadores y diputados— termine de revisar aquellos artículos donde no hubo acuerdo en las etapas legislativas previas. Como es de esperarse, los pendientes implican los temas más polémicos: la criminalización de la investigación informática, y la modificación del Código Procesal Penal (CPP) para ampliar y flexibilizar algunas de las medidas investigativas más intrusivas de nuestro sistema. Entre ellas, se encuentra el artículo 219 del CPP sobre interceptación de las comunicaciones privadas.

La excusa del Convenio de Budapest para reducir el control de la actividad estatal

No cabe duda de que Chile necesita con urgencia una normativa adaptada a la realidad actual. A 30 años de la entrada en vigor de la ley 19.223 es una excelente noticia. Sin embargo, este proyecto ha servido de excusa para cambiar las reglas del CPP chileno en materia de técnicas de investigación de una manera que nada tiene que ver con el Convenio de Budapest, cuya implementación dio origen a este proyecto, como ya hemos explicado.   

A pretexto de combatir el ciberdelito, el proyecto busca reducir aquellos mecanismos que fueron diseñados para evitar el abuso de las medidas intrusivas de investigación, limitando las posibilidades de control democrático. Así, hemos llegado al absurdo que una cuestión tan relevante como normas procesales penales de aplicación general, puedan terminar siendo discutidas en forma incidental, como una cuestión accesoria, a pesar de tratarse de una materia que evidentemente requiere de una discusión particular.

Así como la separación de poderes es un elemento imprescindible de toda democracia, también lo es el control de su ejercicio. En este punto, el texto propuesto por el Senado contiene una propuesta extremadamente peligrosa: flexibiliza las herramientas para el uso de medidas investigativas profundamente intrusivas. Algunos ejemplos son el uso de agentes encubiertos, la interceptación de las comunicaciones, y ampliar las facultades de investigación a las policías.

En términos resumidos, el proyecto busca modificar la regla general bajo la cual funcionan la mayoría de los sistemas penales del mundo, incluido el chileno: la necesidad de contar con una autorización judicial previa. Además, si consideramos que la normativa contempla el secreto por tiempo ilimitado de estas actividades de investigación, sumado al histórico incumplimiento de la obligación de informar a las personas afectadas por una medida de interceptación de sus comunicaciones (cuando sea posible hacerlo), el resultado que tenemos es la entrega de un poder de intrusión ilimitado y descontrolado.

Por otra parte, preocupa la falta de claridad con que fue redactado el texto que busca reemplazar el actual artículo 219 del CPP, donde no queda claro cuáles serían los casos en que el Ministerio Público podría hacer uso de las facultades que le otorga la ley.

Investigación en seguridad informática

Otro de los aspectos polémicos del proyecto es la criminalización de la comunidad de seguridad informática. A pesar que el trabajo de los investigadores en seguridad informática es detectar vulnerabilidades e informarlas, de manera que los dueños de los sistemas de información puedan hacer los ajustes que sean necesarios, sobre ellos pesa el estigma ser “ciberdelincuentes” y mal llamados hackers. Además, en varias oportunidades son perseguidos por los propios beneficiados por su trabajo (quienes son informados sobre las vulnerabilidades) a quienes les resulta más cómodo perseguir al mensajero.

Pero no todo está perdido. El Congreso logró comprender la significación de esta importante labor, y al menos existiría consenso en establecer una eximente de responsabilidad penal para quienes realicen esta actividad en el contexto de una investigación académica de seguridad informática previamente registrada. En todo caso, sujeto a ciertas condiciones: que no haya mediado actuación policial, judicial o del Ministerio Público de ninguna especie; y que tanto el acceso como la vulnerabilidad informática detectada hayan sido reportadas al responsable del sistema informático y a la autoridad competente.

Desde Derechos Digitales creemos que, si bien esta consideración es un avance, no es suficiente. La investigación en seguridad informática es esencial para la detección y solución de brechas de seguridad: de lo contrario solo conoceremos vulnerabilidades una vez que sean explotadas por terceros. Por el contrario, las leyes que criminalizan la investigación informática suelen ser abusadas para perseguir a quienes investigan, ya sea por motivos políticos, o como reacción de las empresas privadas ante el impacto reputacional que significa que alguien revele sus brechas de seguridad, tal como se puede ver claramente en el informe elaborado por Access Now.

Por último, a quienes más perjudican este tipo de leyes es a las personas. Solo las grandes empresas cuentan con los medios económicos necesarios para poder costear investigadores privados que revisen sus sistemas constantemente. La actividad de la comunidad de seguridad informática permite a pequeñas empresas ser advertidas de la existencia de brechas, y reaccionar antes que su información y la de sus clientes sea expuesta. Acompañada de estrictos mecanismos de resguardo, una autorización amplia para la investigación en seguridad informática no debería generar problemas.

Llamado a rechazar la modificación del artículo 219

Un proyecto de ley que busca modificar la normativa penal debe ofrecer ciertas garantías mínimas para impedir el abuso de aquellas técnicas de investigación que resultan lesivas de derechos fundamentales.

Considerando que en la actualidad no contamos con un sistema que se haga cargo de todas las vulneraciones del debido proceso, al no tener capacidad para controlar el uso de las medidas en cuestión, ni conocimiento para la rendición de cuentas una vez que termina una entrega de información o una interceptación, pareciera que aumentar las hipótesis de medidas intrusivas de investigación sin control suficiente ex ante y ex post solo pone en mayor riesgo la institución del debido proceso y derechos sin los cuales es imposible pensar en una democracia: el derecho a la privacidad, a la protección de los datos personales y a la inviolabilidad de las comunicaciones privadas.

Por ello, creemos que cualquier reforma del CPP en este sentido requiere, ineludiblemente, una reforma transversal a las normas sobre entrega de datos personales y privacidad de las comunicaciones, y el establecimiento de fuertes sanciones para el uso abusivo de medidas como las propuestas, cuestión que solo es posible mediante una discusión de fondo.

Dado lo anterior, no parece prudente intentar regular una materia tan compleja como esta en forma anexa e incidental a un proyecto de ley que no se refiere específicamente al CPP. En el marco actual, ya han sido identificados diversos riesgos asociados al uso abusivo de este tipo de técnicas investigativas. Sumado a esto, la norma propuesta contraviene la regla general sobre principios básicos del proceso penal contenida en el artículo 9 de nuestro CPP, por lo que no parece prudente aumentar las facultades de las policías sin una revisión del sistema completo.  

Llamamos a rechazar la modificación del artículo 219, y dejar dicha discusión para una instancia en que se pueda analizar el tema con la dedicación necesaria, que englobe una mirada integral a nuestro sistema procesal penal, evitando introducir reglas contrarias al debido proceso.

Garantías mínimas

Con todo, para el caso de optar por insistir en la modificación del artículo 219, a lo menos debiesen tomarse los siguientes resguardos como un mínimo necesario:

  1. Necesidad de contar con autorización judicial, idealmente previa, pero al menos en forma posterior;
  2. Modificar la redacción del § 3 del artículo 219 propuesto, en orden a dar mayor claridad sobre los casos en que el Ministerio Público podría hacer uso de las facultades que se busca otorgarle;
  3. Establecer que toda orden que imponga la reserva de una medida investigativa debe señalar un límite del tiempo para dicha reserva;
  4. Establecer que, una vez cumplido el plazo indicado para la reserva de la medida investigativa, termine el deber de secreto que pesa sobre las empresas de telecomunicaciones, de manera que estas sean libres de notificar a sus usuarias, en los términos establecidos en el artículo 224 del CPP; y,
  5. Reforzar el deber de notificación al afectado por una medida de interceptación establecido en el referido artículo 224, de forma que el mismo sea efectivamente cumplido, pues no existen antecedentes que muestren que dicha norma esté siendo cumplida en la actualidad.

Por una internet descentralizada

WhatsApp es la plataforma utilizada en América Latina para los chats familiares, de estudios, de trabajo, para comercio y más. De repente, durante casi un día todas estas personas quedan incomunicadas. Seguramente habrá quiénes se alegraron por la paz de un día de desconexión. Sin embargo, para una parte no despreciable, dicho evento significó inconvenientes varios y posiblemente no cumplir sus actividades con normalidad.

A nivel mundial, WhatsApp sirve para comunicar a dos mil millones de personas, casi tres veces la población de América Latina. ¿Qué habría pasado si en lugar de caerse las plataformas de Meta, se hubieran caído Claro y Movistar? Seguramente esto habría sido un escándalo y estas empresas habrían sido multadas por los Estados de varios países y por no miles, sino millones de clientes. No es para menos: las telecomunicaciones son un recurso esencial en la sociedad actual. Además, consideremos que WhatsApp utiliza como estrategia el zero rating, es decir, no precisa comprar previamente un paquete de datos por lo que afecta especialmente a las personas con menor poder adquisitivo.

Se podría decir que “si no pagamos por el servicio tampoco podemos quejarnos”, pero la realidad es que sí pagamos cuando aceptamos que nuestros datos sean recolectados y analizados por estas empresas. Esta vez no hablaremos sobre privacidad, sino sobre la concentración de las comunicaciones en la red. Internet fue pensada originalmente como una red de redes. En la que, si una de estas redes fallaba, no se tenía un fallo a nivel global. Cada vez más internet ya no es una red de redes, sino una red de pocas redes dominadas por pocas empresas de Estados Unidos.

Muchos al ver la caída de WhatsApp decidieron cambiarse a plataformas como Telegram o Signal. Esto tampoco es una solución mientras Telegram y Signal no puedan hablar entre sí y con otros proveedores, de manera similar a como funciona el correo electrónico. Si existen varios proveedores que funcionen de forma interconectada va a ser más difícil generar una estructura de poder centralizada y fuerte que, tarde o temprano, será abusiva.

Es innegable que para el correo electrónico existen grandes proveedores como Gmail, Yahoo u Outlook.  De todas maneras, contamos con disposición de miles de servidores de correo electrónico provistos por empresas más pequeñas; autogestionados por empresas, organizaciones o individuos. No ha existido nunca una caída de correo electrónico como tal. Si bien en diciembre de 2020 se registró una falla de Gmail y otros servicios de Google (una importante: afectó a más de mil millones de personas) no implicó la suspensión de los servicios de todas las redes de correos electrónicos en el mundo.

El concepto de tener varios proveedores que se comunican entre sí es conocido como federación. Si el correo electrónico es un servicio federado, ¿por qué no pueden serlo los sistemas de mensajería instantánea? Esta pregunta se la planteó un grupo de técnicos a finales de los años noventa y trabajaron en lograr un estándar que permita la comunicación de varios servidores de chat para que se puedan comunicar entre sí. Así es que en octubre de 2004 nació la primera versión del protocolo XMPP (protocolo extensible de mensajería y comunicación de presencia, por su sigla en inglés) que desde entonces permite la mensajería instantánea federada.

Este protocolo con un nombre difícil de recordar fue adoptado de forma parcial por WhatsApp en sus inicios. Es más, WhatsApp no inició desde cero, sino que utilizó el popular sistema de software libre Ejabberd para brindar el servicio. La implementación de XMPP fue parcial, puesto que no implementaron la federación. Es decir, que, si bien la tecnología permitía interactuar de forma igual con otros sistemas, WhatsApp no la quiso implementar.

WhatsApp no fue la única empresa grande que apoyó sus sistemas de chat con el protocolo XMPP: el sistema Google Talk funcionó de manera federada entre los años 2005 al 2013. Durante ese periodo de tiempo, se podría chatear desde la interfaz web de Gmail con cualquier persona dentro de la red XMPP. Lamentablemente, para Google la interoperabilidad dejó de ser una prioridad, por lo que esta opción no se encuentra en funcionamiento.

Si es técnicamente posible que los sistemas de chat sean federados, ¿por qué los principales sistemas no lo son? A inicios de los años dos mil, antes de WhatsApp, era común el uso de SMS. En Ecuador, hasta octubre de 2004 era imposible enviar SMS entre diferentes operadoras celulares, pero esto cambió gracias a una regulación estatal, y fue un suceso tan importante que el primer SMS recibido entre operadoras fue realizado por el entonces presidente de la república.

No es necesario tener Gmail para enviar un correo a alguien que tiene cuenta en este servicio. No debería ser necesario tener WhatsApp para poder contactarse con alguien de esta red desde otra plataforma como Signal, Telegram o cualquier otra. En este artículo se habló sobre XMPP, pero hay otras tecnologías que permiten tener sistemas de chat federados, por ejemplo, Matrix, un estándar similar a XMPP que se viene desarrollando desde 2014.

Desde sus orígenes, las tecnologías detrás de internet han permitido tener una red descentralizada con muchas redes pequeñas que se comunican entre sí. En los últimos años, internet se ha convertido en un espacio centralizado donde pocas empresas controlan las comunicaciones de miles de millones de personas. Esto da demasiado poder a las empresas y les quita autonomía a las personas. Las soluciones técnicas no son suficientes: es necesario contar con políticas que obliguen a las plataformas a interactuar entre sí y con proveedores pequeños para que las personas decidan qué servicio quieren usar o, de ser el caso, implementarlo en su propia infraestructura.