Temática: Vigilancia

Sobre los limitantes a los derechos fundamentales en internet producto del estado de excepción en Venezuela

El pasado 16 de mayo, el Gobierno de Venezuela emitió el Decreto Presidencial N° 2849, que prorroga el estado de excepción en Venezuela, vigente desde mayo de 2016. En esta nueva prórroga se autoriza la vigilancia en internet y el filtrado de contenidos. Esta medida profundiza aún más las restricciones al libre flujo de contenidos en línea, que recientemente ha incluido el bloqueo de medios de comunicación vía streaming, como VivoPlay, VPITV y CapitolioTV. Otras graves tendencias que prevalecen en Venezuela son la agresión de los funcionarios militares y policiales a periodistas y reporteros ciudadanos, y el arresto de ciudadanos a raíz de contenidos publicados en redes sociales.

Esto ocurre en el contexto de un deterioro general de las telecomunicaciones, como consecuencia de la desinversión en el sector durante los últimos 10 años, lo que ha conducido a que Venezuela sea actualmente el país de Latinoamérica con peor calidad de conexión a internet. Sin embargo, frente a la censura enfrentada por los medios tradicionales, internet es también la herramienta indispensable para la libre expresión y el acceso a la información por parte de los venezolanos.

Las medidas tomadas por el Estado venezolano para restringir los contenidos en línea constituyen restricciones a los derechos fundamentales de sus ciudadanos y, como tales, no cumplen con los requisitos mínimos de proporcionalidad, legalidad e idoneidad. El Estado venezolano ha ignorado sistemáticamente las solicitudes de la sociedad civil para conocer la cifra total de sitios web bloqueados; a la fecha, se ha comprobado el bloqueo de 41 sitios web, pero se sospecha la existencia de muchos más. Se desconocen los procedimientos jurídicos y técnicos para determinar y llevar a cabo estos bloqueos.

Este tipo de prácticas afectan el ejercicio de los derechos humanos. En un comunicado conjunto, los relatores sobre libertad de expresión de la ONU y la CIDH repudiaron «la censura y el bloqueo de espacios informativos en medios tradicionales y en Internet». Durante los últimos meses, tres proveedores de televisión por streaming fueron bloqueados sin orden judicial previa. Por otra parte, el Estado ha hecho uso de tecnologías de vigilancia no reguladas que afectan los derechos fundamentales de sus ciudadanos, como el uso de drones para vigilar y perseguir manifestantes, al mismo tiempo que ha ampliado progresivamente sus potestades para la vigilancia de las comunicaciones en internet, a través de la creación de órganos como el CESPPA.

Además se han implementado mecanismos para la recolección de datos biométricos, sin que los ciudadanos puedan determinar su finalidad ni quiénes tienen acceso a ellos. El discurso gubernamental hacia internet, y específicamente hacia las redes sociales, es preocupante: el director de la Comisión Nacional de Telecomunicaciones declaró recientemente que las redes sociales son «un peligro» y una herramienta para «la guerra no convencional» en Venezuela.

La suma de estos factores, agravada por el paso del tiempo y la profundización de la crisis social y política, perfila la creación de un estado de censura, control y vigilancia que afecta gravemente el ejercicio ciudadano de los derechos humanos. El acceso a un internet libre, neutral y de calidad ha sido reconocido internacionalmente como una condición necesaria para el ejercicio de la libertad de expresión, las comunicaciones y el acceso a la información, y como precondición de la existencia de una sociedad democrática. En este sentido, las organizaciones abajo firmantes, integrantes de la sociedad civil y académica de la región, fijamos nuestra posición en los siguientes términos:

  1. Expresamos nuestro rechazo a la prórroga del estado de excepción en Venezuela, así como a las restricciones que de ésta se derivan al libre flujo de contenidos en Internet.
  2.  Manifestamos nuestra preocupación ante el creciente deterioro de la infraestructura de acceso a internet y a las telecomunicaciones en Venezuela, cuyo mantenimiento es de vital importancia para la educación, la innovación y la comunicación de los venezolanos.
  3. Recalcamos que el uso e implementación de herramientas tecnológicas, tales como drones y sistemas de identificación biométrica, deben adecuarse a estándares de derechos humanos y no afectar las libertades fundamentales de los ciudadanos, en particular su privacidad y autonomía.
  4. Insistimos en que toda medida que restrinja el libre ejercicio de los derechos fundamentales, tales como los bloqueos de páginas web, deben cumplir con los requisitos mínimos de proporcionalidad, legalidad e idoneidad, y, en consecuencia, deben ser adoptados únicamente por autoridades judiciales en el marco del debido proceso.
  5. Solicitamos que cesen las acciones de hostigamiento y discurso agraviante por parte de funcionarios públicos en la red, en contra de ONG y activistas de derechos humanos, que documentan y denuncian hechos a través de las plataformas digitales.
  6. Exigimos que cese la agresión de los órganos militares y policiales en contra de los periodistas y reporteros ciudadanos.
  7. Solicitamos transparencia en las acciones tomadas para restringir tráfico y contenidos en internet, y pedimos que se dé respuesta a las solicitudes de información pública entregadas por la sociedad civil con respecto a las prácticas de bloqueo y filtrado de contenidos llevadas a cabo por la administración pública.

Suscriben:

Derechos Digitales
Instituto Prensa y Sociedad de Venezuela
Acceso Libre (Venezuela)
(DTES-ULA) Dirección de Telecomunicaciones y Servicios de la Universidad de los Andes
Venezuela Inteligente
Public Knowledge
Access Now
Espacio Público (Venezuela)
Hiperderecho (Perú)
Son Tus Datos (México)
Alfa-Redi (Perú)
Centro de Derechos Humanos de la Universidad Católica Andrés Bello
EXCUBITUS Derechos Humanos en Educación
IPANDETEC (Panamá)
Sursiendo, comunicación y cultura digital
Red en defensa de los derechos digitales, R3D (México)
Global Voices Advox
Asuntos del Sur
Internet Sans Frontières (Internet Without Borders)
Center for Media Research – Nepal
Index on Censorship
Artículo 19 (Brasil y Sudamérica)
Observatorio de DDHH de la Universidad de los Andes (Venezuela)
Consejo de Tecnologías de la Información y Comunicación Académica de la Universidad de Los Andes (CTICA – ULA)
EsLaRed
Digital Rights Watch
Fundación Karisma (Colombia)
Witness

 

 

No estoy en contra de la tecnología, pero

“No estamos en contra de la tecnología”. Fuera de contexto, es una oración difícil de comprender. Dado que el concepto de tecnología abarca desde una piedra tallada para cazar hasta lo que sea que la NASA esté diseñando para mandar gente a Marte, presentarse a uno mismo como “contrario a la tecnología” parece ser una postura difícil de sostener. Probablemente existan entusiastas de ciertas formas radicales de primitivismo, pero dudo que alguna de las personas a las que iba dirigida la aclaración tuviese en mente una acusación de este tipo. Y, sin embargo, la aclaración se hizo.

“No estamos en contra de la tecnología, pero” fue una frase que se repitió varias veces en el marco de una discusión celebrada algunas semanas atrás en Santiago de Chile, ante la posibilidad de que una alcaldía comience a utilizar drones para vigilar los espacios públicos.

¿De dónde nace la necesidad de aclarar que no se es tecnofóbico a la hora de dar un argumento contra un uso particular de una tecnología particular en un contexto particular? Básicamente, para no quedar como loco. Lo que se desprende de esa frase es que la imposición por mantener una fe ciega en el progreso tecnológico ha calado tan hondo, que interfiere con nuestra capacidad para mantener una saludable distancia crítica, a riesgo de ser tildados de demente o extremista.

A nivel de políticas públicas, esto es particularmente delicado. “La tecnología es capaz de resolver cualquier problema, incluso aquellos que ella misma genera” parece ser el axioma. Aunque lejos de la verdad, es un discurso potenciado por autoridades que buscan soluciones vistosas a cambio de prensa fácil y por compañías ansiosas de hacer negociosos vendiendo soluciones, sin importar lo propicio que sean, ni los impactos negativos que podrían tener.

Los peligros del tecnoptimismo

“Ponen a prueba nueva versión de la TNE con reconocimiento facial” anuncia un portal de noticias; “Concepción es el lugar elegido para poner a prueba una nueva tecnología que otorgaría a la Tarjeta Nacional Estudiantil mejores medidas de seguridad” agrega.

¿Mayores medidas de seguridad? ¿La seguridad de quién exactamente? ¿Qué problema están tratando de resolver que requiere la creación de una base de datos biométricos del rostro de los estudiantes beneficiados con la rebaja del pasaje en el transporte público?

“Nos permite controlar que se presten las tarjetas entre los estudiantes, que se presten las tarjetas entre amigos, que haya tarjetas falsas” explica Mauro Moreira, administrador de una línea de buses penquista. A juzgar por esa explicación, el problema no es de seguridad, sino incrementar los mecanismos de control sobre los usuarios.

Por el contrario, la creación de una base de datos de ese tipo no solamente parece ser desproporcionada y contraria al concepto de minimización de datos, sino que genera potenciales riesgos adicionales a los usuarios del sistema de transporte.

Existen al menos dos problemas prácticos que probablemente no se están analizando debidamente:

El primero de ellos es que el sistema que administra los datos contenidos en las tarjetas de transporte estudiantil ha demostrado ser inefectivo protegiéndolos. Una investigación realizada por Derechos Digitales durante 2016 demostró que era posible acceder a todo el historial de movilización de cualquier estudiante chileno tan solo conociendo su nombre. Este no es un caso aislado y se suma a una lista de situaciones en las que las autoridades chilenas no han sido capaces de proteger la información que manejan: le ocurrió al Registro Civil, al Registro Electoral y también al Ministerio de Salud. Muchos de esos datos hoy circulan libremente a través de internet y pueden ser accedidos por cualquier persona.

En segundo lugar, esto es problemático además porque no hay manera de asegurarle a los estudiantes de qué maneras se están usando los datos, con qué otros datos se cruzan y con qué fines, como se tranza esa información. Tampoco hay mucho que decir respecto a eventuales soluciones o sanciones frente a un uso indebido de la información, porque la ley actual es increíblemente permisiva al respecto. Recordemos además que muchos de estos datos corresponden a menores de edad.

Pero lo que subyace acá es una postura política: no solamente se trata de pasar por alto las consideraciones de proporcionalidad y riesgos potenciales, se está partiendo del supuesto (casi hegemónico) de que la tecnología es siempre deseable e ideológicamente neutra.

Información proporcionada recientemente al Congreso estadounidense señala que el software de reconocimiento facial utilizado por el FBI falla el 15% de las veces y tiende a reconocer erróneamente a personas negras con mayor frecuencia que a personas blancas. Un software de etiquetamiento automático desarrollado por Google clasificó como gorilas a una pareja de afroamericanos. Estos no son los únicos casos conocidos de racismo en torno a esta tecnología; tampoco se trata de un simple error de programación, sino una demostración de cómo los prejuicios de los programadores se traslada al código del software, posiblemente de forma inconsciente incluso. Un recordatorio de que la tecnología es producida por personas que impregnan en ella sus ideas y defectos.

Bases de datos y poder

Por su parte, parece ser que la discusión sobre las bases de datos necesita un contexto mayor desde el cual ser abordado, porque tal como señalan las investigadoras Anja Kovacs y Nayantara Ranganathan sobre su proyecto de investigación “Gendering Surveillance”, las bases de datos son una forma en la cuál un grupo puede ejercer poder sobre otro;  en palabras de Kovacs “las relaciones de poder deben ser examinadas para evaluar el valor de cualquier tecnología”.

En relación al uso de tecnologías de reconocimiento facial en el transporte público, particularmente de estudiantes que acceden al beneficio de tarifa rebajada, hay que comprender que no solamente se trata de los datos que se colectan, sino sobre la posibilidad de someter a un grupo social a un control de estas características. ¿Quiénes quedan libres? Los sectores más acomodados, que no usan el transporte público o no acceden a la tarifa rebajada.

Hay que constatar además que esta relación asimétrica no termina necesariamente cuando la persona deja de ser estudiante, de recibir el beneficio o de usar el transporte público: una vez dentro de la base de datos, no hay nada que impida estar ahí para siempre ni nada que asegure que el dato podría haber sido removido o que no ha sido copiado.

¿Es justo estar obligado a estar en una base de datos solamente por ser estudiante y pobre? ¿Qué va a pasar cuando la policía quiera acceder a esta base de datos para identificar a los asistentes a una marcha estudiantil? ¿Y si la gente deja de ir a las marchas por temor a quedar en un registro policial? ¿Qué pasará cuando el sistema no reconozca el rostro de una persona que está haciendo un uso legítimo del beneficio? ¿Y qué pasa si eso ocurre con mayor frecuencia con gente de ascendencia mapuche? ¿Qué va a pasar cuando el contenido se filtre, las fotografías se asocien al RUT y se ponga a disposición de cualquiera en internet? ¿Y cuando las quiera comprar una empresa privada? ¿Y cuando las quiera comprar una entidad de cobranza de deudas por concepto de estudios?

Que el temor a parecer tecnofóbicos no le impida a los tomadores de decisiones plantearse estas y otras preguntas pertinentes.

¿Quién está utilizando malware en México?

Lo que pasa en México nos comprueba que a pesar de esta retórica, los invasivos programas de vigilancia se usan contra periodistas, opositores políticos y activistas. A la fecha, no hemos sabido de un solo caso en el que dichas herramientas hayan ayudado a la captura de algún miembro de los carteles de droga. Y en cambio, los ejemplos contrarios abundan.

Hae pocos días, el New York Times y Citizen Lab publicaron una investigación, que revela cómo un investigador del Instituto Nacional de Salud Pública y dos directores de organizaciones no gubernamentales recibieron mensajes SMS con hipervínculos a un malware específico: Pegasus, de la empresa israelí NSO Group. Estas tres personas tienen en común su oposición pública a las compañías de refresco y desde 2014 han promovido grandes campañas para subir el impuesto a las bebidas azucaradas, por los problemas de salud y obesidad que estas generan.

Los mensajes utilizados para infectar los dispositivos de ellos tenían un alto grado de ingeniería social: sabían cómo hablarles y de qué forma llegar a ellos para hacerlos dar click a los hipervínculos maliciosos. Desde notas periodísticas con sus nombres hasta falsas infidelidades de sus parejas y supuestos accidentes de hijos.

Según Citizen Lab, aunque no es seguro que el gobierno mexicano esté involucrado en esta labor de espionaje, sí hay una alta probabilidad. Primero, porque según NSO Group solo venden este tipo de tecnología a gobiernos; segundo, porque ya en 2012 se confirmó que el estado mexicano le había pagado a la empresa 20 millones de dólares por sus productos; y tercero, porque no es la primera vez que pasa.

En este nuevo caso, llama la atención que el programa de vigilancia se haya querido utilizar para vigilar, o simplemente para amedrentar, a activistas cuya labor podría afectar intereses comerciales de las compañías refresqueras. Sin embargo, ya en agosto de 2016 supimos que el mismo malware había sido enviado a Rafael Cabrera, un periodista líder en la investigación sobre la Casa Blanca: uno de los más grandes casos de corrupción que se han denunciado en el periodo de presidencia de Enrique Peña Nieto, actual presidente de México.

Para R3D y Social TIC, las dos organizaciones mexicanas que alertaron sobre los casos de los activistas anti-refrescos e iniciaron la documentación de los mismos, esto demuestra que el espionaje en México “está fuera de control”.

Desde de 2015 supimos que el gobierno mexicano era el cliente más importante de Hacking Team, la empresa italiana que vende Galileo, otro invasivo programa que tiene la capacidad de activar micrófonos y cámaras de forma remota, acceder a correos electrónicos, historiales de navegación y otra información sensible. Además, es sabido que en este país el malware fue utilizado en contra de opositores políticos durante las campañas electorales.

Igual de grave resulta el hecho de que, según un reciente informe de R3D, el 99% de actos de vigilancia a las comunicaciones se realizan de forma ilegal, ya sea porque no cuentan con el respaldo de una orden judicial o porque las autoridades que compran este tipo de programas no tienen la autorización para usarlos.

No es una cosa de ciencia ficción: el espionaje es algo real, utilizado de forma desproporcionada en un país que atraviesa una grave crisis de derechos humanos. Sin controles democráticos adecuados, estas prácticas violan no solo el derecho a la privacidad, sino también a la libertad de expresión de la ciudadanía.

Las ciudades inteligentes y el problema de la vigilancia

Las ciudades inteligentes, o smart cities, han sido promovidas como uno de los últimos grandes logros provenientes de la reunión entre tecnología y prácticas sociales. Grandes empresas globales -entre las que se cuentan Siemens, Cisco y Telefónica- han comenzado a desarrollar e implementar proyectos que buscan cambiar la forma en que habitamos la ciudad, de manera que una serie de cuestiones relativas a la vida urbana se hallan ahora adosadas al adjetivo smart: transporte inteligente, manejo de residuos inteligente, energía inteligente, salud inteligente y seguridad inteligente. Estas etiquetas buscan alinear los desarrollos de las tecnologías digitales, generar espacio para la innovación y gestionar de mejor forma los entornos urbanos. El argumento subyacente es que las tecnologías ofrecen una oportunidad para el desarrollo y resultaría contraintuitivo oponerse.

Sin embargo, sí resulta adecuado poner en entredicho los eventuales avances que promueven las tecnologías smart. Principalmente, porque sitúan a las tecnologías en una dimensión que naturaliza su aporte al desarrollo: con más tecnología, se nos dice, estaremos siempre mejor. Pero existen ámbitos en los cuales la tecnología no es siempre una respuesta o, al menos, donde la inclusión de tecnología puede generar riesgos mayores a sus eventuales beneficios. Un aspecto donde esto resulta especialmente importante es el de la privacidad.

Varios autores han dado cuenta de las implicancias de las tecnologías de la vigilancia en las ciudades contemporáneas, destacando cómo estas tecnologías se vinculan con proyectos smart. Fernanda Bruno, por ejemplo, ha señalado que vivimos en un contexto de vigilancia distribuida, juicio que se torna razonable al observar cómo los circuitos de vigilancia -pública y privada- han plagado ciudades como Londres.

La contracara evidente del problema de la vigilancia es el valor que asignamos a nuestra privacidad, sobre todo en espacios públicos. Una cuestión que se mostró abiertamente en tensión en el caso de los globos de vigilancia en Santiago. Esta problemática no ha sido ajena a otras latitudes, donde las políticas smart ya cuentan con más años de despliegue. Es el caso de Holanda, donde un grupo de investigadores ha dado cuenta cómo las nociones en torno a la privacidad se ven afectadas por estos procesos. Luego su investigación en Amsterdam concluyen que un componente central de la población es la de ambivalencia ante la inclusión de estas tecnologías: si bien por un lado se reconoce el eventual valor de ellas, la recolección automática de datos en el espacio público eleva grandes dudas, especialmente en lo referente al gobierno de tales datos, los permisos asociados a estos y sus posibles usos.

El uso generalizado de tecnologías de vigilancia en centros urbanos, el discurso smart asociado a tales desarrollos y las adecuadas consideraciones de la población en torno al uso de datos recabados en el espacio público, sitúan la pregunta por las tecnologías smart en una dimensión que va más allá del mero -y supuesto- desarrollo. En el caso latinoamericano esto queda en evidencia: Santiago de Chile ya firmó un convenio con CISCO, mientras que en Río ya se ha denunciado las implicancias de las tecnologías smart para el transporte público.

Es en esta línea que, recientemente, un núcleo de investigadores planteó la pregunta por la ética de los datos. Esto resulta de vital interés, pues permite cuestionar los valía de la aplicación de nuevas tecnologías más allá del argumento de la eficiencia. En buena hora, se vuelve a plantear la pregunta por la tecnología y sus implicancias, atendiendo a para qué las necesitamos y cuáles son los costos asociados a su implementación. Lo anterior permite plantear la pregunta por el adecuado uso de los datos en el contexto de las smart cities, tal como lo ha postulado Kitchin.

El creciente interés que despiertan estas temáticas en la comunidad académica dista, con mucho, de lo que se puede observar en la realidad chilena. Mientras la discusión legislativa se dilata de formas inexplicables, en el contexto de una ley que ya en 1999 se encontraba desactualizada respecto a las tecnologías existentes, las prácticas tecnológicas que posibilitan sistemas como Transantiago ponen en entredicho nuestros derechos cotidianamente.

En esta línea, a nivel latinoamericano la cuestión no es mejor. Tal como fue presentado en Latin America in a Glimpse (pág. 11), la inversión en software de vigilancia como la realizada en México, así como el bloqueo de WhatsApp acontecido en Brasil, son antecedentes que debieran elevar alertas. Particularmente, apuntando a identificar que hoy, más que nunca, la privacidad es un concepto en disputa.

El Foro de Gobernanza de Internet en un país autoritario

México atraviesa una grave crisis de derechos humanos. Sin embargo, es la sede del Foro de Gobernanza de Internet (IGF) —un evento de Naciones Unidas que cada año reúne a gente de academia, gobiernos, activistas y empresarios para discutir los temas más controversiales en la red. Entre desapariciones forzadas, torturas, asesinatos de periodistas, corrupción e impunidad, cientos de personas de todo el mundo debaten algo crucial: cómo hacer de internet un espacio más democrático.

La paradoja es evidente. Los derechos humanos online y offline no pueden disgregarse. En la ceremonia de bienvenida, el gobierno mexicano se encargó de recordar la prohibición de protestar, repartir panfletos o hacer críticas dirigidas, y además organizó una cena de gala privada, rompiendo con la tradición del evento que busca reunir a los diferentes sectores. ¿Cuál es la razón de la exclusión? ¿Tanto temen a la crítica?

Hay que decirlo con todas sus letras: México no es ningún ejemplo de democracia digital. El espionaje ilegal es más que común y se usa para intimidar a periodistas y opositores políticos. Además, la violencia en línea es un método predominante de intimidación y las autoridades mexicanas hacen poco para contrarrestarla.

En cuanto a la vigilancia, sabemos que el gobierno interviene comunicaciones privadas y obtienen metadatos de usuarios y su geolocalización en tiempo real a través de medios ilegales. Según un reciente informe de la Red en Defensa de los Derechos Digitales, el 99% de estos actos se hacen sin orden judicial.

Red en defensa de los derechos digitales

El organismo de inteligencia nacional (CISEN) dice haber obtenido 2002 autorizaciones judiciales para intervenir comunicaciones privadas, pero los jueces aseguran que fueron únicamente 654. Además, la Policía Federal vigiló 1781 dispositivos, aun cuando solo tenía autorización sobre 205. Intervenir comunicaciones sin orden judicial va en contra de lo que dice la propia Constitución. Y dicha ilegalidad es muy preocupante en un país corrupto donde periodistas han denunciado los nexos del gobierno con el crimen organizado y donde desaparecen estudiantes y se reprimen protestas, entre otros crímenes: la vigilancia, lejos de ayudar a combatir el crimen, se usa para perseguir la disidencia.

Red en defensa de los derechos digitales

Pero resulta más grave el hecho de que el estado mexicano use malware de vigilancia para silenciar a periodistas y opositores políticos. El gobierno mexicano es el cliente más importante de Hacking Team –la empresa italiana que vende uno de los software más intrusivos en el mercado-, pero además ha comprado estos programas a otras empresas como NSO Group, usándolo para espiar a periodistas disidentes que han descubierto escándalos de corrupción del presidente Enrique Peña Nieto. Por si fuera poco, durante la campaña presidencial de 2012, quienes ahora ejercen el poder contrataron a un hacker para espiar a sus opositores políticos durante la campaña.

En este contexto, la libertad de expresión está bajo fuego constante. Según la organización Artículo 19, desde que empezó la llamada “guerra contra el narco” en el año 2000, 99 periodistas han sido asesinados. Además, el 46.7% de las agresiones contra la prensa vienen de los gobiernos. Estos actos tienen un potente efecto silenciador, tanto en el mundo offline como en internet. Por otra parte el acoso, especialmente mediante amenazas en plataformas de redes sociales, se ha consolidado como una forma para intimidar, infundir miedo y silenciar: tanto activistas feministas como periodistas y caricaturistas críticos han sido amedrentados por esta vía y las autoridades no han sabido responder frente a estos hechos.

Artículo 19

En México, como en el resto de América Latina, la realidad en línea es un reflejo del autoritarismo y la violencia que se vive día a día. No puede existir una seria discusión sobre la apertura y democracia en internet, con graves violaciones a derechos humanos de por medio. El gobierno mexicano tiene mucho por hacer.

El rostro oculto del reconocimiento facial

Según declaró Claudio Orrego, intendente de la ciudad de Santiago, en diciembre de este año el Estado chileno adquirirá un software de reconocimiento facial para ser utilizado en el control de la violencia en los estadios y “con motivo de otros temas de seguridad del Estado”, por ejemplo el control de marchas y manifestaciones. Este sistema contará con los datos del Servicio de Registro Civil e Identificación, una base de datos que cuenta con las fotografías y la información personal de 17 millones de ciudadanos, y será manejado por una oficina central de la policía, quienes estarán a cargo de contrastar las imágenes tomadas por las cámaras de vigilancia contra la inmensa base de datos, a través del software especializado.

Por supuesto, Chile no es el primer país en implementar tecnologías de reconocimiento facial con finalidades de preservación del orden público. Sin ir muy lejos, el gobierno de los Estados Unidos utiliza estas tecnologías desde hace varios años, y se estima que uno de cada cuatro de sus departamentos policiales en al menos 26 estados tienen acceso a una base de datos que, a la fecha, contendría los rostros y datos personales de al menos la mitad de los ciudadanos. En Colombia, las autoridades comenzaron a implementar el año pasado el uso del software Face First en el sistema de transporte público urbano, con la finalidad de enviar alertas a través de las diferentes estaciones, así como a otros sitios, como estadios de fútbol.

Investigadores especializados han señalado que, a pesar de que esta tecnología pueda ser útil para ayudar a localizar a criminales violentos, existen riesgos implícitos en los posibles usos que pueda dársele. Por ejemplo, su utilización en protestas y manifestaciones (como ha ocurrido en Brasil y como ocurriría en Chile) podría comprometer las libertades básicas, incluyendo la libertad de expresión y manifestación, que incluye el derecho a expresarse anónimamente.

La tecnología de reconocimiento facial funciona a través de un análisis de diversos rasgos físicos, incluyendo factores como las dimensiones del rostro, la forma de los pómulos, el ancho de la nariz y la longitud de la frente. Con esta información, busca coincidencias en la base de datos hasta encontrar una o más personas cuyo perfil corresponda a los rasgos identificados. Sin embargo, un estudio reciente de la Universidad de Georgetown encontró evidencia de que el software de reconocimiento facial presenta fallas cuando la iluminación varía, y no funciona de manera precisa con personas de piel oscura, lo que resultaría en un mayor número de personas inocentes siendo indebida e innecesariamente detenidas.

Del mismo modo, con bases de datos de poblaciones amplias, es inevitable el surgimiento de falsas coincidencias. En casos como el de Steve Talley, quien ha sido reiteradamente apresado por errores en el sistema de reconocimiento facial, las implicaciones para los derechos humanos más básicos son obvias, y ponen en evidencia el principal problema de todas las tecnologías de autenticación biométrica: la dificultad de cambiar un rostro o una huella digital, una vez que este ha sido comprometido como mecanismo de reconocimiento.  Por otra parte, para una persona consciente de que está siendo vigilada, es relativamente fácil engañar a una cámara, y esto ha dado lugar al surgimiento de una serie de acciones, algunas más cercanas a la protesta y otras al performance artístico, que buscan mecanismos para escapar a la vigilancia; en ocasiones, basta con utilizar los anteojos adecuados.

Si bien algunos alegan que los problemas inherentes al reconocimiento facial pueden ser minimizados a través de un grado mínimo de intervención humana, el cual evitaría que el reconocimiento automatizado produjera falsos positivos, en otros casos el sesgo humano podría profundizar las fallas de la tecnología. Los falsos positivos terminan por forzar a los ciudadanos a probar que no son culpables, invirtiendo la carga de la prueba incluso antes de que comience el proceso y subvirtiendo así el principio básico de la presunción de inocencia. Cualquier implementación de un sistema biométrico de vigilancia debe, pues, partir de la presunción de que todo software puede fallar, y del establecimiento de estándares básicos de protección de los derechos humanos para evitar que estas fallas afecten negativamente las libertades y garantías ciudadanas.

Derechos Humanos y vigilancia en América Latina, un panorama preocupante

América Latina tiene un triste historial de autoritarismo y gobiernos que han buscado utilizar el aparato estatal para controlar a sus ciudadanos. Más preocupante que esta constatación es el hecho de que, pasadas varias décadas del período dictatorial de nuestro continente, los gobiernos latinoamericanos parecen empecinados en retroceder, en vez de avanzar, en estándares de Derechos Humanos en temas de vigilancia y privacidad.

Así lo confirman una serie de reportes publicados recientemente que buscan analizar los sistemas jurídicos y prácticas de vigilancia a la luz de los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia. Los reportes correspondientes a Argentina, Brazil, Chile, Colombia, México, Paraguay, Perú y Uruguay entregan un panorama comparativo preocupante.

Al contrastar los 13 principios para analizar la legitimidad de la vigilancia de comunicaciones antes citados con el marco normativo y las prácticas de estos siete países de Latinoamérica, queda al descubierto, no solo que los países latinoamericanos no están cumpliendo estándares de Derechos Humanos en la materia, sino que los gobiernos del continente cada día están más cómodos con la idea de utilizar la vigilancia como herramienta de control y represión política.

Peor aún parece el hecho de que nadie en el continente parece sorprenderse cuando estos hechos salen a la luz. Ya parece que nos hemos acostumbrado a que nuestros gobiernos busquen cada día vigilarnos de forma más intrusiva y sin cumplir incluso la insuficiente legislación vigente.

Solo en el último tiempo los gobiernos de Chile y Brazil adquirieron globos de vigilancia aéreos, de naturaleza militar, bajo la excusa de mantener a su población segura y combatir la delincuencia. La revelación de las bases de datos de la empresa italiana Hacking Team dejó al descubierto cómo múltiples países del continente habían adquirido millones de dólares en programas de espionaje, cuya adquisición y utilización es de dudosa legalidad y no cumple bajo ninguna circunstancia principios de necesariedad y proporcionalidad.

A lo largo del continente, múltiples proyectos de ley buscan crear registros y vincular los datos personales de los usuarios de las tarjetas de transporte público. Esto, además, da cuenta de intentos por parte de los gobiernos, de acaparar datos personales de la ciudadanía y eventualmente utilizarlos para la vigilancia y el control.

Ante esta situación, se vuelve crucial que los gobiernos de Latinoamérica acusen recibo de los esfuerzos de la sociedad civil y la academia por definir estándares claros de Derechos Humanos para la legitimidad de la interceptación de comunicaciones. En este sentido, los gobiernos deben invertir esfuerzos, no solo en modificar su legislación en la materia, para adecuarla a dichos estándares, sino también modificar las prácticas de sus distintas reparticiones, a fin de respetar, efectivamente, los Derechos Humanos en la materia.

Lo anterior no es solo una inquietud abstracta o académica sino una necesidad imperante en un continente con un pasado complejo y un presente que peligrosamente está adquiriendo rasgos similares a ese pasado autoritario.

Teléfonos que vigilan

Israel Leiva & Gisela Pérez de Acha

Los smartphones son parte de nuestra vida cotidiana más íntima. Todo lo que decimos, hacemos y pensamos, a dónde vamos, las cosas que buscamos y queremos, pasa por nuestro teléfono celular. Desde redes sociales al correo electrónico, parte importante de nuestra vida personal y profesional transcurre a través de estos aparatos.

Por eso los celulares son el objetivo perfecto si alguien está interesado en vigilarnos. No importa si es Android o iPhone, está comprobado que los teléfonos son la puerta principal a través de la cual los gobiernos, las empresas y los criminales acceden a nuestra información. La puerta es aún más ancha si como usuarios no tomamos precauciones para evitar que estos actores se infiltren en nuestros aparatos, por ejemplo, a través de software malicioso.

Un ejemplo reciente viene a colación a partir del último informe de la organización canadiense Citizen Lab sobre un tipo específico de software malicioso llamado “Pegasus”, comercializado por la empresa NSO Group.

Pegasus explota vulnerabilidades en el iPhone para obtener acceso a la información en él contenida. El informe documenta el caso del periodista Rafael Cabrera —uno de los principales encargados de la investigación que reveló escándalos de corrupción del presidente mexicano— quien recibió una serie de mensajes de texto donde alguien posaba como una agencia de noticias y referían a su vida personal y profesional de forma sospechosa. Si hubiera dado clic (cosa que al parecer no hizo) se habría infectado: todos sus mensajes, ubicación, historiales y conversaciones hubieran sido interceptados.

En lo que respecta a Android, la lógica es parecida. Vía vulnerabilidades en sus aplicaciones (un tipo de archivo llamado APK) se reportaron infiltraciones a periodistas en Irán. Si el usuario descarga estas aplicaciones maliciosas se puede acceder a todo el contenido de su teléfono. Ya en 2015 la organización Lookout descubrió lo que se conoce como “adware troyanizado”, una aplicación maliciosa que se disfraza de otra común, como podría ser Facebook, Twitter, CandyCrush o Snapchat, y permite que criminales accedan a información sensible en nuestros teléfonos. En Brasil y México cientos de miles de usuarios fueron afectados.

Si bien el panorama puede parecer alarmante, el malware utilizado en el iPhone cuesta alrededor de un millón de dólares y no tiene a los usuarios comunes como objetivo principal. Sin embargo, en términos generales, es importante seguir algunos pasos mínimos de seguridad: no abrir documentos y enlaces cuyo origen desconozcamos; nunca confiar en personas o servicios que nos piden nuestras contraseñas; verificar con quién efectivamente hablamos y no instalar archivos APK o aplicaciones de fuentes no confiables.

Un ejercicio responsable y consciente de nuestra vida en línea nos puede proteger contra ataques de empresas, gobiernos y criminales, y salvaguardar nuestros documentos e informaciones personales, y así existir de forma segura en internet.

¿Son estas las armas de espionaje de la NSA?

El pasado lunes, un desconocido grupo de hackers llamado The Shadow Brokers anunció haber obtenido archivos confidenciales de Equation Group, uno de los grupos abiertamente asociados a la NSA y los principales sospechosos del desarrollo de importantes armas de malware como Stuxnet o Flame. The Shadow Brokers inició una subasta millonaria por los archivos obtenidos, al mismo tiempo que publicaron parte de su botín como prueba de sus logros.

Si bien es imposible saber con certeza cuántas veces un grupo o servicio ligado a la NSA ha sido hackeado, esta es la primera vez que alguien indica haberlo hecho. La publicación de parte de los ficheros obtenidos le ha quitado el sueño a un buen número de profesionales y aficionados a la seguridad informática, que por primera vez tienen la posibilidad de observar y entender parte del arsenal digital con que cuenta la NSA.

Antes de avanzar es bueno recordar que el objetivo de la NSA es el espionaje masivo, es decir que -a diferencia de Hacking Team o Gamma International- no suele atacar a dispositivos específicos, sino a parte de lo que se suele denominar “infraestructura crítica”.

Objetivo: Firewalls

Gran parte de los ficheros están programados en python, un lenguaje que facilita mucho su lectura y donde es relativamente fácil encontrar pistas de qué hace qué en un programa. Es así como podemos saber que un buen número de las herramientas indican estar destinadas a firewalls.

Un Firewall es un dispositivo que se encarga de controlar el tráfico en una red de acuerdo a ciertas reglas definidas. Es la primera línea de defensa para impedir desastres en empresas, universidades, centros de salud y otros, protegiendo de ataques masivos a un gran número de ordenadores bajo su protección.

Las herramientas desarrolladas por Equiation Group serían exploits, un pequeño programa que aprovecha una vulnerabilidad de seguridad del sistema para conseguir un comportamiento anómalo. Dentro de los exploits más graves se encuentran los llamados “Remote Control Execution” o RCE que permiten a alguien ejecutar código sin tener acceso al dispositvo.

Entre los objetivos se encuentran modelos de firewall de Cisco PIX/ASA, Juniper Netscreen y Fortigate entre otros. Lo listado a continuación es la información que existe hasta el momento:

EGREGIOUSBLUNDER: Es un exploit que permite ejecución de código remoto (RCE) para firewalls Fortigate, afectando a 12 modelos específicos.

ELIGIBLEBOMBSHELL: Es un RCE para firewalls TOPSEC desde la versión 3.2.100.010.1_pbc_17_iv_3 a la 3.3.005.066.1. A este exploit le acompañan WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, una serie de programas que permiten el control del dispositivo tras la ejecución de ELIGIBLEBOMBSHELL.

ELIGIBLECANDIDATE: Es otro RCE que aprovecha otra falla de seguridad en la misma área en firewalls TOPSEC, afectando las versiones 3.3.005.057.1 a la 3.3.010.024.1.

ELIGIBLECONTESTANT: Es otro RCE también para firewalls que apunta a los mismos firewalls de ELIGIBLECANDIDATE, pero usando otra falla en su seguridad.

EXTRABACON: Es un RCE que afecta a Cisco Adaptive Security Appliance (ASA) en 15 distintas versiones. Usa una vulnerabilidad del protocolo SNMP y requiere como requisito saber el tiempo en línea como la versión de software.

EPICBANANA: es un exploit para escalar privilegios, esto significa poder ejecutar comandos de administrador en el dispositivo. Su objetivo son también los Cisco ASA y Cisco Private Internet eXchange (PIX). Usa una falla de seguridad, bastante común lamentablemente, que es usar las credenciales de acceso por defecto (la contraseña es cisco). Afecta a 15 versiones ASA y 7 PIX.

ESCALATEPLOWMAN: Es otro exploit para escalar privilegios, esta vez contra firewalls WatchGuard, sin conocerse aún las versiones afectadas. Se ejecuta mediante una inyección de código en el comando ifconfig.

BOOKISHMUTE: Exploit contra un firewall aún no identificado que ejecuta Red hat 6.0

FALSEMOREL: Permite usar el hash de una contraseña para escalar privilegios en un firewall no especificado. Requiere telnet habilitado para ejecutarse.

ELIGIBLEBACHELOR: Sirve para introducir un exploit desconocido hasta el momento en firewalls TOPSEC.

Gravedad

Varios de estos exploits son 0day (día cero), término con que se conocen las fallas de seguridad que son explotables sin tener parches por parte de sus desarrolladores. Varios de estos archivos datan de 2013, lo que implica que al menos durante tres años la NSA no informó a los fabricantes de firewalls sobre estas vulnerabilidades en sus sistemas y pudieron ser usadas.

Por la cantidad de dispositivos, EXTRABACON es posiblemente la herramienta de mayor gravedad. Si bien no está recomendado que estos routers dejen disponible SNMP en internet, una búsqueda rápida indica que en América Latina hay miles de estos dispositivos posiblemente vulnerables: más de 5200 en Brasil, casi 2000 en México, sobre 1100 en Chile  y casi 1000 en Colombia.

Combinando la nula responsabilidad de la NSA de informar los fallos de seguridad que detecta y la poca responsabilidad local de asegurar nuestras redes, miles de equipos han estado a merced de hackers durante años y hoy, por la libre disposición de estos ficheros, están a merced de cualquiera que se tome el tiempo de leer un poco

Perú pagó USD $22 millones para espíar las comunicaciones de sus ciudadanos

En América Latina, la industria de la vigilancia vive un gran momento. Cada vez son más las empresas que venden software espía a los gobiernos de la región, sin que existan regulaciones o contrapesos adecuados para controlar su adquisición y uso. En teoría, el objetivo de sus productos es el “combate al delito y la delincuencia organizada”; en la práctica, se espían ilegalmente las comunicaciones privadas de miles de ciudadanos, amenazando los derechos a la privacidad, libertad de expresión y opinión.

Recientemente, Associated Press (AP) publicó un reportaje que expone cómo el Gobierno de Perú pagó 22 millones de dólares a la empresa Verint por un software de vigilancia. La compañía israelí-estadounidense además está presente en Brasil, Colombia, Ecuador y México. Según los documentos publicados, “Proyecto Pisco” (el nombre del programa, que hace referencia al popular licor peruano) permite que los gobiernos intercepten llamadas telefónicas, mensajes de texto, correos electrónicos, chats e historial de internet de los usuarios; Puede rastrear hasta cinco mil personas y grabar hasta trescientas conversaciones simultáneas. Por si fuera poco, la Dirección Nacional de Inteligencia de Perú (DINI) también autorizó el pago de SkyLock: otro producto de Verint que permite ubicar y rastrear no solo cualquier teléfono dentro del país, sino en el mundo. Cuatro compañías telefónicas peruanas –Movistar, Claro, Entel y Viettel— firmaron un pacto con el Gobierno para cooperar con dicha geolocalización al interior del país, pero con su alcance, las posibilidades para el abuso se incrementan.

Es cierto que la ley peruana establece que las comunicaciones privadas solo pueden ser incautadas, interceptadas o intervenidas con orden judicial [Ley 29.733, artículo 13.4]. Sin embargo, este requisito no existe para la localización en tiempo real [Decreto Legislativo 1182]. Además, si el espionaje es por naturaleza secreto, ¿cómo podemos garantizar que no sea abusado por las instancias de gobierno? ¿De qué forma comprobar que es efectivo para combatir delitos? ¿Cómo saber que no se utiliza en contra de opositores políticos, periodistas o activistas?

Las dudas son razonables al mirar la historia reciente de Perú. Mecanismos del mismo estilo fueron usados anteriormente para vigilar a la exvicepresidenta distanciada del Gobierno, a policías y a periodistas. Sin medidas adecuadas que garanticen una mínima transparencia, mecanismos de notificación y rendición de cuentas, la violación a los derechos a la privacidad y libertad de expresión de los ciudadanos es latente.

Y como hemos dicho, no se trata de una primera incursión de la empresa. Verint se une a la creciente lista de empresas que venden software de espionaje en la región, como Hacking Team, Packrat y Fin Fisher. Desde 2006, en México esta compañía implementó una plataforma de vigilancia financiada por Estados Unidos que puede interceptar, analizar y retener todo tipo de información en cualquier sistema de telecomunicaciones. En Colombia, Verint, a través de su subsidiaria Curaçao, ha sido la empresa responsable del desarrollo de tecnología de vigilancia masiva. En la ciudad brasileña de Nitero, Verint vendió doscientas cámaras de seguridad y equipo para monitorear el audio y redes sociales de las personas. En el marco de las crecientes actividades de vigilancia por los Juegos Olímpicos, dicha iniciativa es preocupante. Mientras tanto, en la ciudad de Guayaquil en Ecuador, hay más de ochocientas cámaras que, según la propia empresa, pueden inclusive recoger datos biométricos.

El espionaje de comunicaciones realizado de forma masiva merece el más enérgico rechazo, como una conducta ilegal bajo el derecho internacional de los derechos humanos, por ser desproporcionada e innecesaria. Sin embargo, el marco normativo para regular la adquisición y el funcionamiento de estas tecnologías es claramente insuficiente. Con los marcos actuales, es muy poco lo que se puede hacer para garantizar que dicho equipo de seguridad o software para “combatir el crimen” no será efectivamente utilizado para violar derechos humanos y perseguir a disidentes.

Queda claro que los gobiernos de América Latina están dispuestos a desembolsar grandes cantidades de dólares para asegurar su capacidad de vigilancia. La impunidad y falta de regulación hacen que este lucrativo negocio crezca, a expensas de los ciudadanos, que como contribuyentes al erario público financian a la industria que facilita la denegación de sus derechos.