Emilio Godoy
Proceso
MÉXICO, D.F.(apro).- En agosto de 2013, especialistas del laboratorio interdisciplinario Citizen Lab, de la canadiense Universidad de Toronto, descubrieron un ataque informático con un programa maligno en contra de cuatro organizaciones de derechos humanos vinculadas al Tíbet.
En Suecia, la Fundación 5 de Julio y el proveedor independiente de Internet Bahnhof lograron que la Comisión Europea (CE) investigue a ese país por almacenar datos de los usuarios, en violación a la Carta de los Derechos Fundamentales de la Unión Europea (UE).
Mientras tanto, en Alemania la organización británica Privacy International (PI) dirigió una carta a la Oficina Federal Alemana para Asuntos Económicos y Controles a la Exportación (BAFA), en búsqueda de aclaraciones sobre la utilización de software de espionaje y para evaluar si el gobierno teutón requiere o es consciente de la cláusula que veta el uso sobre aparatos alemanes de tecnología de espionaje hecha en Alemania y enviada al extranjero.
Finalmente, en Argentina, Brasil, Chile, Colombia, Perú, Uruguay y Venezuela los programas de vigilancia operan sin supervisión ni transparencia.
En ese contexto complejo, los miembros de la Asamblea General (AG) de la Organización de Naciones Unidas (ONU) negocian una nueva declaración sobre el derecho a la privacidad en la era digital en el seno de la Tercera Comisión de la 69ª sesión de la asamblea.
“Se tiene que partir de la base de que el derecho a la privacidad es reconocido en el derecho internacional. La declaración debería de ir en la misma línea, denunciar la vigilancia masiva”, dice a Apro Luis Fernando García, abogado de la Red en Defensa de los Derechos Digitales.
En 2013 la AG adoptó una resolución sobre el derecho a la privacidad en la era digital, lo cual implicó que todos los gobiernos acordaran respetar y proteger ese derecho y revisar la legislación y las prácticas de vigilancia, intervención y recolección de datos personales.
Derivado de esa resolución, la Oficina de la Alta Comisionada para Derechos Humanos de la ONU difundió en junio último un reporte sobre esas actividades y concluyó que la sola existencia de programas de espionaje masivo interfiere con los derechos humanos.
El tema saltó a la palestra internacional el 5 de junio de 2013, cuando el diario británico The Guardian dio a conocer que EU practicaba un espionaje indiscriminado en todo el mundo, a partir de las infidencias de Edward Snowden, excontratista de la Agencia Central de Inteligencia de Estados Unidos y actualmente asilado en Rusia.
Ese fue el punto de partida de una serie de revelaciones sobre las operaciones de intrusión encubiertas ejecutadas por la Agencia Nacional de Seguridad estadunidense (NSA, por sus siglas en inglés).
El borrador de la declaración, promovido por 27 países, entre ellos Alemania, Brasil y México, subraya que “la vigilancia y la interceptación ilícitas o arbitrarias de las comunicaciones, así como la recopilación ilícita o arbitraria de datos personales, entre ellos datos sobre comunicaciones, conocidos como metadatos, al constituir actos de intrusión grave, violan el derecho a la privacidad y pueden interferir con la libertad de expresión”.
El documento de cinco páginas, fechado el 31 de octubre, reafirma el derecho a la privacidad, según el cual nadie debe ser objeto de “injerencias arbitrarias o ilegales” en su vida privada, su familia, su domicilio o su correspondencia, y el derecho a la protección de la ley contra tales injerencias.
La AG exhorta a todos los Estados a respetar y proteger ese derecho, a adoptar medidas para poner fin a las violaciones de ese derecho y a crear las condiciones necesarias para impedirlas y examinar sus procedimientos, prácticas y legislación relativos a la vigilancia y la interceptación de las comunicaciones y la recopilación de datos personales, incluidas la vigilancia a gran escala.
Asimismo, sugiere que los Estados establezcan o mantengan mecanismos nacionales de supervisión, de índole judicial, administrativa o parlamentaria, que cuenten con los recursos necesarios y sean “independientes, efectivos, imparciales y capaces de asegurar la transparencia” y la rendición de cuentas por ese tipo de actividades.
Ante esas prácticas, el texto pide garantizar el acceso a un recurso efectivo a los individuos víctimas de las invasiones a la privacidad.
La jungla informática
Pero aunque la AG aprobase otra resolución, su cumplimiento por los Estados es una incógnita, como lo demuestra la experiencia de la declaración previa.
“Dada la naturaleza de Internet y las comunicaciones modernas, no tiene caso que un país lo haga ilegal si otro mantiene esos sistemas. La solución debe ser global e integral. Hemos visto a empresas globales hacer esfuerzos hacia una mayor transparencia, para proteger a sus usuarios y sus datos. Tenemos que pensar que esas acciones (de espionaje) afectan los derechos de activistas”, señala Keneth Paige, vocero de PI, a Apro.
A pesar de las denuncias de Snowden, la tendencia global es hacia un mayor uso de tecnología intrusiva, como concluye el informe de septiembre pasado Vigilancia de las comunicaciones en la era digital, elaborado por el Observador Global de la Sociedad de la Información.
Basado en reportes nacionales, el documento exhibe el vínculo entre los Estados y la industria para impulsar el espionaje.
En ese terreno empedrado, las organizaciones de la sociedad civil (OSC) se encuentran en la mira de muchos gobiernos, como lo atestigua el estudio de noviembre pasado Comunidades en riesgo. Amenazas digitales dirigidas contra la sociedad civil, desarrollado por Citizen Lab.
“Las OSC enfrentan las mismas amenazas que los sectores privado y gubernamental, aunque con muchos menos recursos para protegerse”, cita el texto.
Los autores entrevistaron a representantes de cuatro organizaciones de derechos humanos enfocadas en Tíbet, una de noticias independiente que reportea y difunde información sobre esa zona, dos agrupaciones de derechos humanos que trabajan en varios países y temáticas, otras dos concentradas en temas de derechos humanos y justicia social en China, y una de noticias independiente que genera información sobre esa nación.
Sus conclusiones son sombrías. “Las amenazas digitales alargan el ‘alcance’ del Estado (u otros actores amenazantes) más allá de las fronteras”, resalta, a la vez que indica que tales amenazas debilitan las principales comunicaciones y misiones de las OSC “de una forma significativa”, incluso como “un riesgo mayor a la seguridad individual”.
Citizen Lab recolectó 817 e-mails maliciosos de las 10 agrupaciones participantes entre el 10 de octubre de 2009 y el 31 de diciembre de 2013.
Los expertos analizaron tres mil 617 archivos principales, de los cuales dos mil 814 eran malignos, e identificaron 44 familias distintas de malware. Las más frecuentes son Gh0st RAT, Surtr, Shadownet, Conime, Duojeen y PlugX.
De los 520 correos recibidos por los grupos tibetanos, 97% aludía a contenido vinculado a temas del Tíbet.
De esa cantidad, 272 fueron diseñados para aparentar que provenía de organizaciones reales. En total, 58 instituciones fueron suplantadas, de las cuales 53 eran grupos ligados al Tíbet. La ONG más falsificada fue la Administración Central Tibetana.
Los expertos hallaron un patrón similar en los grupos chinos. De los 48 correos, 13 se hicieron pasar por organizaciones auténticas.
Más de la mitad de los mensajes hacia los grupos del Tíbet demuestra que los actores amenazadores son cuidadosos en hacer que el e-mail aparente provenir de un individuo u organización legítima e incluyen información relevante, como noticias o intercambios de listas de distribución de correos.
Por ejemplo, un e-mail del 3 de agosto de 2010 para una agrupación del Tíbet, transmitido desde la dirección [email protected], hablaba de una protesta contra la Expo Shanghái en Japón y el archivo malicioso estaba en versión PDF.
“Como se acerca la semana de Tíbet en la Expo Shanghai, en Japón hemos decidido organizar una gran marcha el 1 de septiembre. Hemos elaborado algunas playeras y pancartas para repartir. Podemos también ofrecer a cinco personas viajar a Japón para unirse a la marcha, por lo que podemos enviarle la carta de aplicación para la solicitud de su visa”, decía el texto.
El 11 de enero de 2011 esa misma organización recibió un e-mail desde la cuenta [email protected] sobre la revisión anual de temas de derechos humanos en Tíbet que contenía un archivo ejecutable diseñado para parecer un video de un discurso del Dalai Lama.
Se trató de un reenvío de un correo emanado supuestamente desde la dirección [email protected].
Los especialistas identificaron el uso de aplicaciones riesgosas de Android enviadas dentro de un ataque dirigido contra una figura prominente en la comunidad tibetana. Ese embate se basó en un correo auténtico que probablemente fue obtenido por los agresores y al cual adjuntaron versiones contaminadas de la aplicación para chat KakaoTalk y la aplicación de radio por Internet TuneIn.
Para que el malware se instale, el usuario debe permitir que les aplicaciones sean descargadas de fuentes diferentes a la tienda de Google Play.
En agosto de 2013 emergió una nueva campaña contra cuatro organizaciones vinculadas al Tíbet con Surtr, como la familia de malware principal y que usa cuentas desechables de AOL y Gmail creadas para personificar individuos reales y organizaciones legítimas para enviar correos maliciosos.
En esa campaña Citizen Lab identificó 67 ataques desde agosto de 2013 y en julio último la operación empezó a usar una variante del malware PlugX.
Retos
Uno de los resultados de la declaración de la AG es pedir al Consejo de Derechos Humanos que cree la Relatoría Especial para el Derecho a la Privacidad, para que pueda visitar países, emitir informes y plantear sugerencias.
“La creación del ombdusman sería una medida positiva. La importancia del tema requiere y justifica esa figura, sin que otros relatores de otras instancias no puedan seguir emitiendo informes y criterios sobre el tema”, comenta García.
Desde ya encontraría casos paradigmáticos, como el de México, cuya Ley de Geolocalización de 2012 permite a las autoridades acceder a datos de geolocalización en vivo y sin permiso previo de un juez y que confronta la resolución de la AG.
O Suecia, donde la Fundación 5 de Julio denuncia que cada persona que visita esa nación y usa un teléfono móvil, y cada individuo que se comunica con alguien en ese país queda registrado ilegalmente.
Suecia fue de los principales impulsores de la Directiva de Retención de Datos 2006/24 de la UE y de los más demandantes en pedir el control del uso personal de Internet.
En 2008, el gobierno sueco permitió que la agencia sueca de seguridad (FRA, por sus siglas suecas) interviniera todo el tráfico de Internet entrante y saliente del país.
Además, el servicio secreto sueco (Säpo) ya pidió la participación “voluntaria” de los operadores de redes en un programa que da acceso directo a sus equipos.
Bahnhof, fundada en 1994 y que albergó los servidores de WikiLeaks, rechazó esa petición y publicó las solicitudes planteadas por el gobierno.
“La solución es que los gobiernos no exporten más esos productos, y mejores controles son un primer paso. Siempre promoveremos la transparencia y siempre se puede tomar ese tipo de medidas”, plantea Paige.
La Corte de Justicia de la UE anuló la directiva el 8 de abril último.