Tipo de contenido (Recurso): Columnas

Por una ley de delitos informáticos que proteja y respete los derechos de las ciudadanas en internet

Esta semana ingresó al Senado de Chile, a través del Boletín 12192-25, el tan esperado proyecto de ley que modifica la legislación sobre delitos informáticos y deroga la actual Ley 19.223. El proyecto también busca cumplir con los compromisos internacionales adquiridos por Chile al ratificar el Convenio de Budapest, instrumento internacional que busca homogeneizar la regulación de los delitos informáticos a nivel internacional y mejorar la capacidades de colaboración de los distintos países en la persecución del crimen en línea.

El proyecto de ley se presenta como una oportunidad para subsanar las falencias que la doctrina y la jurisprudencia han apuntado hace más de una década en materia de delitos informáticos. Sin embargo, el proyecto en su forma actual desperdicia las oportunidades de flexibilidad en la implementación del Convenio de Budapest, para que la regulación de los delitos informáticos se pueda promover la seguridad de las personas en línea y a la protección de sus derechos fundamentales.

En los siguientes párrafos nos enfocaremos en tres elementos particularmente problemáticos del proyecto que, sin ser los únicos y más allá del perfeccionamiento de la técnica legislativa, requieren un cambio sustantivo de aproximación durante el debate legislativo, para que las normas que se aprueben protejan efectivamente a las personas y el ejercicio de sus derechos en línea.

Ausencia de una regulación que garantice la legalidad de las investigaciones de seguridad informática

La capacidad para formar, capacitar y entrenar a profesionales dedicados a la seguridad informática se ha transformado en una prioridad de los países que buscan mejorar la ciberseguridad de su industria local, del aparato público y sus ciudadanos. Es por ello que la detección y el reporte de vulnerabilidades informáticas se han transformado en actividades que los Estados se han propuesto promover, al punto en que ciertas industrias han prometido premios en dinero a aquellos que detecten y reporten dichas vulnerabilidades en sus sistemas.

Para cumplir su labor, los expertos de seguridad informática deben contar con la certeza de que su actividad es lícita y de que no serán perseguidos por su actuar de buena fe y en función del interés público. Lamentablemente, la tipificación del delito de acceso ilícito del proyecto está redactada de forma que abre la puerta para la criminalización de esta actividad necesaria y deseable.

El artículo 2 del proyecto solo exige que el acceso a un sistema informático se haga de forma indebida, independiente de si este acceso se realiza de buena o mala fe, o con la intención de apoderarse o conocer indebidamente la información ahí contenida. Al considerarse el requisito de “indebido” como sinónimo de “sin permiso”, el experto en seguridad informática que acceda a un sistema para probar la seguridad del mismo en búsqueda de vulnerabilidades estará cometiendo un delito, Incluso si su actividad es realizada de buena fe y con la intención reportar la vulnerabilidad al administrador del sistema.

El proyecto también establece que vulnerar, evadir o transgredir medidas de seguridad informática para lograr dicho acceso constituye una agravante para la comisión del delito. Sin embargo, esta agravante debería ser en realidad un requisito del delito de acceso ilícito, ya que no puede existir un delito informático si el perpetrador no ha superado algún tipo de barrera técnica. De lo contrario, la simple infracción de una obligación contractual o de los términos y condiciones de un sitio web pasarían a constituir un delito castigado por la ley, desnaturalizando el bien jurídico protegido de los delitos informáticos y entregando menos incentivos para que los actores del ecosistema digital establezcan medidas de seguridad efectivas para sus sistemas.

Para subsanar estas imprecisiones y evitar que la legislación criminalice a quienes se dedican profesional o voluntariamente a mejorar la seguridad de los sistemas informáticos, se hace necesario que el delito de acceso ilícito tenga como requisito un componente volitivo que apunte a la mala fe de la acción. Del mismo modo, es necesario que el proyecto defina qué entiende por “indebidamente”, aclarando que la mera infracción de obligaciones contractuales o términos y condiciones no son suficientes para cumplir esta condición. Por último, la superación de una barrera técnica debe ser un requisito del tipo penal y no un agravante del mismo.

El problema de cifrado

El cifrado de punto a punto es una tecnología clave para promover la seguridad de los sistemas, la inviolabilidad de las comunicaciones y la privacidad de las personas. El rol del cifrado de punto a punto en la promoción de la ciberseguridad es tal que la Política Nacional de Ciberseguridad chilena explícitamente llama a promover su adopción como forma de mejorar la resiliencia de los sistemas de tratamiento de la información.

Sin embargo, el proyecto se encuentra mal encaminado en esta materia al establecer que el uso de tecnologías de cifrado se considerará como un agravante de cualquiera de los delitos contenidos en la ley, en la medida que tenga por principal objetivo obstaculizar la acción de la justicia. Esta propuesta es preocupante por varias razones.

En primer lugar, criminalizar el cifrado atenta contra el principio de derecho penal que considera no condenable el auto encubrimiento. Castigar el que la persona oculte su identidad, acción que formaría parte de la comisión del ilícito, equivale a castigarlo por no favorecer su propia persecución penal. A lo anterior se suma la dificultad que implicaría el discernir cuando una tecnología es utilizada “principalmente” para obstaculizar a la justicia, en particular -como veremos a continuación- cuando el cifrado se ha transformado en el estándar para la industria a nivel global para garantizar la mayor protección de las personas en sus comunicaciones. En tal sentido, en un futuro inmediato simplemente será imposible cometer un delito informático sin haber utilizado alguna forma de tecnología que involucre cifrado. Así, la redacción del proyecto implicaría que todos los delitos informáticos estarían -por defecto- agravados por esta causal.

Más allá de la deficiencia de técnica legislativa y la perspectiva del interés jurídico por la mayor protección de las personas en el uso de las tecnologías, a cuya protección está orientada la ley de delitos informáticos, la criminalización de la utilización del cifrado de punto a punto va en el sentido inverso a dicho interés, colocando un severo desincentivo a las empresas y proveedores de tecnología que utilizan el cifrado como un elemento que mejora la seguridad de las personas y los sistemas informáticos, lo que es necesario promover y no desincentivar, como lo reconoce la Política Nacional de Ciberseguridad y la Resolución sobre Promoción, protección y disfrute de los derechos humanos en Internet de las Naciones Unidas.

Retención de metadatos: el fantasma del Decreto Espía

Actualmente las empresas proveedoras de internet tienen la obligación de almacenar y tener a disposición del Ministerio Público un listado actualizado anualmente de los números IP involucrados en las conexiones que realicen sus clientes. Esto implica que las empresas de internet tienen que crear gigantescas bases de datos con los datos de tráfico de las comunicaciones (o metadatos) de todos sus usuarios.

Los metadatos son, como su nombre lo indica, “datos sobre un dato”. No se trata del contenido de la comunicación, sino de la información que acompaña a dicha comunicación: fecha, hora, duración, geolocalización, intervinientes e información del dispositivo. Si bien los proponentes de las políticas de retención de metadatos tratan de convencernos de que se trata de información inofensiva, que no tienen el carácter de dato personal, lo cierto es que el análisis de la información de tráfico agregada de una persona permite inferir elementos sensibles como sus rutinas, hábitos, redes de interacción, sitios con los que interactúa, perimitiendo inclusopredecir su comportamiento.

Es por ello que en 2014 la Unión Europea declaró inválida la directiva sobre retención de metadatos  por resultar desproporcionada, al aumentar innecesariamente la capacidad de vigilancia del Estado y vulnerar los derechos de las personas. Del mismo modo, las políticas de retención de metadatos invierten el principio de inocencia: se recolecta información sensible de toda la población ante la posibilidad de que alguno de nosotros cometa un crimen y esa información hipotéticamente pudiese resultar útil en un proceso penal. Se nos trata a todos como sospechosos hasta que demostremos lo contrario, contraviniendo lo establecido en el artículo 4 de nuestro código de procedimiento penal.

Por último, la retención de metadatos es contradictoria con la finalidad buscada por la ciberseguridad. La ciberseguridad se trata de generar la condiciones para que las personas estén más seguras en el uso del ciberespacio. La retención de metadatos no solo es una medida desproporcionada que aumenta los costos de las empresas de internet, sino que implica que estas tendrán que almacenar innecesariamente el historial de nuestras comunicaciones. Estos datos sensibles serían expuestos innecesariamente a ser mal utilizados por quienes los almacenan o robados por delincuentes informáticos. Se trata, en definitiva, de una medida técnico-organizativa contraria a la ciberseguridad.

En Chile ya tuvimos una amplia discusión pública sobre las consecuencias adversas de la implementación de este tipo de medidas el año 2017, cuando se discutió la eventual aprobación del llamado Decreto Espía. Esta iniciativa fue rechazada por la Contraloría e incluso fue rechazada por actores de la academia, la sociedad civil, la comunidad técnica y de todo el espectro político.  

Sin embargo el proyecto de ley busca, en definitiva, aprobar los principales elementos contenidos por el Decreto Espía a través de la ampliación de la definición de “datos relativos al tráfico” para incluir información no contemplada hoy en nuestra legislación, incluyendo la localización de las comunicaciones. Del mismo modo, el proyecto pretende extender el período de retención de datos de tráfico de uno a dos años -al igual que el decreto espía- y mantiene que este sería un período mínimo y no máximo.

Las políticas de retención de metadatos han demostrado ser ineficaces para el combate del delito, vulneratorias de los derechos fundamentales de las personas, costosas para la industria, contrarias a los principios de ciberseguridad y han sido consistentemente cuestionadas en diferentes jurisdicciones alrededor del globo. Es por ello que su propuesta no debería tener lugar en un proyecto de ley que busca generar las condiciones para mantener la seguridad de las personas.

Aún estamos a tiempo

La buena noticia es que en el proceso legislativo existe la oportunidad de enmendar el rumbo del proyecto de ley y que se ingresen las enmiendas necesarias para subsanar sus falencias. Es labor de los parlamentarios modificar la iniciativa de forma tal que se eliminen sus elementos contradictorios y se perfeccionen todos aquellos que requieren ser afinados.

El Convenio de Budapest otorga a los países la flexibilidad necesaria para que implementen sus obligaciones de una manera consistente con el ejercicio de los derechos fundamentales. Es responsabilidad del gobierno y de los parlamentarios aprovechar esa flexibilidad para legislar protegiendo los derechos de los ciudadanos, un compromiso fue expresamente afirmado en la discusión parlamentaria sobre la ratificación del Convenio de Budapest, tanto en la comisión de relaciones exteriores de la Cámara como del Senado. El ejecutivo se comprometió a que la implementación del Convenio de Budapest no iba a significar un debilitamiento de los estándares procesales, derechos y garantías al interior del proceso penal. Algunos parlamentarios, como el diputado Vlado Mirosevic, incluso condicionaron su voto a dicho compromiso explícito.

Esperamos que el ejecutivo honre la palabra empeñada y se abra a modificar el proyecto a fin de que este cumpla su objeto de proteger los derechos de los ciudadanos en el ciberespacio.  

 

La delgada línea roja del cifrado y la desinformación en Brasil

En septiembre, el New York Times reportó sobre la existencia de una habitación en las oficinas de Facebook cuya función era combatir la interferencia en las elecciones. Este lugar es denominado el “cuarto de guerra” de Facebook y monitoriza las tendencias en los diferentes sitios que la compañía maneja, tales como artículos que se hacen virales o alzas en la adquisición de anuncios políticos.

El 7 de octubre, durante la primera jornada de las elecciones presidenciales brasileñas, los expertos notaron un alza en los reportes de discurso de odio orientados hacia usuarios específicamente en la zona noreste de Brasil, región donde -según las encuestas- el candidato de izquierda, Fernando Haddad, llevaba ventaja. Según Facebook, todo el contenido infractor fue removido, lo que la compañía consideró un éxito que demostraba cuán efectivos son al responder a este tipo de amenazas. Sin embargo, Brasil es apenas el caso más reciente en una larga serie de países donde la desinformación a través de redes sociales ha sido utilizada como una herramienta política.

A pesar de los esfuerzos de Facebook en hacer visible su trabajo en el combate de contenido relativo a las elecciones, Brasil sigue enfrentando un grave problema de desinformación, y la mayor parte de ésta parece estar siendo distribuida no través del sitio principal de Facebook, sino mediante otro de sus servicios: WhatsApp, la aplicación de mensajería más usada en el país, cuyos mensajes son difíciles de monitorear dado que se transmiten bajo un protocolo de cifrado. Según señaló el New York Times, 120 millones de usuarios brasileños están en WhatsApp, y en meses recientes han enfrentado una ola sin precedentes de spam en torno a las elecciones, incluyendo desde información falsa hasta instructivos sobre cómo votar.

En el contexto de las elecciones presidenciales brasileñas, esta ola de desinformación parece haber beneficiado a Jaír Bolsonaro, el candidato de derecha que enfrenta denuncias de fraude por parte de su contendiente, Fernando Haddad, quien lo ha señalado por difundir noticias falsas, por uso inadecuado de WhatsApp y por recibir donaciones corporativas ilegales para su campaña. No existen dudas de que Facebook y WhatsApp han jugado un rol significativo durante la campaña, según escribe Taisa Sganzerla para Global Voices:

Los productos de Facebook han aparecido de manera destacada en la marejada de apoyo a Bolsonaro. Junto con la amplia cobertura de medios regionales y nacionales que reflejan diversas perspectivas sobre Bolsonaro y los demás candidatos, Facebook y WhatsApp han visto oleadas de publicaciones falsas y engañosas que promocionan al candidato de extrema derecha.

Un documental reciente de VICE Brazil entrevista a integrantes de las fuerzas que apoyan a Bolsonaro, mostrando a un usuario que administra varios grupos de WhatsApp donde se difunde contenido político a favor del candidato; dicho usuario declara que la mayor parte de este contenido es recibido directamente de la plataforma electoral de Bolsonaro.

Debido a la característica cerrada de Whatsapp, que se origina tanto en su cifrado como en su carácter de aplicación de mensajería (en lugar de red social u otro tipo de plataforma), se dificulta en gran medida verificar o confirmar si el contenido que se difunde es falso o engañoso de manera deliberada. Un estudio reciente analizó el contenido de 347 chats de Whatsapp abiertos al público, encontrando que de 50 imágenes seleccionadas (consideradas las “más compartidas” en estos grupos) el 56% eran engañosas de alguna manera, y solo un 8% podían ser clasificadas como completamente veraces.

No obstante, en días recientes, WhatsApp declaró haber identificado y eliminado 100.000 cuentas “fraudulentas”, en las cuales habría detectado cuentas que llevaban a cabo prácticas de spam y comportamiento identificado como “anormal”. Por otro lado, a pesar de que el Tribunal Superior Electoral de Brasil había prometido tomar medidas contra la difusión de información falsa en el contexto de las elecciones y anunciado planes de crear un Consejo Consultivo sobre Internet y Elecciones en diciembre de 2017, las medidas anunciadas no fueron ejecutadas y desde la fecha de su creación el Consejo solo se ha reunido en dos ocasiones. Además, el tribunal no llegó a aprobar ninguna directiva en cuanto a la información falsa, ni a lanzar las herramientas y aplicaciones que había ofrecido para que los usuarios pudieran denunciar el contenido infractor.

La segunda vuelta de las elecciones en Brasil se llevará a cabo el 28 de octubre y son pocas las personas que parecen tener fe alguna en que estas medidas pudieran resarcir el daño a tiempo para tener cualquier tipo de efecto sobre los resultados. Por otra parte, como señalan Francisco Britto Cruz y Mariana Giorgiani Valente en El País, no sería inteligente pretender que manipular la opinión pública es tan sencillo como entregar el mayor número de mensajes de propaganda al mayor número de personas: la eficiencia de la campaña de Bolsonaro viene irremediablemente ligada al hecho de haber sabido apelar a las emociones de un grupo político.

Si bien no es posible ignorar las consecuencias reales de la desinformación y la manipulación de información sobre la opinión pública -particularmente sobre el derecho a la libre expresión e información de los ciudadanos- es importante no perder de vista la relevancia de proteger el cifrado y el anonimato: herramientas indispensables para la supervivencia de periodistas, activistas y ciudadanos trabajando en situaciones de riesgo. Muy probablemente la solución no se encuentre en qué plataformas o redes sociales se conviertan en mediadoras y en filtros del contenido que los usuarios reciben, sino en ofrecerle a las personas herramientas y mecanismos para diferenciar, verificar y reportar ese contenido bajo un criterio informado y crítico.

USMCA y el futuro de internet

Con la colaboración de Gisela Pérez de Acha

Cuando Donald Trump era apenas precandidato presidencial, con la posibilidad de asumir como titular en la Casa Blanca como algo distante, amenazó con forzar la renegociación del Tratado de Libre Comercio de América del Norte (TLCAN, o NAFTA por sus siglas en inglés), o bien salir del acuerdo. A la vez, calificó al Acuerdo Transpacífico de Cooperación Económica (el tristemente famoso TPP) como una “violación” a su país y anunció que retiraría a Estados Unidos del mismo en su primer día como presidente. Como tantas otras promesas, al principio parecían anuncios sin futuro. Hasta que su improbable elección determinó que ambas cosas efectivamente ocurrieran.

Sin Estados Unidos, el TPP mutó en un acuerdo que excluía, al menos temporalmente, algunas de las peores reglas para una internet libre, aunque manteniendo los privilegios para ciertos intereses del comercio (en perjuicio de los derechos fundamentales y la democracia). Pero la lista de deseos de la gran industria estadounidense de la propiedad intelectual encontraría igualmente en la renegociación del TLCAN un terreno fértil. Gracias a TPP, esas reglas ya estaban escritas y listas para ser impuestas, con un estrecho margen de tiempo para negociar y aprobar bajo el uso actual de autoridad para negociar del gobierno estadounidense. El resultado, el Acuerdo Estados Unidos-México-Canadá (AEUMC, o USMCA por sus siglas en inglés), constituye otro golpe bajo no solamente a los derechos fundamentales y las libertades en internet, sino también a la democracia.

Viejas y nuevas preocupaciones

El listado de temas vinculados a las tecnologías que cubre el AEUMC es vasto, y tal como expresa la Red en Defensa de los Derechos Digitales en su primer análisis, constituye una grave amenaza a los derechos fundamentales desde distintas aristas. Algunas de esas amenazas las conocemos desde el fallido TPP, como también por los acuerdos que han firmado otros países como Chile, Colombia, Panamá, Perú, y los países del DR-CAFTA. Así, otra vez vemos el establecimiento de un plazo mínimo de protección de derechos de autor que va más allá del estándar fijado por el Convenio de Berna, y lo sube hasta 70 años después de la muerte de la autora. Otra vez, la criminalización por la elusión de las medidas tecnológicas de protección (los “candados digitales”) que impiden la reproducción o incluso el mero acceso a una obra, sin suficientes excepciones para permitir usos razonables sin la amenaza de sanción penal.

Por otro lado, el AEUMC innova en términos negativos allí donde otras negociaciones ya ofrecían pocas garantías. El capítulo de Comercio Digital introduce una versión diluida de las exigencias presentes en el nuevo TPP de introducir reglas de protección de la información personal, permitiendo también que esa protección conste en compromisos voluntarios de parte de las empresas.

Pero más gravemente, el AEUMC restringe políticas de localización de datos que podrían usarse para limitar la transferencia de datos personales, y prohíbe las restricciones a las transferencias transfronterizas de datos, dejando serias limitaciones a la capacidad de los países de fijar reglas protectoras de la información personal. Así, algunas de las reglas de las provincias canadienses serían contrarias al acuerdo; e intentos de reforma a nivel federal o estatal en México encontrarían inmediata resistencia si incluyeran restricciones al tráfico de datos personales que puedan tomarse como contrarias al acuerdo, impidiendo mejorar la protección de las personas.

Además, las reglas para la remoción y retiro de contenido infractor de derechos de autor en línea siguen fielmente el nocivo esquema propuesto por el TPP: para que un intermediario de internet no sea corresponsable de la infracción de derechos de autor del contenido que aloja, debe retirarlo previo aviso, pero ese aviso no requiere provenir de una autoridad judicial, sino que basta con el envío del titular de derechos de autor o su representante. En otras palabras, con un aviso privado es suficiente para quitar contenidos supuestamente infractores, de manera expedita, sin intervención previa de una autoridad estatal. El riesgo de una censura masiva de contenidos como la que ya habilita la DMCA en Estados Unidos, se extiende así a cientos de millones de nuevos usuarios.

México, el gran afectado

Es comprensible que México quiera mantener buenas relaciones comerciales con sus vecinos del norte, entendiendo la interdependencia de sus economías. Pero a la vez, el Gobierno mexicano  parece estar cediendo más de la cuenta en materia de derechos digitales para mantener su nivel de acceso al gran mercado norteamericano es demasiado. Algunas de las reglas del AEUMC, tales como las relativas a la notificación y remoción de contenidos en línea, son solamente exigibles a México. Canadá obtuvo una excepción al respecto (tal como en el TPP) y Estados Unidos está exportando las reglas que ya rigen en su territorio, conforme exige el articulado que entrega autoridad de negociación al ejecutivo.

No se trata de concesiones menores, sino del condicionamiento del ejercicio de derechos fundamentales en internet. El apresuramiento, la falta de participación multisectorial y la falta de transparencia, significaron dejar de lado una discusión amplia y profunda justo al final de un Gobierno ya teñido por múltiples polémicas y por no ser capaz de sobreponerse a la actual crisis de derechos humanos en México.

El nuevo gobierno por asumir ya ha dado su apoyo al proceso y al nuevo acuerdo. ¿Quién, entonces, está del lado de las usuarias de internet?

El futuro de la democracia

El AEUMC representa no solamente una fuerte entrega de soberanía por parte de México y Canadá a los intereses de algunas industrias estadounidenses. Es también una capitulación a presiones políticas contingentes, que condiciona fuertemente la posibilidad de un intercambio justo de bienes y servicios entre naciones, por un futuro indefinido. Y dentro de ello, un acto exitoso (hasta ahora) de restricción de los derechos fundamentales en internet para cientos de millones de personas, mediante acuerdo de cúpulas a puertas cerradas.

Mirando más allá de Norteamérica, el AUEMC representa un precedente para el futuro a nivel global. A pesar de las carencias de estudio y debate, de la ausencia de flexibilidad para proteger a las usuarias, y de las falencias de transparencia y participación, el AEUMC puede todavía convertirse en el nuevo estándar al cual países poderosos pueden aspirar en otros foros, tales como la Organización Mundial de Comercio, o la negociación de nuevos tratados.

Es crucial que tanto el Ejecutivo como el Congreso en México asuman su rol, y dispongan de un debate abierto y serio sobre la verdadera necesidad de aprobar un tratado como el AUEMC, poniendo sobre la mesa la posibilidad del rechazo. Cualquier promesa de intercambio de datos o censura en este momento tendrá repercusiones políticas, económicas y sociales de muy largo alcance.

Hacia una justicia penal que hable el lenguaje de internet

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y, particularmente, a la adhesión al Convenio de Budapest.

Para el caso Paraguayo, las autoras proponen un análisis crítico sobre la Convención y su armonización en el sistema penal paraguayo, a partir de una revisión jurídica y de entrevistas a los responsables en la aplicación del código penal y procesal penal en Paraguay. Para Sequera y Samaniego, la Convención es un instrumento legal que regulariza los esfuerzos internacionales en la persecución de la conducta delictiva por medios digital, pero a su vez contiene fallas de forma y fondo, a pesar de que a primera vista se observe como una propuesta que garantiza la protección de los derechos humanos.

Es decir, la investigación expone que la Convención genera importantes conflictos de proporcionalidad con relación a la protección del derecho a la privacidad. Por tanto, para la armonización de este instrumento internacional al sistema penal interno, se deberá tomar recaudos en el diseño de investigación para acceder a las evidencias electrónicas, incautación de pruebas a través de sistemas informáticos, retención de datos de tráfico entre otros porque muchas de estas acciones procesales conllevan la violación de la Constitución Nacional paraguaya y los derechos humanos.

Entre otros puntos a destacar, se encuentran los principales hallazgos que se deberán tener en cuenta para la armonización de la Convención:

  1. Los jueces entrevistados del Poder Judicial reconocen que no cuentan con criterios técnicos para evaluar el proceso de incautación de las evidencias digitales solicitadas por el Ministerio Público. Esta situación es grave porque para otorgar autorización judicial, el juez debe analizar si el uso de tecnología es excesiva o no para la investigación penal, sin este proceso no existe salvaguarda de las garantías establecidas en la Constitución Nacional.
  2. El Ministerio público contiene protocolos de tratamientos y acceso a las evidencias, sin embargo no cuenta con protocolos específicos de evidencias digitales.

Por otro lado se encuentra el desconocimiento que tienen los funcionarios de las Unidades de delitos ordinarios del Ministerio Público sobre el rol y los delitos que persigue la Unidad especializada de delitos informáticos. Desde la creación de esta Unidad, hasta la fecha reciben casos ordinarios que tienen como evidencia el uso de tecnología. Este tipo de casos derivados genera retardos en  la persecución efectiva del delito, ya que no se determina cual Unidad ser hará responsable para la investigación fiscal.

También existe desconocimiento por parte de la ciudadanía en general sobre las instancias de persecución penal. Se recurre al Ministerio Público para realizar las denuncias delitos realizados a través de internet, sin embargo la mayoría de estas denuncias son de acción penal privada por ejemplo acoso cibernético, bullying, difamación y calumnia entre otros. Esto también genera recarga administrativa a una unidad que actualmente cuenta con dos fiscales para atender a nivel nacional todos los delitos informáticos.

  1. La policía Nacional recibe las denuncias que son etiquetadas como “delitos informáticos” en su sistema. Sin embargo no se distingue si estos delitos se adecuan a la tipificados en el código penal como delitos informáticos o simplemente son delitos ordinarios que tienen como evidencia el uso de tecnología, como por ejemplo los casos de hurto de celulares. La falta de categorización unificada de datos cuantitativos de los delitos informáticos en Paraguay genera riesgos a la hora de elaborar políticas públicas para la mitigación y persecución penal de los mismos.
  2. Paraguay no cuenta con una ley de protección de datos personales, este instrumento legal brindaría garantías y control de la información personal depositada en sistemas de almacenamiento digital, asegurando que personas que lucren sin consentimiento del titular cualquier dato de carácter personal sean llevados a la justicia. Tampoco se puede debatir un proyecto de Retención de Datos sin antes contar con una Ley de Protección de Datos Personales.

Para finalizar, las autoras concluyen que la Convención debería tomarse como una norma modelo a seguir, no como algo para aplicar: por un lado porque no tiene en cuenta la diversidad cultural, política y económica de los países, y por otro lado porque disminuye las barreras de seguridad nacional, entra en conflicto con el interés público y los derechos humanos. Es necesario realizar salvedades para no ceder jurisdicción y la privacidad de forma desproporcionada.  Además se debería de priorizar el conocimiento sobre el contenido y alcance del mismo. Debe darse un debate calmo y sereno entre todos los sectores de la sociedad con plena participación ciudadana a nivel nacional y regional, para conjuntamente elaborar una armonización eficaz y que respete los derechos humanos.

También será necesario fortalecer las instituciones penales para una mejor interpretación de la leyes nacionales e internacionales sobre vigilancia de las comunicaciones, dado el avance de las técnicas y tecnologías de vigilancia. Para que los jueces del Poder Judicial realicen un análisis de proporcionalidad de ley o el uso de software malicioso como FinFisher o cualquier forma interpretación de las comunicaciones incluyendo los metadatos, deberán estar capacitados para conocer y justificar su uso, y así evitar negligencias o abusos por parte de los otras Instituciones del sistema penal como SENAD, Policía Nacional o Ministerio Público.

Y por sobre todo desarrollar áreas que permitan contar medios de investigación académica y capacitación para ofrecer respuestas a los delitos con y en las TIC. Así también la promoción de espacios técnicos que permitan a los diferentes actores interactuar e intercambiar experiencias y opiniones. Esto es además una necesidad para el diseño de las políticas públicas en la materia, por los requerimientos técnicos que implica.

***

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales, y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y en particular a la adhesión al Convenio de Budapest.La publicación puede ser descargada aquí.

TEDIC es una organización de la sociedad civil paraguaya cuya misión es promover los principios de una cultura libre y defender los derechos civiles en internet, propiciando espacios de interacción e intercambio de conocimientos y desarrollando herramientas Web con código y diseño abierto, apoyado en un trabajo de comunicación e incidencia alternativa e innovadora.

La vigilancia masiva sufre otro traspié en Europa. ¿Se darán por enterados los gobiernos latinoamericanos?

Cinco años después de las revelaciones de Edward Snowden sobre la vigilancia de comunicaciones por parte de agencias estadounidenses (y sus socias de otros países poderosos), se siguen sintiendo los efectos en el mundo. Hace pocas semanas, el Tribunal Europeo de Derechos Humanos (TEDH) resolvió una de las acciones interpuestas por un conjunto de oenegés y periodistas contra el Reino Unido, por sus actividades de vigilancia reveladas por Snowden. En opinión del Tribunal, el programa de vigilancia británico viola los derechos consagrados en la Convención Europea de Derechos Humanos.

La noticia fue recibida por la sociedad civil con entusiasmo, pero también con cautela. A pesar de que el fallo del TEDH es enfático respecto de las prácticas rechazadas y su marco regulatorio, todavía permite algún nivel de vigilancia, incluso a nivel masivo. Además, las reglas que amparaban esa vigilancia en el Reino Unido han sido objeto de reformas con posterioridad al inicio de la controversia judicial.

¿Qué pasó con la vigilancia en el Reino Unido?

A mediados de 2013, se reveló una serie de programas y acciones de vigilancia de comunicaciones y recolección de información, actividades ejecutadas por agencias de inteligencia y seguridad de los Estados Unidos de América y sus socios de la coalición Cinco Ojos: Australia, Canadá, Nueva Zelanda y el Reino Unido. De entre esos programas, destacaban por su gravedad aquellos ejecutados por el Cuartel General de Comunicaciones del Gobierno (Government Communications Headquarters, GCHQ), amparado en la Ley de Regulación de los Poderes de Investigación de 2000 (Regulation of Investigatory Powers Act 2000, RIPA).

Lo que Snowden reveló fue una serie de prácticas que incluían la recolección masiva de información de comunicaciones privadas a través de internet, sin importar la inexistencia de sospechas ni el carácter indiscriminado de la recolección. Una interceptación masiva de la información que atraviesa cables de fibra óptica de la isla de Gran Bretaña, para su posterior almacenamiento, filtrado y análisis. Sin importar el origen o destino de las comunicaciones, afectando potencialmente a todo el mundo cuyos datos pasaran por el Reino Unido. Una espeluznante materialización digital de un Hermano Grande global, en nombre de la seguridad nacional británica.

El mismo año, múltiples organizaciones civiles entablaron acciones judiciales dentro del Reino Unido cuestionando la legalidad del sistema. Un primer fallo determinó como lícita la interceptación masiva británica y el acceso a la vigilancia estadounidense, y un segundo fallo declaró ilícito el acceso en el Reunion Unido a información recogida por los Estados Unidos. Las organizaciones elevaron el caso hasta el TEDH, acusando violaciones a los derechos a la privacidad y a la libertad de expresión, a un juicio justo, y a un trato sin discriminación, consagrados en el CEDH; violaciones provocadas por la interceptación de tráfico de internet del Reino Unido, y por el acceso a la información interceptada por los EE. UU.

Hace pocos días, el TEDH entregó su respuesta: el programa británico de vigilancia viola los derechos humanos. Más específicamente, dice el TEDH que no había suficientes salvaguardas para prevenir abusos y violaciones de privacidad al interceptar la comunicación a través de los cables (en particular, en las operaciones de elección de objetivos, selección y búsqueda de información); que se violaba la libertad de expresión, al producir un efecto paralizante sobre las usuarias; y que la recolección de metadatos es tan intrusiva como la recolección de datos (reconociendo con esto un aspecto clave de las luchas contra los mandatos de retención de datos de comunicación). También, que el acuerdo de intercambio de información entre el Reino Unido y EE. UU., por ser igual de intrusivo, requiere igual nivel de regulación y supervisión.

Sin embargo, no es un resultado del todo positivo. Para el TEDH, operar un sistema de interceptación masiva no es por sí mismo una violación de la CEDH. Por el contrario, deja a los estados un margen de apreciación para decidir el método de vigilancia para la protección de la seguridad nacional, que de forma peligrosa, puede incluir el monitoreo masivo. Además, el TEDH opinó que el régimen de intercambio de inteligencia no viola por sí mismo el derecho a la privacidad.

La lucha continúa

Las reglas combatidas con parcial éxito en el Reino Unido ya fueron objeto de modificación en 2016, mediante su reemplazo a través de la polémica Investigatory Powers Act, que incorporó en ley expresa algunas de las prácticas que ya se permitían los servicios de inteligencia británicos, expandiendo así los poderes de vigilancia. Este nuevo estatuto de espionaje ya fue declarado ilegal frente al derecho europeo por la Alta Corte británica, debiendo modificarse antes de noviembre de 2018, aun cuando la batalla parece estar recién comenzando.

Las capacidades de vigilancia del gobierno británico, tanto en sus herramientas técnicas como en sus facultades legales, resultarían tentadoras para Estados que buscan expandir su capacidad de vigilancia, especialmente si se sigue la tendencia de mirar a países de Europa como ejemplo de regulación. Es por esto que resulta clave mirar las intensas discusiones y los fallos de altos órganos internacionales sobre la materia. Sistemas avanzados de vigilancia, incluso ejecutados con autoridad legal suficiente, pueden igualmente ser atentatorios de derechos humanos cuando carecen de salvaguardas suficientes sobre los derechos de las personas. Urge atender a ejemplos como el británico para el desarrollo de estándares adecuados para la regulación de la vigilancia en nuestros países, antes de dejar nuestras vidas a merced de funcionarios, y sistemas, poderosos e inescrupolosos.

Sentirnos observados: ¿Qué sabemos sobre la vigilancia estatal en Chile?

El 23 de septiembre de 2017, en una operación coordinada entre Carabineros y la Fiscalía de la Araucanía, se detuvo a ocho comuneros mapuche por su supuesta participación en una serie de atentados incendiarios. Tras la detención, se explicó que la principal prueba incriminatoria fue una serie de conversaciones de WhatsApp y Telegram, obtenidas a través de la interceptación de las aplicaciones de mensajería.

No obstante, el 19 de octubre se ordena liberar a los detenidos por la llamada Operación Huracán. ¿La razón? La falta de fundamentos que justificaran la participación de los imputados en los hechos investigados.

Algunos meses más tarde, las pruebas presentadas por Carabineros comenzaron a ser duramente cuestionadas. Las conversaciones supuestamente intervenidas se encontraban dentro de los mismos teléfonos incautados en formato .txt, un tipo de archivo que no tiene relación con los que generan los programas de mensajería, sin marcas temporales o la estructura de un diálogo exportado de WhatsApp o Telegram; en los teléfonos de Héctor Llaitul, uno de los imputados, ni siquiera estaban instaladas las aplicaciones y los textos tenían fecha de creación posterior a la incautación. La tesis del montaje comenzó a instalarse con fuerza y se abrió una investigación, aún en curso, para esclarecer los hechos.

La historia original es que las principales pruebas en contra de los acusados habían sido obtenidas gracias a “Antorcha” y “Tubicación”, aplicaciones creadas por Álex Smith, un ingeniero comercial sin experiencia conocida en el rubro, que se desempeñaba realizando capacitaciones en el uso de programas como Excel y Autocad, desde donde fue reclutado para integrar la Unidad de Inteligencia Operativa Especializada (UIOE) de La Araucanía, a cargo de la “Operación Huracán”. Un reporte realizado por la Policía de Investigaciones (PDI), en el marco de la investigación por falsificación de pruebas, determinó que Antorcha y Tubicación jamás existieron.

Hoy, el ex director de inteligencia de Carabineros, General (R) Gonzalo Blu, el Capitán (R) Leonardo Osses, segundo al mando de la UIOE de La Araucanía, y Álex Smith, se encuentran desvinculados de Carabineros, formalizados criminalmente y con detención preventiva, mientras se investiga el caso.

En una de sus últimas declaraciones a la prensa antes de ser detenido, Smith matizó su versión: “Este era un procedimiento de phishing, malware y keylogger. No era un software como el que usa la PDI. Mezclamos aplicaciones y después se le puso Antorcha. La verdad es que no se podía basar ningún caso en Antorcha, pero servía para hacer algo de inteligencia”, declaró a La Tercera; “Lo más fácil para mí era el pishing. Comenté que se podía hacer y pregunté si era legal, me dijeron que por una ley, la de inteligencia, sí. Como era legal, empezamos a enviar pishing a distintos blancos”.

Pero, ¿es realmente válido un método como el phishing para recoger evidencia en investigaciones? Esta pregunta es crucial, pues más allá de Antorcha, Operación Huracán demuestra la diposición de Carabineros a integrar estas técnicas y herramientas en la realización de su labor investigativa.

Según Pablo Viollier, encargado de Políticas Públicas en Derechos Digitales, el panorama es claro: Carabineros utilizó herramientas poco legítimas. “Aquí las agencias de persecución penal, en parte de Carabineros, a través de sus organismos de inteligencia, echaron mano a las mismas herramientas que utilizan los delincuentes informáticos”, dice.

Pese a ello, en un primer momento Carabineros defendió sus técnicas. En un comunicado, el general (r) Gonzalo Blu, aseguró que no podía tirarse por la borda en tres semanas más de ocho meses de investigación, y que “La situación que plantea el Ministerio Público no hace más que amparar a aquellas personas que se han dedicado a causar miedo en las regiones del sur del país y deslegitima a dos importantes instituciones del Estado, las cuales deberían estar preocupadas de la lucha contra la delincuencia”.

Lo cierto es que técnicas como el phishing o infectar terminales a través de malware o keyloggers no están contempladas en el Código Procesal Penal, por lo que, en la interpretación más favorable a Carabineros, estas técnicas caen en una zona gris, con la posibilidad de que pueda ser derechamente ilegal, como sugiere un informe elaborado por la PDI.

Desde Fiscalía aclaran que la autorización es crucial cuando se trata de, por ejemplo, intervenir comunicaciones: “Siempre que exista privación o perturbación de los derechos constitucionales del imputado, el fiscal debe requerir autorización judicial previa, acorde al artículo 9 del Código Procesal Penal”. Además, agregan que con la debida autorización, es legal recoger pruebas y que pueden ser de diversos orígenes.

“El Análisis Criminal se realiza cruzando información de distintas fuentes, por ejemplo: prensa, perfiles abiertos en redes sociales, interconexión del Registro Civil, de Aduanas, del Conservador de Bienes Raíces, del Poder Judicial, junto con bases de datos de causas registradas en el Sistema de Apoyo a Fiscales”, dicen. Sin embargo, este listado no contempla la irrupción en sistemas informáticos cerrados, que es lo que precisamente buscan técnicas y herramientas como el phishing y el malware.

Por otra parte, la ley 19774 permite, con autorización de un ministro de la Corte de Apelaciones, la posibilidad de interceptar comunicaciones, sistemas y redes informáticas, pero limitados exclusivamente a actividades de inteligencia y contrainteligencia relacionadas al terrorismo, el crimen organizado y el narcotráfico, no en una causa penal. Al respecto, Viollier propone “delimitar estrictamente cuáles son los ámbitos de competencia de la Ley de Inteligencia y del Código Procesal Penal y que no se mezclen las dos materias”.

Es sumamente necesario transparentar y hacer un punteo más específico sobre los verdaderos alcances que tiene la vigilancia estatal en ámbitos legales: la interceptación de comunicaciones está permitida, pero sigue siendo un concepto demasiado amplio, que no da cuenta, por ejemplo, de la cantidad de información sensible que contiene un teléfono celular en relación a aquella que se puede conseguir a través de una escucha teléfonica.

En ese sentido, malware como el producido por Hacking Team y adquirido por la PDI supone un desafío, pues ante sus capacidades altamente intrusivas, es muy difícil establecer límites claros entre aquello a lo que pueden y no acceder. Más todavía al no existir mecanismos externos de fiscalización y transparencia respecto al uso de estas herramientas.

Que seas paranoico no significa que no te están mirando

“La idea más peligrosa en un discurso de vigilancia es ‘el que nada hace, nada teme’ porque convence al ciudadano de tener que optar entre la libertad y su derecho a la privacidad, versus una errada concepción de la seguridad, entendiéndolas en este caso como garantías incompatibles”, explica Karen Vergara de Fundación Datos Protegidos.

La poca información que se tiene sobre las verdaderas facultades que poseen los organismos estatales y fuerzas especiales a la hora realizar investigaciones, desdibuja la concepción de seguridad y nos lleva a una paranoia innecesaria: “La vigilancia de cualquier tipo limita nuestro actuar, esto significa que dejamos de realizar actividades –cotidianas o no– por el temor a estar siendo observados”, dice Vergara. De esta manera, se fomenta la desconfianza, la sensación de desprotección y falta de libertad de la ciudadanía.

Para Viollier, ha existido una falta de transparencia de los procesos que se relacionan con la vigilancia estatal, específicamente de parte desde el poder civil. “Hoy día carabineros, como rama de las fuerzas armadas, cree que se manda sola, y no existe control democrático y para eso se necesita voluntad política. No es posible que Carabineros pueda resistirse físicamente, haciendo un despliegue de fuerza, a una diligencia ordenada por Fiscalía”, dice.

“Es fundamental que el Estado tenga un rol preponderante en la protección de la información personal de sus ciudadanos, tanto en sus relaciones con empresas privadas como con organismos públicos, que asegure un manejo de los datos conforme a los fines que permite la ley, evitando el abuso en el tratamiento de los mismos”, sostiene Vergara.

Con sus principales protagonistas formalizados y detenidos, un año más tarde la Operación Huracán deja en evidencia más preguntas, vacíos y sensaciones amargas que claridades en la ciudadanía.

Si no queremos otro Huracán, hay que hacer algunos cambios importantes

La presente intervención no tiene como objetivo el señalar responsables concretos de las irregularidades cometidas durante la Operación Huracán, sino dar a conocer las insuficiencias regulatorias e institucionales que permiten a las policías operar sin los controles y contrapesos adecuados, y que deberían implementarse para impedir que una situación similar vuelva a repetirse.

Durante la Operación Huracán, Carabineros operó y realizó diligencias investigativas altamente intrusivas sin respetar el principio de no deliberación. Para ello se utilizó el procedimiento especial de la Ley de Inteligencia, figura que permite a las policías actuar sin el debido control por parte del Ministerio Público, como si fuese un interviniente en el proceso penal y no un auxiliar de la administración de justicia.

La información obtenida por estos medios carece totalmente de legalidad como prueba al interior de un proceso criminal, ya que ha sido obtenida sin supervisión de parte del Ministerio Público y sin una autorización previa de parte del Juez de Garantía competente. Por otro lado, no resulta aceptable la utilización de la Ley de Inteligencia para la obtención y producción de prueba al interior de un procedimiento penal, ya que ambos procesos responden a objetivos distintos y tienen distintos requisitos para la realización de medidas intrusivas. Este principio de “utilización exclusiva de la información”  fue reconocido por el legislador en el mensaje de la Ley Nº 19.974 al señalar que la información recogido y producida por el Sistema de Inteligencia del Estado sólo puede ser usado para el cumplimiento de sus respectivos cometidos.

En este sentido, resulta altamente preocupante el carácter amplio y poco específico de la resolución de la Corte de Apelaciones de Temuco al momento de autorizar las diligencias de Operación Huracán. Esta falta de especificidad no sólo incumple lo establecido en los artículos 23 y 28 de la Ley de Inteligencia, sino que dan cuenta que el examen realizado por las Cortes es más bien de carácter formal y no está cumpliendo el objetivo de controlar materialmente el actuar policial.

La utilización de la Ley de Inteligencia también resulta improcedente debido a que esta habilita a los organismos de inteligencia a realizar diligencias mucho más intrusivas que las contenidas en el Código Procesal Penal. Mientras este último sólo autoriza la interceptación de comunicaciones, el artículo 24 de la Ley de Inteligencia admite “la intervención de cualesquiera otros sistemas tecnológicos destinados a la transmisión, almacenamiento o procesamiento de comunicaciones o información”. Por tanto, la utilización de prueba obtenida por estos medios no podría ser acompañada en el proceso penal, ya que fue producida a través de procedimientos no admitidos en el Código Procesal Penal.

En el caso particular de Operación Huracán, la prueba supuestamente obtenida tampoco cumple con el estándar señalado en el artículo 24 de la Ley de Inteligencia. De acuerdo a Carabineros el supuesto malware instalado en los aparatos de los imputados fue introducido a través de una técnica denominada phishing, una forma fraudulenta de obtener información confidencial como nombres de usuario y contraseñas disfrazándose como una entidad confiable en una comunicación electrónica. Este uso del engaño fraudulento, propio de los delincuentes informáticos, con el fin de instalar un programa malicioso (malware) no se encuentra amparado ni en la Ley de Inteligencia ni en el Código Procesal Penal.

Nuestro ordenamiento jurídico permite exclusivamente, y en hipótesis excepcionales, la interceptación de comunicaciones y la intervención de sistemas tecnológicos. La utilización de malware permitiría a las fuerzas de orden acceder a: el correo electrónico, el contenido de las aplicaciones de comunicación, los contactos, la ubicación geográfica, el micrófono de la terminal, la cámara y a un registro de las teclas que oprime el afectado. En otras palabras, permite un control total de la vida privada del afectado, hipótesis que no está amparada en nuestro ordenamiento jurídico.

En este sentido, resultan sumamente preocupantes las declaraciones realizadas a la prensa por el General (r) Blu, en las cuales se lamentaba que este caso hubiese salido a la luz, ya que en adelante los delincuentes sabrán que no deben hacer click cuando reciban un enlace sospechoso en su teléfono. Esta declaración habla de un interés futuro de la institución de Carabineros de seguir utilizando una técnica intrusiva, a todas luces ilegal y que vulnera los derechos fundamentales de los afectados.

El debido proceso de los imputados no solo se vio vulnerado por el hecho de que la prueba utilizada haya sido falsa, sino que por la falta de transparencia en su producción. El hecho de que no se haya informado a los defensores, cómo y a través de qué mecanismos se produjo la supuesta interceptación de comunicaciones impide que estos tengan la posibilidad de desvirtuarlas, vulnerando el principio de igualdad de armas y dejando, en definitiva, a sus representados en la indefensión.

Por último, el caso de Operación Huracán muestra que el procedimiento de custodia de evidencia digital por parte de Carabineros es complemente insuficiente y poco profesional. La implantación de archivos en terminales que ya habían sido confiscados y el hecho de la prueba presentada estuviese en formatos fácilmente editables dan cuenta de la falta de controles técnicos para evitar la creación de prueba fraudulenta.

En consecuencia, se sugiere estudiar la pertinencia de modificar la Ley de Inteligencia a fin de que se incorpore en forma expresa una prohibición que impida que la información recopilada a través de sus procedimientos sea utilizada como prueba al interior de procedimientos criminales y una referencia expresa a la prohibición del uso de técnicas de hacking e infectación con software malicioso como técnica de investigación por las policías. Del mismo modo, es necesario hacer más riguroso el control que las Cortes de Apelaciones ejercen sobre las medidas intrusivas contenidas en la Ley de Inteligencia. Por último, urge establecer criterios técnicos y profesionales que permitan cautelar la cadena de custodia de evidencia digital en los procedimientos criminales.

* Esta intervención fue realizada ante la Comisión investigadora sobre actuación de organismos policiales, de persecución criminal y de inteligencia en Operación Huracán.

Más allá de Álex Smith: vigilancia estatal y el rol de la prensa

Operación Huracán no fue solo un ejercicio de investigación criminal, sino también una acción de estrategia comunicativa: Las cámaras del noticiero de Canal 13 capturaron el allanamiento y la detención de los comuneros mapuche, y -al igual que EMOL– reprodujeron los mensajes supuestamente interceptados por la Carabineros. Los mismos que hoy se asumen como falsos y que tienen a el ex director de inteligencia, General (R) Gonzalo Blu, el Capitán (R) Leonardo Osses, segundo al mando de la UIOE de La Araucanía, y Álex Smith, desvinculados de la institución, formalizados criminalmente y con detención preventiva, mientras se investiga el caso.

Ante un caso que solamente planteaba interrogantes, el desempeño de la prensa fue aquí cuestionado por limitarse a transmitir la información oficial y no plantear las preguntas necesarias. Pero luego vino el vuelco, y a medida que la tesis del montaje agarró fuerza, el trabajo periodístico en torno al caso empezó revelar información sumamente interesante. En ese sentido, la labor que han realizado medios como Ciper y La Tercera ha sido importante, permitiéndonos echar un vistazo a un territorio usualmente opaco, como es el de la vigilancia estatal.

En se sentido, llama la atención, por ejemplo, que la acusación realizada por el periodista de Ciper Nicolás Sepulveda, sobre una extensa operación de escuchas telefónicas montada por la UIOE de La Araucanía no haya causado más revuelo e indignación. Pareciera ser que la gran discusión girara en a los softwares que podrían o no haber existido y su posible creador, Álex Smith.

Y como periodista, lo entiendo: Smith es un personaje excéntrico y carismático, sus fallidos intentos por demostrar su supuesta invención son divertidos y la historia de un ingeniero agrónomo que terminó involucrado en uno de los mayores escándalos para Carabineros en el último tiempo es, en efecto, atractiva. Sin embargo, la existencia (o no) de Antorcha no es la parte más relevante de este relato, del mismo modo en que Smith no es tampoco el principal responsable.

Lo verdaderamente importante acá es precisamente lo poco que sabemos respecto a los modos en que opera la vigilancia estatal, cubierta por un espeso manto de secretismo y nulas posibilidades de fiscalización externa. La Operación Huracán es el resultado no solamente de funcionarios inescrupulosos, sino de todo un sistema que les permitió actuar.

Generar mecanismos de control y transparencia es crucial. Y ahí, la prensa tiene un rol importantísimo que jugar, investigando, cuestionando, incomodando. Es de esperar que el impulso que ha tomado el tema a propósito de la Operación Huracán no muera una vez que se defina el destino de Álex Smith.

El Convenio de Budapest en contexto: la seguridad digital como parte de la política criminal

El personal administrativo de una universidad colombiana descubrió un día que todas las notas de sus alumnos habían sido cambiadas a 5, la máxima posible. Todas la notas de todos los programas, el histórico de calificaciones y el promedio semestral. Los encargados de la infraestructura tecnológica de la universidad afirmaron que el atacante conocía bien la forma de funcionamiento del sistema de notas y que están trabajando en colaboración con las autoridades para encontrar al culpable.

Ingresar sin autorización a un sistema informático, como puede ser lo que sucedió en esta universidad, se sanciona en Colombia con penas de 4 a 8 años de prisión. El acceso abusivo a un sistema informático junto con los delitos de obstaculización ilegítima de sistemas o redes, interceptación de datos informáticos, daño informático, uso de software malicioso, violación de datos personales o suplantación de sitios web para capturar datos personales, entre otros, conforma el capítulo de delitos informáticos en el Código Penal Colombiano.

La preocupación por este tipo de conductas también está expresada a nivel internacional. El Convenio de Budapest sobre ciberdelincuencia es un acuerdo entre varios países, principalmente europeos, para buscar un mínimo común entre las diferentes legislaciones en la persecución de conductas que, por su naturaleza transnacional, requieren de la colaboración de las autoridades para su investigación y posterior sanción. Como en el caso de la universidad colombiana, quien quiera que haya cambiado las notas podría haber estado físicamente en cualquier lugar del mundo, y, además, el mismo sistema de notas podría estar en servidores en Estados Unidos o Europa. Por eso las diferentes autoridades que deben investigar estos hechos requieren de un marco normativo que permita la colaboración entre ellas.

Ya que el Convenio de Budapest es un tratado internacional, se requiere que su aprobación se haga por medio de una ley que debe expedir el Congreso, luego ser firmada por el Presidente y que la Corte Constitucional debe revisar para que no haya desacuerdo con la Constitución. Actualmente, el proyecto de Ley para la aprobación del Convenio está siguiendo su proceso en el Senado.

El proyecto estará sometido a los problemas de cualquier otro tratado. Especialmente, es importante hacer notar la poca participación ciudadana que ocurre en la aprobación de tratados internacionales y la tendencia de la Corte Constitucional a rechazar las leyes aprobatorias de tratados por razones formales, y no sustanciales. Sin embargo, de los múltiples contextos en los que se puede discutir los efectos del tratado sobre cibercrimen, es relevante para Colombia pensar este problema en el marco de la política criminal.

La política criminal es “el conjunto de respuestas que un Estado estima necesario adoptar para hacerle frente a conductas consideradas reprochables o causantes de perjuicio social con el fin de garantizar la protección de los intereses esenciales del Estado y de los derechos de los residentes en el territorio bajo su jurisdicción. Dicho conjunto de respuestas puede ser de la más variada índole”. [1]

Desde esa perspectiva, el Estado decide que algunas conductas sociales que merecen una respuesta oficial y luego busca las diferentes formas en las que puede concretar dicha respuesta. El objetivo de estas intervenciones es la defensa de los derechos de las personas, por lo cual, en todos los casos, las soluciones deben estar orientadas a ese fin. Sin embargo, el tipo de intervención estatal debe variar de acuerdo al problema social, por lo cual, el derecho penal, es decir, criminalizar una conducta, debe ser visto como un tipo de intervención entre otras.

Como dice la Comisión Asesora de Política Criminal: “un Estado democrático debe minimizar la intervención punitiva, pues si la garantía y protección de los derechos humanos y de los bienes jurídicos fundamentales pueden ser alcanzadas por vías distintas a la penal, como la política social, las políticas preventivas o el uso de mecanismos administrativos de control, entonces es ilegítimo recurrir al instrumento penal. En otras palabras, se trata de que “el derecho penal es de ultima ratio”, es decir, la última herramienta a la que un estado puede recurrir cuando encuentra una conducta que merece una reacción oficial.

Volviendo al Convenio de Budapest, es necesario entonces que su aprobación en Colombia no solo se trate de la simple criminalización de conductas, sino, también, de reflexionar sobre otro tipo de intervenciones que son necesarias para proteger los derechos de las personas en el contexto digital. Si el Estado asume con seriedad el principio según el cual derecho penal es la última reacción posible, es necesario entonces tomar en serio la labor de prevención.

Ante la indeterminación de buena parte de los actores y las motivaciones detrás del cibercrimen, el Estado debe apostar por la ciberseguridad con un enfoque de derechos humanos como una forma de prevención del cibercrimen. Al tiempo, es necesario aclarar la confusión entre ambas y entender que muchas de las conductas que hoy se relacionan con el cibercrimen, en realidad son acciones que fortalecen la seguridad digital y que no pueden ser castigadas de plano.

Teniendo en cuenta esto, algunos problemas que son enfocados dentro del cibercrimen tienen otro significado si se asume, de nuevo, que el derecho penal está reservado para lo más grave y que, por tanto, la prevención de las conductas que se quiere evitar es una mejor alternativa. Uno de estos problemas es la búsqueda y reporte de vulnerabilidades dentro de los sistemas informáticos del gobierno. Desde una perspectiva del derecho penal, esto podría ser un delito. Sin embargo, adoptar esa posición implicaría olvidar el contexto en el que se desarrollan este tipo de reportes.

En Colombia no existe un organismo independiente que pueda atender eficientemente los casos en los que por varias razones se encuentra una vulnerabilidad en los sistemas de información o de infraestructura digital. Actualmente existe el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), que está dentro del Ministerio de Defensa, el Centro de Operaciones de Seguridad del Comando Conjunto Cibernético de las Fuerzas Armadas (CCOC) y el Centro Cibernético Policial (CCP). Como se ve, estos no son organismos independientes pues hacen parte de la rama del estado encargada de la seguridad y defensa nacional. El trabajo de reporte y solución de vulnerabilidades puede ser dirigido en condiciones de mayor confianza, que descarte el temor a la acción penal por reportar fallas en los sistemas informáticos.

El contexto institucional de la seguridad digital, entonces, es clave para que la prevención del cibercrimen sea una realidad. Este tipo de reflexiones no pueden ser ajenas a la discusión de la aprobación del Convenio de Budapest pues solo criminalizar conductas no es suficiente para solucionar los retos que plantea la seguridad digital para los derechos humanos. La perspectiva de la seguridad digital debe ser privilegiada para pensar estos problemas, en vez de reaccionar con el derecho penal, que es la herramienta más agresiva y quizás menos eficaz cuando no hay una adecuada política de prevención.

[1]         Corte Constitucional de Colombia. Sentencia C-646 de 2001. M.P. Manuel José Cepeda Espinosa. http://www.corteconstitucional.gov.co/relatoria/2001/c-646-01.htm

***

Esta columna fue escrita por Juan Diego Castañeda y es la cuarta de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Fundación Karisma, la investigación se titula «Convenio de Budapest: aplicación en Colombia frente a derechos humanos» y puede ser descargada aquí.

La Fundación Karisma es una organización de la sociedad civil que busca responder a las amenazas y oportunidades que plantea la “tecnología para el desarrollo” al ejercicio de los derechos humanos.

Prohibido soñar

A principios de agosto, un joven estudiante escribió un tuit sobre un sueño que incluía a una ministra de Estado, la portavoz del actual gobierno chileno. El tuit relataba un intento de seducción de la ministra con el propósito de poner una bomba. Semanas después, se volvió sujeto de una investigación penal: tras una denuncia personal por parte de la ministra, la policía uniformada comunicó de la investigación al estudiante personalmente, un domingo por la mañana.

La situación se volvió polémica rápidamente. El uso del aparato estatal estaba volcado a investigar una supuesta amenaza, que poco se condecía con el texto y el contexto de la expresión utilizada. Y a la vez, puso en relieve la actitud de la autoridad frente a expresiones que, en principio, creemos libres y protegidas por el marco de derechos fundamentales.

Amenazas” en línea

En Chile, la ley sanciona a quien amenaza “seriamente a otro con causar a él mismo o a su familia, en su persona, honra o propiedad, un mal que constituya delito, siempre que por los antecedentes aparezca verosímil la consumación del hecho”. Se requiere amenazar un mal, de forma seria y verosímil. El relato de un sueño que contenía un propósito difícilmente podría tomarse como el anuncio de siquiera intentar la comisión de un delito. Menos aún de forma seria o medianamente verosímil.

La puesta en marcha de la actividad de la policía y del Ministerio Público, sin una ponderación suficiente del lenguaje del tuit y del contexto general, muestra una particular falta de criterio para el uso de recursos públicos destinados a la prevención y persecución del delito. Es decir, se moviliza al estado a reprimir una situación que, aun a simple vista, constituye una expresión sin importancia.

Pero no es solamente esa persecución la que resulta problemática. En un contexto social donde cada hora decenas de personas, especialmente mujeres, son objeto de acoso, amenazas serias de daño físico, incitaciones a la violencia y mucho más, la persecución de una expresión menos seria, debido a la sensación de una figura de autoridad, resulta una forma de desconocer y banalizar actos mucho más serios y mucho más frecuentes. Una utilización selectiva de los recursos del estado, denegada a personas más vulnerables, incluso con resultados fatales.

La vigilancia de las redes sociales

La policía también reveló su modo de actuar sobre las redes sociales: un “patrullaje” sobre las redes sociales, vigilando potenciales actos delictuales a partir de lo discutido de forma abierta en aplicaciones y sitios de internet. Profesionales, dedicados activamente a seguir conversaciones “públicas” en busca de amenazas.

Es difícil olvidar el caso de otro joven acusado hace varios años de agredir a la policía, identificado erróneamente, a partir de la vigilancia de sus redes sociales, y la inclusión en una lista de perfilamiento. Es decir, no es una novedad que esta forma de investigación proactiva existe. Sin embargo, la falta de transparencia a ese respecto es significativa, y deja a la ciudadanía en una importante desventaja frente a los riesgos que implica ser parte de una opaca base de datos policial. ¿Cuáles son los límites y los procedimientos que hoy usa la policía? ¿Cómo está acumulando y sistematizando la información de individuos? ¿Qué resguardos existen? Relatar los sueños propios, o la ubicación, u otras expresiones usadas en redes sociales, también es una muestra de aspectos íntimos de cada persona. Acumular y procesar datos publicados en una red social también tiene impacto sobre la privacidad. ¿Qué evaluación de riesgos ha hecho la policía?

Asimismo, parece paradójico que la misma policía cuyos funcionarios daban poca importancia al hecho puntual, haya requerido hacerse del dispositivo del investigado, obteniendo así acceso a la vida completa del mismo. Sin perjuicio del carácter voluntario de la entrega, ello es a todas luces el acceso a una cantidad desproporcionada de información privada en relación con la situación investigada.

Expresiones vigiladas, expresiones menos libres

La divulgación del hecho por la prensa fue exagerada y hasta falaz. La policía se refirió abiertamente a las (inexistentes) advertencias de instalación de un artefacto explosivo. Un periódico de circulación nacional puso el hecho en portada. Varios medios sostuvieron que el investigado había sido detenido, aun cuando no era cierto. De la misma forma, varios titulares daban a entender la existencia de una amenaza real contra una ministra de estado. Con esto, se produjo la amplificación de la noción de la amenaza en redes sociales, y del involucramiento de la policía en su persecución. Como denunciaran desde la asociación de estudiantes de la escuela del investigado, ello afectó su honra, además de su libertad de expresión.

Pero es relevante considerar que hacer de esta situación un evento con tal nivel de difusión, ayudada por los medios, afecta no solamente a las personas investigadas. La existencia de “ciberpatrullajes” y de visitas de la policía por expresiones aparentemente inocuas, pero referidas a autoridades de gobierno, termina incidiendo en la capacidad para expresarse. Porque no solamente se vulnera el derecho a la libertad de expresión cuando se reprime una marcha o se censura una publicación. También se amenaza a la libertad de expresión cuando se usa selectivamente la persecución estatal, mientras tantos casos de violencia en línea resulta en la no participación en espacios digitales. También se amenaza a la libertad de expresión cuando se invita a la autocensura, por el riesgo de una visita de la policía tras la osadía de contar un sueño.