13 minute read
MIRADA CRÍTICA
Hacia una política de ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro
Una crítica del manejo de la ciberseguridad en Centroamérica propone la creación y promoción de un marco general de ciberseguridad que respete los derechos humanos colocando a la privacidad al centro, que incremente la confianza de quienes se conectan por primera vez, y que transforme verdaderamente el acceso y el uso de la Internet en una herramienta de desarrollo y empoderamiento.
Advertisement
renata ávila
Los gigantes tecnológicos aprovechan la complejidad de los ataques informáticos para expandir su negocio y su poder ante la pasividad de los gobiernos. —Evgeny Morozov
CIBERSEGURIDAD, PRIVACIDAD Y PRIVILEGIOS
Llevar la Internet a los pobres es también, de forma directa o indirecta, contarlos, computarlos, monitorearlos y controlarlos; la seguridad o privacidad de sus conexiones es un tema del que poco se discute y nada se hace. Las políticas públicas encaminadas a conectar a los pobres, privilegian la conectividad y la adopción de tecnologías, sin invertir recursos en capacitación y sin adecuar el marco normativo a los nuevos retos que la Internet y las nuevas tecnologías para la comunicación, información y comercio representan para las poblaciones marginales.
Desde lectores biométricos para determinar la edad de niños migrantes, 1 hasta transferencias sociales condicionadas, monitoreadas por medio de tarjetas electrónicas que vigilan los hábitos de consumo, existe una tendencia global a experimentar con herramientas y nuevas tecnologías en comunidades marginales y vulnerables, supuestamente para su propio bien. En la región centroamericana esto ocurre en un vacío: las buenas prácticas de privacidad y seguridad, así como los escuálidos marcos jurídicos de protección regionales, en la práctica, se concentran en el sector financiero, mientras que el sector público y social se quedan atrás en adopción de estándares mínimos de protección.
Un ejemplo de esto se reportó a finales de 2016, 2 cuando Kingo, una empresa guatemalteca que ofrece servicios prepago de energía eléctrica en comunidades pobres y remotas, permitió que una base de datos
1 Peirano, Marta. “Vigilando a los refugiados con sus datos biométricos”; en http://www.eldiario.es/cultura/privacidad/ Vigilando-refugiados-datos-biometricos_0_576043056.html 2 Whittakker, Zack. “‘Startup’ en Guatemala dejó expuesta por meses la información de miles de clientes”; en https:// www.cnet.com/es/noticias/guatemala-kingo-base-de-datos/
de sus usuarios permaneciera disponible en línea, en su totalidad, por meses enteros. Los usuarios afectados, algunos con acceso limitado a electricidad, otros sin saber leer o escribir, ignoraban que los datos que les fueron requeridos para optar al servicio —documentos de identidad, fotografías, huellas digitales y coordenadas exactas de sus hogares— no habían sido protegidos. Su información personal permaneció disponible para quien quisiera utilizarlos, incluyendo el potencial abuso para crear identidades falsas. Lamentablemente, éste no es un incidente aislado en la región; el número de filtraciones de bases de datos casi se ha duplicado en el último año. Muchos centroamericanos son particularmente vulnerables y no cuentan con la capacidad y la educación para un control adecuado de sus datos personales, estando muchos de ellos en desconocimiento de las consecuencias y el impacto que la colección de los mismos puede tener en el ejercicio de sus derechos.
Incidentes como éstos son el resultado de acciones de corto plazo sin adecuado examen de las consecuencias que la adopción de tecnologías tiene en aquellos más vulnerables. Es además una negligencia compartida entre las organizaciones no gubernamentales, gobiernos y el sector privado. Todos los sectores deben formular soluciones a estos problemas, dentro de un marco general de ciberseguridad que:
1. Respete los derechos humanos colocando a la privacidad al centro;
2. Incremente la confianza de aquellos que se conectan por primera vez;
3. Transforme verdaderamente el acceso y el uso de la Internet y de las aplicaciones en una herramienta de desarrollo y empoderamiento.
Si las personas no confían en la tecnología, y no tienen expectativas de disfrutar un nivel razonable de privacidad, estarán menos dispuestas a adoptar las nuevas tecnologías para actividades cotidianas como pagos, comunicaciones, coordinación política, manejo de sus finanzas y acceso a servicios públicos. Esto repercute en el crecimiento del comercio electrónico, la educación y la telesalud en línea, la banca y la provisión de otros servicios a los ciudadanos.
Es más, los negocios y las organizaciones sociales que operan en países de riesgo —tanto por razones de seguridad ciudadana como de opresión política— tienen la obligación ética de asegurar que sus plataformas y herramientas mantengan estándares altos de seguridad y que los datos personales que recolectan no estén siendo utilizados por colusión, por omisión o para asistir a la perpetración de violaciones a los derechos humanos o contribuir a la consolidación de estados autoritarios. 3 Una política de ciberseguridad integral no puede estar alejada de las personas y los sectores más vulnerables y tampoco puede aislarse de la política, sino que debe combinarse con una cultura robusta de transparencia, auditorías, participación y educación ciudadana y respeto a la privacidad y a los datos personales de todos.
EL ROL DE LOS GOBIERNOS Y EL DE LAS EMPRESAS
El Estado, a través de cada uno de sus poderes, es el responsable por la seguridad dentro de su territorio. La transición digital no transforma dicha obligación y cada país tiene competencias y atribuciones específicas
3 Daniel Hernández. “Mexico Is Hacking Team’s Biggest Paying Client–By Far” (México es, por mucho, el cliente más lucrativo de Hacking Team); en https://news.vice.com/ article/mexico-is-hacking-teams-biggest-paying-client-by-far http://www.geekgt.com/2016/08/30/datos-personalesde-miles-de-guatemaltecos-han-sido-expuestos-en-la-web/
respecto de la privacidad y ciberseguridad de sus ciudadanos, pero es un tema generalmente ausente de las agendas políticas. En algunos casos, esto se da en gobiernos desbordados con otros retos y prioridades, en otros países simplemente no existe el marco legal que permita proteger a los ciudadanos, o dichas leyes sufren de vacíos o están tan desactualizadas que ya no son efectivas.
Existen también Estados represores que atacan deliberadamente la privacidad y la ciberseguridad de los ciudadanos para espiarlos y controlarlos, infectando los ordenadores, produciendo una Internet insegura y vulnerable, ya que las llamadas “puertas traseras” (backdoors) y debilidades de los sistemas —aunque configuradas para espiar a un reducido grupo— afectan a todos, como el reciente incidente de WannaCry. 4 Esta infección cibernética afectó los sistemas que no habían implementado las actualizaciones de seguridad
4 Una infección cibernética que afectó el 12 de mayo de 2017 a las empresas españolas Telefónica, Iberdrola y Gas Natural, entre otras, así como al servicio de salud británico; en https://es.wikipedia.org/wiki/WannaCry
https://www.cnet.com/es/noticias/guatemala-kingo-basede-datos/
del sistema operativo Microsoft Windows, 5 cifrando los datos y pidiendo un rescate por los mismos a los usuarios afectados.
El ejemplo de WannaCry también nos muestra como los Estados dependen cada vez más de monopolios de software y hardware. La provisión de servicios de los que depende la infraestructura crítica de un país se ha delegado casi enteramente a un pequeño y poderoso grupo de transnacionales con un récord probado de colusión con terceros Estados, que instalan puertas traseras o dejan vulnerabilidades deliberadas en sus productos y servicios. 6 La mayoría de los Estados centroamericanos carecen de una política orientada hacia la soberanía tecnológica y la ciberseguridad de
5 Microsoft es uno de los principales proveedores de software a los gobiernos centroamericanos, y, como lo ha documentado extensamente la Fundación por el Software Libre (Free Software Foundation), sus productos y servicios presentan cualidades y fallos incompatibles con una política integral de ciberseguridad; en https://www.gnu.org/proprietary/ malware-microsoft.es.html
6 Véase El Software de Microsoft es Malware. Fundación por el Software Libre; en https://www.gnu.org/proprietary/ malware-microsoft.es.html
los sistemas de gobierno, aun siendo custodios de información sensible, como bases de datos biométricas, información médica, información energética, e incluso los sistemas de seguridad del sistema judicial y penitenciario.
El presidente de Estados Unidos de América, Donald Trump, ha firmado una orden ejecutiva 7 que ordena que la privacidad de quienes no son ciudadanos americanos o residentes permanentes no se proteja de la misma forma como la de sus nacionales. Si se considera que la mayoría de tecnologías y servicios en la nube utilizados por países centroamericanos es precisamente tecnología de Estados Unidos, nos encontramos en un escenario donde los Estados contratan productos y servicios que no brindan altos estándares de protección de privacidad y, por tanto, no cumplen con los niveles adecuados de ciberseguridad. Por conveniencia, precio o falta de opciones, el sector público continúa empleando tecnologías y usando proveedores susceptibles de recibir una orden secreta que les obligue a instalar mecanismos de intercepción de comunicaciones o a facilitar el acceso a mecanismos y sistemas de gobiernos a la información de sus ciudadanos, sin poder ni siquiera revelarlo. 8 Las opciones son pocas y presentan problemas similares.
A este complejo problema de soberanía y autonomía, se suma el de la austeridad. Muchos de los recortes
7 The White House. Office of the Press Secretary. Executive Order: Enhancing Public Safety in the Interior of the United States (Casa Blanca. Oficina del Secretario de Prensa. Orden Ejecutiva para fortalecer la seguridad pública dentro de los Estados Unidos); en https://www.whitehouse.gov/ the-press-office/2017/01/25/presidential-executive-orderenhancing-public-safety-interior-united
8 Estos documentos se conocen como “Cartas de Seguridad Nacional” (National Security Letters), su emisión se autorizó como parte de las reformas introducidas por el Acta Patriota; en https://www.eff.org/issues/national-security-letters
Gráfica informativa sobre el ransomware, Estado de Tabasco, México; en http://www.fiscaliatabasco.gob.mx/
a las partidas presupuestarias de los gobiernos nacionales y locales afectan a menudo la renovación de licencias, provocando vulnerabilidades adicionales cuando no existe presupuesto suficiente para renovarlas. Los sistemas críticos quedan a merced de ciberataques globales, lo que debería ser un tema de debate centrado en el diseño de políticas públicas que rompan con este círculo de dependencia tecnológica y que abarque no solo un examen de las bases de las licitaciones estatales para la adquisición de dichos servicios y productos, asegurándose que el código sea abierto y verificable, que carezca de puertas traseras y que las entidades públicas puedan aplicar las actualizaciones de los sistemas operativos con recursos internos y con su propio personal técnico.
El escenario no es distinto en el sector privado, que muchas veces ofrece servicios públicos y que, de la misma forma, carece de opciones locales y se ve afectado por normas menos favorables en temas de privacidad, seguridad y jurisdicción, en cuanto quiera hacer efectiva una violación a sus derechos. La falta de una política de Estado y de un compromiso multisectorial que permita adquirir, auditar y supervisar los productos y servicios de los que depende la ciberseguridad, afecta a todos y repercute negativamente en todas las esferas. A esto se añade el precario control sobre los comercializadores de datos personales agregados (data brokers), que comercian con bases de datos sensibles en una región donde los secuestros económicos o la represión a periodistas y líderes políticos no es extraña. Además, siendo una de las regiones que menos comercia de forma electrónica, las compañías centroamericanas están en una situación de riesgo.
En el pasado la región centroamericana cometió el craso error de delegar la seguridad ciudadana al sector privado y perdió el control y la auditoría de la misma. Esto llevó, en varios de los países de la región, a una espiral de violencia, corrupción y debilitamiento estatal, así como a la precarización de la seguridad de las ciudadanas y ciudadanos que no podían acceder a contratar servicios privados de seguridad. En el ciberespacio no debemos de repetir dicho error; la región debe adoptar una política de ciberseguridad que sea pública y para todos, que ponga la seguridad y privacidad de las y los ciudadanos al centro de este esfuerzo y que respete los mandatos constitucionales de cada país.
Primero —complementario al Convenio de Budapest sobre la Ciberdelincuencia, 9 cuya adopción se está promoviendo en la región— se debería adoptar la Convención sobre Privacidad del Consejo de
9 Véase https://www.coe.int/en/web/cybercrime/thebudapest-convention; y https://rm.coe.int/16802fa41c
Propagación del ataque de Wannacry; en http://www.elmundo.es/economia/empresas/2017/05/14/591755c846163f954a8b45e9.html
Europa 10 y su protocolo adicional. Este instrumento puede ser adoptado por los países centroamericanos para contar con un estándar mínimo regional. Los esfuerzos por la ciberseguridad serán inútiles si no colocan a la privacidad en el centro de sus acciones.
Segundo, se deberían establecer mecanismos regionales de auditoría y estándares técnicos para los proveedores de servicios cibernéticos utilizados por entidades del Estado, con estrecha cooperación con el sector privado y la academia, y también para desarrollar planes de prevención y de contingencia que se ajusten a las realidades de cada país.
Tercero, se debería proponer una reforma educativa con acciones orientadas a la educación de sectores populares que se conectan por primera vez a la Internet, así como un programa de inversión en formación de
10 Convenio nº 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automático de datos de carácter personal, 1981.
técnicos y desarrolladores locales que puedan producir soluciones tecnológicas críticas y locales, para garantía de la soberanía tecnológica y la seguridad regional. Especial atención y estricta regulación son necesarias para aquellos que implementan soluciones tecnológicas orientadas a los sectores más vulnerables de la región.
La Internet ha conectado al mundo, borrando fronteras, por lo que también la ciberseguridad no debería tener fronteras. Hoy, la ciberseguridad es un privilegio únicamente de aquellos que pueden pagarla o que tienen la suerte de vivir en jurisdicciones con fuertes salvaguardias a sus derechos. Debemos trabajar con la sociedad civil, la academia, las organizaciones de apoyo a consumidores, los centros de pensamiento, la comunidad técnica y los encargados en el gobierno para desarrollar y afinar las mejores prácticas y así garantizar que todas las personas, independientemente de su ubicación y de sus circunstancias económicas, gocen de las mismas condiciones de privacidad y ciberseguridad.
Ediciones anteriores
SyS 14 Sintetiza alguna de las realidades que los migrantes padecen en su tránsito o estadía en la búsqueda de mejores condiciones de vida • La peligrosa trayectoria de la niñez migrante • La impercentible realidad de refugiados y migrantes • La mujer en las migraciones y otros temas…
SyS 13 Analiza algunos de los procesos de globalización y la geopolítica y el nuevo escenario que se gesta en Latinoamérica • Las relaciones entre Centroamérica y Taiwán • Rusia en el nuevo escenario internacional • Desarrollo transfronterizo e integración en Centroamérica y otros temas…
SyS 12 Presenta el nuevo escenario de las movilizaciones y los movimientos sociales que se desarrollan en Centroamérica • Derechos humanos: migración y trata de personas • Nuevos ciclos de movilización social en C.A. • Situación de los movimientos indígenas en C.A. y otros temas…
observatoriodeviolencias.net
El observatorio de violencias es una plataforma de incidencia y acción en la que convergen la generación de conocimientos, la incidencia, el fortalecimiento de capacidades y la promoción de una opinión pública crítica.
Observatorio Explore nuestro mapa interactivo sobre violencia de género, por región, año, tipo de acción, tipología o tipo penal edades, etc.
Conflictos sociales Vea nuestro mapa sobre el nivel de intensidad y la ubicación de sitios de conflicto social en Nicaragua.
Actividades Lea sobre el Encuentro Nacional de Observatorios y sobre las campañas de prevención del delito de trata de personas, la explotación sexual infantil y la prevención de la violencia hacia las mujeres.
Publicaciones Descargue copias de nuestra revista Seguridad y Sociedad (desde diciembre de 2011), así como informes de gestión de la seguridad, encuestas de percepciones de seguridad y otros temas.
Seguridad y Sociedad Año 7, nº15 Agosto 2017
Esta publicación del Instituto de Estudios Estratégicos y Políticas Públicas se realizó gracias al apoyo de