Ecuador: ¿protección de datos personales o censura?

Es evidente: quien tiene acceso a nuestros datos personales puede saber mucho sobre nosotros y nuestra vida, desde lo público hasta lo íntimo. Datos de identificación, antecedentes médicos, orientación sexual, preferencias políticas y más, parece no quedar duda en que hay que proteger esta información.

Al igual que otros países en América Latina, la Asamblea Nacional de Ecuador propuso un proyecto de ley para proteger el derecho a la intimidad y la privacidad de los datos personales. Pero a pesar de ser un tema altamente importante, que necesita ser regulado, algunas disposiciones de la propuesta podrían restringir la libertad de expresión y el acceso a la información en internet.

El proyecto ecuatoriano deja claro que se aplica a todo tipo de base de datos: “ficheros, archivos, en forma física o digital, en instancias públicas o privadas”, y por eso la discusión es pertinente para lo que ocurre en internet.

Pero luego comienzan los problemas. El proyecto de ley propone la creación de una “Dirección Nacional de Registro de Datos Públicos” con facultades para “disponer el bloqueo temporal o definitivo de los sistemas de información cuando exista un riesgo de afectación a derechos constitucionales, en caso de incurrir en infracciones” [artículo 12].

En principio, parece razonable: allí donde el uso de datos personales pueda incidir negativamente en derechos fundamentales, se restringe aquel uso. Sin embargo, la redacción del artículo es suficientemente amplia como para justificar algunas formas de censura en defensa del “honor” -un derecho constitucional en Ecuador- por ejemplo, de un funcionario público.

En un país donde la protección del derecho de autor es utilizado como excusa para silenciar contenido crítico, no es descabellado pensar que una normativa de este tipo podría usarse con el mismo fin. Esto podría generar nuevas posibilidades para el bloqueo de páginas web, blogs o cualquier otro contenido incómodo, a través de una decisión administrativa.

Además, se abre la puerta para implementar el mal llamado “derecho al olvido”, o derecho a ser desindexado en buscadores de internet. La definición de “tratamiento de la información” alcanza a la actividad de indización de datos personales, mientras que la de “responsable” podría contener a los buscadores de internet, como Google, por lo que podrían estar obligados a remover información de los usuarios que así lo exijan. [artículo 8].

No acatar la petición conlleva sanciones altísimas, que además de la multa pueden llegar al “retiro” del servicio. Si bien el derecho a ser desindexado es aún polémico, el proyecto dejaría en manos de los intermediarios decisiones de restricción de contenido que pueden significar censura, adoptando así una fórmula que contiene el potencial de sumarse a los mecanismos legales mencionados anteriormente.

La discusión de proyectos de ley para la protección de datos personales es algo que debiera alegrarnos. Nuestros datos están estrechamente ligados a nuestra autonomía y a nuestra vida en sociedad. Pero hay que tener cuidado cuando esto sea tomado como pretexto para restringir otros derechos, tan importantes para una vida democrática sana, como es a la información, a la crítica y al debate de ideas. Esperemos que Ecuador encuentre una manera de defender y promover ambos.

¿Está perdida la lucha por hacer más justo el régimen de derecho de autor?

Una serie de hechos recientes en materia de derechos de autor, ocurridos en Europa y América Latina, han vuelto a plantear una problemática antigua y que los tomadores de decisiones han optado por ignorar: la necesaria reforma al régimen de derecho de autor, en sintonía con los modos de relacionarse con la cultura que impone internet y las tecnologías digitales, solo es posible dejando atrás la óptica exclusivamente comercial que impera en el debate.

En caso contrario, nos encontramos con las desalentadoras noticias acontecidas en Europa durante las últimas semanas. En primer lugar, en un esperado fallo, el Tribunal de Justicia de la Corte Europea declaró que enlazar a contenido protegido y publicado por un tercero, sin autorización del titular, puede ser considerado una infracción al derecho de autor. En el caso en cuestión, se determinó que el blog GeenStijl (propiedad de GS Media) habría infringido los derechos del editor de la versión holandesa de Playboy, Sanoma, al proveer enlaces a un set de fotografías de la revista subidos por un tercero a un servidor ubicado en Australia.

El Tribunal determinó que, en este caso, el acto de enlazar sería una forma de “comunicación al público” y que, la infracción se configura al tratarse de una publicación con carácter comercial (de ser una publicación sin fines de lucro, no habría infracción).

Esta decisión es complicada en muchos sentidos. Por un lado, porque existe una diferencia sustancial entre subir un contenido a internet y simplemente enlazar a él. Luego, la decisión pareciera no considerar la posibilidad de que existan razones legítimas por las que un medio comercial pudiese linkear a material protegido (debate, crítica, ejemplificación, etc.); que muchas veces es difícil saber con certeza el estatuto de protección de un material subido a internet y que la línea que separa los actos con fines de lucro de los que no tiende a ser difusa en internet.

Peor todavía es la propuesta de reforma de derecho de autor de la Unión Europea que, entre otras cosas, incluye 20 años extra de protección auxiliar para publicaciones de prensa, que permitirá el llamado “impuesto al enlace”, que busca que los motores de búsqueda deban pagar por incluir pequeños fragmentos o incluso enlaces a contenidos publicados por agencias de noticias y otros similares.

Además se obligará a las plataformas que almacenan contenido a monitorear la actividad de sus usuarios y cuenten con sistemas de remoción automática de contenidos infractores. Mientras que medidas de este tipo suelen pasar por alto usos legítimos amparados en las excepciones legales a la ley, llevando a abusos y errores, en la práctica significa que los prestadores de servicios de internet se convierten en los encargados resguardar los intereses de la industria del entretenimiento en la red.

La propuesta además incluye excepciones débiles para el aula y la digitalización del patrimonio cultural, e ignora por completo uno de los puntos más debatidos en el último año, la libertad de panorama.

Mientras tanto en América Latina, Colombia está discutiendo el quinto intento por modificar la ley de propiedad intelectual, en el marco de los compromisos adquiridos tras la firma del Tratado de Libre Comercio con Estados Unidos. Las iniciativa es conocida popularmente como la “Ley Lleras”, en alusión a Germán Vargas Lleras, quien fue el ministro que presentó los primeros dos proyectos y actualmente es Vicepresidente de la República.

Los últimos intentos de reforma datan de 2013, cuando se realizaron una serie de mesas de trabajo con distintos actores que realizaron indicaciones a la propuesta y se presentó la Ley Lleras IV, proyecto que nunca fue debatido en el Congreso y se archivó.

El intento de reforma vuelve hoy como Ley Lleras V y, según constata Fundación Karisma, tras tres años de silencio, el proyecto no ha cambiado sustancialmente.

Entre las principales críticas que la organización colombiana ve en la propuesta actual, destaca que de las muchas excepciones requeridas, el proyecto recoge dos para bibliotecas. Mientras que algunos comentarios aparentemente habrían sido atendidos, una revisión en detalle revela que se han condicionado de forma injustificada, debilitándolos; mientras que otros artículos se mantuvieron a pesar de los comentarios, sin que se justificara la decisión.

Pero para Karisma, el principal problema es que esta discusión no nace del ánimo de realizar una reforma seria al régimen de derecho de autor, sino de la necesidad de cumplir compromisos comerciales, con un sesgo marcado hacia los intereses de los titulares del derecho de autor, haciendo eco de las presiones con las que la industria del entretenimiento estadounidense logró la Ley de Derechos de Autor de la Era Digital (DMCA) en 1998.

“Han pasado casi 20 años de la DMCA y por tanto ese análisis está evidentemente desactualizado. Algunos de esos presupuestos desaparecieron, otros tienen efectos indeseables y en todo caso no se reconcilian con los miedos y necesidades de otros sectores en un entorno también digital y de oportunidades”, explica Carolina Botero, directora de Fundación Karisma.

Por otro lado, una reforma a la ley de derecho de autor en Uruguay que buscaba establecer un mayor número de excepciones -por ejemplo, para el uso de material protegido en el marco de actividades educativas y que permitiera la copia para usos privados sin fines de lucro, entre varias otras- fue mutilado, perdiendo con ello parte importante de la fuerza del proyecto original.

Paralelamente, se dieron a conocer algunos detalles de la negociación de un tratado de libre comercio, donde se reveló que Chile estaba presionando a Uruguay para elevar la duración del plazo de explotación exclusiva del derecho de autor, de 50 años tras la muerte del autor a 70 años tras la muerte del autor, restándole de esta forma 20 años al dominio público.

En todos los casos mencionados el factor común es la miopía con la cual los tomadores de decisiones han enfrentado la problemática de derecho de autor, discusión que está casi totalmente secuestrada por los titulares y sus intereses, y donde parece que el derecho al acceso al conocimiento, a la participación en la actividad cultural y la libertad de expresión poco importan.

El proyecto de reforma a la ley de derecho de autor en Colombia, la Ley Lleras V, está actualmente abierto a comentarios. Si te interesa conocer más sobre el proceso, apoyar en difusión o construir estrategias de participación, Fundación Karisma te invita a participar de las Comentatones, sesiones de chat en línea realizadas a través de la plataforma d.redpatodos.co , para discutir, debatir y mirar referentes que ayuden a construir una reforma al derecho de autor que beneficie no solo a titulares, sino a todas las personas. La próxima sesión será el martes 20 de Septiembre a las 6pm (UTC-5).

Registro público de evasores del Transantiago: más problemas que soluciones

A mediados de 2015, el Gobierno chileno ingresó al Senado un proyecto para modificar la Ley de tránsito, con el fin de reducir la creciente evasión en el pago del transporte público, que amenaza con convertirse en un serio problema, no solo para la autoridad sino también para los usuarios, que deben enfrentar las sucesivas alzas en las tarifas por dicho motivo. Una de las medidas contenidas en el proyecto es la creación de un registro público de evasores del Transantiago, a cargo del Ministerio de Transportes y Telecomunicaciones y al que tendrían acceso las personas naturales.

Se trata de una medida altamente controversial: más allá de los motivos que alguien pudiese esgrimir para evadir el pago del transporte, crear un registro público implica un tratamiento de datos personales altamente gravoso, cuyos potenciales efectos pueden ser muy nocivos. En un país como Chile, donde el estándar de protección de datos personales es reconocidamente débil, una medida de registro como esta puede ser utilizada para un amplio rango de discriminaciones, partiendo con el acceso al mercado laboral y financiero.

En ese sentido, ninguna medida que se implemente para proteger el registro de infractores y sus sanciones resulta suficiente para asegurar que no se creen, a partir de este, bases de datos paralelas. Es preciso tener en cuenta que mientras exista un registro de carácter público regido por la actual Ley de datos, será considerado una “fuente accesible al público”, un concepto legal que en Chile abre un flanco prácticamente incontrolable al uso de datos personales y que da la posibilidad a que cualquier interesado recolecte esa información, sin el consentimiento de su titular. Así, de aprobarse el proyecto, es claro que dichas bases paralelas van a surgir y serán difícilmente fiscalizadas, en perjuicio directo de los titulares de datos, quienes difícilmente podrán salir de todas ellas, aun cumpliendo las sanciones a las que han sido sometidos.

Por otra parte, sin profundizar en los aspectos socioeconómicos del transporte público, es importante señalar que el de la ciudad de Santiago es uno de los más caros de Latinoamérica y quienes más lo utilizan pertenecen a los sectores económicos de ingresos medios y bajos, en una ciudad que es muy populosa, pero también muy segregada y desigual. Esto supone que quienes reciben menos remuneración deben destinar una parte importante de sus ingresos para financiar su traslado por la capital, en un servicio cuya calidad ha sido controvertida desde los inicios del sistema.

En teoría, esta es una de las razones por las cuales la evasión sigue al alza. Y de ser ella efectiva, la implementación de un registro de evasores daría lugar a la creación de un verdadero y discriminatorio “Dicom de los pobres”, en alusión al boletín electrónico que da cuenta de la información comercial de los chilenos, de uso bastante extendido en nuestros días.

Finalmente, es necesario decir algo acerca de la manifiesta desproporcionalidad de esta medida, en relación con su objetivo. El valor de un pasaje en el transporte público, hoy en día, se acerca a los $700 pesos chilenos, equivalentes a algo más de un euro. Con esta medida, al evadir el pago de su pasaje de bus, las personas se someten a que sus datos sean registrados en una bases de datos pública, lo que a su vez puede tener efectos en las posibilidades de insertarse en el mercado laboral o en el acceso a créditos. Esto supone un círculo vicioso que no tiende a solucionar los problemas sino a aumentar cada vez más los costos de una infracción mínima.

Ciertamente, aunque es totalmente válido el interés por controlar la evasión en el pago del transporte público, ¿este fin justifica la utilización de cualquier medio? La respuesta es negativa. No puede aprobarse una medida cuyo resultado puede ser la estigmatización, cuando ni siquiera se ha realizado algún estudio sobre su potencial efectividad. Incluso en un mejor escenario para la protección de datos, es inaceptable que la autoridad impulse una medida discriminatoria de estas características.

Observaciones a la consulta ciudadana “Propiedad intelectual en el ambiente digital” de DIRECON

Durante los últimos años, el mecanismo de consultas públicas vigente en Chile desde 2011 ha permitido recoger opiniones en áreas tan diversas como salud, medio ambiente, telecomunicaciones y también protección de datos. De esta forma el Estado ha canalizado opiniones de la ciudadanía, aun cuando su efecto concreto en el curso de las políticas públicas sectoriales dista de ser evidente, a luz de los resultados.

Hace algunos días la Dirección General de Relaciones Económicas Internacionales (DIRECON) ha abierto una consulta ciudadana sobre Propiedad intelectual en el ambiente digital, con el objetivo de “conocer la realidad chilena” respecto de los desafíos de la utilización de contenidos protegidos por derecho de autor en el entorno digital y así alimentar el trabajo de Chile en foros internacionales como la Organización Mundial de la Propiedad Intelectual (OMPI).

Si bien no puede negarse el valor y la necesidad de este tipo de instrumentos de consulta, hay una serie de observaciones que es necesario realizar sobre este proceso en particular.

En primer lugar, hay dos consideraciones metodológicas importantes; la primera tiene relación con el alcance de los resultados de la consulta. Dado que el proceso no se realiza sobre un muestreo aleatorio –es decir, que diversos actores tengan igual probabilidad de participar- es muy probable que respondan el instrumento quienes ya están interesados en las temáticas tratadas. Esto se conoce como sesgo de autoselección.

Para el sociólogo Patricio Velasco, esto “no supone un problema, pero sí se convierte en uno al generalizar los resultados obtenidos por la consulta hacia la población general”; por ello es imperioso que los resultados de la consulta “sean propuestos e interpretados con cautela”, dado que no existe un proceso de muestreo estadístico que permita atribuir los resultados a la «opinión pública», sino a actores con justos intereses en la discusión.

Hacer esta distinción es especialmente relevante, puesto que el objetivo de la consulta es “conocer la realidad chilena respecto de los desafíos que se plantean en este entorno para los distintos actores que participan en la utilización de contenidos protegidos por PI [sic] en el entorno digital», tal como señala la minuta resumen que acompaña a la consulta.

La segunda consideración se refiere al instrumento utilizado para realizar la consulta, un cuestionario de respuesta cerrada con opciones predeterminadas. Como explica Velasco, “lo que se busca con un cuestionario de este tipo es que las opciones den cuenta de forma exhaustiva y excluyente de las alternativas disponibles”; lamentablemente, en la encuesta elaborada esto no ocurre.

Por ejemplo, al mirar las alternativas propuestas en las preguntas 3 y 5, se asume que las únicas opciones disponibles para subir contenidos a la web son de forma personal o a través de una entidad de gestión colectiva. Resulta evidente que no es así, excluyendo, por ejemplo, la posibilidad de gestionar contenidos de forma colectiva sin hallarse tal colectividad institucionalizada. Para Velasco además podría ser problemática la estrategia de análisis de las preguntas abiertas, que abundan en la consulta. ¿Habrá acceso público -debidamente anonimizado- a lo respondido en estos ítems?

Claudio Ruiz, director ejecutivo de Derechos Digitales y especialista en propiedad intelectual, va más allá y cuestiona el impacto que una consulta de este tipo podría tener en la posición chilena en foros internacionales: “¿En qué cambiaría la posición de Chile en OMPI si la encuesta arrojara que el 100% de las respuestas indican que no han subido contenidos a internet? [pregunta 1] ¿Y si arrojara que, de manera curiosa, las personas no consideran internet una ‘plataforma útil’ para conocer sus contenidos”? [pregunta 7].

Para Ruiz, el país se encuentra en un “momento clave” pensar en los desafíos que los entornos digitales suponen “no solo las prácticas de titulares de derechos ni el cobro relativos a las entidades de gestión colectiva, sino fundamentalmente para el interés público».

Los desafíos mencionados por Ruiz los enfrentamos día a día: la criminalización de conductas socialmente aceptadas y la negociación de acuerdo comerciales como el TPP que profundizan brechas regulatorias que, cuando se trata de propiedad intelectual, lamentablemente dejan fuera de la conversación a los derechos de los usuarios y el público en general.

“Aun cuando se resuelva la metodología y el tendencioso enfoque de la encuesta, el problema de fondo seguirá siendo el mismo: demuestra la más completa desorientación respecto del rumbo de las políticas públicas digitales -y de paso, de propiedad intelectual- en Chile”, concluye Ruiz.

Teléfonos que vigilan

Israel Leiva & Gisela Pérez de Acha

Los smartphones son parte de nuestra vida cotidiana más íntima. Todo lo que decimos, hacemos y pensamos, a dónde vamos, las cosas que buscamos y queremos, pasa por nuestro teléfono celular. Desde redes sociales al correo electrónico, parte importante de nuestra vida personal y profesional transcurre a través de estos aparatos.

Por eso los celulares son el objetivo perfecto si alguien está interesado en vigilarnos. No importa si es Android o iPhone, está comprobado que los teléfonos son la puerta principal a través de la cual los gobiernos, las empresas y los criminales acceden a nuestra información. La puerta es aún más ancha si como usuarios no tomamos precauciones para evitar que estos actores se infiltren en nuestros aparatos, por ejemplo, a través de software malicioso.

Un ejemplo reciente viene a colación a partir del último informe de la organización canadiense Citizen Lab sobre un tipo específico de software malicioso llamado “Pegasus”, comercializado por la empresa NSO Group.

Pegasus explota vulnerabilidades en el iPhone para obtener acceso a la información en él contenida. El informe documenta el caso del periodista Rafael Cabrera —uno de los principales encargados de la investigación que reveló escándalos de corrupción del presidente mexicano— quien recibió una serie de mensajes de texto donde alguien posaba como una agencia de noticias y referían a su vida personal y profesional de forma sospechosa. Si hubiera dado clic (cosa que al parecer no hizo) se habría infectado: todos sus mensajes, ubicación, historiales y conversaciones hubieran sido interceptados.

En lo que respecta a Android, la lógica es parecida. Vía vulnerabilidades en sus aplicaciones (un tipo de archivo llamado APK) se reportaron infiltraciones a periodistas en Irán. Si el usuario descarga estas aplicaciones maliciosas se puede acceder a todo el contenido de su teléfono. Ya en 2015 la organización Lookout descubrió lo que se conoce como “adware troyanizado”, una aplicación maliciosa que se disfraza de otra común, como podría ser Facebook, Twitter, CandyCrush o Snapchat, y permite que criminales accedan a información sensible en nuestros teléfonos. En Brasil y México cientos de miles de usuarios fueron afectados.

Si bien el panorama puede parecer alarmante, el malware utilizado en el iPhone cuesta alrededor de un millón de dólares y no tiene a los usuarios comunes como objetivo principal. Sin embargo, en términos generales, es importante seguir algunos pasos mínimos de seguridad: no abrir documentos y enlaces cuyo origen desconozcamos; nunca confiar en personas o servicios que nos piden nuestras contraseñas; verificar con quién efectivamente hablamos y no instalar archivos APK o aplicaciones de fuentes no confiables.

Un ejercicio responsable y consciente de nuestra vida en línea nos puede proteger contra ataques de empresas, gobiernos y criminales, y salvaguardar nuestros documentos e informaciones personales, y así existir de forma segura en internet.

«Derecho al olvido» en Latinoamérica: un paso hacia adelante, dos pasos hacia atrás

Recientes sucesos en México y en Perú ponen de manifiesto la tensión entre los derechos individuales de cancelación y oposición en el tratamiento de datos personales, y el interés colectivo en el acceso a la información pública. En junio pasado, la Dirección General de Datos Personales peruana resolvió el primer caso de «derecho al olvido» en ese país, ordenando a Google que desindexaran ciertos resultados de búsqueda relativos a una acusación penal en contra de un ciudadano peruano. La solicitud de remoción de contenido, iniciada en 2009 ante un tribunal penal, desencadenó una multa de alrededor de 75 mil dólares fijada por la autoridad nacional de protección de datos ante la negativa de Google a cumplir con la sentencia.

En torno a esta medida, la organización peruana Hiperderecho ha esbozado argumentos similares a los esgrimidos por otros representantes de la sociedad civil en la región: asignar responsabilidad a los intermediarios con respecto al contenido publicado por terceros crea un estímulo para la censura privada, sin contar con la carga económica y logística que representa para estos prestadores de servicio.

De manera similar, en 2015, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI, en ese entonces simplemente llamado Instituto Federal de Acceso a la Información) mexicano ordenó a Google retirar un enlace a la revista «Fortuna», que vinculaba al empresario Carlos Sánchez de la Peña con actos de corrupción. La organización mexicana R3D, en representación de la revista «Fortuna», interpuso una demanda de amparo contra dicha decisión, argumentando que la medida constituía una forma de censura y violaba el derecho a la libertad de expresión. Esta medida fue finalmente concedida en segunda instancia en días recientes, dejando sin efecto la resolución del INAI.

No obstante ser considerada un triunfo, no podemos olvidar que la sentencia que concede el amparo no se pronuncia sobre el fondo del asunto, sino sobre el carácter de tercero interesado de «Revista Fortuna», determinando así que al haberse violado la garantía de audiencia, no era necesario considerar los demás argumentos. Esto significa que el procedimiento de protección de derechos ante el INAI se reinicia, exigiéndose al INAI que se conceda derecho de audiencia a la «Revista Fortuna» como parte interesada en el procedimiento.

Ahora bien, no entraron en consideración los argumentos de R3D con respecto a que la orden de remoción de enlaces de un motor de búsqueda constituye una medida de censura previa y menoscaba el derecho a difundir información, de modo que no existe al respecto ningún pronunciamiento oficial hasta el momento.

Estos casos contrastan con otros donde la discusión en torno a esta remoción de resultados de búsqueda, se ha tomado como base para otras decisiones cuestionables, como ocurrió en Chile a principios de 2016. En este último caso, es precisamente el temor frente a la posibilidad de encontrar con facilidad cierta información que llevó no a la desindexación, sino a la eliminación de una noticia completa en su versión digital.

La tensión entre el derecho de cancelación y remoción de datos personales y el derecho colectivo de acceso a la información de interés público persiste. Todo apunta a que nos tomará un tiempo establecer los límites del interés público, una delgada línea cuya complejidad además cambia con el paso del tiempo. Si los tribunales hasta ahora han reconocido que el interés público puede disminuir al transcurrir el tiempo, ¿no es cierto también que podría aumentar? ¿Qué nos dice que lo que no tiene interés público hoy, no pueda tenerlo dentro de diez años?

En países con historias complejas y convulsas como los de Latinoamérica, la preservación de la memoria quizás tenga, cada vez más, una importancia clave para la libertad de expresión y el ejercicio de la democracia.

¿Son estas las armas de espionaje de la NSA?

El pasado lunes, un desconocido grupo de hackers llamado The Shadow Brokers anunció haber obtenido archivos confidenciales de Equation Group, uno de los grupos abiertamente asociados a la NSA y los principales sospechosos del desarrollo de importantes armas de malware como Stuxnet o Flame. The Shadow Brokers inició una subasta millonaria por los archivos obtenidos, al mismo tiempo que publicaron parte de su botín como prueba de sus logros.

Si bien es imposible saber con certeza cuántas veces un grupo o servicio ligado a la NSA ha sido hackeado, esta es la primera vez que alguien indica haberlo hecho. La publicación de parte de los ficheros obtenidos le ha quitado el sueño a un buen número de profesionales y aficionados a la seguridad informática, que por primera vez tienen la posibilidad de observar y entender parte del arsenal digital con que cuenta la NSA.

Antes de avanzar es bueno recordar que el objetivo de la NSA es el espionaje masivo, es decir que -a diferencia de Hacking Team o Gamma International- no suele atacar a dispositivos específicos, sino a parte de lo que se suele denominar “infraestructura crítica”.

Objetivo: Firewalls

Gran parte de los ficheros están programados en python, un lenguaje que facilita mucho su lectura y donde es relativamente fácil encontrar pistas de qué hace qué en un programa. Es así como podemos saber que un buen número de las herramientas indican estar destinadas a firewalls.

Un Firewall es un dispositivo que se encarga de controlar el tráfico en una red de acuerdo a ciertas reglas definidas. Es la primera línea de defensa para impedir desastres en empresas, universidades, centros de salud y otros, protegiendo de ataques masivos a un gran número de ordenadores bajo su protección.

Las herramientas desarrolladas por Equiation Group serían exploits, un pequeño programa que aprovecha una vulnerabilidad de seguridad del sistema para conseguir un comportamiento anómalo. Dentro de los exploits más graves se encuentran los llamados “Remote Control Execution” o RCE que permiten a alguien ejecutar código sin tener acceso al dispositvo.

Entre los objetivos se encuentran modelos de firewall de Cisco PIX/ASA, Juniper Netscreen y Fortigate entre otros. Lo listado a continuación es la información que existe hasta el momento:

EGREGIOUSBLUNDER: Es un exploit que permite ejecución de código remoto (RCE) para firewalls Fortigate, afectando a 12 modelos específicos.

ELIGIBLEBOMBSHELL: Es un RCE para firewalls TOPSEC desde la versión 3.2.100.010.1_pbc_17_iv_3 a la 3.3.005.066.1. A este exploit le acompañan WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, una serie de programas que permiten el control del dispositivo tras la ejecución de ELIGIBLEBOMBSHELL.

ELIGIBLECANDIDATE: Es otro RCE que aprovecha otra falla de seguridad en la misma área en firewalls TOPSEC, afectando las versiones 3.3.005.057.1 a la 3.3.010.024.1.

ELIGIBLECONTESTANT: Es otro RCE también para firewalls que apunta a los mismos firewalls de ELIGIBLECANDIDATE, pero usando otra falla en su seguridad.

EXTRABACON: Es un RCE que afecta a Cisco Adaptive Security Appliance (ASA) en 15 distintas versiones. Usa una vulnerabilidad del protocolo SNMP y requiere como requisito saber el tiempo en línea como la versión de software.

EPICBANANA: es un exploit para escalar privilegios, esto significa poder ejecutar comandos de administrador en el dispositivo. Su objetivo son también los Cisco ASA y Cisco Private Internet eXchange (PIX). Usa una falla de seguridad, bastante común lamentablemente, que es usar las credenciales de acceso por defecto (la contraseña es cisco). Afecta a 15 versiones ASA y 7 PIX.

ESCALATEPLOWMAN: Es otro exploit para escalar privilegios, esta vez contra firewalls WatchGuard, sin conocerse aún las versiones afectadas. Se ejecuta mediante una inyección de código en el comando ifconfig.

BOOKISHMUTE: Exploit contra un firewall aún no identificado que ejecuta Red hat 6.0

FALSEMOREL: Permite usar el hash de una contraseña para escalar privilegios en un firewall no especificado. Requiere telnet habilitado para ejecutarse.

ELIGIBLEBACHELOR: Sirve para introducir un exploit desconocido hasta el momento en firewalls TOPSEC.

Gravedad

Varios de estos exploits son 0day (día cero), término con que se conocen las fallas de seguridad que son explotables sin tener parches por parte de sus desarrolladores. Varios de estos archivos datan de 2013, lo que implica que al menos durante tres años la NSA no informó a los fabricantes de firewalls sobre estas vulnerabilidades en sus sistemas y pudieron ser usadas.

Por la cantidad de dispositivos, EXTRABACON es posiblemente la herramienta de mayor gravedad. Si bien no está recomendado que estos routers dejen disponible SNMP en internet, una búsqueda rápida indica que en América Latina hay miles de estos dispositivos posiblemente vulnerables: más de 5200 en Brasil, casi 2000 en México, sobre 1100 en Chile y casi 1000 en Colombia.

Combinando la nula responsabilidad de la NSA de informar los fallos de seguridad que detecta y la poca responsabilidad local de asegurar nuestras redes, miles de equipos han estado a merced de hackers durante años y hoy, por la libre disposición de estos ficheros, están a merced de cualquiera que se tome el tiempo de leer un poco

El caso de Diego Gómez y la irracionalidad del derecho de autor

Este miércoles 10 de agosto, en Colombia, se realizarán los alegatos finales en el juicio en contra de Diego Gómez, un trágico episodio que ha vuelto a demostrar hasta qué punto ha llegado la irracionalidad detrás del actual sistema de derechos de autor.

Desde el año 2014, Diego ha debido enfrentar un proceso criminal en su contra; uno en el cual arriesga de cuatro a ocho años de cárcel, más multas. ¿Su crimen? Haber compartido con sus colegas en internet la tesis de maestría de un académico sin su autorización. Diego es una científico conservacionista, y en ese entonces se encontraba realizando una investigación sobre los anfibios de Colombia. Como muchos estudiantes e investigadores de países en vías de desarrollo, su universidad no contaba con los recursos financieros para adquirir acceso a todos los repositorios científicos disponibles. Ante ello, Diego y sus pares se organizaron para compartir los artículos que tuviesen disponibles y así poder apoyarse mutuamente. Diego no plagió nada, no realizó ningún actor de “piratería”, ni tuvo ánimo de lucro, solo compartió un artículo académico con el fin de ayudar a sus pares a realizar su investigación. Y sin embargo, es perseguido como un delincuente.

El derecho penal es, por definición, un mecanismo de “ultima ratio”: el último recurso al que debe acudir el Estado para castigar una conducta particularmente grave que no se puede evitar por otros medios. Sin embargo, somos testigos de como un sistema sesgado supedita el aparato punitivo del Estado al interés particular de unos pocos, en detrimento del interés de muchos. Así, un sistema que solo busca proteger los intereses de los titulares termina por perseguir a un investigador por algo que todos hacemos en el día a día: compartir. Bajo un sistema así, todos somos delincuentes.

No estamos obligados a esta realidad. De hecho, el sistema de derechos de autor no fue concebido para proteger los derechos de los titulares a toda costa, dejando de lado los intereses de la sociedad o incluso criminalizándola. El sistema de derechos de autor nació con el fin explícito de incentivar la lectura, el cultivo de las artes y el desarrollo de la ciencia. El monopolio temporal que se le otorga al autor para explotar su obra se entregaba solo en la medida en que incentivara la creación y, por ende, el acceso de la población a las obras intelectuales. Bajo un sistema que cautela los derechos de los autores a recibir compensación por su trabajo y que incentiva la creación y la innovación, pero desde una perspectiva del acceso, sería imposible que Diego Gómez estuviese enfrentando un condena de ocho años de cárcel por compartir un artículo académico.

La comunidad académica, a través de los movimientos de open access y open data, ya han comenzado a rebelarse en contra de la tendencia a aplicar criterios de propiedad intelectual a la investigación académica. Después de todos, los principios de la ciencia descritos por Robert Merton en 1942 (universalismo, comunitarismo, desinterés y escepticismo organizado) son incompatibles con el actual sistema de derechos de autor. Lo mismo ha hecho Alexandra Elbakyan, quien también es perseguida por la justicia, al crear Sci-Hub, una plataforma que permite obtener acceso a más de 50 millones de artículos académicos de revistas de pago, entregándole la capacidad a miles de investigadores de países en vías de desarrollo de acceder a la bibliografía necesaria para realizar su labor.

Sin embargo, una aproximación más sistémica al problema es necesaria. Ante la evidencia de lo dañino que es el actual sistema de derechos de autor, se vuelve imprescindible que los países de América Latina realicen un profundo proceso de reforma a sus legislaciones de propiedad intelectual y consagren un sistema balanceado, que tenga por objetivo incentivar el acceso a la cultura, la investigación científica y la democratización del conocimiento.

Lamentablemente, el proceso que está viviendo Uruguay y otros países de la región muestran que los gobiernos de Latino América siguen empeñados en profundizar un sistema sesgado y contrario al interés público.

Por eso, y porque Diego no merece ser perseguido por compartir, hacemos un llamado a todos a sumarse a la “Liberatón” organizada por Fundación Karisma que se realizará el día 9 de agosto. La idea es que todas las comunidades liberen contenido y compartan, a través de Twitter, links a obras que ya tengan una licencia abierta o que estén en el dominio público utilizando los hashtags #compartirnoesdelito #standwithdiego. No sigamos esperando a que más inocentes sean perseguidos injustamente para iniciar la urgente tarea de reformar nuestro sistema de derechos de autor.

Perú pagó USD $22 millones para espíar las comunicaciones de sus ciudadanos

En América Latina, la industria de la vigilancia vive un gran momento. Cada vez son más las empresas que venden software espía a los gobiernos de la región, sin que existan regulaciones o contrapesos adecuados para controlar su adquisición y uso. En teoría, el objetivo de sus productos es el “combate al delito y la delincuencia organizada”; en la práctica, se espían ilegalmente las comunicaciones privadas de miles de ciudadanos, amenazando los derechos a la privacidad, libertad de expresión y opinión.

Recientemente, Associated Press (AP) publicó un reportaje que expone cómo el Gobierno de Perú pagó 22 millones de dólares a la empresa Verint por un software de vigilancia. La compañía israelí-estadounidense además está presente en Brasil, Colombia, Ecuador y México. Según los documentos publicados, “Proyecto Pisco” (el nombre del programa, que hace referencia al popular licor peruano) permite que los gobiernos intercepten llamadas telefónicas, mensajes de texto, correos electrónicos, chats e historial de internet de los usuarios; Puede rastrear hasta cinco mil personas y grabar hasta trescientas conversaciones simultáneas. Por si fuera poco, la Dirección Nacional de Inteligencia de Perú (DINI) también autorizó el pago de SkyLock: otro producto de Verint que permite ubicar y rastrear no solo cualquier teléfono dentro del país, sino en el mundo. Cuatro compañías telefónicas peruanas –Movistar, Claro, Entel y Viettel— firmaron un pacto con el Gobierno para cooperar con dicha geolocalización al interior del país, pero con su alcance, las posibilidades para el abuso se incrementan.

Es cierto que la ley peruana establece que las comunicaciones privadas solo pueden ser incautadas, interceptadas o intervenidas con orden judicial [Ley 29.733, artículo 13.4]. Sin embargo, este requisito no existe para la localización en tiempo real [Decreto Legislativo 1182]. Además, si el espionaje es por naturaleza secreto, ¿cómo podemos garantizar que no sea abusado por las instancias de gobierno? ¿De qué forma comprobar que es efectivo para combatir delitos? ¿Cómo saber que no se utiliza en contra de opositores políticos, periodistas o activistas?

Las dudas son razonables al mirar la historia reciente de Perú. Mecanismos del mismo estilo fueron usados anteriormente para vigilar a la exvicepresidenta distanciada del Gobierno, a policías y a periodistas. Sin medidas adecuadas que garanticen una mínima transparencia, mecanismos de notificación y rendición de cuentas, la violación a los derechos a la privacidad y libertad de expresión de los ciudadanos es latente.

Y como hemos dicho, no se trata de una primera incursión de la empresa. Verint se une a la creciente lista de empresas que venden software de espionaje en la región, como Hacking Team, Packrat y Fin Fisher. Desde 2006, en México esta compañía implementó una plataforma de vigilancia financiada por Estados Unidos que puede interceptar, analizar y retener todo tipo de información en cualquier sistema de telecomunicaciones. En Colombia, Verint, a través de su subsidiaria Curaçao, ha sido la empresa responsable del desarrollo de tecnología de vigilancia masiva. En la ciudad brasileña de Nitero, Verint vendió doscientas cámaras de seguridad y equipo para monitorear el audio y redes sociales de las personas. En el marco de las crecientes actividades de vigilancia por los Juegos Olímpicos, dicha iniciativa es preocupante. Mientras tanto, en la ciudad de Guayaquil en Ecuador, hay más de ochocientas cámaras que, según la propia empresa, pueden inclusive recoger datos biométricos.

El espionaje de comunicaciones realizado de forma masiva merece el más enérgico rechazo, como una conducta ilegal bajo el derecho internacional de los derechos humanos, por ser desproporcionada e innecesaria. Sin embargo, el marco normativo para regular la adquisición y el funcionamiento de estas tecnologías es claramente insuficiente. Con los marcos actuales, es muy poco lo que se puede hacer para garantizar que dicho equipo de seguridad o software para “combatir el crimen” no será efectivamente utilizado para violar derechos humanos y perseguir a disidentes.

Queda claro que los gobiernos de América Latina están dispuestos a desembolsar grandes cantidades de dólares para asegurar su capacidad de vigilancia. La impunidad y falta de regulación hacen que este lucrativo negocio crezca, a expensas de los ciudadanos, que como contribuyentes al erario público financian a la industria que facilita la denegación de sus derechos.

¿Cuáles son las responsabilidades que conlleva una filtración?

Hace pocos días, se supo de la filtración masiva de unos 20.000 mensajes de correo electrónico del Partido Demócrata, en el contexto de la controvertida carrera presidencial que tiene lugar en Estados Unidos. La filtración ocurrió en un momento clave: justo previo a la realización de la convención del partido, en que Hillary Clinton ha sido ungida como la candidata que hará frente a Donald Trump. Incluso se ha llegado a decir que Trump se habría asociado con el Gobierno ruso para llevar a cabo la filtración y perjudicar campaña demócrata, lo que por supuesto el implicado niega tajantemente.

Más allá de las acusaciones, la filtración sirvió para exponer ante los votantes las maquinaciones políticas en el partido de Clinton. En los correos quedaba en evidencia cómo la presidenta de la Convención Nacional Demócrata, Debbie Wasserman Schultz, junto a otros funcionarios, planearon la forma de perjudicar la campaña de Bernie Sanders para favorecer a Clinton. Se logró comprobar así algunas de las denuncias de la campaña de Sanders acerca de los obstáculos que la misma presidenta de la Convención había puesto a su campaña durante las primarias. El escándalo ya le costó el puesto a Wasserman Schultz, ante demandas de responsabilidad por una conducta considerada inapropiada.

La opacidad con la que actúan quienes están llamados a representarnos y la carencia de acceso suficiente a información que debiera ser pública, ha motivado el actuar de organizaciones y hackers anónimos, como aquellos que revelaron la información en casos como Hacking Team y los Panama Papers, hace algún tiempo. Sin su participación, probablemente la opinión pública jamás habría llegado a saber lo que estaba sucediendo en sus países, frente a sus propios ojos. Sirven estos actos como una forma de desnudar al poder y poner luz sobre la excesiva opacidad en que se desempeñan labores de interés público, que pesa sobre el derecho fundamental de acceso a la información pública, y en general, sobre la posibilidad de poder hacer un adecuado control ciudadano del ejercicio de los poderes.

En este sentido, la actividad desarrollada por quienes liberan la información constituye una forma de lograr transparencia de manera forzada, fiscalizando paralelamente a quienes ejercen poder incluso donde la ley no ha sido capaz de llegar. Desde esta perspectiva, se trata de una actividad que beneficia y fortalece las democracias.

Sin embargo, desde la perspectiva opuesta, se trata de actos que arriesgan seriamente a las personas cuyas comunicaciones salen a la luz.

Por una parte, porque ponen de manifiesto la vulnerabilidad de los sistemas frente a ataques informáticos de distinta naturaleza, que culminan en accesos no autorizados a esas comunicaciones. No todas las personas manejan el mismo nivel de influencia en las esferas de poder políticos; pero sí están sujetas a la misma vulnerabilidad, o incluso mayor, si sus sistemas de comunicación son los mismos.

Por otra parte, porque la privacidad se ve comprometida con cada acto de publicación de mensajes que, en principio, entendemos como comunicaciones privadas dignas de protección. El interés sobre el contenido de esos correos, no puede hacernos olvidar la importancia del resguardo de los derechos de quienes los intercambian. Esto es todavía más grave cuando, además de haber una intrusión en mensajes de correo electrónico, existe publicación de los mismos. Es decir, cuando quienes no son parte del poder ven expuesta al público su información personal.

Sería ilusorio no reconocer que pueden existir riesgos asociados y ejemplos recientes dan cuenta de ello. Así sucedió hace muy poco en Turquía, país en que tras un intento de golpe de estado, se filtró una gran cantidad de correos electrónicos, supuestamente provenientes del presidente en ejercicio, Erdogan, en la que también se vio involucrada Wikileaks. El Gobierno turco ha ordenado el bloqueo de redes sociales en varias ocasiones, provocando un rechazo generalizado por parte de los defensores de las libertades en internet. Sin embargo, la revisión posterior de la información liberada dio cuenta de que, en realidad, no había información que emanara de Erdogan o de su círculo cercano, y lo que es aún más grave, hizo públicos datos personales de cientos de mujeres turcas que podrían ver seriamente afectada su seguridad personal.

Esta acción ha levantado fuertes críticas contra Wikileaks. Este escenario podría terminar restándole credibilidad a un mecanismo de transparencia que ha probado ser muy útil en otros casos; e incluso, en el largo plazo, justificando a los ojos del público el bloqueo de sitios o apagones de internet, como parte de una estrategia de defensa de los gobiernos, diluyendo así el objetivo inicialmente perseguido.

En síntesis, tanto el hackeo como la publicación de las filtraciones son formas de participar del debate público que pueden significar grandes beneficios, pero a la vez acarrean grandes riesgos. Es importante terminar con la persecución de whistleblowers y darles protección legal, y a la vez, participar del debate público y mantener prácticas responsables en la publicación de filtraciones cuando pueda haber personas involucradas.

Una de las formas de responsabilidad es comprender el contexto en que se producen esas filtraciones y trabajar con personas locales para reducir riesgos asociados a la publicación de información. Son estas mismas razones las que han llevado incluso a levantar plataformas digitales para facilitar la denuncia de actos de corrupción, resguardando el anonimato y protegiendo las comunicaciones mediante el uso de cifrado. Ejemplos notables en Latinoamérica existen con Mexicoleaks, inaugurada a principios del año 2015, y más recientemente con Peruleaks.

Los riesgos de las filtraciones existen, y pueden constituir un precio demasiado alto a pagar para suplir un adecuado acceso a la información de interés público. Mientras reglas e instituciones no respondan adecuadamente a las necesidades de transparencia, el acceso seguirá existiendo por vías alternativas, más o menos formales, que están lejos de ser neutrales en su accionar, con relativos grados de confiabilidad y, aún más lamentablemente, sin el necesario compromiso por el respecto de las garantías fundamentales de los ciudadanos.