Una filtración que pone en peligro la democracia mexicana

Los datos de 93.4 millones de votantes mexicanos se filtraron y publicaron en el servidor de Amazon Cloud. Se trata de identificaciones básicas, fotografías y direcciones del 75% de la población mexicana. El investigador Chris Vickery dio con la información. No estaba protegida por contraseñas, no estaba en venta y cualquiera la podía bajar. Hizo lo posible por retirarla cuanto antes. Denunció ante Amazon, alertó al Departamento de Estado de Estados Unidos y previno a la Embajada de México en Estados Unidos. Le hicieron poco caso.

Se trata de una grave vulneración de normas básicas de protección de la información personal: una enorme cantidad de datos personales disponible en un servidor extranjero, sin medidas de protección, por largo tiempo. La base de datos estuvo en línea durante ocho días hasta que el Instituto Nacional Electoral (INE) se dio cuenta y pudo eliminarla. Según declaraciones del presidente del INE, no es que alguien hubiera hackeado o infiltrado la información, sino que existió un manejo negligente por parte de uno de los estamentos más cuestionados del sistema mexicano: los partidos políticos.

Los datos que aparecieron en internet coinciden con la lista de electores que había sido entregada en febrero de 2015. Según la ley, un mes antes de las elecciones se entrega a los partidos políticos la lista final de las personas que obtuvieron su credencial para votar, para que puedan vigilar y revisar la información. Por si fuera poco, a cada partido se le entregan casi 64 millones de pesos (1.100 millones de dólares) para llevar a cabo estas tareas.

Durante el tiempo que la información estuvo en línea, cualquier persona la pudo descargar. En un país con altos índices de secuestro y extorsión, el crimen organizado podría ser el primero en beneficiarse. Basta un nombre y apellido para saber dónde vive la persona, cuántos años tiene y cómo se llaman sus padres. En términos de acoso por razones de género también es complicado: de las redes al mundo real, cualquiera podría seguirnos y acosarnos en nuestro hogar. El caso de la periodista Andrea Noel es ejemplar: fue acosada en la calle, lo denunció por internet y en una ocasión la siguieron hasta su casa para amenazarla y apuntarle con un láser en la frente.

Fue posible deducir que el origen de la filtración fue un partido debido a que la llave USB en que el INE entregó la información tiene una “huella digital. Estos datos son estrictamente confidenciales y no pueden comunicarse o darse a conocer. Por lo mismo ya hay un procedimiento ante la Fiscalía Especial de Delitos Electorales. La sanción para la persona que lo haya filtrado, según el Código Penal, va de uno a cinco años de cárcel, además de la suspensión de su cargo.

Sin embargo, aunque exista una reacción penal, estamos frente a un caso de negligencia inexcusable. No es solo un atentado a la privacidad, a la seguridad y un riesgo a las personas sino que compromete el sistema democrático mexicano.

El actuar irresponsable de los partidos políticos amerita no sólo una sanción, sino que además se debe notificar y reparar el daño a todos los ciudadanos afectados. Pero más importante es que filtraciones como esta no deberían ocurrir. Todos los países de la región necesitamos mejores leyes y mecanismos para asegurar una protección óptima de la información personal. En el contexto de la discusión de la Ley General de Datos Personales en Posesión de Sujetos Obligados, esto debe tomarse en cuenta.

Día internacional del libro: ¿cuándo podremos celebrar la lectura?

Hoy se conmemora el día internacional del libro y el derecho de autor. Sin embargo, resulta más adecuado replantear esta celebración de la siguiente forma: hoy recordamos a los libros y los puentes que trazan hacia nuevos y distintos saberes, a los que sólo podremos acceder libremente 70 años tras la muerte de su autora o autor. ¿Celebramos entonces el libro? Sí y no. Conmemoramos los diversos lugares a los que nos hemos transportado gracias a un libro, pero también recordamos un elemento que hoy parece indisociable de la discusión: los derechos de autoría –también conocidos como copyright en su formulación anglosajona. De esta manera más bien parece que celebramos tanto al libro como a la industria editorial.

El año 1710, con el establecimiento del Estatuto de la Reina Ana, traza el comienzo de un camino que ha buscado resguardar los derechos de copia y la autoría de las obras. A comienzos del XVIII se consideró que 14 años, prorrogables por el mismo período, era un lapsus suficiente en vistas de resguardar los intereses de autores y editores de obras originales. Recientemente, en el marco de las negociaciones del TPP, se extendió el plazo de protección de derechos de autor desde cincuenta años post-mortem hasta los setenta años.

A lo largo de los años hemos observado reiteradamente cómo la legislación pareciera haber olvidado el equilibrio entre el resguardo de las obras y el acceso a ellas por parte del público general. Todo ello, demás está decir, atendiendo muchas veces a los intereses de grandes industrias creativas y conglomerados comerciales que, como Disney, bogan regularmente en foros internacionales por mayores plazos de protección y, crecientemente, por un aumento en la existencia de medidas tecnológicas de protección –medidas que, por cierto, fueron igualmente incluidas en las negociaciones del TPP.

[left]Es importante que cambiemos el foco desde el libro como objeto hacia la lectura y el consumo de contenidos creativos.[/left]

El principal problema asociado al aumento progresivo de los resguardos al derecho de autor, en un contexto tecnológico plagado de dispositivos que permiten no sólo consumir sino generar contenidos, está asociado a la eventual falta de criterio en la aplicabilidad de estas normas. Dicho de otra forma, resulta crecientemente más costoso argumentar en favor de excepciones flexibles al derechos de autor. Bastante supo de esto el recientemente fallecido Prince: el bullado caso Lenz versus Universal da cuenta de los alcances que pueden tener este tipo de litigios. Un niño de un par de años bailando al son de la música (de fondo) de Prince aparece como una violación de las reglas de copyright de YouTube.

Todo esto resulta especialmente acucioso al considerar que, también en el marco de las negociaciones del TPP, las excepciones y limitaciones al derecho de autor se complejizan todavía más, al extender la prueba de los tres pasos en ámbitos que exceden lo establecido en el Convenio de Berna.

La influencia de las grandes corporaciones generadoras y distribuidoras de contenidos ha llevado a que sus intereses primen en la discusión pública. Por demás, resulta importante señalar que el interés general ya no se halla constreñido al consumo de contenidos, sino que de forma creciente los usuarios finales somos también creadores susceptibles de ser resguardados por la normativa de derechos de autor.

Resulta necesario que seamos capaces de repensar cuáles son las orientaciones que guían la regulación relativa al acceso a contenidos, más allá de las obras literarias. El acceso a estos contenidos resulta tan importante para el acceso a la cultura como el resguardo de las obras y el reconocimiento de su autoría. Es importante, de esta manera, que cambiemos el foco desde el libro como objeto (físico o digital) hacia la lectura y el consumo de contenidos creativos.

Cuando todos podemos ser también creadores no parecieran existir razones apriori que otorguen garantías a una industria que, en muchos casos, ha visto sus canales de distribución superados por dinámicas colectivas ajenas al interés económico.

El auge del software de vigilancia en América Latina

Creciente es el interés en el espionaje digital por parte de los gobiernos de América Latina. Esta es una de las conclusiones de “Hacking Team: malware de espionaje en América Latina”, un nuevo informe realizado por Derechos Digitales y que revela que la gran mayoría de los países de la región estuvieron involucrados con Hacking Team, la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo.

Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, pero no hay información respecto a si las ventas fueron concretadas.

Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala.

Las negociaciones se realizaron en secreto, hasta que el 5 de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team.

RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal.

Del análisis de las normas vigentes en cada uno de los países que se relacionaron con Hacking Team, así como de las notas de prensa que surgieron en la región a tras las revelaciones, el informe concluye que el software de Hacking Team es contrario a los estándares legales de cada país, y además violatorio de los derechos a la privacidad, a la libertad de expresión y al debido proceso. Considerando la relación cercana que nuestra región tiene con el autoritarismo, es especialmente preocupante que las autoridades cuenten con herramientas de este tipo.

En Ecuador se utilizó tecnología de Hacking Team para vigilar a Carlos Figueroa, opositor del gobierno de Rafael Correa. En México, un país que vive una seria crisis de derechos humanos, ocho de las diez autoridades que compraron RCS no están facultadas para ejercer actividades de vigilancia; El Centro de Investigación y Seguridad Nacional (CISEN), un organismo de inteligencia, realizó 2,074 órdenes judiciales para poder utilizar el software; hasta la fecha, no se sabe si su uso es justificado.

La filtración también reveló que de la información de Hacking Team permitió saber que la Drug Enforcement Agency (DEA) de Estados Unidos intercepta todas las comunicaciones de todos los ciudadanos colombianos. Así mismo, se sospecha del uso de herramientas de este tipo contra Vicky Dávila, periodista que investiga una red de prostitución masculina al interior de la policía.

En Panamá, el ex presidente Ricardo Martinelli estuvo personalmente al tanto de las negociaciones con Hacking Team. En Chile, en cambio, la Policía de Investigaciones dijo en un comunicado que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial. Sin embargo, las órdenes judiciales en este caso no son suficientes para garantizar el uso legítimo del software de espionaje.

En términos legales, este tipo de software no está regulado explícitamente en ningún país. En México y Colombia existen disposiciones amplias al respecto, pero con lenguaje vago e impreciso. La ausencia de regulación deja al arbitrio de las autoridades, muchas veces corruptos, el uso, aplicación y objetivos de RCS.

Si bien la interceptación de comunicaciones bajo orden judicial está regulada en todos los países, con mayores o menores salvaguardas, esta no es suficiente pues el software de Hacking Team es mucho más invasivo que una mera interceptación: abarca el acceso a documentos, webcam, disco duro, teclado y geolocalización de los equipos afectados. Como esto no es parte de la legislación, dudosamente es parte del orden judicial, por lo que el derecho al debido proceso también se ve vulnerado.

Cabe resaltar que en casi todos los países analizados existen sanciones penales contra quien invada o intervenga los sistemas informáticos o las comunicaciones privadas de una persona fuera de la legalidad de una investigación. Sin embargo, sólo Panamá ha abierto procesos al respecto.

El problema del espionaje indebido va mucho más allá de Hacking Team, implica a un mercado global que abusa de la tecnología de vigilancia en manos de gobiernos alrededor del mundo. En este sentido debe existir mayor transparencia en el uso y adquisición de estas herramienta, una discusión abierta sobre los estándares que deben regir esta tecnología y además sanciones penales en los casos que lo ameriten.

Las implicancias de la decisión de WhatsApp de cifrar sus comunicaciones

Cuando el servicio de mensajería WhatsApp actualizó sus distintas aplicaciones para celulares, llegó con una de las noticias más importantes con respecto a la privacidad y seguridad en la red durante años: todas las comunicaciones entre usuarios de WhatsApp están cifradas por defecto, haciendo imposible que incluso la misma compañía pudiese ver el contenido de los mensajes.

Si bien hay varias aplicaciones para celulares que logran –o al menos prometen– lo mismo, hay dos características que diferencian esta noticia del resto. La primera es que WhatsApp tiene la no despreciable suma de un billón de usuarios, lo que significa que los millones de chats, llamadas y transferencias de archivos del sistema de mensajería más importante del planeta se vuelven imposibles de espiar por sistemas de vigilancia masiva.

La segunda es que no es un sistema de cifrado cualquiera. WhatsApp implementa el protocolo Signal, desarrollado por Trevon Perrin y Moxie Marlinspike. Anteriormente conocido como Axolotl, tiene un fuerte consenso en la comunidad de criptografía sobre su seguridad, pues este protocolo cifra todo el contenido desde teléfono a teléfono y toma distintas precauciones para impedir que cualquier clase de error humano comprometa la seguridad de las comunicaciones. Este sistema ya se encontraba previamente disponible en la aplicación de mensajería Signal de OpenWhisperSystems (de los mismos Perrin y Marlinspike), sin embargo esta aplicación no posee la misma masividad y popularidad que cuenta WhatsApp.

Al respecto, no hay que dejar de reconocer la importancia fundamental que ha tenido la industria del software libre en los avances en la protección de la privacidad de nuestras comunicaciones. La opción de WhatsApp así lo confirma y debiese ser también leído como un espaldarazo a esta industria.

Si bien WhatsApp ha dejado clara su posición con respecto a la protección de sus usuarios, volviendo inviolable el derecho a la privacidad de sus comunicaciones, aún quedan algunos problemas por resolver con respecto a su seguridad. Preocupa que al no ser WhatsApp una aplicación de código abierto, es imposible tener un 100% de certeza de que realmente hace lo que dice. Se suma también que por un defecto propio de cómo se distribuyen todas las aplicaciones, es todavía posible enviar una actualización maliciosa a WhatsApp.

Otro aspecto importante a considerar es que los metadatos almacenados en los servidores de WhatsApp no se encuentran bajo la misma protección. La empresa guarda voluntariamente datos como la fecha exacta asociada a una conversación, incluyendo los números de teléfono involucrados, y lo hace sin estándares de cifrado que aseguren su inviolabilidad. Y si bien esto es una práctica común en este tipo de aplicaciones, una mirada comparativa muestra, por ejemplo, que WhatsApp almacena con menos seguridad mucha más información que Signal.

A todo lo anterior se suma que el dueño de WhatsApp es Facebook, una empresa que en el caso de su red social más popular, sigue cultivando un modelo de negocio en base a la venta de publicidad dirigida, beneficiándose enormemente de la explotación masiva de datos, fotografías, relaciones y comunicaciones de todos sus usuarios.

No obstante lo anterior, en un contexto de fuertes amenazas al cifrado en el mundo y, por ende, a la privacidad de nuestras comunicaciones (Estados Unidos y Brasil son solo los más recientes ejemplos), la decisión de WhatsApp es uno de los pasos más importantes que se han dado para una internet más segura para todos y todas, marcando un precedente que debiese ser imitado por el resto de los servicios de la red.

¿Vuelve el secreto de sumario a Chile?

Gran polémica ha causado una indicación contenida en la agenda corta antidelincuencia que pretende sancionar las filtraciones de información de los juicios criminales, con una pena no menor a 540 días de prisión a cualquiera que violare el secreto de la investigación.

Las reacciones han sido diversas: algunos estiman que la medida trae de vuelta el secreto de sumario que regía en el antiguo sistema penal, por lo que significa un retroceso; otros consideran que se trata de una necesidad frente a las continuas fugas de información relevante para una investigación en curso y que incluso pueden hacerlas fracasar.

Uno de los puntos que más suspicacias ha levantado tiene que ver con quiénes podrían resultar afectados por la medida. De manera excesivamente amplia, la norma se refiere a “quienes violen las normas sobre secreto”, sin más detalles, por lo que resultaría aplicable literalmente a cualquiera que se encuentre en el supuesto dado. Aunque se ha dicho que la medida no está destinada a acallar periodistas y medios de comunicación, la propia norma no resulta ser suficientemente precisa, pudiendo prestarse para esos fines, mermando la necesaria libertad de expresión e información que ha de existir en un estado de derecho democrático.

Una vez más asistimos a la tramitación de un proyecto que deja mucho que desear en el uso del lenguaje a la hora de legislar, dejando brechas que requieren que quienes han propuesto la norma salgan a dar explicaciones respecto a su aplicación, olvidando que esta debe bastarse a sí misma. Este tipo de imprecisiones no pueden ser aceptadas cuando el precio a pagar podrían ser los derechos fundamentales.

Se trata de una propuesta que, además, llega en un momento poco oportuno para Chile, abarrotado de casos de corrupción que afectan a distintas instituciones y personajes públicos, de manera transversal, por lo que para algunos se está legislando por la contingencia. Y hay que reconocer que muchos de los casos que hoy llenan las páginas de los periódicos nacionales no serían de público conocimiento de no ser por estas filtraciones.

Por cierto, las filtraciones siempre han existido, tanto en Chile como en el mundo, así como la figura del whistleblower, aquella persona que alerta respecto a actividades ilegales, antiéticas o incorrectas en una organización pública o privada, y que en los últimos años ha alcanzado gran visibilidad gracias a figuras como Edward Snowden, Chelsea Manning y WikiLeaks. Las posibilidades que entrega la tecnología para denunciar abusos y trabajar colectivamente en su difusión a través de la red debe ser un punto central en la discusión respecto al quehacer periodístico en el siglo XXI.

De modo que nuevamente nos encontramos frente a una norma inserta en un proyecto que ignora la evolución e impacto propios del periodismo de investigación y su relación con la red, donde las dinámicas son distintas a las de los medios tradicionales.

Nos enfrentamos a una propuesta que, en el mejor de los casos ignora (y en el peor, intenta aplacar) un deseo creciente de la ciudadanía por monitorear y hacer responsables de sus acciones a las instituciones sociales, que encuentra en internet una eficaz herramienta para informarse.

Es probable que en el marco de una investigación criminal este deseo ciudadano resulte contraproducente, perturbador, incómodo e incluso inoportuno para los fines que se persiguen, pero no parece que sanciones tan severas y aplicables a cualquier involucrado sean el camino adecuado. Más bien parecen ser una medida desesperada, destinada a poner atajo a la creciente demanda social por información oportuna acerca de cómo opera la justicia, a propósito de los procedimientos criminales.

Hace 15 años atrás la justicia chilena sufrió un profundo cambio, orientado hacia la transparencia, limitando el secreto a un ámbito excepcional y salvaguardando la libertad de expresión y de información. El proyecto en cuestión apunta en la dirección contraria.

La “guerra sucia” en redes sociales

El 24 febrero de 2016, el pueblo boliviano votó contra el referendo que permitiría una reforma constitucional para que el presidente del país, Evo Morales, pudiera reelegirse por tercera vez. El presidente atribuyó la derrota a la campaña vertida en redes sociales, que apuntaba a denunciar el tráfico de influencias entre la ex pareja del presidente y una empresa China.

Morales se dijo víctima de una «guerra sucia» llevada a cabo en internet mediante opiniones anónimas que son capaces de “tumbar gobiernos” y que comparó con “recolectores de basura.” En una rueda de prensa en La Paz, Morales además dijo que “quienes usan las redes sociales con mentiras están haciendo perder valores a las nuevas generaciones.” Ese mismo día el vicepresidente de la Cámara de Diputados, Víctor Borda, anunció que presentaría un proyecto de ley para regular las redes sociales.

El resultado es la represión de la libertad de expresión en redes sociales por la vía política y legal. Por un lado, el lenguaje del presidente boliviano contra las redes sociales es preocupante: demonizar el discurso público vertido en internet es una amenaza política a la libertad de expresión. Al restarle valor a estas expresiones, el presidente desconoce la legitimidad del discurso ajeno y rompe el principio democrático inherente a este derecho. De manera paralela -y aunque el proyecto de ley aún no es público- de las declaraciones del diputado Borda se desprenden ciertas preocupaciones para los derechos digitales de los ciudadanos de Bolivia.

Según reporta Global Voices, en esta iniciativa se proponen tres tipos penales. Primero, castigar con cárcel a quienes “diseñen, desarrollen, trafiquen, vendan, ejecuten, programen o envíen una página electrónica, enlaces o páginas emergentes con el fin de contactar y obtener datos”. Bajo objetivos que podrían ser loables y normas muy amplias, podrían usarse estas figuras para perseguir opiniones disidentes. Segundo, se sancionaría “la violación de datos personales”, la cual se define como algo que ocurriría cuando el usuario “sustraiga, intercambie, envíe, divulgue o modifique información personal con datos hallados en espacios como redes sociales y medios similares”. No se especifica en qué condiciones un usuario puede utilizar datos personales, lo cual también podría tener consecuencias adversas para otros usuarios.

Tercero, se sancionaría cualquier expresión que afecte “la honra de una persona individual, colectiva, pública o privada”. Este delito es similar al de calumnia, considerado como contrario a la libertad de expresión por la Relatoría Especial de la Comisión Interamericana de Derechos Humanos. Lo que crea es un efecto silenciador sobre la crítica, pues a riesgo de equivocarse se optaría por el silencio.

Adicionalmente, Javier Pallero de Access Now nota que se buscaría establecer un consejo nacional que tendría la potestad de “controlar” las redes sociales, prohibiendo también el anonimato: un derecho sin el cual los ciudadanos podrían abstenerse de expresar sus opiniones políticas por temor a represalias.

En la región, este impulso de regulación de redes sociales no es nuevo. De Chile a México, Ecuador y Argentina hemos visto cómo los gobiernos y legisladores entienden internet como un espacio caótico, donde no es el “Estado de Derecho” quien reina, sino la sátira, la crítica sin fundamentos, la difamación y el insulto anónimo. En el fondo, es miedo a la crítica y los procesos descentralizados que la internet implica.

Bolivia no es la excepción: en lugar de dejar florecer las expresiones en línea con un ánimo democrático, se buscará coartarlas en lo político y lo legal. Esperemos que en esta etapa de discusión pública, el gobierno rectifique su posición.

Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.

Cinco claves sobre el fallo que pone fin a los globos de vigilancia

La Corte de Apelaciones de Santiago, en un fallo unánime, acogió nuestro recurso de protección (en conjunto con Fundación Datos Protegidos y Corporación Fundamental) y ordenó el cese del uso de globos de vigilancia en Las Condes y Lo Barnechea. Así, la Segunda Sala del tribunal de alzada acogió acción cautelar y ordenó a municipios cesar de inmediato las actividades de captación, almacenamiento y procesamiento de las imágenes que se realizan por medio de los globos de vigilancia emplazados en dichas comunas. Acá te contamos qué dice el fallo concretamente:

UNO: Los globos afectan la vida privada

La Corte reconoce la afectación de los derechos a la vida privada y a la inviolabilidad del hogar hecha por los globos de vigilancia, acogiendo así nuestro argumento de que la vigilancia indiscriminada hecha por estos globos tiene un impacto negativo sobre los derechos fundamentales. Debido a que los globos cuentan con vasto poder para captar, grabar y almacenar imágenes en un amplio campo, abarcando tanto espacios públicos como privados, a la Corte no le quedó más que concluir que los derechos establecidos en los numerales 4 y 5 del artículo 19 de la Constitución, se ven vulnerados por el sistema de vigilancia.

DOS: Falta regulación expresa para la videovigilancia en Chile

La Corte reconoce la alta capacidad tecnológica de los globos, pero hace hincapié en la falta de regulación legal expresa para esta clase de videovigilancia en Chile. Por ello, debe aplicarse el principio de legalidad, especialmente por parte de órganos públicos. Así, que una atribución legal determinada que habilite a un organismo público como un municipio a realizar determinada actividad, no implica que la pueda realizar de cualquier modo, sino limitados por el respeto a derechos humanos.

TRES: La seguridad no es justificación para intromisión en la intimidad

Relacionado al punto anterior, la Corte establece que el fin de seguridad pública perseguido por las municipalidades, no permite justificar la intromisión ilegal en la intimidad que sufren los recurrentes. Para la Corte, “la única forma a través de la cual puede obtenerse un cabal resguardo de los mencionados derechos es el cese de la operación del sistema de vigilancia” operado por las municipalidades.

CUATRO: El funcionamiento de los globos es ilegal

Si bien los órganos estatales están habilitados por la Ley Nº 19.628 para realizar tratamiento de datos personales, deben hacerlo dentro de sus funciones, y de una forma que respete el pleno ejercicio de derechos fundamentales de sus titulares. Para la Corte, al dejar en manos de privados la operación de globos que transgreden normas legales y constitucionales, el sistema es ilegal.

CINCO: La sentencia se puede apelar

La decisión de la Corte ordena de forma unánime el cese de la operación de los globos, en un paso importante para resguardar la privacidad. Pero la decisión no es definitiva en tanto la sentencia es susceptible de apelación ante la Corte Suprema, siendo esta la última instancia.

Lee nuestro comunicado de prensa sobre el fallo acá.

La economía política de internet

Frente a cualquier desarrollo tecnológico es posible preguntar quiénes son los gestores de tal tecnología. Plantear la pregunta por “¿quién es el dueño?” nos entrega luces respecto de porqué una compañía estaría dispuesta a invertir en determinados proyectos. Así es posible comprender, por ejemplo, cuáles son las motivaciones de Facebook por promover el acceso a internet; como hemos visto, detrás de iniciativas como Free Basics no prima necesariamente una preocupación altruista sino, más bien, el interés de Facebook por contar con un mayor número de usuarios de sus servicios. Si no pagas por un producto es altamente probable que el producto seas tú. Esto es plantear la pregunta por la economía política de las redes y dispositivos que usamos cotidianamente: saber quiénes son los propietarios nos permite conocer sus intereses.

La penetración masiva de las nuevas tecnologías en la vida cotidiana ha llevado a algunos a sostener que el acceso a internet puede incluso constituir un derecho humano. El problema que surge de lo anterior tiene que ver con la provisión de tal (eventual) derecho y la economía política tras este. Pensemos, por ejemplo, en la provisión de un bien imperioso para la existencia de la vida: el agua. Diversos han sido los modos en los cuales los estados han respondido a la provisión de tal bien. Desde modelos completamente estatales, hasta escenarios privatizados donde el Estado opera como “garante” de la provisión y el acceso al agua -modelo que bien conocemos en Chile.

Uno de los ámbitos en los cuales este tipo de relaciones puede despertar un mayor número de preguntas se relaciona con el surgimiento de las denominadas “ciudades inteligentes” (o “Smart Cities”). La idea es que mediante el uso de tecnologías de la información en tiempo real sería posible gestionar de mejor manera las complejas interacciones que se dan en las grandes urbes: desde el tráfico hasta la gestión de catástrofes naturales (se puede leer más sobre el particular aquí).

Sin embargo, el que una ciudad pase de ser “tonta” (o, al menos “no-inteligente”) a “inteligente” comporta un inversión que no es menor, sobre todo al considerar que contempla la implementación de una infraestructura considerable. Cabe aquí entonces nuevamente la pregunta: ¿quiénes y respondiendo a qué intereses estarían dispuesto a realizar tal inversión?

Empresas como CISCO Systems y Siemens han sido de las compañías que más en serio se han tomado las “ciudades inteligentes”. A la fecha, CISCO ha desarrollado planes para Holanda, India y Corea, por mencionar ejemplos de contextos diversos. En Latinoamérica, por otro lado, ciudades como Santiago ya han manifestado su intención y planificación en vistas a alcanzar el tan anhelado adjetivo de “inteligente”. ¿Cuáles serán los acuerdos público-privado que regirán este tipo de políticas? ¿Cuál será el rol de la ciudadanía a la hora de tomar parte en tales planes de desarrollo?

Las implicancias de tales cuestiones exceden la mera preocupación por la economía política y se sitúan en planos que afectan directamente nuestros derechos fundamentales. Cuando nos hallamos en la arena de la tecnología, sabemos que debemos enfrentarnos a cuestiones tales como la privacidad y el manejo de datos personales. Sin embargo, en los planes propuestos, las más de las veces estos cuidados siquiera son mencionadas.

Las consideraciones respecto a lo que es visto como público puede fácilmente teñirse de un manto de duda al evaluar el rol que ejercen las compañías privadas. A modo de ejemplo, resulta interesante destacar la implementación de Facebook at Work (FAW) en el Gobierno argentino.

FAW es la aplicación de Facebook para la gestión del trabajo en organizaciones; la compañía sostiene que, dada la familiaridad con el entorno de la plataforma, es una herramienta de fácil adopción para organizaciones de todo orden, incluso administraciones estatales. Es lo que ha decidido el gobierno de Macri en Argentina, constituyendo el primer ejemplo de un país que adopta el servicio para la gestión gubernamental. Aún cuando existen quienes han manifestado sus precauciones en razón de la seguridad del servicio y las implicancias de éste la opción “modernizadora” parece haber tenido mayor valía para el Gobierno argentino. ¿Hasta dónde estarán resguardados los datos de una administración estatal en un servidor privado? ¿Existen las garantías requeridas respecto al manejo de los datos personales de los funcionarios? ¿Qué se hará con la información recabada?

Nunca está demás volver a plantear la pregunta por la economía política, en vistas de comprender qué es lo que impulsa el surgimiento de iniciativas como las “ciudades inteligentes”, Free Basics o, incluso, la plataforma de gestión organizacional de un estado. Responder tal pregunta nos ayuda a comprender estas iniciativas de forma más completa, habilitando a los diversos sectores involucrados y, especialmente, a la ciudadanía a tener elementos de juicio.