Temática: Vigilancia

Tendencias y prácticas de vigilancia en América Latina

Este informe fue realizado en conjunto por el Consorcio Al Sur, del cual Derechos Digitales forma parte. El documento explora cómo las prácticas de vigilancia se han expandido en América Latina en los últimos años, marcadas por el avance de tecnologías digitales y la falta de regulaciones adecuadas. A través del análisis de casos en países como Argentina, Brasil, Chile, Colombia y México, se evidencia una creciente adopción de sistemas de videovigilancia, reconocimiento facial, monitoreo de redes sociales y recopilación masiva de datos por parte del Estado, a menudo sin transparencia ni control democrático.

El informe advierte sobre la normalización de estas prácticas bajo discursos de seguridad, combate al crimen o control sanitario, especialmente durante la pandemia de COVID-19. También destaca la participación de empresas privadas y actores internacionales en la provisión de tecnologías, muchas veces sin marcos que garanticen la protección de derechos fundamentales como la privacidad, la libertad de expresión y la no discriminación. Se concluye que la región enfrenta una expansión silenciosa de sistemas de vigilancia que requieren respuestas urgentes: legislación robusta, mecanismos de rendición de cuentas, participación ciudadana y gobernanza basada en derechos humanos.

Descargar documento

Hablar en clave para existir: resistencias digitales frente a la censura algorítmica

Estas frases alteradas aparecen en redes cada vez que abordamos temas que desafían las normas impuestas por el algoritmo: 4bu$o s3xual, su1c1d1o, desvivir. Se le llama “algospeak” a estas estrategias de lenguaje que buscan eludir la vigilancia de plataformas como TikTok, YouTube o Instagram a ciertos contenidos considerados inapropiados. Así se forma un código lleno de caracteres y eufemismos que no surge de la creatividad, sino de la necesidad de resistir un sistema que a menudo castiga la discusión de una realidad muchas veces incómoda mediante el silenciamiento.

La gestión algorítmica no solo limita el presente, también interviene en la posibilidad de construir futuros más justos. Al condicionar qué narrativas son visibles y cuáles no, los algoritmos afectan directamente la capacidad de articular ideas, reflexiones, desacuerdos y alternativas.

Las voces que denuncian violencias estructurales son etiquetadas como “inapropiadas” o simplemente eliminadas. De hecho, las personas defensoras de derechos humanos, activistas y periodistas son especialmente afectadas, porque sus relatos son sistemáticamente considerados como “sensibles” o “peligrosos” por sistemas que no entienden el contexto ni el propósito de las expresiones detectadas por los filtros automatizados.

Esta jerarquización automática de los discursos revela una visión del mundo profundamente sesgada. El algospeak es síntoma de un entorno que redefine lo que podemos decir, que aplica controles automáticos y reorganiza lo que consideramos importante. Pero el daño no es solo individual: afecta también lo que recordamos y cómo construimos colectivamente nuestros relatos en la defensa de los derechos humanos.

La doble vara del algoritmo

Los estándares de las plataformas no se aplican con el mismo rigor para todos los contenidos ni para todas las voces. Un ejemplo claro de este desbalance ocurrió en México, cuando publicaciones que denunciaban abusos policiales fueron eliminadas por usar música con derechos de autor. Aunque el objetivo era denunciar violencia institucional, el algoritmo priorizó la protección de propiedad intelectual por sobre el derecho a la verdad y la justicia. Al mismo tiempo, contenidos que promovían discursos misóginos o racistas se mantuvieron visibles sin consecuencias.

Esta doble vara, que castiga la denuncia y deja pasar el abuso, no es un error: es una consecuencia directa de sistemas diseñados sin contexto, sin perspectiva de derechos y sin rendición de cuentas. Se censuran las pruebas, pero no las violencias. Se penalizan las denuncias, pero no las estructuras que las provocan. Al proteger ciertas narrativas y silenciar otras, los algoritmos refuerzan el statu quo y erosionan las posibilidades de transformación social.

Además, según recoge la Red Internacional de Periodistas, este es un juego asimétrico. En ese laberinto de claves y restricciones, lo que está en riesgo no es solo el alcance inmediato; las denuncias se vuelven más difíciles de rastrear, y la información concreta de organizaciones, activistas o movimientos sociales desaparece para quienes más la necesitan.

El impacto en la acción colectiva y la memoria

El control automático que penaliza palabras sin ponerlas en contexto condiciona la forma en que narramos nuestras luchas, ya que nos obliga a moldear las palabras que usamos para nombrar nuestras realidades. En muchos casos, estas son palabras que han costado años conceptualizar y consensuar dentro de los movimientos sociales. Al no llamar las cosas por su nombre, se diluye el mensaje y se fragmenta la memoria colectiva.

Como advierte la revista Forced Migration Review, cuando comunidades en condiciones vulnerables se reapropian de términos o usan lenguajes de denuncia, los algoritmos parecen ser más efectivos para eliminar sus contenidos que para moderar discursos de odio o acoso que les atacan. Este desbalance se vuelve crítico cuando miramos quiénes quedan sistemáticamente fuera de las reglas del juego. Las experiencias de personas refugiadas y/o racializadas, por ejemplo, se vuelven aún más invisibilizadas.

Existe un desfase entre los contextos locales y las reglas impuestas globalmente por las plataformas. Muchas veces, los sistemas de moderación algorítmica no están adaptados a las realidades sociales, culturales y lingüísticas de comunidades del Sur Global, lo que intensifica la exclusión digital. Una palabra que en un idioma puede ser una forma legítima de denuncia, en otro es catalogada como violenta o riesgosa. Esta desconexión refuerza la desigualdad en el acceso a la palabra pública y subraya la necesidad de una moderación en el entorno digital que escuche y responda a las realidades plurales que habitan internet.

Quienes dominan los códigos pueden sortear la censura; quienes no, quedan afuera de la conversación. El Digital Future Society alerta que a activistas, creadores de contenido y periodistas se les exige desarrollar un lenguaje que se reinventa una y otra vez frente a la opacidad algorítmica. Pero cuando las palabras cambian constantemente para eludir la censura, se vuelve más difícil ponerlas en común y hacerlas accesibles para otras personas. Frente a estas restricciones debemos repensar cómo nos comunicamos y qué estrategias podemos adoptar.

¿Cómo resistimos?

Nombrar con claridad es un acto político. Llamar las cosas por su nombre, sin eufemismos, es también una forma de resistencia. Reapropiarse del lenguaje algorítmico no significa aceptarlo, sino visibilizarlo como síntoma de un sistema injusto. Algunas organizaciones ya crean glosarios y recursos compartidos para descifrar el algospeak, como el Algospeak Dictionary del Colectivo de Derechos Digitales para la Salud y los Derechos Sexuales y Reproductivos. Democratizar estos conocimientos es clave para que más personas puedan resistir y participar.

También necesitamos exigir mayor transparencia algorítmica. Las plataformas deben explicar cómo moderan y bajo qué criterios y con qué sesgos. Este reclamo no es técnico: es político. Implica defender la libertad de expresión, pero también proteger los temas políticos, culturales y sociales que importan y que hoy están siendo eliminados por sistemas automatizados.

Por último, urge construir y habilitar redes que no estén subordinadas a intereses corporativos. Espacios descentralizados como el fediverso, los medios comunitarios, cooperativas digitales o las alianzas entre organizaciones pueden resguardar nuestras narrativas y sostener la memoria. Resistir también es cuidar redes donde nuestras palabras no sean censuradas por algoritmos opacos.

Palabras que pesan

Las palabras tienen peso. Y cuando las escribimos completas, aunque duelan, aunque molesten, estamos recordando que hay cosas que no pueden ser contenidas, ni siquiera por un algoritmo. Recuperar el lenguaje, cuidarlo y defenderlo es una tarea urgente para quienes luchan por una internet más justa.

En tiempos de automatización y censura silenciosa, reapropiarnos del derecho a nombrar también es reapropiarnos del derecho a existir. No basta con adaptarse: necesitamos transformar el entorno digital para que nuestras palabras no tengan que esconderse.

Rechazo al Proyecto de Ley Orgánica de Inteligencia, Inteligencia Estratégica y Contrainteligencia

Ecuador DM, 03 de junio de 2025

Las organizaciones firmantes expresamos nuestro rechazo categórico al Proyecto de Ley Orgánica de Inteligencia, Inteligencia Estratégica y Contrainteligencia, que actualmente entra en discusión en la Asamblea Nacional. Esta propuesta legislativa no responde a la urgente necesidad de fortalecer la seguridad en el país, sino que establece las bases para un sistema opaco, autoritario y profundamente lesivo a los derechos humanos, en una propuesta de ley que ha sido desarrollada entre el silencio mediático y las sombras.

En un contexto donde la inseguridad, el crimen organizado y la corrupción requieren respuestas integrales, coordinadas y democráticas, este proyecto no ofrece soluciones reales. Por el contrario, institucionaliza la impunidad, concentra el poder en el Ejecutivo y reduce al mínimo los mecanismos de control y fiscalización ciudadana y judicial.

Denunciamos que el proyecto:

1. Viola el derecho a la privacidad y al debido proceso: Al permitir el acceso a datos personales y comunicaciones sin orden judicial, se habilita una vigilancia masiva e inconstitucional sobre la ciudadanía.

2. Otorga impunidad a los agentes de inteligencia: Exime de responsabilidad penal, civil y administrativa a quienes cometan abusos en el marco de sus funciones, generando un sistema paralelo fuera del estado de derecho.

3. Impone una entrega obligatoria de información sin garantías: Obliga a instituciones, empresas y personas a entregar datos bajo amenaza legal, sin protección de confidencialidad ni posibilidad de oposición.

4. Legaliza el uso de gastos reservados sin fiscalización: Se establece el uso de recursos públicos bajo la figura de «gastos reservados», sin controles independientes ni auditorías externas, reproduciendo las mismas condiciones que permitieron escándalos de corrupción y espionaje político en el pasado (como con la extinta SENAIN).

5. Permite el uso político del sistema de inteligencia: Con un ente rector nombrado directamente por el Presidente y sin mecanismos de supervisión autónoma, el sistema puede ser fácilmente instrumentalizado para perseguir a críticos, opositores, periodistas y defensores de derechos.

6. Debilita la transparencia y la democracia: La clasificación arbitraria de información como “secreta” limita el acceso ciudadano y periodístico, erosionando la rendición de cuentas y alimentando la opacidad institucional.

7. Incumple estándares internacionales de derechos humanos: Desconoce el fallo Cajar vs.Colombia de la Corte Interamericana de Derechos Humanos, que exige proteger los datos personales en sistemas de inteligencia y garantizar derechos como la cancelación, corrección y actualización, reconociendo la autonomía informativa.

Este proyecto no combate la inseguridad: la profundiza

Implementar un aparato de inteligencia sin garantías de control, transparencia ni respeto a los derechos fundamentales no combate la violencia ni el crimen organizado. Lo único que asegura es más poder para el Presidente y el aparato estatal, menos vigilancia ciudadana, y más herramientas para el abuso.

La historia reciente de Ecuador demuestra que la concentración de poder y la opacidad en los sistemas de inteligencia no mejoran la seguridad, sino que alimentan el espionaje ilegal, la persecución política y la corrupción.

Exigimos:

  • El archivo inmediato del Proyecto de Ley;
  • La apertura de un debate público y participativo, con organizaciones de derechos humanos, periodistas, expertos en seguridad y sociedad civil;
  • La construcción de una política de inteligencia basada en controles democráticos, transparencia y respeto irrestricto a los derechos fundamentales;
  • El establecimiento de mecanismos efectivos de fiscalización y rendición de cuentas, incluyendo la eliminación de gastos reservados sin auditoría externa.
  • Un pronunciamiento urgente de la Superintendencia de Protección de Datos Personales respecto al contenido de este proyecto de Ley que pretende un acceso desmedido y sin consentimiento a datos personales.

No se combate la violencia entregando al Estado las herramientas para violar derechos.

No hay seguridad sin democracia. No hay democracia sin control ciudadano.

No a la impunidad.

Análisis sobre el proyecto de Ley de Inteligencia en Ecuador

Descargar PDF

En la Asamblea Legislativa de Ecuador avanza la discusión del «Proyecto de ley orgánica de inteligencia» que, si bien busca responder a los retos que enfrenta el país en materia de seguridad nacional, propone un articulado que genera preocupación por su nivel de desprotección de los derechos humanos.

Cuando la ciberseguridad es cooptada por la inteligencia estatal

La ciberseguridad se ha consolidado como un tema primordial para los Estados latinoamericanos en los últimos años. Entre la creciente digitalización y las amenazas cibernéticas, se ha impulsado la formulación de estrategias nacionales y otras políticas públicas que establecen tanto los objetivos de los gobiernos en la materia, como, en muchos casos, las entidades responsables de su implementación. En ese contexto, y como señalamos en una reciente publicación, es fundamental abordar a las políticas de ciberseguridad desde enfoques basados en derechos humanos que coloquen a las personas al centro de las acciones de prevención y respuesta a los ciberataques contemplando sus riesgos específicos y necesidades, priorizando el ejercicio de derechos fundamentales. En las últimas semanas, Argentina ha captado la atención del ámbito de la ciberseguridad debido a una serie de decisiones gubernamentales que han encendido varias alarmas.

¿Qué fue lo que ocurrió?

En septiembre de 2023, Argentina aprobó su Segunda Estrategia Nacional de Ciberseguridad, un documento que, a primera vista, representó un avance significativo en la región al incorporar principios de derechos humanos y perspectiva de género. No obstante, ese enfoque ha quedado en entredicho tras una serie de decisiones adoptadas por el gobierno actual. En julio de 2024, la reestructuración del Sistema de Inteligencia Nacional -que disolvió la Agencia Federal de Inteligencia y restituyó sus funciones a la vieja Secretaría de Inteligencia del Estado (SIDE), restablecida bajo el control directo y exclusivo del Poder Ejecutivo- marcó el primer giro. Luego, en abril de 2025, con el Decreto 274/2025, la preocupación se intensificó: la SIDE pasó a controlar la Agencia Federal de Ciberseguridad y, con ello, la implementación de la Estrategia Nacional y la operación del CERT.ar. Este modelo de gobernanza en la política de ciberseguridad no tiene precedentes, ni dentro ni fuera de América Latina.

A la par de dichas reformas, en mayo de 2025 la SIDE aprobó el Plan de Inteligencia Nacional (PIN). Este es un documento definido por el gobierno como “secreto”, que establece los lineamientos del Sistema de Inteligencia para “promover los intereses estratégicos” del gobierno. Al PIN sólo tienen acceso el presidente, la SIDE y la Comisión Bicameral Permanente de Fiscalización de los Organismos de Inteligencia. Esta restricción para la consulta del documento siembra de entrada preocupaciones no solo sobre su opacidad sino sobre los retrocesos que pueda representar para las libertades y los derechos fundamentales de la ciudadanía. Más aún, y según lo señalado por medios como La Nación que ha logrado acceder al documento extraoficialmente, el PIN otorga facultades a la SIDE para recabar información sobre todas aquellas personas que, a criterio de la entidad, “erosionen” o “manipulen” la confianza de la opinión pública sobre las políticas de seguridad y económicas del gobierno actual; una práctica prohibida por la propia Ley de Inteligencia Nacional

La aprobación del PIN despertó las alarmas del gremio periodístico y del sector de la sociedad civil argentina, pues la ampliación de las facultades operativas de la SIDE básicamente legitima la persecución y vigilancia a quienes expresen opiniones críticas, un pilar fundamental para el debate democrático. De hecho, el periodista de la Nación que reveló la existencia del nuevo documento de inteligencia estatal reportó ataques a sus cuentas de redes sociales, así como amenazas recibidas a través de estas. La gravedad de este caso visibiliza un patrón sistemático en el país y en la región que amenaza la libertad de expresión así como el derecho de acceso a la información pública, aspectos que hemos documentado en otros artículos.

Los peligros del cambio en la gobernanza de la ciberseguridad

Designar la ciberseguridad al mando de organismos de inteligencia implica un retroceso en la medida que desplaza el enfoque centrado en las personas, limita la participación social y profundiza riesgos de vigilancia. Este cambio se alinea con una concepción conservadora de la ciberseguridad, anclada en una visión técnica centrada exclusivamente en la protección de infraestructuras críticas del Estado, puesto que las agencias de inteligencia tienen como núcleo la protección de los intereses estatales desde el ámbito de la seguridad nacional. Es importante destacar que este enfoque ha sido paulatinamente superado por marcos más integrales y centrados en derechos humanos, que colocan a las personas en el núcleo de las políticas de prevención y respuesta.

Sumado a lo anterior, disponer el desarrollo y la implementación de políticas de ciberseguridad bajo la estructura oculta de la inteligencia estatal, lejos de ser un detalle técnico, reactiva una lógica peligrosa y ya conocida en la región: la priorización discursiva de la seguridad nacional como justificación para restringir libertades fundamentales. A saber, a lo largo del siglo pasado, esta narrativa fue utilizada por regímenes dictatoriales para vigilar, censurar y reprimir a la disidencia bajo la «doctrina de seguridad nacional».

Ahora bien, uno de los pilares en los procesos de Memoria, Verdad y Justicia en la superación de las dictaduras de la región ha sido precisamente la exigencia de límites democráticos al accionar de las agencias de inteligencia. La persistencia de mecanismos opacos y sin controles –como es el caso argentino– no solo es un problema de transparencia, sino una evidencia de que las prácticas y finalidades mismas de dichas agencias siguen siendo incompatibles con los principios democráticos, lo que va en contramano de fallos históricos recientes en la región.

En el escenario argentino, el rediseño del sistema de inteligencia y el traspaso del control de la ciberseguridad a la SIDE no son hechos menores ni aislados, sino parte de un proyecto político del actual gobierno. Este proyecto impulsa discursos y medidas abiertamente regresivas en temas como género, diversidad, protesta social y acceso a la información pública, que han sido denunciados por organismos y organizaciones internacionales como la Relatoría Especial para la Libertad de Expresión de la OEA y Reporteros Sin Fronteras. Esta agenda antiderechos tiene graves impactos especialmente sobre grupos históricamente vulnerables, entre ellos mujeres y personas LGBTQIA+, que además son un blanco frecuente y desproporcionado de las prácticas de vigilancia y los ataques digitales, particularmente quienes ejercen liderazgos políticos, sociales o periodísticos. Precisamente, quienes deberían estar en el centro de las políticas de ciberseguridad son quienes más riesgos enfrentan con los recientes giros autoritarios.

El cambio de gobernanza en cuestión se articula, además, con decisiones geopolíticas de alineamiento expreso con los intereses de Estados Unidos e Israel, países mencionados explícitamente como referentes estratégicos en el nuevo PIN argentino. Esta alineación no solo refuerza una lógica de seguridad nacional que pone en tensión los derechos fundamentales, sino que también reproduce un modelo caracterizado por la concentración de poder y la falta de controles democráticos efectivos. En el caso argentino, donde no existen mecanismos efectivos institucionales de fiscalización sobre las agencias de inteligencia, la pregunta que se impone con fuerza es ¿quién vigila a quienes vigilan?

Implicancias del caso argentino para nuestra región

El caso argentino hace eco en hechos históricos y expone cómo los marcos legales pueden ser utilizados para habilitar prácticas autoritarias. Además, y tomando como referencia un informe reciente de Derechos Digitales, junto a otras acciones realizadas por el gobierno argentino el último tiempo, como la Resolución 428/2024, el caso consolida un rumbo para el despliegue de prácticas de vigilancia bajo normas poco claras, un camino que el Estado ya venía trazando desde 2020. Lo ocurrido en las últimas semanas formaliza dichas actividades y habilita otras como el monitoreo masivo en redes, bajo una estructura que convierte la ciberseguridad en un instrumento político para vigilar y silenciar a la disidencia.

Como vemos, el problema no es nuevo; lo nuevo es que se legitiman la persecución y la vigilancia por vía legal. Estamos ante una disputa política que requiere respuestas claras por parte de los Estados. La región evidencia un panorama en el cual crece la tolerancia hacia formas autoritarias de gobierno. Argentina, un país considerado históricamente como referente en materia de derechos humanos, se ha venido alejando de ese lugar. Este retroceso insta a la activación de compromisos concretos del resto de los países de la región, no solo para construir y defender estándares comunes, sino para impedir que un modelo de ciberseguridad como este sea replicado.

La preocupación es aún mayor considerando que Argentina es uno de los países de América Latina con las estructuras institucionales más robustas en esta área. Cuenta con más recursos técnicos, capacidades operativas y fuerza política que muchos otros. En una región marcada por profundas asimetrías entre países —donde muchos carecen de marcos sólidos, personal capacitado y financiamiento adecuado para la ciberseguridad—, existe el riesgo real de que modelos autoritarios como el argentino influyan negativamente en el diseño de políticas públicas en otros Estados.

Reafirmar un enfoque en ciberseguridad basado en derechos humanos no es una aspiración técnica, sino una urgencia democrática. La protección de la privacidad, la libertad de expresión y la inclusión digital debe estar en el centro de toda política pública en la materia. Fortalecer la gobernanza democrática -con participación multisectorial, perspectiva de género y atención a las desigualdades estructurales cómo las de género- es una tarea impostergable. Solo así podremos construir resiliencia digital sin ceder las libertades que sostienen nuestras democracias.

Ciberpatrullaje: cuando vigilar se justifica en nombre de la seguridad

Seguridad digital ≠ Seguridad nacional

La narrativa de seguridad ha justificado el despliegue de vigilancia digital en varios países de América Latina. En Argentina, una resolución habilitó a las fuerzas de seguridad a monitorear redes sociales y otras fuentes abiertas, incluso con inteligencia artificial, bajo criterios ambiguos que permiten investigar “cualquier delito”. En Perú, se firmaron convenios para entrenar cibersoldados, en alianza con una empresa israelí, país cuestionado por sus tecnologías de vigilancia, importando modelos de guerra digital sin debate. En Colombia, el ciberpatrullaje es una práctica oficial de la Policía Judicial para recolectar información pública, sin garantías de proporcionalidad.

Aunque se presentan como medidas para prevenir delitos, estas prácticas han sido utilizadas para vigilar, judicializar o intimidar a personas por ejercer su libertad de expresión. En Argentina, un joven fue procesado por un tuit; en Bolivia, 37 personas fueron condenadas por supuesta participación en protestas; en Brasil, una sátira sobre Bolsonaro terminó en detención; en Uruguay, un adolescente fue arrestado por error tras una confusión en redes; y en México, la Guardia Nacional usó software israelí para rastrear a críticos del ejército. Todos estos casos documentados en el informe Perfilamiento en redes sociales y ciberpatrullaje como nuevas modalidades de la vigilancia masiva desplegada por los Estados: casos relevantes en América Latina, evidencian cómo el discurso de protección ha servido para legitimar formas de vigilancia contrarias a los derechos humanos.

El caso más reciente ocurrió en Venezuela, tras las protestas por los resultados electorales, el monitoreo de redes también fue utilizado para perseguir e intimidar a manifestantes y activistas.

OSINT y ciberpatrullaje: entre la búsqueda abierta y la vigilancia encubierta

Para entender cómo se aplican hoy las prácticas de vigilancia, es necesario observar el uso de la inteligencia de fuentes abiertas (OSINT por sus siglas en inglés) y su implementación en el ciberpatrullaje. La metodología OSINT consiste en recolectar y analizar información pública, como publicaciones en redes sociales, sitios web, imágenes, videos o metadatos, con fines investigativos. Su expansión se debe a que no requiere vulnerar sistemas protegidos: todo está a la vista. Pero esa accesibilidad no implica que su uso esté libre de consecuencias.

Si bien existen usos responsables y útiles de esta herramienta como el de Trace Labs -una organización que usa OSINT en plataformas colaborativas para ayudar a encontrar personas desaparecidas bajo protocolos y fines humanitarios- este tipo de iniciativas son excepcionales.  En la mayoría de países de la región, OSINT ha sido adoptado por fuerzas de seguridad bajo el argumento de proteger a la ciudadanía o prevenir amenazas, pero en realidad se usa para vigilar y perfilar a personas críticas del poder, periodistas y activistas. El perfilamiento implica recolectar, clasificar e interpretar datos para construir hipótesis sobre una persona: qué piensa, con quién se vincula o qué podría hacer.

El ciberpatrullaje amplifica esta lógica: es la práctica estatal del monitoreo del discurso en línea (y de las personas) con técnicas OSINT, en la mayoría de las veces sin notificación, sin supervisión ni protocolos claros. Su implementación no está orientada a la identificación de personas vinculadas a causas judiciales, sino que opera de forma masiva, permitiendo el perfilamiento de individuos por sus opiniones, afiliaciones políticas o participación en espacios sociales.  Sin embargo, tanto los perfilamientos como el ciberpatrullaje pueden derivar posteriormente en la apertura de causas judiciales. En contextos de desigualdad, estas prácticas golpean con más fuerza a mujeres activistas, comunidades indígenas, personas defensoras de derechos humanos o sectores populares. ¿Qué criterios se usan?, ¿cuáles son los límites? El problema no es OSINT en sí, sino cómo, para qué y contra quién se utiliza.

El Consejo de Derechos Humanos de la ONU aprobó en 2022 el informe “Sobre el derecho a la privacidad en la era digital” que por primera vez explora las prácticas de inteligencia en redes sociales y de monitoreo del discurso en línea como nuevas modalidades de vigilancia masiva estatal. Al reconocer que son actividades que tienen serios impactos en los derechos humanos, sostiene que esta observación del espacio público es casi siempre desproporcionada. En ese sentido, recomendó a los Estados adoptar marcos legales adecuados para regular la recolección, análisis y compartición de inteligencia obtenida de redes sociales que delimite claramente los escenarios en que ésta se encuentra permitida, sus prerrequisitos, las autorizaciones y procedimientos, así como los mecanismos para garantizar su supervisión adecuada.

En la región, identificamos que es una práctica que pretende ampararse en la legalidad, pero que en realidad se despliega a partir de interpretaciones arbitrarias de ciertas facultades como la prevención del delito. Estas facultades, originalmente pensadas para otros fines, están siendo extendidas sin regulación específica al ámbito digital, incluyendo la detección temprana de delitos supuestamente vinculados a la actividad de quienes presuntamente desinforman. Este escenario genera una profunda inseguridad jurídica y un efecto amedrentador, dificultando que las personas ejerzan libremente sus derechos en línea.

¿Cómo cuidarnos frente al ciberpatrullaje?

Aunque la responsabilidad principal frente a la vigilancia digital recae tanto en los Estados como en las plataformas y empresas que permiten o ejecutan estas actividades, también es cierto que históricamente grupos de la sociedad civil hemos generado estrategias de autoprotección para sobrevivir en entornos hostiles. Protegernos significa responder con conciencia crítica y cuidado colectivo mientras exigimos marcos legales que limiten la vigilancia y garanticen nuestros derechos en línea. 

Para reducir la exposición, hay algunas acciones básicas que se pueden adoptar en las redes sociales. Por un lado, evitar el uso del nombre real completo (nombre y apellido) como nombre de usuario o nombre visible, y procurar no repetir el mismo @alias en todas las redes. También es recomendable configurar las cuentas como privadas o restringidas, de modo que solo los perfiles aprobados puedan acceder al contenido. Otra medida clave es desactivar los permisos de ubicación en los dispositivos móviles, para que las aplicaciones no puedan rastrear ni compartir los movimientos.

Cuando la idea es publicar fotos desde un lugar específico, es recomendable esperar algunas horas o días antes de subirlas, así no se revela la ubicación en tiempo real. Además, se sugiere conversar con contactos y amistades sobre la importancia de no etiquetar ni compartir datos privados sin previo consentimiento. Por otro lado, es importante considerar la selección de una foto de perfil que no sea fácilmente rastreable, ya que existen herramientas OSINT que permiten buscar imágenes en otras plataformas y vincularlas con la identidad de las personas usuarias. Por último, aceptar solo solicitudes de personas que realmente resulten conocidas, ya que muchas veces el ciberpatrullaje empieza con perfiles ficticios que buscan establecer contacto directo.

La vigilancia no es cuidar, es poner en riesgo nuestros derechos

Estas actividades se despliegan sin reglas, sin control y sin justificación pública, y eso ha permitido que se normalicen prácticas autoritarias bajo la retórica de la seguridad. En esta parte del mundo, donde muchas democracias son frágiles y la capacidad de la ciudadanía para fiscalizar al Estado es débil, el uso de estas tecnologías crece sin transparencia, sin debate público y con una preocupante opacidad.

Los Estados adquieren herramientas de monitoreo de redes sociales mientras persisten -y en algunos casos se profundizan- las barreras para acceder a información básica sobre su licitación, adquisición, funcionamiento, responsables, bases de datos involucradas y el gasto público asociado. Incluso cuando la sociedad civil ha recurrido a solicitudes de acceso a la información, muchas autoridades se amparan en argumentos de seguridad nacional para obstaculizar el escrutinio democrático.

¿Con qué criterios se decide comprar tecnologías a empresas extranjeras como las israelíes, cuestionadas internacionalmente por su papel en la vigilancia masiva?

Proteger no puede seguir siendo un argumento aceptable para la vigilancia masiva, mientras la ciudadanía, la misma a la que supuestamente se quiere cuidar, se siente más vigilada que segura. Estas prácticas suponen riesgos concretos para la libertad de expresión -especialmente en contextos de protesta social o frente a discursos críticos o incómodos- al generar estigmatización, autocensura e incluso incitación a la violencia contra quienes son catalogadas como opositoras. A la luz de los casos expuestos, queda claro que la vigilancia no es protección: es poder sin control.

La digitalización del trabajo doméstico: entre oportunidades, informalidad y vacíos regulatorios

El abanico de trabajos que se han digitalizado producto de la expansión de plataformas en América Latina es amplio y diverso. Los servicios de mensajería, los repartos de comida o el transporte privado son algunas de las labores más conocidas intermediadas por “apps”, donde los algoritmos gestionan y determinan las condiciones de las personas trabajadoras, muchas veces en detrimento de sus derechos. En este contexto, poco se dice sobre las labores domésticas, desempeñadas en su mayoría por mujeres, que también han sido insertadas en el modelo de trabajo en plataformas digitales. Según un informe de la Organización Internacional del Trabajo (OIT), la provisión de tareas domésticas y de cuidado a través de sistemas digitales se ha multiplicado en la última década, con particular rapidez en países del Sur Global. Así, ocupaciones como la limpieza, la cocina e incluso el cuidado de personas ahora se llevan a cabo mediante sistemas tecnológicos de intermediación laboral. Bajo promesas de flexibilidad, autonomía y mayores ingresos, las aplicaciones de servicio doméstico permiten que las trabajadoras asistan a varios hogares por pocas horas en el día, lo que plantea desafíos significativos en materia de derechos laborales. Para este próximo 30 de marzo, Día Internacional de las Trabajadoras del Hogar, destacamos algunas características del trabajo doméstico mediado por plataformas digitales que ponen en riesgo derechos laborales fundamentales. 

Las promesas de contratación formal y registro

El empleo doméstico es una de las ocupaciones con mayores niveles de informalidad en América Latina, afectando principalmente a mujeres que ya enfrentan condiciones estructurales de desigualdad por razones de género, muchas veces agravadas por factores de interseccionalidad como condiciones socioeconómicas y migratorias, entre otras. A pesar de los avances en la ratificación del Convenio 189 de la OIT sobre trabajo decente para las trabajadoras del hogar, la implementación efectiva de sus principios aún enfrenta barreras estructurales. Países como Argentina, Colombia y Brasil han adoptado marcos normativos que establecen derechos laborales básicos, como salario mínimo, seguridad social y jornadas reguladas. Sin embargo, en la región persisten brechas significativas en la formalización del sector, con altos porcentajes de trabajadoras domésticas aún en la informalidad, sin acceso a protección social ni mecanismos efectivos para exigir el cumplimiento de sus derechos.

En este contexto, la digitalización del sector a través de plataformas de servicio doméstico ha surgido como una alternativa para facilitar la contratación formal. Estas aplicaciones pueden actuar como intermediarias entre trabajadoras y empleadores, promoviendo el registro en esquemas de seguridad social y garantizando pagos bancarizados. En algunos casos, han implementado sistemas de registro y seguros laborales que mejoran la seguridad y previsibilidad del empleo. Esta transformación digital tiene el potencial de reducir la informalidad, al tiempo que ofrece mayor visibilidad sobre la situación de estas trabajadoras, permitiendo una mejor fiscalización del cumplimiento de sus derechos laborales. Sin embargo, este potencial no siempre se materializa de forma efectiva.

Aún existen plataformas que operan sin garantizar condiciones laborales adecuadas, trasladando toda la responsabilidad de la formalización a las trabajadoras. En algunos países, han surgido modelos de negocio diferenciados: mientras unas aplicaciones actúan como agencias de empleo, gestionando la contratación directa y asegurando la inscripción en la seguridad social, otras funcionan únicamente como intermediarias, sin asumir responsabilidad laboral sobre las condiciones de trabajo. Este contraste evidencia la necesidad de regulaciones más claras y de mayores incentivos para que las plataformas promuevan condiciones que favorezcan la formalización laboral y el acceso a derechos, en línea con la responsabilidad empresarial en el respeto y garantía de derechos laborales.  Esto es fundamental para asegurar que la digitalización no reproduzca ni agrave las desigualdades históricas que afectan a las trabajadoras del hogar.

El uso de algoritmos en el trabajo doméstico: doble vigilancia y control

Otro de los grandes desafíos de la digitalización del empleo doméstico y su intermediación por plataformas, radica en el uso de algoritmos diseñados para la geolocalización, el monitoreo y la evaluación de las trabajadoras y su desempeño. Aunque las características de estos algoritmos varían según la aplicación, determinan aspectos clave como el lugar, la forma y las condiciones en las que se prestan estos servicios. La opacidad y falta de transparencia en el uso de estos sistemas impactan directamente en la experiencia laboral de las mujeres trabajadoras. Un aspecto particularmente problemático es que estos sistemas algorítmicos suelen estar diseñados para generar confianza en los empleadores, lo que implica la recopilación de datos personales de las trabajadoras. Estos datos están a disposición de los clientes, quienes tienen la posibilidad de elegir entre una u otra empleada sin criterios claros de equidad, lo que refuerza estereotipos y relaciones asimétricas. Además, los datos personales son procesados sin supervisión adecuada y sin un principio de transparencia, lo que puede dar lugar a decisiones automatizadas que profundicen sesgos discriminatorios y afecten sus derechos laborales. Sumado a esto, estudios sobre el tema señalan que la gestión algorítmica en los trabajos del hogar fortalece  prácticas de vigilancia y control históricamente presentes en la relación entre empleadores y empleadas domésticas.

En efecto, las plataformas digitales tienden a reforzar factores culturales preexistentes en la relación entre hogares empleadores y trabajadoras domésticas, y en muchos casos, a amplificarlos. La incorporación de algoritmos en el trabajo doméstico ha profundizado y sofisticado las formas de control sobre las trabajadoras, al combinar  la supervisión directa del cliente con el monitoreo constante de la plataforma. Esta doble vigilancia consolida relaciones laborales jerárquicas ya existentes, ahora mediadas por herramientas tecnológicas que reproducen desigualdades estructurales. Aunque para muchas mujeres las aplicaciones representan una alternativa a la informalidad, su diseño y funcionamiento tiene la capacidad de exponerlas a nuevas formas de precarización y dependencia. 

Sin duda, el modelo de trabajo de plataformas digitales continúa expandiéndose a campos antes impensados, poniendo en riesgo derechos laborales fundamentales y agravando desigualdades históricas. Esta tendencia nos invita a prestar mayor atención a la mediación tecnológica de trabajos en el ámbito “de lo privado”, como las labores domésticas y de cuidado, que presentan nuevos horizontes de análisis e incidencia para la protección de los derechos laborales en entornos digitales. Así, este 30 de marzo no solo marcamos una fecha, sino que hacemos un llamado a avanzar decididamente hacia una transformación donde la dignidad y la justicia definan el futuro del trabajo.

Brasil: entre el intento de golpe autoritario y amenazas a la soberanía digital

Antecedentes

A diferencia de otros países latinoamericanos que emprendieron procesos de reparación tras regímenes dictatoriales, Brasil optó por una política de amnistía hacia los militares que comandaron brutalmente el país entre 1964 y 1985. Esta decisión permitió la reaparición de antiguas prácticas autoritarias y facilitó el resurgir de sectores extremistas, que recurren a la violencia política y han aprendido a expandir su control a través  del uso de tecnologías. Estas prácticas no sólo resuenan a nivel interno, sino que también se reflejan en la influencia imperialista externa, cuya sombra persiste desde el pasado dictatorial latinoamericano y continúa generando fricciones institucionales en Brasil, donde la soberanía digital enfrenta amenazas infundadas.

Uno de los episodios más simbólicos de los últimos años en Brasil fue la tentativa de golpe de Estado formalmente denunciada la semana pasada por la Procuraduría General de la República. Según la denuncia, un grupo liderado por el expresidente Jair Bolsonaro y otros 33 hombres habría orquestado un plan radical para desmantelar el orden democrático luego de las elecciones presidenciales de 2022. Este complot no solo apuntaba a generar inestabilidad institucional, sino que contemplaba medidas extremas como el asesinato del presidente electo Lula, su vicepresidente Geraldo Alckmin, y del ministro del Supremo Tribunal Federal Alexandre de Moraes. 

Este intento, de clara naturaleza violenta y desestabilizadora, pretendía instaurar un régimen de facto mediante el uso de la fuerza, evidenciando el grave riesgo que corre la democracia en Brasil. Las plataformas digitales, vale decir, tienen un rol importante en este contexto de inflamación autoritaria. Tal como ya señalamos en esta columna, redes sociales como X -suspendida en Brasil en 2024- han servido como  espacios donde actores antidemocráticos coordinan ataques a instituciones y amplifican narrativas que buscan justificar la violencia política. 

Viejas prácticas, nuevas herramientas

El autoritarismo arraigado que continúa amenazando al país –y que también se observa en otros lugares de la región– se ha adaptado a la era digital, extendiéndose a través del uso de nuevas tecnologías. Un caso representativo en Brasil es el de FirstMile, señalado en el reciente reporte desarrollado por el Observatorio Latinoamericano de Amenazas Digitales (OLAD) y liderado por Derechos Digitales “En La Mira: seguridad y principales amenazas digitales en América Latina”. En enero de 2024, la Policía Federal anunció una investigación contra exfuncionarios de la Agencia Brasileña de Inteligencia durante el gobierno de Bolsonaro, acusados de haber vigilado ilegalmente a unas 30.000 personas, entre ellas periodistas y magistrados del Supremo Tribunal Federal. La vigilancia denunciada se llevó a cabo mediante el uso del software israelí FirstMile, el cual permite interceptar la ubicación de equipos móviles a través de señales de GPS vulnerando así la confidencialidad de información protegida por ley nacional. El acceso a la ubicación de un dispositivo no solo permite rastrear los movimientos de una persona en tiempo real, sino que también puede derivar en la exposición de datos sensibles, como fuentes periodísticas, redes de contacto y patrones de comportamiento, ampliando el alcance de la vigilancia ilegal y el riesgo de persecución política.

La relación entre los movimientos autoritarios –y tecnoautoritarios– y la soberanía nacional es compleja y, en ocasiones, contradictoria. La dictadura militar en Brasil, al igual que otras en América Latina en esa misma época, estuvo fuertemente marcada por la influencia de los Estados Unidos. Un ejemplo claro de esta injerencia fue el Plan Cóndor, una operación transnacional de represión coordinada entre las dictaduras del Cono Sur, con apoyo estadounidense, basada en el intercambio de inteligencia y vigilancia sobre opositores políticos. Esta infraestructura represiva, que incluía interceptaciones de comunicaciones, seguimiento de movimientos y colaboración entre agencias de seguridad, sentó un precedente para el uso de tecnologías con fines de vigilancia, una lógica que persiste en las estrategias actuales de control y monitoreo digital.

Aunque estos regímenes autoritarios exaltaban el nacionalismo, al mismo tiempo promovían lo que en Brasil se conoce como «complejo de vira-lata»: una percepción de inferioridad en la que los brasileños y brasileñas se colocan voluntariamente frente al resto del mundo, lo que conlleva a la idea de que el país debe someterse a prácticas extranjeras, especialmente de países con mayor poder económico y geopolítico. En otras palabras, se configura una paradoja entre el discurso nacionalista de los líderes antidemocráticos en la región y las implicancias reales de sus políticas en términos de soberanía nacional, una contradicción que se extiende cada vez más a la esfera digital.

Un ejemplo de esta paradoja se vio en la postura del gobierno de Bolsonaro hacia las grandes plataformas digitales. Mientras su retórica política se basaba en la defensa de la soberanía y la independencia nacional, su administración facilitó la consolidación del poder de corporaciones tecnológicas extranjeras, debilitando los intentos de regulación local desde un falso discurso de resguardo de la libertad de expresión y permitiendo que actores privados transnacionales tuvieran un control sin precedentes sobre la información y el debate público en Brasil. Este modelo de dependencia tecnológica refuerza el desequilibrio de poder y reduce la capacidad del país de definir sus propias reglas en el entorno digital.

La disputa por el control normativo: el enfrentamiento entre regulaciones nacionales y poder corporativo

La semana pasada, además de la denuncia contra el expresidente Bolsonaro por la tentativa de golpe, una serie de noticias polémicas volvió a colocar a Brasil en el centro de la atención global. Se produjo un enfrentamiento entre el ministro Alexandre de Moraes – quien era uno de los blancos del plan golpista– y los grupos de medios Rumble y Trump Media & Technology Group DJT.O. Estas empresas abrieron un proceso judicial en el Tribunal Federal de Florida, argumentando que el juez censura ilegalmente el discurso político de figuras afines a la derecha en Estados Unidos.

La disputa se originó luego de que de Moraes ordenara la suspensión de cuentas en plataformas digitales, incluyendo Rumble, de individuos acusados de difundir desinformación y promover actos antidemocráticos en Brasil, como el bolsonarista Allan dos Santos, quien se encuentra en Estados Unidos y tiene orden de extradición en Brasil. Las empresas sostienen que tales órdenes exceden la jurisdicción brasileña y violan la Primera Enmienda de la Constitución norteamericana, que protege la libertad de expresión. Sin embargo, este litigio se inscribe en una tendencia más amplia de corporaciones tecnológicas estadounidenses que evitan cumplir regulaciones locales fuera de su país de origen, desafiando la soberanía de los Estados en los que operan.

El caso de Rumble es un ejemplo claro de este problema. La plataforma carece de representación legal en Brasil, lo que dificulta que cumpla con órdenes judiciales como la eliminación de contenidos ilegales –incluyendo discursos de odio y desinformación–. Esta situación aumentó la tensión en el contexto brasileño y llevó a la suspensión de la red social en el país por el mismo ministro Alexandre de Moraes, una medida similar a la que afectó a X temporalmente en 2024. El conflicto refleja una dinámica estructural más amplia: mientras las plataformas digitales exigen protección legal en los Estados Unidos, se niegan a acatar  legislaciones nacionales cuando no les resulta conveniente. Se busca así utilizar el marco legal estadounidense para evitar el cumplimiento de la ley brasileña, apuntando a  una jerarquización normativa que favorece a actores extranjeros en detrimento de la soberanía nacional.

Más allá de este caso, la creciente reticencia  de las corporaciones digitales a cumplir con  la regulación estatal refuerza dinámicas de injerencia extranjera. La reciente declaración de Mark Zuckerberg sobre la existencia de “cortes secretas” en Brasil contribuye a esta narrativa, presentando cualquier esfuerzo por garantizar el cumplimiento del marco legal nacional como una amenaza a la libertad de expresión, cuando en realidad el problema de fondo es la falta de mecanismos democráticos para asegurar que estas empresas respondan ante la justicia de los países donde operan.

Las amenazas a Brasil y sus ecos en la región

La situación en Brasil refleja una democracia debilitada por la persistencia de prácticas autoritarias y, más recientemente, por el uso indebido de la tecnología como herramienta de control. La tentativa de golpe, que contemplaba acciones de violencia contra líderes democráticos, y el caso FirstMile, que expone un esquema de vigilancia masiva sin garantías legales, evidencian la necesidad urgente de reforzar las instituciones democráticas en el país y en toda la región. Asimismo, la acción judicial promovida por grupos afines a Trump contra Alexandre de Moraes sienta un peligroso precedente para otros Estados del Sur Global, que enfrentan dinámicas similares de injerencia extranjera y evasión de marcos legales por parte de las plataformas tecnológicas.

En este escenario, es importante considerar que si en Brasil, una de las economías más grandes de la región y con un peso geopolítico significativo, la democracia es atacada con tal intensidad, cabe preguntarnos qué sucede en países con menos recursos institucionales y menor capacidad de respuesta. Este contexto expone nuevos riesgos relacionados al creciente poder de las empresas tecnológicas, quienes ahora incluso -mediante sus líderes- forman parte de la nueva administración del gobierno de Trump. Frente a estos desafíos, resulta imprescindible fortalecer la resistencia democrática mediante la promoción de la transparencia y el respeto a los derechos. Asimismo, es necesario avanzar en regulaciones basadas en derechos humanos que supervisen el uso de tecnologías con capacidades de vigilancia, en línea con los llamados de la ONU para una moratoria sobre estas herramientas hasta que existan salvaguardas adecuadas. Solo así se podrá garantizar un futuro donde la soberanía y la democracia sean pilares inquebrantables de la sociedad, no solo en Brasil, sino en toda América Latina.

2024: el año en que la protección de datos nos recordó su lado político

El 2024 fue un año de progresos esperados en materia de protección de datos para nuestra región. Se aprobó en Chile, luego de seis años de debate regulatorio, la ley de protección de datos; El Salvador también aprobó su ley, y Perú reformó la suya para adaptarla al estándar europeo, un referente que muchos países de América Latina intentan adoptar. Por su parte, Paraguay avanzó en la discusión del proyecto de ley, y se espera que este año suceda su aprobación.

El año pasado también observamos retrocesos significativos, como la eliminación del INAI, autoridad garante del derecho a la protección de datos y el acceso a la información pública en México. Esto ocurrió en el marco de una reforma constitucional que, bajo el argumento de reducir costos operativos, eliminó a distintos entes autónomos. Una supresión que se produce en tiempos en que las Big Tech acrecientan su poder para amasar y explotar nuestros datos bajo condiciones cada vez más asimétricas.

Frente a esos avances y retrocesos regulatorios, en nuestro trabajo en Derechos Digitales hemos observado algunas tendencias regionales preocupantes. Algunas de ellas son nuevas, mientras que otras representan la continuidad de prácticas de explotación de nuestros datos que se expanden y masifican de cara a nuevas y emergentes tecnologías, las cuales amplían el alcance a las tareas de recolección y procesamiento de nuestros datos y con ello, intensifican su impacto en la protección de los mismos. Veamos una por una.

La protección de datos y las tareas estatales de seguridad: una desconexión peligrosa

La primera tendencia tiene que ver con la creciente adopción de prácticas y tecnologías para la extracción de datos por parte de los Estados para fines que, en particular, se enfocan en la seguridad ciudadana y nacional.Se trata de finalidades que las regulaciones de protección de datos han excluido tradicionalmente de su aplicación, bajo una visión arcaica que sugiere que el resguardo de la ciudadanía no es algo que deba consentir esta última.

Enmarcado en esta tendencia vimos con preocupación la expedición de la resolución que en Argentina habilita al ciberpatrullaje, una tarea de seguridad emprendida por el Estado para patrullar (o vigilar) internet “de la manera en que se patrullan las calles” para, en teoría, facilitar la identificación y prevención de los delitos en línea.

Se trata de una resolución que no fija límites claros, respetuosos y garantes de la privacidad y la libertad de expresión en línea. De manera similar, el ciberpatrullaje se despliega también en Colombia, Bolivia, México, Brasil y Uruguay. En cada caso, al parecer, las autoridades se dedican a explorar y observar de cerca lo que publicamos y con quién interactuamos en línea -en ocasiones, con ayuda de algoritmos para automatizar dicha tarea-, para determinar si lo que decimos o con quién conectamos amerita ser perseguido por la vía penal.

Lo cierto es que, pese a la desconexión que persiste entre la regulación de la protección de datos y las tareas de seguridad, y a que sea cierto que el consentimiento no sea propiamente la base jurídica que da pie al tratamiento de los datos en estos casos, los Estados sí deberían observar los principios y obligaciones que garantizan que la recolección de los datos de la ciudadanía sucede de manera responsable, lícita, leal, transparente, segura y, sobre todo, de manera compatible con los derechos humanos.

Pero además, bajo ciertas condiciones, los titulares de los datos deberían conservan el ejercicio de los derechos de actualización, rectificación, y cancelación de su información inclusive en esas tareas. Esto último, de hecho, lo reiteró por su cuenta el fallo Cajar vs. Colombia emitido en 2024 por la Corte Interamericana de Derechos Humanos respecto a las tareas de inteligencia estatal, y cuyas repercusiones en la regulación de la protección de datos frente a las tareas de seguridad aún están por verse.

Biometría ¿para qué?: el valor vs. el precio de los datos

La segunda tendencia que observamos, tiene que ver con la recolección transaccional de datos sensibles para la realización de modelos de negocio muy poco claros o transparentes. Por ejemplo, identificamos la masificación de los servicios de empresas como Tools for Humanity (TfH) desarrolladora de World –antes Worldcoin– que prometen entregar a las personas criptomonedas a cambio del escaneo de su iris, un dato biométrico que será usado para ayudar a resolver los problemas asociados a la identidad en línea.

La empresa TfH desplegó operaciones en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y República Dominicana. Solo las autoridades de protección de datos de Argentina, Colombia, Brasil y Perú abrieron investigaciones a World, entre otras cosas por las condiciones de recolección del consentimiento de las personas, que no parece estar precedido de información clara y transparente sobre las condiciones del tratamiento de los datos biométricos capturados, así como las condiciones del ejercicio de los derechos de acceso, rectificación, cancelación u oposición. Sobre el desarrollo de esas investigaciones sabemos poco al día de hoy.

Ahora bien, el contenido transaccional de este tipo de prácticas resulta problemático por dos motivos. En primer lugar, porque asignan un valor económico a la entrega de un dato cuyo valor identificatorio es inestimable por su naturaleza inmodificable, así como profundamente personal, y que por los riesgos de ser instrumentalizado en contra de su titular ha merecido un estatus de protección especial en la mayoría de legislaciones que regulan esta materia. En segundo lugar, porque además de explotar la vulnerabilidad económica de ciertos sectores de la población, se trata de empresas que operan de manera poco transparente frente a los reguladores y los titulares de los datos.

Todo esto para aceitar el modelo de negocio de la identidad digital del que todavía no sabemos mucho, pero frente al cual otras autoridades de protección de datos en el mundo han actuado de manera mucho más contundente y preventiva prohibiendo las operaciones de World, tal y como sucedió en España, Francia, India, Corea del Sur, Hong Kong e incluso Kenia.

Las Big Techs y la IA: nuestros datos a merced de políticas injustas

Y la tercera tendencia, tiene que ver con los cambios poco claros y transparentes de las políticas de privacidad impuestas de manera abusiva en América Latina por distintas plataformas que transitaron a la adopción de sistemas de IA con diversos propósitos, y que asumen, al contrario de lo indicado por los principios de finalidad, transparencia o lealtad en el tratamiento de los datos, que los titulares aceptan por defecto los nuevos términos y condiciones impuestos.

El caso de Meta es quizá uno de los más representativos, pues desplegó un cambio global de su política de privacidad que autoriza de manera retroactiva al uso de los datos de los usuarios de Facebook e Instagram para entrenar a su IA. Un cambio que dejó a sus usuarios en América Latina sin ninguna opción válida para negarse u oponerse.

Solo la autoridad de protección de datos de Brasil (ANPD) reaccionó al emitir una medida cautelar que prohibía desplegar dicho cambio en tanto que dejaba a los titulares de los datos de ese país sin opciones para rechazar la nueva política en cuestión. Con posterioridad, Meta desplegó en ese país su política de manera mucho más clara con autorización de la autoridad, y habilitó -a diferencia del resto de países de la región- canales para el ejercicio del derecho a rechazar los cambios propuestos.

Cambios similares sucedieron en las políticas de otras plataformas como X, Linkedin, Adobe y Google, entre otras, que además habilitan a que terceros puedan usar los datos de sus usuarios para entrenar a sus sistemas de IA. Se trata de cambios que, en la mayoría de los casos, se han introducido de manera subrepticia y silenciosa, algo que la Comisión Federal de Comercio en Estados Unidos (FTC por sus siglas en inglés) ha calificado como una práctica injusta y engañosa.

Frente a este panorama ¿hay motivos para la esperanza?

Estas tendencias están acompañadas de un panorama regulatorio que, en gran medida, todavía limita a las pocas autoridades activas de la región a desempeñar roles de simple monitoreo preventivo y vigilancia pasiva. Aún queda pendiente avanzar hacia un rol sancionador más robusto donde, por ejemplo, las multas ejemplarizantes puedan ayudar a generar nuevas pautas de conducta para actores del sector privado y público; o donde las autoridades asuman un rol activo y oficioso, en el cual la imposición a iniciativa propia de medidas cautelares pueda ayudar a prevenir la afectación de los derechos de las personas.

Hay motivos para la esperanza, pero debemos moderar nuestras expectativas. Es cierto que, cada vez más, el listado de países sin regulación de protección de datos se reduce. Y aunque esto es importante, no es motivo para cantar victoria, pues hace falta todavía cambiar visiones arcaicas como aquellas que sugieren que los Estados, cuando realizan cierto tipo de tareas -como las de seguridad- tienen un cheque en blanco que les habilita a dar tratamiento a los datos personales de la ciudadanía de cualquier manera.

También es cierto que las regulaciones vigentes en protección de datos precisan de un balance necesario cuando su ejercicio se enfrenta a otros derechos, como el de libertad de expresión o acceso a la información. Y que persisten otros retos igualmente urgentes para que las regulaciones aprobadas y vigentes cobren vida y sirvan como verdaderas herramientas de protección a las personas.

Por ejemplo, urge el robustecimiento de las capacidades humanas y técnicas de las autoridades de protección de datos, así como establecerlas en países donde aún no existen. Además, es fundamental garantizar los recursos necesarios para su funcionamiento, y dotarlas de la independencia y autonomía que las habiliten para actuar frente a otras dependencias estatales así como frente a las Big Tech que, cada vez más, buscan eludir o intimidar a las normativas y autoridades que ejercen su poder regulatorio.

Desde luego, el trabajo de organizaciones como Derechos Digitales será aportar a esto último, y vigilar para que las promesas de regulación no se queden en el papel, sino que se traduzcan en verdaderas garantías para los derechos humanos en el entorno digital. El 2024 nos recordó que la protección de los datos personales no es solo una cuestión técnica o legal, sino una lucha política que enfrenta intereses poderosos, ya sean estatales o corporativos.

Nos encontramos frente a un panorama complejo, pero también un momento clave para definir el futuro del derecho a la protección de datos en nuestra región. Las decisiones que tomemos hoy serán cruciales para establecer un equilibrio entre el avance tecnológico y la protección de los derechos fundamentales. Solo si mantenemos la vigilancia activa, exigimos mayor transparencia y contribuimos a fortalecer las capacidades regulatorias de las autoridades, podremos garantizar que los datos personales de millones de personas no se conviertan en una mercancía desprotegida, sino en una herramienta que potencie su dignidad y autonomía. El desafío es enorme, pero no podemos darnos el lujo de detenernos ahora.

Vigilancia Estatal: Los riesgos de los IMSI Catchers

Hace pocas semanas se aprobó en Chile el proyecto de Ley Antiterrorista que actualiza la ley vigente para facilitar nuevos mecanismos de investigación y persecución. La discusión tuvo varios puntos álgidos, como por ejemplo, la ampliación del concepto de delito terrorista incluyendo a individuos sin necesidad de asociación con actividades terroristas. Pero sin duda el apartado que generó mayor debate fue la inclusión del uso de “IMSI Catchers” o “antenas falsas” para el espionaje en el contexto de las investigaciones.

En el marco del espionaje estatal, un IMSI Catcher, Stingray o simplemente una “antena falsa” es un dispositivo electrónico, compuesto por hardware y software, que simula ser una antena de telefonía legítima, pero en verdad no lo es, ya que su objetivo es capturar datos de los dispositivos que estén a su alcance, mediante un ataque de intermediario o MITM (man-in-the-middle), esto es, la instalación de un dispositivo “en el medio” de una comunicación entre personas.

Esto es facilitado por la forma en que funciona la telefonía móvil. El diseño arquitectónico de las redes móviles se basa en la división geográfica en pequeñas áreas o células, cada una cubierta por una o más antenas que reciben y redistribuyen señales. Estas antenas tienen áreas de cobertura que se sobreponen, garantizando así que no haya sectores sin señal. Dado que un dispositivo móvil puede detectar múltiples antenas simultáneamente, utiliza un protocolo para seleccionar aquella con la señal más potente.

En términos generales, las antenas actúan como intermediarios entre los dispositivos móviles y la estación telefónica, donde se generan los enrutamientos de las comunicaciones. Por otro lado, las “antenas falsas” operan de manera similar a las antenas reales, pero se diferencian en quién controla su operación y en el hecho de que pueden ser móviles, no requiriendo una instalación fija. Estas antenas falsas replican los parámetros de identificación de una antena legítima, engañando así a los dispositivos. Uno de los principales mecanismos para captar la señal de los dispositivos es por medio del uso de una potencia de señal mayor a la que presentan las antenas legítimas del sector.

Una vez conectados a una antena falsa, los dispositivos tienen dos posibles cursos de acción, según el propósito de la falsa antena. El primero es la denegación del servicio, y el segundo, actuar como intermediario entre el dispositivo y la red legítima. Esta última opción es más habitual, ya que a la vez que no interrumpe la comunicación, permite la recolección de datos de identificación del dispositivo, como el IMSI (International Mobile Subscriber Identity o Identidad Internacional de Suscriptor Móvil), un número único asignado a cada dispositivo móvil. Poseer el IMSI de un dispositivo facilita su rastreo a través de redes telefónicas legítimas, generalmente mediante una orden judicial conforme a las regulaciones locales. Además, existen varios tipos de comunicaciones que pueden ser captadas o intervenidas como los mensajes de texto pues carecen de cifrado.

A su vez, se ha demostrado que las llamadas realizadas mediante protocolos de la generación 2G pueden ser interceptadas debido a su cifrado débil, como demostró Chris Paget en DEF CON 18. Aunque los protocolos de redes 3G, 4G y 5G utilizan esquemas de cifrado más robustos, una antena falsa aún puede forzar un ataque de degradación de servicio, limitando los dispositivos a conectarse solo a redes 2G. Es decir, forzando a los dispositivos a utilizar protocolos menos eficientes, menos avanzados y menos seguros. Este fenómeno no es inusual dado que algunas redes de telefonía todavía operan bajo este protocolo. Otra vulnerabilidad es la extracción de metadatos: incluso si un dispositivo se comunica a través de protocolos que permiten que la información en tránsito esté cifrada, la antena falsa puede registrar cuando se conecta a un sitio específico, cuando utiliza aplicaciones de mensajería o cuando realiza llamadas.

Problemas plausibles

El uso de tecnologías de “antenas falsas” trae consigo una serie de riesgos asociados. En primer lugar, quien tenga acceso al manejo del dispositivo de interceptación puede utilizarlo sin que exista una contraparte que pueda tener control sobre su uso. En una columna pasada, explicamos el funcionamiento de las interceptaciones telefónicas a través de la infraestructura del proveedor, que por requerimientos legales actúa en la práctica como un agente de registro y control de las interceptaciones solicitadas por los cuerpos investigativos. El control sobre el uso de “antenas falsas” es algo que está muy lejos de quedar bien definido en la nueva ley, tal como expresamos también en conversación con la Radio y Diario Universidad de Chile.

En segundo lugar, debemos enfatizar que se trata de un mecanismo de vigilancia no solo altamente intrusivo, sino también indiscriminado respecto de quienes están cerca del dispositivo. Dentro de la operación de una “antena falsa” es posible captar a todos los dispositivos que estén dentro de su radio de acción y no solamente un dispositivo de interés, afectando la privacidad de personas que no son el objetivo de una investigación. En términos metafóricos esto ha sido ejemplificado como “pesca de arrastre” o “pescar con dinamita” debido a su grosera falta de proporcionalidad.

El tercer gran problema en la disponibilidad de este tipo de tecnologías es la posibilidad de uso dirigido a lugares o grupos con fines de persecución de actividades lícitas, bajo la excusa de aplicabilidad de la ley. Por ejemplo, serviría para poder identificar los dispositivos de personas que participan de una movilización social. Dado que operan dentro de un radio específico, pueden captar todos los dispositivos en un área específica, para eventualmente identificar participantes. Esta factibilidad técnica es preocupante, especialmente considerando precedentes donde se ha solicitado a los proveedores de servicio que entreguen información de los dispositivos conectados en ciertas áreas durante manifestaciones, como ocurrió durante el estallido social en Chile. Asimismo, es concebible su implementación en zonas ya estigmatizadas, como poblaciones en sectores socioeconómicos bajos, así como en regiones donde existen procesos activos de reivindicación territorial por parte de grupos indígenas.

Atrapando al catcher

Sin embargo, no se trata de una tecnología infalible o inevitable. El riesgo de ser interceptado por IMSI catchers puede minimizarse significativamente si se toman ciertas precauciones. Entre las medidas efectivas se incluyen configurar el dispositivo para usar exclusivamente redes 4G, emplear aplicaciones de mensajería y llamadas con cifrado robusto como Signal, y utilizar servicios de VPN o TOR, entre otras.

El uso de “antenas falsas” tiene un gran alcance y potencial en contextos de sociedades donde las personas no tienen un alto grado de preocupación por sus comunicaciones, en especial cuando los niveles de conectividad son tan altos. Me atrevería a decir que actualmente la mayoría de las personas vive de esta forma, lo cual allana aún más el camino para peligrosas prácticas de vigilancia masiva. Pero esto no debería significar una aceptación de que las comunicaciones sean seguras, ni de que el Estado esté siempre a un paso de vigilar todo lo que hacemos. Necesitamos no solamente comprender los riesgos, sino también empujar por cambios en la regulación y en la conducta de los agentes públicos.