Ciberseguridad: más allá de la concientización

Octubre marca nuevamente el Mes de la conciencia sobre la ciberseguridad, una oportunidad anual para destacar la importancia de la seguridad digital. Pero lejos de ser un tema técnico, la ciberseguridad ha pasado a ser una prioridad social y política.

Los ataques cibernéticos cada vez más sofisticados y el creciente uso de tecnologías emergentes, como la inteligencia artificial (IA), han traído nuevas complicaciones. En un contexto global donde aparecen nuevos marcos regulatorios y estrategias, los incidentes cibernéticos en América Latina son un recordatorio constante de que la región necesita mejorar su capacidad para prevenir y mitigar ataques.

Ataques sin fin en América Latina

El último año ha dado una nueva serie de ejemplos de incidentes de alto perfil, una vez más con el ransomware como protagonista. Uno de los incidentes más devastadores ocurrió en septiembre de 2023 en Colombia, en un ataque dirigido a IFX y que afectó a decenas de entidades gubernamentales, paralizando desde procesos judiciales hasta el acceso a prestaciones de salud. El impacto de este ataque además se extendió a Argentina, Panamá y Chile. Un mes después, otro incidente afectó a órganos públicos y privados en Chile y Perú, otra vez mediante ransomware. Son noticias que seguirán repitiéndose sin nuevas medidas frente a amenazas constantes y complejas. Distintos estudios dan cuenta de la frecuencia de ataques en empresas privadas como de la limitada preparación en el sector público de la región.

Es en ese escenario que se vuelve especialmente valioso el avance de políticas nacionales sólidas, donde cabe mencionar el hito crucial de la promulgación de la Ley Marco de Ciberseguridad y Protección de Infraestructuras Críticas de Chile. Esta ley establece a la Agencia Nacional de Ciberseguridad (ANCI) como la autoridad encargada de regular y proteger los servicios esenciales frente a ciberataques. Este tipo de legislación, pionera en la región, subraya la urgencia de contar con marcos sólidos en un momento en que las amenazas no solo aumentan en número, sino también en complejidad. Pero ante amenazas que suelen ser transnacionales, es necesario no solo que existan marcos efectivos en todos los países, sino también instancias suficientes de colaboración.

Un mundo en busca de la seguridad digital

El contexto diplomático global en torno a las tecnologías ha estado marcado por el Grupo de Trabajo de Composición Abierta sobre la seguridad en el uso de las TIC (el OEWG), que en su informe anual de progreso ha puesto énfasis en las implicaciones de tecnologías avanzadas usadas contra la seguridad en el ciberespacio, incluyendo a la inteligencia artificial y la computación cuántica, en atención a su potencial para fortalecer o debilitar la ciberseguridad global. Contrastan allí los tensos debates que incluyen países en conflicto geopolítico, con la participación voluntariosa de Estados que procurará mejorar sus capacidades frente a las amenazas digitales.

En el documento de consenso entre Estados, algunos puntos clave incluyen: elementos acordados para un futuro mecanismo de diálogo tras el fin del OEWG, basado en consenso; el futuro debate de la posibilidad de un fondo voluntario para apoyar la capacitación de los Estados; la existencia de deberes de los Estados bajo normas voluntarias, derecho internacional y medidas de fomento de la confianza; y la continua operacionalización de un directorio de puntos de contacto. Por otra parte, a un año del término del OEWG, no hay consenso sobre la aplicabilidad directa al ciberespacio del derecho internacional y el derecho internacional humanitario, ni sobre la necesidad de nuevas normas no vinculantes.

No obstante, es otro suceso el que acapara hoy mayor atención. El término de las negociaciones del Tratado de Cibercrimen de la ONU, y el inicio del proceso para su votación por la Asamblea General de la ONU, constituye un suceso que parecía esquivo a inicios del año. En teoría, el propósito del tratado era el de establecer un marco global para combatir delitos cibernéticos y la cooperación en su persecución. Pero conocemos los peligros de la implementación de un tratado como este, que arriesga facilitar la criminalización de actos distintos de los ciberdelitos además de aumentar la vigilancia estatal sin salvaguardas adecuadas para los derechos fundamentales. En países con antecedentes de abusos en el uso de tecnologías de espionaje, existe el peligro de que el tratado refuerce prácticas invasivas y represivas, en lugar de fomentar la seguridad centrada en los derechos humanos. El llamado al rechazo del tratado viene no solamente desde la sociedad civil, sino también de industria y expertos de todo el mundo. Una defensa integral del ciberespacio, y de los derechos que facilita su funcionamiento seguro, puede verse mermada por iniciativas que arriesgan convertirlo en un ámbito de censura y vigilancia autorizada por ley.

Sin falsos dilemas: la seguridad es necesaria para los derechos

El 2024 ha sido un año de enormes desafíos y oportunidades en el ámbito de la ciberseguridad para América Latina. Mientras algunos países han avanzado significativamente en la implementación de marcos regulatorios, la región en su conjunto sigue siendo vulnerable. Un desafío clave es el impacto de las tecnologías emergentes y disruptivas, que fueran objeto de discusión en el X Simposio de Ciberseguridad de la OEA. La rápida adopción de tecnologías como IA en sectores críticos trae consigo riesgos importantes, especialmente en una región con limitaciones de recursos y falta de personal capacitado que permitan oportuna y efectiva respuesta a incidentes.

Por otra parte, la conclusión del Tratado de Cibercrimen de la ONU puede ser un punto de inflexión: de llegar a aprobarse y ratificarse, ¿se logrará un equilibrio entre la necesidad de seguridad y la protección de los derechos humanos? Si bien el tratado promete mejorar la cooperación internacional en la investigación de delitos cibernéticos, el riesgo de que sea mal utilizado para aumentar la vigilancia sin suficientes restricciones legales es una preocupación clave en la región.

La ciberseguridad es una condición que favorece el pleno ejercicio de los derechos humanos en el entorno digital, y por tanto es una materia en la que todas somos responsables en alguna medida. El camino hacia una mayor seguridad digital en América Latina exigirá no solo leyes más sólidas, sino también una cooperación regional más profunda, un diálogo intersectorial efectivo y un enfoque firme en la protección de los derechos fundamentales. Y esa necesidad de cooperación es parte esencial de la conciencia sobre la ciberseguridad.

Puertas cerradas y llaves seguras: Seguridad informática en infraestructura Cloud

Correo electrónico, Netflix, Google, Instagram y la mayoría de las aplicaciones más populares hoy en día tienen sus operaciones alojadas en la “nube”, una solución que vino a cambiar la forma de ver la infraestructura donde se despliegan las aplicaciones informáticas. El cloud computing es el acceso bajo demanda a recursos de computación a través de Internet con precios de pago por uso.

Considerando que, según Cloud Industry Forum (CIF), el 100% de las empresas utilizan algún tipo de servicio cloud, en sus diversos tipos, el impacto de fallos de seguridad en sus aplicaciones comprometería los servicios y los datos de sus miles de personas usuarias. Antes de ver algunos de los puntos críticos de este modelo de negocio, corresponde entender las categorías en las que se puede clasificar, mismas que se describen brevemente a continuación:

Infraestructura como Servicio (IaaS, siglas del inglés Infrastructure as a service): Disponibiliza recursos de infraestructura virtualizados, como almacenamiento y servidores. La seguridad en IaaS es responsabilidad directa y completa de quién instala las aplicaciones, así como la protección de los datos. Este es un modelo más autónomo y de gestión total por quien contrata el servicio.
Plataforma como Servicio (PaaS, siglas del inglés Platform as a service): Facilita plataformas para gestionar aplicaciones en sus diferentes niveles (desarrollo, pruebas y producción), proporcionando herramientas y servicios adicionales tales como monitoreo y logs. La seguridad de la aplicación y de los datos corresponde a quien adquiere el servicio mientras que el acceso a la plataforma y su seguridad relacionada corresponde al proveedor del servicio. Este es un modelo muy popular a nivel empresarial, y entre sus máximos representantes se encuentran AWS, Google y Azure.
Software como Servicio (SaaS, siglas del inglés Software as a service): Una nueva forma de hacer software y proveerlo. Estas son aplicaciones listas para usar que se ejecutan en la nube. La seguridad de los datos y el acceso son responsabilidad de quien gestiona el servicio y disponibiliza el software. Servicios como correo electrónico y redes sociales responden a este modelo de servicio.

Ahora bien, independientemente de si se gestionan servicios en la nube a nivel corporativo o para una organización de la sociedad civil, de tipo público o privado, es importante tener presente que la seguridad siempre será un punto que cuidar, aún más considerando que el 80% de los riesgos de seguridad están presentes en entornos cloud. Desde la gestión de acceso y monitoreo hasta la mitigación de impacto de los fallos de seguridad en un entorno de producción.

Según la revista Portafolio, los errores humanos siguen siendo un punto de fallo con un 31% en las causas, junto a la explotación de vulnerabilidades conocidas que se llevan un 28% y la falla en la configuración de MFA (múltiples factores de autenticación) que tiene un 17%. A esto se suma el incremento del 27% en ataques ransomware, durante el primer semestre del 2024; este es un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima como un modelo de extorsión que busca un “recompensa” por liberar la información o servidores comprometidos.

Entre los múltiples desafíos a enfrentar en la gestión de infraestructura cloud se puede citar el acceso no autorizado, sean cuales sean los medios que usen los atacantes para conseguir credenciales de inicio de sesión. Ante esto, Ola Bini, director técnico en el Centro de Autonomía Digital, recomienda ejecutar acciones de gestión de listas de acceso, implementación de MFA, utilizar contraseñas fuertes que sean cambiadas periódicamente y aplicación del principio de mínimo privilegio en los permisos de usuario. Por supuesto, cuidar del acceso del rol administrador y usarlo cuando las operaciones a ejecutar, así lo ameriten.

La vulneración de puertos (puertas de entrada y salida para el tráfico de red) no se queda atrás cuando se trata de ingresar a los sistemas. Profesionales del área pueden hacer un escaneo de puertos abiertos e identificar servicios que están siendo utilizados para insertar fragmentos de código que ejecuten peticiones hacia un servidor. Frente a esto, Rafael Bonifaz, líder de proyecto LAREDD en Derechos Digitales, menciona la importancia de hacer una gestión de red crítica que evalúe la necesidad de tener un puerto disponible o no, esto en base a lo que se requiera permitir acceso. Asimismo, los sistemas que sirven para que una aplicación funcione, pero que no tienen comunicación directa con el usuario final, deberían tener una configuración de red diferente a aquellos servicios que reciben peticiones desde el exterior.

¿Saber qué está pasando ayuda a atacar el problema? Sin un monitoreo adecuado, las brechas de seguridad podrían pasar sin ser notadas durante largos periodos de tiempo. Según un reporte de IBM, el tiempo promedio para detectar brechas es de 207 días y mitigarlas puede ascender a 277 días. Centralizar y analizar logs así como utilizar herramientas de monitoreo en tiempo real y automatizar el envío de alertas no se ven más como acciones opcionales, sino como necesidades persistentes.

El activo más valioso a día de hoy, los datos, son un punto atractivo hacia el cual pueden apuntar los ciberdelincuentes. En una recopilación publicada en Sealpath, se documenta que para el 2023 “más del 50% de víctimas de ransomware pagaron al menos $100000 USD”. Además, en Latinoamérica, cerca del 62% de las empresas reconoce haber sufrido filtración de datos. Muchos de los datos son almacenados en la nube tal como son recolectados, es decir, sin medidas de cifrado, lo que da como resultado una creciente necesidad por la implementación de políticas de encriptación de datos con llaves seguras, retención y eliminación de datos de forma confiable, así como una clasificación por grado de criticidad.

Con estos y muchos otros puntos críticos, las capacidades técnicas requieren cada vez más especialización, así como la implementación de normas que den lineamiento sobre las medidas de seguridad necesarias. Varias de las empresas que proveen PaaS deben alinearse al Cumpliemiento de la Nube, que son una serie de estándares internacionalmente reconocidos que intentan que los proveedores estén en la capacidad de ofrecer condiciones de seguridad.

Con esto han ido emergiendo guías y tendencias de medidas de seguridad y buenas prácticas que se ejecutan durante todas las etapas de la producción de soluciones informáticas. Un ejemplo de esto es AppSec, que se refiere al proceso de identificar y reparar vulnerabilidades en el software desde su desarrollo hasta su despliegue. DevSecOps es un proceso que une acciones de desarrollo, seguridad y operaciones a lo largo del ciclo de vida de un sistema. A esto se suman varios puntos a validar antes de lanzar un servicio SaaS, como pruebas de seguridad de aplicaciones estáticas (SAST), dinámicas (DAST) e interactivas (IAST). Incluso, algunos sistemas basan sus controles de seguridad en la recopilación de vulnerabilidades Owasp Top Ten.

El desafío de la gestión de seguridad en la infraestructura cloud aplica a todos quienes desarrollen y desplieguen sus servicios pensando en entornos virtuales. Aunque, posiblemente, el reto más grande es para quienes optan por IaaS, ya que el tipo de servicio no incluye varios de los complementos de seguridad como pasa en PaaS. El BigData y su valor en el mercado hace que sea cada vez más imperativa la necesidad de cuidar la integridad de los datos, así como cualquier posibilidad de acceso no autorizado.

La confiabilidad de un sistema o aplicación está sujeta a su disponibilidad y resiliencia ante fallos y ataques, lo que obliga a establecer medidas de mitigación de puntos de quiebre con respuesta rápida. La cifras de vulneraciones hacen que la veracidad se cuestione, sin embargo, la necesidad de soluciones con más cobertura y horas de funcionamiento hace que la tendencia a servicios basados en la nube crezca cada vez más. Es un hecho que el uso de cloud no disminuirá, por lo que resta cuidar la seguridad en estas infraestructuras, aplicando estándares y buenas prácticas.

En resumen, la seguridad en infraestructura cloud es un campo en constante evolución que requiere tanto de medidas técnicas avanzadas como de un monitoreo continuo para mitigar los riesgos inherentes. A medida que las empresas y organizaciones de todo tipo continúan migrando hacia la nube, la adopción de buenas prácticas de seguridad y el cumplimiento de estándares internacionales serán clave para garantizar la protección de los datos y la resiliencia de los sistemas frente a amenazas cada vez más sofisticadas.

Pacto Global Digital: Gobernanza tecnológica y la protección de los derechos humanos

En nuestra publicación anterior, analizamos el Pacto Global Digital (GDC), un documento clave que se centra en los desafíos digitales globales y que forma parte del Pacto para el Futuro como uno de sus anexos. A pesar de que el GDC aborda específicamente aspectos relacionados con la gobernanza digital, el Pacto por el Futuro en su conjunto también trata temas esenciales relacionados a la protección de datos, los derechos humanos, la igualdad de género, y el acceso a internet. Es fundamental que comprendamos cómo estos dos documentos se complementan y responden a los desafíos globales emergentes.

El Pacto para el Futuro fue adoptado por consenso en medio de tensiones geopolíticas – y tras varias versiones que circulaban informalmente hasta el día anterior a su adopción- el día 22 de Septiembre del corriente.

Género desde una Mirada Interseccional: Omisiones que implican retrocesos

Un aspecto esencial que sigue siendo insuficientemente tratado en el Pacto para el Futuro es la incorporación de la perspectiva de género desde una mirada interseccional. A pesar de las referencias a la brecha digital de género, no se abordan con suficiente profundidad las múltiples formas de discriminación que enfrentan las mujeres y personas de género diverso, particularmente en el contexto digital.

Aunque uno de los objetivos clave del Pacto «no dejar a nadie atrás» (leave no one behind), ninguno de los documentos menciona explícitamente a las personas LGBTQIA+ en su ámbito de protección. Esto es preocupante, dado que esta comunidad enfrenta impactos diferenciados. Un ejemplo claro es la violencia de género facilitada por la tecnología (TFGBV), que afecta tanto a mujeres cis y tránsgenero como a personas con diversas identidades de género y orientaciones sexuales. Ignorar esta realidad deja a estas comunidades expuestas a sufrir violencias en línea y explotación de sus datos, subrayando la urgencia de políticas digitales verdaderamente inclusivas.

Además, es necesario considerar otras dimensiones interseccionales, como la raza, la clase social, y la ubicación geográfica, entre otras, que agravan las formas de exclusión y vulnerabilidad que también se manifiestan en el entorno digital. Las personas que enfrentan múltiples formas de discriminación suelen ser las más afectadas por las brechas digitales y, a su vez, las más expuestas a los riesgos y abusos facilitados por la tecnología. Es crucial que cualquier enfoque sobre género en el ámbito digital no sólo contemple a las mujeres cis, sino que abarque a todas las identidades de género e incluya a la necesidad de tomar en cuenta los contextos para asegurar una verdadera inclusión.

Inteligencia Artificial y Aplicaciones Militares y Contraterrorismo: La Falta de Salvaguardias Claras

El Pacto reconoce los riesgos y las oportunidades de las tecnologías emergentes, incluida la inteligencia artificial (IA), y subraya la importancia de la cooperación internacional para evaluar estos riesgos, especialmente en sus aplicaciones militares. Sin embargo, el Pacto no establece limitaciones explícitas ni mecanismos de supervisión independiente que aseguren que la IA sea utilizada de manera que respete los derechos humanos. En nuestras contribuciones al proceso enfatizamos la necesidad de responder a estos riesgos con un marco regulatorio que se base en recomendaciones clave, como la Resolución 48/4 del Consejo de Derechos Humanos, y el informe del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, que abogan por una moratoria o incluso la prohibición de herramientas de IA que no puedan ser utilizadas en cumplimiento con el derecho internacional de derechos humanos.

Además, realizamos un llamado a que se establezcan limitaciones claras en las acciones de contraterrorismo, garantizando que las respuestas de los Estados partan desde un enfoque balanceado de derechos Esto es crucial para evitar legislaciones que puedan ser aplicadas de manera arbitraria y que arriesgue los derechos fundamentales, como la libertad de expresión y la asociación, como hemos analizado en investigaciones relacionadas. El Pacto, aunque aborda los riesgos de aplicación de tecnologías, no define estas salvaguardias, lo cual abre la puerta a posibles abusos en nombre de la seguridad.

Fortalecimiento del Modelo de Múltiples partes interesadas: Desafíos y Oportunidades en la Gobernanza Global

El Pacto reconoce la importancia de un sistema multilateral más inclusivo y efectivo, pero no detalla de manera específica cómo asegurar la representación diversa de partes interesadas del Sur Global y otros grupos históricamente subrepresentados en los procesos de toma de decisiones globales.

Uno de los ejes centrales de nuestras diversas recomendaciones fue el de enfatizar en la necesidad de que para avanzar en el cumplimiento de un modelo de múltiples partes interesadas que tenga como base a la participación significativa que garantice inclusión. Esto incluye, por ejemplo, proporcionar avisos adecuados y sistemas de acreditación accesibles. Además, enfatizamos que la participación remota no debe ser la única opción; se deben proporcionar opciones de participación robustas, incluidas el apoyo para viajes y visados, y que los foros se realicen en lugares accesibles y en entornos que protejan las libertades fundamentales.

Esto es especialmente importante considerando que el proceso de consultas no ha garantizado la plena participación de sociedad civil conforme hemos expresado en declaraciones anteriores.

Garantías de Transparencia y Rendición de Cuentas en los Procesos ligados a Iniciativas de Desarrollo:

Uno de los aspectos clave que resaltamos en nuestras recomendaciones -y que no ha sido abordado en el pacto- es la necesidad de fortalecer los mecanismos de transparencia y rendición de cuentas en los programas de desarrollo financiados por la ONU y otros organismos internacionales. En nuestras observaciones, enfatizamos que estos programas deben someterse a evaluaciones técnicas y de derechos humanos antes de su implementación. Además, los proyectos de financiamiento deben hacerse públicos, y deben establecerse mecanismos de monitoreo y evaluación durante y después de la ejecución de dichos programas.

La falta de transparencia en el diseño y ejecución de estos programas puede facilitar la implementación de tecnologías de vigilancia que, en lugar de promover el desarrollo, ponen en riesgo las libertades individuales. Investigaciones basadas en evidencia señalan una tendencia preocupante en la que las tecnologías y metodologías utilizadas por donantes bilaterales y agencias de financiamiento internacional tienden hacia prácticas de vigilancia, a menudo a expensas de los derechos humanos, en especial el derecho a la privacidad y la protección de los datos personales.

Es fundamental que los procesos de financiamiento y desarrollo sean transparentes y que las propuestas de financiamiento sean públicas y sujetas a evaluaciones técnicas y de derechos humanos antes de su implementación. Además, se deben establecer mecanismos de monitoreo que aseguren la supervisión continua durante y después de la implementación de estas iniciativas.

Relación con otros Instrumentos Internacionales

El Pacto por el Futuro y el Global Digital Compact (GDC) destacan varios aspectos positivos relacionados con la protección de datos, subrayando la necesidad de garantizar que la tecnología se utilice de manera que respete los derechos humanos, especialmente en lo que respecta a la privacidad. Sin embargo, es crucial considerar la reciente adopción de la Convención de las Naciones Unidas contra el Cibercrimen, mencionada en el Pacto, que plantea preocupaciones significativas en este contexto.

Uno de los aspectos más alarmantes de esta Convención es el intercambio transfronterizo de datos, que se permite sin las salvaguardas adecuadas. El tratado autoriza a los países a recopilar y compartir datos a través de fronteras para una amplia gama de delitos «graves», lo que incluye la vigilancia electrónica. Aunque, no establece condiciones claras sobre proporcionalidad o estándares de derechos humanos que deban respetarse en estos procedimientos.

Es importante prestar atención a cómo dialogarán estos instrumentos y abogar por la mayor protección a partir de principios de derechos humanos del pacto aplicados a la protección de datos.

Próximos Pasos: Implementación y retos de Desigualdades Globales

Con la adopción del GDC y el Pacto por el Futuro, el reto siguiente recae en su implementación. En ese sentido, es fundamental reconocer que el Pacto no operará sobre una base homogénea. Los diferentes niveles de desigualdad global—reflejados en la falta de legislación adecuada basada en derechos humanos, la debilitación de las instituciones públicas y los retrocesos democráticos—implicarán desafíos particulares en cada contexto.

Este proceso de implementación deberá ser monitoreado muy de cerca, entendiendo que, si bien el Pacto establece principios que permiten exigir responsabilidades a los Estados, la efectividad de estos dependerá de los mecanismos que cada país adopte para llevarlos a cabo. Es necesario que los Estados avancen en mecanismos de implementación que aseguren la participación de múltiples partes interesadas, prioricen las necesidades de sus comunidades locales, y sean capaces de aplicar estos principios de acuerdo con las realidades específicas de cada contexto. Sólo a través de un enfoque flexible, contextualizado y centrado en los derechos humanos, se podrá construir un futuro digital inclusivo y equitativo.

La suspensión de X en Brasil, y la vigencia del Estado de Derecho

El pasado 30 de agosto, la máxima corte de justicia de Brasil, el Supremo Tribunal Federal, emitió una decisión que, entre otras cosas, ordenó la suspensión del servicio de la red social X —antes Twitter—. También decidió establecer sanciones a los usuarios y usuarias que evadieran dicha suspensión a través de distintas herramientas como las redes virtuales privadas (o VPN), e inicialmente ordenó a Apple y Google retirar de sus tiendas de aplicaciones móviles este tipo de herramientas, medida que fue revertida horas después.

La decisión de suspensión inmediata y completa del servicio, que sigue vigente a más de una semana desde su emisión, fue impuesta como resultado de que la red social incumpliera diversas órdenes judiciales dirigidas a la entrega de información de algunos usuarios y el bloqueo de ciertas cuentas y contenidos.

Antecedentes necesarios sobre el fallo

De la lectura del fallo judicial del 30 de agosto pasado que ordena la suspensión inmediata y temporal de X, y la poca información disponible, emergen dos hechos de contexto para entender cómo y por qué la justicia emitió una de las medidas más gravosas según el Marco Civil de Internet, la normativa de Brasil aprobada hace más de 10 años atrás que regula internet.

En primer lugar, sabemos que el Supremo Tribunal Federal (STF) hace meses ordenó a X la entrega de los datos personales de ciertas personas y el bloqueo de diversas cuentas y contenidos que estaban presuntamente implicadas en actos de intimidación a agentes policiales. Estas órdenes estuvieron enmarcadas en una investigación llevada a cabo de manera confidencial por ese máximo tribunal, y que buscaba esclarecer los hechos de intento de golpe de Estado así como atribuir las debidas sanciones a sus responsables.

En segundo lugar, sabemos que con posterioridad a la emisión de dicha orden inicial, la red social X habría apelado su contenido, pero el STF se sostuvo en su decisión, por lo que la plataforma debía cumplir el fallo aunque fuera adverso a sus pretensiones. La justicia intentó, por varios medios, amenzar a X a que cumpliera, pero en ese punto la justicia y la plataforma ya no tenían un punto de contacto local que facilitara su comunicación: la red social había suprimido su representación legal, ante la eventual sanción de prisión que podría ser impuesta a sus delegados en Brasil por los reiterados incumplimientos, a lo que se sumó también el despido del resto del equipo de X en ese país.

Por su desacato reiterado, el STF impuso multas cuantiosas a X. De igual modo, congeló los activos de la empresa Starlink, donde Elon Musk –accionista mayoritario de X– también figura como dueño. Al día de hoy, la orden judicial que inició todo este ir y venir, sigue sin ser cumplida.

Ahora bien, hay que reconocer que la decisión de suspensión inmediata y temporal del servicio de X en Brasil es, en definitiva, el desenlace de un conjunto de decisiones sobre incumplimientos judiciales, cuyos efectos fueron escalando. Para que la suspensión sea levantada y se restablezca la prestación del servicio de X en Brasil, el STF exige a la red social que nombre una representación legal en el país –para facilitar la comunicación entre ambas partes–, que cumpla con las órdenes iniciales de entrega de datos personales y eliminación de contenidos, y que pague las multas adeudadas.

Fuera de discusión: el Estado de Derecho y las decisiones de la justicia

A quienes ejercemos abogacía se nos enseña que la vigencia del Estado de Derecho transita, entre otros, por el imperio de la ley para todas las personas y el respeto a las decisiones judiciales. Y se nos advierte que, aun cuando el contenido de los fallos pueda ser discutible, la controversia en torno a las decisiones judiciales debe transitar por las vías legalmente establecidas para ello. Hay que jugar según las reglas que se espera que se apliquen a todos por igual.

Pero eso no parece ser igualmente aceptado desde el Valle de Silicio (Silicon Valley) . Desde luego, la estrategia de evasión de la ley por parte de las Big Tech fuera de Estados Unidos no es nueva. En países de América Latina se valen de diversas estrategias para justificar por qué los ordenamientos locales no les son de aplicación. Uno de los argumentos más comunes para la elusión de las decisiones judiciales o administrativas apunta a la falta de jurisdicción: la supuesta ausencia de validez o aplicabilidad (para ellas) de la ley de los países en que no está domiciliado su centro de operaciones principal, o el argumento según el cual la filial registrada fuera de los Estados Unidos no tiene relación alguna con la empresa principal que administra la plataforma de red social, streaming, reproducción de videos, o el servicio que sea.

Los argumentos varían y, en ocasiones, las plataformas ni siquiera responden al pedido de las autoridades, dejándolas en visto. Pero la maniobra empleada por X en Brasil (en particular, las acciones de su CEO Elon Musk dirigidas a atacar la integridad de los jueces del caso y la justicia en general) no había sido vista de una manera tan cruda y explícita hasta ahora en nuestra región.

Desacatar un fallo judicial de manera sistemática y cerrar las actividades de la filial de esa Big Tech haciendo imposible la actuación de la justicia, reafirma cuán fácil puede ser para estas empresas desvirtuar la eficacia jurídica y simbólica del derecho. La lógica de la suspensión temporal de un servicio según el Marco Civil de Internet, es que sea temporal en tanto que se espera que la plataforma cumpla con sus obligaciones rápidamente. Pero no parece en este momento que X vaya a cumplir con esta expectativa. ¿Qué hará la justicia ahora de cara a la decisión de bloqueo si la red social, como quedó claro, no tiene interés alguno de cumplir sus decisiones en el futuro próximo? ¿El bloqueo generalizado se mantendrá de manera indefinida?

Pese a todo, en esta tensión que emerge entre el poder de las Big Tech y el poder de los Estados, en lo que pensamos que debemos estar de acuerdo es en el imperio de la ley y en el cumplimiento de las decisiones judiciales en los países democráticos, aún cuando podamos y tengamos el derecho de cuestionar su contenido y los procedimientos aplicados en la toma de la decisión judicial.

Asimismo, vale la pena mirar con cautela el caso de Brasil que nos enseña que la relevancia económica de un mercado puede no ser suficiente garantía para incentivar el cumplimiento de la ley local. ¿Qué suerte le espera al resto de países de la región cuando tengan que lidiar con la red social X en el marco de decisiones de moderación de contenido, o acciones de lucha contra la desinformación o violencia que suceden y circulan en esa plataforma?

Un debate que no es nuevo: el bloqueo de servicios digitales

La suspensión temporal de un servicio, en el caso de Brasil, está fundamentado por el Marco Civil de Internet y en tanto que ley válida y democráticamente discutida y aprobada por el Congreso, ha de ser aplicada aun cuando entendamos hoy, de cara al estado del arte tecnológico, que es inconveniente y merece ser repensada frente a los estándares regionales sobre la licitud de las medidas restrictivas de la libertad de expresión.

La suspensión de la totalidad de un servicio puede ser desproporcionada, pues sus efectos se extienden a la generalidad de personas usuarias del servicio que no están vinculadas con la decisión judicial inicial. El fin perseguido, en el caso brasileño, que apuntaba a la entrega de datos de ciertos usuarios y bloqueo de contenidos y cuentas, no es proporcional de cara a los efectos generados para todas las personas que acceden a X en ese país. Pero la suspensión generalizada, aun cuando sea temporal, tampoco es útil si se emplea como incentivo para obligar al cumplimiento de las decisiones judiciales, como ya quedó claro con la reacción de X.

Cuando el sistema interamericano de derechos humanos se refirió en 2013 y 2016 a la medida de bloqueo –adoptada en Brasil como “suspensión temporal”-, lo hizo para referirse a un recurso extraordinario o excepcional, disponible en manos de los Estados para, entre otros, luchar contra la explotación sexual infantil, o la “piratería” en línea, y más recientemente, la desinformación. Su vocación era la de servir como recurso aplicable sobre los contenidos ilegales, y no como una medida para afectar de manera generalizada el servicio o el medio que lo difunde –salvo que el servicio sea en sí mismo ilegal–.

Para sugerir la distinción entre el contenido y el medio en materia de bloqueos, la Relatoría para la Libertad de Expresión acudió a la analogía con el cierre de un periódico o cualquier otro medio de comunicación, dejando en claro que en línea y fuera de ella, ese tipo de bloqueos –o suspensiones– erosionan el ecosistema mediático e informativo. La suspensión temporal de una plataforma como X en Brasil, aunque pueda ser legal, ¿continúa siendo una medida legítima, necesaria y proporcional en una sociedad democrática?

Cierre: preguntas pendientes y matices necesarios

La situación de X se suscita en un contexto de restablecimiento de la democracia luego de un período de debilitamiento institucional y democrático en Brasil, donde los cuestionamientos al orden constitucional no solo provienen de actores políticos tradicionales, sino también de la instrumentalización por terceros de las plataformas digitales para propagar desinformación y erosionar la institucionalidad o el espacio público digital. Allí, los intentos de contener esa crisis han alcanzado inevitablemente la discusión sobre el rol de las plataformas tecnológicas y sus responsables.

En tal contexto, cabe preguntar por el futuro de la investigación penal en que la entrega de datos personales de los usuarios de la red social X iba a ser clave para determinar la identidad de las personas que habrían participado en eventos que amenazan el orden democrático. El cierre de las operaciones de X en Brasil significa, desde luego, un obstáculo serio para la impartición de justicia en ese caso. Sin embargo, sus consecuencias no pueden ser observadas de manera aislada o fuera de contexto.

En este caso, el desafío para la sociedad civil no radica únicamente en frenar los excesos de quienes instrumentalizan el debate público, sino también en encontrar un balance justo entre derechos fundamentales y las obligaciones de los actores que interactúan en el ecosistema digital.

Por ahora, es necesario adoptar un enfoque que trascienda las posturas simplistas o radicales, en lugar de hacer eco de la polarización existente que no considera las complejidades socio-técnicas y jurídico-legales del problema. A medida que el caso de X en Brasil siga en desarrollo y se conozcan mayores detalles de los contenidos de las decisiones judiciales que confluyen, habrá que avocar los análisis tanto la importancia de la libertad de expresión como la responsabilidad de los actores privados en la esfera pública global, el cumplimiento de estándares internacionales de derechos humanos, la importancia de actualizarlos de cara al estado del arte tecnológico actual, y el rol de la justicia en la aplicación de la ley y los retos que enfrenta en esa tarea.

Informes, índices y estudios: ¿qué sabemos realmente sobre el uso de IA en América Latina?

El desarrollo de nuevas tecnologías basadas en Inteligencia Artificial muestra un avance vertiginoso en distintas partes del mundo. Solo en 2022, según el último reporte publicado por el Instituto de Inteligencia Artificial de Stanford, fueron presentadas más de 62 mil patentes a nivel global, lo que representa un incremento de 62,7% respecto de 2021.

Estas tecnologías comenzaron a ser implementadas en las redes sociales que usamos, son la base de las recomendaciones que recibimos en los servicios de streaming, e incluso comenzaron a inmiscuirse en las agendas de uno de los servicios de mensajería más utilizados en América Latina, como un nuevo contacto con el que dialogar. Pero el sector privado no es el único en implementar estas tecnologías. Desde el sector público comenzó a implementarse en áreas tan disímiles como la seguridad, la intermediación laboral, la prevención de la deserción escolar, la gestión de trámites e, incluso, las tareas de vigilancia e inteligencia a partir de fuentes abiertas. Y hemos analizado varios de esos despliegues por las autoridades.

Esta alta actividad de desarrollo derivó en iniciativas que buscaron acompañar ese proceso de distintas maneras. Desde el sector público, han surgido iniciativas como los planes o estrategias de I A, que buscan impulsar su desarrollo, principalmente desde el poder ejecutivo. En paralelo, legisladores han presentado múltiples proyectos de ley, algunos de los cuales están en tratamiento en la actualidad. Organismos internacionales como la OCDE o la UNESCO también han desarrollado directrices y recomendaciones para impulsar el uso ético de estas tecnologías, promoviendo principios para orientar políticas y proyectos de ley.

Frente a este torbellino de actividad, es propicio contar con herramientas que permitan establecer un panorama general a partir de dimensiones que contemplen una perspectiva de derechos humanos en torno al uso y regulación de la IA. Estas herramientas pueden ser de utilidad como mecanismos de monitoreo y para trazar una línea de referencia que permitan análisis futuros. A continuación, presentamos algunas de ellas.

Metodología de evaluación del estadio de preparación de la UNESCO

En el marco de la implementación de la Recomendación sobre la ética de la inteligencia artificial, la UNESCO generó la Metodología de evaluación del estadio de preparación (RAM, por sus siglas en inglés), una herramienta que, como su nombre lo indica, busca determinar la situación en la que se encuentran los países donde será implementada la Recomendación. Se trata de una iniciativa de implementación voluntaria, a pedido de los estados interesados en conocer su situación.

La metodología consta de cinco dimensiones: Jurídica/Regulatoria, Social/Cultural, Económica, Científica/Educativa y Tecnológica/de Infraestructura. Dentro de cada dimensión, las preguntas se agrupan en diferentes categorías las que, a la vez, se desglosan en indicadores y subindicadores específicos. Los indicadores incluyen índices tanto cualitativos como cuantitativos, lo que la UNESCO resalta como un factor diferenciador de la RAM respecto de otros índices.

Como resultado, la UNESCO publica un “informe país”, que proporciona un panorama detallado en función de las dimensiones analizadas. La evaluación se está aplicando en más de cincuenta países a nivel global y ya finalizó y presentó cerca de una decena de informes, como el de Chile en enero y México en julio de 2024.

Índice Global de Inteligencia Artificial Responsable

El Índice Global de Inteligencia Artificial Responsable (GIRAI, por sus siglas en inglés) es una herramienta que busca proporcionar un punto de referencia para evaluar el progreso hacia una IA “responsable” en todo el mundo. El programa parte de una definición operativa, que define a la IA responsable como el “diseño, desarrollo, despliegue y gobernanza de la IA de una manera que respete y proteja todos los derechos humanos y defienda los principios de la ética de la IA a través de cada etapa del ciclo de vida de la IA y la cadena de valor”. El desarrollo del índice fue liderado por el centro de pensamiento africano Global Center on AI Governance, con apoyo de múltiples instituciones públicas.

La metodología de índice contempla tres dimensiones en su medición. Ellas son: “Derechos humanos e IA”, que mide el grado en que los países toman medidas para proteger derechos involucrados en estas tecnologías; “Gobernanza responsable”, que mide cómo los países establecen herramientas como leyes, estándares técnicos o marcos de política pública; y “Capacidades de IA responsable”, que miden las capacidades en los países para avanzar en los compromisos y agendas de desarrollo de inteligencia artificial responsable. Derechos Digitales participó del desarrollo de esta metodología.

El índice acaba de publicar su primera versión, con datos sobre 24 países de América Latina y el Caribe. Aunque según el índice hay mucho en qué progresar, esta línea de base sirve como antecedente para los esfuerzos de incidencia por una IA responsable.

Inteligencia Artificial e Inclusión: el método deinvestigación de Derechos Digitales

Desde 2019, Derechos Digitales ha implementado su línea de trabajo en Inteligencia Artificial e Inclusión, para indagar acerca de casos de uso de tecnologías basadas en IA por parte de múltiples estados en América Latina. Para estas investigaciones, desarrollamos una metodología basada en criterios de derechos humanos, a partir de cinco dimensiones: Contexto nacional de implementación; Contexto regulatorio e institucional; Infraestructura de datos; Proceso de la toma de decisión; y Diseño tecnológico. Cada una de estas dimensiones, a la vez, es analizada según principios de efectividad y legitimidad.

Al momento, han sido publicados seis estudios de caso: dos en Brasil, sobre el Sistema Nacional de Empleo y el Auxilio de Emergencia durante la pandemia, dos en Chile, sobre el Sistema Alerta Niñez y el Sistema predictivo del delito urbano, uno en Uruguay, sobre la gestión de información de salud durante la pandemia de COVID-19, y otro en Colombia, acerca del uso de IA en la justicia constitucional con el proyecto PretorIA. Todos los casos están disponibles en el sitio de Inteligencia Artificial e Inclusión, junto con material de resumen de los hallazgos más relevantes.

Esta iniciativa continúa en Derechos Digitales, en un momento en que estas aplicaciones parecen solo expandirse en la región. Próximamente publicaremos cuatro nuevos casos, sobre experiencias en Argentina, México, Paraguay y Colombia. Con esto, daremos una importante panorámica sobre la forma en que estos despliegues son implementados en distintos niveles de gobierno, nacional o subnacional, tanto en los poderes ejecutivo como el judicial.

Trabajar en coalición: condición necesaria para desarrollar metodologías confiables

Las metodologías mencionadas derivan en distintos productos, tales como informes, índices y estudios de caso, que permiten monitorear el avance en la implementación y regulación de la IA en América Latina, además de otras partes del mundo. Esto representa un aporte para conocer el escenario global y comparado al que nos enfrentamos. Más allá de su utilidad, resaltamos la necesidad de generar no solamente metodologías de monitoreo, sino de formar coaliciones entre organizaciones de la sociedad civil y la academia, para la producción y el mejoramiento de este tipo de herramientas, como también para su uso y problematización, con el objetivo de contar con formas de medición más fiables, que contemplen componentes de derechos humanos y consideraciones sobre el rol de la sociedad en el despliegue de las tecnologías que pueden afectarle.

Además, el rol de coaliciones puede ser central a la hora de impulsar políticas de acceso a la información sobre el uso de IA por parte de los Estados y de promover mejores prácticas y estándares de transparencia y participación. Dada la opacidad con la que se implementan muchas de estas políticas, que como característica habitual presentan manejos cuestionables de datos personales y escasos espacios abiertos a la participación, es a través del trabajo conjunto desde pericias y puntos de vista diversos que podemos impulsar decisiones verdaderamente responsables sobre el uso de las tecnologías.

Violencia digital de género y discapacidad auditiva: ¿Cómo nombramos lo que no se enseña?

En la era digital, la tecnología no solo facilita nuestra vida cotidiana, sino que se ha convertido en un terreno de lucha por derechos y equidad. Como periodista e investigadora en género y tecnologías, he observado cómo las dinámicas de poder y control, basadas en estereotipos de género, se trasladan al ámbito digital, afectando de manera desproporcionada a mujeres, niñas y la comunidad LGBTIQ+.

En este escenario, la realidad para las personas con discapacidad auditiva es aún más alarmante. La violencia digital de género que enfrentan ha sido escasamente documentada y menos aún abordada de manera adecuada. La falta de investigaciones y herramientas específicas para comprender y enfrentar las violencias que viven nos lleva a un escenario donde lo invisible se vuelve aún más inalcanzable, revelando una brecha crítica en la protección y apoyo que se brinda a esta comunidad.

El estudio ¿Cómo acompañar a mujeres Sordas que atraviesan situaciones de violencia por motivos de género?, realizado por UNFPA y Management Science for Health, revela que las personas con discapacidad tienen, en promedio, tres veces más probabilidades de sufrir violencia física, sexual y psicológica que aquellas sin discapacidad. Además, entre el 40% y el 68% de las jóvenes con discapacidad sufrirán violencia sexual antes de los 18 años. Aunque no existe información estadística específica sobre cómo la violencia afecta a las mujeres Sordas, es razonable suponer que estas cifras podrían ser aún más altas debido a las barreras en el acceso a la información y la comunicación.

Experiencias desde el aula

En julio de este año, realicé varios talleres en una escuela para personas Sordas en la comuna de San Joaquín, enfocados en identificar la violencia digital y generar estrategias comunitarias para enfrentarla. Este proyecto, desarrollado junto a la Fundación Instituto de la Sordera, tiene como objetivo empoderar a las y los jóvenes para que reconozcan estas violencias y, posteriormente, lleven a cabo una campaña comunicacional para compartir herramientas de prevención y abordaje con toda la comunidad educativa.

Una de las profesoras, que participó como intérprete en las sesiones, me comentó la poca participación madres y padres en el aprendizaje de la lengua de señas chilena, a pesar de contar con talleres gratuitos para ello. Esta falta de comunicación afecta gravemente la capacidad de las familias para generar espacios de confianza con sus hijos y brindarles herramientas para identificar y denunciar posibles violencias.

Dentro de los principales hallazgos que identifiqué durante el desarrollo de los talleres, está el alto uso de internet y dispositivos digitales por parte de las y los adolescentes, quienes buscan poder comunicarse, crear comunidad, y que enfrentados a la ausencia de espacios de confianza en el hogar, trasladan sus afectos a la vida virtual, participando de videochats con desconocidos (a través de plataformas como Omegle) y compartiendo a través de lives de instagram o vídeos de tik tok con otros jóvenes.

La gran mayoría reconoce pasar muchas horas en internet, principalmente desde sus teléfonos, y haber vivido intrusiones digitales por parte de personas anónimas que se apropian de sus videollamadas con otros amigos, para exhibir contenido sexualmente agresivo, dejarles comentarios incómodos o burlarse de ellos. Las adolescentes señalaron en tanto, que ya han recibido fotografías íntimas no solicitadas por parte de desconocidos, mensajes insistentes para establecer algún tipo de contacto físico, e intentos de grooming.

La preparación de estos talleres fue un desafío, principalmente por la falta de información específica. Si bien casi no existen estudios sobre la violencia de género hacia mujeres Sordas, las herramientas para cuantificar otros tipos de violencias, como la digital, son aún más escasas. En este caso, quise compartir con las y los adolescentes el número de whatsapp que la PDI actualmente promociona para realizar consultas relacionadas a violencias digitales, sin embargo, cabe preguntarse si realmente es un canal de comunicación e información accesible para todas las personas.

Por último, nos enfrentamos a una doble barrera idiomática. ONG Amaranta, en su Guía contra la violencia de género en línea en 2022, revelaba que una de las principales dificultades para que las personas se reconozcan como víctimas de violencia digital, está relacionada con la brecha del idioma, ya que la mayoría de las definiciones oficiales, términos y condiciones, y los canales de denuncia de las plataformas están siguen en inglés. Esto agrava aún más la situación para las personas Sordas, quienes aún no manejan señas específicas para identificar algunos de estos tipos de violencia, debido a la falta de campañas y políticas públicas educativas, en materia de alfabetización digital inclusiva.

Violencia de género, tecnologías y educación sexual

Un caso emblemático es el de Camila Villavicencio, profesora, intérprete en lengua de señas y activista por la inclusión de personas Sordas, quien fue encontrada muerta en el departamento de José Pablo Peñafiel, un ex compañero de colegio. A pocas horas de su muerte, los integrantes de su familia no pudieron declarar como testigos en el caso, debido a la falta de intérpretes de lengua de señas durante el proceso policial. Camila, antes de morir, intentó comunicarse con su hermana a través de llamadas telefónicas (cuando usualmente usaba videollamadas) y envió una serie de videos cortos del lugar donde se encontraba.

El caso ha avanzado lentamente, ya que la autopsia no encontró lesiones atribuibles a terceros. Sin embargo, José Pablo Peñafiel actualmente está en prisión preventiva por otros diez ataques sexuales a mujeres Sordas, varias de ellas adolescentes. Peñafiel, también con discapacidad auditiva, asistía a fiestas de la comunidad sorda y se ofrecía a llevar a las mujeres a sus casas, desviando luego el camino hacia una imprenta donde cometía los abusos, que posteriormente subía a sitios de pornografía.

Estos hechos salieron a la luz gracias a la lucha de la familia y amigos de Camila, a través de la cuenta de Instagram @JusticiaParaCami. Sus acciones de concientización y protesta revelaron la falta de protocolos para abordar la violencia contra mujeres Sordas. Debido a ello, otras jóvenes agredidas sexualmente reconocieron a Peñafiel como su agresor y realizaron una “funa” en redes sociales. Solo tras estos testimonios se abrió la investigación que actualmente tiene a este sujeto con prisión preventiva.

Esperanzas y desafíos

La UNFPA, en el marco del proyecto “Promoviendo la realización del ejercicio de la capacidad jurídica de las Personas con Discapacidad en Argentina”, señala que la mayoría de las mujeres Sordas no acuden a los servicios de atención a víctimas porque desconocen su existencia o porque sienten que no recibirán la atención adecuada. «Si acuden, es porque se encuentran en situaciones extremas o porque son acompañadas por algún familiar o persona de su entorno más cercano, con la pérdida de privacidad y autonomía que esto implica.»

Las mujeres Sordas no tienen dónde ni cómo denunciar las violencias que sufren. La ausencia de una educación sexual integral, sumada a la falta de inclusión en el abordaje de estas temáticas a nivel institucional, hace imposible nombrar y denunciar las violencias. ¿Cómo nombrar algo que no sé que existe? ¿Cómo reconocer mi cuerpo y lo que he vivido? ¿Cómo puedo acercarme a denunciar si las opciones implican un testimonio hablado o rellenar un formulario digital de la Fiscalía? ¿Cómo acceder a ese formulario si nadie me ha enseñado a usar internet?

El Ministerio de la Mujer y la Equidad de Género, junto con la Fundación Nellie Zabel, lanzaron en 2021 la Plataforma del Centro de la Mujer Sorda, un espacio digital de atención y orientación ante la violencia de género, que incluye contenidos informativos adaptados a la lengua de señas chilena y conexión permanente con los CDM del país con horas de atención de lunes a viernes.

En cuanto a las violencias digitales, la Unidad de Género y Participación Ciudadana de la Subsecretaría del Interior de Chile presentó a principios de este año los resultados de su Consulta Virtual sobre Violencia Digital. Aunque incluyó una pregunta sobre discapacidad, no profundizó en experiencias específicas de violencia digital ni se plantearon estrategias inclusivas para aplicar el instrumento estadístico. Así, se perdió la oportunidad de incorporar las vivencias de personas con discapacidad y de obtener cifras para impulsar políticas públicas más inclusivas y efectivas en materias de alfabetización digital, abordaje de violencias digitales y su relación con el género.

Conclusiones

La violencia digital y de género contra mujeres y personas sordas no es solo un problema de derechos humanos, sino una crisis agravada por la falta de acción institucional y la ausencia de educación sexual integral inclusiva. El caso de Camila Villavicencio no es un caso aislado, sino un ejemplo de cómo las instituciones fallan sistemáticamente en proteger a las personas más vulnerables.

La incapacidad del sistema para ofrecer canales de denuncia accesibles y el vacío en la creación de políticas públicas que consideren las necesidades específicas de las personas Sordas, son un reflejo del desconocimiento estructural sobre lo que implica realmente crear canales de denuncia al alcance de todas las personas, y la falta de voluntad institucional en abordar las violencias que les aquejan.

El avance tecnológico, que debería ser una oportunidad para la inclusión y el empoderamiento, se ha convertido en un terreno peligroso para las mujeres y personas con discapacidad auditiva. La falta de educación, tanto digital como sexual, limita su capacidad para reconocer y nombrar las violencias que viven. Es imprescindible que como sociedad exijamos la inclusión real en todas las esferas, comenzando por la educación y la justicia.

Como lo señala la encuesta, Violencia Digital: Experiencias virtuales de niñas y adolescentes en Chile, aplicada por ONU Mujeres, ONG Amaranta y Fundación Datos Protegidos en 2021, las niñas y adolescentes se encuentran tres veces más expuestas a vivir experiencias de violencia sexual digital, cifra que podría llegar a ser mayor en las jóvenes de la comunidad Sorda, ya que en un primer acercamiento educativo para abordar estas temáticas, surgieron testimonios de haber experimentado la recepción de fotografías íntimas por parte de desconocidos y peticiones insistentes de intento de contacto físico o sexual, reflejando la urgencia de incluir lineamientos específicos para abordar estas violencias desde el sistema educativo, y también policial para saber qué hacer frente a estas situaciones.

Necesitamos seguir promoviendo proyectos e instancias formativas que permitan que nuestro trabajo en tecnología y derechos humanos pueda llegar a comunidades diversas, para ello es fundamental que como organizaciones de la sociedad civil nos acerquemos a conocer y establecer lazos de colaboración con activistas y comunidades de otras áreas, que nos permitan generar puentes y alianzas de trabajo colaborativo.

No podemos permitir que las barreras de comunicación sigan siendo un obstáculo para la protección de los derechos humanos. La tecnología debe ser un aliado, no un arma, y para ello necesitamos una reformulación radical de las políticas públicas que asegure un acceso igualitario y seguro a los espacios digitales. Solo entonces podremos hablar de un futuro tecnológico que no perpetúe las violencias, sino que las desmantele.

La amenaza persistente de la censura en Internet y cómo evadirla

Cuándo nos conectamos a algún servicio en internet, nuestra comunicación atraviesa varias computadoras conocidas como ruteadores. El primer dispositivo al que nos conectaremos es el ruteador de internet de nuestra casa – si lo hacemos a través de internet fijo – o la antena de telefonía celular, si lo hacemos con internet móvil. Luego, la comunicación sigue a través de otros dispositivos en la red del proveedor de internet y de otros proveedores de comunicación hasta llegar al destino. En cualquiera de estos sitios se podría filtrar el contenido de nuestras comunicaciones.

Cuando un Estado quiere bloquear contenidos o aplicaciones, una posibilidad para concretarlo es obligar a los proveedores de acceso a internet – también conocidos como ISPs por sus siglas en inglés – a hacerlo en su favor. Dado que el ISP es responsable por conectar una computadora de origen a un sitio web ubicado en una computadora de destino, basta que este intermediario no efectúe la comunicación para que el sitio quede inaccesible.

Otra forma de bloqueo se da a partir de modificaciones en los registros de nombres de dominio (DNS), el que asocia dispositivos físicos a nombres y números que lo permiten ubicar en la red. Estas no son las únicas formas de operar la censura en Internet, sobre el funcionamiento técnico y las estas estrategias de bloqueo hablamos en otra columna.

El diseño de Internet implica que los proveedores de Internet sepan quién solicita el acceso a un sitio y la dirección IP de destino. Con esta información es posible operar la conexión, pero también la censura. Cuando estos registros se almacenan por periodos largos de tiempo, sea por requisitos técnicos o legales, puede facilitar prácticas de vigilancia, una vez que esos datos permiten identificar patrones de acceso por parte de usuarias específicas. Por eso, el uso de herramientas para evadir la censura en muchos casos también sirve para proteger la privacidad de las comunicaciones.

Evadir la censura

Una primera medida de protección contra la censura son las redes virtuales privadas, o VPNs. Esta tecnología permite generar un canal cifrado desde nuestros dispositivos hasta uno de los servidores de VPNs que, por su vez, nos irá dirigir al destino deseado. El ISP solo podrá ver que existen conexiones cifradas a ciertas direcciones IPs de las VPNs, pero no sabrá hacia donde esta nos está direccionando o el tipo de actividad que se está realizando. De este modo, salvo que los ISPs empiecen a bloquear las VPNs o que las mismas VPNs bloqueen determinados contenidos, no será posible impedir el acceso.

El colectivo Riseup provee desde hace mucho tiempo la VPN RiseupVPN que se puede utilizar de manera gratuita y sin entregar datos de registro. En la coyuntura actual de Venezuela proveedores de VPN como ProtonVPN y TunnelBear están ofreciendo acceso gratuito a sus servicios si la conexión proviene de Venezuela.

Si mucha gente empieza a utilizar estos servicios, entonces el Estado podría intentar bloquear las VPNs. Se podría intentar con otras que no están mencionadas acá y seguir jugando el juego del gato y el ratón. Otra opción es aprovechar el hecho de que la tecnología de VPNs se basa en estándares abiertos, lo que permite a otros proveedores implementar VPNs propias de forma autónoma con software libre. Lo que se necesita para esto es un servidor virtual (VPS) que se puede contratar por un costo bajo y alguien con conocimientos de Linux.

Outline es una solución sencilla que nos permite implementar nuestros propios servidores de VPN de manera fácil y segura. Al usar una solución como esta se tendría un servicio que sería menos visible que el servicio de VPNs conocidas pero se requieren ciertos conocimientos técnicos. Una vez implementado el servidor es fácil conectarse desde computadoras o celulares.

Otra opción para evadir la censura es la red de anonimato Tor. Para acceder a este red no es necesario pagar ni entregar datos personales. Al igual que las VPNs, Tor se puede instalar en teléfonos celulares y computadoras. La forma más común de acceder a la red es a través del navegador Tor, disponible para computadoras y celulares Android, en el caso de Iphone se puede usar el navegador Onion Browser.

Mediante este navegador se puede evadir la censura de sitios web, pero no es tan evidente su uso para evadir el bloqueo de aplicaciones como Signal o WhatsApp. En el caso de celulares, existe la aplicación Orbot que funciona de forma similar a una VPN, pero con la red Tor. En este caso se podría conectar Orbot a la red Tor y decirle que ciertas aplicaciones funcionen a través de esta aplicación. De esta manera se podría utilizar Signal, WhatsApp, X o cualquier otra aplicación.

Estas son algunas soluciones para evadir la censura en Internet, pero no son las únicas. Como documentado en años anteriores, incluso en el caso de Venezuela, es posible a los operadores bloquear incluso el acceso a la red de Tor. Así, es recomendable probar más de una opción por si el Estado llegara a bloquear una de estas, se puede usar otra.

Documentar la censura del Internet

La censura en Internet normalmente está asociada con acontecimientos que suceden en la sociedad. En el caso de Venezuela tiene que ver con las elecciones, pero se han registrado bloqueos de comunicaciones en otros países de la región durante eventos de conmoción social.

El proyecto OONI es una herramienta de software libre que se puede instalar en nuestros teléfonos o computadoras para que realice pruebas recurrentes a sitios web y aplicaciones y así identificar si estas están bloqueadas. Los datos recolectados pueden ser subidos a OONI para ser accesibles por investigadores a través de su explorador.

El uso de OONI es simple y hace unos años publicamos una guía sobre como hacerlo. Es importante tener cuidado y estar atentos a los riesgos que podemos tener al monitorear bloqueos de Internet, debido a que algunos países restringen este tipo de actividad.

En el caso de Latinoamérica hay organizaciones que utilizan OONI y herramientas similares para detectar bloqueos. Nos gustaría destacar el trabajo de organizaciones como Conexión Segura y Libre (antes Venezuela Inteligente) con su proyecto VEsinFiltro donde documentan bloqueos a Internet en este país. En Colombia se encuentra la Fundación Karisma con el Observatorio de Bloqueos de Internet en dónde han publicado una guía para investigar de bloqueos de Internet.

Internet es una herramienta esencial para poder informarnos, pero también para ejercer un conjunto de derechos fundamentales, como a la educación, la salud, entre muchos otros. La censura de sitios y aplicaciones afecta directamente el ejercicio de estos derechos, además de limitar la libre expresión y asociación en momentos de crisis política, como observamos ahora en Venezuela. Poder documentar estos casos es de suma importancia para denunciar abusos, desarrollar mejores estrategias para evadirlos y también para exigir comunicaciones libres.

La red es vulnerable a ser censurada, y necesitamos seguir presionando agentes públicos y privados a que atenten a sus obligaciones internacionales de mantener la integridad de Internet. Por otro lado, su naturaleza abierta permite que tengamos herramientas para poder evadirla. Es recomendable aprender a usar estas herramientas incluso si en nuestro país no existen bloqueos aparentes, ya que para cuando existan estaremos listas para seguir comunicándonos y accediendo a información relevante.

Elecciones abren nuevo frente de violencia, represión y censura

El 28 de julio de 2024 se llevaron a cabo las elecciones presidenciales en Venezuela con una notoria participación en todos los centros de votación del país y del exterior. La jornada transcurrió en calma hasta que el Consejo N acional E lectoral (CNE) dio resultados dando como ganador al actual presidente Nicolás Maduro con 51,20% de los votos escrutados hasta ese momento.

Después de las imágenes de celebración de Maduro, Edmundo González y María Corina Machado, el candidato opositor y la principal figura de la oposición en Venezuela, dieron declaraciones rechazando los números ofrecidos por el CNE. La declaración no fue sólo un acto de rebeldía al aire: la promesa de tener las pruebas en la mano es un desafío frontal a las capacidades del oponente de dar una respuesta convincente y rápida a su auto-proclamada victoria. Cabe el recordatorio de que el CNE como entidad de poder electoral, no es considerado un ente independiente , sino una extensión del poder oficial, así como otros poderes públicos.

Represión multidimensional sin tregua

Los días siguientes al 28 de julio han estado marcados por la ausencia de explicaciones sobre los resultados electorales y la represión implacable a la protesta contra la declaración de victoria de Maduro, dejando un penoso saldo de al menos 24 personas fallecidas y más de 2 mil personas detenidas para el 4 de agosto, según anunció Maduro. Las cifras de personas detenidas, desaparecidas y muertas por las protestas, así como las denuncias de limitaciones a obtener defensa privada o investigaciones de los casos son alarmantes y se suman a un histórico de vulneración de derechos humanos que se intensifica en estos días.

La criminalización no se limita a quienes protestan, sino que se ha extendido a quienes participaron como testigos de mesa durante las elecciones y, como parte de su ejercicio cívico, fueron responsables de cuidar todo el proceso electoral y de las actas obtenidas una vez finalizado el proceso de transmisión de votos.

Más allá de la represión en las calles y quizás de forma menos evidente para la observación internacional, el gobierno se ha utilizado de las tecnologías en sus esfuerzos por controlar cualquier cuestionamiento a la narrativa oficialista. Por un lado, son incontables los testimonios de cómo las fuerzas de seguridad detienen y confiscan teléfonos de las personas detenidas sin mayores garantías de respeto a su privacidad y a la confidencialidad de sus comunicaciones. Por otro, sistemas más sofisticados de vigilancia también se han puesto en marcha.

Automatizando la vigilancia y la desconfianza

Para entenderlo es necesario volver a 2022, cuando el gobierno lanzó una aplicación para teléfonos inteligentes denominada VenApp, que serviría como plataforma para denunciar deficiencias en los servicios públicos, por ejemplo, algún corte de luz. Sin embargo, es poco lo que se supo sobre su desarrollo o cómo se daría la protección de los datos ingresados por las personas al hacer uso de la misma. Para hacer uso de la aplicación, la persona da su número de cédula de identidad, teléfono y en ocasiones, las direcciones de casa por georreferencia.

En los días posteriores a las elecciones, una pestaña fue agregada a la aplicación: ella permite a cualquier usuaria denunciar a manifestantes y otros opositores en la plataforma. La nueva funcionalidad fue anunciada por el mismo presidente, quien incentiva la población a utilizarla. Básicamente, ahora cualquier persona puede denunciar a sus vecinos por, según sus propios criterios, participar en actos desestabilizadores (incluyendo el cierre de vías públicas, una modalidad popular para manifestarse contra la deficiencia de servicios básicos). Después de solamente una semana de las elecciones, el gobierno anunció haber recibido más de cinco mil denuncias por medio de la aplicación y que atendería a todos los reportes.

La medida es un paso más en una estrategia de persecución que se basa en la fractura social y la polarización política en una sociedad ya afectada por múltiples crisis. Y que apuesta en otros mecanismos tecnológicos además de VenApp, como grupos de mensajería instantánea y de redes sociales, creados exclusivamente para este mismo fin: estimular que vecinos denuncien unos a los otros para que luego el gobierno intervenga con su aparato represor. Según relatos en los medios de comunicación, ya hay víctimas de esta práctica de vigilancia comunal.

Aunque se pueda cuestionar hasta que punto realmente el gobierno es capaz de procesar todas las denuncias recibidas en sus distintos canales, su mera posibilidad – sumada al registro diario y el histórico de abusos y vulneraciones de derechos humanos – es suficiente para amedrentar y silenciar cualquier voz de indignación frente a la injusticia.

El rol de las empresas de tecnologías se ve también evidenciado en el contexto venezolano. Además de contar con empresas dispuestas a desarrollar funcionalidades diseñadas para la persecución política, el gobierno Maduro se apoya en la ausencia de controles de contenidos de algunas plataformas para fomentar su red de denuncias en grupos de redes sociales. WeChat y Telegram han sido apuntadas como las preferidas por el presidente. En el caso de Telegram, la aplicación de mensagería es conocida por sus frágiles garantías de seguridad y la ausencia de controles a la distribución de información – en comparación con otra aplicación de uso masivo en América Latina, WhatsApp – y, en tiempos recientes, ha sido promovida por líderes de carácter autoritario en otros países de la región.

Lo mismo ocurre con los bloqueos de aplicación, que requieren colaboración de los proveedores de internet para ejecutarse. A dos semanas de las elecciones y aún sin respuesta oficial del CNE, el oficialismo opta por cargar contra las plataformas de redes sociales y experimentar formas de aislar a Venezuela por diferentes vías. Además de boicotear WhatsApp, la aplicación de mensajería instantánea más popular en el país, también ha decidido bloquear Signal, preferida por quienes buscan más seguridad y encriptación más robusta en sus comunicaciones – algo esencial un momento de persecución política intenso como el actual. Al mismo tiempo, ha ordenado un bloqueo a la red social X (antes Twitter), una de las principales fuentes de información para muchos venezolanos, durante 10 días.

¿Cómo llegamos hasta aquí?

El oficialismo en Venezuela ha implementado distintos mecanismos para controlar el acceso a la información y limitar la libertad de expresión a lo largo de los años y las medidas que se ven tras el último proceso electoral no son inéditas o novedosas. Al contrario, se vienen denunciando hace mucho por activistas dentro y fuera del país.

La hegemonía comunicacional instaurada desde los gobiernos de Hugo Chávez dio paso a la reducción sistemática de medios de comunicación tradicionales que eran críticos al gobierno. Reducir todos los medios hasta casi su extinción ha sido una marca de fábrica del chavismo. Es importante tener esto en cuenta porque en la actualidad, las fuentes confiables de información y con perspectiva variada existen escasamente de manera digital y apoyándose en gran medida en el periodismo ciudadano como una forma de ejercer libertad de expresión. A las medidas administrativas contra medios vigentes en varios estados del país, se suman las múltiples restricciones a los medios digitales, registradas también después del periodo electoral.

Por otro lado, y de forma contradictoria se ha incentivado el uso de herramientas digitales oficiales para distintas funciones – como en el caso de VenApp, normalmente con poca transparencia sobre sus proveedores o garantías de protección y seguridad. Eso ha incluido, por ejemplo, el uso de tecnologías de vigilancia para la verificación de identidad. Mientras el país enfrenta una crisis humanitaria sostenida, se han implementado sistemas biométricos para controlar la adquisición de productos de primera necesidad, resultando en diversas denuncias de discriminación hacia personas extranjeras y, especialmente, transgénero en años recientes.

Sobre lo que sigue

Pasadas casi dos semanas de las elecciones, la oposición tiene una página web que recopila los soportes de las actas resguardadas por los testigos de mesas y sigue firme en la petición de respuestas al CNE con la publicación de los resultados oficiales y la realización de las auditorías correspondientes. La comunidad internacional ha estado presente y activa desde el mismo día de las elecciones para pedir transparencia en los resultados y presionando al CNE para que muestre sus resultados. Las organizaciones y activistas de derechos humanos por su vez están sobrepasados para procesar el volumen de casos de abusos, además de tener que enfrentar el riesgo personal que implica el ejercicio de su activismo.

Mientras que la firmeza de la oposición y el sólido respaldo internacional son positivos políticamente, la tensión social y las consecuencias de las represalias continuarán hasta que exista una resolución política. Desde Derechos Digitales seguimos atentas, con nuestr os canales y nuestro programa de Latinoamericano para la Seguridad y Resiliencia Digital a disposición para apoyar la importante labor de la sociedad civil venezolana. Junto a más de 100 organizaciones, expertas y activistas, hacemos un llamado urgente a que se ponga fin a la violenta represión, a la vigilancia y a la censura – en las calles y en las redes.

Análisis forense automatizado: como funciona la intrusión de los Estados en nuestros dispositivos

Autoridades de varios países de América Latina han utilizado la herramienta de Cellebrite para investigaciones judiciales en lo últimos años. El sistema facilita el proceso de análisis de datos contenidos en aparatos móviles, considerando dispositivos que tienen cada vez mayor capacidad de almacenamiento – lo que se traduce en un problema a la hora de realizar una revisión manual.

Entre los casos de uso registrados por la prensa en los últimos años está el de Chile, donde la Fiscalía Nacional recientemente lo ha utilizado en una investigación sobre tráfico de influencias sobre el dispositivo del abogado Luís Hermosilla; Perú; Argentina, en el contexto de la investigación del atentado contra la ex-Presidenta Cristina Kirchner; Brasil, donde estudios recientes apuntan a un uso indiscriminado de este tipo de herramientas, entre otros.

El uso de este tipo de software es conocido como una forma de hackeo gubernamental, toda vez que permite la vulneración de los recursos de seguridad de dispositivos o aplicaciones personales. El uso de técnicas de este tipo requiere un conjunto de salvaguardias para que sea legítima y genere pruebas válidas en un proceso judicial.

Si bien en Latinoamérica no hay reportes de uso de la herramienta fuera de un contexto supuestamente legal, sí existen varias denuncias en otras regiones respecto a abusos contra periodistas y la ciudadanía, según se declara en el portal especializado Segu Info. Además, muchas veces, la utilización se da en ausencia de reglas específicas que den cuenta de los criterios para la implementación de técnicas de hackeo gubernamental.

La arquitectura y funcionamiento de un dispositivo móvil

Los dispositivos móviles actuales, teléfonos inteligentes y tabletas, poseen una arquitectura muy similar a la de un computador. Dentro de sus componentes podemos encontrar algunos elementos centrales como lo son: contar con un procesador (CPU), memoria volátil (RAM) y almacenamiento interno. Además, cuentan con una serie de otros componentes que pueden ser opcionales en un computador como cámaras, GPS, entre otros.

Desde la arquitectura de software tenemos principalmente dos sistemas operativos: Android y iOS, ambos con raíces en sistemas Unix/Linux, pero al que se han añadido capas de componentes propietarios, además de aplicaciones de terceros conocidas comúnmente como “Apps”. Tanto el sistema operativo como las aplicaciones guardan información dentro del dispositivo con distintos niveles de detalle y en algunos casos adjuntando metadatos como fecha y geolocalización.

En términos generales, el funcionamiento de un dispositivo móvil se basa en la ejecución del sistema operativo, que controla las funciones base y gestiona el funcionamiento de las distintas aplicaciones. Al igual que en un computador, las aplicaciones están alojadas en la memoria interna, durante su ejecución se cargan en la RAM y funcionan por medio del procesador. Los archivos almacenados en el almacenamiento interno, al ser utilizados, también son cargados en la RAM.

Es importante mencionar que la RAM se utiliza como intermediaria entre al almacenamiento interno y el procesador pues es, en órdenes de magnitud, mil veces más rápida que el almacenamiento interno. Su característica es que no almacena los datos o archivos de forma permanente. Es por ello, por ejemplo, que cuando reabrimos una aplicación luego de reiniciar un dispositivo no volvemos al punto exacto donde estábamos, sino a su estado inicial.

Las herramientas de análisis forense digital: caso UFED

Junto a la aparición de sistemas computacionales se han desarrollado técnicas de investigación sobre los mismos, en particular buscando atender a las necesidades de autoridades policiales y judiciales. Más allá de la revisión manual a partir del acceso físico a un dispositivo, se han desarrollado herramientas para el análisis específico de los distintos espacios de memoria, permanentes y volátiles, en ciertos sistemas. Las herramientas de análisis forense actuales están un peldaño más arriba: ellas automatizan el proceso extracción de datos otorgando opciones para analizar muchos sistemas en sus distintos componentes de almacenamiento de datos.

Si bien tanto Android como iOS cuentan con medidas de seguridad ante un intento de intrusión, lo cierto es que las herramientas de análisis forense han ido generando métodos para poder lidiar con ellos. Esto resulta en una especie de guerra armamentista donde los desarrolladores de los sistemas operativos van mejorando la seguridad de los mismos mientras los desarrolladores de las herramientas de análisis forense las van derribando.

Actualmente, las herramientas UFED son capaces de desbloquear un dispositivo iOS o Android protegido con contraseña o PIN en la mayoría de los casos. Además tiene la capacidad de acceder a contenidos cifrados. La extracción de datos se puede realizar de distintas formas:

a. Extracción física: esta técnica consiste en generar una copia de todo el sistema de memorias sin detenerse a revisar el contenido en dicha etapa. Funciona como un respaldo total del sistema y puede ser utilizado para su posterior análisis.

b. Extracción lógica: se refiere a la extracción específica de datos almacenados en el dispositivo tales como contactos, registro de llamadas, mensajes de texto, imágenes, documentos, correos electrónicos, datos de geolocalización y conversaciones en sistemas de mensajería cifrada (como por ejemplo Whatsapp o Signal).

c. Extracción de respaldos: esta técnica consiste en la recuperación de copias de seguridad almacenadas en la nube y se puede aplicar a las distintas aplicaciones y sus distintas fuentes de almacenamiento de respaldos.

Dentro del proceso de extracción de datos, las UFED pueden recuperar archivos ocultos o eliminados. Cabe mencionar que cuando borramos un archivo este no se borra efectivamente desde el espacio de memoria, lo que sucede es que el sistema operativo genera la instrucción de marcar como disponibles para escritura los bloques de memoria que utilizaba el archivo y que, mientras dichos bloques no sean reescritos, el archivo será recuperable con las herramientas adecuadas.

Otra de las funcionalidades que poseen estas herramientas es la de poder hacer una copia de la memoria volátil. Con acceso al dispositivo encendido puede realizar una copia de todo aquello que está almacenado en dicha memoria, como aplicaciones, datos, imágenes, etc.

Luego del proceso de extracción, es posible generar análisis que van desde el ordenamiento, hasta el filtrado y clasificación de los datos, facilitando la identificación de información relevante. Desde una mirada general, las herramientas UFED permiten automatizar la extracción de datos e información de un dispositivo móvil.

A pesar de estas funcionalidades, las UFED han también estado sujetas a algunas gritas en su funcionamiento. En abril del 2021 Moxie Marlinspike, creador de Signal y reconocido criptógrafo, demostró que era posible explotar algunas vulnerabilidades de las herramientas de compañía Cellebrite generando que la aplicación deje de funcionar. Ya en 2023, en 2023 la empresa israelí sufrió un ataque que concluyó con la filtración de 1.7 TB de datos relacionados a sus productos.

¿Qué hacer ante el uso de este tipo de tecnologías?

Si bien el análisis forense de dispositivos puede estar amparado legalmente, es importante entender que estas herramientas también pueden ser utilizadas de forma incorrecta y que las normativas nacionales no siempre están alineadas a los estándares internacionales en la materia. Además, casos de intrusión estatal abusiva con técnicas más o menos refinadas a las comunicaciones de defensoras y defensores de derechos humanos y periodistas no son excepcionales en la región.

Por otra parte, la extracción o copia de datos y su almacenamiento por instituciones gubernamentales por largos periodos genera una ventana de ataque que puede terminar con la fuga de datos privados de las personas investigadas exponiendo así su vida íntima.

Ante esta inquietud, algunas medidas pueden ser tomadas con el fin de minimizar una intrusión excesiva a las comunicaciones por medio de herramientas de análisis forense:

Prevención: hay muchas medidas preventivas que se pueden adoptar, entre ellas compartimentar la información y, de ser posible, no utilizar un mismo dispositivo para almacenar todo, ya sean conversaciones por mensajería, imágenes o documentos.
Utilizar mensajes desvanecientes: las funciones disponibles tanto Signal como Whatsapp de configurar los chats individuales y grupales con mensajes desvanecientes ayuda a minimizar el almacenamiento de datos sensibles. Este tipo de mensaje tiene un tiempo de caducidad y luego se borra de forma automática.
Uso de contraseñas: el uso de contraseñas seguras de acceso al dispositivo puede frenar el acceso en algunos casos. Además aplicaciones como Signal o Whatsapp tienen la posibilidad de ser bloqueadas a través de contraseña, con lo que se genera una nueva barrera en caso de que la versión de tú teléfono no esté soportada en la versión de la herramienta forense.
Eliminar archivos de forma segura: para asegurarse de que un archivo fue eliminado efectivamente de un dispositivo es necesario utilizar una aplicación específica. Existen varias herramientas que cumplen esta función y sobreescriben los espacios de memoria liberados con datos aleatorios, de forma que no se puedan recuperar los contenidos. IShredder una de las más utilizadas.

Garantías necesarias

Más allá de las posibles medidas de protección, es difícil detectar un ataque de este tipo de herramienta. Además, sabemos que en la realidad mucha de nuestras comunicaciones personas y para fines de activismo dependen del uso de dispositivos móviles y sus aplicaciones – lo que no significa que entregamos con eso un permiso a las policías para acceder a toda nuestra vida privada. El uso de herramientas de análisis forense automatizado por parte de los Estados requiere un conjunto de procedimientos que aseguren su legalidad y legitimidad. En ningún caso ellas deben ser utilizadas sin un marco legal específico y que atienda a los estándares internacionales de derechos humanos.

Rompiendo Barreras: claves para una participación efectiva en la gobernanza digital global

En octubre vamos a tener múltiples discusiones importantes en la Asamblea Mundial de Normalización de las Telecomunicaciones, en India. Pero son preocupantes las barreras de la participación dentro de la toma de decisiones de la UIT para la participación efectiva de la sociedad civil en estos espacios.

La Asamblea Mundial de Normalización de las Telecomunicaciones (AMNT-24) será llevada adelante en octubre del presente. Esta asamblea es celebrada cada cuatro años y reviste de especial importancia dado que determina la estrategia, las políticas y el programa de trabajo del UIT-T. Esto es importante para la sociedad civil porque las normas elaboradas por el UIT-T “contribuyen a definir la infraestructura mundial de las tecnologías de la información y la comunicación (TIC) y pueden tener amplias repercusiones en el ecosistema regulador de las TIC más allá de la UIT”.

Como es advertido en una reciente guía publicada por la organización Global Partners Digital, en los últimos años muchos estados han utilizado este espacio para intentar ampliar el mandato de la UIT a ámbitos emergentes críticos de la gobernanza digital, como por ejemplo la Inteligencia Artificial o a aspectos operativos de Internet y sus recursos críticos.

Considerando a las barreras de la participación dentro de la toma de decisiones de la UIT y teniendo en cuenta que muchas de estas discusiones se dan en otros foros impulsados por personas expertas y con participación de sociedad civil, esta ampliación de mandato podría socavar el modelo de gobernanza de múltiples partes interesadas.

Estándares técnicos con perspectiva de derechos humanos: es esencial el modelo de múltiples partes interesadas

Siguiendo a la guía mencionada, la forma más efectiva de que la sociedad civil pueda visibilizar sus conocimientos, preocupaciones y contribuciones y -con ello- influir en el alcance y la dirección del trabajo del AMNT-24 es a través de su participación de forma activa para dar forma al texto de las Resoluciones. ¿Pero sería este entonces un modelo de múltiples partes interesadas?

Primero, que este modelo apunta a asegurar una participación significativa de distintas partes como sociedad civil, academia y sector técnico con el objetivo que las discusiones sean llevadas adelante considerando todos los puntos de vista y necesidades, sobre todo de aquellos sectores mayormente afectados por las políticas públicas digitales, evitando que aquellas se concentren exclusivamente en los Estados. A su vez -y sobre todo- este modelo impulsa a que el análisis parta desde el derecho internacional de los derechos humanos.

Como ocurre con cualquier avance tecnológico, los estándares no se limitan a cumplir funciones técnicas. Al contrario, están influenciadas por los contextos históricos y culturales en los que surgen, reflejan visiones de sus desarrolladores, y tienen un impacto en las políticas públicas. Aplicar una perspectiva de derechos humanos, implica centrar las discusiones en como el funcionamiento de internet puede -y debe- contribuir a garantizar la promoción y ejercicio de derechos.

En ese sentido, organismos como la Oficina del Alto comisionado de Derechos Humanos han resaltado que los estándares técnicos pueden facilitar o inhibir el ejercicio de los derechos, dependiendo de su diseño. Un elemento clave para para inclinar la balanza hacia el ejercicio de derechos recae en la participación, sobre todo de comunidades mayormente afectadas, que permita una mayor comprensión sobre las repercusiones de dichos estándares apuntando a que se puedan adoptar y utilizar normas técnicas más favorables a la defensa de los derechos humanos.

Esto no es hipotético. Tal como han señalado, organismos como la Relatoría de Libertad de expresión de Naciones Unidas la falta de perspectiva de derechos humanos en este ámbito ha contribuido a la creación de lagunas técnicas que ocasionan vulneraciones a derechos como la privacidad, restricciones de acceso y otros abusos.

Algunos ejemplos de cómo las normas técnicas pueden afectar negativamente a los derechos humanos son la recopilación masiva de datos, la vigilancia, la erosión del anonimato y la creación de perfiles permanentes para rastrear personas o contenidos. Las normas técnicas también pueden afectar al acceso a los derechos económicos, sociales y culturales, así como al principio de no discriminación.

A pesar de la obligación de los Estados y la responsabilidad de las empresas de cumplir con los derechos humanos, la mayoría de los organismos de generación de estándares no se han comprometido claramente a situar los derechos humanos en el centro de sus actividades. Esto se refleja en la falta de personal dedicado a los derechos humanos en la labor normativa; la excepcionalidad de las evaluaciones de impactos en derechos humanos, y la falta de realización de un seguimiento sistemático de las repercusiones de las normas en los derechos humanos, una vez adoptadas.

¿Cómo se relaciona este modelo con la generación de estándares técnicos respetuosos de DDHH?

Como explicamos en una columna anterior, el ámbito de la elaboración de normas técnicas es amplio y variado. Algunas organizaciones intergubernamentales como la UIT -que cumple un rol central dado su status de agencia especializada de la ONU- se encargan de establecer estándares técnicos relacionados con las tecnologías digitales y emergentes. Esto implica generar espacios de diálogo con el objetivo de generar normas técnicas para el funcionamiento, implementación e interoperabilidad de tecnologías.

A pesar de que estos estándares no son vinculantes y son adoptados sobre la base de generación de consensos, muchas de ellas han sido ampliamente adoptadas entre los Estados y el sector privado. Además, las normas del UIT-T y las elaboradas por organizaciones multilaterales de normalización cuentan con protección comercial en virtud del Acuerdo sobre Obstáculos Técnicos al Comercio (OTC) de la Organización Mundial del Comercio (OMC), lo que facilita su adopción y uso.

Aunque la membresía de la UIT, incluye -además de un centenar de Estados- a sectores no gubernamentales; a la hora de la verdad, la participación de ONG’s en este espacio es poco frecuente, las tasas anuales son muy costosas para sociedad civil y también solamente los Estados tienen derechos de votación. Esto ha generado varias críticas por llevar a cabo «un proceso de toma de decisiones muy exclusivo y verticalista» y por carecer de «transparencia, apertura e inclusión”.

La falta de participación significativa se sitúa como un elemento central de dichas críticas. El informe referido del ACNUDH ahonda en esta problemática indicando que estos procesos son a menudo opacos y no buscan o no aceptan activamente aportes públicos significativos. La falta de representatividad se refleja en predominantemente en términos geográficos, de género y de centralización de decisiones en los Estados.

Los participantes provienen predominantemente de países de ingresos altos y medios, con una representación limitada de regiones como África y América Central y del Sur. Los altos costos asociados con la membresía, el registro, los viajes y la contratación de expertos limitan la participación de organizaciones de la sociedad civil, investigadores y pequeñas y medianas empresas.

Además, el predominio del idioma inglés y las culturas operativas excluyentes, como el machismo en estos espacios, dificultan una participación más amplia. Este entorno afecta especialmente a mujeres, personas pertenecientes a la comunidad LGTBIQIA y participantes del Sur Global. Por ejemplo, en 2022, las mujeres constituían solo el 27% de los participantes en los grupos de estudio del Sector de Normalización de las Telecomunicaciones de la UIT.

Por otra parte, las reglas procesales que favorecen a los estados miembros en la UIT limitan el impacto de los participantes no estatales. Aunque la UIT técnicamente permite una membresía más amplia, en la práctica, solo unas pocas organizaciones de la sociedad civil están incluidas en las listas de grupos de estudio. Incluso, los estados pueden oponerse a la membresía de actores no estatales específicos, lo que complica aún más la situación.

Ahora bien, lo constatado en el informe ofrece un diagnóstico que permite identificar los nodos críticos de participación. Esto no significa que la batalla este perdida. Al contrario, ofrecen argumentos basados en evidencia que permiten exigir el cumplimiento de una participación efectiva como esencial para avanzar a estándares técnicos que operen en función a los derechos de las personas.

¿Qué sigue? Oportunidades de influir en normativas técnicas:

¿Cuales, entonces serían las posibilidades de influenciar en las discusiones de la AMNT-24? Para ello, la guía de GPD presenta diversas opciones: Participar de las delegaciones estatales permite -entre otras cosas- tener acceso a los documentos de trabajo y asistir de manera presencial a las reuniones. No obstante está sujeto a la decisión de los estados de habilitar esta participación, además de obvias limitaciones que pueden reflejarse en intereses contrapuestos. Adquirir una membresía del sector o trabajar con Asociados o Miembros del Sector existente es otra opción. Mientras que ofrece ciertos beneficios como poder tener una participación activa en grupos de estudio, miembros del Sector o Asociados no tienen derecho a voto y es posible que no tengan acceso a todas las discusiones ni a procesos de toma de decisión.

Un dato importante sobre la membresía, es que a lo largo de los años se han eximido a alguna organizaciones de carácter internacional de las obligaciones financieras que conlleva la participación. Esto significa que, bajo el cumplimiento de ciertos criterios pre establecidos, se puede eximir a organizaciones el pago de cuotas de afiliación. Esto es una realidad actualmente para 132 organizaciones que están exentas de pagar estos gastos.

La participación de las múltiples partes interesadas como parte de una delegación en reuniones preparatorias regionales es altamente recomendado. Estas reuniones tienen el objetivo de llegar a un consenso regional sobre las resoluciones: se consolidan posiciones sobre temas de importancia regional y propuestas comunes para la AMNT. Aunque estas reuniones generalmente empiezan un año antes de la asamblea, aún quedan reuniones pendientes de aquí a Octubre.

Por otra parte, se encuentra abierto el llamado de la UIT de consultas referente a como procesos de múltiples partes interesadas pueden abordar aspectos relacionados al desarrollo de la Internet; cuales son los desafíos y oportunidades para fortalecer la Internet; y como se puede fomentar la cooperación internacional entre múltiples partes interesadas en cuestiones de política pública centradas en la promoción de los aspectos de desarrollo de Internet.

Considerando la importancia de la participación de sociedad civil para garantizar que las decisiones de estos órganos no presenten una amenaza para los derechos humanos, influir en estas discusiones no solo es importante, sino urgente.