Tipo de contenido (Recurso): Columnas

El ataque de las máquinas de censura que amenaza a Europa

Día a día utilizamos y convivimos con tecnologías que no comprendemos. Sabemos operarlas y obtener ciertos resultados, pero desconocemos el modo en que estos resultados se logran. Entre más invisibles sean las técnicas utilizadas y el conocimiento aplicado, mejor: apenas presiono el interruptor la habitación completa se ilumina; cuando giro la llave, cae el agua. Y aunque para algunos esta idea parezca herética o paradójica, supongo que es normal dado el grado de especificidad que ha alcanzado hoy el conocimiento. Simplemente no se puede saber todo. No es necesario.

Esto no significa que nuestra ignorancia respecto al modo como la tecnología opera esté exenta de problemas. En la medida que la tecnología se complejiza y se vulgariza, empieza a tener connotaciones mágicas y pareciera ser que no hay problema que no se pueda resolver mediante un algoritmo, lo que sea que eso signifique. Y cuando esta idea respecto a la tecnología es promovida por tomadores de decisiones -ya sea por honesta ignorancia o de forma maliciosa- las consecuencias pueden ser gravísimas.

Esto es lo que está pasando hoy en Europa, a propósito de la discusión del polémico artículo 13 de la propuesta de directiva del Parlamento Europeo y del Consejo sobre los derechos de autor en el mercado único digital. Básicamente, el artículo busca que los intermediarios de internet implementen medidas tecnológicas capaces de detectar contenido infractor de derecho de autor antes de que este sea publicado en línea, impidiendo así cualquier daño a los titulares.  Estas medidas deben ser adecuadas, proporcionadas, y los intermediarios deben implementar un sistema de apelación al que los afectados puedan recurrir en caso de que su contenido hubiese sido incorrectamente bloqueado.

A primeras no se ve mal. Sin embargo, en la práctica esto significa implementar filtros que analicen todo el contenido de todos los usuarios de internet en Europa, y lo compare con una base de datos de contenidos protegidos, proporcionada por los representantes de los titulares de derecho de autor. Y visto así, se trata de una idea terrible.

Las razones son múltiples, desde el hecho de que contraviene el régimen imperante en donde los intermediarios no son responsables de los actos realizados por sus usuarios en internet, hasta la carga que implica el desarrollo e implementación de dichos filtros, particularmente para intermediarios pequeños y medianos. Pero el principal argumento en contra del artículo 13 es que, si ponemos a un algoritmo a cargo de decidir qué constituye infracción de derecho de autor, las máquinas la van a cagar. Y la van a cagar feo.

Como hemos mencionado innumerables veces en el pasado, el derecho de autor se trata, esencialmente, del justo balance entre los derechos de explotación económica que posee el titular de una obra, y los derechos de todo el resto de la comunidad para acceder al conocimiento y la cultura, expresarse y ser parte de la vida cultural de una región.

Se entiende así que existe un valor mayor, en torno a la proliferación de un ecosistema creativo, que se está nutriendo constantemente de los aportes y desarrollos realizados por los distintos miembros de la comunidad. En ese sentido, el derecho de autor constituye un incentivo a la producción de obras, pero no puede significar un impedimento o un freno para el desarrollo del conjunto, del bien común. Es por eso, por ejemplo, que las legislaciones de derecho de autor siempre reconocen la posibilidad de realizar algunos usos de ciertas obras sin necesidad de pedir autorización.

El problema es que si ponemos a una máquina a decidir qué constituye una excepción y cómo se diferencia de una infracción al derecho de autor, es muy probable que, en un número importante de casos, la máquina no sea capaz de responder fehacientemente. Es por ello que una de las principales banderas de lucha en contra del artículo 13 es que impedirá la proliferación de memes, pieza fundamental del actual internet. Normalmente el meme es creado como un uso transformativo de una obra previa, ya sea a modo de cita o parodia, que resignifica a la obra, dotándola de un nuevo significado, un sentido diferente, un valor de uso distinto, en el contexto de una comunicación carente de una explotación comercial directa. Todo esto, que es evidente cuando se analiza un meme, puede no serlo para una máquina, sobre todo en aquellos casos en que la lógica del meme requiere que la intervención de la imagen no sea extensiva. Las probabilidades de marcar usos justos, excepcionales o inocuos como infracción son altísimas, y lo que se arriesga es precisamente afectar la fertilidad creativa del ecosistema digital, el derecho a la libertad de expresión y a la participación en la vida cultural.

Más todavía, cuando la comparación debe ser hecha a partir de una lista de obras provista por los representantes de los titulares de derecho, las posibilidades de abusar el sistema son amplias. Basta que solamente una obra sea -genuina o maliciosamente- incluida por error en un listado de obras protegidas. Cosa que ya ha pasado en otras partes del mundo.

¿Pero el sistema estipula que deben existir criterios de proporcionalidad y mecanismos de protesta para reclamar decisiones incorrectas? Es cierto, pero, no se detalla cuáles deben ser esos criterios; y respecto a la posibilidad de apelar a una decisión, es muy probable que los reclamos sean relegados a un limbo del cual salir puede ser difícil, incluso perdiendo la ventana de relevancia que puede tener la publicación de algún contenido, por ejemplo en un contexto de protesta.

Todas estas aprehensiones vienen de casos de la vida real. Los abusos al filtro de derecho de autor de Google han sido ampliamente documentados;  en América Latina, sabemos de al menos un caso en el cual el desbalanceado procedimiento de la plataforma de video fue utilizado para remover contenido con el fin de censurar contenido desfavorable al ex-presidente ecuatoriano, Rafael Correa, y, más recientemente, una publicación de la eurodiputada Julia Reda donde explicaba el peligro que encierra el artículo 13 fue (y sigue) sospechosamente bloqueado, a pesar de la reclamación de contenido legítimo. Lo ridícula de esta última situación debería ser suficiente para poner freno a una idea nefasta.

Pero luego la pregunta perdura: ¿se propone esta solución pues no se entiende cómo funciona la tecnología y se tiene la esperanza de que de verdad estos problemas puedan ser solucionados (lo que probablemente no va a ocurrir) o se confía en que el resto de la gente desconoce cómo funciona la tecnología para poder implementar un sistema que -se sabe- puede ser abusado en favor de quienes proponen una concepción maximalista del derecho de autor?

Como sea, lo cierto es que la sociedad civil se está movilizando. El próximo domingo 26 de agosto, distintas organizaciones basadas en Europa están llamando a una serie de manifestaciones públicas en todo el continente en contra del artículo 13 y la #CensorshipMachine. Les deseamos éxito y seguiremos pendientes de los siguientes pasos.

Herramientas para perseguir a la oposición en Guatemala

El proyecto de vigilancia, creado en 2012 por el gobierno guatemalteco, se inicia por la adquisición por vía de excepción por parte de la Dirección General de Inteligencia Civil (DIGICL) de un software por valor de 1.4 millones de quetzales (alrededor de 186.000 dólares) cuya finalidad es permitir la intercepción de mensajes y correos electrónicos. A finales del mismo año, se suma la compra de dos maletines con fines de intercepción de llamadas telefónicas, por un valor equivalente a 2.5 millones de dólares. De acuerdo con Nuestro Diario, entre los softwares adquiridos se encuentran “las versiones más avanzadas” de Pegasus, Pen-Link, Circles, Citer, Conceptus, Memex, Sitev, Laguna, Avatar y del software Galileo, de Hacking Team, empresa que ha sido objeto de escándalo anteriormente al venderle su software a una larga lista de gobiernos latinoamericanos.

La investigación revela que la Dirección General de Inteligencia Civil, cuyo mandato es la recolección de información para el combate del crimen organizado, utilizó la información recabada con fines políticos, en el contexto de las protestas por corrupción enfrentadas por el gobierno entre 2014 y 2015. Así, a medida que crecía el rechazo hacia los actos gubernamentales, se fue incrementando la vigilancia contra todo aquel que el gobierno considerara un enemigo político, incluyendo no solo la interceptación de las comunicaciones tanto digitales como analógicas, sino también la vigilancia física, todo esto llevado a cabo por grupos de trabajo conformados tanto por militares como por civiles. Estas técnicas fueron también usadas para vigilar a los manifestantes durante las protestas de 2015.

Tal como resume la Fundación Acceso en la siguiente infografía, entre 2012 y 2014 el gobierno habría ido ampliando progresivamente sus capacidades de vigilancia, adquiriendo actualizaciones de software y alquilando un edificio destinado exclusivamente al centro de espionaje.

De acuerdo con la investigación presentada por Nuestro Diario, el sistema de vigilancia permitiría a las autoridades interceptar las comunicaciones telefónicas y los servicios de mensajería, hacer una copia espejo de lo que se escribe en un dispositivo intervenido, infiltrarse en redes sociales mediante la creación de perfiles falsos, así como activar la cámara y el micrófono de teléfonos celulares y computadoras con la finalidad de grabar audio, video y fotografías. Como señalamos, este tipo de prácticas no son nuevas en la región: ya en 2016 se denunciaba la adquisición por parte de los gobiernos de México, Honduras, Panamá, Ecuador, Colombia, Brasil y Chile del software proporcionado por Hacking Team, y se sabía que al menos otros seis países de la región (incluida Guatemala) habían sostenido negociaciones para la compra de este software.

Enrique Degenhart, Ministro de Gobernación guatemalteco, declaró negando la existencia de la red de espionaje, y afirmó que el sistema, que fuera adquirido por la administración anterior durante la presidencia de Otto Pérez Molina, estaría en poder de la Fiscalía y la CICIG (Comisión Internacional contra la Impunidad en Guatemala). Según Degenhart, las herramientas fueron secuestradas por las autoridades por la vía judicial. Pérez Molina actualmente cumple prisión preventiva por cargos de corrupción. “No tenemos conocimiento sobre qué están haciendo con ellas”, señaló el ministro, añadiendo que el uso de estas tecnologías estaría a discreción de las instituciones que las secuestraron, en lo que parece ser un intento de desmarcarse de cualquier responsabilidad sobre el uso de estos sistemas para la vigilancia.

Este tipo de circunstancias, precisamente, apunta a uno de los problemas más graves respecto a las tendencias recientes en tecnologías para la vigilancia en Latinoamérica: la total carencia de transparencia y rendición de cuentas en los procesos de licitación, adquisición, implementación y uso de estas tecnologías, que son adoptadas en procesos de secretismo bajo excusas de “seguridad nacional” e “inteligencia militar”, incurriendo así en afectaciones gravísimas a la privacidad de los ciudadanos sin que estos posean ningún mecanismo ni posibilidad alguna de ejercer los controles pertinentes sobre la manera en que son vigilados, y sin que puedan ser protegidos por las garantías judiciales mínimas que garanticen la proporcionalidad, la necesidad y la legalidad de las medidas tomadas.

Este tipo de tecnologías, que facilitan a los Estados la utilización de técnicas de hackeo con fines de vigilancia, socavan la privacidad de los ciudadanos de un modo especialmente grave, por cuanto recurren a la explotación de vulnerabilidades de seguridad en los sistemas informáticos, frecuentemente sin justificación legal y en maneras que no suelen ser compatibles con la normativa internacional en materia de derechos humanos. Así, Privacy International señala, en un informe de 2017 sobre la práctica del hackeo con fines de vigilancia en América Latina:

No queda claro si estas actividades pueden en alguna instancia realizarse en conformidad con las normas internacionales de derechos humanos. Si los Gobiernos insisten, a pesar de lo anterior, en poner en práctica estas facultades, deben cumplir con una serie de salvaguardas necesarias mínimas (según lo establece la legislación internacional en materia de derechos humanos) que aborden las implicancias que tiene el hackeo en la seguridad.

En este sentido, el primer factor de urgencia, tanto en Guatemala como en el resto de Latinoamérica, es la articulación de una base legal clara con respecto a las actividades de inteligencia, vigilancia y hackeo llevadas a cabo por parte de los Gobiernos. La carencia de una base legal clara, específica y que haya sido creada a través de una discusión abierta, pública y de carácter parlamentario, con la inclusión de todos los sectores de la sociedad, es el primer factor que ocasiona que todas estas actividades estén siendo llevadas a cabo en violación de las normativas internacionales en materia de derechos humanos. Por otra parte, si bien la Procuraduría de Guatemala anunció la apertura de un expediente para investigar los hechos mencionados, los gobiernos de la región han sido consistentes en ignorar las investigaciones o procesos judiciales que deberían haber sido llevados a cabo al descubrir las irregularidades cometidas en la implementación y uso de estas tecnologías, así como en lo que respecta a la revisión necesaria de las leyes vigentes.

Mientras seguimos siendo vigilados, la transparencia, la rendición de cuentas y la creación de garantías y controles judiciales efectivos frente a las medidas invasivas a la privacidad se hacen cada vez más urgentes. De lo contrario, la vulneración constante a nuestra privacidad no será más que un factor adicional en el debilitamiento de nuestra libertad de expresión y participación y por ende, en el socavamiento de las ya frágiles democracias de nuestra región.

La necesidad de legislar sobre cibercrimen en Panamá

El Networked Readiness Index (NRI) es un indicador producido por el Foro Económico Mundial sobre acceso a las Tecnologías de la Información y comunicación, que busca medir qué tan preparado está un país para afrontar la transición al nuevo mundo, marcado por la convergencia de tecnologías digitales, físicas y biológicas, en lo que algunos economistas denominan “la cuarta revolución industrial”. Según el NRI, Panamá se encuentra en una posición de ventaja frente al resto de países centroamericanos, el uso de las tecnologías es cada vez más frecuente en un creciente espectro de actividades diarias de los ciudadanos.

Sin embargo, el uso de las tecnologías de la información no está necesariamente limitado por la legalidad y, en algunos casos, se está utilizando también para cometer delitos: el creciente acceso a internet y las tecnologías de la información han requerido de la creación de marcos jurídicos que lidien con los delitos cibernéticos, un aspecto que la legislación panameña todavía tiene pendiente de resolver.

Lo interesante es que Panamá fue el segundo país latinoamericano en ratificar el Convenio de Budapest, después de la República Dominicana: La Asamblea Nacional de Panamá aprobó el Convenio sobre la Ciberdelincuencia a través de la Ley 79 del 22 de octubre de 2013; Panamá aprobó el texto del Convenio de Budapest sin reservas ni modificaciones, y depositó el instrumento de adhesión en marzo del 2014 ante la Secretaría del Consejo de Europa.

Al mismo tiempo, Panamá cuenta con institucionalidad en materia de ciberserguridad. En el año 2011 se creó el CSIRT-Panamá (Computer Security Incident Response Team, por sus siglas en inglés) bajo la estructura gubernamental de la Autoridad Nacional para la Innovación Gubernamental, creado a través del Decreto Ejecutivo No.709 del Ministerio de Presidencia. El CSIRT-Panamá es la institución encargada de prevenir e identificar ataques e incidentes de seguridad a los sistemas informáticos de la infraestructura crítica del país.

El Consejo Nacional para la Innovación Gubernamental elaboró y aprobó en 2013, la Estrategia Nacional de Seguridad Cibernética y Protección de Infraestructuras Críticas, esta política establece un conjunto de acciones y procedimientos para mejorar la ciberseguridad, así como proteger las infraestructuras vitales del país.

Panamá investiga los casos de delincuencia cibernética a través de la Unidad de Investigaciones de Delitos Informáticos, dependiente de la Dirección de Investigación Judicial, y a través de la Fiscalía Superior Especializada en Delitos contra la Propiedad Intelectual y Seguridad Informática. Sin embargo, actualmente, el Código Penal vigente únicamente tipifica 2 conductas como delitos informáticos, y no incluye los delitos que se realicen por medios electrónicos. Del artículo 289 al 292 regula los delitos contra la seguridad informática: a) ingresar o utilizar de bases de datos, red o sistemas informáticos; y, b) apoderar, copiar, utilizar o modificar datos en tránsito o contenidos en bases de datos o sistemas informáticos, o interferir, interceptar, obstaculizar o impedir la transmisión.

En ese sentido, Panamá tiene la obligación internacional de adecuar su legislación penal conforme a los estándares regulados en el Convenio de Budapest, lo que implica elaborar reformas al Código Penal y Código Procesal Penal.

Ya se han presentado anteproyectos para la implementación del Convenio de Budapest, sin embargo, el Proyecto de Ley 558 que modifica y adiciona artículos al Código Penal, relacionados al cibercrimen, presentado el 27 de septiembre de 2017, es el que se encuentra más avanzado en la Asamblea Nacional.

Este proyecto de ley carece de una adecuación integral, ya que debería incluir la adopción de nuevos tipos penales más allá de una simple adecuación de tipos penales ya existentes en un entorno cibernético. En materia procesal, este proyecto únicamente incluye un apartado sobre la evidencia digital, sin embargo, no profundiza en otros aspectos procedimentales regulados en el Convenio de Budapest. Esto último dificultaría la adecuada implementación a nivel nacional e internacional de los mecanismos de investigación de ciberdelincuencia, así como el procesamiento de las personas involucradas en estos actos.

Panamá enfrente grandes desafíos en la implementación del Convenio de Budapest, especialmente en la necesidad de crear estándares legales claros para la investigación de ciberdelitos y la falta de capacidades adecuadas en las diferentes instituciones públicas que participan en los procesos de persecución penal y que dificultan los procedimientos internos para la investigación en ciberdelincuencia.

La construcción de políticas públicas y legislaciones, sustantivas y procesales, adecuadas a los estándares internacionales en materia de ciberdelincuencia es una urgencia en Panamá. Las entidades públicas que participan en los procesos de investigación penal y de otros sectores, como el sector privado y la comunidad técnica, deben buscar el desarrollo de capacidades para hacer frente en la lucha contra la ciberdelincuencia.

Una reforma adecuada de este último permitiría que los mecanismos para la investigación penal aseguren la correcta guía y salvaguarda de los derechos humanos y garantías procesales reconocidos por tratados internacionales y la Constitución.

***

Esta columna fue escrita por Sara Fratti y es la tercera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Ipandetec, la investigación se titula “Panamá, un país con la necesidad de una legislación sobre cibercrimen’ y puede ser descargada aquí.

El Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) es una asociación sin fines de lucro que promueve el uso y regulación de las TICs y la defensa de los derechos humanos en el entorno digital en Panamá y Centroamérica.

El Convenio de Budapest desde una perspectiva de derechos humanos

El Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest, es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.

En función de lo anterior, para abordar la efectividad del mismo o la necesidad de que México se adhiera a él, surge una primer interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. Como explica Miguel Polaino Navarrete, el primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.

Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.

Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.

El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.

En México, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado mexicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.

Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.

Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?

La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.

La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la «ciberdelincuencia». Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.

En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.

Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.

***

Esta columna es la segunda de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de R3D, la publicación se titula «México y el Convenio de Budapest: posibles incompatibilidades» y puede ser descargada aquí.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital.

Una breve historia de la ciberseguridad importada

El día 28 de setiembre, el Poder Ejecutivo de Perú remitió al Congreso de la República los documentos relacionados al Convenio de Budapest con el fin de que sean revisados y puestos en agenda para su ratificación. Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?

Antecedentes

A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.

El ciberespacio, término ambiguo y escurridizo, era un campo nuevo en donde muchas nociones perdían el sentido cuando se trataba de prevenir conductas indeseadas, identificar delitos y perseguirlos. Especialmente las ideas de jurisdicción (quién juzga) y competencia (dónde se juzga) eran insuficientes para combatir, por ejemplo, el fraude bancario perpetrado a través de medios electrónicos. Lo mismo con aquellas conductas sin consecuencias directas en el mundo físico, como la intrusión en servidores informáticos o el hurto de bases de datos.

Los primeros esfuerzos por crear cuerpos legales y mecanismos de respuesta frente a estas amenazas fueron locales. Un ejemplo es la temprana Computer Fraud and Abuse Act (CFAA) aprobada en Estados Unidos en 1986. Sin embargo, por su propia naturaleza, la efectividad de estas medidas estaba limitada al ámbito doméstico y perdieron vigencia cuando el crimen transfronterizo se incrementó, como consecuencia de la masificación de internet y la sofisticación de la tecnología computacional.

En ese contexto y ante la necesidad de crear un marco común de trabajo, el Consejo de Europa tomó la iniciativa en 1995 y creó un comité de expertos en delitos informáticos para producir recomendaciones sobre este tema, lo que llevó eventualmente a la redacción y aprobación del Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest. Este tratado, consensuado durante más de cinco años, fue aprobado en 2001 y reflejaba no solo las preocupaciones del momento, sino también dos aspiraciones europeas muy concretas: la necesidad de estandarizar los sistemas penales de justicia y, más importante aún, la urgencia de crear mecanismos de cooperación internacional contra la cibercriminalidad.

Pese a que existieron otros esfuerzos paralelos, el éxito del Convenio de Budapest lo ha convertido en una suerte de paradigma en el ámbito de la ciberseguridad. Quizás parte de ese éxito se debe a que este instrumento es fiel reflejo del contexto donde surgió y fue implementado: dentro de un bloque grande de países que compartían una visión similar del desarrollo en términos económicos y culturales. Por ello ha sido desde el inicio un punto de referencia para otros países, razón por la cual varios estados no miembros de la Unión Europea lo han suscrito, como Panamá y Chile.

Pero el Convenio también ha servido para reforzar la idea de que hace falta más control sobre el ciberespacio. Esto ha generado que, junto con las normas penales, se aglutinen también otros intereses y prioridades adyacentes, como la ciberdefensa, la protección de la infraestructura crítica y la seguridad de la información estatal. Todas estas, que comparten entre sí espacios comunes, han terminado casi siempre engarzadas en directrices, estrategias y planes de ciberseguridad de alcance institucional o nacional.

Latinoamérica y el Perú

Este proceso, que en el norte global ha durado décadas, ha sido bastante más corto en otras regiones como América Latina, en donde, luego de la implementación (tardía) de leyes de delitos informáticos o la suscripción del Convenio de Budapest, se ha empezado inmediatamente a trabajar en Planes Nacionales de Ciberseguridad. Muchas veces esto responde no solo a las necesidades apremiantes que produce el crimen globalizado, sino también al hecho de que en muchos casos la organización institucional que soporta el plan se ha tenido que replantear porque la anterior no estaba centralizada, era obsoleta o inexistente.

El escenario latinoamericano en materia de ciberseguridad es particular también porque, pese a que la mayoría de los países poseen una visión económica y cultural más o menos similar, no ha tenido tiempo para generar sus propios procesos ni llegar a consensos a través de organismos regionales, como la Organización de Estados Americanos (OEA). Esto hace que surjan muchas interrogantes con respecto a la forma en que estos procesos se están encarando y en qué medida otros factores como la idiosincrasia, el pasado común y las necesidades particulares están jugando un rol que ayude a diferenciarlos del modelo europeo en lo necesario para lograr un sistema eficiente y verdaderamente útil.

En el caso específico del Perú, decíamos al inicio que el proceso de ratificación del Convenio de Budapest está en su última etapa, a la que se ha llegado luego de muchos años de contar con normas contra los delitos informáticos. Sin embargo, actualmente el escenario no es del todo claro pues durante todo este tiempo no han existido análisis de situación o líneas de base que permitan conocer cuál es el estado de la ciberseguridad en el país y las necesidades locales con respecto a los beneficios que ofrece el Convenio.

Si bien existen reportes internacionales y de sectores muy específicos, e incluso propuestas para crear planes nacionales en torno a la ciberseguridad, ninguna ha profundizado en la problemática peruana. No se conoce lo básico, por ejemplo, qué tipo de delito informático es el más común en el país y quiénes son los principales afectados. Tampoco se sabe cuáles son las urgencias con respecto a la cooperación internacional, teniendo en cuenta que el Perú ya participa de varios foros internacionales relacionados al ciberespacio, a través del PeCERT y la Policía Nacional (Interpol). Menos aún se sabe sobre las amenazas para la Defensa Nacional, si es que existen en realidad más allá de las proyecciones de partes interesadas como vendedores de antivirus o firmas de consultoría en seguridad informática.

Por todo ello, es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en nuestro país. En general, es más lo que se debe hacer que lo hay que modificar, pero este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional. Solo así será posible aprovechar este instrumento internacional para mejorar nuestra situación, algo que ciertamente va a tomar mucho más tiempo después que el Convenio se ratifique.

¿Estamos preparados para acometer esa tarea? El tiempo y las acciones de quienes impulsan esta y otras iniciativas lo dirán.

***

Esta columna es la primera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además una serie de investigaciones desarrolladas por las mismas organizaciones. En el caso de Hiperderecho, la publicación se titula «De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo» y puede ser desacargada aquí.

Hiperderecho es una organización civil peruana sin fines de lucro, dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales.

Avanza la tramitación de la ley de datos: lo bueno, lo malo y lo feo

El pasado 3 de julio, luego de muchísima expectación y múltiples extensiones de plazo, el ejecutivo ingresó sus indicaciones al proyecto de ley que regula la protección de datos personales que hoy se encuentra en tramitación en el Senado. Este hito es relevante, porque estas modificaciones perfilan la orientación que el ejecutivo buscará entregar a la tramitación del proyecto durante su mandato.

A continuación, nos proponemos analizar lo bueno, lo mano y lo feo de las modificaciones propuestas, con especial énfasis en la toma de partido respecto de la institucionalidad encargada de velar por el cumplimiento de la ley.

Lo bueno

 Las indicaciones del ejecutivo recogen muchas de las inquietudes y propuestas manifestadas por distintos académicos, expertos, organizaciones de la sociedad civil y organismos públicos. En cuanto a disposiciones de fondo, es posible observar que las modificaciones propuestas reponen los hábitos personales como elemento mencionado en la enumeración de datos de carácter sensible. Esta mención es particularmente importante, ya que una parte importante del modelo de negocios de los servicios que utilizamos depende cada vez más de rastrear nuestros patrones, rutinas y hábitos de forma precisa.

Otra figura importante que se modifica es la excepción de fuente accesibles al público. La regla general es que, para tratar un dato personal, se requiere el consentimiento de su titular. Actualmente, el hecho de que un dato se encuentre en una fuente accesible al público se configura como excepción a este principio; una excepción tan amplia que termina transformando la desprotección en la regla general. De ahí la proliferación de sitios web que exponen nuestros datos o de empresas que los utilizan para entregar inteligencia de negocio a campañas políticas.

El proyecto original no subsanaba de forma satisfactoria esta situación. La indicación, por su parte, establece que la definición de qué se considera una fuente accesible al público no será amplia, sino taxativa. Esto quiere decir que un número limitado y establecido de fuentes de información tendrán esta categoría, y que ese listado será revisado anualmente por la entidad encargada de protección de datos. De esta forma se limita qué fuentes de información efectivamente pueden operar como excepción al principio del consentimiento, y se permite que este listado cuente con cierta flexibilidad.

Siguiendo con las excepciones, el proyecto original establecía como excepción al consentimiento del titular el hecho de que el interesado en tratar datos personales contara con un “interés legítimo” en su tratamiento. Esta figura fue tomada del Reglamento General de Protección de Datos de Europa, pero sin importar junto con ello todos los resguardos y limitaciones a su aplicación que en él se establecen. La indicación propone definir qué se entiende por interés legítimo, limitándolo a actividades particulares y excepcionales.

Por otro lado, se elimina la exigencia de que los titulares solo se puedan oponer al tratamiento automatizado de sus datos personales cuando estos los afecten de forma significativamente negativa o les produzcan efectos jurídicos adversos. De esta forma, el titular tendrá mayor libertad para oponerse a la toma de decisiones algorítmicas respecto de su persona y la elaboración de perfiles a partir de sus datos personales, sin entrar discutir su calificación.

Lo malo

Así como el proyecto avanza en las materias antes mencionadas, también retrocede o no subsana carencias de varias de sus disposiciones. Uno de los elementos en que el proyecto había retrocedido respecto de la actual Ley 19.628 es en la obligación de los organismos públicos de registrar las bases de datos que administren. Lo conducente hubiese sido que dicha obligación se extendiese también a las entidades privadas, sin embargo, el gobierno optó por reponer esta obligación exclusivamente a los organismos públicos a través de la creación del Registro Nacional de Bases de Datos.

Otro elemento negativo es que la definición de motor de búsqueda propuesta establece explícitamente que estos serán considerados como responsables de bases de datos. Esto implica que respecto de buscadores como Google, Bing o DuckDuck Go o Yahoo los titulares podrán hacer efectivo el derecho de cancelación y oposición, para lograr desindexación de su información, situación que ha sido denominada como “derecho al olvido”.

Como hemos dicho con anterioridad, si bien debe existir una solución para aquellas personas que se ven afectadas por la disponibilidad de información inexacta, desactualizada o que les impide su reinserción en la sociedad, dicha solución debe tener en consideración los otros intereses jurídicos involucrados, tales como la expresión, el derecho a obtener información, la memoria histórica y al ejercicio del periodismo de investigación.

Por último, el proyecto establecía que el consentimiento no se considerará una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. Existen argumentos entendibles respecto de la falta de certeza jurídica que puede producir esta disposición. Sin embargo, la modificación propuesta no entrega una herramienta para hacerse cargo de la desigual condición en que se encuentra un usuario respecto de una empresa al momento de contratar. De esta forma, solo se exige que, si al momento de contratar el responsable pide la entrega de datos no relacionados con el contrato, esta situación se encuentre destacada, que no es un remedio suficiente a la situación de desequilibrio en juego.

Lo feo 

Ya mencionamos que al momento de definir qué se entiende por interés legítimo, la modificación propuesta limitó las situaciones en que esta excepción puede ser utilizada. El articulado entrega un listado de situaciones que cumplen con esta definición, entre las que se encuentran actividades de prevención del fraude, seguridad informática, investigación con fines históricos, estadísticos, y científicos, entre otros. Sin embargo, en este listado de actividades que se considerarán un “fin legítimo” se incluyó el marketing directo, es decir, el envío de publicidad por parte de las empresas. En otras palabras, las empresas no requerirán el consentimiento de las personas para enviar publicidad dirigida. Esta inclusión es injustificada, arbitraria y solo puede entenderse en base al lobby de la industria en la materia.

Por último, las infracciones de tratamiento de datos inexactos y de denegar las peticiones de los titulares de datos sin causa justificada con las indicaciones pasaron de ser infracciones graves a infracciones leves.

Y ahora ¿Quién podrá defendernos?

Es esencial que la nueva legislación de protección de datos sea rigurosa, robusta y cuente con una aproximación de derechos fundamentales. Sin embargo, sin una institucionalidad que sea capaz de hacer efectiva esas obligaciones, la ley está destinada a convertirse en tinta sobre un papel.

Es por ello que la decisión de cuál será el organismo encargo de velar por el cumplimiento de la nueva ley se transformó desde el primer día en una de las principales definiciones de la modificación legislativa.

El proyecto original creaba una nueva institucionalidad, de carácter técnico y dependiente del Ministerio de Hacienda. Esta dependencia funcional generó resquemores respecto del nivel de autonomía e independencia de la entidad, especialmente al momento de fallar casos relacionados con organismos públicos.

La modificación propuesta por el ejecutivo hace un golpe de timón, y entrega al Consejo para la Transparencia la tarea de velar por el cumplimiento de la ley. Para ello establece que este organismo se deberá dividir en dos áreas (una para acceso a la información y otra para protección de datos personales), operar en dos salas (también divididas temáticamente) y aumenta su número de consejeros de cuatro a cinco. Del mismo modo, los consejeros pasan a tener dedicación exclusiva, se establecen incompatibilidades respecto de aquellos que puedan tener intereses en el sector privado y quienes hayan sido sancionados previamente por tratamiento indebido de datos personales.

Si bien el Consejo para la Transparencia cuenta con un nivel mayor de autonomía que la institucionalidad propuesta por el proyecto original, su carácter especializado y técnico requiere ser profundizado. La transparencia y la protección de datos personales no son disciplinas excluyentes, pero sin duda responden a principios distintos e incluso a una formación profesional particular.

En este sentido, sería positivo que durante la tramitación legislativa se aumente el número de consejeros a seis, y exigir que la mitad sea especialista en materia de protección de datos personales. Por último, resulta indispensable dotar a la nueva institucionalidad con las herramientas necesarias para fiscalizar de forma efectiva al sector privado, especialmente teniendo en consideración que el ejecutivo ha decidido correctamente aumentar el monto de las multas hasta un 4% del volumen de negocios anual de la institución infractora.

¿En qué consiste la Ley General de Protección de datos recientemente aprobada en Brasil?

La semana pasada, el Senado brasileño aprobó la Ley General de Protección de Datos, considerado el proyecto más completo entre los que se estaban discutiendo en el Congreso en materia de protección de datos personales. El proyecto fue apoyado por más de 60 organizaciones y entidades relacionadas con el comercio, las comunicaciones, los sectores de internet y las organizaciones de la sociedad civil.

Actualmente, Brasil tiene algunas leyes sectoriales, como el Marco de Civil para Internet, que deja varias lagunas y no entrega seguridad jurídica para la protección de la privacidad de los usuarios en otros sectores. Pero el retraso que presenta Brasil en la aprobación de una ley de protección de datos posibilitó el diseño de un texto avanzado, que apunta a garantizar el control de los usuarios sobre sus datos personales.

Al igual que el Reglamento General de Protección de Datos europeo (GDPR), el proyecto de ley brinda una definición amplia de datos personales, considerando que es aquel que refiere a una persona identificada o identificable, lo que incluye números de identificación, datos de ubicación o identificadores electrónicos.

La piedra angular del proyecto de ley es el requisito de requerir el consentimiento del titular para el tratamiento de sus datos, el cual debe ser libre e inequívoco. Por otro lado, la empresa que busque tratar la información debe informar expresamente no solo sobre la recopilación, sino también sobre los usos específicos de los datos recopilados, y no puede hacerlo en términos generales o vagos. Además, este consentimiento también debe ser revocable en cualquier momento.

Las nuevas reglas se aplicarán a todas las instituciones que manejan datos personales en sus operaciones o al ofrecer sus productos y servicios, tanto del sector público como del privado. Si el proyecto de ley es sancionado, las instituciones que tendrán 18 meses para adaptarse.

También se crea una Autoridad de Protección de Datos, una agencia gubernamental independiente vinculada al Ministerio de Justicia, con el objetivo de salvaguardar la vigilancia y la aplicación de sanciones, entre otras funciones. Aquellos que violan la nueva Ley están sujetos a una advertencia, multas de hasta el 2 por ciento de los ingresos (máximo de 50 millones de reales brasileños), suspensión parcial o total de la operación, entre otras sanciones. Las filtraciones de datos deberán ser informadas inmediatamente a la Autoridad de Protección de Datos.

Se especula que el presidente Michel Temer quizás vetará los artículos que mencionan la Autoridad de Protección de Datos. El Ministerio de Finanzas cuestiona la necesidad de crear otra agencia reguladora debido a la necesidad de reducir los costos del gobierno

Los parlamentarios señalaron que la inclusión de la APD en el proyecto de ley era una forma de presionar al gobierno para que creara esta agencia reguladora. Si estos artículos son vetados, será un revés importante, ya que las funciones de APD serán fundamentales para la aplicación de la ley de protección de datos.

Cuando el proyecto de ley entre en vigencia, aún habrá desafíos para su implementación. Después de años de negligencia sobre la importancia de proteger la privacidad, la aplicación de la ley no es suficiente. También debe haber un cambio de cultura, con la expansión de las políticas públicas para proteger la privacidad de los usuarios.

 

DDHH en la primera línea de internet

En noviembre de 2015 el Gobierno de Chile hizo pública su Agenda Digital 2020, cuyo objetivo es desarrollar las capacidades tecnológicas, en todos los sectores y territorios, que permitan insertar al país en la Sociedad de la Información.

Dentro de los cinco ejes que componen la Agenda se contempla, como una de las medidas de Gobierno Digital, el desarrollo una Política Nacional de Ciberseguridad (en adelante PNCS) para Chile, la cual fue presentada por el Comité Interministerial sobre Ciberseguridad (CICS) a finales de 2016.

Pero el documento presentado no es, en sentido estricto, una política de ciberseguridad como se ha solido entender: dista de documentos como el de Estados Unidos o los de países europeos, pues Chile no cuenta con una legislación desarrollada en estas materias. Más bien se trata de una propuesta programática, un conjunto de medidas políticas y legislativas que deben implementarse para contar con una política funcional de ciberseguridad: proyectos de ley, políticas educativas y metas generales de desarrollo del país.

Sin embargo, la PNCS sí contiene diferentes directrices en áreas tradicionales y considera dentro de ellas el mandato del Estado de velar por los derechos fundamentales de las personas en el ciberespacio. Este es quizás uno de los pilares de la nueva política, porque varias son las amenazas que enfrenta la ciudadanía en el área de la seguridad digital: desde cibercrimen, políticas empresariales que no respetan los derechos de las personas en la gestión de datos, brechas de datos en organismos públicos y privados.

Como ciudadanas y ciudadanos nos encontramos expuestos a un gran número de riesgos respecto a los cuales, tanto el sector privado como público han de aunar esfuerzos para desarrollar un entorno digital que respete nuestros derechos, siendo la PNCS el instrumento que guíe tales esfuerzos.

Es en esta línea, han sido varias las declaraciones e instrumentos que han indicado la manera en que la relación entre ciberseguridad y derechos humanos ha de ser llevada. El criterio más claro y general ha consistido en indicar el simple hecho de que las personas contamos con los mismos derechos en ambientes dentro y fuera de línea, y por tanto los Estados tienen la obligación de proteger nuestros derechos fundamentales en los dos ámbitos por igual. Esto sería aplicable también para organizaciones privadas con las que como ciudadanos debemos interactuar en internet.

Pero esta afirmación por sí sola no es capaz de dar cuenta de la complejidad del fenómeno de la seguridad digital, y en este sentido indica la PNCS que “(…) todas las medidas propuestas por la política se deben diseñar y ejecutar con un enfoque de derechos fundamentales, ¿qué debemos entender por enfoque de derechos fundamentales? No basta la simple afirmación de que son reconocidos y respetados dentro y fuera de la red.

En este sentido se han dado recomendaciones que dotan de contenido a esta expresión, señalando que implica comprender el desarrollo tecnológico a partir de los derechos fundamentales de las personas, a través de medidas concretas como:

(…) 4. El desarrollo y la implementación de leyes, políticas y prácticas relacionadas con la ciberseguridad deben ser coherentes con el derecho internacional, incluidas las normas internacionales de derechos humanos y el derecho internacional humanitario.

5. Las leyes, políticas y prácticas relacionadas con la seguridad no deben utilizarse como pretexto para violar los derechos humanos, especialmente la libertad de expresión, asociación, reunión y privacidad.

6. Las respuestas a los incidentes cibernéticos no deben violar los derechos humanos.

7. Las leyes, políticas y prácticas relacionadas con la ciberseguridad deben mantener y proteger la estabilidad y la seguridad de Internet, y no deben socavar la integridad de la infraestructura, hardware, software y servicios. (…)”

También la Comisión Europea ha señalado que el enfoque de derechos humanos constituye uno de los medios ideales para el desarrollo y cooperación internacional en materia de seguridad, dando directrices específicas para su desarrollo en ciberseguridad. Así, las políticas que posean un enfoque de derechos humanos han de tener entre sus objetivos la persecución de un fin legítimo, ha de ser necesaria, proporcionada y considerar remedios efectivos, entre otros.

Al examinar las medidas que contiene la PNCS chilena parte importante de las recomendaciones dadas en materia de derechos humanos se encuentran presentes en algunos de los instrumentos que hemos indicado y creemos que estos criterios son los que han de informar la manera en que Chile se aproxime a los derechos humanos y la ciberseguridad.

Lo anterior no solo para reafirmar el compromiso del país con los derechos humanos y su desarrollo, sino porque la ciberseguridad destaca por una complejidad creciente en el desarrollo técnico de los medios de protección de la información donde el enfoque de derechos humanos podría servir como herramienta para solucionar conflictos.

En diversos países hay instituciones como el NIST o ENISA que ofrecen estándares o directrices técnicas tanto al sector público como privado de protección de la información, pero junto con estas directrices las organizaciones privadas cuentan con normas propias de ciberseguridad como las ISO, o en el sector público hay normas especiales de gestión de la información del Estado hacia sus organismos.

Todo este desarrollo legislativo y técnico hace que la ciberseguridad sea un área en donde existe una gran dispersión de posibles criterios de solución, por lo que llegado el momento de considerar cual ha de prevalecer sobre el otro puede resultar algo complejo. El enfoque de derechos humanos nos otorga un medio para dar una mayor claridad sobre los problemas y cómo solucionarlos.

¿Qué se debería hacer, por ejemplo, en el caso de una brecha de datos? Hay varias soluciones, por ejemplo seguir la norma técnica de mantención del servidor, que prevalezcan las obligaciones del responsable de la base de datos que indica la ley, o sostener otro criterio particular al caso. Una solución que considere el enfoque de derechos humanos nos llevaría a preguntarnos en primer lugar cuál derecho humano se ve afectado, y de qué manera puede y/o debería haber sido protegido. Esto permite dar una meta clara de solución al problema de ciberseguridad presentado, orientando las posibles soluciones a las que podría llegarse en vista de la protección del derecho vulnerado.

Esta clase de consideraciones caben no solo frente a incidentes de ciberseguridad, sino también al desarrollo y diseño de políticas e infraestructuras relacionadas con ciberseguridad. Esto permite orientar de manera clara los objetivos y medios que se consideran en esta materia en conformidad a los derechos humanos, valiéndose no solo de lo establecido en el derecho nacional, sino en el derecho internacional. El enfoque de derechos humanos requiere, en definitiva, un giro en la manera en que las intervenciones en las diferentes materias son conceptualizadas e implementadas.

La relación entre derechos humanos y ciberseguridad es una de las cuestiones de mayor relevancia y complejidad que se avecina para Chile con una nueva ley de protección de datos en camino, y con las medidas de la PNCS en desarrollo. Es el momento de comenzar de buena manera las nuevas políticas y leyes en esta materia.

Internet está jugando con tus sentimientos

De forma asertiva, la organización Coding Rights ha bautizado este fenómeno como el Chupadatos, un monstruo incansable que vive detrás de cada aplicación, cada búsqueda en internet, cada comentario en redes sociales y cada aparato inteligente. Su labor es engullir, cuantificar y subastar nuestros datos al mejor postor. Y para que eso sea posible, no solo se necesita de una robusta infraestructura, sino de una cultura alrededor del uso de internet.

En Tenemos que hablar, internet está jugando con tus sentimientos, Belén Roca aborda el modo en que nuestros afectos son explotados por el mercado de los datos. El miedo, la ansiedad, la soledad, la precariedad y la vanidad son emociones reales, tan reales que se proyectan en el uso que hacemos de los servicios en línea. Son cinco historias de ocurren en Chile pero podrían ocurrir en cualquier otro lugar de América Latina o el mundo, ¿te identificas con alguna de ellas?

Retomando las historias del Chupadatos, continuamos con la descripción y la reflexión alrededor de los mecanismos de persuación y de control que se utilizan en internet para garantizar que sea una economía próspera, ¿estamos siendo abusados emocionalmente allí? Estemos alerta y conscientes de qué es exactamente lo que le estamos dando a la red.

¿Me protege mi huella digital o debo yo protegerla a ella?

En días pasados, con motivo del proceso electoral mexicano, se advirtió a través de redes sociales y medios de comunicación sobre los riesgos de compartir fotos de nuestros dedos manchados de tinta, en un contexto donde nuestra información biométrica es usada constantemente con fines de autenticación. Como principio general de seguridad, sabemos que es una buena práctica no compartir información personal que constituya o pueda formar parte de mecanismos de autenticación o verificación, como -evidentemente- nuestras contraseñas. Sin embargo, ¿qué sucede cuando nuestro cuerpo -nuestras huellas digitales, nuestra voz o nuestro rostro- se han convertido en nuestras contraseñas? ¿Es factible y está en nuestro poder proteger esta información?

En 2014, hackers del gobierno chino ingresaron en los sistemas de computación del gobierno norteamericano, logrando extraer los datos personales de 22 millones de ciudadanos estadounidenses, incluyendo los datos de la huella digital de 5.6 millones de personas. Aunque hasta el presente no existen evidencias de que estos datos hayan sido comerciados en el mercado negro, resulta abismante el riesgo que pueden representar en caso de ser vendidos. En 2016, investigadores de la Universidad Estatal de Michigan fueron capaces de convertir reproducciones de huellas digitales en versiones 3D de las mismas, capaces de engañar a los lectores de huella digital de los teléfonos inteligentes, todo esto con equipamiento por un valor inferior a los 500 dólares. Igualmente, los investigadores del Instituto Nacional de Informática de Tokio afirman que son capaces de reconstruir una huella digital a partir de la fotografía de una persona haciendo el signo de la paz con su dedo índice y medio, tomada a tres metros de distancia. Esta última noticia levantó alertas en diversos sitios de noticias, que señalaron que los avances paralelos en las tecnologías fotográficas y de autenticación por huella digital, aunados al uso continuo de redes sociales para compartir información, convergen en un punto de riesgo incrementado en lo que respecta a la accesibilidad y facilidad para obtener y recrear las huellas digitales de las personas.

Los datos del rostro también son vulnerables: hoy en día, crear una base de datos a partir de fotografías de los rostros de las personas puede ser tan fácil como descargarla de Facebook o LinkedIn, y la tecnología se encuentra fácilmente disponible, no solo para procesar estas imágenes a través de algoritmos de reconocimiento facial, sino incluso para crear modelos en 3D a partir de ellas. De hecho, en el Chaos Communication Congress de 2014, un investigador de seguridad reprodujo un modelo funcional de la huella digital del ministro de Defensa alemán, partiendo de una fotografia en alta resolución de su mano.

El principal problema de seguridad planteado por el uso de tecnologías biométricas para la autenticación es que los datos biométricos no pueden ser reemplazados. Una vez que el patrón de nuestras huellas digitales se ve comprometido, solo tenemos un número limitado de posibilidades de reemplazarla, en caso de que se requiera solo una. Así, como señala nuestro reciente informe, “El cuerpo como dato”:

Dado que los datos biométricos son únicos e irremplazables, la posibilidad de pérdida o robo de estos significa que la identidad legal del individuo se ve comprometida sin posibilidad de que se le provea de una nueva identidad, creando un contexto en el cual, de no existir salvaguardas legales, una persona podría verse privada de su identidad sin recursos para recuperarla ni indemnización a los daños.

En el caso de que, por ejemplo, la huella digital sea la puerta de entrada hacia otra información personal, como los servicios de mensajería o el correo electrónico, el robo de los patrones biométricos no es el único peligro. El riesgo, por ejemplo, de que los cuerpos policiales puedan sortear el cifrado de un dispositivo a través de copias de la huella digital -o simplemente forzando al ciudadano físicamente- es, de suyo, alto, no solo en el contexto latinoamericano, donde el abuso policial es una práctica frecuente. Esto puede suceder incluso cuando se siguen procedimientos judiciales: en Los Ángeles, un juez emitió una orden para forzar el dedo de una mujer en el lector de huella de un teléfono incautado con el fin de desbloquearlo en el contexto de un proceso por robo de identidad.

Más que el riesgo de perder el control sobre nuestros datos biométricos, el verdadero riesgo se encuentra en el hecho de que nunca tuvimos control sobre ellos en primer lugar. La propia naturaleza de nuestro cuerpo implica que este se encuentra en constante contacto e intercambio de información con el mundo que nos rodea: nuestro rostro descubierto es captado por cámaras de vigilancia urbanas, por los teléfonos de las personas en la calle y a través de nuestras cuentas de redes sociales; nuestras huellas digitales entran en contacto un millón de veces al día con objetos cotidianos a partir de los cuales pueden ser reconstruidas; nuestra voz, nuestros ojos o nuestra manera de caminar no son datos que podamos ocultar del mundo sin limitar severamente nuestras rutinas. El cuerpo, por su naturaleza comunicacional, emite constantemente información que es captada por diversos dispositivos, incluyendo datos como nuestra presión sanguínea, nuestro pulso o la cantidad de pasos que damos al día. Las tecnologías modernas, y no solo las biométricas, recaban y transmiten una cantidad de información gigantesca de manera coditiana, no solo para verificar nuestra identidad, sino para determinar factores como el género, edad, estado de salud o nivel de ingresos de una persona determinada.

Lo que deriva de esto no es solo que debamos tener un mayor cuidado al momento de comunicar o entregar nuestros datos personales, especialmente nuestros datos biométricos, sino que todo cuidado será insuficiente si no logramos crear regulaciones y políticas públicas que permitan un manejo mucho más cuidadoso de estos datos por parte de gobiernos y empresas privadas. Por otra parte, la tecnología sigue avanzando, por lo general con mucha más rápidez que la regulación y sin esperar por ella. En 2013, un equipo de investigadores en Berkeley creó un sistema de autenticación biométrica basado en ondas cerebrales, llamado “passthoughts”. Esta técnica combina tres factores de verificación: algo que sabes (un pensamiento), algo que eres (tus ondas cerebrales) y algo que tienes (el sensor para medirlas). Para autenticar tu identidad, debes pensar en tu clave secreta mientras usas el sensor, que transmite una representación matemática de las señales que hace tu cerebro cuando piensas en la clave. En teoría, es imposible falsificar un passthought, dado que cada persona piensa el mismo pensamiento de manera distinta. La única manera de sortear este tipo de seguridad sería forzar a la persona a pensar su clave, capturar la respuesta y luego reproducirla. Sin embargo, un passthought, al igual que cualquier contraseña, puede ser cambiado.

Esto es solo un ejemplo de maneras en las cuales la tecnología de autenticación biométrica puede cambiar en el futuro próximo. Entretanto, en la mayor parte del mundo seguimos debatiendo sobre cuál es el paradigma correcto para enfrentar desde el punto de vista jurídico a una tecnología cuyo avance no se detendrá a esperar por nosotros.