Implicaciones de la ciberseguridad para los derechos humanos
Imagen: proporcionada por usuario de Electronic Frontier Foundation, proporcionada bajo licencia CC BY 2.0
Aunque algunas normas internas e internacionales intentan contemplar consideraciones relativas a derechos humanos al establecer estándares sobre ciberseguridad, se han hecho evidentes para defensores de la sociedad civil y otros actores las consecuencias que pueden tener sobre los derechos humanos las normas y los principios sumamente amplios de ciberseguridad.
Ante la creación de Internet como nueva plataforma para la expresión de derechos humanos fundamentales, en 2011 el Relator Especial de la ONU para la Libertad de Opinión y de Expresión y diversos relatores de libertad de expresión de Europa, América Latina y África, suscribieron una declaración conjunta ratificando que “la libertad de expresión se aplica a Internet”. En julio de 2012, el Consejo de Derechos Humanos de la ONU confirmó además que “los derechos de las personas también deben estar protegidos en Internet”, lo cual implica la aplicabilidad a Internet de las declaraciones de derechos humanos mencionadas en módulos anteriores, como la DUDH y el PIDCP.
Varias normas y medidas sobre ciberseguridad que han sido adoptadas por países de manera individual podrían tener un impacto negativo en las expresiones en línea y la libertad de expresión, al vulnerar de manera directa tales derechos o tener un efecto inhibidor sobre la intención de las personas de expresar sus derechos. En Arabia Saudí, la Ley de Prevención del Ciberdelito, que contiene una cláusula imprecisa sobre “protección del interés público, la moral y los valores comunes”, ha sido utilizada para reprimir expresiones en línea y la libertad de expresión al encarcelar a autores de blogs y otros actores que expresan distintas opiniones, insultan a funcionarios públicos o apoyan a fuerzas opuestas al gobierno. En 2012, Filipinas aprobó la Ley de Prevención del Ciberdelito, que aborda problemas genuinos de ciberseguridad, como la pornografía infantil y el correo no deseado, pero que también penalizó las injurias. Si bien la disposición sobre injurias finalmente fue descartada al año siguiente, las intenciones con las cuales esta había sido introducida inicialmente fueron suficientes para suscitar preocupación entre activistas y legisladores filipinos, quienes redactaron un proyecto denominado Carta Magna para la Libertad en Internet de Filipinas, que cuestiona de manera directa la ley.
Además de las leyes sobre ciberseguridad formuladas por los gobiernos, se pueden utilizar cortafuegos creados por empresas y compañías de TI (con apoyo gubernamental) para bloquear sitios web y contenidos específicos, lo que conduciría a la censura en línea.
En este contexto, apenas una semana después de los ataques contra Charlie Hebdo ocurridos a comienzos de 2015 en París, el primer ministro de Inglaterra David Cameron anunció que estaba a favor de prohibir los servicios de mensajes encriptados como Whatsapp si no se concedía a los organismos de inteligencia británicos un acceso más amplio a mensajes y datos de usuarios. Cameron destacó la necesidad de un mayor acceso a mensajes encriptados para proteger al Reino Unido de ataques terroristas. La prohibición de servicios de mensajes encriptados podría considerarse una violación del derecho a la privacidad y del anonimato en línea perpetrada en nombre de la seguridad nacional, a través de la ciberseguridad y la vigilancia en línea.
En 2009, el Relator Especial de la ONU sobre la promoción y la protección de los derechos humanos y libertades fundamentales en la lucha contra el terrorismo emitió un informe donde se señalaba que el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (PIDCP), el cual dispone que “[n]adie será objeto de injerencias arbitrarias o ilegales en su vida privada”, en verdad “tiene la flexibilidad suficiente para permitir limitaciones necesarias, legítimas y proporcionadas del derecho a la intimidad”, pero solamente en casos en que ya esté vigente una ley que disponga cuándo se podrá vulnerar la privacidad, cuando se proteja el derecho de terceros o cuando sea compatible con principios de necesidad y proporcionalidad. Los principios de necesidad y proporcionalidad y otros términos similares se utilizan a menudo para distinguir de qué manera las prácticas de vigilancia, incluidas aquellas que tienen lugar en línea, se pueden implementar dentro del marco del derecho internacional y de principios de derechos humanos, lo cual contempla una adecuada supervisión pública, garantías de debido proceso y un sistema de notificación para los usuarios.
En 2013, el Relator Especial de la ONU para la Libertad de Opinión y de Expresión emitió un informe. sobre el impacto de la vigilancia para los derechos humanos, y destacó que “el uso de un concepto impreciso de seguridad nacional para justificar limitaciones invasivas al ejercicio de los derechos humanos constituye un tema alarmante”.
A la libertad de expresión, la privacidad y el anonimato se suman además cuestiones como las prácticas y los estándares discriminatorios por motivos éticos y religiosos en las leyes sobre ciberseguridad aplicadas en la región occidental contra miembros de comunidades musulmanas, y las acciones de protesta en línea, incluido el hacktivismo, como amenaza para la ciberseguridad.
Si bien las amenazas a la ciberseguridad son genuinas, la capacidad de comunicarse de manera anónima, manifestar desaprobación, protestar y expresar opiniones sin temor a persecución es un aspecto importante de los derechos humanos que se debe garantizar a todas las personas. Aunque los organismos y actores estatales tienen el control de Internet y sus datos, y acceden a estos, algunos han aseverado que se requiere un sistema de controles recíprocos, como comités de supervisión, normas internacionales y definiciones de términos claves acordadas a nivel internacional.
Por último, teniendo en cuenta que muchos han considerado que el ciberespacio también es un campo de batalla, y numerosos países ya se encuentran librando un guerra cibernética mediante ataques silenciosos a las infraestructuras críticas de otros países, liderados por comandos militares especializados en la materia, los académicos, la sociedad civil y los activistas han comenzado a preguntarse si, al igual que en las guerras que ocurren en el mundo offline, también deberían aplicarse las normas del derecho internacional humanitario. Imaginemos que Corea del Norte atacará, mediante el envío de un virus, cientos de sistemas informáticos de hospitales infantiles en Corea del Sur. En este supuesto, ¿se aplicarían o no las normas del derecho internacional humanitario? Este es el tipo de preguntas que aún están por resolverse en materia de derechos humanos y ciberseguridad.
En conclusión, la militarización del ciberespacio muchas veces conlleva que no se tomen en cuenta aspectos tan esenciales de la ciberseguridad como lo son la privacidad de los ciudadanos o que Internet siga siendo un espacio seguro para expresar opiniones.
Lección Rápida: La situación de la ciberseguridad en Estados Unidos
Debido al impacto de las acciones americanas con relación a vigilancia y privacidad de americanos y no-americanos, creemos importante que los participantes de este curso tengan un mínimo conocimiento del sistema de ciberseguridad de los Estados Unidos. Estados Unidos también coopera y sirve de ejemplo para muchos países que ahora desarrollan sus sistemas cyber, una razón más para esa sesión.
Existen en Estados Unidos distintos organismos federales que se ocupan de desarrollar e implementar políticas sobre ciberseguridad. Entre estos se incluyen el Departamento de Seguridad Nacional (Department of Homeland Security, DHS), que tiene entre sus responsabilidades proteger la infraestructura crítica, combatir el ciberdelito y difundir información sobre amenazas cibernéticas; la Estrategia Cibernética del Departamento de Defensa para la protección de redes, sistemas e intereses nacionales frente a posibles ciberataques; y la Estrategia Internacional para el Ciberespacio del Departamento de Estado, que apunta a intensificar la cooperación internacional en cuestiones cibernéticas.
En la Evaluación de Amenazas Mundiales de 2015 efectuada por la Comunidad de Inteligencia de los Estados Unidos (United States Intelligence Community), las amenazas cibernéticas fueron reconocidas como uno de los máximos riesgos a la seguridad nacional y económica estadounidense. A fin de abordar las crecientes amenazas e intrusiones cibernéticas en infraestructura crítica, el presidente Obama dictó el Decreto Ejecutivo 13636 para mejorar la ciberseguridad de infraestructura crítica y desarrollar marcos y reglamentaciones en esta área. Esto tuvo como resultado la creación del Marco para una Mayor Ciberseguridad de Infraestructura Crítica (Marco NIST), un conjunto de estándares y mejores prácticas del sector para ayudar a organizaciones a gestionar los riesgos de ciberseguridad. El presidente Obama también adoptó el Decreto Ejecutivo 13691 para promover el intercambio de información sobre ciberseguridad y facilitar la colaboración entre los sectores público y privado.
En los últimos años, el Congreso estadounidense también ha presentado una variedad de proyectos legislativos sobre ciberseguridad, como la Ley de Intercambio y Protección de Ciberinteligencia (Cyber Intelligence Sharing and Protection Act, CISPA) y la Ley sobre Intercambio de Información de Ciberseguridad de 2015 (Cybersecurity Information Sharing Act, CISA) para impulsar la ciberseguridad17 en Estados Unidos, entre otras medidas, a través de un mayor intercambio de información sobre ciberamenazas18.
Note que ambos proyectos legislativos encontraron fuerte resistencia entre defensores del derecho a la privacidad, investigadores independientes e importantes empresas de tecnología, que manifestaron su preocupación de que estas normas iban a favorecer autorizaciones excesivamente amplias para la provisión de datos sobre usuarios entre empresas privadas y el gobierno estadounidense, sin garantías suficientes de debido proceso ni de la privacidad.
Si bien la CISPA no avanzó más allá de la Cámara de Representantes, el anteproyecto bipartidista CISA fue aprobado por el Senado en octubre de 2015. Muchos de los elementos de la CISA luego se promulgaron en diciembre de 2015, como parte de una partida de gastos federales que ascendió a USD 1 billón. Posteriormente, fue denominada Ley de Ciberseguridad de 2015 (Cybersecurity Act o Cyber Act), y tuvo como “propósito crear un proceso de intercambio voluntario de información sobre ciberseguridad, que instará a entidades del sector público y privado a compartir información sobre ciberamenazas, sin obstáculos legales ni la amenaza de litigios infundados, a la vez que protegerá la información privada”.
Numerosas organizaciones de defensa de derechos civiles en EE. UU. consideran que la legislación aprobada constituye una “falla en materia de privacidad y ciberseguridad (...) que podría socavar gravemente la seguridad de los datos y la ciberseguridad en general”. Como parte de la implementación de la Ley de Ciberseguridad, el Departamento de Seguridad Nacional y el Departamento de Justicia han redactado las Directrices Preliminares sobre Privacidad y Libertades Civiles, aplicables a la recepción, retención, utilización y difusión de indicadores sobre amenazas cibernéticas por parte de organismos gubernamentales.
Además del intercambio de información, la legislación incluye disposiciones para reforzar la seguridad del sistema de redes e información del gobierno, efectuar evaluaciones del personal federal dedicado a ciberseguridad y elaborar informes y estrategias sobre cuestiones relativas a ciberseguridad. Las principales agencias que participan en la implementación de la Ley de Ciberseguridad son el Departamento de Seguridad Nacional, el Departamento de Defensa, la Oficina del Director de Inteligencia Nacional y el Departamento de Justicia. Asimismo, la legislación designa al Centro Nacional de Ciberseguridad e Integración de las Comunicaciones del DHS como nodo central para el intercambio de información entre distintos sectores y en forma multidireccional.
A fin de profundizar estos esfuerzos, en febrero de 2016 el Gobierno de Obama anunció un Plan de Acción Nacional de Acción sobre Ciberseguridad (Cybersecurity National Action Plan, CNAP), que procura definir un programa a largo plazo para incrementar el nivel de ciberseguridad en el gobierno federal y en el ecosistema digital en general. Esto incluye modernizar los sistemas de TI federales, en particular los del DHS (el principal organismo que encabeza estos esfuerzos), reformar el modo en que el gobierno gestiona y responde a las amenazas cibernéticas, e invertir en educación sobre ciberseguridad. Se trata de áreas de inversión sumamente vastas, sobre todo tomando en cuenta la intrusión informática a la Oficina de Gestión de Personal que ocurrió en septiembre de 2015, considerada una de las violaciones de datos gubernamentales más graves de la historia, y que puso en riesgo información sensible de 5,6 millones de empleados federales. Asimismo, desde 2010, la Oficina de Rendición de Cuentas del Gobierno de EE. UU. efectuó cerca de 2.000 recomendaciones al Congreso para que se mejore la ciberseguridad a nivel federal.
Para poder cumplir con este programa ambicioso, el presidente Obama pidió que el Congreso incrementara en USD 19.000 millones el presupuesto de ciberseguridad para el año fiscal 2017. No obstante, la mayoría republicana en el Congreso rechazó en su totalidad la propuesta de presupuesto anual presentada por el Presidente, incluida la intención de aumentar un 35 por ciento el gasto en ciberseguridad. Aun así, aparentemente sería posible conseguir apoyo bipartidista a un mayor financiamiento de los esfuerzos en materia de ciberseguridad, y pareciera que el Congreso estaría dispuesto a financiar un monto menor.
En febrero de 2016, el presidente Obama también firmó un Decreto Ejecutivo para crear una Comisión de Mejoramiento de la Ciberseguridad Nacional (Commission on Enhancing National Cybersecurity), que estará integrada por expertos en temas de privacidad, ciberseguridad, gobernanza y estándares de Internet, economía digital y seguridad nacional19. Se espera que, para el 1 de diciembre de 2016, esta Comisión de 12 miembros formule una serie de recomendaciones al Presidente sobre medidas que podrían adoptarse en la próxima década para fortalecer la ciberseguridad en los sectores público y privado. En un horizonte un poco más lejano, se prevé que las recomendaciones del CNAP y de la Comisión dependerán en gran medida de las acciones y consideraciones del gobierno entrante, una vez que concluya oficialmente el mandato del presidente Obama en enero de 2017.
Los defensores de derechos humanos y digitales deberán llevar a cabo un riguroso escrutinio de la implementación de estas medidas y trabajar activamente para asegurarse de que prevean sólidas protecciones y garantías de privacidad contra el intercambio excesivo de información.
17: Si bien el término “ciberseguridad” no se encuentra definido en la CISA, considera a un “objetivo de ciberseguridad” como aquel que pretende “proteger un sistema de información o la información que se encuentra almacenada en un sistema de información, o que es procesada o que pasa por tal sistema, frente a una amenaza para la ciberseguridad o una vulnerabilidad de seguridad”. Ver Artículo 102 (4) en pág. 695 https://www.gpo.gov/fdsys/pkg/BILLS-114hr2029enr/pdf/BILLS-114hr2029enr.pdf
18: Conforme a la CISA, “amenaza a la ciberseguridad” significa “una acción, que no se encuentra protegida por la Primera Enmienda a la Constitución de Estados Unidos, en un sistema de información o a través de este, que podría redundar en un intento no autorizado de afectar la seguridad, disponibilidad, confidencialidad o integridad de un sistema de información o de información que se encuentra almacenada en un sistema de información, o que es procesada o que pasa por tal sistema”. La CISA excluye de la definición a cualquier acción que implique solamente una violación de las condiciones de servicio o los acuerdos de licencia para usuarios. Ver Artículo 102 (5) en pág. 696 https://www.gpo.gov/fdsys/pkg/BILLS-114hr2029enr/pdf/BILLS-114hr2029enr.pdf
19: La Comisión está compuesta por 12 miembros del sector privado, el gobierno de los EE.UU., y académicos, que fueron nombrados por el presidente Obama, pero no incluye representación de la sociedad civil. Para la lista completa de miembros, consulte: http://nist.gov/cybercommission/commissioner-list.cfm