Tipo de contenido (Recurso): Columnas

El interés superior (¿en los datos?) de los niños y niñas

El uso de algoritmos de reconocimiento facial puede tomar distintas formas técnicas. En términos muy generales, podemos distinguir el uso de esta tecnología para la verificación de un individuo y para la la identificación de la identidad de un individuo. Así, la verificación facial y la identificación mediante el reconocimiento facial son técnicas diferentes, que a su vez tienen formas distintas de ser utilizadas en la práctica.

En la primera, el usuario se somete voluntariamente a la comprobación de su identidad mediante la identificación de sus rasgos biométricos, para acceder u obtener algo a cambio, como el acceso a un servicio o el desbloqueo de su teléfono. La identificación mediante reconocimiento facial no siempre es voluntaria e implica el uso de inteligencia artificial y cámaras alimentadas de grandes bases de datos que rastrean los rasgos biométricos de las personas, como ocurre en las cámaras con reconocimiento facial en el espacio público. En todos estos casos se está tratando datos sensibles: aquella información personal referida a características físicas de las personas.

En El Salvador, el Ministerio de Educación ha propuesto que más de 75,000 estudiantes, de escuelas públicas y privadas, realicen a través de una plataforma digital la prueba AVANZO para evaluar su aprendizaje. Años atrás, la prueba –conocida como PAES- era presencial y sin el auxilio de tecnologías. Este año se usará verificación facial con la finalidad declarada de evitar fraudes. El gobierno anunció que comprará almacenamiento en la nube, sin especificar si se usará para la realizar la prueba o para resguardar los datos biométricos;  cada estudiante podrá acceder a una cuenta de Google for Education para ser evaluados a través de la plataforma ‘AVANZO’ – software desarrollado por la Secretaria de Innovación-.  

A través del Plan Cuscatlán: Innovación y Tecnología, el Presidente Nayib Bukele prometió en 2018  transformar tecnológicamente al país y entregar servicios públicos más eficaces. Las instituciones y mecanismos de control en El Salvador son muy débiles y no existen los marcos regulatorios que garanticen el ejercicio y protección de los derechos de los ciudadanos frente a la adopción de las tecnologías. La ausencia de regulación, supervisión y seguridad significa, en otras palabras, la ausencia de los controles y balances que ayudarán a proteger los derechos y las libertades civiles y, en general, hacer valer el Estado de Derecho.

Esa promesa ambiciosa choca de frente con recientes casos de exposición de datos confidenciales de miles de contribuyentes, estudiantes y ciudadanos,  evidenciando aún más la falta de regulación, estándares y protocolos básicos de protección de datos personales y seguridad de la información en el sector público, y aumentando el riesgo para cualquier persona que deba entregar su información personal. Preocupa aún más que gobiernos desarrollen y adopten tecnologías sin transparencia y regulación adecuada, como el caso de la prueba AVANZO. ¿Qué resguardos se han tomado en su formulación? ¿Cómo puede hoy la ciudadanía auditar o evaluar la creación y la adopción de esos sistemas?

De acuerdo con el Secretario General de la ONU, desde hace 30 años a través de la ratificación de la Convención de las Naciones Unidas sobre los Derechos del Niño, casi 200 países han reconocido que “los niños tienen los mismos derechos humanos que los adultos”. Las tecnologías pueden impactar de diversas maneras sus vidas y sus derechos, sea positiva o negativamente. La Ley de Protección Integral de la Niñez y Adolescencia (LEPINA) de El Salvador, basada en la Convención de los Derechos de los Niños, reconoce el derecho al honor, imagen, vida privada e intimidad, protección de datos y el interés superior de los niños y niñas. Y, en su articulado, prohíbe el uso de la imagen o en contra de la voluntad del niño o niña, o sin el consentimiento de sus padres. Imponer la verificación facial es grave, pues implica que miles de niños y niñas deberán entregar sus datos biométricos como la única alternativa para rendir la prueba.

En un contexto global de pandemia, que ha atacado fuertemente a países como El Salvador, parece ser que se acelera la marcha hacia “soluciones” tecnológicas que, entre otras cosas, asistan a los procesos educativos de los países. Pero frente a este apuro por digitalizar procesos, no hay una prisa similar por resguardar la información de las personas sujetas a esos procesos. Ni siquiera por el hecho de tratarse de personas menores de edad. A la fecha se desconoce el destino final y como serán almacenados esos datos. ¿Qué promovemos con este tipo de medidas? ¿El interés superior de los niños y niñas, o la colecta y uso de sus datos?

2020 o una oportunidad para repensar nuestras prácticas digitales

Este año ha sido particularmente significativo en la ocurrencia de acontecimientos disruptivos de nuestras prácticas cotidianas. La pandemia nos obligó a confinarnos e intentar reproducir mediante pantallas aquellas cuestiones que anteriormente resolvíamos cara a cara. En esta línea, Martín Caparrós ha puntualizado de forma correcta cómo se distingue nuestra forma de relacionarnos al estar desapegados de la profundidad del propio cuerpo.

Mientras el alcance de la pandemia fue global, en Chile a ello sumábamos el despliegue de un proceso de cambio institucional sin precedentes. Así, el domingo 25 de octubre más de siete millones de chilenas y chilenos sufragaron en favor de la discusión de una nueva Constitución, mediante una Convención Constituyente paritaria y elegida por la ciudadanía.

En principio, ambos eventos parecen no mantener un vínculo explícito. Sin embargo, pueden ser interpretados desde un concepto que le resulta particularmente valioso a la sociología. Tanto la pandemia como el proceso de discusión constitucional son instancias en las cuales se produce abiertamente un proceso de reflexivización de los vínculos e interacciones sociales. Esto es, inquirimos explícitamente porqué hacemos lo que hacemos. Por ejemplo, nos preguntamos sobre la pertinencia de las reuniones presenciales en contexto de pandemia y evaluamos la eficacia de los medios disponibles en vistas de alcanzar el fin pretendido; resolución que, como sabemos, ha significado un aumento explosivo de las videollamadas a través de plataformas digitales, como sucedáneo de los encuentros presenciales.

Son estas instancias de reflexivización las que ofrecen una oportunidad para racionalizar el mundo y (eventualmente) proveerlo de sentido ante el pavoroso desconcierto de la circunstancia.

Algo semejante ocurre con el proceso de discusión Constitucional en el caso chileno. Nos hallamos frente a la oportunidad histórica de inquirir y resolver sobre el modo en que configuramos las relaciones entre el estado y la ciudadanía. Mientras, se abre la discusión respecto de la determinación del ordenamiento institucional y sus contrapesos, así como la pregunta por qué bienes y derechos debería garantizar el nuevo acuerdo social que supone el proceso de sanción constitucional.

Todas estas cuestiones son fundamentales a la hora de abordar la relación entre derechos fundamentales y tecnologías: ¿Cuál será el estatuto de protección a los datos personales en el nuevo orden institucional y qué principios que orientarán su resguardo?, ¿Qué tipo de orientaciones es necesario establecer en vistas de la provisión de infraestructura de comunicaciones para favorecer la accesibilidad a internet?

Vistos en perspectiva, tanto la pandemia como la discusión constitucional nos ofrecen una alternativa común en aras de abordar críticamente nuestras interacciones mediadas por dispositivos digitales. Para ello, resulta fundamental partir por el reconocimiento de que no existe algo así como un salto discreto entre el denominado «mundo real u offline» y el «mundo virtual u online«. La contingencia que nos ha impuesto 2020, en el afán por buscar recrear un mundo en otro, para mantener alguna sensación de normalidad y productividad, nos han señalado que atestiguamos la consagración de un proceso de extendida y profunda mediatización de las relaciones sociales, que supone un contínuo entre las interacciones presenciales y las que se desarrollan a través de dispositivos y plataformas.

La ingenua idea de una diferencia radical entre lo «virtual» y lo «real» omite una de las consideraciones más ilustrativas del comportamiento social, aquella expuesta en el teorema de Thomas: «Si las personas definen las situaciones como reales, éstas son reales en sus consecuencias». Así, las consecuencias sociales (y políticas) de un hecho no se encuentran necesariamente determinadas por el espacio en que ocurren, sino por las condiciones que favorezcan su plausibilidad para las y los agentes involucrados. Lamentablemente, esta comprensión supone también resultados homólogos a fenómenos como el de la desinformación. Esto supone un desafío significativo al modo en que pensemos nuestro orden normativo.

De esta forma, tanto la pandemia como la discusión por el orden institucional en cualquier país de la región pueden ser vistos como puntos de inflexión, funcionales a la articulación de indagaciones críticas sobre nuestras prácticas digitales, sus efectos y el debido resguardo de nuestros derechos fundamentales involucrados. En Derechos Digitales hemos reflexionado al respecto, desde orientaciones para la realización de videollamadas hasta el análisis crítico de las tecnologías como respuesta a la pandemia. Nos resta, por cierto, proyectar este trabajo en el contexto de la discusión constitucional.

Una forma de abordar esta tarea es comenzar por plantear una conversación que indague más allá de los derechos que han de ser protegidos por la Carta Fundamental. Es también requerido articular tales orientaciones normativas con una mirada crítica de las infraestructuras existentes, el nivel de desarrollo y las capacidades de nuestras instituciones y, en especial, la necesidad de replantear el rol de la ciudadanía como un agente determinante en los procesos de diseño y evaluación de planes y políticas públicas. Todo ello en vistas de favorecer relaciones e interacciones sociales tecnológicamente mediadas que permitan disputar, y no meramente reproducir, las desigualdades sociales de base que los extraordinarios acontecimientos de este año nos han permitido evidenciar.

Arrestos más, arrestos menos

La puesta en prisión preventiva de un ingeniero dedicado a la seguridad informática es el suceso más reciente desde que fuera conocido el hackeo sufrido por servicios estatales en Chile. La atención mediática y la intensidad de la medida cautelar aparecen como respuesta a un acto de vastas proporciones: la vulneración de los servidores de la página web de Gobierno Digital, de responsabilidad del Ministerio de la Secretaría General de la Presidencia, que habría significado el acceso a una enorme cantidad de información personal de chilenas y chilenos.

En particular, se trataría de un acceso no autorizado a datos de sistemas que procesan datos personales, incluyendo datos del servicio ClaveÚnica (para trámites personales en línea) y de la Comisaría Virtual de la policía (para trámites relacionados a permisos, de especial importancia durante la pandemia). No obstante, aunque el acceso se habría producido el 8 de octubre de 2020, no fue sino hasta la semana posterior que el hecho fue conocido públicamente, sin información clara sobre la magnitud del incidente ni sobre la información que habría sido filtrada, y apenas conociéndose que no habría contraseñas de ClaveÚnica comprometidas.

Como episodio solitario, el hackeo del Gobierno Digital de Chile parece suficientemente grave. No obstante, es apenas un capítulo  más en una lista sobre incidentes de seguridad que sigue extendiéndose, y que solo en el último año han afectado ya a un importante banco de propiedad estatal y a la misma policía uniformada, y que ha demostrado falencias de diseño y de seguridad en los servicio del Gobierno Digital. ¿Está haciendo algo el gobierno chileno por mejorar la seguridad de la información?

La política en deuda con la seguridad

Como ha repetido una serie de expertas y de interesados frente al descalabro de seguridad del Gobierno Digital del Estado chileno, hay una serie de iniciativas legislativas supuestamente destinadas a prevenir y enfrentar esta clase de incidentes. Ninguna está cerca de convertirse en ley. A la vez, deudas institucionales del gobierno impiden dar pasos decididos hacia una mejor institucionalidad.

Una de esas es la reforma integral a la ley de datos personales chilena, la primera de América Latina. El actual proyecto lleva años en el Congreso, con larguísimos períodos de tiempo sin avances, y corriendo el riesgo de convertirse en otro conjunto de buenas intenciones que no pueden ser llevadas a la práctica por la falta de una autoridad de control independiente y con facultades suficientes. Aun cuando el proyecto conocido todavía es susceptible de mejoras, siguen siendo rescatables aspectos de actualización largamente en deuda, como el deber de notificación de brechas de seguridad que afecten a datos personales dentro de un muy breve plazo de tiempo. Otras consecuencias, como el aprovechamiento de la información personal que circula en la red después de estas filtraciones, pueden ser también objeto de alguna reclamación. Hoy no parece haber prisa alguna en fijar esos resguardos en torno a la información personal.

Por el contrario, el proyecto de ley que implementa en Chile el Convenio de Budapest sobre ciberdelincuencia sí está avanzando, aunque todavía de manera algo errática. También se trata de una actualización en deuda desde la primera ley en Chile de 1993, con positivos avances en la sanción de delitos complejos. Como ya hemos detallado, el primer intento de implementación de Budapest era peligroso; luego partes del mismo fueron corregidos y hasta hoy el proyecto conserva algunos de los vicios de los intentos de regulación de la persecución del delito en Chile: una expansión desproporcionada e injustificada de los poderes estatales para la intromisión en la vida de las personas bajo la excusa de la investigación criminal, sin siquiera mencionar el intento por expandir la retención de metadatos hoy vigente.

A la vez, la discusión legislativa en torno a los ciberdelitos todavía alberga una ardua oposición de los órganos policiales contra cualquier exención de responsabilidad a favor de quienes descubren vulnerabilidades de sistemas, en el marco de actividades de investigación, aun bajo requisitos estrictos para esa posible exención, a efectos de mantener bajo sanción penal actos que en otras latitudes son reconocidos como expresión de hacking ético.

La contumaz oposición a esa exención, de manera errada, conlleva la penalización una actividad seria y fundamental en la formación de capacidades de ciberseguridad y prevención de ataques. Al mismo tiempo, ignora que el crecimiento en cantidad y en sofisticación de los ciberataques, incluidos los ejecutados desde el extranjero, no va a detenerse porque haya sanciones penales más altas en Chile.

Finalmente, las carencias y falencias en los aspectos institucionales de ciberseguridad siguen siendo responsabilidad del gobierno. A acciones positivas como la entrada en vigencia de la Política Nacional de Ciberseguridad en 2017, la formación de un Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) de gobierno, y la creación del Comité Interministerial de Ciberseguridad (CICS), se han sucedido demoras significativas en el nombramiento de un encargado presidencial de ciberseguridad (siete meses de vacancia, y contando), la insistencia en un proyecto de ley de protección de infraestructura crítica que poco aporta en un resguardo significativo de instalaciones clave, y la eterna promesa incumplida de presentación de un proyecto de Ley Marco de Ciberseguridad que fije responsabilidades y procedimientos.

Por cierto, avanzar de manera sensible en todas esas áreas sería apenas un paso inicial: todavía estaría pendiente un real esfuerzo del Estado en transparentar y mejorar las medidas para garantizar la seguridad de la información y la respuesta a incidentes. Los despidos de alto nivel poco y nada aportan a mejorar las condiciones de seguridad; la imposición de urgencias sobre proyectos de ley deficientes tampoco ayudan. Los ataques seguirán ocurriendo, por lo que los esfuerzos y recursos puestos en educación y en prevención deben ser también prioritarios y continuos.

¿Y mientras tanto?

Pese a la celebración de autoridades políticas por el inicio de un proceso penal por el hackeo al Gobierno Digital, no hay nada que celebrar desde la perspectiva de la ciudadanía. Todavía es incierta la magnitud del acceso, todavía no se notifica individualmente a las personas afectadas, todavía no comenzamos a conocer los efectos de las filtraciones, todavía no hay certeza que el gobierno de Chile tenga la capacidad o la voluntad para enfrentar riesgos a los que está expuesta la ciudadanía. Es decir, todavía no hay razones entregadas por el Estado para que exista confianza de la ciudadanía en la gestión de riesgos en el ciberespacio. Más presuntos autores tras las rejas no es, y nunca ha sido, garantía de seguridad futura.

¿Qué queda hacer mientras tanto? Se ha insistido en la conveniencia del cambio de contraseñas para la ClaveÚnica, así como las prácticas de seguridad digital en general. Se ha reiterado la necesidad de mejorar las prácticas y elevar los estándares de ciberseguridad a los que se sujetan instituciones públicas y privadas. Pero la mayor responsabilidad todavía recae en la autoridad política, para materializar las aspiraciones de la Política Nacional de Ciberseguridad y reconducir una agenda hoy disgregada.

Mientras tanto, arrestos más y arrestos menos, seguimos tanto o más expuestas que antes al ciberdelito.

The Social Dilemma: una carta de amor a Silicon Valley

“¿Viste The Social Dilemma? ¿Qué te pareció el documental?”, son dos preguntas que extrañamente me ha tocado tener que responder de forma recurrente en las últimas semanas. Y en cada ocasión siento que no he sido capaz de hacerme entender tan claramente como quisiera; que el disgusto y las críticas al documental no tienen por objeto desmentir ni exculpar a las grandes compañías que manejan las distintas plataformas que usamos día a día, ni tampoco negar el hecho de que estas plataformas tienen problemas serios, que necesitan ser discutidos y enmendados. Mi problema es de enfoque. Así que decidí escribir esto, a ver si es que así es más fácil responder ambas preguntas.

Partamos por el principio: The Social Dilemma es un documental dirigido por Jeff Orlowski, distribuido por Netflix, y que desde septiembre está a disposición de las suscriptoras a la plataforma de streaming en América Latina. En poco más de hora y media de duración, el documental combina pequeños segmentos de ficción, intercalados con entrevistas a un variopinto grupo de personalidades de alto perfil en el ámbito de lo que podríamos denominar la “crítica a internet” —incluyendo a Shoshana Zuboff, Cathy O’Neil y Jaron Lanier—junto a varios arrepentidos ex empleados de Silicon Valley, explicando cómo las empresas para las que solían trabajar han arruinado el mundo. La mayor parte de los entrevistados son estadounidenses y no hay participación de ninguna de las organizaciones trabajando sobre estos temas en América Latina, África o Asia, en caso de que se lo preguntaran.

Y ese es el primer problema con The Social Dilemma: en el fondo, no es más que una declaración de amor a los genios de Silicon Valley y su capacidad para transformar, destruir y, en última instancia, salvar al mundo. Como si San Francisco, California fuese el lugar donde habita la única gente capaz de identificar, reflexionar y proponer soluciones a los problemas que genera la tecnología.

Junto con ello, el documental generaliza preocupaciones que parecieran ser muy estadounidenses —o si se quiere, muy propias de las personas que eligieron entrevistar— y las universalizan, con una mirada que no solamente es ombliguista, sino que además puede terminar siendo contraproducente para el trabajo que distintas personas realizan en otras latitudes, en la medida en que se convierte en el discurso hegemónico respecto al modo en que se debe pensar sobre estos asuntos, a pesar de que el enfoque no se traduzca de manera exacta a contextos diferentes, donde los problemas pueden ser diferentes y se pueden expresar de otros modos. No hay que olvidar que las tecnologías no funcionan en el vacío, sino que ocupan roles específicos de acuerdo al uso que personas reales les dan, en contextos particulares. De modo que no es tan sencillo asumir simplemente que el impacto de las redes sociales es el mismo en Otawa, Machala y Hanoi.

Luego están los problemas en los cuales el documental decide centrarse: adicción, manipulación del comportamiento, polarización política, depresión y suicidio adolescente. Presentados sin ningún tipo de contexto, el documental sugiere que son las redes sociales las responsables de producir estos males, como si la tecnología tuviese por si misma la capacidad de deprimir e incitar el suicidio, sin atender a las condiciones particulares y complejas —sociales, familiares, económicas, de salud, etc.— en que se desenvuelve una persona con depresión. Una suerte de tecnosolucionismo a la inversa, un «tecnoconflictivismo».  

En ningún momento el documental se detiene a reflexionar que es improbable que sociedades altamente polarizadas—donde abunda la desigualdad, la exclusión, el racismo, el odio, la misoginia y otras formas de violencia— generen usos de las tecnologías que no den cuenta de esta condición estructural. Más todavía: sorprende la falta de mención a cuestiones como el acoso y la violencia en redes sociales, particularmente respecto a personas pertenecientes a grupos no-hegemónicos, precisamente porque es donde las plataformas están más en deuda y donde más acciones concretas pueden tomar.

De la misma forma, el racismo se trata de manera somera, sin atender al hecho de que la gran mayoría de los ex empleados de Silicon Valley entrevistados son blancos.  En vez de eso, el documental prefiere hacer declaraciones hiperbólicas respecto a problemas cuya conexión a las redes sociales ha sido cuestionada, sin aportar mayor evidencia al respecto.

Igual que en The Great Hack, los documentalistas asumen que las tecnologías que están analizando funcionan a la perfección y están dotadas de todas las capacidades que sus creadores les asignan. El procesamiento de datos les darían no solamente la capacidad de conocer a alguien, sino de predecir y moldear su comportamiento, tres cuestiones altamente complejas, pero que aparentemente sería posible por medio de unos algoritmos todopoderosos. ¿Pero qué pasaría si el escenario fuese más complejo que ese? ¿Qué pasaría si el perfilamiento de datos aportara una imagen parcial de una persona, que se asume como totalidad? ¿Qué pasa cuando se confunde mapa y territorio, cuando no es posible separar la palabra de aquello que nombra? ¿Qué pasa si el perfilamiento es errado, cuando se están tomando decisiones reales que afectan a las personas? The Social Dilemma nunca se lo pregunta y presenta una imagen de tecnologías totalizantes, de las que no hay escapatoria.

Respecto a las soluciones, el documental parece proponer dos: eliminemos las redes sociales —como si eso fuese a resolver los problemas estructurales que se expresan en ellas— y agreguemos ética a la producción de tecnología, la solución favorita de Silicon Valley, porque les permite evitar un marco regulatorio que les haga responsables por sus errores y omisiones. En ese sentido, desde Derechos Digitales hemos sido claros y reiterativos respecto a la necesidad de contar con normativa basada en derechos humanos como guía para la regulación del diseño, desarrollo,  implementación y comercialización de tecnología.

Para finalizar, un recordatorio: El Mago de Oz no era más que un hombrecito detrás de una cortina, con una máquina de humo, hablando por un micrófono.

El regreso de los delatores en el proyecto de ley de delitos informáticos

En las últimas semanas se reactivó en el Congreso chileno la discusión del proyecto de ley sobre delitos informáticos, que implementa en Chile el Convenio de Budapest. Hasta ahora, la mayoría de las criticas se han centrado en tres temas: penalización del hackeo ético, modificación de las normas sobre retención de datos y acceso a comunicaciones, y ampliación de las facultades del Ministerio Público, incluida la eliminación del requisito de autorización judicial previa para determinadas diligencias.

Resumido en una sola gran crítica, el proyecto ha servido como excusa para inyectar de nueva fuerza el poder del Estado para invadir la privacidad y la autonomía de las personas. A pretexto de combatir el ciberdelito, el proyecto modificaría sustancialmente las actuales normas del código procesal penal chileno en materia de técnicas de investigación.

Pero hay otro aspecto de este proyecto que, a pesar de ser igualmente preocupante, no recibió mayor atención por parte de la Comisión: la utilización de agentes encubiertos para investigar a personas individualmente consideradas respecto de la generalidad de los delitos contemplados en el proyecto.

El agente encubierto es la medida investigativa más intrusiva que contempla nuestro ordenamiento jurídico y, por ello, históricamente ha sido limitada a la investigación de bandas delictivas organizadas y delitos de especial gravedad.

La marcha por implementar Budapest

El proyecto de ley Boletín 12192-25 sobre delitos informáticos tiene su origen en la suscripción y ratificación por parte de Chile al Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest. En 2017, con la ratificación del convenio, Chile adquirió la obligación de adecuar su normativa interna y, por ello, el proyecto busca modificar distintos cuerpos legales. Si bien el proyecto ingresado al Congreso en 2018 era altamente cuestionable y peligroso, algunos puntos han sido subsanados en la tramitación.

Pero con la reactivación del proyecto, urgencia del Ejecutivo mediante, algunos riesgos para los derechos fundamentales vuelven a la vida. Preocupa que el proyecto pretenda expandir los mandatos generales sobre retención de datos, acceso a comunicaciones privadas de las personas y las facultades investigativas del Ministerio Público, al punto de prescindir de autorización judicial para determinadas diligencias. Argumentando que es necesario para la investigación de los delitos informáticos, se busca modificar las normas sobre medidas investigativas del código procesal penal, ampliando el poder de vigilancia estatal dentro y fuera de la red. Todo lo anterior sin siquiera ofrecer garantías para impedir el abuso de este tipo de medidas, por ejemplo, robustecer la obligación de notificar al afectado por las mismas.

De estas nuevas medidas y facultades investigativas, solo algunas se encuentran, hasta ahora, limitadas al ámbito del ciberespacio: preservación y custodia de los antecedentes de investigación, comiso y agente encubierto en línea. Pero la forma en que este último irrumpirá es extremadamente preocupante, pues podrá interactuar directamente con las personas de manera individual, sin necesidad de sospecha de actuación en organizaciones delictuales, para la investigación de cualquiera de las conductas tipificadas en el proyecto, sin atender a la gravedad de las mismas.

La irrupción cibernética del agente encubierto

La figura del agente encubierto fue introducida en nuestro país el año 1995, mediante la ley 19.366, sobre tráfico ilícito de estupefacientes y sustancias psicotrópicas, exclusivamente para la investigación de este tipo de ilícito. Su ámbito de aplicación en el régimen penal común fue ampliado para la persecución de la pornografía infantil en 2004 y en 2011 para la investigación de los delitos de tráfico ilícito de migrantes y trata de personas.

Recién en 2016 fue incorporada en el código procesal penal chileno, a raíz de la ley 20.931, que “facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como “ley corta antidelincuencia”. Esta fue la primera vez que se contempló la posibilidad de utilizar la figura del agente encubierto para delitos contra la propiedad, pero solo para aquellos cometidos por  bandas complejas, imposibles de desbaratar sin hacer uso de este tipo de medidas.

Hoy esta medida se encuentra regulada en el artículo 226 bis del código procesal penal, bajo estrictos estándares de procedencia, exclusivamente para la investigación de los delitos ahí indicados y bajo fundadas sospechas de la participación de personas en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, requiriendo en todo caso autorización judicial previa.

El artículo 11 del proyecto de ley original sobre delitos informáticos contemplaba esta medida, pero limitada a la persecución de delitos cometidos por bandas organizadas. Hasta el día 8 de marzo de 2019 —plazo originalmente fijado para presentar indicaciones al proyecto de ley— este artículo solo fue objeto de 3 indicaciones, todas por su supresión total o parcial. Pero en enero de 2020 se propuso reemplazar su texto por uno nuevo, mediante una indicación del Ejecutivo que seguía de cerca lo propuesto por el Ministerio Público durante las sesiones de discusión. El nuevo artículo mantuvo la posibilidad de usar esta medida para la persecución de todos los delitos contenidos en el proyecto, pero además amplió radicalmente su ámbito de aplicación autorizando su uso para la persecución de sujetos individualmente considerados.

De la delación a la provocación

La medida del agente encubierto es de las más intrusivas en cualquier sistema de investigación criminal. Por ello, históricamente su aplicación ha estado limitada a la investigación de delitos cuya particular complejidad y gravedad justifique el uso de tales medidas. El proyecto de ley actual cambia ambas reglas: permite el uso de agentes encubiertos para investigar a personas que actúen individualmente y respecto de cualquiera de los delitos contemplados en la ley, ampliando de manera considerable el campo de aplicación de una medida que siempre debiese ser extraordinaria. Con esto, se infringen los requisitos de necesidad, proporcionalidad y legalidad que deben respetar las medidas intrusivas de investigación.

Además, este tipo de agentes difícilmente serán meros espectadores de los hechos que investigan. La realidad en la que se introduce siempre estará intervenida por su interacción con aquellos entre quienes busca permanecer encubierto. Por lo anterior, aun cuando se trate de una organización criminal, los casos en que estos agentes intervendrán en calidad de meros espectadores sin colaborar en la comisión de los delitos, serán excepcionales. De autorizarse el uso de agentes encubiertos para la investigación de personas individuales, podríamos pasar fácilmente de la investigación a la provocación, tal como sucedió con esta institución en sus orígenes. El agente encubierto nace de las actividades de espionaje político francés durante los años del absolutismo, derivando rápidamente en la provocación mediante el uso de “agentes provocadores” que promovían desordenes públicos para justificar el uso de medidas de persecución en contra de opositores. No obstante, la propuesta también los exime de responsabilidad de manera amplísima, favoreciendo una acción temeraria y perdonando anticipadamente la delincuencia de agentes estatales

Si, además, cómo pretendió originalmente el Ministerio Público, estos agentes pudieran ser introducidos en la sociedad sin necesidad de autorización judicial previa, se desdibujaría la división de poderes que debiese caracterizar a toda sociedad democrática. El control de este tipo de medidas sería prácticamente imposible.

Contra nuevos poderes desproporcionados para el Estado

El uso de agentes encubiertos es sin duda una amenaza para la democracia y de ahí que el legislador haya sido, hasta ahora, extremadamente celoso en su autorización. Permitir el uso de esta figura para vigilar a personas individualmente e investigar delitos comunes es absolutamente desproporcionado. Ello sería la normalización de una institución inquietantemente parecida a los delatores del período más oscuro de nuestra historia. Bajo esas condiciones la posibilidad real de ejercer determinados derechos como la libertad de expresión, es sencillamente imposible.

Ni aun las particulares características del ciberespacio, argumento recurrente para defender este tipo de medidas, justifican poner en peligro derechos tan esenciales como la privacidad, libertad personal y la seguridad individual (artículo 19 nº7 de la Constitución Política). De la misma manera que la persecución de los delitos informáticos no justifica la modificación de las reglas de investigación contenidas en el código procesal penal chileno para la persecución de delitos cometidos fuera del ciberespacio.

Proyecto de ley especial de ciberdelitos en Nicaragua: una herramienta más para la represión del disenso

El pasado lunes, la diputada Loria Raquel Dixon Brautigam, del partido nicaragüense Frente Sandinista, presentó un proyecto de Ley Especial de Ciberdelitos cuya redacción -ampliamente abarcante y vaga- de aprobarse, representaría un ataque a la privacidad, a la protección de los datos personales, pero sobre todo a la libertad de expresión y participación. Este proyecto se inscribe en una peligrosa tendencia, no solo en Nicaragua sino en la región, de utilizar legislaciones contra “cibercrimen” que en realidad buscan criminalizar la libertad de expresión. 

En Nicaragua, las redes sociales se han convertido en espacio de denuncia y expresión social, tanto o más que en otros países dada la constante represión del gobierno nicaragüense ante la denuncia y el disenso político. Esta es razón suficiente para creer, como han señalado organizaciones de la sociedad civil como el Observatorio Pro Transparencia y Anticorrupción, que esta ley busca fundamentalmente perseguir y controlar las redes sociales como espacio para la expresión ciudadana. Este tipo de persecución es una conducta utilizada por otros gobiernos de la región, siendo quizá los más graves los casos de Cuba y Venezuela, donde -de acuerdo con el reciente informe del Consejo de Derechos Humanos de la ONU- al menos 18 personas han sido detenidas y torturadas entre 2014 y 2019 por publicaciones en Twitter. Del mismo modo, en el caso de Nicaragua no es posible analizar un proyecto de ley como éste ignorando el contexto: esta iniciativa de ley sucede días después de que el Presidente, Daniel Ortega, expresara su interés de reformar la legislación para permitir la cadena perpetua, y junto con la iniciativa de Ley de Regulación de Agentes Extranjeros, que constituye un claro ataque contra la libertad de asociación y la defensa de los derechos humanos.

En el caso del proyecto de ley especial de ciberdelitos, el primer factor a considerar es su lenguaje amplio y ambiguo, una de las herramientas más utilizadas en las normativas que buscan ser suficientemente flexibles para poder ser utilizadas posteriormente en la persecución del ejercicio del disenso. El texto señala que castigará a quien “suplantare o se apoderare de la identidad informática de una persona natural o jurídica por medio de las TIC” sin indicar cuáles son los parámetros para considerar que una conducta constituye suplantación, lo que claramente puede convertirse en la ilegalización de la parodia y la sátira, expresiones tradicionalmente protegidas, y busca perseguir a “quien publique o difunda información falsa y/o tergiversada, que produzca alarma, temor, zozobra”, en un texto prácticamente idéntico al que contiene la Ley de Responsabilidad Social venezolana (también conocida, al igual que este proyecto, por el nombre de Ley Mordaza), y a la Ley Contra el Odio, que han creado el entorno legal por el cual se ha perseguido y arrestado a médicos y periodistas en el contexto de la pandemia. Sobre esta ley, en su momento, la CIDH declaró que:

«En un primer análisis tres aspectos resultan alarmantes: a) el uso de figuras vagas y sanciones exorbitantes e imprescriptibles para penalizar expresiones de interés público; b) la imposición de gravosas obligaciones a todos los medios de comunicación, entre ellas la supresión y retiro de información de interés público; c) la amplia posibilidad otorgada al Estado de utilizar los medios de comunicación e imponer contenidos.»

Estas mismas circunstancias tienen lugar en el proyecto de ley nicaragüense, que pretende castigar con penas de hasta ocho años de cárcel a publicaciones en redes sociales o en medios de comunicación que sean categorizadas como delitos contra la “seguridad del Estado”. No estamos hablando ya solo de publicaciones aisladas en redes sociales, sino también de filtraciones como la que revelara las cifras reales del Ministerio de Salud en el contexto de la pandemia por coronavirus.

El proyecto, que de sí busca abarcar un amplísimo rango de conductas, pretende también convertirse en el marco de referencia nicaragüense para las “noticias falsas”, castigando con hasta cuatro años de cárcel a quienes difundan información que sea categorizada como falsa por el gobierno. Como hemos señalado anteriormente, la tentación, ya global, de regular las “noticias falsas” a este nivel de granularidad no desemboca en otro lugar que no sea la infantilización y la censura: pretender que por apelación a la autoridad se considere cierto solo aquello que un gobierno califica como tal es el clavo final para enterrar las democracias.

En un país como Nicaragua, donde desde 2018 la represión sistemática por parte del aparato estatal hacia la oposición, los movimientos sociales y las organizaciones de derechos humanos, los medios de comunicación independientes y las empresas del sector privado no ha hecho más que intensificarse, no solo mediante la criminalización de sus acciones sino también mediante actos extrajudiciales como allanamientos, secuestros, ajusticiamientos y ataques de difamación, la creación de una herramienta legal que permita establecer un sistema arbitrario para controlar el flujo de información es especialmente alarmante. Es urgente garantizar que cualquier proceso legislativo en Nicaragua que busque establecer legislaciones en materia de ciberdelitos sea abierto a la participación de la sociedad civil mediante procesos que garanticen su involucramiento libre y vinculante, de modo que las normas resultantes respondan realmente a la protección de la seguridad de los ciudadanos en su utilización de tecnologías informáticas.

Voto Electrónico en Chile y marco normativo electoral: problemas legales de un cambio tecnológico tentador

Chile está ad portas del inicio de un proceso constituyente que marca un precedente histórico. Debido a la dificultad que significa llevar procesos eleccionarios en el contexto de una pandemia, se ha propuesto establecer sistemas de voto electrónico a distancia como una manera de lidiar con los riesgos sanitarios de una votación presencial. 

En general, cuando se discute sobre la viabilidad del voto electrónico, nos entrampamos en una discusión sumamente técnica sobre ciberseguridad, vulnerabilidades y protocolos de cifrado. Y si bien en esa discusión el voto electrónico no tiene buena recepción, pues muestra una serie de dificultades, también es pertinente sumar un análisis interdisciplinario que sea capaz de evaluar si un cambio tecnológico como el voto electrónico a distancia cumple con los estándares internacionales o domésticos que se han establecido para un sistema electoral.

Es importante señalar que el sistema de votación actual (con uso de cabina secreta de votación, urnas, centros de votación donde la gente asiste personalmente, etc) también constituye una tecnología que fue intensamente discutida y ajustada a la luz de sus implicaciones normativas, pero eso se nos olvida ante lo llamativo de las nuevas tecnologías digitales.  Problemas serios en un contexto electoral, tales como el cohecho, la extorsión y el acarreo parecen ser tan del pasado, que se ha generado una especie de amnesia en el público general sobre la importancia de asegurar estándares básicos electorales, como que el voto sea personal y secreto.

Por este motivo, e intentando luchar contra esta amnesia de lo obvio, deben recordarse los principios constitucionales y nociones legales que están en juego en nuestro país cuando hablamos de un sistema electoral. Para esto, debe partir señalándose que el artículo 15 de la Constitución chilena actual indica que “En las votaciones populares, el sufragio será personal, igualitario, secreto y voluntario”. Sin ánimos de hacer un análisis detallado de esta frase, tomaremos primero la idea del sufragio personal. Este concepto está presente también en normativas como la mexicana y se refiere a la necesidad de un acto de votación presencial de cada individuo. Que el voto sea presencial significa que debe realizarse físicamente en un centro asignado de votación -sea en territorio nacional o en el extranjero- y por ello se opone a formas de sufragio como el voto por correspondencia, o votos mediante poder o delegados. 

Es fácil desprender de lo anterior que el voto electrónico a distancia no es posible en un contexto constitucional donde el voto debe ser personal. En la medida en que el voto personal significa que el voto es indelegable, entonces mecanismos como el uso de Clave Única para el voto a distancia no pasan este estándar constitucional, ya que el voto seria fácilmente delegable a otra persona tan solo compartiendo sus credenciales (RUN y clave personal).

Esta exigencia constitucional se extiende incluso a formas de sufragio admitidas en otros países como el voto por correspondencia, con lo cual la normativa chilena es particularmente estricta. Las razones están claramente establecidas en las actas de la Comisión Ortúzar (comisión que crea el texto inicial de la Carta Fundamental chilena vigente), en el sentido de que solo un voto personal es capaz de garantizar otros principios generales del sufragio, como el ser secreto. Se indica de manera ejemplar que “es evidente que cualquiera fórmula de voto no personal abre la posibilidad de que el ejercicio del derecho de sufragio no sea secreto, y en la práctica la voluntad pueda ser manipulada bajo la forma de exigirse un poder, o de conocer la correspondencia o cualquiera otra”.

El razonamiento de la Comisión Ortúzar nos lleva a otro principio relevante de analizar: el voto secreto. Este se encuentra más difundido a escala global, y la importancia del voto secreto como principio se encuentra en Tratados Internacionales de alta importancia en el mundo, tales como la Convención Europea y la Convención Americana de Derechos Humanos. Esta última, en su Artículo 23 relativo a Derechos Políticos señala que la ciudadanía debe gozar del derecho “de votar y ser elegidos en elecciones periódicas auténticas, realizadas por sufragio universal e igual y por voto secreto que garantice la libre expresión de la voluntad de los electores”. Esta lógica, también plasmada en la Constitución chilena actual, nos recuerda que solo un voto secreto asegura que cada persona pueda libremente plasmar su opinión, y no estar sujeta a extorsiones o regalos para alterarla. Se asegura un piso mínimo en toda democracia, que es que las personas efectivamente votan por quienes desean, sin presión externa. 

Esto no solo significa que la persona tenga derecho a votar sin estar en presencia de otros, sino que también la imposibilidad de que el votante genere prueba sobre el contenido de su voto. Es por ello que la ley chilena sanciona a quien saque una fotografía de su voto, estableciendo una presunción de que se trata de un delito electoral. En otras palabras, en la medida que el votante pueda votar en presencia de otra persona (por ejemplo, desde el celular), no es posible garantizar el derecho al voto secreto.

Voto secreto y voto personal son dos principios cercanos que están claramente conjugados en la legislación chilena electoral. La Ley Orgánica Constitucional N°18.700 sobre votaciones populares y escrutinios define, bajo la tecnología de la cabina de votación, un sistema cuidadosamente ajustado que asegura que las personas asistan físicamente a un centro de votación, y que en todo momento su voto se mantenga en secreto e indistinguible de otros votos. 

En vista de los dos principios constitucional y legalmente consagrados, es evidente que un voto electrónico a distancia no cumple con dichos estándares normativos. En la medida en que es un voto que se realiza sin el desplazamiento físico de la persona a un centro de sufragio, no es un voto personal. Por otro lado, en tanto no se puede asegurar que la persona no tiene ninguna presión externa a la hora de emitir su voto, no es un voto secreto. 

Queda una última variable a considerar, que se refiere a la transparencia o naturaleza pública del proceso de elecciones. Si bien este no es un principio que se encuentre consagrado en el artículo 15 de la Constitución chilena actual, es una noción muy importante en lo que se refiere a procesos electorales en el mundo. El Tribunal Constitucional Alemán, por ejemplo, ha señalado en una sentencia de marzo del 2009 que la naturaleza pública de las elecciones exige que todo el proceso de sufragio sea entendible para cualquier persona, y que sin conocimientos detallados de computadores una persona debe ser capaz de verificar si su voto está siendo contado. Es necesaria la posibilidad de una inspección personal. La importancia de la transparencia radica en que la ciudadanía tenga absoluta confianza en el proceso electoral y pueda auditar el proceso en todas sus partes.

Este estándar de transparencia se opone a un sistema que lleva el sufragio de manera electrónica, ya que los individuos no pueden ver lo que ocurre dentro de una máquina; los cálculos que se realizan no son perceptibles por la persona humana. Además, solo un grupo pequeño de expertas(os) entenderán la técnica que subyace al procedimiento, por lo que se sustrae el proceso de sufragio del control de la generalidad de la ciudadanía. Esto no cumple realmente con los estándares que se han dispuesto, por ejemplo, en el marco europeo de referéndums sugerido por la Consejo de Europa, pero tampoco cumple con lo que la Ley N°18.700 dispone respecto al proceso de conteo de votos. La ley señala un procedimiento físico de conteo y de impugnación de votos que presupone el uso de la tecnología tradicional de sufragio, y requeriría de una modificación total de esta normativa en caso de admitirse una modalidad de voto electrónico a distancia.

En definitiva, el sistema de voto electrónico a distancia no asegura en términos normativos el voto personal, el voto secreto o estándares mínimos de transparencia necesarios en una democracia. En lo concreto, es actualmente inconstitucional e ilegal establecer en Chile un sistema con estas características. Si se desea cambiar el sistema, es necesario reunir las voluntades políticas y el esfuerzo técnico de reemplazar un procedimiento cuya eficacia ya está probada. 

Aun así, y si el brillo de las nuevas tecnologías resulta todavía tentador, hay potentes razones de fondo tras estos principios legales, que se refuerzan con los argumentos técnicos descritos ampliamente en la literatura, que insisten en la necesidad de conservar la tecnología actual de sufragio para sostener la confianza en un proceso particularmente delicado para una democracia, aun en un contexto difícil como que el que impone la pandemia en curso. El caso del sufragio debe ser una lección para entender que no toda nueva tecnología debe ser implementada solo porque parece una solución atractiva.

Vigilando la velocidad de conexión a internet y a sus usuarias

Asegurar la velocidad de internet es un deber en Chile. Así lo establece la ley desde noviembre de 2017, pero esta obligación no ha sido exigible por años, a falta de la emisión de normas adicionales por parte de la Subsecretaría de Telecomunicaciones de Chile (Subtel), según ordenaba la misma ley. Esto cambió a fines de julio de 2020. Después de un largo período de consideración, consultas públicas y pandemia, la Subtel finalmente emitió el reglamento que regula al organismo técnico independiente (OTI) encargado del cumplimiento de la ley, y la norma técnica con las condiciones de operación.

Sin embargo, con la emisión de las nuevas reglas se busca consolidar un esquema donde, a cambio de medir las condiciones de conectividad, se pide a cambio información personal de las usuarias de internet.

La propuesta de mediciones de calidad de la red

Para medir el cumplimiento de la oferta de velocidad por parte de los proveedores de servicios de internet, las reglas fijan la necesidad de monitorear esa velocidad. Con ese fin, el reglamento y la norma técnica piden que el OTI registre distintos datos y, en algunos casos, autoriza a Subtel a acceder a esa información.  Pero el detalle de los datos que serán recolectados ha sido objeto de cuestionamiento.

Para la medición, el reglamento y la norma técnica definen tres elementos de monitoreo (art. 2 de la norma técnica):

  1. Los ISP deben permitir al OTI el “acceso a sus sistemas de medición de tráfico en línea, a las capacidades instaladas y a las relaciones de interconexión entre sus nodos de redes de acceso, agregación y core” (art 13 de la norma técnica).
  2. Realización de mediciones a través de sondas:
    • Desde una sonda hasta un servidor nacional en la red del mismo ISP.
    • Desde una sonda hasta un servidor nacional en la red de otro ISP.
    • Desde una sonda hasta un servidor ubicado fuera del territorio nacional.
    • Accesibilidad a sitios web nacionales e internacionales.
  3. Realización de mediciones a través de un aplicación en el equipo del usuario:
    • Desde la aplicación hasta un servidor nacional en la red del mismo ISP.
    • Desde la aplicación hasta un servidor nacional en la red de otro ISP.
    • Desde la aplicación hasta un servidor ubicado fuera del territorio nacional.
    • Accesibilidad a sitios web nacionales e internacionales.

Pero no solamente se establecen esos registros. Se establece además que el OTI tendrá acceso a una serie de datos del cliente que instale la aplicación (art. 12 de la norma técnica), que incluyen:

  • IMEI, número telefónico, número de IP, IMSI, SimCard del equipo del usuario.
  • Identificador del ISP y nombre del operador de red de ser el caso.
  • Marca y modelo de equipo del usuario.
  • Fecha y hora de la medición.
  • Identificador de nodo de acceso.
  • Coordenadas de ubicación geográficas del equipo del usuario.
  • Porcentaje de uso de CPU y memoria del equipo del usuario al momento de la medición.
  • Niveles de potencia de señal y relación señal a ruido.

Si bien se puede argumentar que estos datos son necesarios para que la OTI realice el monitoreo respectivo y verifique si el proveedor de internet está cumpliendo con la velocidad promedio comprometida, el artículo 24 de la norma técnica establece que la Subtel tendrá acceso a toda esta información de manera agregada, desagregada, en tiempo real y georreferenciada.

Esto es complejo, ya que —como hemos señalado en el pasado— datos tales como el número de teléfono constituyen datos personales, capaces de identificar a la titular. Por otro lado, se incluye en la lista información que da cuenta de las actividades y los hábitos personales del usuario, como también su geolocalización y dirección IP. Es decir, información sensible. Subtel exige acceso a esta información de manera nominada, es decir, siendo capaz de vincular la información con la identidad de cada usuario.

Estas exigencias de datos por la Subtel no solo carece de sentido operativo, sino que van abiertamente en contra de las garantías constitucionales y legales sobre la información personal. Además, se trata de información que no le corresponde obtener a una entidad gubernamental sin una justificación de la legitimidad del fin perseguido, y sin consentimiento explícito de las personas titulares de los datos.

Si la finalidad es la publicación de informes estadísticos, entonces no es necesario que Subtel acceda a esta información de manera nominada, por lo que la medida resulta desproporcionada. En caso contrario, con el el fin de monitorear la velocidad de la conexión a internet,  se está creando un riesgo innecesario de que la información sea mal utilizada, que se filtre o se abuse de ella.

Vinculado con lo anterior, y también preocupante, es el hecho de que no se establezca una finalidad específica y exclusiva para esta información recolectada. La norma técnica (art. 25) se limita a decir que esta información será utilizada con el objetivo de elaborar informes comparativos para difundir los resultados a las usuarias, “entre otros fines”. Con esta fórmula, el documento deja la puerta abierta para que estos datos sensibles sean utilizados para fines distintos, lo que contradice los principios de la legislación de protección de datos personales, dejando a los ciudadanos en una situación de indefensión frente al potencial de explotación no autorizada.

La recolección desproporcionada de datos, desde la perspectiva técnica

¿Es necesario hacer mediciones individuales de la velocidad de conexión a internet?

No. Si tomamos en cuenta que el OTI tendrá acceso a los sistemas de monitoreo y a las capacidades instaladas de todos los nodos (equipos de comunicación, ya sean routers o switches) de los ISP, asimismo tendrá la posibilidad de monitorear la saturación de tráfico por cada nodo, pudiendo de esta forma levantar la alerta o generar la notificación al ISP correspondiente. Este punto no es menor, pues al tener los datos de funcionamiento y calidad de red de cada nodo están accediendo al mismo nivel de información de quienes administran la red, a excepción de las configuraciones de los dispositivos. En otras palabras, este conglomerado de datos es bastante valioso para fiscalizar el correcto funcionamiento de las redes.

Cuando un ISP implementa un plan de internet a un cliente, básicamente, lo que hace es un Traffic Shaping (limitación de tráfico), lo que permite controlar la velocidad de transferencia máxima de la conexión contratada. En ese sentido, cabe la posibilidad de que el ISP, al ver que algún segmento de la red pueda llegar a la saturación, aplique un limitante de tráfico a los usuarios hasta una velocidad de transferencia máxima menor a lo contratado, para evitar la saturación de uno o más nodos. En este escenario, el OTI no podría evaluar la calidad del servicio a través de lo expresado en el párrafo anterior.

Acá es donde entran en juego las mediciones a través de sondas. Se trata de una suerte de “prueba de caja gris” en la cual se ejecutan pruebas de tráfico desde una sonda y hacia un servidor o sitios web, ambos con ubicación conocida a través de sus direcciones IP. Esta prueba, si bien aporta información periódica del comportamiento de la red, resulta susceptible de “engaño” a través de una liberación de Traffic Shaping, o con una instrucción de prioridad al tráfico entre ambos dispositivos (sonda-servidor).

En este punto es donde se podría justificar la realización de mediciones a través de la aplicación propuesta, cuyo objetivo es generar pruebas desde los distintos dispositivos (teléfonos, tablets, computadores, etcétera) y hacia servidores en distintos puntos (nacionales e internacionales). En principio parece una buena idea, pero tal como vimos en el caso anterior) también es susceptible de “engaño”, dado que los equipos de comunicación pueden aplicar criterios de prioridad de tráfico hacia las ubicaciones de los servidores contra los que se harán las mediciones. El inconveniente que se genera a través de esta perspectiva de prueba es que en su afán de generar mayor certeza se requiere de información más detallada sobre quién, cuándo, dónde y desde qué dispositivo se realiza la prueba. Esto implica que dichos datos permitirían la identificación de sus actividades georreferenciadas o en redes digitales en el pasado y en el futuro.

Como corolario de lo anterior, está la posible necesidad del manejo de miles de (posibles) pruebas, y que cada una deba ser gestionada a través de reportes, para luego dar paso a rectificaciones, reparaciones o adecuación del plan, lo cual genera un esfuerzo logístico y humano innecesario.

Considerando lo anterior cabe hacerse la pregunta: ¿Existe otra perspectiva o acercamiento para poder verificar el correcto funcionamiento de la red o planes de internet que no conlleve la exposición de datos de los usuarios?

Lo primero que podemos ver es que, del listado de datos que definen como “datos ambientales” (art. 12), se podía prescindir de algunos datos de identificación para resguardar la privacidad del usuario. Por ejemplo, solo registrar el nodo de entrada desde el dispositivo que ejecutó la prueba, el plan contratado, el ISP correspondiente y, quizás, un par más de datos como intensidad de la señal. En este caso, la evidencia no permitiría un reclamo o reparación basada en un hallazgo individual, pero sí permitiría generar la solicitud de corrección del problema hacia el ISP en una zona en particular.

En otro sentido, también se podría generar un muestreo de tráfico por zonas que permitiera generar una estadística de uso y proyectar la demanda futura a modo de ir realizando los cambios necesarios en la red para que pueda soportar el aumento de tráfico en relación a la venta de planes. Para esto, es necesaria la estadística y que esta a su vez implique una política en la tasa de agregación, es decir, para una zona en particular con un comportamiento de tráfico específico y crecimiento estimado se debería generar una limitante a la tasa de agregación o, en palabras simples, a la cantidad de sobre-venta de un canal.

Banda Ancha: definición local para una red global

Uno de los encargos de la ley de velocidad mínima garantizada, era que la reglamentación describiera las características de lo que se ofrece como “banda ancha” por los ISP. La norma técnica fija una regla (art. 23) que es en parte flexible respecto de las velocidades de referencia, pero a la vez establece un parámetro de medición. Si bien es arbitrario el valor mínimo de la velocidad de bajada y la velocidad de subida para ser llamada “banda ancha”, lo importante es la relación entre ellos.

Se debe considerar como elemento técnico que las conexiones alámbricas e inalámbricas poseen un canal de comunicación cuya característica es que su ancho de banda es bidireccional o total. Es decir, un cable cuya velocidad de transferencia es de 100 Mbps puede transmitir 50 Mbps de subida y 50 de bajada o bien en relación 70/30, pero la suma de ambos tráficos no podrá superar la capacidad física del canal.

Al parecer, existe una definición comercial que diferencia a un usuario común de un usuario con requerimientos específicos, dado que las ofertas de varios ISPs corresponden a  planes de internet asimétricos bajo demanda, con una relación 5:1 o 20:7 en relación entre las velocidades de bajada y subida, y planes de internet dedicados y simétricos cuya velocidad transferencia de subida y bajada son iguales. Los segundos son más costosos pues aseguran la velocidad de transferencia en cualquier momento, aunque cabe la posibilidad de tener un canal simétrico no dedicado. Esta diferenciación tiene sentido para la oferta de servicios a empresas, en contraste con la oferta para internet en hogares.

En el caso de las conexiones asimétricas (como ocurre con cada conexión casera o común) se podría considerar que la tasa de agregación podría estar limitada en su sobre-venta, de tal manera que permita una relación más baja. Por ejemplo, que el tráfico de subida en una conexión casera o móvil sea al menos la mitad (50%) del tráfico de bajada. Desde un punto de vista comercial, parece tener sentido que los hogares,ya sea con una conexión fija o a través de un dispositivo móvil, tengan una conexión asimétrica donde la red se usa mayormente para recibir contenidos.

Pero esta visión de las necesidades hogareñas es altamente problemática: representa una noción limitada de la utilidad que se le da a la conectividad, no solo para “consumir” contenidos, sino también para producirlo y para comunicarse con otras personas de manera cada vez más sofisticada. Y ese aprovechamiento de las posibilidades de la red solamente aumenta en pandemia. En épocas de una creciente tendencia al teletrabajo, a la educación a distancia, a la telemedicina y a una sociedad obligada a interactar a distancia, es necesario considerar la importancia de que las conexiones permitan un tráfico bidireccional que asegure poder interactuar en la red de forma más igualitaria, donde la velocidad del tráfico de subida resulta tan importante como la de bajada.

Las definiciones de velocidad también resultan problemáticas por lo que implican en relación con la conectividad a nivel global. Por definición, internet representa acceso a contenidos digitales en cualquier parte del mundo y, debido a ello, es que en la mayoría de los países no existe una diferenciación entre tráfico nacional e internacional para la medición. Es decir, la correcta aplicación del término “Banda Ancha” debería aplicarse directamente al tráfico internacional, sin desmedro de que pueda declararse la velocidad de tráfico en territorio nacional. Si bien existen limitaciones técnicas que impiden que pueda asegurarse igual velocidad respecto de conexiones con terminales de distintos lugares del mundo, es importante que existan suficientes condiciones de transparencia que permitan manejar las expectativas de las personas que se conectan a la red. Aun cuando la norma técnica identifica las diferencias entre tráfico nacional e internacional, la oferta comercial de “banda ancha” debe hacerse cargo transparentemente de esa diferencia.

Estas definiciones no son solamente una cuestión comercial o técnica, sino que inciden en la capacidad de crecimiento y de inversión en conectividad. A la vez, su mayor uso no es consecuencia solamente de un contexto global específico, sino que está en juego la forma en que se desarrolla la sociedad en torno a la conectividad digital. Es decir se trata de un servicio estratégico para el desarrollo tecnológico, laboral, económico, educativo y cultural.

La norma técnica en disputa política

La elaboración de la norma técnica por parte de la Subtel ha sido objeto de controversia por las exigencias de datos personales. En contra de la resolución, tanto la industria como la sociedad civil, la autoridad de acceso a información pública y hasta un senador de la República, han reaccionado en oposición a la que ya es una resolución vigente. La actual discusión de una nueva ley de datos personales podría razonablemente limitar riesgos de abuso y permitir la fiscalización del tratamiento no autorizado.

La expectativa desde el interés público es que esas condiciones cambien, pues como hemos dicho, la recolección intensiva de datos resulta desproporcionada frente al propósito de la ley que motiva estas reglas. Pero a la vez, la necesidad de corrección de esas condiciones plantea la oportunidad de mejorar la forma en que se define una internet de velocidad mínima de cara a una sociedad que requiere mejor conectividad.

#NiCensuraNiCandados: la primera victoria, esperanza para el porvenir

Desde el 2 de julio de 2020, diversas organizaciones en México alzaron la voz sobre la polémica veloz aprobación a reformas a la Ley Federal del Derecho de Autor y al Código Penal Federal, derivadas de algunas disposiciones del Capítulo de Propiedad Intelectual del Tratado entre México, Estados Unidos y Canadá (TMEC).

Más allá de la velocidad del proceso por el cual entraron en vigor las reformas, los principales señalamientos estaban enfocados en la falta de espacios de diálogo que permitieran incorporar la perspectiva de derechos humanos en la modificación de las leyes vigentes y en las deficiencias que existían al importar fragmentos de la ley de derechos de autor de Estados Unidos sin tomar en cuenta la incorporación de medidas que permitieran la excepción de ciertas restricciones con fines legítimos -de acuerdo con las necesidades locales- para paliar los efectos de las rigurosas restricciones de la ley de EE.UU.

Lo anterior planteó un panorama peligroso para el ejercicio de los derechos digitales de las personas en México y las demandas propuestas a través de la campaña #NiCensuraNiCandados no tardaron en llegar a las conversaciones regionales y globales desde donde diversas organizaciones y especialistas se sumaron a difundir su preocupación sobre la falta de rigor por parte del Congreso mexicano para adherirse a la defensa de los derechos humanos contemplados en la Constitución.

La sociedad civil en México tenía hasta el 3 de agosto como una fecha límite para lograr que la Comisión Nacional de Derechos Humanos (CNDH) o integrantes del congreso presentaran una acción de inconstitucionalidad frente a la Suprema Corte de Justicia de la Nación (SCJN) para que estas reformas fueran impugnadas. A pesar del tiempo tan limitado, la respuesta fue muy interesante. Diversos frentes, colectivos, organizaciones, medios de comunicación e integrantes de la ciudadanía se articularon para lograr que más de 70mil personas enviaran comentarios a la CNDH incentivándole a tomar acciones para resguardar los derechos humanos que se verían afectados por medio de estas reformas, particularmente: la libertad de expresión, el acceso a la información y la capacidad de investigar, desarrollar, modificar, reparar y crear a través de las tecnologías digitales.

A través de diferentes eventos y formatos de divulgación de la información en torno a estas reformas, aprobadas para la implementación del T-MEC en México, los diálogos transversales y multidisciplinarios -que no tuvieron cabida entre quienes tomaron la decisión de aprobar las reformas- lograron fomentar espacios de aprendizaje colectivo en los que surgieron dudas respecto a la técnica legal, las implicaciones del derecho de autor en la cultura y el impacto que tienen los candados digitales o medidas tecnológicas de protección en las actividades a través de las cuales también se ha construido soberanía tecnológica en diversos sectores de la sociedad nacional.

Además, la participación de organizaciones internacionales como la Electronic Frontier Foundation (EFF) de Estados Unidos y Karisma de Colombia, también permitieron que se consolidara el intercambio de perspectivas y experiencias internacionales en torno a restricciones que bajo el disfraz de la protección de la propiedad intelectual y el derecho de autor han puesto en riesgo el desarrollo cultural y social de sus países.

En México, la labor de organizaciones e iniciativas de la sociedad civil que han trabajado temas relacionados a la tecnología en el país tuvo un eco profundo en la vinculación con instancias enfocadas al desarrollo de productos audiovisuales, las comunidades de videojuegos y reparación de consolas, las bibliotecas independientes y las comunidades de radialistas que también están vinculadas con la defensa de la tierra el territorio, la salud sexual y reproductiva, la inclusión para personas con discapacidad y neuro divergentes, así como integrantes de grupos de docentes que han explorado las implicaciones y retos de la educación frente a la incorporación de plataformas digitales (que además ha tenido un despunte particular en el contexto de la pandemia que aún intentamos sortear).

La participación generada en torno al llamado a la acción por parte la campaña #NiCensuraNiCandados finalmente logró llamar la atención de la CNDH. Como resultado, el lunes 3 de agosto, esta comisión presentó la acción de inconstitucionalidad que podría permitir a la sociedad civil defender sus derechos… Si la respuesta a esta acción resulta favorable por parte de la SCJN.

Sin embargo, esto no quiere decir que las amenazas a los derechos digitales en el país hayan cesado frente a esta victoria. Aún hay diversas iniciativas que siguen buscando regular de forma abusiva los espacios digitales y los riesgos para la libertad de expresión ante el mecanismo de notificación y retirada -aún vigente- siguen surtiendo efecto para quienes resulten víctimas de su uso injustificado como una forma de silenciarles.

Aunque aún no sabemos cuál será la respuesta final por parte de la SCJN, es importante no perder la esperanza ni quedarnos con la sensación de que una victoria representa el final de esta lucha. Para lograr tener mayor injerencia en estas decisiones es fundamental que la sociedad civil continúe participando en espacios de intercambio y diálogo que permitan reducir un poco las brechas que nos separan de la autonomía que podríamos tener -como sociedad- sobre las tecnologías que también están siendo usadas para gobernarnos.

La acción de inconstitucionalidad presentada por la CNDH es resultado de las demandas que presentó la sociedad civil organizada a este organismo y aunque aún nos quede bastante por hacer, es importante tomar en cuenta cómo la articulación de acciones políticas efectivamente se puede traducir en una transformación de las medidas autoritarias que ponen en riesgo nuestros derechos y libertades.

Lo que esta victoria nos deja es energía para seguir apostando a propuestas que permitan el diálogo entre distintos frentes de acción donde podamos organizarnos para participar en la democracia que nos gobierna. Aún tenemos mucho que aprender y podemos aprenderlo juntas, fortaleciendo las propuestas que nos permitan incidir en la transformación de nuestro gobierno y el desarrollo del país que habitamos.

Los derechos humanos no son moneda de cambio para tratos opacos ni negociaciones. No podemos aceptar políticas públicas que beneficien a las industria a través de la criminalización de nuestros derechos, atentando aún más gravemente contra los sectores marginalizados y los grupos que resisten los abusos por parte del gobierno. Frente a escenarios tan complejos, con impactos tan profundos en el desarrollo social, no podemos evitar actuar: construyendo, aprendiendo y respondiendo colectivamente.

¡Gracias a todas las personas, organizaciones e iniciativas que hicieron posible esta victoria! 

Ojalá esta sea una de varias más por venir para defender nuestros derechos también en las plataformas digitales: por un futuro en el que no existan #NiCensuraNiCandados

Que se muerdan la lengua: los discursos implícitos en las narrativas gubernamentales contra el cifrado

Los servicios de comunicación, el comercio en línea, el suministro de energía para las ciudades, la infraestructura de la red. Prácticamente toda la información que transita por las múltiples fronteras de los sistemas conectados dependen de la seguridad que ofrece el cifrado. Y no solo eso, el cifrado es también una pieza fundamental para el ejercicio de derechos: la defensa de la libertad de expresión y de prensa, de expresar y asumir posturas políticas, incluso la supervivencia de grupos políticos disidentes en regiones antidemocráticas dependen de la seguridad y la privacidad que solo el cifrado tiene el potencial de ofrecer. Por eso, los ciudadanos y ciudadanas – usuarias de la red – hoy pueden brindarle mayor protección y privacidad a su información, de forma más fácil.

Este empoderamiento ha frenado el acceso de agentes del Estado a las comunicaciones privadas, cuestión antes rutinaria. Durante décadas, este acceso posibilitó programas de vigilancia masiva e incontables escuchas ilegales y, con ello, el debilitamiento de los derechos constitucionales, como el debido proceso y la presunción de inocencia. Igualmente, el cifrado ha frenado interceptaciones clandestinas de parte de agentes privados. El cifrado, por lo tanto, ha posibilitado que las personas reconquisten sus libertades y su autonomía informativa.

Frente a esa situación, las agencias de investigación – cuyo interés responde a la demanda por mayor “velocidad” en la solución de procesos criminales y la expansión de los mecanismos para acceder a círculos de información privada de la ciudadanía, comprometiendo los derechos humanos y la seguridad en la red – por años han desarrollado  narrativas que buscan resignificar la importancia del cifrado. Sin embargo, tales artificios retóricos son muy reveladores y forman parte de un conjunto de acciones sistémicas que buscan estigmatizar la tecnología (en este caso, el cifrado) por medio de su criminalización, con el objetivo de hacer susceptibles a los congresistas a este mensaje de modo que aprueben políticas orientadas a debilitarla.

Fabricando distopías

Las crisis suelen desencadenar grandes cambios, sean sociales, económicos o tecnológicos. Por eso, en escenarios de crisis, para las políticas anticifrado la apuesta se hace desde el lenguaje utilizado para referirnos a la técnica. Mientras existe un consenso entre el sector técnico, académico y social sobre cómo el cifrado “fuerte”, “seguro” o “robusto” es un recurso del cual depende la seguridad de la información, para el FBI y el Departamento de Justicia de los Estados Unidos (DOJ) este sería a prueba de órdenes judiciales y establecería zonas fuera del alcance de la ley. La imagen que quieren proyectar es la de un espacio barbárico, un ejercicio de doblepensar utilizado por regímenes de gobierno como el imaginado por George Orwell.

Los avances en las técnicas de seguridad de la información, arquitecturas que permiten establecer canales de confianza entre usuarios y servicios, así como garantizar la integridad de los intercambios informacionales críticos al funcionamiento de la administración y los servicios públicos, son deliberadamente ignorados por las narrativas de los sectores encargados de investigar los delitos y aplicar la ley. El cifrado es asociado con “espacios sin ley creados por los dueños de grandes empresas” “motivados por el lucro”. Se olvidan de que, antes de relacionarse con un modelo de negocio, se trata de un elemento clave para la resiliencia de la red, y proponer cualquier excepción es lo mismo que defender la abolición de la ciberseguridad.

Como apunta el seminal estudio “Keys under doormats”, crear brechas en los sistemas cifrados va mucho más allá de posibilitar un “acceso excepcional” al contenido protegido. Agregar un nuevo atributo (como un backdoor) en tales mecanismos, haciéndolos más complejos, genera una serie de nuevas interacciones con los demás recursos del sistema de seguridad y, con ello, vulnerabilidades imprevisibles. “La complejidad es enemiga de la seguridad”, afirman las expertas. Las entidades responsables de resguardar, por ejemplo, las claves de acceso a los sistemas cifrados serían víctimas de ataques maliciosos. Además, es igualmente posible cuestionar la misma idea de “excepcionalidad”, cuando son ampliamente conocidos los innumerables episodios de interceptación ilegal de las comunicaciones privadas, por parte de agencias estatales, sin orden judicial.

Este tipo de propuesta parece ignorar la integridad física de las personas, las protecciones a la actividad periodística o la vida de las minorías que dependen directamente del secreto de sus comunicaciones. A modo de ejemplo, hace poco se supo que la recientemente aprobada “Ley anticifrado” australiana está siendo utilizada para violar las protecciones a periodistas en el país. Igualmente, no se considera el impacto que políticas que debilitan el cifrado pueden tener a nivel internacional en otras jurisdicciones, sobretodo en países donde disidentes políticos son perseguidos por el Estado, minorías étnicas son monitoreadas o comunidades LGBTQI+ son criminalizadas por gobiernos fundamentalistas. Aún así, para el DOJ, el negocio de las empresas que ofrecen el cifrado es “vender productos para ganar dinero […] mientras nuestro negocio es prevenir crímenes y salvar vidas”.

El cifrado se basa en posibilidades matemáticas. Aún así, las narrativas gubernamentales apuestan a un solucionismo tecnológico que supera los límites matemáticos para conciliar, por un lado, las demandas de acceso a los datos y a las comunicaciones cifradas y, por el otro, la seguridad e integridad de la red. Las palabras de un representante del Ministerio Público Federal de Brasil son ilustrativas: “estos instrumentos fueron creados por hombres y, si fueron creados por hombres, pueden ser diseñados de una manera distinta”. Cuando era director del FBI, Christopher Wray  afirmaba que creía posible conciliar ambas cosas: “si podemos desarrollar autos autónomos que dan independencia para que los ciegos y personas discapacitadas se transporten; si podemos establecer mundos virtuales totalmente generados por computadoras para elevarnos al próximo nivel del entretenimiento y la educación de manera segura […], seguramente debemos ser capaces de fabricar dispositivos que, a la vez, ofrezcan seguridad y permitan accesos”. Como afirma Corey Doctorow, el FBI cree en una matemática imaginaria y que los desarrolladores no están siendo suficientemente “nerds” para solucionar esta imposibilidad técnica.

El miedo a la oscuridad es también un artificio importante en estas narrativas: “el cifrado nos amenaza con llevar a todos a la oscuridad”; “el FBI trabaja en una sala. El rincón de esta sala ha estado oscuro en los últimos veinte años […]. Este rincón ha empezado a ocupar todo el espacio”. La expresión “going dark” es un resultado directo de esa estrategia. 

Como señala Phillip Rogaway, las narrativas gubernamentales son producidas de forma que garanticen el direccionamiento del discurso exactamente hacia donde las autoridades desean que camine, en un movimiento que apuesta al miedo: el miedo al crimen, el miedo de los padres de no lograr proteger a sus hijos e, incluso, el miedo a la oscuridad. La metáfora del oscurecimiento ejercita el “branding” (la repetición del “going dark”) intentando plasmar un modo de pensar y, con eso, reconfigurar el mismo significado del cifrado.

Las imágenes e imaginarios sobre casos sensibles, como la explotación sexual de menores de edad, las amenazas de atentados terroristas o las redes de tráfico de drogas también han sido históricamente  explotadas en los discursos anticifrado. El DOJ, por ejemplo, pone el cifrado ofrecido por WhatsApp en el centro narrativo de los casos de exterminio de policías por carteles mexicanos. Por su parte, el ex-director del FBI, James Comey, ha apostado a crear escenarios distópicos de futuro: “si [el cifrado fuerte] se vuelve regla […] los homicidios se volverán comunes, los sospechosos caminarán libremente por las calles y los violadores de niños no podrán ser identificados o procesados judicialmente”.

Las expertas presentan datos más convincentes. Por ejemplo, la sola existencia del cifrado por defecto en los dispositivos desincentiva los intentos de agentes maliciosos por apoderarse de ellos, dada la imposibilidad de acceder a los datos que almacenan – una de las principales motivaciones económicas de este tipo de ataques.  Una señal de eso sería la caída en el número de hurtos de celulares desde que Apple implementó el cifrado por defecto en sus dispositivos.

Contrario a la idea del fin de la seguridad pública imaginada por las narrativas gubernamentales, el cifrado democratiza los recursos de seguridad al desencentralizarlos y hacerlos disponibles por defecto. Y al contrario de lo que supone la “sala oscura” del FBI, nunca hubo tantos medios disponibles para la recolección de datos para fines del proceso penal. Esto incluye sensores y objetos conectados a internet en los espacios públicos y domésticos, las redes sociales e, incluso, el hackeo liderado por agencias gubernamentales. La sala oscura, en realidad, se encuentra eclipsada por una era de oro de la vigilancia.

Según las narrativas de las fuerzas policiales, los “abogados de la privacidad absoluta” estarían sufriendo de un “radicalismo post-Snowden”. La sugerencia de ese tipo de afirmación es que hay radicalismo, donde lo que existe es la defensa de derechos individuales. Pasa que, al final del día, una “privacidad a medias” es un derecho frágil y fácilmente vulnerable. Además, siempre hubo privacidad absoluta. Pensar algo distinto sería lo mismo que prohibir que un mensaje escrito en papel sea después quemado. O prohibir que existan conversaciones privadas en lugares remotos. Si todos los espacios se hacen pasibles de interceptación o acceso estatal, la misma esencia de la privacidad se compromete, y las relaciones y comunicaciones de las personas se inhiben. 

En conclusión

Las narrativas anticifrado sugieren una reacción conservadora que busca desarmar, a partir del lenguaje (y, en consecuencia, del lobby legislativo), avances de orden tecnológico y social. Lo hacen simulando futuros caóticos, estados de excepción y escenarios de crisis, invocando figuras conocidas e imágenes perturbadoras, típicamente utilizadas contra las libertades en internet.

En realidad ese conservadurismo policial intenta, incansablemente, rescatar la facilidad que una vez tuvo para invadir espacios y comunicaciones privadas. Que los defensores de la “vigilancia absoluta” se muerdan su propia lengua: sus palabras no son más que ecos del pasado.