Cibercrimen y castigo

En cierto clásico de la literatura universal de la segunda mitad del siglo diecinueve, deducible a partir del título de este texto, se nos presentan reiteradamente diálogos entre su protagonista, Raskólnikov, y un inspector de policía que dinamizan la historia, a la vez que permiten darle un vistazo a la realidad cultural, histórica e institucional del entonces Imperio Ruso. En uno de esos intercambios, el segundo le espeta al primero: “(…) y es que el caso general que responde a todas las formas y fórmulas jurídicas; el caso típico para el cual se han concebido y escrito las reglas, no existe, por la sencilla razón de que cada causa, cada crimen, apenas realizado, se convierte en un caso particular, ¡y cuán especial a veces!: un caso distinto a todos los otros conocidos y que, al parecer, no tiene ningún precedente”.

Esta deliberada ambigüedad con la que describo la novela tiene dos funciones: evitar spoilers e ilustrar que las definiciones en torno al crimen dependen, en gran medida, de los consensos al interior de cada grupo humano al respecto, sea este un clan, una tribu, un estado, un imperio, e incluso más allá: de acuerdo con el inspector, Porfiri Petróvich, depende de cada caso. Así, no es extraño que los procesos y mecanismos para legislar al respecto se extiendan por meses o años, sea a nivel local, regional o global.

La situación actual del Comité Ad Hoc de la Organización de las Naciones Unidas (ONU) encargado de elaborar una Convención Internacional para la Lucha contra la Ciberdelincuencia así lo evidencia, como hemos señalado desde el inicio de este Comité. La sesión supuestamente de cierre del Comité, finalizada el 9 de febrero, quedó en suspenso dada la falta de acuerdos en asuntos clave: el alcance de la convención, salvaguardas y derechos humanos, además de determinados crímenes específicos. La presidenta de la mesa determinó continuar la discusión en una sesión futura, de diez días de duración, posiblemente en julio de este año, lo que todavía debe ser aprobado y confirmado por la Asamblea General de la ONU.

El punto de partida de este curso fue una carta enviada, justamente, por la Federación Rusa al organismo internacional en 2017, que plantea la preocupación por “la gravedad de los problemas y amenazas que plantean los delitos relacionados con las tecnologías de la información y las comunicaciones (TIC)” y ofrece un texto preliminar de una convención contra la ciberdelincuencia, cuyo énfasis está en la amplia criminalización y promoción de la cooperación internacional para prevenir y combatir tales delitos.

Aunque no es la aproximación clásica para generar un instrumento internacional en instancias de las Naciones Unidas, en general dicha carta parece emanar de un genuino interés por asumir colectivamente los retos que comporta el desarrollo tecnológico. No obstante, la redacción del segundo de los tres objetivos ahí expresados, “impedir los actos contra la confidencialidad, la integridad y la accesibilidad de las TIC, y prevenir el uso indebido de las TIC” tiene la línea que más controversia ha causado en estos siete años: “(…) tipificando como delitos los actos descritos en la presente Convención” y que despierta sospechas sobre las reales intenciones de la Federación Rusa al presentar, más tarde, un borrador del tratado listo en la primera sesión, previo a cualquier discusión plenaria sobre la materia, a la par que está documentado el uso que se le da en ese Estado a tipos penales sobre cibercrimen para criminalizar de manera arbitraria a las voces críticas del actual Gobierno.

Luego, en noviembre de 2019, una resolución, patrocinada por Rusia –junto con Bielorrusia, Camboya, China, Irán, Myanmar, Nicaragua, Siria y Venezuela– para establecer un comité internacional para combatir el cibercrimen pasa en la Asamblea General de la ONU. Estados Unidos, la Unión Europea y otras naciones se opusieron a la resolución, junto con organizaciones de derechos humanos, incluidas la Asociación para el Progreso de las Comunicaciones y la EFF, las que instaron a la Asamblea General a votar en contra de la resolución, citando preocupaciones de que “podría socavar el uso de Internet para ejercer los derechos humanos y facilitar el desarrollo social y económico”. Un mes más tarde, sin embargo, la Asamblea General resuelve seguir adelante con esta iniciativa.

Un ajedrez imposible

Si las dinámicas de la política doméstica a veces pueden ser agotadoras e incomprensibles, cuando se trata de geopolítica, esto se enreda todavía más. Lograr que los 193 países que ocupan un asiento en la Asamblea General de las Naciones Unidas lleguen a consensos sobre las materias más diversas se vuelve una odisea. Hay diferencias entre países que son simplemente irreconciliables y el escenario provisto por la discusión hasta ahora de este tratado así lo demuestra.

El objetivo inicial de tipificación de delitos facilitados por TIC ha sido impugnado una y otra vez en cuanto a que no hay manera de realizar un catálogo de estos que deje contento a todo el mundo. Los Estados Miembros de este órgano internacional, al decidir sentarse en esta mesa y participar de las discusiones globales, lo hacen en conformidad con lo señalado en la Declaración Universal de los Derechos Humanos, documento rector de la Asamblea de la ONU, además de otros instrumentos similares. Sin embargo, en medio de las discusiones en esta sesión delegaciones de China, Cuba y otros Estados estimaron que el “lenguaje de derechos humanos” presente en el actual borrador es un exceso, siendo este un documento concebido nada más que como una guía en la aplicación de justicia.

Un ejemplo tiene relación con los artículos sobre explotación de menores en contextos digitales. El interés superior de las niñas, niños y adolescentes (NNA), además de la autonomía progresiva de las NNA, es una preocupación de todos los Estados, sin duda, pero las aproximaciones al resguardo de este son radicalmente opuestas entre el bloque occidental y el resto del mundo. Mientras que la UNICEF y la Oficina del Alto Comisionado de Derechos Humanos enfatizan que los adolescentes que están próximos en edad, madurez y desarrollo no deben ser criminalizados por una actividad sexual consentida y no explotadora, siempre que no exista ningún elemento de coacción, abuso de confianza o dependencia entre los adolescentes, muchas delegaciones como Egipto, Oman, Qatar, entre otras, expresaron que esta descriminalización no debería estar en la Convención.

Supongamos que un adolescente envía una nude o imagen íntima de manera voluntaria mediante una aplicación de mensajería instantánea. Según su nacionalidad, este acto puede constituir o una manifestación del libre albedrío y de la autonomía progresiva que todas las personas adquirimos conforme crecemos, o podría constituir el delito de producción de material pornográfico mediado por las tecnologías, habilitando su persecución y castigo con la ayuda de la cooperación internacional que fomenta el actual borrador del tratado.

Esto no tiene sentido para quienes habitamos el lado occidental del mapa mundial, pero ocurrió. Human Rights Watch documentó, hace un año, los casos de Yamen y Amar, dos jóvenes LGBTQAI+ de Jordania que fueron criminalizadas con base en su actividad en WhatsApp y aplicaciones de citas como Grindr. En ese país, el código penal considera a las relaciones del mismo sexo como ofensas a la moral y refleja el dilema que representa legislar con una perspectiva de derechos humanos a escala global. Los artículos 13 y 15 del borrador más reciente consolidan estas prácticas, al dejar al arbitrio de cada Estado la tipificación de delitos en este tema.

Alianzas inesperadas

No todo es tan oscuro. Esta última etapa demostró que la participación multisectorial logra resultados y, en nuestra región, podemos atribuirlos sin empacho al trabajo de incidencia que hemos realizado desde el consorcio AlSur junto con la Red en Defensa de los Derechos Digitales (R3D), el Instituto Panamericano de Derecho y Tecnologías (IPANDETEC) e Hiperderecho. Celebramos, igualmente, la articulación que se observa en el Sur Global. Una carta de la International Press Foundation recoge preocupaciones similares a las nuestras, emanadas desde la sociedad civil del continente africano. La Comisión Internacional de Juristas también puso el acento, en una declaración publicada en enero de este año, en la incorporación de principios de no discriminación, legalidad, interés legítimo, y necesidad y proporcionalidad en el texto discutido.

La mayoría de los países de América Latina se mostraron a favor de incorporar garantías de protección de derechos humanos en el borrador, y esto es el producto tanto de la incidencia presencial en las diferentes reuniones del comité como de la producción de investigaciones y relatorías que dan cuenta de la importancia de tales salvaguardas. Asimismo, la cooperación con otras partes interesadas también ha sido clave. El Manifiesto Multisectorial de 2021 fue firmado por organizaciones de la sociedad civil y representantes de la industria tecnológica, toda vez que hay preocupaciones compartidas respecto del alcance del tratado y sus posibles consecuencias en la fragmentación del ciberespacio.

Ahora durante la sesión de clausura, una carta abierta de la sociedad civil y organizaciones de la industria tecnológica puso el acento en que el primer propósito de un tratado de estas características es proteger a las víctimas de cibercrímenes, ofrecerles reparación efectiva y garantías en el resguardo de sus derechos humanos. Además, señaló que “Un nuevo tratado contra el cibercrimen no debe reducir las obligaciones existentes de los Estados en virtud del derecho internacional, especialmente el derecho internacional de los derechos humanos”. Por el contrario: lo que esperamos desde la sociedad civil es que dichas obligaciones se incrementen, en particular en lo que refiere a las consideraciones sobre género. Una victoria que podemos reconocer, en esta fase, es la incorporación de una frase sobre este tema en el preámbulo, fruto del esfuerzo sostenido y conjunto entre múltiples partes interesadas, aun cuando apuntamos a su incorporación transversal en todo el tratado.

Compañías como Microsoft, desde el primer momento, han expresado que el tratado no debe entenderse como un conjunto de tipos penales. En cambio, ha de fomentar el fortalecimiento de capacidades a escala global para combatir los delitos en entornos digitales, asegurar la consulta con expertas en la materia y poner especial cuidado en aspectos como el flujo transfronterizo de datos personales.

¿Qué hacer?

Frente al enorme poder que detentan los Estados Miembros en instancias multilaterales, cuyos consensos tienen impacto directo en las vidas de todas las personas, alianzas como las mencionadas son imperativas. Pese a que la suspensión de la sesión deja el tema en un limbo de incertidumbre, puede no ser solamente una mala noticia, por ejemplo, por los costos con este proceso. Pero cuando no hay poder suficiente para detener un proceso, demorar su cierre es una estrategia común desde las partes con menor ventaja.

Todavía queda tiempo para visibilizar los graves conflictos que podría acarrear la aprobación de este tratado y en esto la difusión y socialización de sus consecuencias cobra vital relevancia. Hemos sido testigos de cómo algunos Estados han modificado sus posiciones a partir de las conversaciones de pasillo en la ONU y la multitud de voces que han alertado sobre los aspectos más controversiales del tratado.

Desde el Sur Global, nuestra posición es clara: haremos todo lo que esté a nuestro alcance para impedir que un documento altamente punitivo, tremendamente amplio, sin limitar atribuciones estatales de vigilancia, y sin garantías efectivas de derechos humanos, tenga luz verde. En Derechos Digitales no le restamos importancia a la necesidad de regular el cibercrimen a escala internacional, pues va en la dirección correcta en el resguardo de los derechos humanos de todas las personas. Hemos señalado nuestros reparos y ponemos a disposición nuestras capacidades para seguir bregando por un documento que garantice mayor seguridad en línea a todas las personas, defendiendo y promoviendo los derechos humanos, con una perspectiva de género efectiva.

Tú también puedes colaborar. Visita el minisitio sobre este tema, comparte en tus redes, habla con tus amigas y revisa cuál es la posición de tu Gobierno al respecto. Petróvich, en otra conversación con Raskólnikov, afirma lo siguiente: “¿Qué importan estas normas, que en más de un caso resultan sencillamente absurdas? A veces, una simple charla amistosa da mejores resultados”.

Aprende Inteligencia artificial con ayuda de la Inteligencia Artificial

Inteligencia Artificial: la promesa de más ideas y menos trabajo. Desde el texto para detallar una idea, hasta los fragmentos de código que componen una gran solución informática, todo se puede consultar con algún modelo de IA. Incluso, se ha pensado como un validador de ideas, por veces como la fuente principal de consulta.

Es verdad que los modelos generativos basados en el procesamiento de miles de datos son capaces de responder a una infinidad de preguntas sin llegar a garantizar la veracidad de sus respuestas, particularmente si se ven enfrentados con interrogantes que demanden análisis. Esto es debido a que están diseñados para relacionar información según las entradas dadas por quienes lo usan.

En el caso de las ciencias exactas, estos modelos pueden ser un poco más precisos. Eso porque la complejidad de las entradas se reduce a especificar el tipo de operación y los valores con los cuáles trabajar. Por ejemplo, las operaciones aritméticas, cálculos físicos o desarrollo de código, abriendo nuevas posibilidades para la exploración curiosa y experta.

¿Es posible aprender IA con ayuda de la IA?

Una manera de hacer tal exploración es preguntarse como utilizar la IA para aprender sobre la misma IA. Lo primero a tener en cuenta es la necesidad de escribir prompts o preguntas que contengan la información necesaria con claridad e intentando evitar que el sistema llegue a un exceso de datos.

La información que un modelo devuelve no es más que el contenido resultante de conectar parámetros según la instrucción dada. Por ejemplo, en las próximas dos cadenas se observan énfasis que harán que una IA devuelva resultados diferentes:

Describe un cielo estrellado
Describe un cielo estrellado como lo haría un poeta

En el segundo caso, se incluye un contexto que guía el estilo de la respuesta que se debe generar.

Sabiendo que la calidad de los resultados depende de la calidad de la pregunta, se puede preguntar al mismo modelo la mejor forma de escribir un prompt.

Así, aplicando la siguiente pregunta en diferentes modelos se pueden obtener recomendaciones: ¿cómo escribir un buen prompt para pedir ayuda a la IA?
Existen diferentes (y válidas) respuestas para esa pregunta:

ChatGPT: Necesito ayuda para solucionar un error de sintaxis en mi código Python. Estoy intentando escribir una función que calcule la suma de una lista de números, pero estoy recibiendo un mensaje de error ‘SyntaxError: invalid syntax’. ¿Puedes ayudarme a identificar y corregir el error?
Gemini: Genera un código que imprima ‘Hola mundo’. Escribe un resumen de este artículo, Ayúdame a encontrar una receta para un pastel de chocolate.

Teniendo en cuenta estas recomendaciones, se puede pedir a un modelo de IA ayuda para comprender las funciones que componen un fragmento de código, un proyecto open source, un API o el ejemplo publicado en la documentación de algún método de PHP.

Desde niveles macro hasta condiciones de bajo nivel, es posible obtener de los modelos de IA generativa explicaciones, sugerencias de cambios, mejoras, refactorizar y hasta recibir soluciones a distintos problemas.

Pero, ¿puede la IA explicar un modelo de IA?

La explicación dada a un método que forma parte de un modelo de IA contendrá información de tipos de datos que ingresan, tipos de datos de salida y el proceso que hace de los mismos.

Tener un modelo funcional no es lo único que requiere una IA. Eso también depende de los datos que integran su entrenamiento, el valor de estos, diversidad y otros factores que pueden incidir en las respuestas que genere. La calidad del algoritmo y de los datos son los factores determinantes de la calidad de las respuestas.

En la práctica, se propone un ejemplo sobre el modelo de Inteligencia Artificial generativa ChatGPT. Para empezar, se puede preparar el ambiente del chat indicando el tipo de comportamiento esperado, por ejemplo: Usted es un profesional de la informática. Responda sin ambigüedades, esto da un contexto y carácter a la conversación. Siguiendo la propuesta práctica: en el sitio web de ChatGPT se encuentra la documentación técnica útil para su implementación en desarrollos propios. Se puede usar al mismo modelo de lenguaje para comprender estos fragmentos.

Al tomar un ejemplo y pedir que explique su función devolverá una explicación general al respecto.

También, se puede pedir una explicación más detallada si fuese necesario

Explique el siguiente fragmento de código:

import OpenAI from "openai"; const openai = new OpenAI(); async function main() { const completion = await openai.chat.completions.create({ messages: [{"role": "system", "content": "You are a helpful assistant."}, {"role": "user", "content": "Who won the world series in 2020?"}, {"role": "assistant", "content": "The Los Angeles Dodgers won the World Series in 2020."}, {"role": "user", "content": "Where was it played?"}], model: "gpt-3.5-turbo", }); console.log(completion.choices[0]); } main();

¿Podría darme más detalles?

Lo anterior funciona si lo que se busca es entender el funcionamiento de modelos desarrollados permitiendo una comprensión de los métodos disponibles y los datos de entrada para así modificar.

Si lo que se quiere es desarrollar un modelo de IA, lo mejor quizá sea revisar documentación, libros o foros. Otra forma de hacerlo es usando IA. Definiendo el objetivo, el resto puede ser guiado con un modelo generativo. Desde la selección de una base de datos (o la preparación de esta) hasta las funciones y métodos que deberían conformar el desarrollo.

Necesito desarrollar un modelo de Inteligencia Artificial para reconocimiento facial con Python.
Da recomendaciones sobre el tipo de base de datos y librerías que debo utilizar.

.

¿Ahora quién programa?

Con la cantidad de proyectos de código abierto y ejemplos disponibles, los modelos son capaces de proponer soluciones reflejadas en código que se pueden probar en cualquier editor de código o en cuadernos de trabajo como Jupyter . Por ejemplo, al digitar la siguiente instrucción en un modelo de IA, el resultado será un fragmento de código funcional:

Ayúdame a desarrollar el modelo, desarrolla las primeras funciones para que pueda
probarlas en Jupyter.

Si el resultado no es claro se puede pedir una explicación detallada que ayude a mejorar la prueba obteniendo información sobre cada función y cada operación a realizar.

Por favor, explícame

Al probar otros ejemplos dentro del mismo chat, también se observa como el modelo se ajusta al tipo de respuesta que se pidió con anterioridad, lo que explica cómo los modelos siguen aprendiendo y usando ese aprendizaje. Así cada vez dará respuestas más efectivas en menos pasos.

–Ayúdame a desarrollar un modelo para traducir documentos
-Ahora, código para usar en Jupyter
–Vamos a desarrollar un modelo para el reconocimiento de voz
–Ayúdame a desarrollar la arquitectura del modelo

Enseñando la IA

Los modelos de Inteligencia Artificial pueden ser comparados con infantes en su etapa de aprendizaje y al igual que ellos requieren que la información y/o datos que alimentan su instrucción sean de calidad, reales y que no incluyan sesgos.

Al usar un modelo de IA generativa proporcionando detalles importantes respecto al tipo de respuesta requeridas se obtendrán resultados más exactos y menos ambiguos.

Y lo más importante: la creatividad y las ideas siguen siendo humanas. Usar IA, lejos de ser una amenaza laboral debería convertirse en una alianza para efectivizar el trabajo, reducir esfuerzo y tiempo. Y poder seguir creando y pensando desde nuestra inteligencia natural.

El riesgo constante de ser periodista en México: un caso de filtración de datos personales

A finales de enero de 2024, se dio a conocer que una base de datos personales de más de 300 periodistas estaba circulando en un foro de filtraciones. La base contenía informaciones como la Clave Única de Registro de Población (CURP), el Registro Federal de Contribuyentes (RFC), identificaciones oficiales, dirección, entre otras. Según se pudo comprobar, ésta pertenecía al Sistema de Acreditación de Prensa de Presidencia, utilizada para el registro de periodistas que desean acceder a las conferencias matutinas del presidente Andrés Manuel López Obrador.

La noticia genera alarma dados los altos registros de violencia contra periodistas en México. De acuerdo con el informe semestral de Artículo 19, entre enero y junio de 2023, la organización registró 272 agresiones en contra de periodistas y medios de comunicación, de las cuales poco más de la mitad (140) tuvieron a instituciones del Estado como perpetradoras, lo que siembra una desconfianza hacia el gobierno con énfasis en las fuerzas armadas. Mientras tanto en 2022, se registraron 696 ataques, siendo el año más violento que haya monitoreado la organización desde el 2007.

Asimismo, existe el riesgo de que la información, disponible libremente por el filtrado, sea utilizada para incrementar las amenazas y ataques sufridos por comunicadoras y comunicadores en el país. Esta situación puede exponer a periodistas que ya se encuentran bajo el Mecanismo de Protección para Personas Defensoras de Derechos Humanos y Periodistas, y que han asistido a la conferencia matutina. Es sabido que pese a formar parte de los mecanismos de protección, algunas personas no han encontrado la seguridad necesaria, como el caso de Lourdes Maldonado López, quien – incluso habiendo expresado su miedo ante el presidente en una de sus conferencias – fue asesinada en 2022.

El discurso oficial no pareció compartir las preocupaciones de gran parte de la sociedad con relación a la filtración y la situación de los y las periodistas. En un primer momento, López Obrador se refirió a la filtración como una forma de atacar a su gobierno por parte de sus adversarios, como consecuencia de una “guerra sucia”, desviando a sí mismo el centro de atención y minimizando los riesgos implicados a periodistas y sus familiares.

La explicación sobre los hechos tampoco ha sido consistente en el tiempo. Inicialmente el presidente declaró que se trataba de un hackeo para desprestigiar a su gobierno. Posteriormente, la versión oficial de la base de datos a partir de una cuenta y credenciales de un funcionario que dejó de trabajar en la Coordinación de Estrategia Digital Nacional hace dos años.

En este momento, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) declaró que iniciaría una investigación e incentivó a las personas afectadas a presentar las denuncias correspondientes. Fueron 23 periodistas que iniciaron una denuncia penal.

Cuando la irresponsabilidad encuentra la incompetencia

La incapacidad de respuesta y acción del Estado mexicano cuando se trata de las múltiples vulneraciones de derechos humanos sufridas por periodistas no es exclusividad de este caso. La filtración de datos personales de periodistas es un eslabón más en esta cadena.

No es una prioridad y no existe compromiso gubernamental para proteger periodistas en el país, y este caso sirve para reafirmarlo. Además, demuestra la poca capacidad del gobierno, especialmente de Presidencia, para implementar medidas de seguridad adecuadas para el manejo de datos personales en su poder, más allá de las obligaciones establecidas por las normativas de protección de datos nacionales. La investigación del INAI en este proceso será crucial para contar con sanciones que impulsen una mejora en la capacitación sobre protección de datos personales. Mientras tanto, la pregunta que queda abierta es la que se refiere a los protocolos de seguridad para inhabilitar cuentas de exfuncionarios públicos.

Esta no es la primera filtración que ha sufrido el Estado mexicano en tiempos recientes. De hecho, fue gracias al hackeo de un grupo autodenominado Guacamaya, en 2022, que se pudo conocer más sobre las prácticas de vigilancia contra civiles – incluso periodistas – implementadas por la Secretaría de la Defensa Nacional (Sedena). El episodio no sólo contribuye a entender la poca diligencia en materia de seguridad digital por parte del gobierno, sino que también evidencia que el Estado también es cómplice en la fragilización de la privacidad y seguridad de periodistas y sus familiares.

Mientras esto sucede, la vida de las comunicadoras y comunicadores está en riesgo todos los días. Esta filtración de información personal pone en una posición aún más vulnerable a periodistas que se encuentran en la base, en especial aquellos y aquellas que previamente han recibido algún tipo de amenaza, lo que les ha llevado a ser parte del Mecanismo de Protección a Periodistas.

Este caso pone sobre la mesa la relevancia de la protección de datos personales de periodistas, pues su difusión puede traer graves consecuencias. Es crucial realizar una investigación exhaustiva sobre lo sucedido y analizar las medidas de gestión de datos personales que están siendo realmente aplicadas por los sujetos obligados, así como los protocolos de seguridad digital existentes. Esto podría tener como consecuencia el impulso y promoción de mejores prácticas en los gobiernos. Existe también, una necesidad imperativa de reparación del daño a periodistas que vieron vulnerados sus derechos, así como la implementación de una estrategia que contribuya a disminuir los riesgos a los que se puedan enfrentar.

Sin duda, ejercer la labor periodística en México seguirá trayendo riesgos inminentes hasta que exista un interés y una preocupación efectiva por proteger a periodistas, especialmente por parte del gobierno. Es necesario un compromiso por garantizar el ejercicio de derechos humanos como la libertad de expresión y el acceso a la información, ejes centrales del periodismo.

Seguridad en el ciberespacio: de la negociación a la acción

Por varios años, la sociedad civil global, incluida la latinoamericana, ha levantado alertas sobre negociaciones internacionales que significan oportunidades o (más frecuentemente) riesgos para los derechos humanos en el ciberespacio. Es el caso del Comité Especial sobre Cibercrimen, como también del Grupo de Trabajo de Composición Abierta sobre TIC, en la Tercera y la Primera Comisión de la ONU respectivamente. Mientras la discusión para cibercrimen parece terminar una etapa, el Grupo de Trabajo de Composición Abierta (OEWG) sigue su curso, procurando encontrar un consenso sobre el comportamiento de los Estados en el ciberespacio.

Dentro de ese marco, son varios países de la región que a su vez son promotores del “Programa de Acción Cibernético” cuya creación fuera aprobada a fines de 2022 por la Asamblea General de la ONU. Con diversos matices, varios países de la región mantienen compromisos a nivel internacional con aspectos de la agenda del comportamiento responsable de los estados en el ciberespacio, desde perspectiva a menudo inclusivas y favorable al interés público.

Por cierto, los compromisos de alto nivel que los Estados una y otra vez declaran como propios, distan aún de lo que la práctica ofrece en cada país. Como muestra el Portal de Política Cibernética del Instituto de las Naciones Unidas de Investigación sobre el Desarme, buena parte de la región cuenta ya con estrategias nacionales, incluidas las adiciones de los últimos meses de las estrategias de Brasil, Costa Rica y Chile.

En el caso de Chile, esto vino acompañado de más noticias. Después de los anuncios realizados durante la primera mitad de 2023, se publicó en Chile la Política Nacional de Ciberseguridad 2023-2028, con cinco objetivos estratégicos y ejes transversales que incluyen a las consideraciones de género, una semana antes de la Sexta Sesión Sustantiva del OEWG. La semana siguiente, el Senado chileno aprobó la Ley Marco de Ciberseguridad, que fomenta la implementación de estándares de ciberseguridad en los sectores público y privado y crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades regulatorias, fiscalizadoras y sancionatorias, entre varias otras medidas.

Del dicho al hecho

Todo esto luce y suena bien. Siguiendo con el ejemplo chileno, después de los procesos participativos que antecedieron a las estrategias nacionales tanto en la PNCS 2017-2022 como en la PNCS 2023-2028, el avance regulatorio es un hito. Contar no solamente con un marco general, sino con reglas legales que ofrecen una infraestructura orgánica para implementar las medidas tendientes a la ciberseguridad, parece un avance significativo y uno de los ejemplos a observar dentro de la región. El avance en paralelo de una Ley de Protección de Datos Personales que también parece tomarse la seguridad de la información con seriedad, entrega un panorama auspicioso.

No obstante, quedan varias brechas por cubrir para pasar de los altos niveles de compromiso internacional y de los elevados objetivos de una estrategia nacional, a una realidad donde el Estado sea capaz de fortalecer la confianza con otros países, mientras a nivel interno tanto las entidades públicas como las privadas entiendan el rol que les corresponde en una cultura de la ciberseguridad.

Esto pasa, en primer lugar, por el nivel internacional. Además de la necesaria actitud para mantener negociaciones de buena fe en los distintos foros donde se discute el futuro de las redes de comunicación, es importante que exista suficiente coordinación entre las entidades nacionales. En un año en que veremos el avance del proceso de los veinte años de la Cumbre Mundial de la Sociedad de la Información (WSIS+20), la Cumbre por la Democracia y la presentación del Pacto Digital Mundial, además del posible final del Comité Especial de Cibercrimen y la continuación del OEWG, junto con otros eventos y encuentros de coaliciones, es necesario que cada país mantenga pleno alineamiento con sus políticas internas y sus aspiraciones de largo plazo, más allá de las contingencias y de los gobiernos de turno.

También, que se permitan fijar acuerdos a nivel internacional y regional que incorporen a múltiples partes interesadas en esfuerzos concretos para implementar medidas de fomento de la confianza y de formación de capacidades, donde la sociedad civil, la academia y el sector privado tienen roles cruciales.

Sin embargo, donde quizás esté la deuda más relevante que se debe saldar antes de pensar en cómo se implementarán cibernormas es a nivel nacional. Un elemento distintivo de esta Política es la decisión de publicar los ejes y objetivos de alto nivel, y detallar las medidas concretas en un documento aparte, que aún no conocemos. Este Plan de Acción comprenderá los objetivos y medidas de corto plazo derivados de la Política, y su publicación será esencial para obtener una visión completa de la implementación práctica de la Política. Antes de ese Plan, la carencia es significativa: saber cómo se cumplirán objetivos como fortalecer a la industria, capacitar a la función pública, corregir inequidades de acceso, favorecer la investigación, hacer el seguimiento de las necesidades de coordinación y la relación concreta con las otras políticas nacionales, son todavía materia por conocer. Tampoco conocemos hoy las alternativas de seguimiento e implementación de la Política que deben ser propuestas por el Comité Interministerial sobre Ciberseguridad (PNCS, 1.3). Así, los objetivos de política pública contenidos en la Política son materias que todavía están en el terreno la aspiración.

Por cierto, nada de eso obstaculiza a la posibilidad de una pronta puesta a punto de un entramado normativo e institucional que permita en Chile la implementación de normas y medidas que faciliten la práctica de la ciberseguridad en todos los niveles de la interacción social.

Como siempre, la sociedad civil estará dispuesta a colaborar en ello.

Decir que no al tratamiento de nuestros datos

El consentimiento no siempre es libre, y esto es una amenaza para el ejercicio del derecho a la protección de datos. Decir que sí al tratamiento de nuestros datos porque en realidad no hay otra opción es un evento que sucede a toda hora, en actividades sencillas como la descarga de una aplicación móvil, en la aplicación de un beneficio social o en la solicitud de regularización migratoria ante los Estados. En esos escenarios decir que sí no es una opción, sino más bien un acto reflejo. Esta situación recibe el nombre de ‘consentimiento forzado’.

Vale la pena decir, para quienes no son especialistas en el tema, que para el tratamiento de nuestros datos hay más de un mecanismo o base jurídica que sirve para autorizar dicho proceso –interés legítimo, un contrato, una base legal, etc.-, pero por ahora enfoquemos la atención en el consentimiento.

Las consecuencias de decir ‘no’ al tratamiento de datos

Decir o manifestar que no consentimos al tratamiento de nuestros datos puede traer consecuencias más o menos graves dependiendo del contexto. Negarse a aceptar la política de tratamiento de datos de la única aplicación de mensajería que usan la mayoría de nuestros contactos puede generar exclusión relacional, un asunto que se torna relevante en medio de la crisis de soledad que, según advirtió la OMS, se está instalando cada vez con más fuerza en nuestras sociedades de vínculos digitales.

Decir que no a la política de tratamiento de datos en el proceso de solicitud a un beneficio social que entrega el Estado, puede poner en riesgo la subsistencia familiar cuando el contexto económico apremia, tal y como sucedió en tiempos del covid-19. Y decir que no a la compartición de datos biométricos, sensibles, en los procesos de regularización migratoria, puede ser la única razón en que se justifique la negativa de entrega de las credenciales de residencia a las personas que los necesitan, aunque éstas cumplan con el resto de requisitos en la postulación.

No poder decir que no en materia de protección de datos tiene efectos negativos en relación con su ejercicio, sin importar si se trata de un responsable que pertenece al sector público o privado. Dicha imposibilidad resta capacidad decisional y libertad en la toma de decisiones sobre el destino de nuestros datos y, en consecuencia, convierte la pieza central de un derecho en un proceso artificioso.

Estos efectos deberíamos tomarlos en serio en sociedades como las nuestras que apuntan a la digitalización de la vida cotidiana, y en el que las tecnologías son cada vez más ambiciosas y dependientes de la explotación intensiva de nuestros datos.

Decir que ‘no’ a las empresas

Pero hagamos el ejercicio inverso, y pongámonos en los zapatos de las grandes empresas que recogen y amasan nuestros datos personales. Se podría pensar que, a quien no le gusten las condiciones de tratamiento de sus datos, siempre tiene la opción de irse a otra parte. Pero esta es una postura con varios matices de por medio.

Esta posición desprecia el hecho de que el ecosistema digital tiene muy pocos actores que ejercen una posición dominante en los mercados, y que éstos acostumbran en sus procesos expansivos a comprar los servicios de la competencia, la misma a la que uno termina migrando en búsqueda de mejores opciones. Esta posición dominante tiene como efecto, además, que haya incentivos para el surgimiento de servicios alternativos.

El caso más claro es el de WhatsApp, adquirido por Meta. Cuando cambió su política de tratamiento de datos en 2021 y no ofreció la posibilidad de decir que no a sus usuarios en Latinoamérica, tuvimos que consentir de manera forzosa pues no había de otra, en parte, por la ausencia de políticas regulatorias como las de Europa, en donde las personas usuarias del servicio tuvieron allí el respaldo del reglamento de protección de datos para decir que no y la garantía de se respetase su negativa.

Aquí, en cambio, migrar a otra aplicación de mensajería no fue ni es viable para muchas personas, especialmente para quienes habitan en contextos donde la brecha digital persiste y hace imposible el acceso a otros servicios de mensajería menos estables.

En el caso de varias aplicaciones dominantes, la negativa a aceptar sus políticas de tratamiento de datos sin que eso signifique tener que renunciar a sus servicios también tendría un impacto económico en las personas, como fruto de las prácticas de tasa cero o zero rating. Es decir, prácticas en las que algunos operadores de telefonía móvil ofertan planes de navegación en línea y que prometen que al usar esas aplicaciones dominantes no se descontarán gigas del plan de navegación -un tema que en Colombia está siendo debatido por la Corte Constitucional-.

La negativa en la entrega de nuestros datos también se influencia por nuestras decisiones económicas, pero este es un vínculo que será mucho más claro o explícito cuando varios servicios digitales, que son en apariencia gratuitos, decidan empezar a cobrar a los usuarios que quieran mejores condiciones para la protección de sus datos. Algo que ya está sucediendo con algunas redes sociales.

Decir que ‘no’ al Estado

Cambiemos de actor, y vayamos ahora a los Estados. Decir que no al tratamiento de nuestros datos puede significar la negativa en el acceso a bienes o servicios esenciales. De igual manera, las entidades públicas podrían argumentar que precisan de la información personal básica que les permita prestar bienes y servicios que tienen a cargo, y esto en principio es cierto. Sin los nombres, edad o género de la persona que acude a un servicio médico, difícilmente sea posible garantizar el acceso a servicios personalizados de salud sexual y reproductiva, por ejemplo.

Pero también es cierto que, en los eventos en que la recolección de datos es necesaria para que los Estados funcionen con normalidad, se abre también paso a la recogida excesiva o innecesaria de datos, que nada tienen que ver con la prestación esencial del servicio que justifica su recolección. Entonces, no todo vale, y decir que no a esas condiciones de recogida excesiva, incluso decir que no al cambio de las condiciones iniciales que justificaron la recolección de datos inicial, debería ser factible y realizable.

¿Cómo potenciar el consentimiento libre e informado?

En el día internacional de la protección de datos, ¿qué podemos sugerir para potenciar el consentimiento libre e informado en los casos en decir que no al tratamiento de datos puede enfrentar tantos retos? En principio, reconocer que esta es una tarea que transita por varias vías.

La política regulatoria juega un papel clave para facilitar la investigación y sanción de los actores públicos y privados que hagan del consentimiento libre un proceso artificioso o inexistente u oneroso. También, tiene que ver con afianzar una cultura de la protección de datos que, en nuestra región, aún tiene un cariz profundamente individual que se enfoca en la denuncia o la queja de la persona inconforme, sin que emerja una visión más sistemática sobre prácticas que trascienden e impactan a grandes grupos de personas en un mismo país o región.

Por último, el surgimiento de casos de protección colectiva del consentimiento libre puede contribuir a esta tarea –Brasil ya ha avanzado en esa línea-, pues tendría el potencial de impactar más profundamente en la cultura local y jurídica, así como de sensibilizar a más personas y responsables de datos sobre las consecuencias de hacer del consentimiento libre y de la facultad de decir que no, un saludo a la bandera.

Dominio público y deberes de autor

Internet es colonial. No hay ninguna novedad en ello ni tampoco drama en decirlo: es la principal razón por la que Mickey Mouse adquirió (más) protagonismo durante los primeros días de este año que comienza. La pérdida de protección por derechos de autor de Steamboat Willie (1928) que, en la práctica, marca su llegada al dominio público es tema porque así es, en efecto, en los Estados Unidos de América.

Nuestra región, provista de sus propias legislaciones sobre derechos de autor, ofrece algunas pistas sobre cómo se percibe este hito en la Mayoría Global: en Brasil, un buen ejemplo, la primera iteración de Mickey Mouse que protagoniza esta cinta es libre desde el 1 de enero de 1999; Bolivia, Argentina y Uruguay, en tanto, podrán contar con cuantas reproducciones de este ratón permita la creatividad humana, aunque bajo la figura de dominio público pago, es decir, de todas maneras hay que pagar una comisión, solo que esta no va a las arcas de Disney, la compañía, sino que al Estado, a través de una entidad de gestión cultural.

De estos temas nos encargamos usualmente en la Alianza para el Acceso Justo al Conocimiento, en asociación con Fundación Karisma, Fundación Vía Libre, InternetLab, Hiperderecho, Red en Defensa de los Derechos Digitales, Datysoc e IBDAutoral, y cuyo fin es defender y promover el dominio público y los bienes comunes culturales en América Latina. Las últimas noticias provenientes del norte sobre Mickey Mouse, sin embargo, permiten abrir el espacio de discusión sobre autores, titulares y gestoras hacia otros ámbitos. Uno de ellos tiene que ver con el actual panorama de los famosos derechos de autor, que los devela insuficientes para los desafíos del siglo XXI.

El afortunado

Alguna vez, un joven caricaturista de Chicago llamado Walt Disney, junto con el igualmente joven animador Ub Iwerks, fueron empleados de alguien. Por encargo de sus jefes, crearon a un conejo proclive a meterse en problemas y, a la vez, salir de estos gracias a su buena suerte. Oswald, su nombre en inglés, nació en 1927 y protagonizó un par de producciones con éxito moderado. Modesto y todo, sin embargo, dicho éxito despertó la codicia de un par de ejecutivos de la compañía distribuidora, Charles B. Mintz y George Winkler, quienes —según la versión más difundida— lograron hacerse con la propiedad intelectual del conejo.

Este suceso, dicen, es la génesis del ratón animado conocido en el planeta entero y actual rostro principal de una compañía multimillonaria. Su estreno es un hito tanto en la historia de la animación como en la del cine: es el primer cortometraje animado con sonido simultáneo. Como explica en esta entrevista un no-tan-joven Walt Disney, su proceso creativo implicó la sincronía, prolijidad y voluntad de un vasto equipo de artistas; no solo de dibujantes sino también de una orquesta completa que debió ejecutar tanto la música como los efectos sonoros del corto en tiempo real.

Lo que siguió es relativamente conocido: parques de diversiones, un imperio audiovisual cuya punta de lanza, hoy en día, es su plataforma de streaming, millones y millones de dólares generados por The Walt Disney Company. No obstante, entre toda esta maraña corporativa y las diversas alusiones que se han realizado en estos días al golpe que significaría, contra la avaricia de Disney®, la liberación de Steamboat Willie hay dos temas muy importantes: el primero es que las grandes producciones animadas de la compañía están inspiradas, de hecho, en obras que habitan el dominio público: Blanca Nieves, Pinocho y El Rey León son algunos de los ejemplos más ubicuos; el segundo es que, de acuerdo con documentos oficiales, el mismísimo Walt Disney solía decir que esperaba nunca perder de vista que todo comenzó con un ratón.

La autoría es una responsabilidad

Diversas definiciones del derecho de autor suelen relevar su función social para “alimentar la rueda de la creatividad”, al otorgar protección jurídica a los autores y creadores por el solo hecho de haber creado una obra, cualquiera sea su forma de expresión, ya sea literaria o artística, esté publicada o inédita. Así, suponen redacciones como esta, el resguardo legal que tienen las y los titulares les posibilita obtener beneficios morales y patrimoniales derivados de sus creaciones. Esta justa retribución fomentaría, entonces, el surgimiento de nuevos creadores, nuevas obras, etcétera.

No obstante, Mickey Mouse nació de un movimiento opuesto y de una apuesta osada. En 1928 no había forma de prever el éxito que tuvo Steamboat Willie. Del mismo modo, es evidente el parecido que hay entre este y su antecesor: hasta se podría esbozar que el primero es un remix del segundo. Azar o no mediante, la filosofía detrás del ejercicio de los derechos de autor, esto es, la presunta promoción de la creatividad humana al garantizar compensación económica y moral de lo que resulte de ella a sus ejecutoras, no tiene mucho sentido al presumir que la autoría —el arte, inclusive— es tan solo un medio para un fin.

En esta organización se ha defendido históricamente la necesidad de más derechos para que todas puedan participar de la vida cultural y la eficacia incomprobable del derecho de autor respecto del fomento de la creatividad. En el presente, como parte de la Alianza para el Acceso Justo al Conocimiento, lanzamos un Informe sobre Políticas de Inteligencia Artificial y Derechos de Autor en América Latina que subraya la necesidad de una excepción para utilizar grandes volúmenes de libros, artículos, imágenes, bases de datos y otros materiales protegidos por derechos de autor para la investigación académica mediante recursos como minería de texto y datos, y mecanismos de aprendizaje automático.

La entrega de una obra original al acervo cultural del planeta no debería contemplar solamente protecciones para su autor sino también responsabilidades. El concepto de uso justo tiene mucho que ver con esto: en un mundo ideal, la autoría no es una cuestión de vanidad; por el contrario, debería entenderse desde la generosidad. Aun cuando cualquiera puede ser titular de derechos de autor, no cualquiera llega a ser un autor. A su vez, si bien tales derechos protegen a personas naturales o jurídicas, su concepción anglosajona no alcanza para extender dichas garantías a grupos culturales, como es el caso al que se enfrentó el pueblo maorí en relación con la “propiedad” y destino de su lengua o lo discutido en Colombia, en 2013, a partir de un proyecto de Conocimiento Tradicional y Agrobiodiversidad que visibilizó los límites de la ley occidental en cuanto a la protección de saberes ancestrales. Este tema también es trabajado por Salvador Millaleo, en Chile, en la publicación Conocimiento Mapuche y Derechos de Propiedad Intelectual.

Dominio público para todas las personas

No es posible afirmar ni negar que Walt Disney estaría de acuerdo (en 2024, si estuviera vivo) con el ímpetu litigante que caracteriza actualmente a su compañía, asidua a retirar contenido que infringe el derecho de autor en motores de búsqueda y plataformas. No obstante, y recordando los inicios de Disney®, sí se puede sostener que es el dominio público el que de todas maneras garantiza la regeneración y reproducción de la creatividad humana. Existe antes de la invención del derecho de autor, es para todas e internet —bien lo sabemos— es crucial en el acceso a y distribución de las obras que están amparadas en esta figura.

Hasta ahora, se han anunciado películas de terror y videojuegos de acción donde el protagonista, al igual que en esta columna, es el Mickey de Steamboat Willie. Con certeza surgirán muchas obras más cuya principal razón de ser, aventuramos a decir, es la fama del personaje, pero quién sabe los rumbos que tomará la creatividad y cómo terminará por trenzarse con el uso de la inteligencia artificial en las artes. La pregunta por si lo que deriva de un prompt o comando es titular de derechos, sin embargo, es materia para una columna aparte.

Será decisión de la humanidad, entonces, determinar dónde reside el poder y la responsabilidad que viene de la mano con la capacidad de crear, sea en sus autores, como ya se entiende hasta ahora, o desde el dominio público, como se levanta sin pausa desde los activismos de la cultura libre hace mucho tiempo atrás. En cuanto a Mickey Mouse, hemos de ver cómo actuará Disney, considerando su comportamiento previo, ahora que el inspirador de su marca es patrimonio de todas y que seguramente abrirá nuevos debates en torno a la frontera entre la propiedad industrial y los derechos de autor.

Finalmente, son imperativas más instancias donde se resuelva el destino del dominio público frente a esta encrucijada: si acaso terminará siendo nada más que un repositorio para modelos de inteligencia artificial generativa o si, de una vez por todas, los Estados asumirán el deber de invertir en preservarlo y expandirlo para el bien común.

Ciberseguridad desde una perspectiva de género interseccional: desafíos persistentes a una demanda urgente

Investigaciones que exploran los nodos claves de la ciberseguridad desde una perspectiva de género, hacen hincapié en la vulnerabilidad diferenciada de ciertos grupos ante ciberataques, así como su impacto diferenciado según el género. Tanto la brecha de género, como las dimensiones de la violencia de género se presentan, por lo tanto, como elementos clave para entender a esta problemática.

Si bien la brecha digital de género se ha reducido, persisten desigualdades significativas. Por ejemplo, aunque se registran aumentos en el número de mujeres profesionales en la industria de tecnologías, ellas siguen representando apenas 25% de la fuerza de trabajo en ciberseguridad (contra al menos 40% de la fuerza de trabajo en general). Además, la incorporación de mujeres jóvenes es muy lenta y la ausencia de diversidad es muy notoria en los cargos directivos. Cuando se trata de personas LGBTQIA+ los mismos datos son escasos evidenciando brechas aún más profundas.

Esto también se refleja en las grandes instituciones que gobiernan internet. Como hemos señalado en publicaciones anteriores, por ejemplo, la Unión Internacional de Telecomunicaciones (UIT), sólo ahora tiene una mujer en su Secretaría General, tras décadas de estar encabezada por hombres mayoritariamente blancos.

Ciber-inseguridad y violencia de género facilitada por las tecnologías

Tales brechas históricas han dejado las principales decisiones en materia de tecnologías en las manos de una minoría, lo que ha contribuido con la persistencia de violencias de género que retroalimentan desigualdades luego perceptibles en las políticas. A pesar de ser reconocida internacionalmente como un problema acuciante, la violencia de género facilitada por la tecnología (TFGBV, por sus siglas en inglés) no suele considerarse un problema de ciberseguridad debido a la subestimación de asuntos domésticos/privados y porque se elige dar prioridad a las amenazas “más graves”.

Cabe recordar que la TFGBV es un problema generalizado que vulnera los derechos humanos de las personas afectadas. Actúa como un obstáculo a su pleno ejercicio y representa una barrera adicional para la participación en las esferas económica, social, cultural y política, obstruyendo así la realización de la igualdad de género.

Al tratar de ofrecer respuestas, los Estados a menudo han puesto un foco mayoritario en el uso del sistema criminal mediante legislaciones que han resultado no solo ineficaces sino que han puesto en peligro a las personas a quienes apunta a proteger. En una investigación reciente, hemos señalado que las leyes existentes sobre ciberdelincuencia tienden a prestarse a abusos debido a su terminología imprecisa y a la falta de mecanismos de reparación suficientes. Tampoco están específicamente diseñadas para abordar los problemas de género.

Por tanto, estrategias de ciberseguridad sólidas que sitúen a las personas y al género en el centro de las políticas y acciones públicas son una respuesta importante a la violencia de género y una alternativa al uso de normas sobre ciberdelincuencia, que deben aplicarse e interpretarse de forma restrictiva.

Espacios de incidencia: más allá de la participación

En los últimos años, los procesos multilaterales sobre ciberseguridad empezaron a incluir en sus declaraciones oficiales consideraciones sobre la dimensión de género, pero aún de manera muy tímida y limitada.

La falta de representación igualitaria en los procesos de elaboración de normas técnicas fue considerada especialmente preocupante en un informe reciente del Alto Comisionado de las Naciones Unidas para los Derechos Humanos (ACNUDH), que ahonda en la relación entre los derechos humanos y los estándares técnicos. El documento señala que es difícil encontrar datos fiables sobre la magnitud del problema, en gran parte porque las organizaciones de normalización no recogen sistemáticamente datos desglosados sobre el género de los participantes.

La situación ha sido también diagnosticada al interior de instituciones dedicadas al desarrollo de estándares técnicos. Una resolución sobre Promoción de la igualdad de género en las actividades del Sector de Normalización de las Telecomunicaciones de la UIT (UIT-T), alerta a la escasa participación de mujeres en sus procesos. El documento apunta como necesario garantizar que ellas puedan desempeñar un papel activo y relevante en todas las actividades del UIT-T. En ese sentido, se resuelve dar alta prioridad a la integración de las cuestiones de género en la gestión, la contratación de personal y el funcionamiento del UIT-T, teniendo en cuenta también la representación geográfica. Si bien reconocimientos de este tipo son importantes, el lenguaje de género binario es aún un limitante a la efectiva equidad de género.

El acceso a la participación de mujeres es clave para avanzar hacia un cambio sistémico en el abordaje de la ciberseguridad. Sin embargo, es igualmente importante notar que el abordaje de género es mucho más amplio, y debe incluir aspectos como los riesgos, necesidades e impactos diferenciados en base al género y otras interseccionalidades que deben ser incluidas tanto en normativas como la mencionada, como en procesos de desarrollo de capacidades.

Para que la integración de la perspectiva de género (o gender mainstreaming) sea efectiva, las preocupaciones y experiencias de mujeres y hombres deben ser parte integral del diseño, la aplicación, el seguimiento y la evaluación de políticas y programas en todas las esferas políticas, económicas y sociales. En ese sentido, las normas internacionales han reconocido la necesidad de que la legislación y las políticas sean «sensibles al género», es decir, que tengan en cuenta las diferencias de impacto en función del género, y que impulsen un proceso de elaboración de normas más integrador que incorpore diferentes perspectivas de género, aborde las desigualdades e, idealmente, genere empoderamiento.

Esto implica que si bien es importante avanzar en pronunciamientos específicos de la problemática de género en la ciberseguridad, este aspecto debe abordarse integralmente en tanto el género es un factor social transversal que impacta todos los aspectos relacionados a las políticas sobre el tema.

Orientada hacia ese sentido, la resolución del Alto Comisionado referida anteriormente expresa que debe prestarse especial atención no solo a la promoción de la igualdad de representación de género en los procesos de elaboración de normas sino también a la sensibilidad de género de las normas. Esto incluye la necesidad de crear y mantener proactivamente culturas libres de misoginia y discriminación.

Espacios de incidencia como la Unión Internacional de Telecomunicaciones (UIT) – como hemos señalado en publicaciones anteriores – son fundamentales para fomentar la discusión de aspectos relevantes en la construcción de políticas públicas de ciberseguridad, que están directamente relacionadas con el cumplimiento de los derechos humanos. En términos de género, la participación se vuelve crucial no solo en asegurar paridad en las delegaciones y miembros de sociedad civil, sino en generar códigos de conducta apropiados e instalar la aplicación de la perspectiva de género también como un elemento central de la agenda de ciberseguridad.

Hacia un cambio sistémico en el abordaje de la ciberseguridad

El aporte crucial de la perspectiva de derechos humanos y el enfoque de género a la ciberseguridad insta a contemplar sus necesidades, prioridades y percepciones de la ciberseguridad en función del género y otros factores como orientación sexual, identidad de género, raza, clase social entre otros.

Citando a un reporte presentado por APC, este enfoque no implica simplemente agregar medidas a una política ya existente; sino que representa un cambio sistémico en la aproximación a la ciberseguridad. Aboga por una reevaluación del concepto tradicional de ciberseguridad, para superar la priorización de la defensa nacional o las demandas de la industria, y poner las personas en el centro. En ese sentido, es fundamental entender a las redes digitales como una base esencial para el ejercicio de derechos humanos en la actualidad.

Reconocimiento facial: tecnologías al servicio de la represión

Argentina, diciembre de 2023. Asunción del presidente electo Javier Milei. Recortes, ajustes, protestas. La Unidad Piquetera convocó una manifestación en respuesta a las primeras medidas del nuevo gobierno. El anuncio de la manifestación, planificada para el 20 del último mes del año, fue acompañado de nuevas medidas (y amenazas), que provocaron múltiples respuestas de la sociedad civil.

Previo a la mencionada manifestación, la ministra de Seguridad nacional, Patricia Bullrich, presentó el llamado “Protocolo antipiquetes”, un documento para controlar la protesta y que menciona la utilización de distintas tecnologías de vigilancia con el objetivo de identificar manifestantes. Según el protocolo, que combina represión y persecución, los datos obtenidos por la policía “serán remitidos a la autoridad de aplicación correspondiente para la adopción de las medidas que correspondan”. Frente a la consulta sobre de dónde sacarían los datos, la respuesta fue determinante; “por las cámaras de reconocimiento facial”, dijo la ministra. “Vamos a identificar a las personas. Vamos a tener cámaras, vamos a tener drones y vamos a tener distintas formas de identificarlas”, afirmó durante una entrevista en el canal LN+.

Del mismo modo, la ministra de Capital Humano, Sandra Pettovello, anunció que si quienes participaran de la protesta fueran beneficiarios de algún plan social, éste se les quitaría. Y volvió a mencionar en un video publicado en redes sociales del organismo, parafraseando al presidente, que “El que corta, no cobra”.

Argentina y el reconocimiento facial

Argentina ha sido pionera en la implementación de políticas de identificación con base en biometría, las que, de manera creciente, han incorporado elementos tecnológicos avanzados. La prensa local apunta a la existencia de al menos tres sistemas de reconocimiento facial automatizado en el país.

Uno es el que se empezó a usar en 2018 en las canchas del fútbol argentino como parte del programa Tribuna Segura 2.0. El otro, llamado Sistema de Identificación Segura (SIS) es utilizado por las fuerzas de seguridad en ciudades como Rosario para la búsqueda de ”prófugos, personas con antecedentes penales” y con “pedido de captura en la vía pública”.

El tercero, es el sistema de reconocimiento de prófugos y personas desaparecidas que empezó a implementarse en las terminales de transporte público en la Ciudad Autónoma de Buenos Aires en 2019. Este sistema fue declarado inconstitucional en 2022 gracias a un recurso interpuesto por el Observatorio de Derecho Informático Argentino (O.D.I.A.).

Entre otros argumentos, la acción cuestionó la ausencia de estudios de impacto previos a la implementación y de mecanismos efectivos de supervisión y auditoría al Sistema de Reconocimiento Facial de Prófugos (SRFP). En su momento existieron acusaciones hacia el gobierno porteño por cargar en el sistema datos de más de 40 mil personas, entre ellas dirigentes sociales, políticos, jueces o fiscales entre otros. Se supo también que esos datos se enviaron al Registro Nacional de las Personas (Renaper) sin autorización.

Además de los mencionados, en 2021, el Consorcio Al Sur identificó sistemas de reconocimiento facial activos en la Provincia de Salta y en la localidad de Tigre (Provincia de Buenos Aires).

Tecnologías para la represión

Los impactos del reconocimiento facial automatizado, el uso indiscriminado de datos biométricos y la poca transparencia de las medidas de vigilancia, son temas que la sociedad civil argentina ha discutido largamente en los últimos años. Como era de esperar, los reclamos ante a la nueva Resolución no tardaron en aparecer.

El Centro de Estudios Legales y Sociales (CELS) denunció el protocolo y las acciones frente a la ONU y a la Comisión Interamericana de Derechos Humanos. La denuncia fue acompañada por 1700 firmas de centrales sindicales, movimientos sociales, organismos de derechos humanos, organizaciones sociales, gremiales, ambientales, de los pueblos indígenas, migrantes, transfeministas, religiosas, colectivos de infancias, estudiantiles y políticos. Además, más de 15 mil personas firmaron la denuncia a título personal. La carta, menciona que los nuevos procedimientos planteados son “incompatibles con los derechos a la libre reunión y asociación, a la libertad de expresión y a la protesta social, reconocidos tanto en normas locales, como en la Constitución Nacional y en los tratados y estándares internacionales de derechos humanos”.

La Fundación Vía Libre, reforzó en un comunicado que existen garantías previstas legalmente contra la recolección abusiva de datos personales: “la ley de protección de datos personales y el principio de hábeas data con rango constitucional te protege si tus datos de identidad, de salud o de crédito son usados sin tu consentimiento”. Según el texto, “Argentina está queriendo utilizar el sistema de reconocimiento facial para desincentivar las manifestaciones”. La organización recordó que no se trata del primer caso a nivel mundial, refiriéndose a denuncias de activistas frente al Tribunal Europeo de Derechos Humanos contra el uso de reconocimiento facial en manifestaciones en Rusia.

Luego de la enorme manifestación del 20 de diciembre, y tal como lo había adelantado la ministra Bullrich, se solicitó al actual gobierno porteño la información recolectada por las cámaras, a pesar de la inconstitucionalidad declarada en 2022. Sin embargo, las autoridades se negaron a aportar la información. Según explicaron, el sistema no está en condiciones técnicas ni judiciales para ser usado.

En la ocasión, agentes de la Policía de Seguridad Aeroportuaria (PSA) subieron a transportes que se dirigían a la movilización convocada por movimientos populares y organizaciones sociales, pidiendo documentación y filmando a los pasajeros con el propósito de identificar a manifestantes. Los hechos fueron registrados por una pasajera que subió a sus redes un video donde se observa el momento en que los agentes suben a un ómnibus y registran a los presentes con un celular.

Contra la represión automatizada

Los sistemas de recopilación de información personal ponen en riesgo un conjunto de derechos fundamentales como la privacidad y la protección de datos personales, la libertad de asociación y de expresión, el debido proceso y la presunción de inocencia, entre otros. Es inaceptable que la asistencia social esté condicionada a la abstención de ejercer el legítimo derecho a la protesta. Utilizar la vigilancia y la represión (policial, judicial o administrativa) como amenaza es una forma de censura y una violación de los compromisos asumidos por Argentina a nivel internacional.

El pedido es simple: que el nuevo gobierno argentino atienda a criterios de legalidad y a los procedimientos validados por la justicia y que cualquier acción de vigilancia sea necesaria y proporcionada. Que los órganos de persecución penal y de seguridad pública recuerden sus compromisos constitucionales como límites a sus acciones.

Que la población efectivamente sepa a dónde van sus datos, para qué se van a usar, y que puedan contar con auditorías regulares es una base mínima sobre la que actuar. La experiencia lo ha demostrado: sin transparencia, no hay garantía de derechos.

Y lo más importante: que termine la represión de la protesta legítima, con o sin herramientas automáticas y modernas.

El 2023 en retrospectiva: ¿qué fue de la defensa de los derechos humanos en la era digital?

De crisis en crisis

Parecería ser que no conseguimos salir de situaciones dramáticas. A la emergencia climática y las persistentes consecuencias económicas de la pandemia del COVID-19 y del capitalismo global, debemos sumar los constantes riesgos a nuestras frágiles democracias.

La crisis bélica con que terminó 2022 en lugares lejanos a América Latina, se esparció por el mundo, incluidas amenazas en nuestra región. La violencia en los territorios ocupados de Palestina se extendió al entorno digital, en forma de censura y acoso. A la vez, la atención de usuarias de redes sociales se volcó en solidaridad no solo con Gaza, sino también con el Congo y Sudán. Vimos protestas en toda la región, incluyendo la continuación de protestas contra el gobierno en el Perú, y el surgimiento de violenta represión contra las protestas en Panamá y Guatemala, además del escenario que hoy se abre en Argentina.

A pesar de los cuestionamientos a las plataformas sociales como espacios de desinformación y frivolidad, internet sigue siendo un lugar para el activismo, la denuncia de violaciones de derechos humanos y el periodismo.

Más tecnologías, más vigilancia

En América Latina pasamos de un año marcado por la vigilancia mediante tecnologías a un año en que, bueno, sucedió lo mismo y a menudo peor. La repetida historia de la vigilancia a través de Pegasus tuvo nuevas revelaciones sobre espionaje en México, El Salvador (a una jueza en una extensión de las revelaciones de 2022) y República Dominicana. Y más spyware fue detectado en México.

A ello se suman los riesgos de moverse de un lado a otro en un cuerpo tangible, en una región con creciente adopción de sistemas de vigilancia biométrica. San Pablo, en Brasil, anunciaba una adquisición millonaria de un nuevo sistema de vigilancia pese a las victorias contra sistemas de reconocimiento facial en el pasado reciente; el transporte público en Bogotá y la policía en Medellín anunciaban nuevas capacidades en Colombia; el nuevo gobierno argentino anunció vigilancia de rostros para identificar y castigar a participantes en protestas. La biometría siguió su expansión para los movimientos entre países: organizaciones de sociedad civil denunciaron el uso en fronteras y sobre personas migrantes. Y mientras en Ecuador se fortalecen capacidades con fines de seguridad y hasta la figura de un agente encubierto digital, languidece la esperanza de hacer aplicable la ley de datos personales aprobada hace años.

Expresión y protesta bajo asedio: dentro y fuera de internet

La situación argentina, una de las secuelas de la elección presidencial de fines de 2023, es parte de una fuerte acción gubernamental contra la protesta social, que merecerá cercana atención en 2024. Con la misma preocupación por la capacidad de trabajo en asociaciones de sociedad civil levantamos la alerta por la regulación de organizaciones en Venezuela.

Vimos aumentar y profundizarse parte de la discusión sobre desinformación, acentuada en nuestra región por actos de violencia en Brasilia a principios de año, con la preocupación adicional por la desinformación política en ese país. Mientras tanto, en Chile se inauguraba una comisión experta para formular recomendaciones pese a la incertidumbre sobre el real efecto de las mentiras digitales. El traslado de la preocupación hacia una discusión más amplia sobre la regulación de empresas de internet también tuvo énfasis en Brasil, donde el proyecto de ley que partió como uno sobre fake news se convirtió en un debate mayor sobre la regulación de plataformas digitales.

Una importante sentencia de la Corte Constitucional en Colombia, dio importantes luces sobre el rol del Estado en la garantía del acceso a internet, como elemento crucial en el ejercicio de derechos fundamentales.

Nuestra seguridad en el marco vigente de derechos humanos como la referencia directa para exigir deberes de los Estados se mantiene firme, por lo que seguiremos trabajando en el reconocimiento institucional de aquello que sabemos que son nuestras prerrogativas como titulares de derechos fundamentales.

Tecnologías para todas

Sabemos que hay un fuerte énfasis en producir nuevas formas de gobernanza para la inteligencia artificial, incluyendo esfuerzos regulatorios en la región. También nuestro trabajo de este año dio cuenta de la necesidad de integrar perspectivas feministas al desarrollo tecnológico, y publicamos un informe en la materia con contribución significativa de especialistas de toda América Latina, además de coorganizar un taller sobre justicia de datos para recabar más perspectivas de personas expertas de la región.

Nuevas actividades dentro de nuestra línea programática sobre inteligencia artificial e inclusión se proyectarán hacia los próximos años para dar cuenta de la necesidad de aprovechar la oportunidad histórica de incidir en el desarrollo tecnológico futuro, con respeto a la democracia, los derechos fundamentales, el medio ambiente, y la inclusión. Es cierto que la tecnología es una fuente de riesgos y oportunidades, pero materializar estas últimas requiere una actitud vigilante y proactiva.

Solidaridad en tiempos de crisis

Este año, el trabajo de Derechos Digitales se vio fuertemente marcado por nuestra dedicación a la colaboración y el fortalecimiento de la sociedad civil en toda la región. Condujimos regionalmente acciones dentro del proyecto Greater Internet Freedom, para generar evidencias, reforzar activismo y construir capacidades en varios países de la región, dando lugar así a la publicación de una nueva versión de Latin America in a Glimpse, dedicada la conectividad en distintas áreas de la Amazonía.

También apoyamos financieramente al trabajo de activistas en la región, entregando fondos a 20 iniciativas de 13 países de la región, a través de nuestro Fondo de Respuesta Rápida y nuestro nuevo Fondo de Derechos Digitales, cuyo sistema de gestión sigue recibiendo el registro de postulantes y de proyectos. Apoyamos la formación de capacidades para personas en etapas iniciales o con interés en el trabajo por los derechos digitales, mediante un curso introductorio a fines del año. Examinamos el rol de la evaluación en el trabajo del activismo de sociedad civil.

Este año, inauguramos el Programa LaREDD, para la resiliencia y la defensa digital, mientras mantenemos nuestro trabajo de formación de confianza con personas expertas en seguridad digital en la región. Recibimos al primer par de pasantes con énfasis de inclusión en materias de seguridad y resiliencia digitales.

Fuimos parte del lanzamiento de una nueva Red Global para la Justicia Social y la Resiliencia Digital. Mantuvimos nuestra participación en nuestras múltiples redes, como el consorcio AlSur, la Asociación para el Progreso de las Comunicaciones (APC), IFEX, la Global Network Initiative (GNI), el Movimiento para una Mejor Internet (MFABI), la Red de Datos para el Desarrollo (D4D) y más.

Creemos en la cooperación como vía para el fortalecimiento mutuo, y seguiremos en ese camino.

Los desafíos globales de 2023 y 2024

Nuestra misión regional reconoce la necesidad de poner atención en procesos y eventos globales relacionados con los derechos humanos en la sociedad digitalizada. Seguimos con fuerte involucramiento en lugares como: el Comité Especial que discute un nuevo tratado de cibercrimen en el Tercer Comité de la ONU; el Grupo de Trabajo de Composición Abierta del Primer Comité, dedicado a la seguridad y el uso de las tecnologías, especialmente por los Estados. Continuamos el seguimiento de procesos en foros técnicos que inciden en el desarrollo de las redes y el impacto de las mismas en las posibilidades de los derechos humanos; la atención a tratados de libre comercio que por la vía del intercambio comercial pueden comprometer los derechos de las personas o transarlos por ventajas económicas.

También en la Comisión de la Condición Jurídica y Social de la Mujer de la ONU, dedicada a las tecnologías y la superación de las brechas; en el seguimiento de las discusiones en la Organización Mundial de la Propiedad Intelectual con posible impacto en el futuro del acceso al conocimiento; todo sumado a la atención dada a espacios como la UNESCO y sus iniciativas en IA y en gobernanza de plataformas, el Foro de Gobernanza de Internet, la Freedom Online Coalition, y mucho más.

En 2024 seremos testigos de la celebración de una Cumbre para el Futuro, organizada por Naciones Unidas, que incluirá un Pacto Digital Global, cuya elaboración ha traído múltiples preocupaciones para una sociedad civil global con renuencia a dejar el futuro digital a la decisión entre estados. Sabemos que se trata de una oportunidad de retomar el futuro a favor de los derechos humanos, por sobre los intereses gubernamentales.

Y en todos estos espacios, actuales y futuros, locales y globales, confiamos en el poder de la sociedad civil para cambiar la sociedad. La defensa de una perspectiva latinoamericana de los derechos humanos en la era digital requiere también la visibilización de la misma en múltiples espacios, gubernamentales e intersectoriales, con alcance global y con solidaridad transregional con el resto de la Mayoría Global.

El 2024 será un intenso año electoral, incluso para varios países de la región. Estaremos atentas a los procesos de cambio y a las posibles amenazas a nuestras democracias.

También, con una preponderancia de las personas, como tú y yo, y de grupos y comunidades, como todas nosotras, como verdaderas agentes de cambios que no tengan al poder estatal o empresarial como los grandes ganadores del futuro. Puedes confiar, como siempre, que desde Derechos Digitales seguiremos trabajando para que el futuro sea de todas.

Reflexiones sobre la privacidad en videoconferencias

En primer lugar, están los servicios provistos por grandes empresas de Internet como son Zoom, Google Meet, Teams e Skype de Microsoft, entre otros. Estas plataformas suelen dar un servicio limitado gratuito y además ofrecen la posibilidad de pagar para tener funcionalidades extras.

Más allá de ser un servicio pago o gratuito, estas plataformas tienen la característica que la comunicación es gestionada por las empresas que proveen el servicio. Las conversaciones que viajan entre nuestros dispositivos y los servidores de las plataformas es cifrada. Esto quiere decir que alguien que pueda vigilar nuestras comunicaciones no tendrá la posibilidad de saber con quién hablamos ni lo que estamos diciendo, lo que es bueno y es el mínimo seguridad que se esperaría para cualquier sistema de comunicación.

Por otro lado, las empresas que proveen el servicio lo pueden ver todo y, si lo desean, tienen la capacidad de grabar y transcribir las conversaciones.

¿Nos sentiríamos a gusto si tuviéramos una conversación con micrófonos y cámaras en nuestra casa u oficina de trabajo? ¿Nos cuestionaríamos quién puede escuchar estas conversaciones y para qué? ¿Existe algún problema si las grandes empresas de internet pueden escuchar y grabar nuestras conversaciones?

Para contestar esta última pregunta vale la pena regresar a 2013, cuando Edward Snowden filtró documentos secretos de la agencia de inteligencia de Estados Unidos NSA. En estas revelaciones aparece el programa PRISM, en el que participaban empresas como Google, Microsoft, Meta (entonces Facebook), Yahoo, entre otras. Según las filtraciones, las empresas debían entregar información de cualquier usuaria si el gobierno de Estados Unidos se los pedía. Para ese entonces ya se incluía a las videoconferencias.

¿Estaríamos cómodos si supiéramos que en nuestras casas hay micrófonos y cámaras por dónde miran y escuchan agencias de inteligencia? ¿Está bien que nuestras conversaciones puedan ser escuchadas? ¿Se puede hablar por Internet sin que nos escuchen?

El primer camino es el cifrado de extremo a extremo. En ese caso, las organizaciones o personas que proveen el servicio no serán capaces de escuchar las conversaciones. Según las preguntas frecuentes de Zoom, es posible habilitar esta opción en sus llamadas. Sin embargo, si revisamos la historia reciente, en el año 2021 Zoom tuvo que pagar 85 millones de dólares en EEUU, como resultado de una demanda colectiva donde se les acusó de mentir sobre el cifrado extremo a extremo y entregar información a Google y a Facebook.

¿Se puede confiar en Zoom o cualquier otra empresa que provea cifrado extremo a extremo? La respuesta es sí, siempre y cuando se trate de software libre y que el protocolo de cifrado funcione en nuestro dispositivo y no en el servidor. El software libre es importante porque se sabe de manera pública cómo funciona la aplicación y se la puede auditar de forma colectiva a nivel global. Es muy difícil poner puertas traseras con este esquema de desarrollo. Por otro lado, es importante que el cifrado de extremo a extremo suceda en nuestros dispositivos, porque por más libre que sea el software, no podemos saber si el sistema que funciona en el servidor ha sufrido modificaciones y pueda servir para espiarnos.

En ese sentido, las videollamadas de Signal están cifradas de extremo a extremo desde finales de 2021 para llamadas de hasta 5 personas y se supone que hoy en día soportan hasta 40. Si bien es una aplicación con más de 10 años de existencia y ha demostrado ser confiable, tiene un problema. Todas las comunicaciones son gestionadas por los servidores de Signal. Si bien no pueden escuchar las llamadas, tienen la posibilidad de monitorear quién se comunica con quién a través de los metadatos. No significa que suceda, pero es algo técnicamente viable.

Si no se puede confiar en quién provee el servicio, ¿qué se puede hacer? Una opción es gestionar el servicio de manera autónoma con servidores propios que funcionen con software libre. De esta forma, la gestión de la comunicación ya no pasa por proveedores conocidos por colaborar con agencias de inteligencia o lucrar con nuestros datos. En otras palabras, se transfiere la confianza de estos proveedores a nuestra organización o a un proveedor más chico en el que se pueda confiar.

Herramientas libres como Jitsi y Big Blue Button permiten tener un sistema de videoconferencias propio. Si bien las comunicaciones ya no pasan por las grandes empresas de tecnología, en principio no están cifradas de extremo a extremo. Esto quiere decir que las personas que gestionan las comunicaciones podrían vigilarlas. Por ello, es muy importante conocer quién nos da el servicio y confiar en nuestro equipo. Es importante también destacar que Jitsi está trabajando para tener cifrado de extremo a extremo en sus comunicaciones.

¿Existe alguna opción en la que dos o más personas puedan hablar por internet de forma segura sin que un tercero sepa que esto está sucediendo? Puede sonar algo subversivo, sin embargo, es el equivalente a reunirnos en un parque sin celulares en los bolsillos, ya que el mundo físico no viene con vigilancia embebida. Algo que fue normal hasta hace algunos años.

Herramientas como Jami o Tox buscan que la gente se comunique de forma segura sin la necesidad de servidores de terceros. Estos son proyectos que ya tienen su muchos años de existencia, pero que por problemas de usabilidad no han despegado.

Una alternativa interesante es Wahay, que ha sido desarrollada en Latinoamérica por el Centro de Autonomía Digital. Esta aplicación combina los proyectos de software libre Mumble con los servicios cebolla de Tor. Su arquitectura garantiza que nadie por fuera de la conversación sepa que la mismo sucedió y menos lo que se dijo. Actualmente, Wahay funciona solamente en GNU/Linux.

Esta columna no tiene el objetivo de recomendar una aplicación sobre otra. Lo que busca es ampliar una visión crítica sobre la tecnología que nos permita tomar decisiones informadas basadas en nuestras necesidades.

Por ejemplo, la inteligencia artificial está llegando a estas plataformas de comunicación y es importante tener una visión crítica sobre la misma. Hoy en día es posible tener un asistente virtual en nuestras reuniones que pueda tomar nota, hacer resúmenes, grabar las reuniones e incluso destacar los puntos claves en las grabaciones. Algo que puede ser útil y conveniente, pero si es gestionado por servidores remotos pone en riesgo nuestra comunicación y nuestra privacidad. Sin embargo, si la aplicación de inteligencia virtual funciona con software libre y en nuestros dispositivos, puede ser interesante. Tal vez es más simple y seguro tomar las notas entre seres humanos.