Infraestructura crítica y ciberseguridad

Publicado el 4 de febrero en La Segunda

La Cámara de Diputados deberá discutir el proyecto de ley que permite al presidente ordenar a las Fuerzas Armadas resguardas ciertas infraestructuras críticas, sin la necesidad de decretar estado de excepción. Más allá de las consideraciones constitucionales, políticas y simbólicas, esto tiene una serie de consecuencias en materia de ciberseguridad. 

Desde la dictación de la Política Nacional de Ciberseguridad, la identificación, priorización y el establecimiento de resguardos especiales a las infraestructuras críticas relacionadas con el ciberespacio ha sido una prioridad de política pública y una aspiración transversal de los distintos actores que son parte del ecosistema digital.

El proyecto del ejecutivo echa por tierra esa expectativa, al establecer una definición excesivamente amplia de infraestructura crítica. Se entrega, de esta forma, al presidente de turno la facultad discrecional y carente de todo control para hacerse no sólo de los inmuebles que se busca proteger, sino también de sus equipos, sistemas y componentes.

Como bien ha señalado Daniel Álvarez, esto es inaceptable en términos de ciberseguridad, porque abre la puerta para que el poder político tome el control de cualquier red informática privada o de otro poder del estado, a través de un simple decreto. ¿Estarán dispuestas empresas como Google, Microsoft o Apple a invertir en Chile como polo de desarrollo digital si saben que sus redes, procesos tecnológicos y equipos pueden ser ocupados por el gobierno de turno por simple decreto?

Internet se ha convertido en la fuerza transformadora que modeló la entrada al siglo XXI justamente porque su esquema de gobernanza es multisectorial. Instituciones académicas, organismos internacionales, gobiernos, empresas y sociedad civil comparten distintos roles y responsabilidades, sin que ningún sector se pueda arrogar la capacidad de monopolizar la red de redes.

Avanzar hacia una identificación y resguardo de la infraestructura crítica -especialmente en materia digital- requiere de un debate ponderado, técnico y basado en la evidencia. Eso implica una aproximación desde la gestión de riesgos, estableciendo los controles y garantías que permitan enfrentar de forma conjunta los distintos riesgos y amenazas en el ciberespacio. Para ello se requiere fortalecer la cooperación entre distintos actores, no entregar atribuciones peligrosas y arbitrarias al poder estatal.

10 consejos de seguridad digital y verificado de la información para la crisis

Desde Derechos Digitales hemos ido acumulando una serie de herramientas y consejos para mejorar la seguridad digital y combatir la desinformación en tiempos de crisis. Acá van:

  1. Proteger la identidad de terceros

Si vas a sacar fotos o grabar videos de protestas y otros actos, es importante proteger la identidad de terceros para evitar que puedan sufrir represalias. Esto no corre para funcionarios de Carabineros, PDI, militares o autoridades, que por su cargo están sujetos a la legítima fiscalización de la ciudadanía.

Con ObscuraCam puedes ofuscar las caras de terceros y proteger su identidad. Para iOS puedes probar alguna de estas aplicaciones.

2. Elimina tus metadatos de las fotos que saques

Si eres un activista o periodista que busca entregar información o material audiovisual sensible de forma anónima , con la aplicación Scrambled Exif puedes borrar sus metadatos (lugar, fecha, dispositivo, etc).

3. Mensajería segura y cifrada

Si tienes que comunicar información sensible o tienes la sospecha de que puedes ser víctima de vigilancia estatal, la mejor aplicación de mensajería es Signal, no WhatsApp ni Telegram.

4. Usar VPN para hacer más segura tu navegación

Para ofuscar tu navegación, impedir que te geolocalicen o quede rastro de tu actividad hay muchos VPN (virtual private network), algunos pagados. El VPN de RiseUp.net es una buena alternativa. Si eres un activista o periodista y temes que estés siendo vigilado, te recomiendo usar TOR como navegador para buscar y compartir información o material sensible.

5. Comunicarte en caso de que corten internet

Todavía no sucede, pero en otros contextos de revuelta en América Latina han existido apagones de internet. Briar permite que te comuniques a través de Bluetooth o con routers encendidos sin internet. Lamentablemente, solo funciona en Android.

6. Cifrar mensajes de SMS

Si hay un apagón de internet, lo más probable es que dependamos de los SMS. ¿El problema? No están cifrados, lo que deja expuesta nuestra comunicación. Con Silence puedes arreglar ese problema. Es importante tener en cuenta que esto sólo cifra el contenido de la comunicación, pero no la identidad de quienes se están comunicando.

7. Respaldar sitios web

Si sospechas que pueden bajar tu página o un sitio web con información importante, disidente o de activistas con http://archive.org puedes hacer un respaldo permanente del sitio.

8. Respalda las fotos y videos que subes a redes sociales.

Si vas a subir algo, no solo lo dejes en Instagram, Facebook y Twitter. Respalda el archivo en Wikipedia para que el mundo sepa lo que está pasando

Si crees que pueden bajar videos o multimedia de redes sociales (por distintas razones) es una buena idea que los respaldes para volver a subirlos. El bot de Twitter @DownloaderBot cumple es función.

9. Cómo combatir la desinformación

  • Antes de compartir una foto, verifica a través de TinyEye que no sea antigua o sacada en otro contexto.
  • Revisa la fecha de las noticias que subes. Subir una noticia antigua en un contexto de crisis puede ser igual de contraproducente que subir algo falso.
  • Trata de compartir información de fuentes confiables y de primera mano. Para ello, ingresar a los sitios web o las cuentas oficiales de organizaciones que tengan un historial de credibilidad.
  • Nunca compartas una imagen acompañada de un texto sin que sean ultra, ultra oficiales. Es la forma más común de difundir desinformación en aplicaciones de mensajería y redes sociales.
  • No difundas audios de WhatsApp. Nunca se sabe quien lo grabó ni con qué intención.
  • No le des retweet a cuentas con fotos de perfil genéricas, muy pocos seguidores y que fueron creadas recientemente, pueden ser bots.
  • Si un video usa gestor de voz (un narrador que claramente es un programa), entonces es muy posible que se trate de propaganda, información sesgada o derechamente falsa.
  • Si eres joven, es particularmente importante que le expliques esto a tus cercanos que son mayores. Muchas veces no entienden cómo funciona la tecnología o las dinámicas de las redes sociales.

10. Recomendaciones adicionales

  • Es importante bloquear los celulares con clave, nadie te puede exigir desbloquearlo sin orden judicial.
  • Apagar el GPS del celular no evita que se calcule tu ubicación. Esta todavía se puede estimar a través de la triangulación de antenas de telefonía.
  • Activa la verificación de dos pasos en todos tus dispositivos. Esto es parecido al pinpass del banco, que te exige una medida de seguridad adicional a tu clave, por ejemplo, un código que te llegue por SMS al celular. De esta forma, un atacante no podrá acceder a ellos aunque obtenga tu contraseña. Puedes leer más en este enlace.
  • Si sientes que estás siendo vigilado o prefieres mantener tu anonimato, es totalmente legítimo que tapes tu rostro.

Peor que una filtración

Publicada originalmente el 13 de agosto de 2019 en La Segunda

La semana pasada un grupo de investigadores reportó haber detectado una importante filtración de datos. Un archivo con información de 14 millones de chilenos apareció en un repositorio en línea; incluyendo el nombre, RUT, domicilio, género y edad de los afectados.

Al investigar la fuente de la filtración, llegaron a la conclusión de que el SERVEL estaba almacenando esta información sin las debidas medidas de seguridad. Lo que no sabían, es que la información se publicó intencionalmente, porque la misma ley obliga al SERVEL a subir el padrón electoral a internet.

Para los estadounidenses parecía claro que debía tratarse de un error, la sola idea de poder conseguir el número de seguridad social (equivalente a nuestro RUT) de millones de personas sería un escándalo de proporciones en su país. Sin embargo, en Chile lo tenemos completamente naturalizado.

Como sociedad no le hemos tomado el peso al hecho que -para todos los efectos prácticos- el RUT, nombre y dirección de todos los chilenos es un dato público. Hoy cualquier base de datos que se quiera construir para perfilar usuarios, cruzar información o generar listas negras tiene como base los datos facilitados por el SERVEL. 

La justificación para publicar el padrón es que exista una adecuada fiscalización por parte de la ciudadanía. Sin embargo, esto no implica que los datos personales de todos los habitantes del país tengan que publicarse en línea.

Otros mecanismos de fiscalización del padrón pueden alcanzar el mismo objetivo sin vulnerar los derechos de la ciudadanía. Por ejemplo, se puede entregar acceso a partidos políticos, investigadores o ciudadanos interesados, pero exclusivamente en una red cerrada en las dependencias del SERVEL o se pueden entregar en formatos que no permitan su procesamiento masivo.

No enmendar el rumbo en esta materia puede tener gravísimas consecuencias en términos de ciberseguridad y protección de datos personales. El mundo está entrando en la era del Big Data, la inteligencia artificial y tratamiento algorítmico de bases de datos. Este futuro nos encontrará mal preparados si lo recibimos con la mentalidad de que un país entero tiene que vivir en una casa de cristal.   


En defensa de los dispositivos idiotas

Publicada originalmente el 15 de marzo de 2019 en La Segunda

La implementación de los nuevos medidores eléctricos ha generado un importante debate público en torno a las alzas que podrían generar y a quién le corresponde asumir esos costos. Sin embargo, un aspecto importante de estos dispositivos “inteligentes” ha sido dejado de lado: el potencial que tienen para perfilar nuestros hogares.

Existe evidencia de que -con una frecuencia de medición de 15 minutos- es posible inferir la rutina y el comportamiento de una familia, como los horarios en que los ocupantes están en casa, sus hábitos, sus días de vacaciones o incluso aspectos más sensibles sobre la vida privada de las personas. 

Más allá de los nuevos medidores, constantemente le damos la bienvenida a nuestros hogares a nuevos aparatos “smart”: desde sistemas de alarma a refrigeradores, relojes inteligentes y termostatos; cada vez adoptamos más dispositivos que están permanentemente conectados a internet. Esto tiene el potencial de facilitar y hacer mucho más cómodas nuestras vidas, pero también aumenta el riesgo de que estos aparatos y nuestra intimidad se vean comprometidos.

Distintos televisores inteligentes escuchan la conversación de sus usuarios en búsqueda de ciertos términos que permitan enviar publicidad personalizada. Otras empresas inescrupulosas han sido sorprendidas instalando micrófonos en sus productos sin informar al consumidor, incluso recolectando información sensible de menores de edad. Abarrotar nuestra cotidianidad de sensores y cámaras ha significado confiar en que estos distintos desarrolladores no harán un mal uso de la información que recolectan.

Además, hay un aspecto de seguridad asociado a estos aparatos, ya que suelen usar sistemas operativos muy simples, rara vez son actualizados y su mantenimiento se abandona al poco tiempo. El estar conectados a internet los hace blanco fácil para delincuentes informáticos, que aprovechan las vulnerabilidades de estos dispositivos para infectarlos y tomar control de ellos.

¿Por qué un hacker querría tomar control de mi refrigerador inteligente? Básicamente para utilizarlo como palo blanco en ataques cibernéticos de gran escala, generando “botnets” de hasta cientos de miles de aparatos comprometidos que se usan para ataques de denegación de servicio (DDoS) y otras actividades maliciosas.

Es por ello que la próxima vez que queramos adquirir un aparato doméstico vale la pena preguntarse ¿realmente es necesario que esté conectado a internet?

La zanahoria y el garrote digital

Publicado originalmente el 4 de febrero de 2019 en La Segunda

En menos de una semana nos enteramos que una lista con 773 millones de correos electrónicos y contraseñas fue filtrada por Internet, que siete años de documentos del FBI fueron hallados en línea y que la consulta comunal del Parque Padre Hurtado expuso los datos personales de todos quienes participaron en el proceso.

La pregunta obvia es ¿por qué se siguen filtrando nuestros datos? En simple: porque los responsables de resguardar esos datos no pagan las consecuencias. El daño reputacional suele no ser permanente; Equifax, Uber, Dropbox y otras empresas que han sufrido filtraciones de millones de datos de usuarios siguen operando sin problema y sus acciones no sufrieron una merma sostenida en el tiempo. 

Se hace necesario entonces contar con incentivos (garrotes) y estímulos (zanahorias) que permitan enfrentar el problema. Partamos por el garrote: la regulación debe imponer sanciones realmente  disuasivas y que no puedan contabilizarse en su estructura de costos. En la Unión Europea pueden establecerse multas de hasta un 4% de los ingresos anuales de la empresa, un claro incentivo para tomarse la seguridad de los datos en serio.

Ahora, ¿cuántas filtraciones existen de las cuales nunca nos enteramos? Entra en juego la zanahoria. Actualmente existen incentivos perversos para evitar que se hagan públicas las filtraciones de datos. Esto es complejo porque si una organización descubre una filtración de datos y no avisa a sus pares, nadie sale beneficiado.

A nivel comparado se ha avanzado en establecer la obligatoriedad de reportar incidentes informáticos, tanto a la autoridad como eventualmente a las personas afectadas. De esta forma, otros actores saben cuando una falencia en el sistema que utilizan es descubierta y pueden prevenir similares ocurrencias, pasando de la lógica del “sálvese quien pueda” a un círculo virtuoso de compartir información y permitir la prevención.

En Chile se ha avanzado en la obligación de reportar incidentes en instituciones financieras y organismos públicos. El proyecto de ley de datos personales propone una figura similar y lo extiende a cualquier responsable de bases de datos. Lamentablemente, el proyecto aún no sale del Senado (restando aún la Cámara de Diputados) a pesar de haber sido presentado hace casi dos años.

Por una ley de delitos informáticos que proteja y respete los derechos de las ciudadanas en internet

Publicado originalmente el 8 de noviembre de 2018 en Derechos Digitales

Esta semana ingresó al Senado de Chile, a través del Boletín 12192-25, el tan esperado proyecto de ley que modifica la legislación sobre delitos informáticos y deroga la actual Ley 19.223. El proyecto también busca cumplir con los compromisos internacionales adquiridos por Chile al ratificar el Convenio de Budapest, instrumento internacional que busca homogeneizar la regulación de los delitos informáticos a nivel internacional y mejorar la capacidades de colaboración de los distintos países en la persecución del crimen en línea.

El proyecto de ley se presenta como una oportunidad para subsanar las falencias que la doctrina y la jurisprudencia han apuntado hace más de una década en materia de delitos informáticos. Sin embargo, el proyecto en su forma actual desperdicia las oportunidades de flexibilidad en la implementación del Convenio de Budapest, para que la regulación de los delitos informáticos se pueda promover la seguridad de las personas en línea y a la protección de sus derechos fundamentales.

En los siguientes párrafos nos enfocaremos en tres elementos particularmente problemáticos del proyecto que, sin ser los únicos y más allá del perfeccionamiento de la técnica legislativa, requieren un cambio sustantivo de aproximación durante el debate legislativo, para que las normas que se aprueben protejan efectivamente a las personas y el ejercicio de sus derechos en línea.

Ausencia de una regulación que garantice la legalidad de las investigaciones de seguridad informática

La capacidad para formar, capacitar y entrenar a profesionales dedicados a la seguridad informática se ha transformado en una prioridad de los países que buscan mejorar la ciberseguridad de su industria local, del aparato público y sus ciudadanos. Es por ello que la detección y el reporte de vulnerabilidades informáticas se han transformado en actividades que los Estados se han propuesto promover, al punto en que ciertas industrias han prometido premios en dinero a aquellos que detecten y reporten dichas vulnerabilidades en sus sistemas.

Para cumplir su labor, los expertos de seguridad informática deben contar con la certeza de que su actividad es lícita y de que no serán perseguidos por su actuar de buena fe y en función del interés público. Lamentablemente, la tipificación del delito de acceso ilícito del proyecto está redactada de forma que abre la puerta para la criminalización de esta actividad necesaria y deseable.

El artículo 2 del proyecto solo exige que el acceso a un sistema informático se haga de forma indebida, independiente de si este acceso se realiza de buena o mala fe, o con la intención de apoderarse o conocer indebidamente la información ahí contenida. Al considerarse el requisito de “indebido” como sinónimo de “sin permiso”, el experto en seguridad informática que acceda a un sistema para probar la seguridad del mismo en búsqueda de vulnerabilidades estará cometiendo un delito, Incluso si su actividad es realizada de buena fe y con la intención reportar la vulnerabilidad al administrador del sistema.

El proyecto también establece que vulnerar, evadir o transgredir medidas de seguridad informática para lograr dicho acceso constituye una agravante para la comisión del delito. Sin embargo, esta agravante debería ser en realidad un requisito del delito de acceso ilícito, ya que no puede existir un delito informático si el perpetrador no ha superado algún tipo de barrera técnica. De lo contrario, la simple infracción de una obligación contractual o de los términos y condiciones de un sitio web pasarían a constituir un delito castigado por la ley, desnaturalizando el bien jurídico protegido de los delitos informáticos y entregando menos incentivos para que los actores del ecosistema digital establezcan medidas de seguridad efectivas para sus sistemas.

Para subsanar estas imprecisiones y evitar que la legislación criminalice a quienes se dedican profesional o voluntariamente a mejorar la seguridad de los sistemas informáticos, se hace necesario que el delito de acceso ilícito tenga como requisito un componente volitivo que apunte a la mala fe de la acción. Del mismo modo, es necesario que el proyecto defina qué entiende por “indebidamente”, aclarando que la mera infracción de obligaciones contractuales o términos y condiciones no son suficientes para cumplir esta condición. Por último, la superación de una barrera técnica debe ser un requisito del tipo penal y no un agravante del mismo.

El problema de cifrado

El cifrado de punto a punto es una tecnología clave para promover la seguridad de los sistemas, la inviolabilidad de las comunicaciones y la privacidad de las personas. El rol del cifrado de punto a punto en la promoción de la ciberseguridad es tal que la Política Nacional de Ciberseguridad chilena explícitamente llama a promover su adopción como forma de mejorar la resiliencia de los sistemas de tratamiento de la información.

Sin embargo, el proyecto se encuentra mal encaminado en esta materia al establecer que el uso de tecnologías de cifrado se considerará como un agravante de cualquiera de los delitos contenidos en la ley, en la medida que tenga por principal objetivo obstaculizar la acción de la justicia. Esta propuesta es preocupante por varias razones.

En primer lugar, criminalizar el cifrado atenta contra el principio de derecho penal que considera no condenable el auto encubrimiento. Castigar el que la persona oculte su identidad, acción que formaría parte de la comisión del ilícito, equivale a castigarlo por no favorecer su propia persecución penal. A lo anterior se suma la dificultad que implicaría el discernir cuando una tecnología es utilizada “principalmente” para obstaculizar a la justicia, en particular -como veremos a continuación- cuando el cifrado se ha transformado en el estándar para la industria a nivel global para garantizar la mayor protección de las personas en sus comunicaciones. En tal sentido, en un futuro inmediato simplemente será imposible cometer un delito informático sin haber utilizado alguna forma de tecnología que involucre cifrado. Así, la redacción del proyecto implicaría que todos los delitos informáticos estarían -por defecto- agravados por esta causal.

Más allá de la deficiencia de técnica legislativa y la perspectiva del interés jurídico por la mayor protección de las personas en el uso de las tecnologías, a cuya protección está orientada la ley de delitos informáticos, la criminalización de la utilización del cifrado de punto a punto va en el sentido inverso a dicho interés, colocando un severo desincentivo a las empresas y proveedores de tecnología que utilizan el cifrado como un elemento que mejora la seguridad de las personas y los sistemas informáticos, lo que es necesario promover y no desincentivar, como lo reconoce la Política Nacional de Ciberseguridad y la Resolución sobre Promoción, protección y disfrute de los derechos humanos en Internet de las Naciones Unidas.

Retención de metadatos: el fantasma del Decreto Espía

Actualmente las empresas proveedoras de internet tienen la obligación de almacenar y tener a disposición del Ministerio Público un listado actualizado anualmente de los números IP involucrados en las conexiones que realicen sus clientes. Esto implica que las empresas de internet tienen que crear gigantescas bases de datos con los datos de tráfico de las comunicaciones (o metadatos) de todos sus usuarios.

Los metadatos son, como su nombre lo indica, “datos sobre un dato”. No se trata del contenido de la comunicación, sino de la información que acompaña a dicha comunicación: fecha, hora, duración, geolocalización, intervinientes e información del dispositivo. Si bien los proponentes de las políticas de retención de metadatos tratan de convencernos de que se trata de información inofensiva, que no tienen el carácter de dato personal, lo cierto es que el análisis de la información de tráfico agregada de una persona permite inferir elementos sensibles como sus rutinas, hábitos, redes de interacción, sitios con los que interactúa, perimitiendo inclusopredecir su comportamiento.

Es por ello que en 2014 la Unión Europea declaró inválida la directiva sobre retención de metadatos  por resultar desproporcionada, al aumentar innecesariamente la capacidad de vigilancia del Estado y vulnerar los derechos de las personas. Del mismo modo, las políticas de retención de metadatos invierten el principio de inocencia: se recolecta información sensible de toda la población ante la posibilidad de que alguno de nosotros cometa un crimen y esa información hipotéticamente pudiese resultar útil en un proceso penal. Se nos trata a todos como sospechosos hasta que demostremos lo contrario, contraviniendo lo establecido en el artículo 4 de nuestro código de procedimiento penal.

Por último, la retención de metadatos es contradictoria con la finalidad buscada por la ciberseguridad. La ciberseguridad se trata de generar la condiciones para que las personas estén más seguras en el uso del ciberespacio. La retención de metadatos no solo es una medida desproporcionada que aumenta los costos de las empresas de internet, sino que implica que estas tendrán que almacenar innecesariamente el historial de nuestras comunicaciones. Estos datos sensibles serían expuestos innecesariamente a ser mal utilizados por quienes los almacenan o robados por delincuentes informáticos. Se trata, en definitiva, de una medida técnico-organizativa contraria a la ciberseguridad.

En Chile ya tuvimos una amplia discusión pública sobre las consecuencias adversas de la implementación de este tipo de medidas el año 2017, cuando se discutió la eventual aprobación del llamado Decreto Espía. Esta iniciativa fue rechazada por la Contraloría e incluso fue rechazada por actores de la academia, la sociedad civil, la comunidad técnica y de todo el espectro político.  

Sin embargo el proyecto de ley busca, en definitiva, aprobar los principales elementos contenidos por el Decreto Espía a través de la ampliación de la definición de “datos relativos al tráfico” para incluir información no contemplada hoy en nuestra legislación, incluyendo la localización de las comunicaciones. Del mismo modo, el proyecto pretende extender el período de retención de datos de tráfico de uno a dos años -al igual que el decreto espía- y mantiene que este sería un período mínimo y no máximo.

Las políticas de retención de metadatos han demostrado ser ineficaces para el combate del delito, vulneratorias de los derechos fundamentales de las personas, costosas para la industria, contrarias a los principios de ciberseguridad y han sido consistentemente cuestionadas en diferentes jurisdicciones alrededor del globo. Es por ello que su propuesta no debería tener lugar en un proyecto de ley que busca generar las condiciones para mantener la seguridad de las personas.

Aún estamos a tiempo

La buena noticia es que en el proceso legislativo existe la oportunidad de enmendar el rumbo del proyecto de ley y que se ingresen las enmiendas necesarias para subsanar sus falencias. Es labor de los parlamentarios modificar la iniciativa de forma tal que se eliminen sus elementos contradictorios y se perfeccionen todos aquellos que requieren ser afinados.

El Convenio de Budapest otorga a los países la flexibilidad necesaria para que implementen sus obligaciones de una manera consistente con el ejercicio de los derechos fundamentales. Es responsabilidad del gobierno y de los parlamentarios aprovechar esa flexibilidad para legislar protegiendo los derechos de los ciudadanos, un compromiso fue expresamente afirmado en la discusión parlamentaria sobre la ratificación del Convenio de Budapest, tanto en la comisión de relaciones exteriores de la Cámara como del Senado. El ejecutivo se comprometió a que la implementación del Convenio de Budapest no iba a significar un debilitamiento de los estándares procesales, derechos y garantías al interior del proceso penal. Algunos parlamentarios, como el diputado Vlado Mirosevic, incluso condicionaron su voto a dicho compromiso explícito.

Esperamos que el ejecutivo honre la palabra empeñada y se abra a modificar el proyecto a fin de que este cumpla su objeto de proteger los derechos de los ciudadanos en el ciberespacio.