Tipo de contenido (Recurso): Columnas

Sobre el ataque reportado a OpenPGP

Desde hace varios años, ha tomado mucha importancia en algunas comunidades el protocolo OpenPGP para establecer comunicaciones seguras y niveles de confianza entre actores desconocidos. En primer lugar, hay quienes desean o necesitan comunicarse de una forma en la que se garantice que nadie más con acceso al mensaje pueda leerlo, y por otro lado, hay quienes necesitan verificar si un contenido en realidad está siendo publicado por quien dice, y por lo tanto pueden confiar al momento de descargarlo y manipularlo.

Este último ejemplo resulta de especial interés, pues aunque no lo sepamos, muchas personas utilizan OpenPGP o protocolos similares para manejar actualizaciones de software. Esto se hace para garantizar que las nuevas actualizaciones sean provistas por los desarrolladores originales de los programas y no por algún atacante que nos engaña para que instalemos código malicioso en nuestros equipos, haciéndose pasar por el programa original que queríamos actualizar.

¿Qué necesitamos saber para entender el ataque?

Como tecnología e infraestructura, PGP puede resultar complicada de explicar. Para entender mejor el ataque que está sufriendo podemos repasar algunos conceptos clave de su diseño:

Llaves públicas y privadas

Para que PGP pueda funcionar, las entidades involucradas deben crearse un par de archivos llamados llave pública y llave privada: la primera está diseñada para repartirse por tantos canales como sea conveniente para que cualquiera que la tenga, pueda enviar mensajes confidenciales al titular de la llave; por su parte, la llave privada debe permanecer segura en manos de su titular, pues es la que le permite abrir los mensajes confidenciales que se han recibido utilizando la llave pública. Si esta llave cayera en manos de terceros se rompería toda la seguridad que brinda esta tecnología.

Cifrado y firmado de mensajes

Una de las peculiaridades del uso de estas llaves es que podemos cifrar un mensaje con una de las dos y solo puede ser descifrado usando la otra. El uso más común es usar la llave pública de alguien para cifrar y enviarle un mensaje confidencial, ya que la persona destinataria solo podrá descifrar y leer el mensaje con la llave privada correspondiente.

Otra utilidad es cuando publicamos algo cifrado con nuestra llave privada. En principio será ininteligible, pero cualquiera que tenga nuestra llave pública puede descifrar el mensaje, confirmando así que nosotros -que poseemos la llave privada- fuimos quienes escribimos el mensaje en cuestión, aumentando el nivel de confianza y certificando que el mensaje es auténtico. A este proceso nos referimos cuando hablamos de firmar un mensaje.

Firmado de llaves

De la misma forma en que se pueden firmar mensajes arbitrarios, también podemos firmar un mensaje diciendo que la llave de alguien mas en efecto es de esa persona y no de un tercero haciéndose pasar por ella. Este mensaje se puede agregar a la llave pública «firmada», entonces cuando la busquemos no solo encontraremos la llave pública como tal, sino además todas las firmas de aquellos usuarios que declaran la autenticidad de esta llave.

Servidores de llaves y sincronización

Para solucionar el problema de cómo conseguir llaves públicas de otras personas, existen servidores particulares que se dedican específicamente de esta tarea, almacenando y actualizando llaves públicas y firmas. Muchos de estos servidores hablan entre ellos para mantener su información sincronizada.

Como una decisión de diseño, cuando se programó toda esta infraestructura se decidió que cualquier usuario podía firmar una llave particular y que todas las llaves públicas se almacenarían con sus correspondientes firmas.

Para saber más sobre cómo funciona PGP y sus implementaciones se podemos consultar este artículo recomendado de la EFF Una mirada en profundidad al cifrado de extremo a extremo: ¿Cómo funcionan los sistemas de cifrado de clave pública? Para comenzar a enviar mensajes cifrados con este protocolo podemos consultar las guías disponibles en la guía Surveillance Self-Defense también de la EFF.

Ahora sí, ¿cómo es el ataque reportado?

A finales de Junio algunas personas integrantes y cercanas a la comunidad de OpenPGP anunciaron que sus propias llaves públicas estaban siendo inundadas de firmas sospechosas, llegando en algunos casos a más de 150.000 para el momento de publicación de este artículo, además todas estas firmas están siendo sincronizadas entre la mayoría de los servidores de llaves disponibles.

Como tal, tener una gran cantidad de firmas en una llave pública no debería afectar el funcionamiento del protocolo, sin embargo, muchas implementaciones y programas que usan OpenPGP no están diseñadas para manejar más de unas pocas decenas de firmas por llave pública, entonces al procesar estas llaves inundadas tardan mucho tiempo o incluso se cuelgan, inutilizando OpenPGP al actualizar, importar o usar llaves públicas comprometidas.

Este problema ha sido reportado en el pasado como una vulnerabilidad teórica producto de la decisión de diseño de permitir que cualquiera pueda firmar llaves públicas de otros. Esta «falla de diseño» nunca fue corregida y hasta ahora no había sido vulnerada.

¿Cuál es el alcance actual del problema?

En principio, hay que aclarar que las características de OpenPGP no han sido vulneradas en absoluto, solo que su funcionamiento previsto está siendo abusado para afectar a ciertos programas que utilizan este protocolo. Por otra parte, la confidencialidad o integridad de nuestros mensajes no ha sido comprometida, ningún tercero podrá leer nuestros mensajes antiguos o modificarlos. Lo que produce esta inundación de llaves públicas es afectar la forma en la que algunos programas se comportan al descargar o procesar llaves comprometidas.

De hecho, para el momento de publicación de este artículo se ha detectado el compromiso de unas pocas llaves públicas de personas puntuales, por lo que se especula que este tipo de ataques se van a masificar en el futuro cercano, pero en este momento OpenPGP debería funcionar igual que siempre para la gran mayoría de los usuarios.

¿Solo nuestros correos que usan PGP estarían afectados?

En principio no. Como comentábamos al principio hay otros procesos que dependen del uso de llaves públicas como la actualización de software, en donde se comprueba la veracidad de las actualizaciones disponibles revisando el firmado de las mismas por parte de los desarrolladores oficiales.

En estos casos, dependerá de cómo se realiza el manejo de llaves públicas y firmas de los desarrolladores para cada implementación, pero para que este tipo de ataques afecte a un canal de actualización de software se debería cumplir al menos lo siguiente:

  • Que la llave sea obtenida o actualizada desde un canal que permita agregar firmas arbitrarias a llaves públicas.
  • Que el sistema que procesa las llaves realice alguna acción con las firmas afectadas.
  • Que alguien haga la firma masiva del certificado de forma intencional.
  • Que se lleve a cabo todo el proceso antes de que los diferentes programas actualicen su funcionamiento para adaptarse a este problema.

¿Podemos hacer algo como usuarios y usuarias?

Para este momento existen varias estrategias que podemos seguir para evitar las afectaciones por este tipo de ataques:

  • No actualizar llaves en nuestros repositorios, solo usar llaves que ya tengamos guardadas y sean funcionales.
  • Descargar nuevas llaves y actualizar existentes desde fuentes que no guarden firmas de llaves:
  • Usar clientes que soporten Autocrypt, una tecnología reciente que consiste en enviar las llaves públicas de forma automática junto a los mensajes y que estas sean manejadas de forma automática sin considerar firmas entre otras características. En este momento la implementación más usada de OpenPGP que soporta Autocrypt es Thunderbird + Enigmail, pero debe ser activada manualmente.
  • Esperar por la implementación de soluciones en los programas que actualmente implementan OpenPGP (esto puede tardar).

¿Qué podemos esperar de este incidente?

En principio, aunque el potencial de daño parece importante, este ataque tiene a la fecha un alcance mas bien limitado, lo que nos brinda cierto margen de maniobra en términos de tiempo para informar la situación y aplicar los correctivos necesarios. Esto eplica tanto para usuarios como para desarrolladores, quienes necesitarán adecuar sus programas para no verse afectados por este tipo de problemas. Queda ver si esta inundación de llaves públicas se queda como está a modo de advertencia a la comunidad técnica o escalará y entonces tendremos que prepararnos para la afectación de otros aspectos impactados por el uso de OpenPGP.

Una de las reflexiones más relevantes respecto a este ataque es que cuando nos casamos con una tecnología nos casamos con su diseño, así como con sus defectos, que a veces pueden llevar a situaciones de afectación menor como hasta ahora ha sido con este incidente o a vulnerabilidades de seguridad importantes que pueden comprometer nuestras comunicaciones, datos o incluso el propio uso de nuestros equipos, como podría pasar si este problema de inundación de llaves llega a afectar de forma masiva la actualización de nuestros sistemas operativos.

¿Chile está a la altura de la tarea? Los derechos humanos en el entorno digital, examinados

El 22 de enero pasado, el Consejo de Derechos Humanos de las Naciones Unidas examinó el historial de derechos humanos de Chile en el contexto del proceso del Examen Periódico Universal (EPU). Este proceso permite rastrear el progreso que ha tenido Chile en sus obligaciones de promover y proteger los derechos humanos.

Como señalamos en un texto anterior, este EPU ha registrado la primera vez que se generó conciencia sobre la necesidad de abordar el impacto de las tecnologías digitales en el ejercicio y la promoción de los derechos humanos: desde el respeto del derecho a la privacidad, la libertad de expresión. , la reunión y asociación pacífica, el ejercicio de los derechos económicos, sociales y culturales, y el impacto de una amplia gama de tecnologías que están afectando cada aspecto de la vida de los chilenos.

El Estado chileno debe ajustarse a las normas internacionales sobre el disfrute de los derechos humanos en internet, el derecho a la privacidad en la era digital y otros instrumentos que combaten la discriminación y la violencia en sus manifestaciones digitales.

Las recomendaciones recibidas por Chile en este último EPU son cruciales para reconocer el compromiso deficiente del Estado con respecto al fomento del ejercicio de los derechos humanos en el entorno digital.

En un artículo anterior advertimos sobre cómo el estado y el sector privado han utilizado algunas tecnologías para realizar la vigilancia de los chilenos, afirmando que era por «su propia seguridad» y «el uso efectivo de los recursos públicos». A continuación echamos un vistazo a las principales áreas de preocupación que se expresaron en el EPU, que también percibimos como desafíos compartidos en varios países de América Latina.

Chile necesita mejores leyes de derechos digitales y autoridades independientes de protección de datos

La delegación brasileña recomendó que Chile «adopte una legislación específica para proteger y promover los derechos humanos en entornos digitales, incluido el derecho a la privacidad». Esta recomendación señaló que Chile se quedó corto en la implementación de políticas concretas y directas sobre la materia.

Perú recomendó que Chile debería trabajar en «la evaluación de las tecnologías de vigilancia y recolección de datos personales desde una perspectiva de derechos humanos, con respecto al derecho a la privacidad y considerando el principio de no discriminación».

En la misma dirección, el Estado suizo señaló «la necesidad de fortalecer la legislación sobre la protección de datos personales» y el establecimiento de políticas públicas «de acuerdo con el estado de derecho, la proporcionalidad y la privacidad». Para que esto suceda, según el Estado suizo, es necesario que Chile «considere la creación de una autoridad de control independiente» que proteja los datos personales.

Actualmente se están discutiendo algunas mejoras en la actualización de la ley chilena de protección de datos; no obstante, estas recomendaciones obligan al Estado chileno a cumplir con las obligaciones internacionales de derechos humanos previamente adoptadas por Chile.

Chile necesita enfrentar la violencia contra las mujeres en entornos digitales

Las recomendaciones de Islandia abordaron otros temas apremiantes, instando al Estado de Chile a «revisar las leyes, políticas y regulaciones que abordan la violencia contra las mujeres, incluida la violencia en entornos digitales». Esta recomendación fue secundada por Canadá, quien recomendó una orden de legislación que permitiría a las mujeres «vivir libres de violencia, incluido el contexto digital».

Si bien Chile ha mejorado considerablemente la implementación de políticas para combatir la violencia contra las mujeres y los jóvenes, no hay políticas específicas para enfrentar este problema en el campo digital: el acoso sexual en las redes sociales y la difusión de material íntimo sin consentimiento son una realidad que requiere un esfuerzo práctico para superar las estructuras patriarcales en espacios fuera de línea y en línea, a fin de garantizar la capacidad de las mujeres para crear, habitar y constuir sus propias narrativas en el espacio digital.

También es necesario señalar que estas recomendaciones son adicionales a los esfuerzos anteriores desarrollados por el Estado, por eso insistimos a las instancias calificadas que tomen en cuenta las recomendaciones para promover su plena integración en los programas futuros y la agenda legislativa; garantizando espacios libres de violencia para el desarrollo de las mujeres a partir de hoy.

Chile necesita dejar de usar la tecnología para violar los derechos humanos

Las recomendaciones bolivianas abordan uno de los temas más apremiantes y escandalosos de Chile en los últimos tiempos: el uso de la tecnología como herramienta de represión. En una declaración contundente, Bolivia recomendó que Chile “promueva estándares que sigan los principios de legalidad, necesidad y proporcionalidad. Así como el uso de las comunicaciones y las tecnologías como una forma de poner fin a la criminalización de las protestas de los indígenas».

La delegación boliviana instó a Chile a evitar la repetición de episodios escandalosos como el «Caso Huracán«, donde se utilizó la tecnología para enmarcar a los líderes indígenas en actos terroristas. En muchos casos, el estado ha utilizado la tecnología para espiar a los líderes, periodistas y medios de comunicación indígenas en un intento por criminalizar sus reclamos legítimos.

Todas esas acciones violan las normas internacionales de derechos humanos al restringir el derecho a la privacidad, evitando la inviolabilidad de las comunicaciones y limitando la libertad de expresión y la reunión pacífica. Estas son algunas de las razones por las que esperamos que las recomendaciones se tengan en cuenta y se canalicen a través de reformas legales e institucionales dentro de los servicios de inteligencia y la aplicación de la ley del país, para evitar que las violaciones a los derechos humanos de las personas chilenas vuelvan a suceder.

¿Qué sigue?

Los Estados que participaron en el EPU de Chile hicieron llamados claros y firmes al Estado de Chile para promover, proteger y respetar plenamente los derechos humanos en el contexto digital. Esperamos que el Estado chileno esté a la altura de la tarea de aceptar esas recomendaciones, avanzar hacia la implementación completa de un enfoque integral de los derechos humanos en el país y, por lo tanto, considere los espacios digitales como entornos protegidos para el ejercicio de los derechos humanos.

Derechos Digitales -con sus socios y simpatizantes- mantendrá la atención en la adopción de las recomendaciones de Chile y estará disponible para colaborar en esta tarea. Como hemos señalado anteriormente: es momento de tomar decisiones y compromisos para garantizar la capacidad de ejercer plenamente los derechos humanos para el futuro, que es ahora. No hay tiempo que perder.

* Estos esfuerzos fueron coordinados por Derechos Digitales y respaldados por IFEX, en colaboración con Privacy International, APC, Ciudadanía Inteligente y Fundación Pro Acceso.

¿Quién defiende tus datos? La problemática acción de Subtel

El 16 de junio de 2018 se publicó, y entró en vigencia, la reforma constitucional que concede reconocimiento y protección a los datos personales como derecho fundamental autónomo en el numeral 4 del artículo 19 de la Constitución de la República Chile.

Tristemente un número de casos recientes –desde la instalación programas masivos de vigilancia en espacios públicos, hasta la vulneración del secreto estadístico al obligar al Instituto Nacional de Estadísticas (INE) la entrega de un dato aislado de la Encuesta de Presupuestos Familiares (EPF)– dan cuenta de que algunos órganos del Estado que parecen no encontrarse suficientemente informados de que la protección constitucional garantizada a los datos personales implica obligaciones concretas para su proceder, y una aplicación más estricta en su quehacer de la Ley Nº19.628, que regula desde hace 20 años la materia.

Uno de estos casos que parece haber pasado bajo el radar de la opinión pública se refiere a la orden emitida por la Subsecretaría de Telecomunicaciones (Subtel) a las concesionarias de servicios telefónicos, en el mes de mayo de 2018, para que éstas proporcionaran información respecto de su base de clientes para ser entregada a la empresa CADEM en el marco de un estudio de satisfacción de los usuarios que la repartición pública buscaba desarrollar. En concreto, Subtel solicitó a las empresas la siguiente información respecto de toda su base de datos de clientes: a) Número telefónico móvil; b) Tipo de plan de pre o post pago; c) Comuna y región del suscriptor; d) Si registra o no tráfico de dato y/o voz durante los últimos 30 días; y, e) Si se trata de un cliente que cuenta con multiservicio. 

Varias de las empresas concesionarias si bien cuestionaron la solicitud, atendieron al requerimiento de la autoridad bajo el temor de resultar multadas de no hacerlo, sin embargo la empresa ENTEL reclamó de la solicitud invocando la normativa legal y constitucional de protección de datos que le impide proporcionar la información de sus clientes sin el consentimiento de éstos. Incluso a  pesar de su reclamo, la empresa proporcionó a Subtel una base con todos los números móviles de sus clientes, pero sin otra información solicitada que permitiese su identificación.

Subtel muestra en este caso una preocupante ignorancia y confusión como servicio público a la hora de determinar si la información solicitada se trata de datos personales o no. Falla en reconocer que el conjunto de información solicitada permitiría la identificación de usuarios con poco esfuerzo durante el ejercicio de la encuesta para la cual se argumenta que los datos han sido solicitados. 

Cabe recordar que la definición de dato personal abarca mucho más que el nombre o el apellido de una persona -como parece defender la autoridad en los cargos que formula a la empresa-, y se extienden a cualquier información concerniente a personas identificadas o identificables. La base de datos solicitada por la autoridad permitiría a ésta -o al tercero al que se le encomendará la realización de la encuesta de satisfacción- la identidad de quienes son titulares de los números informados a través de un simple llamado, además de poder perfilarlos por nivel socioeconómico, mediante análisis de sus gastos y comuna de residencia, así como obtener información de sus hábitos a través de la utilización de servicios, todo lo cual califica como dato personal conforme a la definición de la ley. 

Por lo demás, así ha sido reconocido por el Consejo para la Transparencia en la causa c-611-2010 en la cual señaló que: “(…) desde el punto de vista de la protección de los datos personales, en tanto el número telefónico se encuentre asociado o sea susceptible de asociarse al nombre de una persona natural, dicha información constituye un dato personal, por lo que quienes trabajen en su tratamiento están obligados a guardar secreto sobre los mismos, cuando estos provengan o hayan sido recolectados de fuente no accesibles al público”.

No se trata en este caso de una fuente accesible al público, no existe en este caso consentimiento que haya sido recabado de parte de los titulares de los datos, ni una autorización legal a Subtel para requerir esta información, que excede con creces la información estadística que puede resultar útil con fines de política pública, como es invocado para fundar sus facultades. 

Subtel insistió en la solicitud indicando que “la información sólo será utilizada para fines propios del servicio”. Tal afirmación vulnera el principio de finalidad establecido en el art. 9 de la Ley Nº 19.628, conforme al cual “los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados, salvo que provengan o se hayan recolectado de fuentes accesibles al público”. Los datos recogidos por una empresa de sus usuarios con la finalidad de prestarle el servicio, deben regirse por el principio de finalidad en su tratamiento y no pueden ser entregados a terceros sin el consentimiento de sus titulares o mediando otra autorización legal. 

Adicionalmente, los datos que Subtel solicitó a las concesionarias, no fueron recogidos por Subtel, por tanto no puede ampararse su solicitud en el art. 20 de la Ley 19.628, que autoriza el tratamiento de datos personales sin consentimiento del titular por parte de un organismo público “respecto de las materias de su competencia”. 

La vulneración del principio de finalidad no es siquiera disimulada por la autoridad, que reconoce directamente en el oficio en que solicita los datos personales que éstos serán proporcionados a la empresa CADEM, sin que provea certeza de ningún tipo de las medidas técnico administrativas que se adoptarán para la seguridad de tales datos, y para cautelar el cumplimiento del principio de finalidad, en un contexto en que la citada empresa realiza estudios de distinta índole, incluyendo las encuestas de tendencias políticas y categorización socioeconómica de la población. 

No compete a las empresas concesionarias asumir frente a sus clientes que les han confiado sus datos personales en el marco de una relación contractual el riesgo sobre una eventual falta de reserva de la autoridad en la custodia de los datos, es la autoridad la que debe acreditar que satisface los requisitos legales para acceder a los datos personales de los usuarios y adoptará las medidas adecuadas para su protección, lo cual es difícil de creer que se hará si de entrada la autoridad niega la categoría de datos personales de la información que solicita. 

No se atiende tampoco en este caso por la autoridad al principio de proporcionalidad en la recogida de datos, que mira a la necesidad de minimizar la recogida de datos a aquello que resulta estrictamente necesario para la finalidad legítima que se persigue con su recogida, por cuanto la encuesta de satisfacción no se realizará a la totalidad de la base sino sólo a una muestra, y sin embargo se exige la base completa, con el consiguiente riesgo que ello representa para los titulares de tales datos.

Desde 2017, Derechos Digitales ha desarrollado el reporte ¿Quién Defiende Tus Datos? en el cual evaluamos el comportamiento de las empresas de Telecomunicaciones en la cautela de la información de sus usuarios frente a requerimientos de la autoridad que no satisfacen las exigencias legales, así como la transparencia y claridad en las condiciones de privacidad que ellas ofrecen a sus usuarios. Ad portas de una nueva entrega de nuestro informe que se realizará el próximo 23 de julio, celebramos la defensa legal que Entel está realizando hoy ante la Corte Suprema de los datos personales de sus usuarios al reclamar de la multa que le fue impuesta por su negativa a entregarlos. 

Este episodio nos llama a poner las cosas en perspectiva: es deber del Estado defender los derechos fundamentales de los ciudadanos, hasta que los organismos públicos no se tomen en serio este mandato en materia de protección de datos personales, la reforma constitucional no se materializará en más que tinta sobre un papel. 

Libra(rnos) de Facebook

Esta semana, los diarios de tecnología a nivel mundial volteaban la mirada (de nuevo) hacia Facebook. Esta vez no se trataba de alguna nueva revelación que sumar a la incontable cantidad de pruebas respecto al manejo abusivo de datos por parte de esta empresa, ni de comparar la innegable fidelidad del deep fake que ha circulado en las redes. Ahora las notas cubrían el lanzamiento de un nuevo producto: una moneda llamada Libra.

Pero Libra no es el tema de esta columna, que tampoco trata de las recurrentes acusaciones sobre las políticas opacas, ni el mercado de los datos con los que esta empresa ha hecho fortunas millonarias; esta columna aborda un tema que, si bien no fue tan sonado como los casos ya mencionados, definitivamente podría cambiar por completo el entorno de internet en México: la conversación (virtual) que establecieron el Presidente Andrés Manuel López Obrador y Mark Zuckerberg.

Para comenzar a trazar los matices de este intercambio internacional -del cual muy poco se ha compartido con el público- partamos por identificar a los principales actores:

Andrés Manuel López Obrador, Presidente de México

Como ya hemos tratado en columnas anteriores, desde que asumió el cargo parece ser que la agenda en materia digital ha sido abandonada; principalmente en cuanto al desarrollo de las nuevas versiones de la Estrategia Digital Nacional y la Estrategia Nacional de Ciberseguridad, aplicables a su administración.

Ambas propuestas responden a una necesidad evidente ante el creciente uso de las tecnologías de información y comunicación, en un país donde el clima para la libertad de expresión se hace cada día más hostil mientras la violencia contra periodistas, la brecha digital y la desigualdad económica actúan en detrimento de las oportunidades para que estrategias de la sociedad civil –como las redes comunitarias– despunten como alternativas en la promoción de tecnologías descentralizadas, autónomas y accesibles.

Una de las promesas del ahora presidente es justamente brindar “internet gratis en todo México”, misma que -más allá del sensacionalismo- podríamos atribuir a un profundo desconocimiento de lo que implica la infraestructura de internet (el mantenimiento de la red y los dispositivos a través de los cuales se pretenda el acceso, o de la infraestructura necesaria para sostener y alimentar el consumo de electricidad por parte de todos esos sistemas, etc.); sin embargo, tratándose de un político con tanta experiencia, no podemos caer en semejante ingenuidad.

Más allá de la cálida invitación a la colaboración que le extendió a un actor tan controversial como Mark Zuckerberg, es interesante que -hasta ahora- el mandatario no haya hecho reconocimiento ni ofrecido apoyo a esfuerzos existentes de la sociedad civil en cuanto al despliegue de redes comunitarias: soluciones locales, viables y pertinentes para resolver los retos de conectividad en el país.

Mark Zuckerberg, CEO de Facebook

Después de una larga y controversial trayectoria liderando proyectos que han estado en el ojo del huracán por los constantes abusos reportados en torno a la explotación de datos sin consentimiento, este empresario no sólo ha innovado en cuanto a plataformas sociales sino que también ha puesto en marcha sus epifanías más altruistas en regiones marginalizadas donde cualquier esperanza de acceso tuviese eco suficiente para desencadenar funestas consecuencias.

Tal fue la experiencia de las personas de Myanmar, quienes -tras ser expuestas a un constante sesgo de información a través de Free Basics- vivieron episodios violentos potenciados por propaganda y cadenas de desinformación que recibían constantemente a través del servicio ofrecido por la empresa de Zuckerberg. Para el grupo rohinyá, minoría étnica en la región, esta polarización de la información devino en genocidio y desplazamiento de sus sobrevivientes. Para el equipo de Zuckerberg, estos no fueron motivos suficientes para retirar el proyecto, apelando a que “su compromiso por brindar el servicio las personas prevalecería” mientras que investigadores revelaban la forma en que este proyecto permitía a Facebook obtener los datos de navegación de las personas que accedían a internet a través de Free Basics (datos claramente redituables).

A pesar de esta experiencia, el espíritu del incansable emprendedor no cesó e incluso logró posicionar sus productos en otras latitudes; entre ellas: México, país donde -a través de operadores móviles como Virgin Mobile- Free Basics lleva alrededor de cuatro años en operación y al alcance de quienes aún usen teléfonos con tecnología SIM.

Otros caminos posibles…

Ahora se presenta la oportunidad de retomar la conversación sobre internet, para entender qué es, qué habilita y por qué necesitamos mantener los ojos abiertos ante los discursos tecnoptimistas que pretenden darnos “gato por liebre”. La información es poder y es en ese poder donde recaerán nuestras posibilidades no sólo de exigir al gobierno que garantice el acceso a internet (calificado como un derecho constitucional desde el año 2013), sino de ser capaces de verificar que los servicios que asegure el Estado mexicano cumplan con las condiciones establecidas: condiciones que garanticen a las personas el acceso a la información, sin estar supeditadas a las letras pequeñas de productos o servicios que no son internet.

Free Basics no es el único producto que parte de lo que conocemos como Zero-rating o tasa cero, una práctica controversial entre los proveedores de servicios de internet que menoscaba y limita el acceso a la red a conveniencia de sus intereses, vulnerando el principio de neutralidad de la red y lo que llamamos “Internet Abierta”: un enfoque que busca asegurar que el acceso a internet no esté impedido por incompatibilidad técnica, administración no apegada a buenas prácticas o abusos de poder en la transmisión de datos… Es decir, estos productos se oponen a la prestación de servicios de internet que habiliten el acceso indiscriminado a los contenidos que circulan en la red, sin sesgos, censura o restricciones opacas que beneficien particularmente los intereses de empresas o gobiernos.

Claro, en un párrafo no es viable resumir la complejidad detrás de años de debate que dieron origen a conceptos como neutralidad de la red, internet abierta o tasa cero; sin embargo, es importante apelar a la historia y recordar que estas discusiones ya han tenido lugar en foros globales, regionales y locales donde se ponderaron las desventajas de promover estos productos ante las posibles colusiones y malas prácticas que surgirían tras brindar tanto poder sobre el acceso a los operadores de servicios (como Facebook).

Para reducir la brecha digital, necesitamos diseñar estrategias que permitan la adopción de tecnologías que reflejen los compromisos hacia las comunidades que harán uso de ellas; es urgente apuntar que la ausencia de políticas públicas claras en materia de desarrollo digital vulnera los derechos de las personas mexicanas. La falta de una agenda digital enmarcada en los derechos humanos, pinta un panorama desalentador para todos los otros derechos que se potenciarían a través de propuestas en torno las redes comunitarias (que actualmente se están promoviendo en el país) y el acceso a una internet abierta.

Es momento de habilitar espacios de diálogo que permitan la interlocución entre las comunidades técnicas, la sociedad civil, las empresas, la academia y el gobierno mexicano; para trazar caminos claros que den pie a la transformación del entorno digital del país y llevar el acceso a quienes carecen de él: apoyando las iniciativas ya existentes y promoviendo soluciones locales que nos libren de los colonialismos digitales y productos tan inaceptables que nos podrían ofrecer a cambio de un sesgo permanente y un pase libre a la explotación de nuestros datos.

¿Supervisión, regulación o moderación?

En su nuevo libro, el Relator Especial para la promoción y protección del derecho a la libertad de expresión del Consejo de Derechos Humanos de las Naciones Unidas, David Kaye, expone de manera sucinta y con un enfoque práctico los desafíos que, hoy por hoy, suscita la necesidad de enfrentar el contenido nocivo o problemático que está presente en línea, y en particular, aquel que ve amplificado su efecto en algunas plataformas específicas usadas por cientos de millones de personas.

Se trata de problemas esencialmente complejos, que hacen lucir casi imposible su ejecución de manera satisfactoria y respetuosa de los derechos. Ni una concentración del poder de controlar el debate público por parte de los estados, ni la delegación completa de funciones de interés público en empresas privadas, ni la expectativa de reglas únicas de aplicación a realidades diversas, resultan mecanismos óptimos. Casos muy recientes, como la amplificación de un video alterado de una figura política estadounidense en Facebook, o la desidia de YouTube para sancionar el acoso homofóbico, mantienen viva una discusión difícil.

Christchurch

El ataque terrorista de marzo de 2019 en una mezquita en Christchurch, Nueva Zelanda, además del daño creado a las personas directamente afectadas, a todo su grupo, y a la sociedad neozelandesa completa, tuvo consigo (tal como tantos otros crímenes de odio) un “componente digital”. En este caso, además de un historial de involucramiento en redes sociales, la intensa proliferación, –especialmente en Facebook– del registro audiovisual del ataque volvió a enfatizar un aspecto especialmente difícil en la regulación de la expresión: la celeridad para detectar y actuar, a fin de prevenir el daño resultante de la amplificación.

El “Llamado de Christchurch a la acción”, iniciativa que convoca a gobiernos, empresas y otras organizaciones para comprometerse a eliminar contenido terrorista y extremista de internet, muestra una fuerte voluntad. Sin profundizar en esta instancia en lo problemático que resulta el Llamado, tanto en su contenido como en su proceso de formulación, es importante reparar en lo que significa asignar, a instancias de algunos gobiernos y la exclusión de todo el resto, roles para empresas privadas en la decisión sobre qué contenido debe estar en línea y cuál no, a nivel global.

Para David Kaye, ejemplos anteriores de leyes y propuestas (especialmente en Europa) por regular asignando tales funciones, no resultan tan solo en un reconocimiento institucional de la responsabilidad de estas plataformas en la difusión de ciertos contenidos, sino, paradójicamente una concentración mayor de poder con efecto global en compañías estadounidenses. Se trata de un desmedro de la función que los gobiernos, en tanto depositarios de la confianza ciudadana, deberían asumir en la búsqueda de soluciones.

La supervisión de las decisiones

El anuncio de Facebook de contar con un Comité de Supervisión para estudiar casos complejos de moderación de contenidos ha sido recibido con distintos grados de escepticismo y de reconocimiento, especialmente por la sociedad civil global. Cabe reconocer el avance que significa someterse a una revisión independiente de esas decisiones; a la vez, cabe exigir de la generalidad de las plataformas más transparencia sobre esas decisiones, especialmente dada la decreciente confianza en la justicia de las mismas en casos difíciles.

Por cierto, se trata de un proceso en curso, donde muchas dudas buscan respuesta, mientras aparecen llamados de la sociedad civil a asegurar no solamente decisiones puntuales, sino también el futuro de la formulación de las políticas de contenidos vean mejoras sustantivas. Esto es, que el proceso sirva no solamente para resolver mejor casos puntuales, sino para un establecimiento de estándares de manera abierta a la sociedad, no como expresión de “valores” corporativos.

Se trata de un paso importante porque implica el reconocimiento de la necesidad de participación de la pericia externa a estas compañías. Para Kaye, al igual que para buena parte de la sociedad civil, la supervisión es deseable a través de un modelo que involucre a toda la industria, y con roles para el Estado en la supervisión del comportamiento de las plataformas.

Expresión de la democracia

El escenario actual es resultado, entre otras cosas, de la falta de estándares claros. En parte, porque es prácticamente imposible tener un único conjunto de estándares de aplicación universal frente a situaciones complejas y realidades culturales diversas. En parte, porque también parece poco sensato buscar soluciones a cuestiones sociales profundas en la regulación de la tecnología donde esas cuestiones se manifiestan. Pero no es ello una razón para renunciar a la aspiración de un mejor entorno digital.

Las recomendaciones formuladas por distintas organizaciones de la sociedad civil, por la academia, y por el propio Relator Especial, ponen el énfasis tanto en la acción estatal como en la autorregulación, pero también en la interacción entre sectores. La pregunta que se formula David Kaye, “¿quién ha de estar a cargo?”, busca seguidamente una respuesta en el interés general. Subyace a múltiples recomendaciones de transparencia, responsabilidad y multisectorialismo una noción de participación que ha sido parte del desarrollo de sistemas políticos democráticos. Es decir, allí donde reconocemos un interés público relevante, aspiramos también a un involucramiento que desconcentre el ejercicio del poder. En la gobernanza de las plataformas de internet, aun nominalmente privadas, también esperamos más democracia.

En Derechos Digitales entendemos ese desafío también desde la particularidad de nuestra región. Tal como advierte David Kaye, enfrentamos situaciones en que la acción estatal es usada precisamente para acallar voces críticas. En las próximas semanas publicaremos un informe al respecto, para esclarecer algunos de los aspectos críticos del debate. El desafío principal, de mantener un entorno de pleno ejercicio de derechos fundamentales, y de plena expresión de la ciudadanía, involucra a todos los actores sociales.

Dispositivos y sistemas: ¿Quién tiene el control?

En medio de señalamientos por no ofrecer pruebas públicas sobre las acusaciones de espionaje y robo de información sensible, en la víspera de negociaciones con China, el gobierno de Estados Unidos incluyó a la Huawei en una lista de entidades que no pueden adquirir productos de empresas estadounidenses. Como era de esperarse, grandes empresas de ese país -así como otras con fuertes intereses en su mercado- anunciaron su corte de relaciones con Huawei, lo interesante de esta situación es entender las implicaciones para la compañía china de estas rupturas y por supuesto: qué implica esto para nosotros como usuarios.

Google como primera empresa importante

Como caso más notable, Google anunció que Huawei no tendría soporte oficial para la implementación de Android en sus dispositivos o acceso a los servicios de Google: como la tienda de aplicaciones oficial Play Store, Gmail, Maps, etc. Sin embargo, eso no afectaría a dispositivos ya vendidos o que estén disponibles para la venta, esto significa que si somos propietarios de un teléfono Huawei no deberíamos sufrir de mayores cambios en el corto plazo.

Los problemas, en este planteamiento, comenzarán cuando Android lance nuevas versiones del sistema operativo o actualizaciones importantes de seguridad; porque aunque ambas estarían disponibles para cualquier empresa independientemente de la relación comercial con Google a través del Android Open Source Project (Proyecto de código abierto de Android o AOSP), generalmente la publicación de estos contenidos se hace con un retraso considerable y la única forma de sortearlo para ofrecer actualizaciones rápidas y efectivas es gozar del soporte directo de Google para implementarlas apenas son anunciadas.

Esto quiere decir que, como primera consecuencia de este corte de relaciones, nuestros teléfonos Huawei seguirán funcionando como siempre pero ahora recibirán actualizaciones de seguridad y versiones nuevas de Android de una forma mucho más lenta de lo usual. Lo anterior puede afectar nuestra seguridad en caso de que se descubra una vulnerabilidad importante en el sistema operativo ya que a pesar de que Google la arregle en corto tiempo, el parche será distribuido a las marcas que reciben soporte oficial en corto tiempo y aquellas como Huawei ahora lo recibirán después; dejando una ventana de tiempo más larga en la cual se puede explotar esta vulnerabilidad en sus dispositivos, afectando a sus usuarios principalmente.

A raíz de esto, Huawei anunció que resolverán este nuevo «bloqueo» trabajando de forma independiente en un nuevo sistema operativo y que tendrán equipos de trabajo dedicados a su desarrollo; sin embargo esto trae muchas preguntas relacionadas a su adopción y funcionamiento: ¿Qué tan compatibles serán las apps Android ya existentes? ¿Cómo se actualizarán las aplicaciones de una forma rápida y segura? ¿Será este sistema operativo muy diferente a Android y se dificultará la adopción por parte de los usuarios? ¿Los desarrolladores se apuntarán en este nuevo ecosistema? Estas son algunas de las interrogantes que podrían definir a Huawei y su relación con los usuarios en el futuro cercano.

El problema no sólo es Android

Independientemente del rompimiento de la relación con Google, Huawei enfrenta otro problema -incluso más grave- ya que también fue bloqueado por otras empresas como Intel, Qualcomm, Broadcom, AMD y más recientemente ARM (entre muchas otras).

Estas empresas, aunque pueden sonar extrañas para muchos, desarrollan componentes que están en la mayoría de nuestros dispositivos: desde computadoras y teléfonos celulares, hasta objetos diseñados para conectarse al Internet de las cosas como relojes inteligentes, electrodomésticos o juguetes. Siendo varias de estas proveedoras directas de Huawei, el primer problema que se le presenta a este último es cómo sustituir estos componentes con otras empresas con las que no tengan problemas.

Aunque algunas soluciones apunten a proveedores chinos o de otros países de Asia, estos fabricantes pueden verse presionados por sus propios intereses en Estados Unidos para no ser proveedores de Huawei e incluso sus tecnologías podrían ser de difícil adaptación a los dispositivos de esta marca; representando una pérdida de tiempo en modificaciones de diseño y líneas de producción de futuros modelos.

Otro problema que se le presenta a Huawei está relacionado con la arquitectura de los procesadores que soportan los dispositivos Android, ya que los proveedores con las tecnologías más punteras en esta área están en la lista de empresas que bloquearon a Huawei; por lo que esta se vería obligada a trabajar con las licencias actuales ya adquiridas -que podrá seguir usando- o a tocar las puertas de fabricantes fuera de Estados Unidos para explorar otras opciones de procesadores, los cuales o son de uso exclusivo de las empresas fabricantes (como el caso de Samsung) o tienen prestaciones menos prometedoras para teléfonos de gama alta (caso Mediatek). En resumen, todo apunta a que en el futuro cercano Huawei tendrá que renunciar a la fabricación de dispositivos de gama alta, abandonando un nicho de mercado en el que estaba incursionando con la promoción de equipos de altas prestaciones y precio.

Lo que estamos aprendiendo

En primer lugar, existe muchísima incertidumbre en cuanto a las verdaderas consecuencias que este tipo de medidas de sanción representarán en el ecosistema de empresas de tecnología y el tema móvil sólo es una pequeña muestra de esta situación. No olvidemos que Huawei también manufactura computadoras personales que serán casi imposibles de desarrollar sin el soporte de Intel y AMD, además hay que recordar que Huawei es uno de los líderes mundiales en equipamiento de redes y tiene una gran presencia de equipos de enrutamiento y redes móviles; incluso siendo uno de los principales impulsores de tecnologías para la implementación de redes 5G. Queda esperar cómo cambiará el panorama de desarrollo y distribución del mercado en estos rubros y cómo afectará a los usuarios.

En cuanto al tema de telefonía móvil y Android, se vislumbran cambios que permitirán a los actuales usuarios de Huawei no perder sus dispositivos y a la empresa seguir vendiéndolos, pero al final termina siendo un juego del gato y el ratón entre un gobierno y una empresa en donde los usuarios están en el medio: a merced de los grandes actores. Esto abre nuevas preguntas a nivel del consumidor: ¿Qué tanta autonomía tenemos sobre nuestros propios equipos? ¿Hasta qué punto son nuestros? o ¿Hasta qué punto obtenemos lo que pagamos? Entre otras.

Por último, queda en evidencia el dominio actual casi absoluto de empresas estadounidenses en el desarrollo de tecnologías en el campo de la telefonía móvil y de computación personal, desde sistemas operativos hasta componentes y licencias. Esto lleva a que a otros actores internacionales, proveedores de tecnología, se vuelvan dependientes de estas empresas; provocando que los eventos que afectan a un sólo país en términos comerciales, terminen afectando a millones de usuarios alrededor del mundo.

Aún pendiente, la Estrategia Nacional de Ciberseguridad

En México un reciente estudio de hábitos de usuarios de internet muestra que las personas con acceso a internet pasan alrededor del 31% de su tiempo conectadas a alguna red social y se han documentado incrementos significativos -en relación al 2018- respecto a las actividades económicas (como transacciones o consultas bancarias), el uso de plataformas de comunicación digital, el uso de dispositivos móviles y la participación de personas de 6 años en adelante.

De acuerdo a este estudio alrededor del 59% de las personas que usan internet en México actualmente llevan más de 8 años siendo internautas, sin embargo aún existen brechas importantes en cuanto al tipo de acceso y la cobertura que los proveedores de servicio de internet tienen la capacidad de brindar a la diversa población del país donde la cifra de personas activas en internet actualmente equivale al 70% de sus habitantes.

Mencionar estas cifras resulta relevante en un país cuyas políticas en materia de seguridad y desarrollo nacional están cada vez más perfiladas hacia promover el acceso a internet y banda ancha “como servicios fundamentales para el bienestar y la inclusión social”, como estipula el Plan Nacional de Desarrollo 2019-2024; donde el gobierno de Andrés Manuel López Obrador declara que buscará que el 95% de la población de México tenga acceso a internet al finalizar el sexenio.

A pesar de esta propuesta, en el país aún existen conversaciones pendientes en torno a la Estrategia Nacional de Ciberseguridad que, como señaló Candy Rodríguez, en un contexto donde el mismo Estado ha incurrido en el uso de tecnologías de vigilancia para perseguir a actores clave en fomentar la participación ciudadana, exigir rendición de cuentas e informar a la ciudadanía: es fundamental contar con un documento que permita entender cuál será enfoque en materia de seguridad digital al que se ceñirá esta administración.

En una nota para Proceso, Neldy San Martín apuntó que “el plan estipula que la cobertura de internet se garantizará mediante la instalación de internet inalámbrico en carreteras, plazas públicas, centros de salud, hospitales, escuelas y espacios comunitarios, sin dar detalles de plazos ni la forma en la que se pretende hacer esto.” Lo cual nos remite a pensar que si bien existen posibilidades para ampliar el acceso a la red, no es claro el camino que seguirán… Como tampoco lo son las políticas en cuanto a la seguridad de dicho acceso o las protecciones a la privacidad de las personas que accedan a internet mediante estas redes públicas.

Con la puesta en marcha de la Guardia Nacional militarizada, una medida señalada por las controversias que presenta ante la falta de regulaciones firmes que eviten que se institucionalicen -y de este modo legitimen- medidas que vulneran los derechos fundamentales de las personas en México, como apuntó el representante de la ONU-DH, nos queda preguntar cuál será el rumbo que tomarán las políticas públicas en materia de seguridad digital en el marco de las promesas realizadas por la actual administración.

Si bien se ha ganado cierto terreno en materia de rendición de cuentas y transparencia desde la labor monumental realizada por integrantes de organizaciones no gubernamentales y la sociedad civil, aún no se han resuelto los procesos para castigar a los actores responsables del abuso de la fuerza y los recursos de inteligencia del Estado que, ante recientes revelaciones, continúan promoviendo el clima de violencia contra las posturas disidentes y la libertad de expresión en el país a través del abuso de las tecnologías de espionaje.

¿Estamos viviendo la calma antes de la tormenta o nos encontramos en el ojo del huracán? En un país donde la violencia parece escalar día con día y el gobierno muestra desinterés por acabar con la impunidad donde se enmarca, es importante mantener una postura firme en torno a la defensa de los derechos humanos en cualquier terreno donde sean menoscabados: es momento de romper el silencio respecto a las medidas para proteger a la ciudadanía y agilizar la rendición de cuentas pendientes.

¿Que acaso el cifrado no es mágico?

Arthur C. Clarke dijo alguna vez que cualquier tecnología lo suficientemente avanzada es totalmente indistinguible de la magia. Hoy, cuando el grado de sofisticación de los dispositivos que utilizamos cotidianamente los hace incomprensibles para la vasta mayoría de los usuarios, la línea entre ambas se ha vuelto más tenue que nunca. Por supuesto, esto no es más que la expresión de un deseo de omnipotencia mundana, alimentada por las efectivas campañas publicitarias de la industria dedicada a la venta de artefactos tecnológicos.

Una particular expresión de este fenómeno ocurrió esta semana, tras hacerse pública una vulnerabilidad de WhatsApp que posibilitaba un sofisticado ataque en el cual un teléfono celular podía ser infectado con el malware Pegasus tan solo con un llamado telefónico. Puedes leer los detalles acá y acá.

Pero lo «interesante» vino después: Bloomberg publicó una columna firmada por Leonid Bershidsky argumentando que el ataque demuestra que el cifrado de extremo a extremo implementado por WhatsApp es inútil, “un truco de marketing utilizado por compañías como Facebook para tranquilizar a los consumidores que desconfían de la cibervigilancia en una falsa sensación de seguridad”. La columna ha sido traducida y publicada en medios como 24 Horas y El Mostrador de Chile y Gestión de Perú.

Por su parte, la comunidad técnica se ha ensañado con el texto. Y con razón: Mike Masnick de Techdirt comparó la columna con un disparate antivacunas, “diciéndole a las personas que no se protejan”.  Por su parte, Matthew Hughes en The Next Web decidió explicar de forma relativamente didáctica para qué sirve el cifrado de extremo a extremo: impide que alguien intercepte la comunicación, pudiendo acceder a su contenido y modificarlo, o que alguien pueda ganar control sobre las credenciales de seguridad de una cuenta; ninguna de las dos tiene relación con la naturaleza de la vulnerabilidad descubierta en WhatsApp ni el ataque que posibilitaba. Como explica Hughes, “es como argumentar que nunca deberías usar cinturón de seguridad porque no te van a proteger si tu auto se cae por un barranco”.

Lo interesante de la columna de Bershidsky es que en su total y absoluto despliegue de desconocimiento y mala argumentación, expone una idea equivocada, pero probablemente muchísimo más común de lo que debería ser: que la seguridad es una suerte de estado binario – seguro/inseguro- que puede alcanzarse gracias al uso de una herramienta específica, capaz de protegerme de todo mal. Lamentablemente eso es magia y está muchísimo más allá de las capacidades de la tecnología.

La seguridad -de cualquier tipo, no solo aquella relativa al uso de tecnología- es un espectro de posibilidades, donde la meta es reducir al máximo los riesgos, pero que nunca es capaz de eliminarlos por completo. En el caso particular de la seguridad digital, se trata de un terreno altamente dinámico y en constantemente actualización, donde el descubrimiento de nuevas vulnerabilidades es relativamente común. Una eficaz estrategia de seguridad involucra el desarrollo de prácticas seguras, junto al correcto uso de un set de herramientas acorde a un análisis de los potenciales riesgos y sus consecuencias.

Evidentemente, esto es muy difícil de hacer. Sin embargo, es necesario, particularmente para aquellas poblaciones e individuos en particularmente vulnerables: activistas, periodistas, defensores de derechos humanos. Y el primer paso es tomar conciencia respecto a las limitaciones de la tecnología y de nosotros como usuarias y usuarios.

Patrimonio digital: es hora de pensar en el futuro

El patrimonio constituye un elemento central para la comprensión nuestra identidad. No sólo implica preguntarnos cómo resguardar y hacer accesibles los contenidos que configuran la cultura, también habilita para el ejercicio de derechos por parte de la ciudadanía. Actualmente, dada la masificación de las tecnologías digitales, debemos igualmente abordar la cuestión respecto a la digitalización de los acervos, teniendo en cuenta cómo conservar, indexar y hacer accesible el patrimonio al grueso de la población.

Hacia fines de 2018, Derechos Digitales realizó una investigación que busca describir el modo en que la pregunta por el patrimonio documental ha sido resuelta desde un punto de vista institucional, indagando la forma en que Argentina, Chile y Colombia han abordado estas materias (la investigación íntegra puede ser revisada aquí). Tal investigación fue presentada recientemente en el Encuentro Mundial de Creative Commons, donde los resultados obtenidos fueron discutidos a la luz de la experiencia de activistas, investigadoras e investigadores de Argentina, Brasil, Chile y Colombia.

Resulta importante destacar las semejanzas que se pueden observar en los distintos países de la región. Como es de esperar, existen considerables restricciones en los países analizados, a consecuencia de la falta de recursos económicos y tecnológicos. En vistas de desarrollar estrategias de conservación e indexación perdurables, así como para permitir el acceso a los acervos por parte de la población, se deben destinar cuantiosos recursos que habitualmente son insuficientes. Especialmente en un contexto como el regional, donde la institucionalidad cultural se encuentra, las más de las veces, en situación de precariedad. Baste aquí señalar a modo ejemplar lo recientemente acontecido en Brasil, donde el Ministerio de Cultura fue desarticulado y resituado institucionalmente como una Secretaría del Ministerio de Ciudadanía.

De todas formas, sería equivocado sostener que la solución al problema de la gestión de acervos digitales patrimoniales pueda ser resuelta únicamente mediante tecnologías o dinero. Sobre todo, si se considera una de las cuestiones críticas: la perdurabilidad del registro y su acceso. No solo se requieren recursos financieros para mejores desarrollos tecnológicos, tales avances deben ser estratégicamente planificados en vistas de afrontar la obsolescencia de tecnologías y soportes de conservación.

Otro elemento central de la cuestión refiere a la orientación legal con la que cuentan los diversos agentes institucionales para hacer frente a la digitalización del patrimonio. Especialmente significativa resulta aquí la legislación sobre propiedad intelectual y depósito legal. Pensemos, por ejemplo, en el caso colombiano a la luz del Proceso de Paz. Ante la inexistencia de legislación específica respecto al depósito legal digital, parte sustantiva del material generado por movimientos relativos al proceso puede perderse para siempre: los movimientos no cuentan con capital para sostener sus contenidos en la web y la institucionalidad cultural no cuenta con las herramientas legales para conservar tales contenidos.

Así, el resguardo y digitalización de nuestro patrimonio, tanto a nivel nacional como regional, depende de atender tanto a consideraciones técnicas y materiales como legales e institucionales. Lo que requerimos, con relativa urgencia, es una orientación estratégica de largo aliento a nivel nacional, así como el desarrollo de redes de colaboración a nivel regional que sean capaces de abordar la cuestión por el resguardo de los acervos y la promoción de su acceso.

Lamentablemente, el resguardo del patrimonio -nuestra memoria, lo que consideramos valioso y digno de ser preservado- no parece ser capaz de movilizar a los tomadores de decisiones. Esto, incluso considerando las facilidades que las tecnologías permiten para acceder a contenidos y que, por cierto, son activamente utilizadas por la población. En Chile, por ejemplo,  proyectos como Memoria Chilena cumplen ya 15 años de exitosa trayectoria.

Descarga «Digitalización del patrimonio documental: una aproximación comparada entre Chile, Argentina y Colombia» aquí.

Internet también es una tecnología blanda

Más allá de cómo entendemos el feminismo en nuestras prácticas cotidianas, quienes participamos en Ciberseguras compartimos una sensación con respecto a la tecnología: la hostilidad, muchas veces dada por espacios mayoritariamente masculinos, donde se valora sobre todo el saber experto y la velocidad en la ejecución de tareas. Y no importan tanto nuestras primeras motivaciones, nuestros orígenes o nuestros intereses específicos a la hora de comenzar a explorar estrategias de seguridad digital, lo central aquí es que, a partir de esas primeras experiencias, decidimos hacerlo de otra manera y en ese camino es que nos hemos ido encontrando.

La primera reunión de Ciberseguras ocurrió hace poco menos de dos años en Quito, Ecuador, justo antes de que comenzara el I Encuentro Internacional de Ciberfeminismo; su historia, sin embargo, comienza más atrás, en el año 2014 en México, en el acompañamiento a mujeres que estaban siendo hostigadas en internet. Pero hace dos años comenzamos a imaginar juntas, entre compañeras de diferentes lugares de América Latina, un espacio para consultar recursos en lengua hispana sobre género y tecnología. Nos planteamos entonces la necesidad de acompañar esta búsqueda, reconociendo que, en estos temas, no todas tienen muy claro lo que buscan, ni tienen necesariamente los mismos intereses.

Definimos que en ciberseguras.org habría información sobre tecnología y feminismos, organización de encuentros como talleres y festivales, y protección de dispositivos electrónicos. Luego nos pusimos en la tarea de construir la página, que fue re-lanzada el 24 de abril de 2018, conmemorando dos años de las manifestaciones contra la violencia de género realizadas en México en 2016. De eso ha pasado un año de trabajo continuado, que celebramos hace una semana en nuestra segunda reunión en Bogotá, Colombia. Como buscamos espacios para aprender juntas sobre la tecnología, nos tomamos un día de la reunión para practicar juntas cómo usar GitLab para la organización y documentación de procesos, pero la mayor parte del tiempo se fue en trabajar nuestra red humana, como base fundamental para que nuestras acciones dentro y fuera de internet sean potentes, transformadoras y duraderas.

Y hablando de que hace treinta años comenzó a funcionar la Web, es decir la internet utilizada por las personas, desde sus hogares -los cibercafés, las bibliotecas o los centros educativos- y para sus actividades cotidianas, vale decir que esta red, como las redes humanas, está basada en la confianza, ya que sin conocer a fondo cómo funciona el sistema que hace posible nuestra navegación, podemos ir de una página a otra gracias a los servicios de indexación, transporte y alojamiento de información que nos ofrecen diferentes empresas alrededor del mundo. Pero ese es un tema muy amplio y complejo en el que no profundizamos durante la reunión, pues había cosas más cercanas e importantes que tratar.

El punto es que hoy, cuando el acceso a internet se considera un derecho humano y por tanto se busca conectar a todas las personas del mundo sin importar sus condiciones económicas, políticas, sociales o culturales, la confianza se vuelve un tema central a la hora de preguntarnos, ¿cómo queremos estar conectadas? Y es que nosotras, mujeres de ciudades tan distintas, sabemos que no ‘todos los usuarios’ accedemos por igual. Así que como red, en Ciberseguras buscamos construir confianza entre nosotras y nos proponemos trabajar en nuestros contextos locales también a partir de la confianza, con las personas que participan de los espacios de encuentro y aprendizaje que organizamos.

En internet pareciera que la confianza reposa en la precisión de los sistemas informáticos y sus mecanismos de respuesta, validación y corrección de errores, o en las políticas de transparencia de las empresas que desarrollan y mantienen esos sistemas donde se procesan nuestros datos. Cuando se trata de las personas que utilizamos internet se habla más del consentimiento, que a su vez pareciera limitarse a la capacidad de decir no en un contrato establecido con quienes recolectan, almacenan y gestionan datos. Un contrato protegido por una regulación para la cual somos consideradas ‘un sujeto de derechos’.

El problema con la confianza, si hablamos de internet, es que no es reductible a un sistema de respuesta, es una tecnología blanda -si se quiere buscar un término que la describa en el contexto de internet-, se construye de a pocos, requiere cuerpo y disposición, se basa en acuerdos y aunque estos se registren en algún lugar, siempre pueden renovarse, flexibilizarse, discutirse. Toman tiempo. El problema de la confianza, y también su más grande potencia, es que debe negociarse siempre, reconociendo las diferencias de quienes participan. Estas diferencias se expresan en necesidades, intereses y percepciones diversas sobre el mundo. Y para nosotras las Ciberseguras, estas son las bases de un trabajo feminista en cualquier ámbito; en el de la tecnología -que nos apasiona- también.