Secciones El Dínamo

cerrar
Cerrar publicidad
Cerrar publicidad
15 de Febrero de 2018

Los flancos abiertos en la protección de los datos personales que reveló el uso de “Antorcha”

¿Qué tan vulnerables son nuestros datos personales? Analizamos con expertos las dudas que abre el uso del polémico software de Alex Smith y Carabineros en el Caso Huracán.

Por
Compartir

Desde que el Ministerio Público inició una investigación por la presunta adulteración de pruebas entregadas por Carabineros en la denominada Operación Huracán, una serie de declaraciones e informaciones contradictorias han salido a la luz. Entre ellas, las que han generado mayor debate respecto a su veracidad han sido las de Alex Smith, el supuesto creador de Antorcha, el software que habría utilizado la policía uniformada para acceder a las conversaciones de WhatsApp y Telegram que implicaban a comuneros mapuches en ataques incendiarios.

En una entrevista televisiva con T13, Smith explicó cómo habría utilizado Antorcha, cuyo funcionamiento es similar al “phishing”, método informático utilizado por delincuentes para obtener información de los usuarios mediante engaño, cuyos datos obtenidos luego son utilizados principalmente para realizar estafas.

El ingeniero en redes y consultor de seguridad Paulo Colomés asegura que uno de los puntos más cuestionables de lo visto en televisión es que Smith mostró haber utilizado xploitz.net, un software gratuito que se puede encontrar fácilmente en internet y con el que es posible obtener las claves y usuarios de Gmail. Es decir, no es una creación de Smith.

“No tengo cómo validar si (Antorcha) existe o no, pero lo que se mostró no es un software propio”, asegura.

Agrega que xploitz.net es precisamente el software que usan los delincuentes informáticos para realizar phishing. Con estos datos es posible acceder al respaldo de Whatsapp guardado en Google Drive o iCloud. Menciona, además, que la frecuencia en que se puede acceder a ese respaldo corresponde al periodo de tiempo en que el usuario configure que se guarde la actualización. Respecto a Telegram, Colomés asegura que no es posible asegurar ni descartar si es posible acceder a los respaldos de la misma manera.

Colomés incluso asegura que Whatsapp sí se puede hackear y robar las conversaciones guardadas en, por ejemplo, Web WhatsApp, a través de distintos métodos de hacking avanzado. “Lo que es imposible es hacerlo mediante el método que describe Smith, son formas mucho más elaboradas”, asegura.

Otro punto conflictivo a juicio de Colomés es que, según lo mostrado por Smith, los respaldos de las conversaciones se guardan en un formato que es posible editar, acción que el mismo Colomés chequeó en un tutorial subido a su cuenta de Youtube.

Con esta información dada a conocer, ¿en qué escenario nos encontramos los ciudadanos respecto a la posibilidad de una eventual interceptación de nuestras comunicaciones? Cuatro expertos consultados por El Dínamo responden y plantean sus cuestionamientos.

Derechos y seguridad pública

Todos los ciudadanos podemos estar sujetos a que se intervengan nuestras comunicaciones. Sin embargo, la ley garantiza que este procedimiento sólo puede realizarse cuando exista un juicio en curso y un juez lo autorice pasando un triple filtro de proporcionalidad que está en la ley procesal penal: se tiene que tratar de un delito grave, la persona tiene que estar sindicada como autor y ser los únicos medios por los cuales se puede obtener una evidencia. Sólo en ese caso, un juez podría autorizar la intervención de un celular o de un teléfono fijo.

Romina Garrido, abogada experta en Derecho y Tecnologías y directora ejecutiva de Fundación Datos Protegidos, explica que al ser la Operación Huracán una operación de inteligencia esto implica que las normativas que protegen los datos personales y el secreto de las comunicaciones que están protegidos constitucionalmente quedan al margen.

Es decir, en este caso no se aplica este “triple filtro”, ya que la policía actuó amparada en la Ley de Inteligencia, que establece que cuando hay información indispensable para una investigación y que no pueda ser obtenida por fuentes abiertas, se podrá utilizar los procedimientos especiales de obtención de información.

Estos procedimientos son la intervención de las comunicaciones telefónicas, informáticas, radiales y de la correspondencia; la intervención de sistemas y redes informáticos; la escucha y grabación electrónica, y la intervención de cualquier otro sistema tecnológico destinados a la transmisión, almacenamiento o procesamiento de comunicaciones o información.

Estos métodos, cita la misma ley, sólo podrán usarse en actividades de inteligencia y contrainteligencia para resguardar la seguridad nacional y ante amenazas de terrorismo, el crimen organizado y el narcotráfico.

La información obtenida servirá para apoyar decisiones estratégicas de la policía, pero no podrá utilizar estas pruebas en un juicio.

Por esto, un aspecto cuestionable para Pablo Viollier, analista de políticas públicas de Derechos Digitales es que las fuerzas de orden utilicen técnicas de engaño, lo que excederá lo que la Ley de Inteligencia permite.

“Carabineros está, en el fondo, escapando del control de la fiscalía, utilizando técnicas mucho más intrusivas que las que contempla el Código Procesal Penal y se están mandando solos. Eso es muy peligroso y es muy irresponsable en un Estado de Derecho”, asegura, ante el uso de los supuestos softwares en la Operación Huracán.

“Si el día de mañana el gobierno de (Sebastián) Piñera considera que el movimiento estudiantil afecta a la seguridad pública, Carabineros va a poder utilizar estos software de vigilancia con los dirigentes estudiantiles. O si consideran que un paro de la ANEF pone en jaque la seguridad nacional, van a utilizarlo con los dirigentes de la ANEF, y eso es un camino directo a un Estado policial y autoritario”, agrega Viollier.

Para Romina Garrido, precisamente este caso es una oportunidad para revisar esta legislación y para poner al día los marcos jurídicos en el contexto actual del uso de las tecnologías y si se condice con estándares de derechos humanos, al otorgarle tanto poder a las agencias de inteligencia. “Creo que casos como el de la Operación Huracán da cuenta de las pocas garantías que como persona común y corriente tenemos, porque esto le puede pasar a cualquiera, finalmente. Además, esto está en el contexto de un proceso judicial, por lo tanto, puede haber una decisión respecto a si vas a la cárcel o no, que es algo mucho más tremendo que te llegue una publicidad o que te llamen por teléfono. El manejo de la información debería ser mucho más cuidadoso en este escenario. Acá hay que tener mala suerte no más, y en un Estado de Derecho eso no puede pasar”, asegura.

Espionaje a la mexicana

Defensores de derechos humanos, periodistas y activistas anticorrupción de México fueron afectados por un avanzado software de espionaje, conocido como Pegasus, el que fue adquirido por agentes del Estado mexicano a la empresa israelí NSO Group, el que, en teoría, sólo debe ser utilizado para investigar a criminales y terroristas.

Esta información fue dada a conocer por The New York Times en junio de 2017 y reveló cómo Pegasus se infiltra en los celulares y otros aparatos para monitorear cualquier acción que se realice a través del aparato. Incluso puede utilizar el micrófono y la cámara de los teléfonos.

Desde Ciudad de México, Juan Manuel Casanueva, director de la organización SocialTIC, relata que en ese caso se usó una técnica similar a la de Antorcha, es decir, el phishing, para acceder a los datos personales de las personas intervenidas y así acceder a sus equipos. Explica además que, en este caso, los mensajes de texto que incluían los links maliciosos incluían gran cantidad de información personal y familiar. Incluso, en el caso de la periodista Carmen Aristegui, espiaron a su hijo Emilio durante casi dos años mientras aún era menor de edad.

SocialTIC es una de las tres organizaciones que redactaron el informe “Vigilancia Sistemática a periodistas y defensores de Derechos Humanos en México”, que detalla en profundidad los alcances de este caso. Para Casanueva, el aspecto más preocupante para las víctimas es para qué quieren tanta información personal y profesional.

Agrega que la regulación también es un problema en México. “Hay unos vacíos muy preocupantes en donde hay incongruencias respecto a si se toma o no una orden judicial para hacer intervenciones, no se consideran en la regulación las intervenciones con este tipo de software espía ni hay claridad respecto a cuáles son los organismos de gobierno facultados para hacer estas intervenciones de comunicación”, comenta. Agrega que tampoco hay protocolos de transparencia, de control ni de límites que se sujeten a la legalidad de este tipo de prácticas. “Llevamos ya un año exigiendo que se diga quién está facultado o lo está utilizando, para qué y bajo qué motivo, porque no hay una orden judicial contra esos objetivos de vigilancia, entonces bajo qué argumento se tomaron esas decisiones”, agrega.

¿Es posible que un caso así ocurriera en Chile? Romina Garrido responde: “Si pasara algo así aquí me daría mucha alegría y tristeza. Por un lado alegría porque por fin nos daríamos cuenta que ¡pucha que es importante tener leyes que regulen a las autoridades respecto a los datos que manejan de las personas!, porque acá llevamos veinte años con una ley desfasada (Ley de Protección de Datos Personales) que lo único que hace es exponernos a que las empresas lucren con nuestros datos, punto. Y, por otro lado, pésima noticia que el gobierno tuviera este software instalado”.

Pablo Viollier es aún más tajante: “No es que pueda pasar, está pasando. Carabineros ocupó este software para espiar a la asistente de un fiscal y eso es sumamente grave y es el problema de este tipo de prácticas”.

Casanueva, quien ha seguido el Caso Huracán, agrega que en Latinoamérica, a diferencia de Estados Unidos, Inglaterra, China o Rusia, no hay certeza de la capacidad y sofisticación técnica que poseen los estados para realizar estas maniobras de espionaje. Y si los tienen, cómo y quiénes las usan y sobre quiénes.

Y agrega otro dato respecto al nivel de experiencia que es necesario tener para utilizar un software que pudiera replicar lo que supuestamente hace Antorcha: “El rumor que suele utilizarse en donde alguien dice que tiene un técnico que le hizo un software (hace una pausa) Muchas veces es, técnicamente, extremadamente complejo. Si alguien con esas capacidades técnicas realmente lo hizo… pues, no son muchos en el mundo y cuesta mucho dinero. Son personas muy especializadas, es un trabajo muy caro, no es algo que consigues con tu técnico del ciber”.

El espíritu del Decreto Espía

En noviembre de 2017, la Contraloría frenó el decreto presentado por el gobierno que buscaba extender de 1 a 2 años la autorización de las empresas de telecomunicaciones para guardar datos sobre las comunicaciones de los usuarios, así como el acceso por parte de las autoridades a dichos metadatos sin una autorización judicial. Dicho decreto establecía además la posibilidad de exigir el almacenamiento de datos comunicacionales a cualquier entidad, mediante una orden judicial.

Sin embargo, a juicio de los expertos consultados, el actuar de Carabineros en este caso se parece mucho a las disposiciones que el ente contralor calificó como una regulación que “excede las normas del Código Procesal Penal”.

Para Romina Garrido, en la información conocida hasta ahora respecto a la Operación Huracán, tal como en el Decreto Espía, es muy amplio el poder y el margen de discreción de las policías y la fiscalía de poder acceder a cierta información comunicacional que es sensible sin una autorización judicial. Discrecionalidad que se vuelve aún más importante respecto a la investigación de un delito cuando se trata de personas que están siendo recién investigadas o son sospechosas.

Pablo Viollier, por su parte, menciona las responsabilidades políticas del caso: “Le toca al gobierno y en particular a la Subsecretaría del Interior asumir la responsabilidad política de esto, porque aquí ha habido una decisión muy consciente del gobierno de apoyar a Carabineros de forma constante y permanente en detrimento del código procesal penal que determina que las policías operan bajo la subordinación de la fiscalía”.

Los expertos consultados son enfáticos en destacar que desde la sociedad civil es importante tomar conciencia de este escenario, pero aún así contar con herramientas que permitan a las policías combatir el crimen organizado haciendo uso de las armas digitales que sean necesarias.

Debe existir un control de las tecnologías que se ocupan, de los derechos que se afectan, de quienes acceden a esta información. Todos queremos que se resuelvan los crímenes. El Estado tiene ahora el monopolio de la fuerza, de las armas, y más encima ahora tiene el monopolio de la información, lo que es un tremendo poder del que nosotros cono ciudadanos tenemos que ser conscientes, nuestros legisladores tienen que ser conscientes y entregarnos herramientas que nos permitan controlar nuestra información”, dice Garrido.

Para Juan Manuel Casanueva es precisamente el Estado quien debe rendir cuentas de cómo está haciendo las labores de vigilancia, que sean legales y proporcionales a lo que está investigando, tomando conciencia de que nuestra información personal finalmente es nuestra vida.

Precisamente como un llamado a la acción, Casanueva entrega algunas recomendaciones para no caer en engaños como el phishing, conocer los niveles de cifrado de los servicios de mensajeria de texto y otras recomendaciones básicas de seguridad de nuestros archivos.

No tener miedo y conocer cómo funcionan estas herramientas sería el comportamiento propicio en un estado democrático, sin restar efectividad a las herramientas para el combate del crimen. “La paranoia respecto al estado policial y la guerra tecnológica no solamente genera desconfianza sino que genera autocensura y eso va en contra de cualquier tipo de libertad de expresión, sería contraproducente respecto a la vida democrática. Lo que buscamos es una cultura básica de la legalidad y de la rendición de cuenta”, concluye Casanueva.

Léenos en Google News

Notas relacionadas

Deja tu comentario

Lo más reciente

Más noticias de País