No bombardeen Buenos Aires: reconocimiento facial en CABA hoy

No hay dudas de que estamos ante un crecimiento exponencial en el uso de tecnologías automatizadas de reconocimiento facial en América Latina. El abaratamiento de la tecnología, junto con la expansión de los fines utilizados ha incrementado los casos de su uso por parte de Estados y empresas.

Sin embargo, la tecnología ha sido ampliamente cuestionada por organismos internacionales y por la sociedad, ya sea a través de manifiestos, protestas e incluso demandas. Por ejemplo, en algunas ciudades de los Estados Unidos se decidió prohibir el uso de reconocimiento facial, ya que no existen garantías para el respeto de derechos humanos.

En el caso de los Estados, ciudades como Salvador, São Paulo, Río de Janeiro, Lima, Nueva York, Londres y Buenos Aires han adoptado este tipo de sistemas para monitorear la población en diferentes lugares, alegando fines de seguridad pública.

Esta semana surgió un prometedor avance regulatorio en la ciudad de Buenos Aires, Argentina.

Críticas y acciones contra el sistema de reconocimiento Facial en la Ciudad de Buenos Aires

El “Sistema de Reconocimiento Facial de Prófugos” (SRFP) consiste en 300 cámaras de vigilancia en las calles y estaciones de metro, siempre siguiendo la línea que más tecnología aumentaría la seguridad y cuidaría a las personas. A pesar de las severas críticas, tomó 22 días la implementación del sistema.

El relator especial de Naciones Unidas sobre el Derecho a la Privacidad, criticó la falta de evaluación previa a su implementación y proporcionalidad de las medidas. Además, mostró preocupación respecto a la base de datos que alimenta la SRFP (Sistema de Consulta de Rebeldías y Capturas-CONARC), ya que fue realizada una inserción desproporcionada en la base de datos, divulgación indebida de datos, falta de información sobre qué delitos se imputan, errores y fallas y falta de actualización.

Respecto al caso específico, la ONG Human Rights Watch fue enfática sobre la existencia de graves daños a los derechos de la niñez y la adolescencia, ya que al analizar la base de datos se encontraron al menos 166 menores, incluidos niños sospechosos de haber cometido delitos de menor potencial ofensivo.

Acciones jurídicas impulsadas desde sociedad civil

Como si las críticas no fueran suficientes, el sistema fue impugnado por al menos dos juicios. Una demanda, presentada por la organización Asociación por los Derechos Civiles (ADC), solicita ante el Tribunal Superior de Justicia porteño que declare inconstitucionales los cambios legales. El otro, propuesto por el Observatorio de Derecho Informático Argentino (ODIA) pide un juicio de amparo en primer grado de competencia, que requiere el análisis del sistema a través de la constitucionalidad y convencionalidad, además de las medidas cautelares para suspender su uso.

El pasado 13 de octubre, Derechos Digitales fue admitida como amicus curiae en la demanda propuesta por ODIA. Se amplió la participación social en el caso, recibiendo también aportes de otras organizaciones, como Access Now y Asociación Trabajadores del Estado (ATE), además de la adhesión y participación de los ciudadanos como autores de la demanda.

Reflexiones sobre el caso Ciudad de Buenos Aires

Este proceso muestra claramente tres cuestiones centrales, que se reproducen de la misma manera otros países. El primero, es un tema técnico con implicancias sociales relevantes en cuanto al uso de la inteligencia artificial y lo que esto significa para la ciudadanía. El segundo tema, se relaciona con la democracia en sí y la transparencia del sistema. El tercer tema es el respeto a los derechos humanos.

Al principio, la cuestión de la velocidad con la que se desarrolló y entregó el proyecto es impresionante. Solo pasaron 22 días desde el lanzamiento del proyecto hasta su implementación, una velocidad que sería “envidiable e incluso sospechosa”, según ODIA.

1. Implicancias sociales: falsos positivos y la discriminación

Sin embargo, la cuestión técnica que tiene las mayores implicaciones sociales se refiere a la precisión y calidad de la base de datos utilizada. Los estudios más variados demuestran una menor tasa de aciertos en personas de piel oscura y mujeres.

El estudio “Gender Shades”, por ejemplo, demuestra que las tasas de error son diferentes según el grupo analizado, alcanzando más del 90% de identificación incorrecta para personas de piel oscura. Y menos del 1% de error para personas de piel más clara. Si bien puede ser un fallo en la calibración de los datos, ya sea por el uso de bases de datos sesgadas o por otros motivos, lo cierto es que hay que analizar si este tipo de tecnología incide desproporcionadamente en la garantía de igualdad a las personas tradicionalmente discriminadas y más vulnerables, como pueblos originarios, mujeres, niños, ancianos y personas trans.

2. Democracia y transparencia

En cuanto al tema de la democracia y la transparencia, parece que hay poco o ningún debate en el legislativo sobre la implementación de este tipo de sistema. Asimismo, en muchos casos existe una gran opacidad en cuanto al uso de la tecnología, bajo el argumento que el tema no debe ser debatido, que “es demasiado técnico” para una amplia participación social y que la transparencia no sería necesaria.

En el caso de Buenos Aires, tanto la ADC como el ODIA, plantearon importantes y extensas preguntas sobre la creación, contratación, uso y salvaguardas del sistema de reconocimiento facial. Obtuvieron poca o ninguna respuesta. Si bien las investigaciones muestran que la tecnología “generalmente se crea en el exterior y se utiliza en casa”, existe una falta de transparencia sobre cuáles son las empresas responsables de la implementación de la tecnología, especialmente, en los procesos de definición de la contratación.

3. Vigilancia y derechos humanos

Finalmente, el tema de los derechos humanos involucrado en la aplicación de tecnología de vigilancia masiva. Desde 2013, luego del caso Snowden, Brasil y Alemania propusieron una resolución a la Asamblea General de la ONU, sobre “El derecho a la privacidad en la era digital”.

Con la actualización de la citada resolución en octubre de 2021, se dio mayor robustez a las cuestiones sobre el uso de datos biométricos, con el reconocimiento expreso que los usos de la inteligencia artificial (IA) pueden suponer graves riesgos para el derecho a la privacidad, citando como ejemplo, el empleo de IA para identificación, reconocimiento facial, seguimiento, elaboración de perfiles, predicción de comportamiento y puntuación de personas.

La conclusión de la asamblea de la ONU es que los Estados deben garantizar que las tecnologías de identificación y reconocimiento biométrico —incluidas las tecnologías de reconocimiento facial por parte de actores públicos y privados— no permitan la vigilancia arbitraria o ilegal, incluidos quienes ejercen su derecho a la libertad de reunión pacífica.

Autoritarismo, censura y libertad de expresión en internet

En febrero de 2020, cuando el presidente Nayib Bukele irrumpió con militares en el Salón Azul de la Asamblea Legislativa para presionar la aprobación de un millonario préstamo, las señales sobre el carácter autoritario del mandatario no han hecho más que incrementarse.

En este camino, el mandatario desobedeció sentencias de la Sala de lo Constitucional y se aseguró de debilitar progresivamente el Instituto de Acceso a la Información Pública (IAIP) hasta tomarlo por completo y volverlo un ente sin incidencia alguna. Sumado al debilitamiento institucional, hostigó y acosó a periodistas, defensores de derechos humanos y críticos a su gobierno, con complicidad de funcionarios reforzadas por apoyos a través de redes sociales. Estas últimas acciones, que aún continúan, han ocasionado que la Comisión Interamericana de Derechos Humanos (CIDH) ordene al Estado la protección de periodistas del periódico digital El Faro y de la abogada Bertha de León, por considerar que la integridad física de los amparados corre peligro.

Finalmente, en mayo de 2021, la Asamblea Legislativa —de mayoría oficialista— en su primera sesión destituyó ilegalmente a los cinco magistrados de la Sala de lo Constitucional y llenó sus vacantes en contra de los procedimientos establecidos por la Constitución. Igual suerte corrió el Fiscal General.

Para completar el golpe al Órgano Judicial iniciado en mayo, la Asamblea Legislativa aprobó el Decreto Legislativo Nro. 144 que jubila a jueces y magistrados de cámara mayores de 60 años o con 30 años de servicio que representan un tercio de los jueces del país. La decisión fue realizada sin tener competencia de acuerdo a la Constitución, lo que ha sido interpretado como un pretexto para dar a la Corte Suprema de Justicia —hoy tomada por el oficialismo— mayor margen de maniobra para remover jueces y sustituirlos con juzgadores afines.

Paralelo a la remoción de jueces, la Sala de lo Constitucional impuesta por el oficialismo emitió una resolución que autoriza al presidente Bukele a ser relecto en su cargo, a pesar de la prohibición que la misma Constitución establece.

La marcha del 15 de septiembre y la libertad de expresión

En este contexto de eliminación del sistema de pesos y contrapesos, más el descontento generado por la aprobación inconsulta de la ley que obliga al uso del Bitcoin como moneda de curso legal, el actual gobierno enfrentó la primera marcha multitudinaria en su contra, realizada por la sociedad civil el pasado 15 de septiembre.

En el marco de esta protesta, el hashtag #El15marchamos fue posicionado para acompañar los reclamos en el ámbito digital. Paralelamente, algunos usuarios organizaron spaces en Twitter para informar e intercambiar opiniones sobre estos temas relevantes.

En días posteriores a la realización de la marcha, usuarios de Twitter denunciaron la “desaparición” fulminante del #El15marchamos que, hasta unas horas antes y por varios días, había estado como tendencia en la red social. Al mismo tiempo, algunos organizadores de spaces denunciaron que estas sesiones terminaban abruptamente, sin haber sido notificados de las razones por las cuales esto sucedía.

La hipótesis para explicar estos hechos fue que tanto el hashtag como las cuentas organizadoras de los spaces estaban siendo denunciadas por cuentas afines al oficialismo. Dicha hipótesis se alimenta por la confesión del Ministro de Seguridad acerca de la realización de ciber-patrullaje, bajo la excusa del combate a las pandillas, así como por la detención ilegal efectuada por la Policía Nacional Civil contra Mario Gómez, una de las voces más críticas sobre la implementación del Bitcoin en el país.

Si esta hipótesis se confirma, correspondería en un futuro analizar el proceder de Twitter en la aplicación de sus políticas de moderación de contenidos, a la luz de los estándares de protección de derechos humanos, particularmente respecto al derecho a la libertad de expresión.

A pesar de que el objetivo de esta columna no es corroborar tal hipótesis y, en consecuencia, tampoco lo es ahondar en un análisis sobre el apego a los estándares de derechos humanos, si podemos señalar algunas interrogantes que saltan a primera vista. Valdría la pena preguntarnos: ¿la exclusión de contenidos en Twitter se realiza de manera automatizada?, ¿por qué los spaces son cerrados abruptamente sin explicar al usuario la razón por la que se cierra?, ¿la simple denuncia masiva podría inhabilitar un space o hacer desaparecer un hashtag?, ¿por qué desaparecería con facilidad un hashtag que está ligado directamente con la expresión del descontento con el gobierno que la ciudadanía?

En este caso particular resulta cuestionable afirmar que los spaces y #El15marchamos hayan infringido alguna de las reglas comunitarias de Twitter. En sí ninguna de las expresiones puede ser acusada de circular mensajes de odio, fomentar el terrorismo, o de ejercer violencia u acoso. Si alguna cuenta utilizó el hashtag o participó en algún space contrariando las reglas de la plataforma, deberían ser eliminadas únicamente esas interacciones. De lo contrario, se inhabilita parte de la expresión ciudadana en el marco de un reclamo legítimo a sus gobernantes.

Aunque aún no se ha llegado a medidas extremas como el bloqueo de internet en el país, si la hipótesis se confirma, es pertinente señalar la preocupación respecto a que Twitter inhabilite espacios de discusión política en un momento en el cual debería reforzar su protección. En particular, considerando que afortunadamente la marcha del 15 de septiembre se realizó sin ninguna represión por parte de los cuerpos de seguridad, aunque esto puede cambiar, tal como lo advirtió el presidente Bukele en cadena nacional.

El proyecto de ley para la regulación de las plataformas digitales atenta contra los derechos humanos

La búsqueda de una solución a problemas como la desinformación y la violencia en línea, junto con la necesidad de mayor control sobre las compañías que ofrecen servicios en internet basados en la explotación de los datos personales, son algunos de los desafíos regulatorios más importantes de la actualidad. Son debates que vienen desarrollándose hace varios años, desde distintas perspectivas y en distintos foros, a escala nacional, regional y mundial, por especialistas altamente calificados trabajando desde la academia, la sociedad civil, el sector público y también el privado.

Actualmente no existe consenso sobre cómo abordar estos dilemas regulatorios, pues constituyen problemas altamente complejos, independientes pero enlazados entre sí, con distintas aristas, intereses y derechos que es necesario balancear adecuadamente, cuestión que ha probado ser increíblemente difícil de lograr.

Lo que sí está claro, es que ningún esfuerzo serio por aportar a la solución de estas problemáticas puede pretender resolverlas mediante un proyecto de ley misceláneo, que ignore el trabajo desarrollado por académicos, activistas de derechos humanos y expertos internacionales, así como las obligaciones en materia de derechos humanos. Ninguna de las experiencias comparadas que se destaque a nivel internacional es así, salvo aquella que ha sido producida bajo las lógicas de gobiernos autoritarios con el objetivo de incrementar sus propios mecanismos de control en desmedro de las libertades fundamentales. Y es que los impactos de una mala regulación en la materia puede generar disrupciones graves en la forma en la cual las usuarias interactúan con la tecnología y la forma en la cual se sirven de ella para ejercitar sus derechos.

Y, sin embargo, la propuesta sometida a consideración del Congreso chileno en los últimos días escoge ignorar todo ello en favor de respuestas nóveles que parecen inmunes a la mera consideración de los impactos sistémicos que las responsabilidades civiles propuestas pueden tener sobre derechos fundamentales como la libertad de expresión, el derecho de asociación por medios digitales y la no discriminación, que desde el estallido social y la posterior pandemia se han mostrado como cada vez más fundamentales para el ejercicio democrático a nivel local y global. Junto con ello, el proyecto atropella otros esfuerzos, por ejemplo, la larga lucha por establecer una adecuada protección de datos personales (que se debate hace una década en nuestro país) y es inconsistente con el trabajo que académicos, activistas de derechos humanos y expertos internacionales llevamos desarrollando por al menos una década.

The Chilean way

El pasado 01 de septiembre de 2021 ingresó al congreso nacional chileno el proyecto de ley que regula las plataformas digitales (Boletín N° 14.561-19). La primero que llama la atención es que este proyecto no haya sido resultado de un proceso de trabajo más amplio con la participación de expertos y expertas que contribuyeran a su redacción, considerando que sus patrocinantes son los mismos que en abril de este año convocaron la creación de un grupo de trabajo, al alero de la Comisión “Desafíos del Futuro” del Senado, para debatir muchas de estas cuestiones con expertos de sociedad civil y la academia.

A primera vista, el texto revela defectos formales que hacen sospechar que al proyecto no se le dedicó todo el tiempo debido. Estas sospechas se incrementan tras una lectura detallada de la propuesta, que solo puede ser caracterizada como precipitada y que, en vez de ponerle coto a los potenciales abusos cometidos por las plataformas digitales, tienen un enorme potencial para dañar el ejercicio de derechos fundamentales.

“Consumidores digitales”

En primer lugar, el proyecto define a los usuarios de las plataformas como consumidores digitales. Si el lenguaje crea realidades, esta redacción nos lleva a la tierra de las relaciones de consumo, las que operan bajo una lógica distinta a la de los derechos y libertades esenciales.

El derecho del consumo es una herramienta cada vez más explorada en el contexto internacional para poder abordar algunos de los abusos de los proveedores de servicios digitales, tal es el caso de la Federal Trade Comission de los Estados Unidos o la experiencia regulatoria de la Comisión Europea. Pero en tales casos la regulación se desarrolla en forma incremental y consistente con la actualización de conceptos que provienen de esa área del derecho, y no por el simple hecho de introducir un concepto huérfano y aislado.

Como dio ocasión de atestiguar la tramitación del artículo 15 bis del Boletín Nº 12.409-03 que establece medidas para incentivar la protección de los derechos de los consumidores, hay una oportunidad para que el Servicio Nacional del Consumidor pueda cumplir un rol más activo frente a las plataformas digitales, pero ello debe hacerse con una aproximación sistémica —como la que viene cultivando dicho servicio— y no de espaldas a esos esfuerzos, mediante referencias aisladas en una ley miscelánea como la propuesta.

¿Libertad de expresión digital?

Si hay algo que reconocerle al proyecto es que no escatima en la construcción de conceptos novedosos y torpes. Así, por ejemplo, el texto introduce la noción de “libertad de expresión digital”, que instala una distinción artificial y odiosa entre la libertad de expresión que ocurre «en línea» y fuera de ella.

Cabe recordar que los organismos internacionales de derechos humanos han insistido en que la correcta interpretación que debe guiar la acción de los estados es el reconocimiento de que los mismos derechos en el entorno físico deben ser protegidos en su ejercicio en entornos digitales. Así El Consejo de Derechos Humanos ha recalcado en su resolución sobre Promoción, protección y disfrute de los derechos humanos en internet: “que los mismos derechos que tienen fuera de línea las personas también deben protegerse en línea, en particular la libertad de expresión, lo que es aplicable independientemente de las fronteras y por conducto de cualquier medio de su propia elección, de conformidad con el artículo 19 de la Declaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles y Políticos”.

Ello también ha sido expresamente abordado por la Asamblea General de las Naciones Unidas al exhortar a todos los Estados: “a que velen por que los mismos derechos que tienen las personas cuando no están conectadas, incluidos los derechos a la libertad de expresión, de reunión pacífica y de asociación, estén plenamente protegidos también cuando estén en línea, de conformidad con el derecho de los derechos humanos”.

Como si no fuera suficiente, el artículo que introduce la noción de “libertad de expresión digital” establece que los contenidos publicados por los “consumidores digitales” podrán ser eliminados en caso de que “puedan considerarse civilmente injuriosos, calumniosos, constitutivos de amenazas, que constituyan delitos tipificados por otros cuerpos jurídicos o que inciten a cometer un crimen.” Es decir, la regulación propuesta genera un incentivo absoluto para la eliminación de contenido que pueda ser calificado con el potencial de ser ilícito. ¿Quién califica ese potencial? ¿Quién pondera la libertad de expresión, la privacidad, la no discriminación que pudiera estar en juego?

Una disposición como esta no solo no mejora el panorama actual de deficiencias en la moderación de contenidos que muchas veces se aprecia en plataformas digitales, sino que lo agrava, para entregarles más poder de decisión sobre lo que puede o no expresarse en ellas. En lugar de reducir el poder de las plataformas, lo aumenta.

Valga en este punto y para la regulación posterior contemplada en el mismo artículo, que el artículo 13 de la Convención Americana de Derechos Humanos (CADH), firmada y ratificada por Chile, proscribe la censura previa, así como la censura indirecta, con lo cual parece poco probable que la regulación propuesta resulte compatible con las obligaciones de protección y promoción de la libertad de expresión contraídas por Chile. La CADH permite como límite a la libertad de expresión el establecimiento de responsabilidades ulteriores que pudieran derivarse del ejercicio de ella, pero exige que deben ser fijadas expresamente por ley, cumpliendo además una serie de condiciones (ser necesarias para proteger la reputación de terceros, la seguridad nacional, el orden, salud o moral pública) que no se condicen con las hipótesis propuestas en el proyecto. Ya a corto andar, nos encontramos con un proyecto de ley inconstitucional.

Responsabilidad de las plataformas

Desde la perspectiva de la responsabilidad de las plataformas digitales, el proyecto de ley cierra con broche de oro al establecer un estándar de responsabilidad objetiva y absoluta. Dicho estándar —además de no ser conocido en esta formulación draconiana por ninguna legislación en el planeta— hace aún más severos los impactos en el ejercicio de la libertad de expresión y, a través de ella, de otros derechos fundamentales esenciales para la democracia.

El miedo de que nuestros dichos puedan potencialmente lesionar algún bien o derecho ajeno no solo tendrá un efecto autocensor. Las plataformas digitales, presa de esa misma prevención y para salvar su responsabilidad (objetiva) frente a los daños patrimoniales o morales que ocasionen sus “consumidores digitales”, generarán un patrullaje automatizado de la expresión en línea y que siempre caerá más del lado de la interpretación conservadora para salvar su responsabilidad; es decir, remover cualquier cosa ante el más mínimo atisbo de que pueda resultar problemática. ¿Es esta libertad de expresión desmejorada a lo cual el proyecto de ley quiere bautizar como “libertad de expresión digital”?

El establecimiento de este régimen de responsabilidad objetiva amplísima es, a la vez, una contradicción directa a las recomendaciones de los órganos de derechos humanos a nivel internacional. En el sistema interamericano de derechos humanos, “un esquema de responsabilidad objetiva en el ámbito de la comunicación electrónica o digital es incompatible con estándares mínimos en materia de libertad de expresión”, como ha indicado y reiterado la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos. Los Principios de Manila, con base directa en el derecho internacional de los derechos humanos, también descartan esa forma de responsabilidad. ¿Por qué el proyecto chileno buscaría posicionarse tan radicalmente en contra del derecho internacional?

El uso de conceptos totalmente abiertos e indeterminados —algunos de ellos con reminiscencias al derecho civil decimonónico— incorporados en el proyecto, tales como “informaciones manifiestamente falsas”, “actuar con diligencia”, “situación actual” o “mecanismos de verificación de edad apropiados”, no hacen más que agravar la incerteza jurídica. Lo más probable es que las plataformas, incapaces de revisar mediante humanos todo el contenido que pasa a través de ellas, lo harán a través de sistemas de inteligencia artificial que, al no distinguir contextos, terminarán bajando contenido perfectamente lícito en forma preventiva, cuestión que ya ha sucedido y ha sido denunciada globalmente por las expertas en la materia.

Por cierto, dejamos de lado por ahora la discusión sobre qué son las plataformas digitales que de acuerdo a la definición del proyecto, que podría ser perfectamente el blog de un centro cultural o comunitario o la infraestructura de comunicación autónoma ofrecida por un grupo feminista o un medio periodístico independiente, todo lo cual es aún más grave para los intereses de las usuarias: prácticamente cualquier servicio digitalizado conllevaría obligaciones de monitoreo y control.

El proyecto además concede al Estado el poder para ordenar la suspensión de plataformas, lo cual contraviene las recomendaciones de los organismos de protección de derechos humanos para asegurar y promover una internet libre y abierta. No hay duda sobre la falta de legitimidad democrática y desproporción de este tipo de medidas, como se lee claramente en la d eclaración conjunta de los Relatores Especiales de las Naciones Unidas y de la CIDH para la Protección y Promoción del Derecho a la Libertad de Opinión y de Expresión de 2015: “El filtro de contenidos en Internet, el uso de ‘interruptores de apagado de emergencia’ en las comunicaciones (por ejemplo, el cierre de partes enteras de los sistemas de comunicación), y la apropiación física de las estaciones de radiodifusión son medidas que nunca pueden ser justificadas”.

Podríamos seguir uno a uno con los artículos del proyecto explicando sus insuficiencias e incompatibilidad con la protección de derechos fundamentales, pero creemos que ya ha quedado claro que estamos frente a un proyecto técnicamente deficiente, inmaduro en dar cuenta del estado del arte de los debates internacionales en la materia y formulado de espalda a la protección de derechos fundamentales y al abordaje sistémico que ellos requieren.

Seguramente hay buenas intenciones detrás. pero llamamos a una reflexión profunda acerca de la forma más sensible de tener este debate en forma participativa y abierta, para recoger las experiencias internacionales en la materia y los aportes que expertos tanto de sociedad civil, como la academia puedan hacer desde distintas disciplinas, para poder tener una discusión a la altura de lo que la complejidad de a temática requiere, sin pausas pero sin prisas que generen impactos negativos sistémicos en el ejercicio de derechos fundamentales en el entorno digital. No por nada, fuera de Chile este tema lleva siendo discutido en la última década, no reinventemos la rueda cuadrada.

¿Qué es peor: un sistema de reconocimiento facial que no funciona o uno que sí lo hace?

La semana pasada, el portal América Transparente publicó un reportaje realizado por María Fernanda Leiva y Tamara Silva, donde se denuncia una inversión millonaria realizada por dos municipalidades del sector oriente de la ciudad de Santiago de Chile por un sistema de reconocimiento facial que no funciona.

En total, la investigación consigna el pago de USD $582.880 (aproximadamente 390 millones de pesos chilenos) por el software de la empresa francesa INDEMIA, uno de los principales proveedores de esta tecnología en la región. Del total, la comuna de Las Condes habría aportado USD $517.880 y Lo Barnechea USD $65.000.

Cada comuna cuenta actualmente con diez cámaras de vigilancia conectadas al software de INDEMIA. Según la información recopilada por Leiva y Silva, a diciembre de 2020, un año después de su implementación, el sistema habría reconocido a diez personas. Al parecer, la pandemia habría hecho estragos en los modestos resultados del sistema: citado en el reportaje, el alcalde de Lo Barnechea dice que, debido al “uso masivo de mascarillas desde marzo de 2020, no han existido en ese periodo las condiciones necesarias que permitan evaluar la eficacia de las cámaras de reconocimiento facial”.

El reportaje además establece que el contrato se habría gestado por medio de una adjudicación directa, firmada la Asociación de Municipalidades para la Seguridad Ciudadana de la Zona Oriente (AMSZO), entidad que está siendo cuestionada por el manejo de miles millones de pesos sin ningún tipo de control o fiscalización.

Hasta acá, el reportaje es interesante porque contiene prácticamente todos los elementos ya característicos de las polémicas en torno a la implementación de tecnologías de reconocimiento facial en la región: sistemas incapaces de hacer lo que se espera de ellos, poca transparencia respecto a los procesos de contratación y puesta en marcha, la inexistencia de procesos de evaluación adecuados y ni hablar de evaluaciones de impacto en derechos humanos.

Además, toca un punto central que usualmente es dejado fuera del discurso de fabricantes y políticos ávidos de figuración pública: las tecnologías de reconocimiento facial no son mágicas y requieren de ciertas condiciones que permitan hacer capturas adecuadas para efectuar la comparativa de los rostros; cuestiones tan elementales como la ubicación de la cámara o si la persona usa sombrero o lentes pueden alterar la eficacia del sistema, lo que puede traducirse en que el sistema simplemente no sea capaz de reconocer o que reconozca equivocadamente.

Y sin embargo, la pregunta que me parece más importante plantear es la siguiente: ¿sería preferible que el sistema funcionara? ¿Estaríamos hablando de ello si en vez de 10 personas el sistema hubiese reconocido a 100 o a 10 mil? No quiero minimizar la importancia del concepto de transparencia, especialmente respecto al gasto de fondos públicos y todavía más cuando se ha gastado en algo que además no funciona. Pero lo que parece más grave acá es que dos comunas hayan decidido omitir cualquier debate respecto a la legalidad de implementar un sistema de estas características, que además no puede estar escindido de una discusión sobre derechos humanos.

Como hemos mencionado en otras ocasiones, la ley vigente en Chile sobre datos personales, en su artículo 10, prohíbe el tratamiento de datos sensibles, a menos que esté autorizado por la ley, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Queda a la vista que la creación de una infraestructura de vigilancia masiva no está considerada en este listado y, por lo tanto, es ilegal. Así, cualquier intención en esa dirección debería canalizarse por medio de una discusión legislativa respecto a si como sociedad estamos de acuerdo con el desarrollo de este tipo de tecnologías en el espacio público. Y no son pocos los municipios y ciudades alrededor del mundo que han respondido a esa pregunta con una prohibición o una moratoria.

Utilizar tecnología de reconocimiento facial para la vigilancia masiva y el combate de delitos comunes implica invertir el principio de presunción de inocencia en favor de un sistema totalitario de control del espacio público, mediante la gestión técnica de la identidad que tiene como consecuencia la alienación del propio cuerpo, por medio de la pérdida de control y autonomía sobre nuestros rostros, los que pueden ser utilizados en contra de nuestros intereses. ¿Es esa la sociedad en la que queremos vivir?

Incluso si la respuesta a esa pregunta es sí, la discusión legislativa permite establecer límites y controles respecto de sus usos, así como el listado de requisitos previos y posteriores a la implementación que deben ser satisfechos. No puede ser una cuestión que quede a la discreción y los recursos disponibles de una autoridad comunal. Más todavía cuando hemos visto que la implementación de este tipo de tecnologías, a pesar de presentar escasos resultados en términos de seguridad pública, sí puede constituir una efectiva técnica de marketing político. El mejor ejemplo de ello en Chile es precisamente el ex alcalde de Las Condes, Joaquín Lavín, como demostró en su más reciente (y fallida) incursión presidencial.

No podemos seguir permitiendo que estas discusiones se realicen por medio de subterfugios, apelando a áreas grises o lisa y llanamente ignorando la ley. Necesitamos responder desde una convicción democrática y comprometida con los derechos humanos. ¡No al reconocimiento facial en el espacio público!

El Caso Ola Bini en primera persona

El 11 de abril de 2019, algunas horas después de que el presidente de Ecuador, Lenin Moreno, retirara el asilo político a Julian Assange, Ola Bini fue detenido cuando se disponía a iniciar un viaje a Japón planificado con meses de anticipación. María Paula Romo, entonces Ministra de Gobierno, dijo en rueda de prensa: “Desde hace varios años vive en Ecuador uno de los miembros claves de Wikileaks y una persona cercana a Assange. Tenemos evidencia que ha estado colaborando con los intentos de desestabilización del gobierno”. Esa persona era Ola Bini.

Ese fue el inicio de una persecución que le costó a Ola setenta días en la carcel y que no ha terminado. Una vez fuera de prisión no recuperó su libertad: debe presentarse todos los viernes ante fiscalía, tiene prohibición de salir del país y es vigilado constantemente. Además, ha sido víctima de acoso mediático, donde se lo dibujó como un villano capaz de atacar cualquier sistema informático.

Una reciente investigación del portal digital La Posta, hace presumir que Ola Bini fue detenido porque la ministra Romo buscaba a un culpable para la filtración de INAPapers, que incluía correos electrónicos, chats, fotografías y otra información obtenida del teléfono del (ex) presidente Moreno. Según la investigación, se sabía que Ola no era la persona detrás de esta filtración, pero la ministra necesitaba un nombre que entregar al presidente.

Conozco a Ola desde 2013 y tuve el gusto de trabajar con él durante dos años en el Centro de Autonomía Digital – CAD. Este es el relato de su caso desde la perspectiva de alguien que estuvo cerca.

Antes de la Persecución

Ola Bini se mudó a Ecuador en 2013, cuando trabajaba en una empresa que abrió oficinas en Quito. Tuve el gusto de conocerlo ya que a los dos nos preocupaba la privacidad en internet y considerábamos que el software libre con criptografía es una herramienta esencial para las comunicaciones seguras.

Desde la empresa, el equipo liderado por Ola ya había realizado importantes trabajos en relación al desarrollo de herramientas libres para la protección de la privacidad. El cliente de chat seguro CoyIM es un ejemplo, pero también había colaborado con proyectos importantes como Tor, Tails, Enigmail y Let’s Encrypt, entre otros.

En 2017 se fundó el CAD, organización sin fines de lucro con oficinas en Sao Paulo, Brasil, enfocado en el desarrollo de herramientas libres para la protección de la privacidad. Fue durante 2019 cuando las oficinas se trasladan Quito y tuve el privilegio de ser una de las primeras personas en trabajar allí. En un mundo digitalizado, donde el derecho humano a la privacidad es vulnerado constantemente, tener una organización como el CAD en Ecuador es una oportunidad enorme. La creación de herramientas para la protección de la privacidad es importante, pero la formación de talento humano para la protección de la privacidad desde Ecuador lo es aún más.

El que iba a ser el trabajo de mis sueños pronto se convirtió en una pesadilla: nunca imaginamos que el Estado ecuatoriano nos atacaría de esa manera.

El arresto

El 11 de abril de 2019 revisé Twitter temprano en la mañana y vi que el presidente de Ecuador había publicado un video durante la madrugada, anunciando que Ecuador retiraba el asilo político a Julian Assange y lo entregaba a las autoridades de Londres. Ese día estuvimos pendientes de las noticias. Durante la mañana, el Canciller y la Ministra de Gobierno hablaron de “un miembro clave de Wikileaks” y de dos “hackers rusos” que pronto serían detenidos.

Los hackers rusos nunca aparecieron. En ese momento no sabíamos que Ola había sido detenido, pensábamos que estaba de viaje. De regreso en casa, escuché a la ministra Romo en la radio, que dijo que el colaborador de Wikileaks había sido detenido “cuando se disponía a escaparse al Japón”. “¡Ojalá no sea Ola!”, era lo único que pensaba. Por la noche recibí un mensaje de mi papá preguntando si conocía a “un tal Ola Bini”; los medios habían anunciado su detención en un caso relacionado con Julian Assange. En ese momento me entró el miedo, mucho miedo, como nunca antes lo había sentido.

Con esa información, las declaraciones de la Ministra adquirieron para mí un tono mucho más fuerte y : “no vamos a permitir que Ecuador se convierta en un centro de piratería informática.” Ola Bini había sido detenido por supuestos intentos de desestabilización al gobierno y yo trabajaba con él. “¿Será que me van a investigar? ¿Van a ir a mi casa o a la oficina y nos van a allanar como a Ola?”, pensé, asustado.

Durante dos días casi no dormí y lo único que ingerí fue agua de Guayusa. La detención fue un jueves y desde el CAD se decidió trabajar desde casa, por miedo a que nos allanaran la oficina. No sé si fue buena o mala idea, pero aguantar lo que acontecía en soledad fue difícil. Tuve algunas llamadas vía Signal con colegas del trabajo, amigos y amigas, donde intentábamos entender qué pasaba y calmarnos los unos a los otros.

Esta sensación de miedo y estrés nos acompañó durante varios meses. Cuando sentíamos que las cosas se calmaban, venía un reportaje de prensa con un titular escandaloso que traía el temor de vuelta a nuestras vidas.

La prensa

Mi expectativa era que la prensa investigara, que la verdad saliera a la luz y así poder explicar a la ciudadanía lo que estaba sucediendo. No fue así. La prensa decidió hacer las relaciones públicas del gobierno y estigmatizar a Ola Bini. Dos ejemplos:

En agosto de 2019, el Portal 4 Pelagatos publicaba:

“Fiscalía pudo ingresar al celular de Ola Bini. Esto pone en evidencia dos hechos: es un hacker que vino al país para trabajar con el gobierno de Correa y, dos, es un mentiroso que contó cuentos chinos a la opinión. 4P les trae la historia en exclusiva”.

Esa fue una de las veces en las que se me heló la sangre. “Ahora sí se acabó todo, pero ¿qué es lo que hizo Ola?” —pensé. Cuando leí el artículo, lo único relevante que pude entender fue que habían desbloqueado su teléfono y tenían información respecto al ingreso a los sistemas de la Corporación Nacional de Telecomunicaciones (CNT). Dos días después publicaron una famosa foto de la pantalla de Telnet, considerada por los periodistas como una la prueba irrefutable de que Ola habría ingresado a los sistemas informáticos de CNT. La EFF, organización experta en estos temas, realizó un análisis de la imagen publicada, donde explican claramente que nunca se ingresó al sistema.

La segunda historia sucedió algunos meses después. El 4 de marzo de 2020, el portal Código Vidrio publicó un reportaje titulado “El hacker Müller, cercano a Assange, se reunió en Quito con Ola Bini y capacitó a informáticos ecuatorianos.” Andy es un reconocido informático, experto en seguridad, defensor de derechos humanos y con quién tuve el honor de trabajar durante 2 años administrando la infraestructura del CAD. Éramos responsables del funcionamiento de nuestras herramientas de colaboración, correo electrónico y sitios web.

Además de la persecución de Andy y Ola por trabajar con Assange, me descolocó el hecho de saber que habíamos sido espiados durante la semana de Kickoff del CAD. Antes temíamos haber sido espiados, pero ahora lo sabíamos, lo que por cierto es una sensación muy desagradable. Por algún motivo, este portal tuvo acceso a información de la inteligencia ecuatoriana. De hecho, pude encontrar en el sitio de Código Vidrio una foto donde estoy regresando a la oficina luego del almuerzo. ¿Por qué un portal tenía acceso a estas fotos? ¿Por qué nos estaban espiando?

Para finalizar

En este relato no he hablado de las irregularidades del caso, las audiencias fallidas, los robos a la oficina y otras situaciones desagradables que nos tocó vivir a la gente cercana a Ola; han sido tantas que se podría escribir un libro al respecto. Muchas veces nos enteramos de noticias en las redes sociales, tomamos partido y juzgamos. En esta ocasión, quería compartir un testimonio desde el lado humano de esta persecución y como cada situación similar tiene un impacto en muchas personas

Si bien soy un actor secundario de esta historia, la vivencia ha sido muy fuerte. No puedo imaginar como es estar en la situación de Ola, cuando desde el Estado y desde la prensa se lo ha hostigado con tanta saña.

Solo espero que esta pesadilla termine pronto.

¿Es la censura de contenidos una protección efectiva para la niñez y la adolescencia?

La discusión en Colombia de un proyecto de ley para la protección de niños, niñas y adolescentes es otro capítulo de intentos desmedidos por proteger derechos amenazando internet.

El proyecto de ley 600 de 2021 fue presentado por el Ministerio de Tecnologías de la Información y las Comunicaciones y aprobado en primer debate en comisión de la Cámara de Representantes de Colombia. Declara tener por objeto la regulación de las responsabilidades especiales de los medios de comunicación frente a los derechos de la niñez, la infancia y la adolescencia. Como se ha reiterado en varias ocasiones, se trata de una deuda del Estado colombiano con la implementación de una orden de su Corte Constitucional.

El PL 600 propone la adopción de mecanismos destinados a prevenir la producción y difusión de contenidos que atenten contra los derechos de NNA, tanto en medios de comunicación masiva como en internet. Establece un conjunto de obligaciones para los medios, además de un régimen sancionatorio aplicable en caso de materializarse un presunto comportamiento reprochable respecto de cualquiera de las medidas incorporadas al ordenamiento a través del referido proyecto de ley.

Aunque en principio el objetivo sea loable, es necesario hacer un acercamiento al contenido de tal normativa, con el fin de evaluar si en el afán de alcanzar el objetivo declarado no se están poniendo en riesgo derechos fundamentales de terceros, que ya han sido advertidos.

El contenido preocupante del PL 600

En el capítulo IV el proyecto crearía una comisión de expertos, compuesta por personas de distinta índole y pericias, entre cuyas funciones está la de proponer “iniciativas técnicas y administrativas sobre sistemas o mecanismos de detección, control parental, filtro y clasificación de contenidos”. Para ello, se elaborará un catálogo de contenidos “que pueden atentar contra la integridad psíquica, física de la niñez o adolescencia o derechos preestablecidos en la Constitución y ley, mediante el acceso, uso y aprovechamiento del internet” (Art. 13).

A los proveedores de servicios de internet (PSI), pobremente definidos en la ley para cubrir desde conexión hasta plataformas en línea, les aplican las disposiciones referentes a “Deberes” y “Medidas Técnicas” que deben cumplir, que incluyen el bloqueo y filtrado de contenidos (Art. 15.4 y 16.2) bajo la amenaza de incurrir en infracciones y recibir las sanciones descritas en el Capítulo V. Esta disposición traslada a los PSI la responsabilidad por el contenido de terceros que sea considerado infractor, lo que a la larga constituye una forma de censura previa.

Todas estas disposiciones resultan problemáticas ya que chocan con el derecho a la libertad de expresión, pues dichos artículos limitan contenidos sin estar en armonía con las condiciones establecidas en la Convención Americana sobre Derechos Humanos. Atentan a la vez con el principio de neutralidad de la red, por pretender la imposición de barreras a la libre circulación de expresiones en línea; afectan también a la garantía del debido proceso, por establecer una medida restrictiva de derechos fundamentales, como es el bloqueo de contenido, sin proceso previo ni orden judicial.

Nuevos riesgos para la libertad de expresión en línea

Tal como miembros de la academia, el sector privado y la sociedad civil han hecho ver en reuniones cerradas y audiencias públicas frente al Ministerio TIC y el Congreso de Colombia, un derecho especialmente afectado es la libertad de expresión, en los términos del Art. 20 de la Constitución de Colombia y el Art. 13 de la Convención Americana sobre Derechos Humanos, incluyendo a la libertad de buscar, recibir y difundir informaciones e ideas de toda índole. Como sabemos, no es un derecho absoluto y está sujeto a limitaciones.

La jurisprudencia interamericana desarrolló un test para fijar ese marco de limitaciones legítimas, que deben cumplirse todas: 1) haber sido definida en forma precisa y clara a través de una ley formal y material; 2) estar orientada al logro de objetivos imperiosos autorizados por la Convención; y 3) debe ser necesaria en una sociedad democrática para el logro de los fines imperiosos que se buscan; estrictamente proporcionada a la finalidad perseguida.

Dentro de ese marco, aquellas disposiciones del PL 600 que establecen bloqueos y filtro de contenidos representan la implementación de mecanismos de censura previa, prohibido por la Convención Americana, en tanto constituyen medidas de control preventivo y no responsabilidades posteriores a quienes abusen de ese derecho. Además, se trata un mecanismo amplio, no restringido a las hipótesis de limitaciones legítimas, como cuando se trata de contenidos abiertamente ilícitos y aquellos discursos que no están resguardados bajo la protección del derecho a la libertad de expresión, como la propaganda de la guerra y la apología del odio, la incitación directa y pública al genocidio, y el contenido de explotación sexual a NNA.

Incluso si el PL 600 estableciera solo responsabilidades ulteriores, habría que analizar si las limitaciones a este derecho cumplen con el test mencionado. En este caso, pueden señalarse dos puntos que resultan problemáticos para cumplir con el primer requisito. Por un lado, las causas para limitar contenidos que se encuentran en forma de catálogo, son ambiguas y podrían permitir una interpretación arbitraria de la autoridad, incumpliendo el paso de legalidad estricta del test (Art. 13 del PL 600). Por otro lado, está sujeto a sanciones que, además de afectar a intermediarios de comunicaciones, condiciona su acción y traslada a ellos responsabilidad por el ejercicio de la censura.

Sobre el cumplimiento del requisito de necesidad dentro del test tripartito, no puede asegurarse que las disposiciones del PL 600 tengan por fin cualquiera de los objetivos enumerados que ha desarrollado la jurisprudencia interamericana. Tampoco puede señalarse que las disposiciones que pretenden bloquear o filtrar contenidos contra la integridad psíquica, física de NNA o sus derechos preestablecidos en la Constitución y ley, sean necesarios, idóneos y proporcionales, ni siquiera para ese fin.

¿Qué va a pasar con el PL 600?

La iniciativa parece estar interrumpida debido al escándalo por irregularidades contractuales que hoy envuelve al Ministerio TIC, lo que resta su peso en impulsar proyectos como el PL 600.

Esperamos que el debate sobre la conveniencia de proyectos de ley que apunten a la protección de los derechos de NNA continúe y se profundice, no sólo en Colombia sino a nivel regional. La finalidad es obtener mejores insumos que permitan una normativa respetuosa de los derechos fundamentales, sin buscar soluciones en la restricción de la circulación de contenidos en internet.

Este caso un comienzo de una conversación que nos desafía para el genuino resguardo de todos los derechos de las nuevas generaciones de internautas.

Afganistán: cuando lo que compartes en internet te puede costar la vida

Una de las cosas más difíciles de tomar acciones para proteger nuestra información es convencernos de que estamos frente a un problema real, que se trata de algo cuyas probabilidades de afectarnos no son bajas y que no se trata de esas cosas que solo le pasan a los demás, nunca a nosotros. ¿A quién le puede interesar mi información? Es la típica pregunta de los escépticos, junto con el conocido “quien nada hace nada teme” o “no tengo nada que esconder”.

Pero no necesitamos ser personajes públicos para que nuestra información sea recolectada, almacenada, procesada y compartida por terceros. La tecnología actual permite el tratamiento automatizado de grandes volúmenes de datos, de manera que poco importa que los detalles de nuestra vida nos parezcan o no de interés. La información que pongamos a disposición de terceros será tratada, inevitablemente.

Todos tenemos algo que esconder, lo queramos o no. Es normal. Un placer culpable, alguna adicción, algo de lo que nos arrepintamos, aunque no sea ilegal; alguna mentira, compras irracionales, un pariente cercano que preferimos ocultar, un amante, una historia que no queremos contar, una opinión políticamente incorrecta, nuestras deudas o lo que buscamos en internet. Incluso puede ser algo que en un momento y contexto determinado era —personal y socialmente—aceptado, pero ya no.

Sin embargo, hoy, de diferentes maneras e incluso sin saberlo, compartimos nuestras vidas con internet y vamos dejando un que podría volverse en nuestra contra, con efectos que ni siquiera somos capaces de dimensionar. Esa es la situación de muchas personas en Afganistán, especialmente gente joven que nació y creció en un país ocupado por fuerzas militares estadounidenses y que, de la noche a la mañana, se vieron gobernados por un régimen que creían superado; y con ello, la necesidad de borrar todo rastro que pudiera hacerlos objeto de represalias por parte del régimen Talibán. Todo aquello que hicieron cuando las reglas eran otras.

No se trata aquí únicamente de disidentes políticos que serán perseguidos, sino de padres, madres, hijes y hermanes que serán castigados por haber apoyado a los gobiernos anteriores o incumplir reglas impuestas por fanáticos religiosos. Y aquí —cómo siempre— las mujeres son las que mayor riesgo corren, porque a ellas se les castiga simplemente por existir.

Por ello, la fundación Human Rights First ha puesto a disposición de la comunidad distintos documentos para que las personas puedan proteger su historial digital de abusos. Pero no es una tarea fácil: el trabajo de eliminación de historial implica revisar email, redes sociales, aplicaciones de mensajería, buscadores y muchas otras plataformas a las que probablemente ni siquiera recordemos haber accedido. Y en el caso de Afganistán, el solo hecho de haber creado una cuenta en una aplicación usada por organizaciones extranjeras podría ser considerado sospechoso.

Algunas de las recomendaciones

Algunas plataformas, como Google, permiten elevar solicitudes para la eliminación de información, pero debe tratarse de casos justificados relacionados con enlaces perjudiciales, por lo que no pareciera ser la medida más efectiva. En relación a las aplicaciones o páginas web cuyo uso no recordemos, una de las recomendaciones es revisar el listado de contraseñas guardadas en el navegador. Otra opción es buscar en el correo electrónico los emails recibidos al momento de registrarse en aplicaciones o páginas en internet.

Por su parte, Access Now ha puesto a disposición de las usuarias una guía para “autoidentificarse”, que sirve para hacer el camino que probablemente recorrería alguien que quisiera obtener información sobre una cuenta anónima.

Sin duda habrá quienes piensen que lo más fácil sería borrarlo todo y deshacerse del teléfono y el computador. Pero en la actualidad no tener tecnología ni vida digital resulta de por sí sospechoso. Por ello podría ser recomendable crear una vida digital paralela, para lo cual Human Rights First también dispone de un documento con recomendaciones. Aunque sin duda es algo que resulta complejo pues requiere tiempo y recursos con los que no todos cuentan en el marco de la emergencia.

Datos personales colectivos

Nuestra historia no solo se cuenta gracias a la información que nosotros damos a conocer. Cualquiera que haya sido etiquetado por Facebook en una foto subida por un desconocido sabe que su privacidad también depende de la información que comparten otras personas. Y así, por mucho que nos esforcemos por eliminar nuestro pasado digital, necesitamos de un esfuerzo colectivo. De ahí el llamado hecho en Twitter por la directora de Democracia y Tecnología de la organización National Democratic Institute, Moira Whelan, a los encargados de redes sociales del Gobierno de EEUU para conseguir permiso para purgar todas las cuentas y canales con imágenes y pies de foto de socios afganos.

El peligro existe también en aquella información que puede ser obtenida sin más intervención por nuestra parte que el hecho de salir a la calle. Tal es el caso de la tecnología de videovigilancia, la misma que en los últimos años hemos visto tomarse los espacios públicos en América Latina sin mayor resistencia, protegida por el discurso anti delincuencia. Pero esta tecnología no ataca a la delincuencia, solo invierte el principio de inocencia: todos somos sospechosos hasta que probemos lo contrario y por ello debemos aceptar ser vigilados

En el caso de Afganistán todo apunta a que los talibanes se han apoderado de los dispositivos biométricos de los militares estadounidenses y que están haciendo uso de los datos biométricos recolectados durante años para encontrar a quienes colaboraron con los gobiernos anteriores y las ONGs extranjeras. No son sospechas, son hechos: los talibanes ya comenzaron la búsqueda casa a casa de sus disidentes.

Por lo mismo, Human Rights First publicó un documento sobre cómo evitar ser reconocidos por sistemas de reconocimiento facial, aunque lograrlo es inmensamente complejo.

Todo suma

Sin duda, resulta desgastante intentar proteger nuestra información y la tentación de ceder por agotamiento está siempre latente. Resulta extenuante revisar las políticas de cookies cada vez que ingresamos a una página o discutir con desconocidos por no querer entregar nuestro número de identificación único, cuando no hay motivo para ello.

Pero eliminar información es mucho más difícil que evitar entregarla, porque aquello que compartimos con terceros suele ser compartido con otros, que a su vez la vuelven a compartir. Por eso, siempre más vale intentarlo. Aun si hasta ahora nos hemos descuidado, nunca es tarde para empezar a proteger nuestra información ni para exigir que nuestro derecho a la privacidad y a la protección de nuestros datos sean respetados.

#CriptoAgosto: Nuevos ataques al cifrado

Mientras la sociedad civil brasileña celebra por segunda vez el #Criptoagosto, una invitación a defender y promover el uso de las tecnologías de cifrado, parece ser que las figuras del poder hacen un esfuerzo significativo por atacarlo.

¿De dónde nacen todas estas amenazas? Si revisamos noticias, vemos que la pugna ocurre paralelamente ante tribunales, en la discusión legislativa, en la pretensión de vigilancia y hasta en los planes comerciales globales de un fabricante de teléfonos a sobreprecio.

Hace un año comentábamos que se acercaba el fin de dos importantísimas causas judiciales críticas para la supervivencia de comunicaciones cifradas de punto a punto, pese a los discursos gubernamentales que lo asocian a la actividad criminal o exigen herramientas para desactivarlo. Existen todavía esfuerzos legislativos en Brasil, a nivel federal, que reflejan ese discurso a favor de la seguridad nacional o del orden público, a costa de la seguridad de las comunicaciones.

Al mismo tiempo, se mantenía una presión importante por desactivar las peores provisiones del proyecto de «Ley de fake news», que exigían la trazabilidad de las fuentes de los mensajes vitalizados en mensajería privada, aun tratándose de comunicaciones cifradas. Esta última amenaza no ha desaparecido: el artículo 10 de la propuesta aún significaría la exigencia de que los proveedores de aplicaciones de mensajería mantengan registros de «reenvíos masivos» de mensajes por tres meses, con el fin de trazar el origen de posibles fuentes de desinformación en redes de mensajes cifrados. Registros que incluirían no solo datos del mensaje, sino de quienes lo han reenviado con fecha y hora y número de receptoras.

Aunque el proyecto mantiene resguardos a favor del contenido de los mensajes y restricciones al acceso a los registros, sigue tratándose de un arma de vigilancia masiva en manos privadas: implica mantener un registro de los reenvíos al menos por 15 días en caso de que puedan convertirse en «reenvíos masivos» y, si lo son, cada mensaje registrado estará vinculado a cada usuaria que lo haya enviado o recibido. Con ese nivel de acceso a la información sobre la circulación del mensaje, el cifrado mismo se vuelve inútil.

Adicionalmente, encontramos el avance del Código de Procedimiento Penal, también objeto de atención de la sociedad civil para asegurar una mejor protección de los derechos fundamentales en la persecución criminal. La amenaza al cifrado se produjo mediante propuestas para incorporar mecanismos de intercepción de dispositivos y la explotación de vulnerabilidades, como medios para generar evidencia, lo que generó inmediato rechazo: la reforma amenazaba así con requerir la creación de puertas traseras y con legalizar la rotura del cifrado.

Aun cuando todo lo anterior estuviera restringido al debate jurídico y técnico, los intentos reales por comprometer la seguridad de los equipos también son parte de la historia reciente: hace algunos años el Citizen Lab identificó a Brasil como posible cliente de NSO Group; ahora un reporte señala que durante 2021 la empresa israelí participó de un proceso de licitación del Ministerio de Justicia y Seguridad Pública para la adquisición de Pegasus, para luego retirarse cuando se reportó que el hijo del presidente intervino en la negociación con la aparente intención de crear un aparato de inteligencia (y de vigilancia) paralelo a la institucionalidad de inteligencia actual.

Todo eso ocurre en momentos en que la búsqueda de alternativas —es decir, puertas traseras—para el acceso a comunicaciones y datos cifrados es defendida por las propias compañías fabricantes de equipos, con el objetivo loable de prevenir la circulación de material audiovisual de abuso sexual infantil. Pero las puertas traseras no sirven: comprometen la privacidad y la seguridad de todas las personas sin hacerse cargo del abuso real que ocurre más allá de pantallas y nubes de almacenamiento. Esta es la clase de medidas que abre aún más el apetito de los Estados por conocer el contenido de las comunicaciones de las personas, probablemente bajo los mismos discursos falaces sobre seguridad que se usan hasta para las peores conductas de vigilancia.

Con un panorama global tan complejo y tantas discusiones en curso dentro de Brasil, se hace más necesario que nunca que en los niveles local, regional y global exista mayor coordinación, no solamente de sociedad civil, sino de todas las partes interesadas en la promoción y la defensa del cifrado, la seguridad y la privacidad. Que el #CriptoAgosto brasileño sirva como motivación para avanzar en ello.

Las puertas traseras no protegen la privacidad

Para frenar la difusión de material de abuso sexual infantil (CSAM), Apple ha anunciado importantes cambios y nuevas funcionalidades en sus sistemas, incluyendo el análisis de las imágenes enviadas y recibidas por parte del software instalado en los dispositivos, un mecanismo de clasificación de imágenes con contenido sexual para el control parental en cuentas familiares y cambios en algunas funciones de Siri y Search para bloquear términos de búsqueda que tengan relación con el abuso sexual infantil. Estas funciones, que inicialmente regirán para usuarios en Estados Unidos de las versiones más recientes de iOS, iPadOS, watchOS y macOS, sientan un peligroso precedente para la privacidad y la seguridad de las personas en todo el mundo.

El uso de sistemas de identificación de contenidos por medio de inteligencia artificial para levantar alertas supone un tratamiento por lo menos opaco del problema. Por último, aunque sea legítima la búsqueda de soluciones frente a crímenes como el abuso sexual infantil, cualquier funcionalidad técnica que permita que terceros accedan a contenidos privados pone en riesgo a todas las personas que utilizan dichos sistemas. En este caso, a quienes utilizan cualquier dispositivo conectado a internet.

Escaneo de imágenes en el dispositivo

Una de las funcionalidades presentadas consiste en la detección de imágenes que se capturan y comparten entre dispositivos Apple mediante un algoritmo hash, es decir, una cadena fija de caracteres que identifica de manera única cada imagen.

A partir de ahora los dispositivos analizarán todas las imágenes que pasen por ellos, generarán un hash para cada una y lo contrastarán con una base de datos dispuesta por el National Center for Missing and Exploited Children(NCMEC), organización estadounidense que colabora con la justicia en la persecución de delitos de abuso sexual infantil. Así, dentro de cada dispositivo el sistema se encargará de escanear y contrastar todas las imágenes con esa base de datos, para identificar cualquier coincidencia. Una vez las imágenes se suben a iCloud, se agregan los resultados del cotejo a través del hash. Si se supera un umbral predefinido en la cantidad de coincidencias, un humano dentro de la compañía revisará manualmente el caso, luego de descifrar el contenido. Vale decir que, hasta hoy, Apple ofrece cifrado e2e en todos los contenidos que se comparten en sus sistemas.

Esta implementación es problemática porque la base de datos de hash de imágenes preparada por el NCMEC no es auditable, y si es manipulada arbitrariamente no hay manera de detectar dicho cambio, por lo que podría utilizarse, por ejemplo, para fines de persecución política, cultural o de género. Una vez el sistema está diseñado para cumplir una función, los fines y medios para ejecutarla pueden fácilmente salirse de las manos de quienes la diseñaron.

Por otra parte, existe la probabilidad matemática de que dos imágenes totalmente distintas o lejanamente similares coincidan en el hash generado, provocando falsos positivos, que solamente serán verificados luego de la intervención humana de alguien afiliado a la compañía, y habiendo roto la promesa de cifrado e2e, esto es, la promesa de privacidad sobre la que sustenta su oferta de valor.

Aprendizaje automático para clasificación de imágenes

Otra funcionalidad es la implementación de un algoritmo de aprendizaje automático que se aplicará a las cuentas de iMessage para menores de 18 años y sus tutores, en el marco de una cuenta “Familiar”. El algoritmo clasificará las imágenes, enviadas o recibidas, en cuanto al contenido sexual explícito que puedan contener. El sistema enviará una alerta a las personas usuarias menores de 18 años sobre el tipo de contenido que están compartiendo. Si la persona es menor de 13 años, el sistema alertará también a sus tutores y la imagen quedará almacenada en el dispositivo del menor, sin posibilidad de remoción.

Como se ha demostrado muchas veces en el pasado, los algoritmos de aprendizaje automático, sin supervisión humana, presentan muchos problemas de funcionamiento en la clasificación de contenidos. Así, los tutores de niños, niñas y adolescentes que no estén compartiendo contenidos sexuales explícitos pueden recibir alertas y los menores pueden ser sujetos de vigilancia e intromisión a su privacidad. Además, frente a una definición vaga de “infancia” —como menores de 18 y 13 años—existe el riesgo de atentar contra la normal expresión sexual y corporal, así como al acceso a la información, por ejemplo, en el caso de personas LGBTQ+.

Además, tal como está planteado el funcionamiento del sistema podría ocurrir la siguiente paradoja: en caso de que un menor que no tiene una cuenta Familiar enviare una fotografía calificada por el sistema como “sexualmente explícita” a un menor de 13 años que sí es parte de un plan Familiar, la fotografía del primer menor quedaría indeleblemente almacenada en el dispositivo del segundo menor y podría ser revisada por sus tutores, sin que el emisor original lo supiera. ¿En manos de quién queda definir la legitimidad de las imágenes compartidas en el marco de una comunicación que se garantiza como privada?

Finalmente, como hemos mencionado, el desarrollo de una tecnología con fines legítimos puede ser perfectamente aplicable a otros fines. Así, la modificación mínima de parámetros en el algoritmo de aprendizaje automático permitiría identificar, bloquear y perseguir, contenidos no solamente ilegales, sino que necesarios, con fines represivos.

Algunas conclusiones

Bajo la premisa de su compromiso en la lucha contra la explotación sexual infantil, y aunque defiendan la idea de que sus soluciones técnicas respetan la privacidad y el principio de cifrado extremo a extremo, la verdad es que Apple está abriendo una brecha de seguridad importante, con el potencial de atentar contra el derecho a la intimidad de niños, niñas y adolescentes, así como generando un precedente que podría facilitar la persecución política y la vigilancia a todo tipo de grupos vulnerables y emisores de discursos incómodos.

Cabe recordar que uno de los principales ganchos publicitarios de Apple ha sido precisamente ofrecer los más altos estándares de privacidad y seguridad en las comunicaciones, lo que sin duda ha llevado a muchas personas a preferirles. Un ecosistema cerrado, no interoperable era lo que había que transar en favor de dicha protección. Sin embargo, hoy, cuando la continuidad de esa promesa está en entredicho, a aquellas personas que confiaron en la marca les será muy difíciles migrar a alternativas más respetuosas de su privacidad. Así, el monopolio de los sistemas operativos (OS, iOS, iPadOS) genera una dependencia directa que ata a las personas a las arbitrariedades del fabricante.

Criptomonedas en América Latina: ¿hacia dónde ir… y por qué?

Hace unas semanas, el presidente de El Salvador, Nayib Bukele, anunció una nueva ley para regular el uso de la criptomoneda Bitcoin. La iniciativa generó críticas de manera inmediata, a nivel nacional e internacional, formuladas por economistas, la comunidad técnica y opositores políticos, entre otros comentaristas.

Pero antes de que la polémica permitiera asentar un mejor camino en la materia, la propuesta se había convertido en ley de la República, aprobada por un cuerpo legislativo particularmente favorable al Gobierno. El episodio ha dado un nuevo impulso al intento por participar del mercado de las criptomenodas y regular estos activos en América Latina, no sin una serie de preocupaciones importantes como demuestra el caso salvadoreño.

¿Criptomonedas?

Entendemos por “criptomonedas” a los sistemas de tokens que simbolizan unidades de valor, destinados al intercambio con poder liberatorio general (como el dinero de curso legal) o limitado, que constan de un registro digital (ledger) con uso de criptografía, mantenido de manera distribuida en lugar de centralizada por alguna institución financiera.

En la base de las criptomonedas está usualmente la tecnología de la cadena de bloques o blockchain: una lista de registros en forma de bloques, vinculados entre sí por medio de criptografía. Las transacciones se registran sin intermediarios, de manera cronológica y formando una cadena inmutable que permite la agregación de datos nuevos, pero no su alteración posterior. Cada nodo de la red guarda, de manera descentralizada, una copia de las cadenas de bloques. Con esto se busca superar problemas con la confiabilidad de registros centralizados de transacciones de distinto tipo, tales como la falsificación, el doble pago de un bien o el doble uso simultáneo. Por eso, según se reporta, se le promociona como un registro seguro, descentralizado e inmutable que guarde una copia de todas las transacciones realizadas sobre dicho activo digital.

Entonces, las criptomonedas son un tipo de activo digital que puede ser transado con registro en una cadena de bloques, tratándoselo como una moneda, en tanto se valorizan en unidades de ese activo, bienes o servicios, y fungiendo como activo de inversión especulativa si no se utiliza como moneda. Se caracterizan por su descentralización e independencia de intermediarios. Según alguna doctrina, las características propias les permitirían “tener aplicación universal y más extendida”.

Actualmente, la criptomoneda más conocida e importante es Bitcoin, que permite el intercambio de activos valiosos sin la intermediación o aprobación de una autoridad que ejerce control centralizado. Sin embargo, si bien Bitcoin es una criptomoneda popular, está sujeta a múltiples críticas: su valor como activo tiene una alta volatilidad, se cree que puede constituir una “burbuja especulativa” más que un sistema afín a las monedas de curso legal y la red Bitcoin presenta un problema de escalabilidad de la red para transacciones de pagos, lo cual representa altos tiempos de espera y elevadas tarifas por cada transacción, que debe ser verificada mediante complicadas operaciones matemáticas (proof of work) previo a incorporarse a la cadena de bloques. A la vez, el costo energético de cada una de esas operaciones conlleva posibles riesgos medioambientales ampliamente reportados. Estas y muchísimas otras críticas son parte habitual de la fuerte atención pública sobre el Bitcoin, sea tomado como oportunidad de inversión o como grave amenaza al ecosistema global en nombre de la codicia especulativa.

La “Ley Bitcoin” en El Salvador: el Decreto Legislativo Nro. 57

La Ley Bitcoin se convirtió en realidad tres días después de la viralización de un video en el que Bukele anunciaba en la Conferencia Bitcoin 2021 en Miami que la criptomoneda se convertiría en moneda de curso legal en El Salvador. La aprobación de la Ley Bitcoin tuvo una celeridad inusual: entre su presentación pública y su aprobación por la Asamblea pasaron apenas 5 horas. Más debate sobre el Bitcoin existe cualquier día en foros de Reddit o redes sociales. Mientras la Asamblea realizaba el proceso legislativo, el presidente Nayib Bukele, impulsor de la Ley, explicaba a inversionistas extranjeros la normativa en un chat virtual de Twitter, en inglés.

La aprobación de la Ley Bitcoin se da en un contexto particular. El Salvador vive un momento económico adverso, tal como el de otros países afectados por la pandemia. Pero además en un contexto político particular: la Asamblea Legislativa, dominada por el partido del presidente, ha aprobado gran cantidad de préstamos al Estado salvadoreño, que han incrementado en niveles históricos la deuda del país. Por otra parte, el contexto social en el que la Ley fue aprobada presenta dos caras: por un lado, la aun elevada popularidad del presidente y por otro, señalamientos de corrupción por parte del Departamento de Estado de Estados Unidos a una de sus principales funcionarias y la decisión de dar por finalizado el c onvenio con la Organización de los Estados Americanos que había creado la Comisión contra la Impunidad en El Salvador (CICIES). De acuerdo a los considerandos de la Ley Bitcoin, la misma pretende, entre otras cosas, facilitar la inclusión financiera de los ciudadanos, así como impulsar el crecimiento económico del país.

Sobre la aprobación de la Ley Bitcoin se han vertido críticas que abarcan el área jurídica, en particular sobre el proceso de formación de Ley, la obligatoriedad de la aceptación del uso de Bitcoin por “todo agente económico” (art. 7) y la ambigüedad de las disposiciones aparentemente redactadas por un interesado. En el área económica, se anotan críticas como la incompatibilidad respecto de la definición de Bitcoin como moneda y no como activo digital, así como de los inconvenientes de adoptar la criptomoneda como moneda de circulación legal a la par del dólar, la actual moneda de curso legal.

La Fundación Salvadoreña para el Desarrollo Económico y Social (Fusades) la calificó como una ley inconsulta e improvisada. De la misma forma se han pronunciado varios académicos y profesionales del país, quienes señalan, además, la carencia de un estudio técnico y la falta de debate parlamentario. Otro riesgo identificado es la posibilidad de que las Bitcoin que “ingresen” a El Salvador provengan de actividades ilícitas como el narcotráfico, la trata de personas o la venta de armas; y que, además, con la oferta del presidente Bukele de brindar facilidades migratorias y de adquisición de bienes en territorio nacional a los inversionistas, El Salvador pueda convertirse en un paraíso fiscal apto para el lavado de dinero.

También se habla del problema del fideicomiso que será constituido para respaldar el cambio de Bitcoin a dólares, considerando que ese dinero podría ser usado para otras áreas prioritarias como la salud y la educación; además, que dada la volatilidad del Bitcoin, los costos de esta deficiencia serían pagados por la población.

Otras de las preocupaciones de la ciudadanía incluyen la falta de transparencia sobre el funcionamiento y los niveles de seguridad informática de bases de datos, herramientas y medios que se utilizarán para la realización de transacciones en Bitcoin, y respecto del tratamiento que estas harían de datos personales sensibles y biométricos en un país que carece de regulación adecuada en materia de protección de datos personales y ciberseguridad.

Por otro lado, instituciones financieras han expresado su recelo ante la medida. El Fondo Monetario Internacional, con el que el gobierno de Bukele negocia un préstamo, ha señalado que esta medida requiere análisis más cuidadosos; por su parte, el Banco Mundial, a quien el gobierno solicitó ayuda técnica para la implementación de la criptomoneda, ha declinado dadas las deficiencias medioambientales y de transparencia que la medida contiene.

Cómo avanzar en América Latina

El caso de El Salvador ha reavivado el ánimo por, a lo menos, regular estos activos digitales. Así, en Paraguay ya hay un proyecto de ley con el propósito de regular el mercado de las criptomonedas y la minería de “criptoactivos”, que se suma a otras iniciativas de investigación, tributación o regulación. Entre el escepticismo y el entusiasmo, se mantienen desafíos importantes para la región.

La tecnología blockchain en general y las criptomonedas en particular se presentan a menudo como la tecnología del futuro para transacciones de toda clase. Sin embargo, sus características intrínsecas presentan retos, sobre todo, frente a la garantía de seguridad jurídica por la que deben velar los estados, en particular si se pretendiera implementar su uso como una moneda de curso legal. Tanto la desregulación, la descentralización y la volatilidad de su valor son elementos que restan seguridad jurídica frente a fraudes o a riesgos derivados de cambios bruscos de valor. De ello surgen tendencias a reconocer la validez de las transacciones mediante criptomonedas solo bajo supervisión estatal, regulación específica y fortalecimiento de las instituciones públicas, o bien a su prohibición. Desde un punto de vista económico, especialistas apuntan al desafío que plantea la trazabilidad de los ingresos en criptomonedas en un país para la creación de las políticas públicas monetarias.

Finalmente, tres puntos fundamentales para la adopción de la tecnología blockchain, y particularmente, las criptomonedas es que debemos aprender de las lecciones y desafíos que ha significado el desarrollo, gobernanza y apertura de internet. No recurrir al solucionismo tecnológico, motivar la innovación, y adoptar y regular las tecnologías desde un enfoque de respeto a los derechos humanos. Debemos valorar los logros alcanzados con internet, motivar la discusión inclusiva de los diversos sectores de la sociedad que contribuyan a brindar claridad sobre los desafíos y posibles efectos de la implementación de las criptomonedas y, principalmente, debemos considerar la deuda que aún tiene Latinoamérica respecto de las brechas en acceso a tecnologías digitales. Adoptar la más reciente moda de activos digitales está muy lejos de cumplir con esos objetivos.