Hacia una política de ciberseguridad que ponga a la privacidad, la soberanía tecnológica y la dignidad al centro
Una crítica del manejo de la ciberseguridad en Centroamérica propone la creación y promoción de un marco general de ciberseguridad que respete los derechos humanos colocando a la privacidad al centro, que incremente la confianza de quienes se conectan por primera vez, y que transforme verdaderamente el acceso y el uso de la Internet en una herramienta de desarrollo y empoderamiento.
Ciberseguridad, Privacidad y Privilegios
Llevar la Internet a los pobres es también, de forma directa o indirecta, contarlos, computarlos, monitorearlos y controlarlos; la seguridad o privacidad de sus conexiones es un tema del que poco se discute y nada se hace. Las políticas públicas encaminadas a conectar a los pobres, privilegian la conectividad y la adopción de tecnologías, sin invertir recursos en capacitación y sin adecuar el marco normativo a los nuevos retos que la Internet y las nuevas tecnologías para la comunicación, información y comercio representan para las poblaciones marginales.
Desde lectores biométricos para determinar la edad de niños migrantes, hasta transferencias sociales condicionadas, monitoreadas por medio de tarjetas electrónicas que vigilan los hábitos de consumo, existe una tendencia global a experimentar con herramientas y nuevas tecnologías en comunidades marginales y vulnerables, supuestamente para su propio bien.
En la región centroamericana esto ocurre en un vacío: las buenas prácticas de privacidad y seguridad, así como los escuálidos marcos jurídicos de protección regionales, en la práctica, se concentran en el sector financiero, mientras que el sector público y social se quedan atrás en adopción de estándares mínimos de protección. Un ejemplo de esto se reportó a finales de 2016, cuando Kingo, una empresa guatemalteca que ofrece servicios prepago de energía eléctrica en comunidades pobres y remotas, permitió que una base de datos de sus usuarios permaneciera disponible en línea, en su totalidad, por meses enteros. Los usuarios afectados, algunos con acceso limitado a electricidad, otros sin saber leer o escribir, ignoraban que los datos que les fueron requeridos para optar al servicio — documentos de identidad, fotografías, huellas digitales y coordenadas exactas de sus hogares — no habían sido protegidos. Su información personal permaneció disponible para quien quisiera utilizarlos, incluyendo el potencial abuso para crear identidades falsas.
Lamentablemente, éste no es un incidente aislado en la región; el número de filtraciones de bases de datos casi se ha duplicado en el último año. Muchos centroamericanos son particularmente vulnerables y no cuentan con la capacidad y la educación para un control adecuado de sus datos personales, estando muchos de ellos en desconocimiento de las consecuencias y el impacto que la colección de los mismos puede tener en el ejercicio de sus derechos.
Incidentes como éstos son el resultado de acciones de corto plazo sin adecuado examen de las consecuencias que la adopción de tecnologías tiene en aquellos más vulnerables. Es además una negligencia compartida entre las organizaciones no gubernamentales, gobiernos y el sector privado. Todos los sectores deben formular soluciones a estos problemas, dentro de un marco general de ciberseguridad que:
- Respete los derechos humanos colocando a la privacidad al centro;
- Incremente la confianza de aquellos que se conectan por primera vez;
- Transforme verdaderamente el acceso y el uso de la Internet y de las aplicaciones en una herramienta de desarrollo y empoderamiento.
Si las personas no confían en la tecnología, y no tienen expectativas de disfrutar un nivel razonable de privacidad, estarán menos dispuestas a adoptar las nuevas tecnologías para actividades cotidianas como pagos, comunicaciones, coordinación política, manejo de sus finanzas y acceso a servicios públicos. Ésto repercute en el crecimiento del comercio electrónico, la educación y la telesalud en línea, la banca y la provisión de otros servicios a los ciudadanos. Es más, los negocios y las organizaciones sociales que operan en países de riesgo — tanto por razones de seguridad ciudadana como de opresión política — tienen la obligación ética de asegurar que sus plataformas y herramientas mantengan estándares altos de seguridad y que los datos personales que recolectan no estén siendo utilizados por colusión, por omisión o para asistir a la perpetración de violaciones a los derechos humanos o contribuir a la consolidación de estados autoritarios.
Una política de ciberseguridad integral no puede estar alejada de las personas y los sectores más vulnerables y tampoco puede aislarse de la política, sino que debe combinarse con una cultura robusta de transparencia, auditorías, participación y educación ciudadana y respeto a la privacidad y a los datos personales de todos.
El Rol de los Gobiernos y el Rol de las Empresas
El Estado, a través de cada uno de sus poderes, es el responsable por la seguridad dentro de su territorio. La transición digital no transforma dicha obligación y cada país tiene competencias y atribuciones específicas respecto de la privacidad y ciberseguridad de sus ciudadanos, pero es un tema generalmente ausente de las agendas políticas. En algunos casos, esto se da en gobiernos desbordados con otros retos y prioridades, en otros países simplemente no existe el marco legal que permita proteger a los ciudadanos, o dichas leyes sufren de vacíos o están tan desactualizadas que ya no son efectivas.
Existen también Estados represores que atacan deliberadamente la privacidad y la ciberseguridad de los ciudadanos para espiarlos y controlarlos, infectando los ordenadores, produciendo una Internet insegura y vulnerable, ya que las llamadas “puertas traseras” (backdoors) y debilidades de los sistemas — aunque configuradas para espiar a un reducido grupo — afectan a todos, como el reciente incidente de WannaCry. Esta infección cibernética afectó los sistemas que no habían implementado las actualizaciones de seguridad del sistema operativo Microsoft Windows, cifrando los datos y pidiendo un rescate por los mismos a los usuarios afectados.
El ejemplo de WannaCry también nos muestra como los Estados dependen cada vez más de monopolios de software y hardware. La provisión de servicios de los que depende la infraestructura crítica de un país se ha delegado casi enteramente a un pequeño y poderoso grupo de transnacionales con un récord probado de colusión con terceros Estados, que instalan puertas traseras o dejan vulnerabilidades deliberadas en sus productos y servicios.
La mayoría de los Estados centroamericanos carecen de una política orientada hacia la soberanía tecnológica y la ciberseguridad de los sistemas de gobierno, aun siendo custodios de información sensible, como bases de datos biométricas, información médica, información energética, e incluso los sistemas de seguridad del sistema judicial y penitenciario. El presidente de Estados Unidos de América, Donald Trump, ha firmado una orden ejecutiva que indica que la privacidad de quienes no son ciudadanos americanos o residentes permanentes no se proteja de la misma forma como la de sus nacionales. Si se considera que la mayoría de tecnologías y servicios en la nube utilizados por países centroamericanos es precisamente tecnología de Estados Unidos, nos encontramos en un escenario donde los Estados contratan productos y servicios que no brindan altos estándares de protección de privacidad y, por tanto, no cumplen con los niveles adecuados de ciberseguridad.
Por conveniencia, precio o falta de opciones, el sector público continúa empleando tecnologías y usando proveedores susceptibles de recibir una orden secreta que les obligue a instalar mecanismos de intercepción de comunicaciones o a facilitar el acceso a mecanismos y sistemas de gobiernos a la información de sus ciudadanos, sin poder ni siquiera revelarlo. Las opciones son pocas y presentan problemas similares.
A este complejo problema de soberanía y autonomía, se suma el de la austeridad. Muchos de los recortes a las partidas presupuestarias de los gobiernos nacionales y locales afectan a menudo la renovación de licencias, provocando vulnerabilidades adicionales cuando no existe presupuesto suficiente para renovarlas. Los sistemas críticos quedan a merced de ciberataques globales, lo que debería ser un tema de debate centrado en el diseño de políticas públicas que rompan con este círculo de dependencia tecnológica y que abarque no solo un examen de las bases de las licitaciones estatales para la adquisición de dichos servicios y productos, asegurándose que el código sea abierto y verificable, que carezca de puertas traseras y que las entidades públicas puedan aplicar las actualizaciones de los sistemas operativos con recursos internos y con su propio personal técnico.
El escenario no es distinto en el sector privado, que muchas veces ofrece servicios públicos y que, de la misma forma, carece de opciones locales y se ve afectado por normas menos favorables en temas de privacidad, seguridad y jurisdicción, en cuanto quiera hacer efectiva una violación a sus derechos. La falta de una política de Estado y de un compromiso multisectorial que permita adquirir, auditar y supervisar los productos y servicios de los que depende la ciberseguridad, afecta a todos y repercute negativamente en todas las esferas. A esto se añade el precario control sobre los comercializadores de datos personales agregados (data brokers), que comercian con bases de datos sensibles en una región donde los secuestros económicos o la represión a periodistas y líderes políticos no es extraña. Además, siendo una de las regiones que menos comercia de forma electrónica, las compañías centroamericanas están en una situación de riesgo.
En el pasado la región centroamericana cometió el craso error de delegar la seguridad ciudadana al sector privado y perdió el control y la auditoría de la misma. Esto llevó, en varios de los países de la región, a una espiral de violencia, corrupción y debilitamiento estatal, así como a la precarización de la seguridad de las ciudadanas y ciudadanos que no podían acceder a contratar servicios privados de seguridad. En el ciberespacio no debemos de repetir dicho error; la región debe adoptar una política de ciberseguridad que sea pública y para todos, que ponga la seguridad y privacidad de las y los ciudadanos al centro de este esfuerzo y que respete los mandatos constitucionales de cada país.
Pasos Hacia una Política de Ciberseguridad Integral
Primero — complementario al Convenio de Budapest sobre la Ciberdelincuencia, cuya adopción se está promoviendo en la región — se debería adoptar la Convención sobre Privacidad del Consejo de Europa y su protocolo adicional. Este instrumento puede ser adoptado por los países centroamericanos para contar con un estándar mínimo regional. Los esfuerzos por la ciberseguridad serán inútiles si no colocan a la privacidad en el centro de sus acciones.
Segundo, se deberían establecer mecanismos regionales de auditoría y estándares técnicos para los proveedores de servicios cibernéticos utilizados por entidades del Estado, con estrecha cooperación con el sector privado y la academia, y también para desarrollar planes de prevención y de contingencia que se ajusten a las realidades de cada país.
Tercero, se debería proponer una reforma educativa con acciones orientadas a la educación de sectores populares que se conectan por primera vez a la Internet, así como un programa de inversión en formación de técnicos y desarrolladores locales que puedan producir soluciones tecnológicas críticas y locales, para garantía de la soberanía tecnológica y la seguridad regional. Especial atención y estricta regulación son necesarias para aquellos que implementan soluciones tecnológicas orientadas a los sectores más vulnerables de la región.
La Internet ha conectado al mundo, borrando fronteras, por lo que también la ciberseguridad no debería tener fronteras. Hoy, la ciberseguridad es un privilegio únicamente de aquellos que pueden pagarla o que tienen la suerte de vivir en jurisdicciones con fuertes salvaguardias a sus derechos. Debemos trabajar con la sociedad civil, la academia, las organizaciones de apoyo a consumidores, los centros de pensamiento, la comunidad técnica y los encargados en el gobierno para desarrollar y afinar las mejores prácticas y así garantizar que todas las personas, independientemente de su ubicación y de sus circunstancias económicas, gocen de las mismas condiciones de privacidad y ciberseguridad.
Originalmente publicado en https://www.ieepp.org/publicaciones/descarga/1298/ bajo una licencia de Creative Commons.
