Tipo de contenido (Recurso): Columnas

La vigilancia masiva sufre otro traspié en Europa. ¿Se darán por enterados los gobiernos latinoamericanos?

Cinco años después de las revelaciones de Edward Snowden sobre la vigilancia de comunicaciones por parte de agencias estadounidenses (y sus socias de otros países poderosos), se siguen sintiendo los efectos en el mundo. Hace pocas semanas, el Tribunal Europeo de Derechos Humanos (TEDH) resolvió una de las acciones interpuestas por un conjunto de oenegés y periodistas contra el Reino Unido, por sus actividades de vigilancia reveladas por Snowden. En opinión del Tribunal, el programa de vigilancia británico viola los derechos consagrados en la Convención Europea de Derechos Humanos.

La noticia fue recibida por la sociedad civil con entusiasmo, pero también con cautela. A pesar de que el fallo del TEDH es enfático respecto de las prácticas rechazadas y su marco regulatorio, todavía permite algún nivel de vigilancia, incluso a nivel masivo. Además, las reglas que amparaban esa vigilancia en el Reino Unido han sido objeto de reformas con posterioridad al inicio de la controversia judicial.

¿Qué pasó con la vigilancia en el Reino Unido?

A mediados de 2013, se reveló una serie de programas y acciones de vigilancia de comunicaciones y recolección de información, actividades ejecutadas por agencias de inteligencia y seguridad de los Estados Unidos de América y sus socios de la coalición Cinco Ojos: Australia, Canadá, Nueva Zelanda y el Reino Unido. De entre esos programas, destacaban por su gravedad aquellos ejecutados por el Cuartel General de Comunicaciones del Gobierno (Government Communications Headquarters, GCHQ), amparado en la Ley de Regulación de los Poderes de Investigación de 2000 (Regulation of Investigatory Powers Act 2000, RIPA).

Lo que Snowden reveló fue una serie de prácticas que incluían la recolección masiva de información de comunicaciones privadas a través de internet, sin importar la inexistencia de sospechas ni el carácter indiscriminado de la recolección. Una interceptación masiva de la información que atraviesa cables de fibra óptica de la isla de Gran Bretaña, para su posterior almacenamiento, filtrado y análisis. Sin importar el origen o destino de las comunicaciones, afectando potencialmente a todo el mundo cuyos datos pasaran por el Reino Unido. Una espeluznante materialización digital de un Hermano Grande global, en nombre de la seguridad nacional británica.

El mismo año, múltiples organizaciones civiles entablaron acciones judiciales dentro del Reino Unido cuestionando la legalidad del sistema. Un primer fallo determinó como lícita la interceptación masiva británica y el acceso a la vigilancia estadounidense, y un segundo fallo declaró ilícito el acceso en el Reunion Unido a información recogida por los Estados Unidos. Las organizaciones elevaron el caso hasta el TEDH, acusando violaciones a los derechos a la privacidad y a la libertad de expresión, a un juicio justo, y a un trato sin discriminación, consagrados en el CEDH; violaciones provocadas por la interceptación de tráfico de internet del Reino Unido, y por el acceso a la información interceptada por los EE. UU.

Hace pocos días, el TEDH entregó su respuesta: el programa británico de vigilancia viola los derechos humanos. Más específicamente, dice el TEDH que no había suficientes salvaguardas para prevenir abusos y violaciones de privacidad al interceptar la comunicación a través de los cables (en particular, en las operaciones de elección de objetivos, selección y búsqueda de información); que se violaba la libertad de expresión, al producir un efecto paralizante sobre las usuarias; y que la recolección de metadatos es tan intrusiva como la recolección de datos (reconociendo con esto un aspecto clave de las luchas contra los mandatos de retención de datos de comunicación). También, que el acuerdo de intercambio de información entre el Reino Unido y EE. UU., por ser igual de intrusivo, requiere igual nivel de regulación y supervisión.

Sin embargo, no es un resultado del todo positivo. Para el TEDH, operar un sistema de interceptación masiva no es por sí mismo una violación de la CEDH. Por el contrario, deja a los estados un margen de apreciación para decidir el método de vigilancia para la protección de la seguridad nacional, que de forma peligrosa, puede incluir el monitoreo masivo. Además, el TEDH opinó que el régimen de intercambio de inteligencia no viola por sí mismo el derecho a la privacidad.

La lucha continúa

Las reglas combatidas con parcial éxito en el Reino Unido ya fueron objeto de modificación en 2016, mediante su reemplazo a través de la polémica Investigatory Powers Act, que incorporó en ley expresa algunas de las prácticas que ya se permitían los servicios de inteligencia británicos, expandiendo así los poderes de vigilancia. Este nuevo estatuto de espionaje ya fue declarado ilegal frente al derecho europeo por la Alta Corte británica, debiendo modificarse antes de noviembre de 2018, aun cuando la batalla parece estar recién comenzando.

Las capacidades de vigilancia del gobierno británico, tanto en sus herramientas técnicas como en sus facultades legales, resultarían tentadoras para Estados que buscan expandir su capacidad de vigilancia, especialmente si se sigue la tendencia de mirar a países de Europa como ejemplo de regulación. Es por esto que resulta clave mirar las intensas discusiones y los fallos de altos órganos internacionales sobre la materia. Sistemas avanzados de vigilancia, incluso ejecutados con autoridad legal suficiente, pueden igualmente ser atentatorios de derechos humanos cuando carecen de salvaguardas suficientes sobre los derechos de las personas. Urge atender a ejemplos como el británico para el desarrollo de estándares adecuados para la regulación de la vigilancia en nuestros países, antes de dejar nuestras vidas a merced de funcionarios, y sistemas, poderosos e inescrupolosos.

Sentirnos observados: ¿Qué sabemos sobre la vigilancia estatal en Chile?

El 23 de septiembre de 2017, en una operación coordinada entre Carabineros y la Fiscalía de la Araucanía, se detuvo a ocho comuneros mapuche por su supuesta participación en una serie de atentados incendiarios. Tras la detención, se explicó que la principal prueba incriminatoria fue una serie de conversaciones de WhatsApp y Telegram, obtenidas a través de la interceptación de las aplicaciones de mensajería.

No obstante, el 19 de octubre se ordena liberar a los detenidos por la llamada Operación Huracán. ¿La razón? La falta de fundamentos que justificaran la participación de los imputados en los hechos investigados.

Algunos meses más tarde, las pruebas presentadas por Carabineros comenzaron a ser duramente cuestionadas. Las conversaciones supuestamente intervenidas se encontraban dentro de los mismos teléfonos incautados en formato .txt, un tipo de archivo que no tiene relación con los que generan los programas de mensajería, sin marcas temporales o la estructura de un diálogo exportado de WhatsApp o Telegram; en los teléfonos de Héctor Llaitul, uno de los imputados, ni siquiera estaban instaladas las aplicaciones y los textos tenían fecha de creación posterior a la incautación. La tesis del montaje comenzó a instalarse con fuerza y se abrió una investigación, aún en curso, para esclarecer los hechos.

La historia original es que las principales pruebas en contra de los acusados habían sido obtenidas gracias a “Antorcha” y “Tubicación”, aplicaciones creadas por Álex Smith, un ingeniero comercial sin experiencia conocida en el rubro, que se desempeñaba realizando capacitaciones en el uso de programas como Excel y Autocad, desde donde fue reclutado para integrar la Unidad de Inteligencia Operativa Especializada (UIOE) de La Araucanía, a cargo de la “Operación Huracán”. Un reporte realizado por la Policía de Investigaciones (PDI), en el marco de la investigación por falsificación de pruebas, determinó que Antorcha y Tubicación jamás existieron.

Hoy, el ex director de inteligencia de Carabineros, General (R) Gonzalo Blu, el Capitán (R) Leonardo Osses, segundo al mando de la UIOE de La Araucanía, y Álex Smith, se encuentran desvinculados de Carabineros, formalizados criminalmente y con detención preventiva, mientras se investiga el caso.

En una de sus últimas declaraciones a la prensa antes de ser detenido, Smith matizó su versión: “Este era un procedimiento de phishing, malware y keylogger. No era un software como el que usa la PDI. Mezclamos aplicaciones y después se le puso Antorcha. La verdad es que no se podía basar ningún caso en Antorcha, pero servía para hacer algo de inteligencia”, declaró a La Tercera; “Lo más fácil para mí era el pishing. Comenté que se podía hacer y pregunté si era legal, me dijeron que por una ley, la de inteligencia, sí. Como era legal, empezamos a enviar pishing a distintos blancos”.

Pero, ¿es realmente válido un método como el phishing para recoger evidencia en investigaciones? Esta pregunta es crucial, pues más allá de Antorcha, Operación Huracán demuestra la diposición de Carabineros a integrar estas técnicas y herramientas en la realización de su labor investigativa.

Según Pablo Viollier, encargado de Políticas Públicas en Derechos Digitales, el panorama es claro: Carabineros utilizó herramientas poco legítimas. “Aquí las agencias de persecución penal, en parte de Carabineros, a través de sus organismos de inteligencia, echaron mano a las mismas herramientas que utilizan los delincuentes informáticos”, dice.

Pese a ello, en un primer momento Carabineros defendió sus técnicas. En un comunicado, el general (r) Gonzalo Blu, aseguró que no podía tirarse por la borda en tres semanas más de ocho meses de investigación, y que “La situación que plantea el Ministerio Público no hace más que amparar a aquellas personas que se han dedicado a causar miedo en las regiones del sur del país y deslegitima a dos importantes instituciones del Estado, las cuales deberían estar preocupadas de la lucha contra la delincuencia”.

Lo cierto es que técnicas como el phishing o infectar terminales a través de malware o keyloggers no están contempladas en el Código Procesal Penal, por lo que, en la interpretación más favorable a Carabineros, estas técnicas caen en una zona gris, con la posibilidad de que pueda ser derechamente ilegal, como sugiere un informe elaborado por la PDI.

Desde Fiscalía aclaran que la autorización es crucial cuando se trata de, por ejemplo, intervenir comunicaciones: “Siempre que exista privación o perturbación de los derechos constitucionales del imputado, el fiscal debe requerir autorización judicial previa, acorde al artículo 9 del Código Procesal Penal”. Además, agregan que con la debida autorización, es legal recoger pruebas y que pueden ser de diversos orígenes.

“El Análisis Criminal se realiza cruzando información de distintas fuentes, por ejemplo: prensa, perfiles abiertos en redes sociales, interconexión del Registro Civil, de Aduanas, del Conservador de Bienes Raíces, del Poder Judicial, junto con bases de datos de causas registradas en el Sistema de Apoyo a Fiscales”, dicen. Sin embargo, este listado no contempla la irrupción en sistemas informáticos cerrados, que es lo que precisamente buscan técnicas y herramientas como el phishing y el malware.

Por otra parte, la ley 19774 permite, con autorización de un ministro de la Corte de Apelaciones, la posibilidad de interceptar comunicaciones, sistemas y redes informáticas, pero limitados exclusivamente a actividades de inteligencia y contrainteligencia relacionadas al terrorismo, el crimen organizado y el narcotráfico, no en una causa penal. Al respecto, Viollier propone “delimitar estrictamente cuáles son los ámbitos de competencia de la Ley de Inteligencia y del Código Procesal Penal y que no se mezclen las dos materias”.

Es sumamente necesario transparentar y hacer un punteo más específico sobre los verdaderos alcances que tiene la vigilancia estatal en ámbitos legales: la interceptación de comunicaciones está permitida, pero sigue siendo un concepto demasiado amplio, que no da cuenta, por ejemplo, de la cantidad de información sensible que contiene un teléfono celular en relación a aquella que se puede conseguir a través de una escucha teléfonica.

En ese sentido, malware como el producido por Hacking Team y adquirido por la PDI supone un desafío, pues ante sus capacidades altamente intrusivas, es muy difícil establecer límites claros entre aquello a lo que pueden y no acceder. Más todavía al no existir mecanismos externos de fiscalización y transparencia respecto al uso de estas herramientas.

Que seas paranoico no significa que no te están mirando

“La idea más peligrosa en un discurso de vigilancia es ‘el que nada hace, nada teme’ porque convence al ciudadano de tener que optar entre la libertad y su derecho a la privacidad, versus una errada concepción de la seguridad, entendiéndolas en este caso como garantías incompatibles”, explica Karen Vergara de Fundación Datos Protegidos.

La poca información que se tiene sobre las verdaderas facultades que poseen los organismos estatales y fuerzas especiales a la hora realizar investigaciones, desdibuja la concepción de seguridad y nos lleva a una paranoia innecesaria: “La vigilancia de cualquier tipo limita nuestro actuar, esto significa que dejamos de realizar actividades –cotidianas o no– por el temor a estar siendo observados”, dice Vergara. De esta manera, se fomenta la desconfianza, la sensación de desprotección y falta de libertad de la ciudadanía.

Para Viollier, ha existido una falta de transparencia de los procesos que se relacionan con la vigilancia estatal, específicamente de parte desde el poder civil. “Hoy día carabineros, como rama de las fuerzas armadas, cree que se manda sola, y no existe control democrático y para eso se necesita voluntad política. No es posible que Carabineros pueda resistirse físicamente, haciendo un despliegue de fuerza, a una diligencia ordenada por Fiscalía”, dice.

“Es fundamental que el Estado tenga un rol preponderante en la protección de la información personal de sus ciudadanos, tanto en sus relaciones con empresas privadas como con organismos públicos, que asegure un manejo de los datos conforme a los fines que permite la ley, evitando el abuso en el tratamiento de los mismos”, sostiene Vergara.

Con sus principales protagonistas formalizados y detenidos, un año más tarde la Operación Huracán deja en evidencia más preguntas, vacíos y sensaciones amargas que claridades en la ciudadanía.

Si no queremos otro Huracán, hay que hacer algunos cambios importantes

La presente intervención no tiene como objetivo el señalar responsables concretos de las irregularidades cometidas durante la Operación Huracán, sino dar a conocer las insuficiencias regulatorias e institucionales que permiten a las policías operar sin los controles y contrapesos adecuados, y que deberían implementarse para impedir que una situación similar vuelva a repetirse.

Durante la Operación Huracán, Carabineros operó y realizó diligencias investigativas altamente intrusivas sin respetar el principio de no deliberación. Para ello se utilizó el procedimiento especial de la Ley de Inteligencia, figura que permite a las policías actuar sin el debido control por parte del Ministerio Público, como si fuese un interviniente en el proceso penal y no un auxiliar de la administración de justicia.

La información obtenida por estos medios carece totalmente de legalidad como prueba al interior de un proceso criminal, ya que ha sido obtenida sin supervisión de parte del Ministerio Público y sin una autorización previa de parte del Juez de Garantía competente. Por otro lado, no resulta aceptable la utilización de la Ley de Inteligencia para la obtención y producción de prueba al interior de un procedimiento penal, ya que ambos procesos responden a objetivos distintos y tienen distintos requisitos para la realización de medidas intrusivas. Este principio de “utilización exclusiva de la información”  fue reconocido por el legislador en el mensaje de la Ley Nº 19.974 al señalar que la información recogido y producida por el Sistema de Inteligencia del Estado sólo puede ser usado para el cumplimiento de sus respectivos cometidos.

En este sentido, resulta altamente preocupante el carácter amplio y poco específico de la resolución de la Corte de Apelaciones de Temuco al momento de autorizar las diligencias de Operación Huracán. Esta falta de especificidad no sólo incumple lo establecido en los artículos 23 y 28 de la Ley de Inteligencia, sino que dan cuenta que el examen realizado por las Cortes es más bien de carácter formal y no está cumpliendo el objetivo de controlar materialmente el actuar policial.

La utilización de la Ley de Inteligencia también resulta improcedente debido a que esta habilita a los organismos de inteligencia a realizar diligencias mucho más intrusivas que las contenidas en el Código Procesal Penal. Mientras este último sólo autoriza la interceptación de comunicaciones, el artículo 24 de la Ley de Inteligencia admite “la intervención de cualesquiera otros sistemas tecnológicos destinados a la transmisión, almacenamiento o procesamiento de comunicaciones o información”. Por tanto, la utilización de prueba obtenida por estos medios no podría ser acompañada en el proceso penal, ya que fue producida a través de procedimientos no admitidos en el Código Procesal Penal.

En el caso particular de Operación Huracán, la prueba supuestamente obtenida tampoco cumple con el estándar señalado en el artículo 24 de la Ley de Inteligencia. De acuerdo a Carabineros el supuesto malware instalado en los aparatos de los imputados fue introducido a través de una técnica denominada phishing, una forma fraudulenta de obtener información confidencial como nombres de usuario y contraseñas disfrazándose como una entidad confiable en una comunicación electrónica. Este uso del engaño fraudulento, propio de los delincuentes informáticos, con el fin de instalar un programa malicioso (malware) no se encuentra amparado ni en la Ley de Inteligencia ni en el Código Procesal Penal.

Nuestro ordenamiento jurídico permite exclusivamente, y en hipótesis excepcionales, la interceptación de comunicaciones y la intervención de sistemas tecnológicos. La utilización de malware permitiría a las fuerzas de orden acceder a: el correo electrónico, el contenido de las aplicaciones de comunicación, los contactos, la ubicación geográfica, el micrófono de la terminal, la cámara y a un registro de las teclas que oprime el afectado. En otras palabras, permite un control total de la vida privada del afectado, hipótesis que no está amparada en nuestro ordenamiento jurídico.

En este sentido, resultan sumamente preocupantes las declaraciones realizadas a la prensa por el General (r) Blu, en las cuales se lamentaba que este caso hubiese salido a la luz, ya que en adelante los delincuentes sabrán que no deben hacer click cuando reciban un enlace sospechoso en su teléfono. Esta declaración habla de un interés futuro de la institución de Carabineros de seguir utilizando una técnica intrusiva, a todas luces ilegal y que vulnera los derechos fundamentales de los afectados.

El debido proceso de los imputados no solo se vio vulnerado por el hecho de que la prueba utilizada haya sido falsa, sino que por la falta de transparencia en su producción. El hecho de que no se haya informado a los defensores, cómo y a través de qué mecanismos se produjo la supuesta interceptación de comunicaciones impide que estos tengan la posibilidad de desvirtuarlas, vulnerando el principio de igualdad de armas y dejando, en definitiva, a sus representados en la indefensión.

Por último, el caso de Operación Huracán muestra que el procedimiento de custodia de evidencia digital por parte de Carabineros es complemente insuficiente y poco profesional. La implantación de archivos en terminales que ya habían sido confiscados y el hecho de la prueba presentada estuviese en formatos fácilmente editables dan cuenta de la falta de controles técnicos para evitar la creación de prueba fraudulenta.

En consecuencia, se sugiere estudiar la pertinencia de modificar la Ley de Inteligencia a fin de que se incorpore en forma expresa una prohibición que impida que la información recopilada a través de sus procedimientos sea utilizada como prueba al interior de procedimientos criminales y una referencia expresa a la prohibición del uso de técnicas de hacking e infectación con software malicioso como técnica de investigación por las policías. Del mismo modo, es necesario hacer más riguroso el control que las Cortes de Apelaciones ejercen sobre las medidas intrusivas contenidas en la Ley de Inteligencia. Por último, urge establecer criterios técnicos y profesionales que permitan cautelar la cadena de custodia de evidencia digital en los procedimientos criminales.

* Esta intervención fue realizada ante la Comisión investigadora sobre actuación de organismos policiales, de persecución criminal y de inteligencia en Operación Huracán.

Más allá de Álex Smith: vigilancia estatal y el rol de la prensa

Operación Huracán no fue solo un ejercicio de investigación criminal, sino también una acción de estrategia comunicativa: Las cámaras del noticiero de Canal 13 capturaron el allanamiento y la detención de los comuneros mapuche, y -al igual que EMOL– reprodujeron los mensajes supuestamente interceptados por la Carabineros. Los mismos que hoy se asumen como falsos y que tienen a el ex director de inteligencia, General (R) Gonzalo Blu, el Capitán (R) Leonardo Osses, segundo al mando de la UIOE de La Araucanía, y Álex Smith, desvinculados de la institución, formalizados criminalmente y con detención preventiva, mientras se investiga el caso.

Ante un caso que solamente planteaba interrogantes, el desempeño de la prensa fue aquí cuestionado por limitarse a transmitir la información oficial y no plantear las preguntas necesarias. Pero luego vino el vuelco, y a medida que la tesis del montaje agarró fuerza, el trabajo periodístico en torno al caso empezó revelar información sumamente interesante. En ese sentido, la labor que han realizado medios como Ciper y La Tercera ha sido importante, permitiéndonos echar un vistazo a un territorio usualmente opaco, como es el de la vigilancia estatal.

En se sentido, llama la atención, por ejemplo, que la acusación realizada por el periodista de Ciper Nicolás Sepulveda, sobre una extensa operación de escuchas telefónicas montada por la UIOE de La Araucanía no haya causado más revuelo e indignación. Pareciera ser que la gran discusión girara en a los softwares que podrían o no haber existido y su posible creador, Álex Smith.

Y como periodista, lo entiendo: Smith es un personaje excéntrico y carismático, sus fallidos intentos por demostrar su supuesta invención son divertidos y la historia de un ingeniero agrónomo que terminó involucrado en uno de los mayores escándalos para Carabineros en el último tiempo es, en efecto, atractiva. Sin embargo, la existencia (o no) de Antorcha no es la parte más relevante de este relato, del mismo modo en que Smith no es tampoco el principal responsable.

Lo verdaderamente importante acá es precisamente lo poco que sabemos respecto a los modos en que opera la vigilancia estatal, cubierta por un espeso manto de secretismo y nulas posibilidades de fiscalización externa. La Operación Huracán es el resultado no solamente de funcionarios inescrupulosos, sino de todo un sistema que les permitió actuar.

Generar mecanismos de control y transparencia es crucial. Y ahí, la prensa tiene un rol importantísimo que jugar, investigando, cuestionando, incomodando. Es de esperar que el impulso que ha tomado el tema a propósito de la Operación Huracán no muera una vez que se defina el destino de Álex Smith.

El Convenio de Budapest en contexto: la seguridad digital como parte de la política criminal

El personal administrativo de una universidad colombiana descubrió un día que todas las notas de sus alumnos habían sido cambiadas a 5, la máxima posible. Todas la notas de todos los programas, el histórico de calificaciones y el promedio semestral. Los encargados de la infraestructura tecnológica de la universidad afirmaron que el atacante conocía bien la forma de funcionamiento del sistema de notas y que están trabajando en colaboración con las autoridades para encontrar al culpable.

Ingresar sin autorización a un sistema informático, como puede ser lo que sucedió en esta universidad, se sanciona en Colombia con penas de 4 a 8 años de prisión. El acceso abusivo a un sistema informático junto con los delitos de obstaculización ilegítima de sistemas o redes, interceptación de datos informáticos, daño informático, uso de software malicioso, violación de datos personales o suplantación de sitios web para capturar datos personales, entre otros, conforma el capítulo de delitos informáticos en el Código Penal Colombiano.

La preocupación por este tipo de conductas también está expresada a nivel internacional. El Convenio de Budapest sobre ciberdelincuencia es un acuerdo entre varios países, principalmente europeos, para buscar un mínimo común entre las diferentes legislaciones en la persecución de conductas que, por su naturaleza transnacional, requieren de la colaboración de las autoridades para su investigación y posterior sanción. Como en el caso de la universidad colombiana, quien quiera que haya cambiado las notas podría haber estado físicamente en cualquier lugar del mundo, y, además, el mismo sistema de notas podría estar en servidores en Estados Unidos o Europa. Por eso las diferentes autoridades que deben investigar estos hechos requieren de un marco normativo que permita la colaboración entre ellas.

Ya que el Convenio de Budapest es un tratado internacional, se requiere que su aprobación se haga por medio de una ley que debe expedir el Congreso, luego ser firmada por el Presidente y que la Corte Constitucional debe revisar para que no haya desacuerdo con la Constitución. Actualmente, el proyecto de Ley para la aprobación del Convenio está siguiendo su proceso en el Senado.

El proyecto estará sometido a los problemas de cualquier otro tratado. Especialmente, es importante hacer notar la poca participación ciudadana que ocurre en la aprobación de tratados internacionales y la tendencia de la Corte Constitucional a rechazar las leyes aprobatorias de tratados por razones formales, y no sustanciales. Sin embargo, de los múltiples contextos en los que se puede discutir los efectos del tratado sobre cibercrimen, es relevante para Colombia pensar este problema en el marco de la política criminal.

La política criminal es “el conjunto de respuestas que un Estado estima necesario adoptar para hacerle frente a conductas consideradas reprochables o causantes de perjuicio social con el fin de garantizar la protección de los intereses esenciales del Estado y de los derechos de los residentes en el territorio bajo su jurisdicción. Dicho conjunto de respuestas puede ser de la más variada índole”. [1]

Desde esa perspectiva, el Estado decide que algunas conductas sociales que merecen una respuesta oficial y luego busca las diferentes formas en las que puede concretar dicha respuesta. El objetivo de estas intervenciones es la defensa de los derechos de las personas, por lo cual, en todos los casos, las soluciones deben estar orientadas a ese fin. Sin embargo, el tipo de intervención estatal debe variar de acuerdo al problema social, por lo cual, el derecho penal, es decir, criminalizar una conducta, debe ser visto como un tipo de intervención entre otras.

Como dice la Comisión Asesora de Política Criminal: “un Estado democrático debe minimizar la intervención punitiva, pues si la garantía y protección de los derechos humanos y de los bienes jurídicos fundamentales pueden ser alcanzadas por vías distintas a la penal, como la política social, las políticas preventivas o el uso de mecanismos administrativos de control, entonces es ilegítimo recurrir al instrumento penal. En otras palabras, se trata de que “el derecho penal es de ultima ratio”, es decir, la última herramienta a la que un estado puede recurrir cuando encuentra una conducta que merece una reacción oficial.

Volviendo al Convenio de Budapest, es necesario entonces que su aprobación en Colombia no solo se trate de la simple criminalización de conductas, sino, también, de reflexionar sobre otro tipo de intervenciones que son necesarias para proteger los derechos de las personas en el contexto digital. Si el Estado asume con seriedad el principio según el cual derecho penal es la última reacción posible, es necesario entonces tomar en serio la labor de prevención.

Ante la indeterminación de buena parte de los actores y las motivaciones detrás del cibercrimen, el Estado debe apostar por la ciberseguridad con un enfoque de derechos humanos como una forma de prevención del cibercrimen. Al tiempo, es necesario aclarar la confusión entre ambas y entender que muchas de las conductas que hoy se relacionan con el cibercrimen, en realidad son acciones que fortalecen la seguridad digital y que no pueden ser castigadas de plano.

Teniendo en cuenta esto, algunos problemas que son enfocados dentro del cibercrimen tienen otro significado si se asume, de nuevo, que el derecho penal está reservado para lo más grave y que, por tanto, la prevención de las conductas que se quiere evitar es una mejor alternativa. Uno de estos problemas es la búsqueda y reporte de vulnerabilidades dentro de los sistemas informáticos del gobierno. Desde una perspectiva del derecho penal, esto podría ser un delito. Sin embargo, adoptar esa posición implicaría olvidar el contexto en el que se desarrollan este tipo de reportes.

En Colombia no existe un organismo independiente que pueda atender eficientemente los casos en los que por varias razones se encuentra una vulnerabilidad en los sistemas de información o de infraestructura digital. Actualmente existe el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), que está dentro del Ministerio de Defensa, el Centro de Operaciones de Seguridad del Comando Conjunto Cibernético de las Fuerzas Armadas (CCOC) y el Centro Cibernético Policial (CCP). Como se ve, estos no son organismos independientes pues hacen parte de la rama del estado encargada de la seguridad y defensa nacional. El trabajo de reporte y solución de vulnerabilidades puede ser dirigido en condiciones de mayor confianza, que descarte el temor a la acción penal por reportar fallas en los sistemas informáticos.

El contexto institucional de la seguridad digital, entonces, es clave para que la prevención del cibercrimen sea una realidad. Este tipo de reflexiones no pueden ser ajenas a la discusión de la aprobación del Convenio de Budapest pues solo criminalizar conductas no es suficiente para solucionar los retos que plantea la seguridad digital para los derechos humanos. La perspectiva de la seguridad digital debe ser privilegiada para pensar estos problemas, en vez de reaccionar con el derecho penal, que es la herramienta más agresiva y quizás menos eficaz cuando no hay una adecuada política de prevención.

[1]         Corte Constitucional de Colombia. Sentencia C-646 de 2001. M.P. Manuel José Cepeda Espinosa. http://www.corteconstitucional.gov.co/relatoria/2001/c-646-01.htm

***

Esta columna fue escrita por Juan Diego Castañeda y es la cuarta de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Fundación Karisma, la investigación se titula «Convenio de Budapest: aplicación en Colombia frente a derechos humanos» y puede ser descargada aquí.

La Fundación Karisma es una organización de la sociedad civil que busca responder a las amenazas y oportunidades que plantea la “tecnología para el desarrollo” al ejercicio de los derechos humanos.

Prohibido soñar

A principios de agosto, un joven estudiante escribió un tuit sobre un sueño que incluía a una ministra de Estado, la portavoz del actual gobierno chileno. El tuit relataba un intento de seducción de la ministra con el propósito de poner una bomba. Semanas después, se volvió sujeto de una investigación penal: tras una denuncia personal por parte de la ministra, la policía uniformada comunicó de la investigación al estudiante personalmente, un domingo por la mañana.

La situación se volvió polémica rápidamente. El uso del aparato estatal estaba volcado a investigar una supuesta amenaza, que poco se condecía con el texto y el contexto de la expresión utilizada. Y a la vez, puso en relieve la actitud de la autoridad frente a expresiones que, en principio, creemos libres y protegidas por el marco de derechos fundamentales.

Amenazas” en línea

En Chile, la ley sanciona a quien amenaza “seriamente a otro con causar a él mismo o a su familia, en su persona, honra o propiedad, un mal que constituya delito, siempre que por los antecedentes aparezca verosímil la consumación del hecho”. Se requiere amenazar un mal, de forma seria y verosímil. El relato de un sueño que contenía un propósito difícilmente podría tomarse como el anuncio de siquiera intentar la comisión de un delito. Menos aún de forma seria o medianamente verosímil.

La puesta en marcha de la actividad de la policía y del Ministerio Público, sin una ponderación suficiente del lenguaje del tuit y del contexto general, muestra una particular falta de criterio para el uso de recursos públicos destinados a la prevención y persecución del delito. Es decir, se moviliza al estado a reprimir una situación que, aun a simple vista, constituye una expresión sin importancia.

Pero no es solamente esa persecución la que resulta problemática. En un contexto social donde cada hora decenas de personas, especialmente mujeres, son objeto de acoso, amenazas serias de daño físico, incitaciones a la violencia y mucho más, la persecución de una expresión menos seria, debido a la sensación de una figura de autoridad, resulta una forma de desconocer y banalizar actos mucho más serios y mucho más frecuentes. Una utilización selectiva de los recursos del estado, denegada a personas más vulnerables, incluso con resultados fatales.

La vigilancia de las redes sociales

La policía también reveló su modo de actuar sobre las redes sociales: un “patrullaje” sobre las redes sociales, vigilando potenciales actos delictuales a partir de lo discutido de forma abierta en aplicaciones y sitios de internet. Profesionales, dedicados activamente a seguir conversaciones “públicas” en busca de amenazas.

Es difícil olvidar el caso de otro joven acusado hace varios años de agredir a la policía, identificado erróneamente, a partir de la vigilancia de sus redes sociales, y la inclusión en una lista de perfilamiento. Es decir, no es una novedad que esta forma de investigación proactiva existe. Sin embargo, la falta de transparencia a ese respecto es significativa, y deja a la ciudadanía en una importante desventaja frente a los riesgos que implica ser parte de una opaca base de datos policial. ¿Cuáles son los límites y los procedimientos que hoy usa la policía? ¿Cómo está acumulando y sistematizando la información de individuos? ¿Qué resguardos existen? Relatar los sueños propios, o la ubicación, u otras expresiones usadas en redes sociales, también es una muestra de aspectos íntimos de cada persona. Acumular y procesar datos publicados en una red social también tiene impacto sobre la privacidad. ¿Qué evaluación de riesgos ha hecho la policía?

Asimismo, parece paradójico que la misma policía cuyos funcionarios daban poca importancia al hecho puntual, haya requerido hacerse del dispositivo del investigado, obteniendo así acceso a la vida completa del mismo. Sin perjuicio del carácter voluntario de la entrega, ello es a todas luces el acceso a una cantidad desproporcionada de información privada en relación con la situación investigada.

Expresiones vigiladas, expresiones menos libres

La divulgación del hecho por la prensa fue exagerada y hasta falaz. La policía se refirió abiertamente a las (inexistentes) advertencias de instalación de un artefacto explosivo. Un periódico de circulación nacional puso el hecho en portada. Varios medios sostuvieron que el investigado había sido detenido, aun cuando no era cierto. De la misma forma, varios titulares daban a entender la existencia de una amenaza real contra una ministra de estado. Con esto, se produjo la amplificación de la noción de la amenaza en redes sociales, y del involucramiento de la policía en su persecución. Como denunciaran desde la asociación de estudiantes de la escuela del investigado, ello afectó su honra, además de su libertad de expresión.

Pero es relevante considerar que hacer de esta situación un evento con tal nivel de difusión, ayudada por los medios, afecta no solamente a las personas investigadas. La existencia de “ciberpatrullajes” y de visitas de la policía por expresiones aparentemente inocuas, pero referidas a autoridades de gobierno, termina incidiendo en la capacidad para expresarse. Porque no solamente se vulnera el derecho a la libertad de expresión cuando se reprime una marcha o se censura una publicación. También se amenaza a la libertad de expresión cuando se usa selectivamente la persecución estatal, mientras tantos casos de violencia en línea resulta en la no participación en espacios digitales. También se amenaza a la libertad de expresión cuando se invita a la autocensura, por el riesgo de una visita de la policía tras la osadía de contar un sueño.

El ataque de las máquinas de censura que amenaza a Europa

Día a día utilizamos y convivimos con tecnologías que no comprendemos. Sabemos operarlas y obtener ciertos resultados, pero desconocemos el modo en que estos resultados se logran. Entre más invisibles sean las técnicas utilizadas y el conocimiento aplicado, mejor: apenas presiono el interruptor la habitación completa se ilumina; cuando giro la llave, cae el agua. Y aunque para algunos esta idea parezca herética o paradójica, supongo que es normal dado el grado de especificidad que ha alcanzado hoy el conocimiento. Simplemente no se puede saber todo. No es necesario.

Esto no significa que nuestra ignorancia respecto al modo como la tecnología opera esté exenta de problemas. En la medida que la tecnología se complejiza y se vulgariza, empieza a tener connotaciones mágicas y pareciera ser que no hay problema que no se pueda resolver mediante un algoritmo, lo que sea que eso signifique. Y cuando esta idea respecto a la tecnología es promovida por tomadores de decisiones -ya sea por honesta ignorancia o de forma maliciosa- las consecuencias pueden ser gravísimas.

Esto es lo que está pasando hoy en Europa, a propósito de la discusión del polémico artículo 13 de la propuesta de directiva del Parlamento Europeo y del Consejo sobre los derechos de autor en el mercado único digital. Básicamente, el artículo busca que los intermediarios de internet implementen medidas tecnológicas capaces de detectar contenido infractor de derecho de autor antes de que este sea publicado en línea, impidiendo así cualquier daño a los titulares.  Estas medidas deben ser adecuadas, proporcionadas, y los intermediarios deben implementar un sistema de apelación al que los afectados puedan recurrir en caso de que su contenido hubiese sido incorrectamente bloqueado.

A primeras no se ve mal. Sin embargo, en la práctica esto significa implementar filtros que analicen todo el contenido de todos los usuarios de internet en Europa, y lo compare con una base de datos de contenidos protegidos, proporcionada por los representantes de los titulares de derecho de autor. Y visto así, se trata de una idea terrible.

Las razones son múltiples, desde el hecho de que contraviene el régimen imperante en donde los intermediarios no son responsables de los actos realizados por sus usuarios en internet, hasta la carga que implica el desarrollo e implementación de dichos filtros, particularmente para intermediarios pequeños y medianos. Pero el principal argumento en contra del artículo 13 es que, si ponemos a un algoritmo a cargo de decidir qué constituye infracción de derecho de autor, las máquinas la van a cagar. Y la van a cagar feo.

Como hemos mencionado innumerables veces en el pasado, el derecho de autor se trata, esencialmente, del justo balance entre los derechos de explotación económica que posee el titular de una obra, y los derechos de todo el resto de la comunidad para acceder al conocimiento y la cultura, expresarse y ser parte de la vida cultural de una región.

Se entiende así que existe un valor mayor, en torno a la proliferación de un ecosistema creativo, que se está nutriendo constantemente de los aportes y desarrollos realizados por los distintos miembros de la comunidad. En ese sentido, el derecho de autor constituye un incentivo a la producción de obras, pero no puede significar un impedimento o un freno para el desarrollo del conjunto, del bien común. Es por eso, por ejemplo, que las legislaciones de derecho de autor siempre reconocen la posibilidad de realizar algunos usos de ciertas obras sin necesidad de pedir autorización.

El problema es que si ponemos a una máquina a decidir qué constituye una excepción y cómo se diferencia de una infracción al derecho de autor, es muy probable que, en un número importante de casos, la máquina no sea capaz de responder fehacientemente. Es por ello que una de las principales banderas de lucha en contra del artículo 13 es que impedirá la proliferación de memes, pieza fundamental del actual internet. Normalmente el meme es creado como un uso transformativo de una obra previa, ya sea a modo de cita o parodia, que resignifica a la obra, dotándola de un nuevo significado, un sentido diferente, un valor de uso distinto, en el contexto de una comunicación carente de una explotación comercial directa. Todo esto, que es evidente cuando se analiza un meme, puede no serlo para una máquina, sobre todo en aquellos casos en que la lógica del meme requiere que la intervención de la imagen no sea extensiva. Las probabilidades de marcar usos justos, excepcionales o inocuos como infracción son altísimas, y lo que se arriesga es precisamente afectar la fertilidad creativa del ecosistema digital, el derecho a la libertad de expresión y a la participación en la vida cultural.

Más todavía, cuando la comparación debe ser hecha a partir de una lista de obras provista por los representantes de los titulares de derecho, las posibilidades de abusar el sistema son amplias. Basta que solamente una obra sea -genuina o maliciosamente- incluida por error en un listado de obras protegidas. Cosa que ya ha pasado en otras partes del mundo.

¿Pero el sistema estipula que deben existir criterios de proporcionalidad y mecanismos de protesta para reclamar decisiones incorrectas? Es cierto, pero, no se detalla cuáles deben ser esos criterios; y respecto a la posibilidad de apelar a una decisión, es muy probable que los reclamos sean relegados a un limbo del cual salir puede ser difícil, incluso perdiendo la ventana de relevancia que puede tener la publicación de algún contenido, por ejemplo en un contexto de protesta.

Todas estas aprehensiones vienen de casos de la vida real. Los abusos al filtro de derecho de autor de Google han sido ampliamente documentados;  en América Latina, sabemos de al menos un caso en el cual el desbalanceado procedimiento de la plataforma de video fue utilizado para remover contenido con el fin de censurar contenido desfavorable al ex-presidente ecuatoriano, Rafael Correa, y, más recientemente, una publicación de la eurodiputada Julia Reda donde explicaba el peligro que encierra el artículo 13 fue (y sigue) sospechosamente bloqueado, a pesar de la reclamación de contenido legítimo. Lo ridícula de esta última situación debería ser suficiente para poner freno a una idea nefasta.

Pero luego la pregunta perdura: ¿se propone esta solución pues no se entiende cómo funciona la tecnología y se tiene la esperanza de que de verdad estos problemas puedan ser solucionados (lo que probablemente no va a ocurrir) o se confía en que el resto de la gente desconoce cómo funciona la tecnología para poder implementar un sistema que -se sabe- puede ser abusado en favor de quienes proponen una concepción maximalista del derecho de autor?

Como sea, lo cierto es que la sociedad civil se está movilizando. El próximo domingo 26 de agosto, distintas organizaciones basadas en Europa están llamando a una serie de manifestaciones públicas en todo el continente en contra del artículo 13 y la #CensorshipMachine. Les deseamos éxito y seguiremos pendientes de los siguientes pasos.

Herramientas para perseguir a la oposición en Guatemala

El proyecto de vigilancia, creado en 2012 por el gobierno guatemalteco, se inicia por la adquisición por vía de excepción por parte de la Dirección General de Inteligencia Civil (DIGICL) de un software por valor de 1.4 millones de quetzales (alrededor de 186.000 dólares) cuya finalidad es permitir la intercepción de mensajes y correos electrónicos. A finales del mismo año, se suma la compra de dos maletines con fines de intercepción de llamadas telefónicas, por un valor equivalente a 2.5 millones de dólares. De acuerdo con Nuestro Diario, entre los softwares adquiridos se encuentran “las versiones más avanzadas” de Pegasus, Pen-Link, Circles, Citer, Conceptus, Memex, Sitev, Laguna, Avatar y del software Galileo, de Hacking Team, empresa que ha sido objeto de escándalo anteriormente al venderle su software a una larga lista de gobiernos latinoamericanos.

La investigación revela que la Dirección General de Inteligencia Civil, cuyo mandato es la recolección de información para el combate del crimen organizado, utilizó la información recabada con fines políticos, en el contexto de las protestas por corrupción enfrentadas por el gobierno entre 2014 y 2015. Así, a medida que crecía el rechazo hacia los actos gubernamentales, se fue incrementando la vigilancia contra todo aquel que el gobierno considerara un enemigo político, incluyendo no solo la interceptación de las comunicaciones tanto digitales como analógicas, sino también la vigilancia física, todo esto llevado a cabo por grupos de trabajo conformados tanto por militares como por civiles. Estas técnicas fueron también usadas para vigilar a los manifestantes durante las protestas de 2015.

Tal como resume la Fundación Acceso en la siguiente infografía, entre 2012 y 2014 el gobierno habría ido ampliando progresivamente sus capacidades de vigilancia, adquiriendo actualizaciones de software y alquilando un edificio destinado exclusivamente al centro de espionaje.

De acuerdo con la investigación presentada por Nuestro Diario, el sistema de vigilancia permitiría a las autoridades interceptar las comunicaciones telefónicas y los servicios de mensajería, hacer una copia espejo de lo que se escribe en un dispositivo intervenido, infiltrarse en redes sociales mediante la creación de perfiles falsos, así como activar la cámara y el micrófono de teléfonos celulares y computadoras con la finalidad de grabar audio, video y fotografías. Como señalamos, este tipo de prácticas no son nuevas en la región: ya en 2016 se denunciaba la adquisición por parte de los gobiernos de México, Honduras, Panamá, Ecuador, Colombia, Brasil y Chile del software proporcionado por Hacking Team, y se sabía que al menos otros seis países de la región (incluida Guatemala) habían sostenido negociaciones para la compra de este software.

Enrique Degenhart, Ministro de Gobernación guatemalteco, declaró negando la existencia de la red de espionaje, y afirmó que el sistema, que fuera adquirido por la administración anterior durante la presidencia de Otto Pérez Molina, estaría en poder de la Fiscalía y la CICIG (Comisión Internacional contra la Impunidad en Guatemala). Según Degenhart, las herramientas fueron secuestradas por las autoridades por la vía judicial. Pérez Molina actualmente cumple prisión preventiva por cargos de corrupción. “No tenemos conocimiento sobre qué están haciendo con ellas”, señaló el ministro, añadiendo que el uso de estas tecnologías estaría a discreción de las instituciones que las secuestraron, en lo que parece ser un intento de desmarcarse de cualquier responsabilidad sobre el uso de estos sistemas para la vigilancia.

Este tipo de circunstancias, precisamente, apunta a uno de los problemas más graves respecto a las tendencias recientes en tecnologías para la vigilancia en Latinoamérica: la total carencia de transparencia y rendición de cuentas en los procesos de licitación, adquisición, implementación y uso de estas tecnologías, que son adoptadas en procesos de secretismo bajo excusas de “seguridad nacional” e “inteligencia militar”, incurriendo así en afectaciones gravísimas a la privacidad de los ciudadanos sin que estos posean ningún mecanismo ni posibilidad alguna de ejercer los controles pertinentes sobre la manera en que son vigilados, y sin que puedan ser protegidos por las garantías judiciales mínimas que garanticen la proporcionalidad, la necesidad y la legalidad de las medidas tomadas.

Este tipo de tecnologías, que facilitan a los Estados la utilización de técnicas de hackeo con fines de vigilancia, socavan la privacidad de los ciudadanos de un modo especialmente grave, por cuanto recurren a la explotación de vulnerabilidades de seguridad en los sistemas informáticos, frecuentemente sin justificación legal y en maneras que no suelen ser compatibles con la normativa internacional en materia de derechos humanos. Así, Privacy International señala, en un informe de 2017 sobre la práctica del hackeo con fines de vigilancia en América Latina:

No queda claro si estas actividades pueden en alguna instancia realizarse en conformidad con las normas internacionales de derechos humanos. Si los Gobiernos insisten, a pesar de lo anterior, en poner en práctica estas facultades, deben cumplir con una serie de salvaguardas necesarias mínimas (según lo establece la legislación internacional en materia de derechos humanos) que aborden las implicancias que tiene el hackeo en la seguridad.

En este sentido, el primer factor de urgencia, tanto en Guatemala como en el resto de Latinoamérica, es la articulación de una base legal clara con respecto a las actividades de inteligencia, vigilancia y hackeo llevadas a cabo por parte de los Gobiernos. La carencia de una base legal clara, específica y que haya sido creada a través de una discusión abierta, pública y de carácter parlamentario, con la inclusión de todos los sectores de la sociedad, es el primer factor que ocasiona que todas estas actividades estén siendo llevadas a cabo en violación de las normativas internacionales en materia de derechos humanos. Por otra parte, si bien la Procuraduría de Guatemala anunció la apertura de un expediente para investigar los hechos mencionados, los gobiernos de la región han sido consistentes en ignorar las investigaciones o procesos judiciales que deberían haber sido llevados a cabo al descubrir las irregularidades cometidas en la implementación y uso de estas tecnologías, así como en lo que respecta a la revisión necesaria de las leyes vigentes.

Mientras seguimos siendo vigilados, la transparencia, la rendición de cuentas y la creación de garantías y controles judiciales efectivos frente a las medidas invasivas a la privacidad se hacen cada vez más urgentes. De lo contrario, la vulneración constante a nuestra privacidad no será más que un factor adicional en el debilitamiento de nuestra libertad de expresión y participación y por ende, en el socavamiento de las ya frágiles democracias de nuestra región.

La necesidad de legislar sobre cibercrimen en Panamá

El Networked Readiness Index (NRI) es un indicador producido por el Foro Económico Mundial sobre acceso a las Tecnologías de la Información y comunicación, que busca medir qué tan preparado está un país para afrontar la transición al nuevo mundo, marcado por la convergencia de tecnologías digitales, físicas y biológicas, en lo que algunos economistas denominan “la cuarta revolución industrial”. Según el NRI, Panamá se encuentra en una posición de ventaja frente al resto de países centroamericanos, el uso de las tecnologías es cada vez más frecuente en un creciente espectro de actividades diarias de los ciudadanos.

Sin embargo, el uso de las tecnologías de la información no está necesariamente limitado por la legalidad y, en algunos casos, se está utilizando también para cometer delitos: el creciente acceso a internet y las tecnologías de la información han requerido de la creación de marcos jurídicos que lidien con los delitos cibernéticos, un aspecto que la legislación panameña todavía tiene pendiente de resolver.

Lo interesante es que Panamá fue el segundo país latinoamericano en ratificar el Convenio de Budapest, después de la República Dominicana: La Asamblea Nacional de Panamá aprobó el Convenio sobre la Ciberdelincuencia a través de la Ley 79 del 22 de octubre de 2013; Panamá aprobó el texto del Convenio de Budapest sin reservas ni modificaciones, y depositó el instrumento de adhesión en marzo del 2014 ante la Secretaría del Consejo de Europa.

Al mismo tiempo, Panamá cuenta con institucionalidad en materia de ciberserguridad. En el año 2011 se creó el CSIRT-Panamá (Computer Security Incident Response Team, por sus siglas en inglés) bajo la estructura gubernamental de la Autoridad Nacional para la Innovación Gubernamental, creado a través del Decreto Ejecutivo No.709 del Ministerio de Presidencia. El CSIRT-Panamá es la institución encargada de prevenir e identificar ataques e incidentes de seguridad a los sistemas informáticos de la infraestructura crítica del país.

El Consejo Nacional para la Innovación Gubernamental elaboró y aprobó en 2013, la Estrategia Nacional de Seguridad Cibernética y Protección de Infraestructuras Críticas, esta política establece un conjunto de acciones y procedimientos para mejorar la ciberseguridad, así como proteger las infraestructuras vitales del país.

Panamá investiga los casos de delincuencia cibernética a través de la Unidad de Investigaciones de Delitos Informáticos, dependiente de la Dirección de Investigación Judicial, y a través de la Fiscalía Superior Especializada en Delitos contra la Propiedad Intelectual y Seguridad Informática. Sin embargo, actualmente, el Código Penal vigente únicamente tipifica 2 conductas como delitos informáticos, y no incluye los delitos que se realicen por medios electrónicos. Del artículo 289 al 292 regula los delitos contra la seguridad informática: a) ingresar o utilizar de bases de datos, red o sistemas informáticos; y, b) apoderar, copiar, utilizar o modificar datos en tránsito o contenidos en bases de datos o sistemas informáticos, o interferir, interceptar, obstaculizar o impedir la transmisión.

En ese sentido, Panamá tiene la obligación internacional de adecuar su legislación penal conforme a los estándares regulados en el Convenio de Budapest, lo que implica elaborar reformas al Código Penal y Código Procesal Penal.

Ya se han presentado anteproyectos para la implementación del Convenio de Budapest, sin embargo, el Proyecto de Ley 558 que modifica y adiciona artículos al Código Penal, relacionados al cibercrimen, presentado el 27 de septiembre de 2017, es el que se encuentra más avanzado en la Asamblea Nacional.

Este proyecto de ley carece de una adecuación integral, ya que debería incluir la adopción de nuevos tipos penales más allá de una simple adecuación de tipos penales ya existentes en un entorno cibernético. En materia procesal, este proyecto únicamente incluye un apartado sobre la evidencia digital, sin embargo, no profundiza en otros aspectos procedimentales regulados en el Convenio de Budapest. Esto último dificultaría la adecuada implementación a nivel nacional e internacional de los mecanismos de investigación de ciberdelincuencia, así como el procesamiento de las personas involucradas en estos actos.

Panamá enfrente grandes desafíos en la implementación del Convenio de Budapest, especialmente en la necesidad de crear estándares legales claros para la investigación de ciberdelitos y la falta de capacidades adecuadas en las diferentes instituciones públicas que participan en los procesos de persecución penal y que dificultan los procedimientos internos para la investigación en ciberdelincuencia.

La construcción de políticas públicas y legislaciones, sustantivas y procesales, adecuadas a los estándares internacionales en materia de ciberdelincuencia es una urgencia en Panamá. Las entidades públicas que participan en los procesos de investigación penal y de otros sectores, como el sector privado y la comunidad técnica, deben buscar el desarrollo de capacidades para hacer frente en la lucha contra la ciberdelincuencia.

Una reforma adecuada de este último permitiría que los mecanismos para la investigación penal aseguren la correcta guía y salvaguarda de los derechos humanos y garantías procesales reconocidos por tratados internacionales y la Constitución.

***

Esta columna fue escrita por Sara Fratti y es la tercera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Ipandetec, la investigación se titula “Panamá, un país con la necesidad de una legislación sobre cibercrimen’ y puede ser descargada aquí.

El Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) es una asociación sin fines de lucro que promueve el uso y regulación de las TICs y la defensa de los derechos humanos en el entorno digital en Panamá y Centroamérica.

El Convenio de Budapest desde una perspectiva de derechos humanos

El Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest, es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.

En función de lo anterior, para abordar la efectividad del mismo o la necesidad de que México se adhiera a él, surge una primer interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. Como explica Miguel Polaino Navarrete, el primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.

Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.

Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.

El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.

En México, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado mexicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.

Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.

Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?

La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.

La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la «ciberdelincuencia». Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.

En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.

Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.

***

Esta columna es la segunda de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de R3D, la publicación se titula «México y el Convenio de Budapest: posibles incompatibilidades» y puede ser descargada aquí.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital.