Internet ya no es lo que piensas

Situaciones como estas son cada día más familiares y es posible encontrar anécdotas similares en cualquier otra aplicación de uso masivo. Más que una secuencia de pasos finitos bien definidos que resuelven un problema, “El Algoritmo” es concebido como una entidad consciente, que determina el curso de los hechos en internet a su antojo, alimentado por la incesante curiosidad de las y los usuarios (“data-cows”, como son mencionados en el libro) y la huella que estos dejan tras su paso por la red.

La red —internet— ya no es tal, de acuerdo con lo que sostiene Justin E.H. Smith en “The Internet Is Not What You Think It Is. A History, A Philosophy, A Warning” publicado en marzo de este año. El autor hace una revisión de la historia de la programación y la computación, vinculándola con un análisis filosófico en torno a la ontología de internet y sus metáforas y, en ella, se topa con el estado actual de las cosas. De red, poco; de plataformas, un montón.

Smith postula los dos grandes problemas de nuestra era en relación con el entorno digital. El primero: la emergencia de un nuevo modelo de explotación en el que no solo es aprovechada la fuerza de trabajo de los humanos para la extracción de recursos naturales, sino que, por el contraro, sus propias vidas son el recurso. Así, la relación inicial entre las personas e internet, donde las primeras acudían a la segunda en busca de información, ahora es a la inversa.

El segundo problema que el autor identifica es que la sobreabundancia de contenidos disponibles —¿Cuántas plataformas de streaming hay en el planeta? [ ]— determinada, a su juicio, es que tal economía extractiva de nuestras vidas amenaza la facultad para utilizar nuestras capacidades de atención en una manera favorable hacia el desarrollo humano.

Dicha afirmación es contraria a la realidad. El impacto de la tecnología en nuestras vidas, en los últimos años, es visible en “La evolución del escritorio” (2014), una iniciativa de Harvard Innovation Lab que grafica la condensación de los elementos característicos de una oficina en un solo aparato a lo largo de 35 años. Smith refuta analogías como esta, señalando que dispositivos como el teléfono móvil dejaron de ser las navajas suizas de hoy, toda vez que sus “herramientas” condicionan el uso que hacemos de ellas, y no al revés.

Y, si bien esta perspectiva fatalista está, en cierto modo, estudiada y documentada, aunque él mismo se contradice más tarde en el libro cuando sindica a Wikipedia como el último bastión del sueño utópico inicial de internet: “el único proyecto a gran escala que no ha mostrado los signos de corrupción que son imposibles de negar en todas partes, en la última década”.

Es cierto que a veces pareciera que internet no es más que la suma de una serie de plataformas, en las que “El Algoritmo” es la voz cantante, donde toda interacción está determinada por diseño y las posibilidades de modificar su estructura son mínimas. También es verdad que delegar gran parte de las responsabilidades individuales —desde el registro de cuentas por pagar hasta la gestión del ciclo menstrual— a un objeto externo expone a sus usuarias y usuarios a riesgos innecesarios. Sin embargo, esa es solo una parte de la historia y prueba de ello son los incesantes llamados a descentralizar internet, a difundir los usos de la criptografía y la invención constante de nuevas herramientas destinadas a mantener, difundir y proteger internet de sí misma. O a nosotros de nosotros mismos.

Descrita a veces como un tejido o un libro mundial, Smith afirma que internet es “tal como una red de raíces entrelazadas con filamentos de hongos, como un campo de hierba, es un crecimiento, un florecimiento, una excrecencia de las actividades específicas de la especie Homo Sapiens”. Es nuestra y es de todos. Y quizás no es lo que pensamos, pero qué importa. La pregunta es cómo.

Fondo de Respuesta Rápida: tres años de asistencia inmediata para la defensa y protección de los derechos digitales

Los últimos años han sido de gran agitación política y social en América Latina, así como de gran polarización e inestabilidad. Las luchas históricas en favor de mayor justicia social han tenido como correlato una reacción autoritaria en distintos países de la región. En paralelo, hemos sido testigos de cómo las tecnologías digitales se han integrado a una cantidad cada vez mayor de aspectos de la vida, moviendo aquellas luchas al entorno digital. Este se ha convertido en un terreno de conflicto, donde las tecnologías no son solamente herramientas, sino también el objeto de dichas disputas.

De a poco se ha instalado la idea de que “lo digital” no debe ser entendido como mera extensión de la vida fuera de las pantallas, sino como un espacio para el ejercicio de derechos y un ecosistema en evolución constante.

Y, sin embargo, las brechas de acceso limitan el potencial de las nuevas tecnologías para la construcción de sociedades más justas. Se trata de brechas multidimensionales que tienen su origen en inequidades históricas, que se replican en este nuevo contexto sociotécnico y que van desde cuestiones de orden material (infraestructura, equipos, disponibilidad de conexión), hasta cómo usar la tecnología, comprender sus riesgos, conocer sus ventajas y ser capaz de sacarles partido.

La pandemia es el ejemplo más claro de este escenario de inequidades: la digitalización acelerada y sin miramientos agrandó la brecha entre quienes se encuentran de lado y lado, con un efecto inmediato y claro en cuestiones como el empleo, la educación, la salud, la participación pública e incluso la posibilidad de interactuar con el Estado. La pluralidad de afectaciones a los derechos fundamentales se multiplica a medida que las vulnerabilidades se acrecientan; las vulneraciones multidimensionales facilitadas por el uso o la regulación de la tecnología se vuelven cotidianas y abrumadoras.

Las organizaciones sociales y los activistas que trabajan en favor de la comunidad en América Latina están ayudando a disminuir las brechas, atendiendo a grupos que no son prioritarios ni para las empresas ni para los gobiernos. El Fondo de Respuesta Rápida para los Derechos Digitales (FRR) es una herramienta que apoya a distintas iniciativas dedicadas a la defensa y protección de los derechos humanos en entornos digitales, ayudándoles a lograr el impacto social deseado. A poco más de tres años de su lanzamiento, podemos dar cuenta de que ha sido un aporte en la región.

Un fondo rápido y flexible

El FRR está abierto durante todo el año para atender a las situaciones de urgencia que se presenten. Las organizaciones y activistas pueden aplicar para una ayuda rápida en dos pasos: el prerregistro y la postulación. Inmediatamente la propuesta es analizada por el Comité de Evaluación, compuesto por especialistas en derechos digitales de América Latina, externos a Derechos Digitales, quienes tienen hasta cinco días hábiles para dar respuesta.

El propósito del sistema de prerregistro como paso previo a la postulación es facilitar la eventual aprobación de fondos de manera acelerada para enfrentar las situaciones urgentes. Postular al FRR significa tener la posibilidad de acceder a fondos en cualquier época del año, sin la espera de los ciclos de asignación de fondos regulares, cuyos procesos de aprobación son largos y burocráticos. Esto permite realizar intervenciones cuando y donde son requeridas.

Por tratarse de un fondo flexible, permite a las organizaciones y activistas adaptarse al contexto según lo requieran, sin una recarga en la estructura administrativa y operacional. Este punto suele ser invisibilizado en la cooperación internacional, cuyo foco principal es el apoyo económico y, en ocasiones, el acompañamiento para el trabajo de impacto. Sin embargo, el trabajo de ejecución incluye también la gestión (rendición de las actividades propuestas y ejecutadas) y la administración de fondos según un presupuesto, requiriendo tiempo y dedicación del equipo o del activista en el proyecto. Es así como el FRR, además de atender las situaciones de urgencia puntuales, permite que quienes ejecuten los proyectos creen capacidades que les permitan continuar su trabajo de defensa y protección de derechos más allá del FRR.

Esto es particularmente importante considerando que, en su mayoría, quienes buscan el apoyo del fondo son organizaciones locales que no han formalizado su registro o activistas que tienen trayectoria haciendo trabajo directo con la comunidad y atendiendo a grupos con vulnerables, y que en muchos casos tienen debilidades en su estructura interna para hacer manejo de proyectos.

Impacto regional

El FRR es una iniciativa pionera en nuestra región financiando proyectos, ejecutados desde México hasta el cono sur, en un campo cada vez más relevante: la intersección entre tecnología y derechos humanos a escala regional.

Gracias al apoyo de Ford Foundation, Open Society Foundations y Derechos Digitales, entre junio de 2019 y 2021 el FRR asignó casi US $ 400 mil, apoyando la realización de 56 proyectos en 15 países de la región. En el 2021, el FRR ejecutó más de US $ 130 mil, en 20 proyectos con organizaciones y activistas de Argentina, Brasil, Chile, Colombia, Costa Rica, Ecuador, Guatemala, México, Nicaragua, Perú, Uruguay y Venezuela. En lo que va del 2022, se han ejecutado 16 proyectos en 11 países de América Latina, asignando más de US $ 115 mil para la protección y defensa de los derechos digitales.

Las propuestas recibidas reflejan la desigualdad de la región, con un amplio rango de temas en derechos digitales: la protección a la niñez y adolescencia, a las poblaciones migrantes; la participación pública de comunidades rurales; la necesidad de participar en espacios de regulación de internet; y la incorporación de nuevas tecnologías.

El trabajo que se hace a través del FRR eleva el nivel de conocimiento en las comunidades, fortalece el músculo de las organizaciones y activistas, y obliga a comunidades y a instituciones a que conozcan más sobre las consecuencias que tiene el uso de tecnologías digitales, más allá de los beneficios potenciales. Los proyectos apoyados por el FRR abren discusiones sobre temas de interés en derechos digitales e invitan a responsables —públicos y privados— a incluir las necesidades de quienes son afectadas por el uso y abuso de las tecnologías. Además, sirven como ejemplo de la capacidad de reacción frente a esas necesidades de decenas de activistas y organizaciones de la región, demostrando el potencial de la sociedad civil para enfrentar la urgencia.

El FRR es una demostración del resultado significativo y duradero que se puede obtener de micro subvenciones, incluyendo a la diversidad de grupos a tomar parte de la conversación y acción para la defensa y protección de los derechos digitales. Por eso, consideramos que es una inversión social segura para el fortalecimiento del tejido social en la región. Con su aporte podemos hacer más (y por más tiempo) para proteger y defender los derechos digitales. Les invitamos a continuar la conversación y a conocer cómo pueden colaborar con el Fondo de Respuesta Rápida.

¿Quieres saber más sobre el FRR? Revisa nuestro reporte 2021 en castellano e inglés.

De extremo a extremo

Las disputas por el cifrado son de vieja data. Sin embargo, recientes propuestas relacionadas con poner freno al abuso sexual infantil en línea han generado nuevas críticas, pues podrían constituirse en puertas traseras y romper la promesa de privacidad que ofrece el cifrado en internet. Entre las propuestas más sonadas están la de Apple, que fue revertida rápidamente, y la de la Comisión Europea, que busca disponer de los recursos necesarios para que los proveedores de servicios puedan detectar, reportar e intervenir contenidos relacionados con el abuso.

Más allá de acciones, indudablemente necesarias como la prevención y reacción frente al abuso sexual infantil, hay muchos otros motivos por los que gobiernos y organismos judiciales consideran, todavía hoy, legítimo debilitar el cifrado en las comunicaciones. Estos motivos han sido fuertemente cuestionados y refutados desde distintos sectores que abogan por la defensa del cifrado de extremo a extremo (E2EE, por sus siglas en inglés).

Recientemente, el consultor en seguridad de redes Alec Muffet escribió un documento dirigido a la Sociedad Civil, donde declaró que “todo el mundo debería dejar de hablar de cifrado de extremo a extremo” y en cambio, referirse a la “seguridad de extremo a extremo (E2E)” ya que el cifrado, dice, es una tecnología, mientras que la seguridad es un resultado deseable, que no se garantiza automáticamente con el cifrado.

Esta propuesta presenta similitudes con un internet-draft que se desarrolla actualmente en el área de seguridad de la IETF, donde se plantea que “si bien el cifrado es fundamental para el principio de extremo a extremo, no lo sostiene por sí solo”, pues no garantiza la autenticidad ni la integridad de los datos. La aparición de, al menos, estos dos documentos, da cuenta de una necesidad renovada de determinar cómo entendemos el principio de extremo a extremo en internet, y cómo puede este proteger la privacidad y la seguridad en las comunicaciones.

Internet es un ecosistema cada vez más complejo, del que participan como intermediarios distintos sistemas y actores. Mientras el cifrado permite garantizar la confidencialidad de las comunicaciones, esto es, del contenido de los mensajes y no necesariamente protege los metadatos que acompañan dichos contenidos. Los metadatos ofrecen cada vez, más información sobre quienes envían y reciben mensajes, haciéndoles potencialmente vulnerables frente a, por ejemplo, intromisiones en su privacidad.

De ahí que resulte importante, como decía Miguel Flores en su columna de la semana pasada, “agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias”. Sin embargo, para Muffet, esta demanda puede ser muy negativa en la defensa de la seguridad de extremo a extremo, porque distrae la atención y genera desconfianza en las plataformas corporativas que operan de manera centralizada bajo modelos de negocios basados en el manejo de metadatos. El problema central, sostiene, es de confianza, en un ecosistema donde las plataformas centralizadas existen y son quienes hoy manejan la mayoría de los datos de las personas usuarias en el mundo.

Desde una perspectiva técnica de diseño, el internet-draft sobre definición del cifrado de extremo a extremo plantea que “un sistema es completamente confiable si, y solo si, es completamente resiliente, fiable, responsable y seguro, de manera que satisfaga de manera consistente las expectativas de las personas usuarias”.

Por su parte, Muffet plantea que los modelos de negocio basados en el acceso a metadatos no rompen de ninguna manera la seguridad E2E, siempre que dicho acceso se haga de manera transparente, permitiendo a las personas usuarias tomar decisiones informadas sobre qué servicios usar y cómo. Y en consecuencia con esto, refiriéndose al cifrado dice que resulta «crítico no permitir que los legisladores regulen sobre la forma de las arquitecturas de software, en lugar de su intención y su uso«.

Es cierto que no existe una solución técnica, ni regulatoria, que por sí sola garantice la privacidad y la seguridad de las personas usuarias de internet. También es cierto que cualquier acción en defensa de la privacidad requiere una lectura del contexto, esto es, de la manera como está hoy configurado el ecosistema de internet, y sus actores corporativos dominantes. Pero además de eso, es necesario reconocer que, todavía hoy, internet funciona gracias al acceso a una cantidad enorme de metadatos que no están cifrados, y que son utilizados para la gestión del tráfico en las capas más bajas de internet.

Sin ánimo de distraer la atención, respecto de una expectativa de “seguridad de extremo a extremo” tal como la plantea Muffet, es importante considerar al menos dos elementos que también son críticos. De una parte, lo problemática que resulta la idea de las “decisiones informadas” para las personas usuarias, desconociendo múltiples brechas de acceso a internet. De otra parte, desde lo técnico, la importancia de fortalecer la privacidad, no solo en las aplicaciones sino también en la gestión del tráfico en internet.

De lo primero. Allí donde una persona puede “decidir”, por ejemplo, implementar cifrado múltiple para evadir el filtrado de contenido que se supone confidencial, hay muchísimas otras que no tienen las capacidades técnicas, o la información, o simplemente la opción de elegir. Esto no debería ser un argumento para la defensa de u n status quo sobre la posición dominante de ciertas empresas que ofrecen servicios comerciales utilizados por el grueso de la población, sino más bien para cuestionar los modelos legislativos basados en las capacidades individuales de las personas para elegir, como han planteado las investigadoras feministas Joana Varón y Paz Peña.

De lo segundo, y por último. La arquitectura de internet se basa, cada vez más, en tecnologías respetuosas de la privacidad como TLS, QUIC o DoH, entre otras. De hecho, el Internet Architecture Board (IAB) realizará próximamente un taller sobre Técnicas de gestión en redes cifradas para explorar la interacción entre la gestión de la red y el cifrado del tráfico, con el fin de promover la seguridad y la privacidad de las personas usuarias al tiempo que cumplen requisitos operativos. Frente a estos importantes avances, queda todavía la inquietud de qué tanto podría minimizarse la cantidad de datos requeridos para la gestión del tráfico en internet.

Los límites para la libertad de prensa en Ecuador

El 23 de julio de 2022, la Asamblea Nacional de Ecuador envió al presidente de la República el proyecto de Ley Orgánica Reformatoria de la Ley Orgánica de Comunicación, aprobado dos días antes.

Con ello, se daba comienzo a un plazo de 30 días para que el ejecutivo se pronuncie sobe la iniciativa, ya sea sancionando el proyecto o vetándolo, total o parcialmente. 30 días que han sido un periodo de ardua discusión entre el Gobierno, sus opositores en la Asamblea y quienes ejercen el periodismo.

No es la primera polémica por la regulación de las comunicaciones, la libertad de expresión y la prensa en Ecuador. Sin embargo, en esta ocasión los ánimos parecen estar más agitados y las consecuencias de la disputa política pueden ser más gravosas.

Una modificación polémica

La reforma, surgida del informe de minoría aprobado en la Asamblea tras rechazar el informe de mayoría (que incluía propuestas del Gobierno), modifica significativamente la ley vigente, en cuestiones tales como las reglas del Consejo de Desarrollo y Promoción de la Información y Comunicación, el régimen de sanciones a las infracciones de la ley, la forma de entrega de frecuencias a medios de radiodifusión, la restitución de las defensorías de lectores y audiencias, entre otras.

La reforma ha sido fuertemente rechazada por parte de la sociedad civil y agrupaciones de periodistas en el país. En particular, se cuestiona la expansión de sanciones por infracciones a la ley, abriendo la puerta a la penalización de la expresión y habilitando con esto un régimen infraccional que resultaría en desincentivos al ejercicio de las libertades informativas y de expresión.

Además, la modificación introduciría la acción de la Defensoría del Pueblo en labores del Consejo de Comunicación antes mencionado, enfatizando su rol en la verificación y contextualización de hechos. En otras palabras, órganos públicos inmiscuyéndose en la definición de lo que constituye la verdad. Y aunque la resistencia a la desinformación es una preocupación global, la entrega a órganos públicos o privados de la definición de la verdad es siempre problemática. Además, la figura de defensores de audiencias y lectores implicaría una forma de tutela estatal del periodismo, contraria a la libertad para su ejercicio.

Las críticas también se han producido a partir de lo que el proyecto no incluye, en un contexto de intensa violencia ejercida contra periodistas, incluyendo ataques y hasta asesinatos por el ejercicio de la profesión. Aunque la reforma reitera derechos asociados a la expresión y al periodismo, las organizaciones opuestas al proyecto reclaman por la creación de mecanismos efectivos de protección de periodistas.

Lo que viene

La calificación de la reforma como una nueva “Ley Mordaza” no ha sido exclusiva del Gobierno y sus aliados, sino también desde los sectores del periodismo y la sociedad civil contrarios a la reforma. Por esta razón, tanto desde el gobierno como desde la Relatoría Especial para la Libertad de Expresión se han recogido opiniones para los pasos siguientes de la regulación. Se espera que el gobierno no promulgue la reforma tal como salió de la Asamblea, sino que la rechace mediante un veto. Pero la duda que persiste es sobre si ese veto sería total o si solamente aplicaría a parte de la ley. El rechazo a la ley desde organizaciones de periodistas se ha expresado como una petición al gobierno de dar un veto total a la propuesta de la Asamblea.

Un veto total significaría que la reforma volvería a la Asamblea, prolongando las dudas sobre el futuro de la ley. Y si bien esas dudas hoy se refieren a una ley modificatoria específica, el debate es mucho más amplio: cuáles son las condiciones de ejercicio de la labor periodística sin amenazas legales o existenciales, en un ambiente de alto riesgo. En esas condiciones, no puede ser la libertad de expresión la víctima de disputas políticas.

El rol de la criptografía en el ejercicio democrático

Muchas de nuestras conversaciones privadas se dan en el ámbito digital. Lo que antes por condición propia de la comunicación presencial entendíamos por privacidad (juntarse en un lugar a conversar), no tiene las mismas seguridades en el entorno digital. Saber que nuestras conversaciones pueden ser vigiladas tiene efectos sobre nosotros, como la autocensura.

Durante décadas, y por ser la tecnología digital un elemento nuevo y con capacidades en desarrollo, no fue relevante pensar en comunicaciones cifradas dentro de las distintas aplicaciones de comunicación y almacenamiento de datos. Sin embargo, desde que internet se volvió masivo, incluyendo cada vez más aristas de nuestras vidas, han crecido la cantidad de ataques a las comunicaciones y datos almacenados.

Es en ese contexto que la criptografía, disciplina que estudia, investiga e implementa los métodos de cifrado, cobra una nueva relevancia.

¿Cómo funciona el cifrado en nuestras comunicaciones?

Uno de los esquemas más utilizados para el cifrado de datos en tránsito y que posee un uso masivo es el denominado cliente-servidor donde la comunicación entre el dispositivo del la persona emisora y quien provee el servicio es cifrada. De este modo, la comunicación desde el servidor de quien provee el servicio y hacia la persona destinataria de la comunicación también es cifrada. Este esquema logró solucionar en general la intervención de intermediarios no autorizados en la comunicación, pero debido a su diseño, generó un nuevo problema. El proveedor del servicio puede acceder a todo el contenido de las comunicaciones. Este problema se vuelve más grave en la medida que los servicios de comunicación digital se concentran en algunas pocas empresas de alcance global.

Debido a esto último, nace la necesidad de generar e implementar sistemas de comunicación con cifrado de extremo a extremo, esquema en el cual, y siempre que se cumplan condiciones de auditabilidad, el proveedor del servicio (quién posee control sobre los servidores mediante los cuales se realiza el intercambio) no puede leer los mensajes (descifrar).

Los sistemas de comunicación con cifrado de extremo a extremo nos dan la esperanza de que nuestras comunicaciones son inviolables inclusive por el proveedor del servicio, pero aún queda como objeto de valor para algunas instituciones los metadatos de las comunicaciones. Esto significa que aunque no tenga acceso a los mensajes entre dos o más personas, igualmente para el proveedor es posible saber quién se comunica con quién y a qué hora, y en algunos casos desde dónde se realizan las comunicaciones.

Es tal sentido cabe preguntarse si además de la defensa del cifrado deberíamos que agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias.

Para poder tener alternativas públicamente auditables, autónomas y federados, a las opciones que nos ofrecen las corporaciones de alcance global, existen una serie de esfuerzos y y/o dedicaciones de una serie de organizaciones formales y grupos de personas que lo hacen posible. Del mismo modo, la promoción y el uso de dichos sistemas favorecen su proliferación.

¿Qué podemos hacer en la defensa de la criptografía y el desarrollo de sistemas digitales cifrados?

Potenciar su uso

Luego de varios incidentes de seguridad reportados y con un alto grado de influencia sobre las revelaciones de Edward Snowden en 2013 es que la inviolabilidad de las comunicaciones y del almacenamiento de datos fue cobrando mayor relevancia.

En los últimos años ha aumentado el número de herramientas y aplicaciones, de código libertado y privativas, que implementan distintos tipos y niveles de cifrados con el fin de resguardar la información de las personas. Uno de los motivos es que las personas usuarias han generado expectativas de funcionamiento sobre las características técnicas (no legales) de aquellas herramientas que utilizan, en torno a la privacidad de sus comunicaciones y datos. Esto reafirma el efecto y la influencia que puede lograr que las usuarias finales tengan clara la importancia de la criptografía y cifrado.

Potenciar la disciplina

Otra arista de importancia es la promoción de la criptografía, en términos de materia de estudio, de implementación de métodos y de implementación de herramientas. Si bien para las personas usuarias lo importante es contar una aplicación y servicio que implemente un cifrado seguro, esto no es más que la punta del iceberg de una cadena de procesos. Bajo lo primeramente visible podemos encontrar todas aquellas instituciones, educacionales por esencia o con objetivos diversos, sin fines de lucro o privadas, que son generadoras de conocimiento en el ámbito de la criptografía.

Es posible que para varios grupos de personas la implementación de herramientas que proporcionen un cifrado fuerte sean materia del mercado. También es posible encontrar grupos de personas que encuentran valor, y coincido con ellas, en la implementación de herramientas de cifrado autónomas (que puedan ser auto gestionadas). En este caso es además necesario contar con personas capacitadas en la implementación de soluciones, generalmente de código libertado, que cuenten con la capacidad de resguardar las comunicaciones y datos.

Si consideramos que el desarrollo de la criptografía es importante para el desarrollo de la sociedad actual entonces debemos apoyar, dentro de nuestras posibilidades, todos aquellas organizaciones, personas e instancias que la promueven.

Potenciar regulaciones acorde al derecho a la privacidad

Es fundamental destacar el rol que juegan las legislaciones respecto de las regulaciones que se realizan en ámbitos que impactan las implementaciones criptográficas.

Existen casos de proyectos legislativos que han tratado de legalizar el uso de puertas traseras en distintos servicios como herramienta de lucha contra distintos tipos de delitos. Un ejemplo de esto sucedió con las plataformas de redes sociales con sede en los EE. UU., como Facebook y WhatsApp, que se vieron obligadas a compartir los mensajes cifrados de los usuarios con la policía británica debido a un tratado entre los dos países.

Otro ejemplo de esto , sucedió cuando durante el gobierno de Trump, se fomentó una legislación que prohíba a las empresas tecnológicas usar formas de encriptación que las fuerzas el orden no puedieran descifrar .

Si bien a primera vista, en ambos casos pareciese una solución eficaz, el problema es nada impide que los criminales sí utilicen herramientas alternativas que les provean de privacidad y cifrado fuerte. En la otra cara, todas aquellas personas que utilizan los servicios en actividades legales quedan expuestas a que sus comunicaciones y datos sean expuestos.

Es evidente, entonces, la importancia que juegan las legislaciones en torno a generar marcos institucionales que otorguen las garantías necesarias para la efectiva privacidad y ejercicio de la libertad de expresión en entornos digitales.

Debemos trabajar en la promoción del uso de sistemas que cuenten con métodos de cifrado que resguarden nuestra privacidad, y por ende nuestra liberta de expresión, en todos los ámbitos posibles. Y no se trata de un afán geek sobre el uso de la tecnología si no de las implicaciones actuales del cifrado en el desarrollo de nuestras vidas en torno al ejercicio de la democracia.

Derechos digitales en América Latina: los cambios que necesitamos y aún no llegan

Recientemente, la Relatoría Especial para la Libertad de Expresión (RELE) de la Comisión Interamericana de Derechos Humanos (CIDH) publicó su Informe Anual 2021. En este instrumento se documentó, entre otras cosas, la situación de la libertad de expresión en internet y mediante el uso de tecnologías digitales en los países americanos. Las informaciones reportadas por la RELE nos permitieron conocer las acciones sistemáticas que los Estados implementan para vulnerar nuestros derechos digitales.

Ya bien entrado el 2022, buscamos conocer si el panorama de derechos digitales ha cambiado desde el 2021 hasta la fecha. Tomamos el informe de la RELE como nuestro punto de partida para explorar cuatro casos preocupantes en la región: Brasil, Ecuador, Nicaragua y Venezuela.

Brasil: la desinformación de la pandemia a las elecciones

No es novedad que Brasil navega por los mares de la desinformación, el informe de la RELE la destacó como una herramienta utilizada por el gobierno federal en el marco de la pandemia por COVID-19 desde 2020.

En 2021 se inició una investigación por órdenes del Supremo Tribunal Federal con el objetivo de conocer cuáles fueron las acciones del gobierno en la pandemia, lo que incluía indagar sobre la posible divulgación de noticias e informaciones falsas. En los resultados de dicha investigación, se reconoció que el presidente Jair Bolsonaro fue uno de los principales impulsores de este tipo de noticias, minimizando los efectos y consecuencias de la pandemia, así como generando información errónea sobre las vacunas.

En 2022 la desinformación sigue presente como una herramienta utilizada por el ejecutivo federal, pero en un contexto distinto: el electoral. Las próximas elecciones presidenciales han generado múltiples debates sobre el combate a la desinformación y han llevado al Tribunal Superior Electoral (TSE) a aliarse con las plataformas digitales, especialmente las de redes sociales y mensajería como Meta, Twitter y WhatsApp. Sin embargo, el presidente Jair Bolsonaro continúa ejerciendo su poder al sembrar dudas y divulgar información falsa sobre el sistema electoral brasileño, lo que ha impulsado a la sociedad civil ha denunciarlo ante la CIDH, para que rinda cuentas sobre las acciones que está realizando el gobierno para frenar la desinformación, acciones que deberían apegarse a los principios establecidos en Declaración conjunta sobre libertad de expresión y noticias falsas del 2017 .

Ecuador: ¿mejoras en los índices de libertad de expresión en internet?

La RELE destacó que en 2021, Ecuador se posicionó como uno de los 18 países que mejoró sus índices de libertad de expresión en internet, según la calificación de Freedom House. Además, que fue el país que demostró el avance más significativo. Puede entenderse que los indicadores del país mejoraron porque en ese año no se restringió intencionalmente la conectividad como había sucedido en las manifestaciones de 2019. Sin embargo, es seguro que el reconocimiento durará poco, pues las protestas de 2022 detonaron una serie de violaciones a los derechos humanos en línea y fuera de línea.

Durante las manifestaciones el Estado ecuatoriano violó los derechos digitales de periodistas y de la ciudadanía que protestaba. Esto a raíz de poner en marcha prácticas de videovigilancia hacia las organizaciones indígenas que lideraron el movimiento, y también de denunciar la incautación de dispositivos móviles de algunas personas manifestantes. De acuerdo con la organización ecuatoriana Fundamedios, durante las protestas se vivieron 190 agresiones y ataques, de las cuales doce significaron restricciones en el espacio digital.

Nicaragua: el exilio frente a la Ley de Ciberdelitos

Desde 2020 el gobierno ha aprobado una serie de legislaciones que le dan el poder para silenciar a personas opositoras, activistas y la ciudadanía en general. “La evidencia recopilada por la Relatoría ha llevado a concluir que no existe en la actualidad ningún tipo de garantías para el ejercicio del derecho a la libertad de expresión en el país”, declaró RELE en su informe.

En el marco de la pandemia fue evidente la amenaza, pues las autoridades le dieron una advertencia al personal médico que opinó sobre la gestión de la pandemia por parte del gobierno, con el argumento de que opinar sobre ello contravenía a la Ley de Ciberdelitos.

La implementación de ese marco legislativo ha tenido consecuencias graves: personas presas polític as; el exilio de periodistas, activistas y opositores; cierre de organizaciones civiles; entre otras. La situación no ha mejorado en este año: se ha denunciado el cierre masivo de emisoras de radio y televisión, acto condenado por la CIDH. Recientemente, el diario La Prensa anunció que se exiliaría con su personal por el temor a ser encarcelados y encarceladas. El diario tomó la decisión luego de que periodistas y fotógrafos sufrieran allanamientos a sus hogares. Más que cambios positivos a favor de los derechos humanos, Nicaragua ha fortalecido un gobierno con tintes autoritarios y con capacidad para amenazar, hostigar y exiliar a su propia población.

Venezuela: la vigilancia en las comunicaciones

En 2021 la RELE documentó que Venezuela realizó “vigilancia a voces críticas” tanto en el entorno digital como fuera de línea. De acuerdo con la relatoría, la vigilancia aunada a las vulneraciones a la libertad de expresión, tuvo como consecuencia el inicio de procesos judiciales en contra de las personas que criticaron la labor del gobierno en redes sociales.

En este marco, Telefónica Movistar lanzó un informe que dio cuenta de la intercepción de las comunicaciones más de un millón de personas usuarias de esta compañía. La intercepción se realizó por mandatos de instituciones gubernamentales y sin órdenes judiciales. Dado que se trata de un informe global, es fácil notar el contraste entre la cantidad de solicitudes de intercepción en Venezuela frente al resto de la región. Esta actividad representa una continuidad en las acciones del Estado por vigilar a su población, vulnerando su derecho a la privacidad.

Los cambios que aún no llegan

Los cuatro casos brevemente analizados evidencian una preocupante tendencia regional: los gobiernos no pretenden modificar sus conductas ni reafirmar su compromiso por los derechos humanos en los entornos digitales, lo que ha propiciado la permanencia de la desinformación, la censura, el exilio y la vigilancia. Para que el panorama de derechos digitales en la región cambie es necesario hacer una introspección sobre las problemáticas sistemáticas que vivimos en nuestros países, para desde ahí, proponer y demandar legislaciones y políticas que favorezcan un enfoque protector de derechos.

Los informes de la RELE, así como de otras relatorías de la CIDH, deben servir como un recordatorio a los Estados de que la comunidad internacional está atenta a sus acciones. Es fundamental que la sociedad civil organizada apueste por la documentación de la situación de los derechos digitales a nivel local, con la finalidad de acercar estas informaciones a las relatorías y otros mecanismos internacionales, y facilitar de ese modo la rendición de cuentas de los Estados.

Hacemos un llamado a los Estados para que cumplan con sus obligaciones en materia de derechos humanos, que legislen con base en los estándares internacionales y que trabajen para que, por fin, lleguen los cambios que necesitamos.

Nuevos rumbos constitucionales hacia el fortalecimiento de la privacidad y la protección de datos personales

Como producto de una consulta democrática construida a partir de un proceso que contó con algunas instancias de diálogo con la ciudadanía, la propuesta de nueva Constitución en Chile da importantes pasos en la protección de derechos cruciales en el entorno digital.

Así, además de la garantía del acceso universal a la conectividad digital, el texto aprobado por la Convención Constitucional propone nuevas reglas supralegales que fortalecen la privacidad y la protección de datos personales, fundamentales para un acceso significativo, libre y seguro a la red.

Las medidas se condicen en buena parte con las expectativas ciudadanas mapeadas por Derechos Digitales en una serie de diálogos alrededor del proceso constituyente: estafas, venta de datos privados, y violencia digital, fueron algunas de las principales problemáticas identificadas por las participantes, quienes señalaron que el marco normativo vigente en Chile es insuficiente para proteger a la ciudadanía frente a situaciones de violencia en internet y resguardar los derechos de las personas en el entorno digital.

Nuevas reglas en torno a la privacidad (artículo 70), la protección de datos personales (artículo 87) asociada a una autoridad de control, la educación digital y la promoción del ejercicio de derechos en espacios digitales (artículo 90), la seguridad informática (artículo 88) y más, plantean un nuevo escenario para la discusión de esos derechos a nivel legislativo.

Consolidando límites a la vigilancia

Las garantías a la privacidad aparecen en el artículo 70 del texto y trae novedades interesantes como la idea de privacidad comunitaria, además de la personal y familiar, apuntando a un derecho de carácter colectivo.

Se destaca también la inclusión explícita de los metadatos entre los objetos de la inviolabilidad de documentos y comunicación privada. Los metadatos son generados de manera automatizada a partir de nuestras comunicaciones o interacciones con dispositivos digitales y pueden revelar informaciones extremadamente sensibles sobre nuestros hábitos más íntimos. Por eso requieren altos niveles de protección, como los establecidos en la propuesta chilena, que despeja cualquier duda respecto al requerir orden judicial previa para su interceptación, captura, apertura, registro o revisión. La medida debe orientar la actuación de fuerzas policiales y de investigación, el poder judicial y las empresas en el momento de entregar o no este tipo de información.

Además, ayuda a prevenir avances legislativos que apunten en dirección contraria, incluso los relacionados a la retención de esos datos. En Brasil, la redacción del artículo constitucional sobre inviolabilidad de las comunicaciones ha resultado en décadas de controversias sobre la interpretación sobre el tema. En países como Argentina y México fue también el poder judicial el responsable por estandarizar las protecciones a metadatos y contenidos.

La propuesta constitucional chilena podría ser complementada legalmente para explicitar los estándares de necesidad y proporcionalidad reconocidos por el Sistema Interamericano de Derechos Humanos (SIDH) que deben ser observados en materia de interceptación de comunicaciones. Los cambios en la última versión dejaron afuera la mención explícita a que las decisiones judiciales deberían ser dictadas “en la forma y para los casos específicos” previstos en ley, una especificación relevante para evitar abusos como órdenes de interceptación amplias, genéricas y carentes de fundamento.

Sin embargo, por un lado se mantiene el requisito de legalidad y, por otro, los criterios para la regulación y ejecución de interceptaciones se encuentran establecidos a nivel regional y deben ser observados por los poderes legislativo y judicial, así como por las fuerzas policiales y de investigación, independiente de la especificación constitucional.

El camino hacia una protección de los datos personales fortalecida

Desde 2018 Chile reconoce a nivel constitucional la protección de datos como un derecho autónomo. En el contexto regional, podemos ver que en Brasil ese reconocimiento llegó después de aprobada una Ley General de Protección de Datos, que consolidó por primera vez en el país un conjunto de derechos, principios y procedimientos para el tratamiento de datos. La medida brasileña también da mayor peso y coherencia a un derecho cada vez más fundamental para la ciudadanía y la democracia, como también ha reconocido e indicado la Corte Suprema brasileña en una decisión de 2020.

En el caso chileno, la propuesta actual de texto constitucional ofrece un conjunto de parámetros específicos que deberían ser observados en una ley. Si bien el país ya cuenta con una pionera ley en la materia, esta se encuentra obsoleta frente a los avances tecnológicos y normativos de las últimas décadas y hace años se discute una reforma.

El hecho de que la Convención haya optado por crear un órgano autónomo responsable por la protección de datos a nivel constitucional (artículo 376) fortalece la protección prevista en el artículo 87 y delimita el modo en que la ley regulará la supervisión y fiscalización de operaciones de tratamiento de sus datos personales. La existencia de un órgano independiente para tal función es un punto clave para la efectividad de la protección de datos, efectividad que no solamente está ausente en Chile, que no cuenta con una institución de este tipo, sino también en varios países en la región.

La ausencia de una previsión similar en la Constitución brasileña, por ejemplo, dificultó la creación de una órgano garante independiente por la ley en 2018. El texto aprobado por el Congreso tras amplios procesos de consultas públicas proponía un modelo que terminó vetado bajo el argumento constitucional de que la creación de órganos de la administración pública sería de iniciativa presidencial. La medida resultó en la creación de una agencia dependiente de la Presidencia de la República, que nombra directamente a sus miembros, con aprobación del Senado.

Del mismo modo, la especificación de las funciones esperadas para la autoridad de protección de datos a nivel constitucional en la propuesta de la Convención Constitucional evita situaciones como la decisión que anuló la incorporación de facultades sancionatorias y de investigación al Servicio Nacional del Consumidor (Sernac), bajo alegaciones de inconstitucionalidad, poniendo en riesgo la constitucionalidad (bajo el marco actual) de un órgano efectivo como autoridad de control de datos personales.

Los caminos que quedan por explorar

Existen importantes avances en materia de privacidad y protección de datos, pero la discusión legislativa tendrá que profundizar varias de las cuestiones planteadas por la propuesta constitucional.

Sobre la autoridad de control, hay temas fundamentales relacionados a su composición: cómo serán identificadas y elegidas las personas miembros; y qué criterios que deberán ser observados en tal selección. Se sabe que habría paridad de género, prevista para todos los órganos autónomos, una conquista clave en la posible futura constitución chilena que responde a una deuda histórica de las democracias latinoamericanas.

Sin embargo, aún hay muchos aspectos por considerar en la creación del órgano. La independencia necesaria para una autoridad de protección de datos involucra, por ejemplo: garantizar la dedicación exclusiva de sus miembros; la disposición de recursos humanos, técnicos, financieros y de infraestructura suficientes para su operación; la autonomía en la contratación de personal y un grado de autonomía financiera. Se trata de de puntos desafiantes en el contexto latinoamericano.

Además, si bien se ha decidido definitivamente separar la agencia de protección de datos del Consejo para la Transparencia (que también obtendría reconocimiento constitucional), la ley deberá, como adelanta el artículo 167, prever mecanismos para armonizar y equilibrar los derechos fundamentales de la ciudadanía a la protección de datos y al acceso a la información pública y transparencia.

Ambos órganos deberán encontrar mecanismos de diálogo y cooperación para evitar tensiones en la interpretación o decisiones que, bajo la excusa de la protección de la privacidad o de los datos, promuevan el secretismo y la restricción de información pública, como ha sido la tónica en otros países.

Aunque la posible Constitución le haya generado al poder legislativo la obligación de avanzar en la discusión sobre la creación de la Agencia, no ha establecido un plazo para ello. Esto parece reconocer la dificultad que ha tenido la discusión por una nueva ley de protección de datos personales en el Congreso y crea un punto de preocupación sobre el resultado de esa discusión.

El desarrollo del marco de privacidad y protección de datos personales en Chile está lejos de acabarse con la votación sobre el texto constitucional. En caso de aprobarse la propuesta, ese desarrollo puede darse ahora a partir de nuevas bases y más certezas, en principio favorables a la protección de la privacidad, los datos personales y la comunicación en entornos digitales. Sea cual sea el resultado, la forma en que la discusión ha reconocido estas temáticas plantea un futuro muy distinto para su regulación legal futura.

Proyecto de ley de inteligencia artificial: múltiples desafíos por delante

Esta semana se conocieron detalles sobre los planes del Reino Unido para regular la IA. Según el gobierno,la propuesta «desataría la innovación y aumentaría la confianza pública en la tecnología», prometiendo tener una regulación menos centralizada, en comparación con el enfoque europeo. El Reino Unido también está trabajando en reformular las leyes de protección de datos y la información digital.

El enfoque británico tiene en cuenta seis principios fundamentales para desarrolladoras y usuarias de IA: seguridad (es técnicamente seguro y funciona según lo diseñado), transparencia y explicabilidad, justicia, identificación de la persona jurídica responsable e indicación de vías de reparación o impugnabilidad.

Desde 2021, la propuesta de la Ley de IA de la Unión Europea se ha ido materializando. La adopción de un enfoque basado en riesgos no ha eximido la presencia de críticas. La propuesta también ha recibido múltiples sugerencias de reformas, inclusive la de aumentar la participación de la sociedad civil desde el proceso legislativo hasta la implementación de la futura ley.

Para la organización internacional Access Now, la Ley de IA europea no aborda los impactos que esos sistemas pueden tener en personas que no son ciudadanas de la Unión Europea, como migrantes y refugiadas de guerra que ya están sujetas a algoritmos de evaluación de riesgos, perfilado, detectores de mentiras, entre otros.

Construyendo la regulación de IA en Brasil

Luego de un apresurado y ampliamente criticado proceso de discusión y aprobación en la Cámara de Diputados brasileña, un conjunto de tres propuestas de regulación de IA se están actualmente en debate en el Senado. Las propuestas aprobadas, como ha apuntado la Coalizão Direitos na Rede, son “superficiales e incapaces de cubrir la complejidad del tema”.

En el Senado, los proyectos de ley fueron enviados para el análisis y la revisión de una comisión de juristas, encargada de elaborar un texto sustitutivo. Se trata de 18 profesionales del campo del derecho actuando en distintos sectores y con amplia experiencia en temas como protección de datos, derecho civil en internet y derechos del consumidor, entre otros, componen la comisión.

La instalación de la comisión recibió críticas por su composición, y se solicitó ampliar el nivel de participación con “profesionales de prestigio de diferentes áreas, regiones, con paridad de género y raza”.

En respuesta a tales demandas, la comisión abrió distintos procesos de consulta para subsidiar sus decisiones, incluyendo una serie de audiencias públicas, un seminario internacional y una consulta de insumos por escrito que en la que se recibieron más de 100 contribuciones.

Han sido escuchadas más de 60 personas en las audiencias públicas que se llevaron a cabo entre el 28 de abril y el 13 de mayo. Con énfasis en diferentes ejes, se han discutido los conceptos, la comprensión y clasificación de la inteligencia artificial, los impactos de la inteligencia artificial, derechos y deberes, así como rendición de cuentas, gobernanza e inspección.

Reflexiones desde la sociedad civil

Luego de más de veinte horas de sesiones híbridas de audiencias públicas con discusiones de alto nivel, se destacan algunos puntos.

El primero es que todos los derechos humanos pueden verse afectados por los sistemas de IA en especial por los riesgos que trae en términos de expansión de la vigilancia, sesgos y discriminación y la opacidad en la toma de decisiones y la consecuente pérdida de autonomía de las personas e instituciones. Como señaló Jamila Venturini en una de las audiencias, los riesgos de discriminación en el ejercicio de derechos fundamentales ya es observado en la implementación de esos sistemas en el sector público y en áreas sensibles de políticas públicas, como apuntan investigaciones coordinadas por Derechos Digitales.

Segundo: los principios éticos o dispositivos genéricos no son suficientes para la protección de la sociedad frente al avance de estas tecnologías. Son necesarios límites, procedimientos adecuados y normas concretas, como defendió Derechos Digitales en su participación escrita y como también recomiendan organismos internacionales como la Unesco. Eso incluye la necesidad de implementación de estudios de impacto a los derechos humanos que den cuenta de identificar los potenciales riesgos de un determinado sistema, así como las debidas medidas de mitigación.

Finalmente, el tercer punto se refiere a la necesidad de un sistema de reparación que considere la responsabilidad civil, pero también un análisis previo que permita limitar la implementación de sistemas que representen riesgos excesivos en el contexto brasileño. Una crítica a los textos en discusión es que se presenta la idea de un sistema de evaluación de riesgos de manera genérica y sin una exhaustiva descripción de los procedimientos y condiciones para su implementación.

Un concepto que no es inocente

El concepto de Inteligencia Artificial utilizado en el proyecto aprobado por la Cámara de Diputados fue duramente criticado durante las audiencias. Mireille Hildebrandt, profesora de derecho y tecnología en la Universidad Vrije Universiteit de Bruselas, argumentó que el tema principal para la protección legal con respecto al uso de sistemas de IA debe centrarse en su impacto. Pues no se trata de impedir el desarrollo de tecnologías, sino de anticipar, mitigar y evitar riesgos. Venturini reforzó el punto, indicando que una interpretación acotada del concepto de IA puede dejar desreguladas preocupantes implementaciones de procesamiento y clasificación algorítmica de datos en la región, cuyo grado de autonomía o inteligencia es incierto.

Un ejemplo es el sistema utilizado en Brasil para la distribución de ayuda financiera durante la pandemia.Un estudio reciente de InternetLab, con apoyo de Derechos Digitales, sobre la decisión algorítmica en el caso del programa Auxilio Emergencial evidencia una serie de problemas y riesgos al acceso a un derecho fundamental por parte de poblaciones en condición de vulnerabilidad debido a errores y desactualización en las bases de datos .

Otra preocupación relacionada a la conceptualización de IA tiene que ver con las distintas implementaciones que podrían abarcar y las consecuencias de ello. En particular, el hecho de que una regulación genérica sobre IA podría ser utilizada para legitimar el uso, por ejemplo, del reconocimiento facial – tecnología que puede estar basada en IA y que, según expertas internacionales, contraría a los estándares establecidos de derechos humanos.

Los sistemas de reconocimiento facial han sido fuertemente cuestionados en la región y actualmente hay una campaña en curso en Brasil por su prohibición con más de 40 organizaciones firmantes. En junio de 2022, más de 10 proyectos de ley fueron presentados en distintos estados para formalizar tal demanda.

Un gran desafío por delante

El desafío de regular los sistemas de IA es grande, ya sea por los riesgos para los derechos humanos, o por la complejidad, opacidad y amplia gama de temas a regular. Las discusiones legislativas y las garantías de participación social deben estar a la altura de este desafío. La comisión de juristas ha ganado tiempo adicional para terminar su trabajo, y es nuestra expectativa que los resultados reflejen manera satisfactoria los aportes recibidos y se logre una legislación que efectivamente proteja los derechos humanos.

Pasaportes hackeados e infraestructuras vulnerables

En diciembre de 2020, la base de datos de la Dirección Nacional de Identificación Civil (DNIC, organismo que se encarga de la identificación de las personas físicas que habitan el territorio del Uruguay) del Ministerio del Interior de Uruguay fue hackeada.

La dirección del organismo lo reconoció con un comunicado donde declaró: “Informamos que el 8 de diciembre la DNIC detectó un incidente de ciberseguridad que se contuvo y por el que se desplegaron medidas técnicas, operativas y administrativas para contrarrestar el evento con expertos en la materia, tanto del Ministerio del Interior como del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy)».

La senadora Silvia Nane, representante del partido Frente Amplio realizó, en marzo de 2021, un pedido de informe parlamentario con 28 preguntas, en el que se solicitaban datos sobre el incidente. La solicitud fue reiterada en el mes de junio y, el 6 de julio, el Senado completo hizo su propio requerimiento al respecto.

“¿Están nuestros datos biométricos en peligro?”, preguntó en Twitter la legisladora. Agregó que: “Nos preocupa la falta de transparencia ante esta situación, y las explicaciones que se han hecho públicas no condicen con la realidad”.

En julio de 2022 se conocieron los resultados que arrojan más dudas que certezas y la discusión está lejos de aclararse.

De acuerdo con lo señalado en la respuesta al pedido de informes, la DNIC y el Ministerio del Interior de Uruguay vieron sus bases de datos comprometidas por un ataque informático que vulneró los datos de 84.001 pasaportes electrónicos, comprometiendo información sensible que incluye datos biométricos de las personas: fotografía, huella digital, nombre y número de documento de identidad.

Según Nane, el informe pone en manifiesto que las autoridades desconocen el alcance real del ataque. La Senadora expresó con preocupación que, respecto de los datos vulnerados en 2020, no se cuenta con información de que no hayan sido utilizados para otros fines. Consultado por medios de prensa, el informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática concluye que “no fue posible identificar el vector de ataque inicial, el origen del ataque, ni las subsiguientes actividades dentro de la red de la DNIC”. Además, cataloga el incidente como de “intrusión” con una “severidad muy alta”, y sostiene que “el análisis no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de DNIC”. Las fuentes detallaron que «tampoco se puede hablar de hackers» ya que «no se pudo determinar si esa situación irregular fue externa o no”.

Otra de las preguntas realizadas por la Senadora consultó al Ministerio “desde qué momento se estima que los atacantes contaban con acceso a los datos”. La respuesta oficial sostiene que los “primeros registros del ataque” datan del 29 de octubre de 2020, mientras que las irregularidades fueron detectadas el 8 de diciembre del mismo año.

En la respuesta al pedido de informes, el Ministerio del Interior declaró que no se cuenta con un Centro de Operaciones de Ciberseguridad en el organismo. El informe que fue enviado a la legisladora indica que “se desplegaron las medidas técnicas de bloqueo inmediatas” ni bien se identificó la vulneración. También indica que debido al ataque se han decidido migrar las bases de datos al Datacenter de Antel (empresa de telecomunicaciones estatal uruguaya). También se realizó una licitación pública internacional para poder cambiar el sistema de enrolamiento biométrico, ya que el vigente funciona hace 23 años.

El ministro del Interior de Uruguay, Luis Alberto Heber, manifestó a diferentes medios de prensa que se puede «asegurar a la población que no volverá a suceder». Afirmó también que se renovará el equipamiento de la Dirección Nacional de Identificación Civil, ya que las máquinas existentes son “prehistóricas”. Dijo: «Hicimos la compra y un software que nos dé la seguridad de que no se pueda hackear así fácilmente».

Sin embargo, Federico Laca, exdirector general del Ministerio del Interior y asesor en ciberserguridad, indicó a La Diaria que “la infraestructura que está en el data center ministerial no fue comprometida”. Afirmó también que “son innegables las inversiones que se realizaron en tecnología en la administración pasada, pero sucede que cuando hacés inversiones en tecnologías es que tenés que estar comprometido a mantenerla”.

¿Qué sucedió con los datos?

De acuerdo con las respuestas recibidas por parte del Ministerio del Interior, Nane manifestó que “no se pudo establecer el alcance total del ataque a la infraestructura de la DNIC”. Afirmó que “Los atacantes estuvieron más de un mes sin ser descubiertos” y que el informe deja en evidencia que quienes atacaron el sistema cuentan con «conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos y descargar a una máquina local toda la información vinculada al sistema de pasaportes”.

La Senadora dijo al diario uruguayo El Observador que si bien se sabe que se afectó la información de pasaportes, no puede asegurarse que no se hayan comprometido otros datos de personas. Tampoco se puede asegurar el destino de la información obtenida de los pasaportes electrónicos, por lo que es imposible establecer la magnitud del hecho.

“¿Falta sentido de urgencia dado el incidente?”, cuestionó la representante nacional. Aclaró que aún se encuentra a la espera de los resultados de una auditoría iniciada en octubre de 2021 respecto al “estado actual en el marco de la ciberseguridad” en el Ministerio del Interior.

Según Nane, las respuestas brindadas por el Ministerio «no tienen nada que ver con lo que nos respondieron por escrito». Advirtió que «El Ministro del Interior, Luis Alberto Heber, dijo que tuvieron ese problema porque las computadores eran prehistóricas, pero cuando nos manda el listado de acciones que se van a tomar para remediar esta situación no hay un solo renglón que refiera a la compra de computadoras, por ejemplo».

Silvia Nane declaró también que realizará un nuevo pedido de información. «Ahora vamos a volver a hacer preguntas; y nuevamente esperamos y exhortamos que este tema sea tratado con seriedad, y que tengamos respuestas serias».

Es recurrente, cuando se habla de ciberseguridad pensar en criminales y estafas. Sin embargo, es importante pensar más allá de eso. El caso de Uruguay nos abre la posibilidad de pensar en la infraestructura de gobernanza de datos personales en la región. Hay actualmente en América Latina un desmonte de instituciones estatales encargadas de tecnología. Casos ocurridos en los últimos meses en Brasil, Costa Rica o República Dominicana son prueba de esto. Deja en evidencia la necesidad de reglamentaciones que exijan auditorías, y controles serios y profundos para que el tema no quede supeditado a pedidos de información que deban ser reiterados y reformulados. No es posible alcanzar la tan deseada “digitalización” del Estado si esta no se hace en un marco de garantías para la ciudadanía. Y la garantía más básica debería ser una respuesta clara y concreta a la pregunta: ¿Quién tiene nuestros datos?

Oficina virtual, segura y autónoma

El equipo de trabajo de Derechos Digitales está conformado por personas alrededor de América Latina. Nuestro trabajo es principalmente remoto por lo que nuestro sistema de chat es una oficina virtual.

Durante muchos años nuestra oficina fue Slack, un sistema avanzado de mensajería instantánea que funciona en la “nube”. Slack era una plataforma que hacía lo que tenía que hacer, nos permitía estar en contacto permanente y llevar a cabo nuestro trabajo. Parecía ser una herramienta perfecta, pero la dejamos de usar. ¿Por qué?

Desde el punto de vista funcional, Slack generalmente cumplía con nuestras necesidades. Sin embargo decidimos hacer un análisis técnico, preguntándonos dónde se guardan nuestras comunicaciones y si están seguras.

Como Slack es un sistema en la nube, nuestra información se guarda en los servidores de la empresa que provee el servicio, Slack Technologies. Es decir, Slack Technologies tiene acceso a nuestras comunicaciones y es técnicamente posible que pueda leerlas y analizarlas; salvo que las mismas estuvieran cifradas de extremo a extremo.

Lo primero que buscamos resolver fue que nuestros datos no fueran gestionados por otra organización. Para tener control de los mismos debíamos controlar nuestro propio sistema de chat.

Para eso íbamos a necesitar 3 cosas: software que implemente el sistema, un proveedor de hosting o servidor propio para instalarlo y un equipo técnico capaz de administrarlo.

En Derechos Digitales administramos varios servicios mediante software libre. Usamos Nextcloud con OnlyOffice para trabajo colaborativo, Limesurvey para realizar encuestas, WordPress para portales web, y algunos otros sistema. Disponemos de recursos de alojamiento y nuestro equipo técnico es capaz de investigar soluciones libres, realizar pruebas e implementarlas.

Basándonos en nuestra experiencia y según las recomendaciones de expertas técnicas identificamos tres aplicaciones libres con las que podríamos remplazar a Slack y ser administradas por nostras: Rocket Chat, Mattermost y Matrix.

Lo segundo que quisimos identificar fueron aplicaciones que soportaran cifrado extremo a extremo.

Las personas que usan Whatsapp o Signal habrán escuchado este término antes. Quiere decir, que si un mensaje sale de mi teléfono o computador, está cifrado para que nadie más que los destinatarios o lo puedan leer.

Ahora que la información no estaría gestionada por un tercero, pero sí por nuestro equipo técnico, es importante y deseable para nosotres que el equipo técnico no pueda leer los mensajes de las demás personas. El soporte de este tipo de cifrado es limitado para Mattermost y Rocket Chat, mientras que en el caso de Matrix funciona por defecto.

A diferencia de las otras dos, Matrix no es una aplicación, sino un protocolo de comunicaciones federado. Hace unos meses explicamos lo que esto significa, pero para hacerlo simple haremos una analogía entre el correo electrónico y los sistemas de chat modernos. En el correo electrónico podemos enviar y recibir correos desde cualquier proveedor. Se puede enviar un correo desde gmail.com a hotmail.com o a derechosdigitales.org. Sin embargo, si hablamos de mensajería instantánea no es posible enviar mensajes entre Signal, WhatsApp y Telegram, por ejemplo.

En este sentido Matrix se parece más al correo electrónico que a WhatsApp. En Derechos Digitales tenemos nuestra propia instancia de Matrix donde nos podemos comunicar internamente, pero además podemos comunicarnos con gente de otras organizaciones que posean sus propias instancias de Matrix o bien que posean una cuenta en matrix.org u otra instancia pública. En un principio pensamos que seríamos los únicos usando Matrix, pero descubrimos con gusto que algunas organizaciones amigas ya lo usaban y que podríamos comunicarnos directamente a través de esta herramienta. Incluso en TEDIC ya lo están utilizando y han creado un canal de chat en español, donde se comparten dudas, recomendaciones, y experiencias. Se puede acceder en: #comunidadtedic:matrix.org.

Luego de decidir migrar nuestra mensajería a Matrix, comenzamos con el proceso de cambios. Dentro del Derechos Digitales contamos con un grupo de gente con la idea de implementar una alternativa libre a Slack.

A finales del 2021 implementamos una instancia de pruebas y formamos un equipo de beta-testers para analizar si la aplicación sería viable en el día a día.

Sabemos que los cambios pueden ser resistidos, y pueden generar miedo, por lo que trabajamos en presentar una aplicación que solucione nuestros problemas y que no traiga nuevos.

Una vez superada la etapa de pruebas, implementamos lo que sería el servidor definitivo y fuimos sumando más gente a utilizarlo, de manera paralela a Slack. Cuando el equipo completo estuvo trabajando sobre Matrix, se decidió dejar de usar Slack y conservarlo solo como un registro histórico.

Las comunicaciones son un recurso estratégico para las organizaciones, tener autonomía y control sobre las mismas nos brinda más seguridad y por ende poder. Derechos Digitales es una organización con los recursos humanos y tecnológicos para implementar una solución propia. Si embargo, sabemos que no es el caso de todas las organizaciones.

En el caso de no contar con los recursos necesarios para tener su propia infraestructura, siempre es posiblecontratar un proveedor que implemente soluciones como Matrix, en este caso no se tendría total control sobre sus comunicaciones pero estaría seguras ya que estarían cifradas de extremo a extremo.

Nuestra oficina virtual funciona hace varios meses a través de Matrix. Sabemos que no es la única solución, y que existen otros proyectos de software libre que podrían funcionar en otros contextos. Conocerlos, probarlos y adaptarlos a nuestras realidades es el comienzo del camino para lograr comunicaciones más autónomas y seguras.