La cantidad de datos personales y de información que los ciudadanos subimos a Internet convierte en preocupante la vigilancia de las comunicaciones que practican los gobiernos. Programas como el recientemente destapado en Estados Unidos, Prism, hacen preguntarse sobre lo que los países pueden hacer y especialmente sobre lo que ya están haciendo, pasando desapercibidos.
Un informe de la Asamblea de Naciones Unidas (PDF) fechado el 17 de abril de 2013 destaca la facilidad tecnológica existente en la actualidad para vigilar las comunicaciones. Existen herramientas para monitorizar el tráfico web, así como las llamadas y los mensajes de texto. De la misma manera se puede intervenir la red de individuos concretos, teniendo acceso a sus datos y conexiones privadas. También señala que ha sido una ambición de los estados desde hace tiempo el interceptar este tipo de comunicaciones.
Los argumentos de la seguridad nacional y la lucha contra el crimen son los más recurrentes para justificar cambios en las legislaciones que permitan la vigilancia. El documento de la ONU reconoce la importancia que pueden tener estas comunicaciones para los propósitos anteriores. Pero las leyes que regulan la intervención de los estados en el control de Internet suelen ser inadecuadas o inexistentes. “Los marcos legales inadecuados a nivel nacional crean un suelo fértil para violaciones arbitrarias e ilegales del derecho a la privacidad en las comunicaciones. Y, consecuentemente, también amenazan la protección del derecho a la libertad de opinión y de expresión”, destaca el informe.
El caso de Prism es el último conocido y uno de los más polémicos debido a la magnitud del espionaje. También por su capacidad para llegar a ciudadanos de fuera de Estados Unidos. Pero es especialmente grave por la implicación de compañías tecnológicas tan populares como Google, Facebook o Apple. Al principio negaron su colaboración, pero poco a poco han ido revelando que atendieron a las solicitudes de información. Sin embargo, el caso de Estados Unidos no es una excepción. Tal vez su red de espionaje cuente con más recursos y experiencia que la mayoría de países, pero la vigilancia de la Red se produce en muchos lugares.
Europa: algo más que retención de datos
La Unión Europea aprobó en 2006 la Directiva de Retención de datos, mediante la cual se obliga a los proveedores de telecomunicaciones a conservar información de la actividad de sus clientes durante un periodo entre seis meses y dos años. Los números de teléfono de las llamadas, direcciones IP, localización, destinatarios de correos electrónicos y otros detalles para identificar las comunicaciones de los usuarios, así como su duración, pueden estar a disposición de las autoridades si lo necesitan.
Muchos países complementaron esta directiva con legislaciones nacionales. Incluso algunos de fuera de la Unión Europea, como Serbia e Islandia, han adoptado leyes basadas en este modelo. En España, el texto procedente de Bruselas se concretó en la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. En ella se exige a los operadores que conserven una serie detallada de datos orientados a identificar a los sujetos que realizan una conexión, cuánto dura ésta, cuándo se produce y desde qué lugares.
En Alemania, Rumanía, República Checa, Chipre y Bulgaria ha habido tribunales que han declarado inconstitucionales las leyes que estos países promulgaron basándose en la directiva Europea. Juristas en el Parlamento Europeo han defendido que la normativa promueve la vigilancia de la sociedad y perjudica a los derechos humanos. Uno de los estados que más apoyó en su momento el texto legal europeo fue Reino Unido, con el respaldo de Estados Unidos.
En estos momentos en Reino Unido está en proceso de aprobación un proyecto de ley con una de las legislaciones más intrusivas que se han dado en telecomunicaciones. Joe McNamee, director ejecutivo de Edri.org, que lucha por los derechos digitales en la UE, explica que la ‘Communication Data Bill’ constituye la medida más alarmante que un país democrático ha propuesto. “Básicamente permite al estado acceder a múltiples bases de datos de compañías privadas, para generar perfiles de personas más detallados incluso que los que las propias compañías pueden producir. Por ejemplo, el estado podría obtener datos del perfil de Facebook, datos de localización del operador móvil, detalles de los contactos de email de un proveedor de correo”, señala.
En España también está pendiente una propuesta para reformar el Código Procesal Penal con el fin de poder introducir software espía en ordenadores personales, aunque tendría que autorizarlo un juez primero.
La excusa de la seguridad nacional
Uno de los argumentos que defendieron el establecimiento de la directiva europea fue la salvaguarda de la seguridad nacional y la lucha contra el crimen organizado. El debate y la posterior aprobación se produjeron tras los atentados del 11-M, el año 2004 en Madrid, y los del 7-J, en el 2005, en Londres. En Estados Unidos, el Patriot Act, que dota a las agencias del país de poderes más amplios de vigilancia para combatir el terrorismo, fue aprobado apenas un mes y medio después del 11-S.
Otros países también han utilizado este argumento para modificar endurecer sus legislaciones sobre vigilancia. En India, un mes después de los atentados de Bombay de 2008 se modificó la Ley de Tecnología de la Información. No hubo debate en el Parlamento. En 2011 se volvió a reformar la legislación y las autoridades obtuvieron capacidad para escuchar llamadas telefónicas, controlar los mensajes de texto y el tráfico web. Recientemente se ha puesto en marcha un sistema para centralizar toda la vigilancia. Instituciones como Hacienda o los servicios de inteligencia tienen acceso a esta información. Según Reporteros sin fronteras, India también lleva tiempo presionando a compañías como BlackBerry, Google o Skype para que le den acceso a las comunicaciones que realizan sus usuarios.
Otro de los países que esgrime la seguridad nacional para controlar las redes es Rusia. El servicio federal de supervisión de las comunicaciones y la tecnología de la información (Roskomnadzor) está lealmente capacitado para llevar a cabo una monitorización a gran escala. Esta autoridad admite la instalación de software online para identificar contenido que se considere “extremista”. Su política traspasa fronteras, ya que Kazajstán o Bielorrusia se ven influenciados por ella.
La institucionalización de la vigilancia
El país que tiene más organizada la vigilancia de las redes es China. Es obligación de las compañías locales, con una gran participación estatal, controlar sus redes. La intención es impedir que proliferen mensajes contrarios al régimen y para ello se practica una censura permanente. Donde más se dejan notar estas acciones quizá sea en Weibo, el Twitter chino, en el que se suprimen comentarios caso a tiempo real con ayuda de más de 4.000 censores. Además, desde marzo de 2012 los usuarios de microblogging tienen que registrarse bajo su verdadero nombre y dar su número de teléfono.
Esta obligación de certificar la identidad real también se ha establecido para los usuarios de WeChat (el WhatsApp chino), que deben dar su número de DNI, número de móvil y enviar una fotocopia de su DNI, según el informe Enemigos de Internet 2013, de Reporteros sin Fronteras. Desde Citizen Lab detectaron la presencia de servidores de tipo PacketShaper, que identifican y controlar el tráfico web, construidos por la empresa especialista en vigilancia de redes Bluecoat.
La situación no es tan grave en Irán, pero el modelo de control tiene similitudes. La legislación establece que se puede monitorizar el correo electrónico, las conversaciones VoIP y los chats. Las páginas requieren una licencia de la Telecommunication Company of Iran (el proveedor de Internet mayoritario, controlado parcialmente por el Estado) y los blogs otra del Ministerio de Cultura y Orientación Islámica. En enero de 2013 las autoridades anunciaron que estaban creando una tecnología para monitorizar mejor las redes sociales, cuya utilidad para organizar protestas políticas ha quedado de manifiesto durante los últimos años. Las compañías chinas Huawei y ZTE proporcionan servicios de DPI (deep packet inspection) a proveedores iraníes, para que puedan interceptar las comunicaciones de los usuarios.
Las otras consecuencias de la Primavera Árabe
La apertura que trajo la Primavera Árabe también ha motivado a los gobiernos de la región a afianzar su control sobre la población. Dado que uno de los vehículos de difusión más destacados de las protestas fue Internet, la vigilancia de las redes se ha incrementado considerablemente. En Bahréin, el régimen de la familia real filtra el contenido online, evitando que estén accesibles temas como la pornografía, pero también las opiniones políticas o religiosas que no comulgan con el Gobierno.
Los servicios de inteligencia controlan a los miembros de la oposición y disidentes a través de las redes sociales, según la información de Reporteros sin Fronteras. El régimen utiliza los servicios de tres de las compañías más famosas por sus productos para vigilar las redes: Blue Coat, Gamma y Trovicor. La segunda de ellas estaría en tratos con Egipto para venderle su suite de spyware FinFisher, aunque según la empresa aún no se ha firmado ningún acuerdo.
La guerra civil en Siria ha permitido al Gobierno de Bachar Al Asad actuar con impunidad en lo que se refiere al control de Internet. El filtrado de contenido y la monitorización de las comunicaciones están a la orden del día. Se han descubierto servidores de Blue Coat que utilizan técnicas de DPI para analizar las actividades de los usuarios sirios. El régimen controla a la Syrian Telecommunications Establishment (STE) y a la Syrian Computer Society (SCS), proveedores de conexiones fijas a Internet y de la red 3G, respectivamente.
Espionaje político fuera de la ley
Se han descubierto casos de otros países cuyo principal objetivo parece ser espiar directamente a la oposición política. Para ello han utilizado tácticas propias del cibercrimen, como el envío de troyanos. Hauke Gierow, responsable del área de libertad de Internet en Reporteros sin Fronteras Alemania, apunta a la implicación de la compañía alemana Gamma International. “Se ha informado de casos sobre periodistas y activistas que han sido espiados en Etiopía, presuntamente usando software intrusivo alemán”, explica.
Citizen Lab ha detectado malware avanzado que utiliza imágenes de miembros de un grupo de la oposición (Ginbot 7) como anzuelo. Se identificó el producto FinSpy, de la compañía Gamma. También se ha descubierto software espía en el ordenador de un miembro de la disidencia de Angola. Se identificó cuando se encontraba en una conferencia anual sobre derechos humanos, en Oslo, durante un taller de formación para enseñar a los asistentes a protegerse de la vigilancia de los gobiernos.
Los cambios de leyes en Latinoamérica
En América Latina algunos países están modificando sus legislaciones para dar cada vez más poder a las autoridades. En México, desde hace más de un año, la policía puede acceder a los datos de localización de los usuarios en tiempo real y sin necesidad de orden judicial. El gigante económico de la región, Brasil, también aprobó una norma que permite a la policía y a los fiscales exigir a los proveedores de Internet la información de registro de usuarios. Esto se puede producir mediante “una simple solicitud, sin orden judicial, en las investigaciones penales por lavado de dinero”, señala la activista de la Electronic Frontier Foundation (EFF) Katitza Rodríguez. Quien destaca la existencia de un proyecto de ley para ampliar esta medida a todos los casos de crímenes.
La situación en Colombia merece igualmente atención, tras la aprobación – sin debate público – de una legislación que recuerda al programa Prism de Estados Unidos. “El 15 de agosto de 2012, el Ministerio de Justicia y Tecnología de Colombia expidió el Decreto 1704 para obligar a los proveedores de telecomunicaciones, incluyendo los proveedores de servicios de Internet, a crear puertas traseras que harían más fácil a la policía espiar a los colombianos”, indica Rodríguez.
El marco legal como arma
El derecho internacional establece unos límites dentro de los cuales un estado legalmente puede restringir el derecho a la vida privada de sus ciudadanos de forma excepcional. Para ello es necesario que la vigilancia de las comunicaciones esté prevista por ley. Ésta debe tener un nivel de claridad y precisión suficiente para garantizar que las personas conozcan por adelantado la restricción y que se pueda prever su aplicación. La ejecución de este control tiene que ser estrictamente necesaria para alcanzar un objetivo legítimo y no se debe emplear si existen técnicas menos invasivas o no se han agotado otras vías para obtener información.
“El problema que vemos es que los Estados están adoptando normas que no cumplen con estos principios. Más bien, varias normas permiten la vigilancia masiva de las comunicaciones de todas las personas en un país. Es decir la vigilancia masiva de todo ciudadano ordinario y no sólo la vigilancia selectiva en base a una causa y una presunta responsabilidad que son sujeto de investigación”, argumenta Katitza Rodríguez. En su informe de abril de 2013 sobre derechos digitales, Naciones Unidas apunta que los marcos legales no están en consonancia con las nuevas tecnologías.
Los estados se están rigiendo por leyes antiguas y por marcos legales que no tienen en cuenta las posibilidades de las nuevas tecnologías. Éstas tienen un alcance mucho mayor de lo que las legislaciones anteriores se proponían. La falta de mediación judicial y las excepciones por casusas de seguridad nacional son preocupaciones destacadas que cita el informe de la ONU. La obligación de identificar a las personas que están detrás de los usuarios también se menciona. En muchos estados la legislación requiere registrar con su DNI . “En muchos estados, las leyes requieren la provisión de identificación en los cibercafés. En países en desarrollo muchas personas usan los cibercafés a menudo pues no cuentan con computadoras en sus casas”, denuncia Rodríguez.
El informe también hace referencia a la permisividad de las leyes con la vigilancia extraterritorial. Estados Unidos ampara desde hace tiempo el espionaje a ciudadanos de fuera de sus fronteras, pero otros países están empezando a legislar ahora en este sentido. El pasado diciembre de 2012 la Asamblea Nacional de Pakistán aprobó la Ley de Garantías Judiciales para poder actuar en el exterior. “Existe una tendencia alarmante hacia la ampliación de las competencias de vigilancia más allá de las fronteras territoriales, aumentando el riesgo de acuerdos de cooperación entre la policía estatal y las agencias de seguridad para permitir la evasión de las restricciones legales nacionales”, explica Rodríguez.
“Esto plantea graves preocupaciones con respecto a la comisión extraterritorial de violaciones de derechos humanos y a la incapacidad de las personas de saber que ellas que podrían ser objeto de una vigilancia extranjera”, declara Rodríguez, haciendo hincapié en lo diluido que queda el derecho a la defensa cuando el espionaje se produce desde fuera del país.
Foto: Henning Mühlinghaus