Foto: Pixabay

Imaginemos un pequeño país donde existe un Estado que utiliza la tecnología para vigilar a la ciudadanía. Este país está controlado por una élite que llegó al poder por la democracia y que hace mucho tiempo el poder dejó de ser el medio para mejorar la sociedad y se convirtió en el fin máximo. Un gobierno que no quiere soltar el poder quiere saber todo sobre su ciudadanía.

Las tecnologías de comunicación permiten a las y los ciudadanos de este pequeño país organizarse, pero también permite al gobierno vigilar a las disidencias e identificar actores claves. ¿Qué podría hacer la ciudadanía de este país para utilizar la tecnología sin que el Estado opresor conozca todos sus movimientos?

Lo primero que deberían hacer las personas de un país vigilado es tener nociones básicas sobre cómo funciona la tecnología. ¿Cómo viaja la información que se encuentra en nuestros teléfonos o computadoras? ¿Quién puede acceder a esta información? ¿Cómo protegerla de nuestros adversarios? Estas son algunas preguntas que deberíamos plantearnos.

Cuando la gente se conecta a Internet, la información viaja desde nuestro dispositivo a través del proveedor local de Internet. Este puede ser el proveedor de Internet fijo o de Internet móvil. Los proveedores podrían ser estatales o públicos, pero todos deberían obedecer el mandato del gobierno. En el caso de nuestro pequeño país, esto se traduce a lo que diga el presidente.

Tecnologías como llamadas telefónicas o mensajería sms son muy inseguras. Los proveedores de este servicio tienen la capacidad de grabar las llamadas o acceder a los mensajes de texto. Esto es algo que le gusta mucho al poder porque puede forzar a estas empresas a entregar las conversaciones de sus clientes.

La buena noticia es que no es necesario utilizar la telefonía móvil para hablar, aplicaciones como Signal, WhatsApp o Telegram permiten realizar llamadas y enviar mensajes seguros gracias al cifrado extremo a extremo. Este tipo de cifrado garantiza que la información que atraviesa por Internet sea solamente accesible para las personas que participan en la conversación.

Eso sí, hay que tener mucho cuidado con Telegram porque los mensajes de texto que no se cifran de manera segura de forma predeterminada, solo lo hacen cuando se inicia un “chat secreto” de forma explícita y no es tan evidente. Esto suele traer el problema de que la mayoría de personas no activan esta opción y además no se pueden cifrar las conversaciones grupales.

Entre las tres opciones mi recomendación sería utilizar Signal, aunque a veces no hay otra opción que usar WhatsApp, ya que es un proyecto de software libre gestionado por una organización sin fines de lucro que procura cuidar nuestra privacidad en lugar de lucrar con nuestros datos.

Algo importante cuando se usa telefonía celular es que la ubicación de los teléfonos móviles se reporta constantemente a los proveedores de telefonía, incluso si el teléfono no tuviera GPS. Esta es la forma en la que funciona la telefonía móvil y pasa en este país imaginario como en cualquier otro. Pero en este país que imaginamos el gobierno puede presionar a las operadoras para que entreguen la información y con eso podría saber dónde se ubican adversarios políticos, o incluso en un espectro más amplio puede conocer los patrones de movimiento de toda la población del país si llegaran a tener la capacidad de vigilar masivamente la ubicación de los teléfonos, algo que es tecnológicamente posible.

Tener el teléfono celular en nuestro bolsillo significa reportar nuestra ubicación. En ese caso hay que ser audaces y usar esta desventaja a nuestro favor. El gobierno puede monitorear la ubicación de los teléfonos, no de las personas. Si tengo una reunión con un grupo sensible, probablemente lo mejor sea dejar el teléfono en un lugar seguro lejos de donde es la reunión, incluso se puede enviar a pasear al teléfono por un lugar lejano a la ubicación donde nos queremos encontrar.

Tener conocimiento sobre los riesgos nos permite tomar decisiones informadas y sacar ventaja sobre nuestras desventajas. Mucha gente en riesgo suele llevar el teléfono a la reunión y al momento de hablar lo apagan. Esto tiene un problema porque desde el punto de vista del vigilante puede ver que 5 teléfonos que llegaron a la misma ubicación se apagaron a la vez y luego se encendieron a la vez. Esta información puede inducir al gobierno a creer que esas personas están teniendo una reunión importante.

Hasta ahora hemos visto cómo protegernos de un gobierno que es capaz de vigilar las redes por las que nos hemos comunicado. ¿Qué pasaría si nuestro teléfono cae en las manos equivocadas? La primera medida para proteger nuestra información es cifrar el contenido que tiene el teléfono. Esto lo hace cualquier teléfono moderno mediante la clave que utilizamos en el mismo. En ese sentido es importante evitar usar patrones que se dibujan con el dedo. La grasa de nuestros dedos deja huella que luego se puede seguir para desbloquear el teléfono. Un pin de al menos 6 dígitos es una mejor opción y una contraseña es todavía mucho más seguro.

La criptografía funciona con matemáticas y abrir nuestro teléfono será muy difícil si se tiene una contraseña segura. Sin embargo, en este país que imaginamos en esta historia el gobierno puede obligar a abrir el teléfono y las matemáticas no nos protegen de riesgos como la tortura. ¿Qué hacer en este caso?

Lo primero sería evitar llevar información sensible en un dispositivo que nos acompaña a todos lados. Hay otras formas seguras en las que podemos compartir información y evitar el riesgo de llevarla con nosotros. A pesar de esto es muy probable que sigamos teniendo información sensible en el teléfono. Por ejemplo nuestras conversaciones de chat.

En ese sentido es recomendable utilizar aplicaciones que permitan borrar nuestras conversiones de manera automática. Esto lo permiten aplicaciones como WhatsApp, Signal y los chats secretos de Telegram. No es lo mismo que el teléfono de un activista caiga en manos de un actor policial y tenga el historial de un día de conversaciones a que tenga años de las mismas.

Por último, la vigilancia masiva tiene otra cara de la moneda que es la censura. Si el gobierno de este país que imaginamos en esta columna tiene la capacidad de vigilar todos los sitios que la gente lee, entonces es fácil bloquearlos. Para protegernos tenemos herramientas como de sitios web, pero también de aplicaciones como Signal.

Para entender el funcionamiento de las VPNs podemos imaginar un túnel secreto y seguro por donde viaja la información. Este túnel se conecta desde nuestro dispositivo hasta un computador que se encuentra en otro país. De esta manera el tráfico de navegación se origina desde otro país y si el sitio está bloqueado localmente, no importa porque tecnológicamente se está accediendo desde otro país.

Tor funciona de manera similar pero con capas extras de seguridad. De manera muy simplificada podemos decir que en lugar de crear un túnel a otro país, crea 3 túneles ubicados en distintos países y de esta manera fortalece nuestra capacidad de anonimato y privacidad. La forma más común de usar Tor es a través del Navegador Tor en la mayoría de sistemas operativos, menos en IOs donde se recomienda Onion Browser. En el caso de Android también existe Orbot que permite hacer que otras aplicaciones viajen por estos 3 túneles de seguridad. Esto es útil si se bloquea una aplicación de mensajería.

En esta columna hemos imaginado un país con un gobierno totalitario con gran poder sobre las comunicaciones de la ciudadanía. Esto puede parecer abrumador y hacer que el miedo de la ciudadanía la haga resignarse al abuso del poder. Por otro lado, tener un entendimiento básico de la tecnología permite a la ciudadanía usarla a su favor y de esta manera tener la capacidad de organizarse, incluso con las capacidades de un Estado policial.

Publicado originalmente para el Confidencial de Nicaragua con apoyo de Derechos Digitales. También hay una versión adaptada por la Barra Espaciadora de Ecuador. 

El uso de la tecnología afecta la manera en la que funcionamos como sociedad. Por un lado, nos trae ventajas prácticas evidentes, pero también trae problemas como la invasión a la privacidad o la exposición a ataques digitales.

Mientras dependemos cada vez más del correo electrónico, las redes sociales y las aplicaciones de chat, se hace cada vez más difícil evitar participar en estos espacios. Aun así, podemos elegir cómo será nuestra participación y, hasta cierto punto, qué información entregaremos sobre nuestras vidas.

En materia de privacidad, son muchas las preocupaciones sobre el acceso a nuestra información que entregamos a las grandes empresas tecnológicas. Sin embargo, hay un ente del que no podemos escapar y que tiene en su poder mucha información sobre nosotros: el Estado.

Que el Estado tenga nuestros datos no es malo, en principio. Si en Ecuador no tenemos un número de cédula, no existimos. Si tenemos un empleo formal, nuestros datos son compartidos con en el Instituto Ecuatoriano de Seguridad Social (IESS). Las instancias de acceso a distinto tipo de información personal se multiplican. El acceso y procesamiento de nuestros datos personales por parte del Estado se hace necesario para brindarnos servicios esenciales.

Pero, sin los adecuados controles, ese acceso se puede prestar para graves abusos. Si bien ya contamos con la Ley de Protección de Datos Personales, esta todavía no se puede aplicar, y con la llegada de las tecnologías se permite un acceso –directo o indirecto– a datos aún más sensibles sobre nuestra vida privada. Por ejemplo, si llevamos un teléfono celular, el Estado ecuatoriano puede conocer nuestra ubicación.

El  acceso sin controles a este tipo de información por parte de fuerzas policiales es un motivo de preocupación, más aún por el potencial riesgo de que esa información caiga en manos del crimen organizado.

El 18 de diciembre de 2023, la fiscal general, Diana Salazar, fue entrevistada en Teleamazonas para hablar sobre el caso Metástasis, que revela vínculos del narcotráfico con funcionarios e instituciones del Estado. Se le preguntó a la fiscal si de los chats del narcotraficante Leandro Norero -que son parte medular del proceso- se pueden obtener indicios para saber quién dio la orden para matar al excandidato presidencial Fernando Villavicencio, y la fiscal aclaró que los chats corresponden a un período de entre mayo y octubre de 2022, un año antes de que el crimen tuviera lugar. Explicó, además, que Xavier Jordán -un personaje que lleva a cuestas un amplio historial delictivo y que es también investigado por la Fiscalía- le pidió a Norero seguir a Villavicencio. Ese seguimiento incluiría información sobre las actividades de Villavicencio, como fotos de su domicilio, de personas cercanas, y su ubicación. Específicamente dijo Salazar: “Lo más alarmante es que mucha de la información a la que accede Leandro Norero es producto de las bases de datos de la función pública. Por ejemplo, del sistema de ubicación del ECU-911 le envían la ubicación del teléfono celular [de Villavicencio].”

El 9 de agosto de 2023, Villavicencio fue asesinado por sicarios, en medio de la campaña electoral para los comicios del 20 de agosto.

El rastro sangriento de la vigilancia omnipresente

¿Cómo podía el ECU-911 acceder a la ubicación de Fernando Villavicencio? Los funcionarios de esta entidad estatal pueden conocer la ubicación de un teléfono celular basados en la distancia entre un dispositivo y las torres de comunicación o, incluso, en muchos casos, pueden acceder a la información del GPS del teléfono. Estos procedimientos deberían estar bajo el control de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel). Esto resultaría muy útil para atender emergencias como un accidente de tránsito o un hecho delictivo, pues permitiría enviar la ayuda necesaria con rapidez, para capturar delincuentes o actuar oportunamente en casos de secuestros. Todos estos fines son legítimos.

Pero, ¿qué pasaría si la información de ubicación cae en malas manos? De todas las opciones, narcotraficantes con la capacidad de contratar sicarios constituyen uno de los peores escenarios. Y según las declaraciones de la Fiscal, este sería uno de los escenarios más probables. Si bien no sabemos todavía si esta información se utilizó para asesinar a Villavicencio, sin lugar a dudas habría resultado muy útil para los criminales que lo atacaron.  

Debido a la denuncia de la Fiscalía, Bolívar Tello, director del ECU-911, fue convocado a la Asamblea Nacional. En su comparecencia, afirmó que a escala nacional, 520 personas tienen acceso al sistema Mobile Locator, que usa el ECU-911, y confesó que incluso él ha sido víctima de vigilancia por parte de dos funcionarios de la institución que él dirige.

¿Quién vigila al vigilante? ¿Cómo podemos sentirnos seguros si el mismo director del ECU-911 es víctima de la vigilancia de su propia institución?

Los hechos recientes y la declaración de Tello evidencian algunos de los riesgos más extremos que conlleva sostener un sistema de vigilancia centralizado.

Mucho más que un caso aislado

No es la primera vez que se escucha sobre los abusos del ECU-911. En un reportaje publicado por el New York Times en 2019, se le preguntó a Jorge Costa, director de la extinta Secretaría Nacional de Inteligencia (Senaín) en 2018, si las cámaras del ECU-911 eran utilizadas para espiar a los ciudadanos, y Costa respondió que el ECU-911 no pertenecía a los sistemas de inteligencia nacionales. Sin embargo, más adelante, admitió que la Senaín sí tenía acceso a las cámaras del ECU-911, en particular, en Quito. 

¿Sabían las y los ciudadanos ecuatorianos que la agencia nacional de inteligencia de entonces tenía acceso a las cámaras del sistema nacional de vigilancia?

¿Son los sistemas del ECU-911 los únicos que carecen de controles adecuados para proteger la información de las y los ciudadanos?

El 2 de enero de 2024, el excandidato presidencial Jan Topic publicó en su cuenta de X capturas de pantallas de lo que parece ser un sistema de la Policía Nacional. ¿Por qué un excandidato tiene acceso a esas capturas de pantalla?

El mismo Topic, antes de ser candidato a la Presidencia, publicó en X un hilo con imágenes de vigilancia que habrían sido tomadas en el paso fronterizo de Rumichaca. El hilo venía acompañado con la siguiente frase: “Dado que nosotros no esperamos a la burocracia, gracias a la donación de una empresa, este miércoles mandamos a instalar cámaras con analítica en Rumichaca. Los resultados impactan.”

¿Cómo tuvo Topic acceso a esas cámaras? ¿Eran cámaras donadas al Estado para apoyar con el control fronterizo?, o ¿eran cámaras instaladas por una empresa privada en un lugar estratégico para el Estado ecuatoriano?

Que la información de las y los ciudadanos ecuatorianos sea expuesta abiertamente ante personas que no deberían tener acceso a ella es algo que se ha convertido en la norma.

En 2019 una falla de seguridad de la empresa Novaestrat expuso los datos de 17 millones de ecuatorianos a Internet sin ninguna protección. La falta de seguridad por parte de esta empresa no fue lo más grave, sino el hecho de que los datos de personas ecuatorianas terminaron en manos de una empresa privada que los utilizaba para hacer dinero sin ningún tipo de control. Todo esto ocurrió sin nuestro consentimiento.

Podríamos seguir enumerando casos registrados de filtraciones o vulneraciones de datos personales de ecuatorianos por parte del Estado, pero no es ese el objetivo de este artículo.

Ya sea por seguridad o por brindar un servicio público, un Estado necesita acceder a información personal de su población. Si estos datos son manejados con responsabilidad, pueden ser beneficiosos para la ciudadanía, de lo contrario, todos corremos un alto riesgo.

El caso de Novaestrat, en 2019, debió levantar una alerta suficiente para que la ciudadanía se tome en serio la protección de datos personales, pero apenas fue un escándalo fugaz que enseguida pasó al olvido.

El caso del ECU-911 y el posible acceso a la ubicación de Fernando Villavicencio por parte de sicarios o del narcotráfico es algo que debería escandalizarnos y no morir en ese mismo olvido.

Es urgente que se investigue el uso y abuso de las herramientas de vigilancia del Estado. No es posible confiar en una agencia estatal cuyo director ha reconocido que ha sido vigilado, una agencia que incluso podría ser utilizada por sicarios.

Pero, sobre todo, necesitamos una ciudadanía informada que se cuestione los riesgos de las tecnologías de vigilancia en manos equivocadas, más allá de los beneficios inmediatos que pudieran ofrecernos.

Esperemos que pronto la Superintendencia de Protección de Datos haga su trabajo y preste especial atención a entidades tan importantes para la seguridad ciudadana y nacional como el ECU-911.

Publicado originalmente en La Barra Espaciadora, en colaboración con Derechos Digitales.

El 20 de agosto de 2023 se realizaron elecciones presidenciales anticipadas en Ecuador. En esta ocasión, por primera vez en la historia, el voto en el exterior se realizó de forma telemática y quienes viven fuera del país pudieron votar desde la comodidad de su hogar O, al menos, lo intentaron.

El sistema de sufragio telemático fue un fracaso. Mucha gente simplemente no pudo votar debido a que el sistema no respondía. El Consejo Nacional Electoral de Ecuador (CNE) reconoció los fallos en el sistema electoral, habló de ataques informáticos y de inconsistencias de los datos recabados por lo que decidió anular las elecciones. Los comicios se repetirán este domingo 15 de octubre.

Este bochornoso episodio debe hacernos reflexionar sobre los riesgos que resultan de la implementación de sistemas de voto electrónico, más todavía cuando se realizan de forma apresurada y sin los cuidados necesarios.

El voto electrónico comprende distintas formas de sufragio, asociadas a diferentes tecnologías. Por ejemplo, los sistemas de voto electrónico de registro directo contemplan la votación en una máquina especialmente diseñada para ello, que automáticamente registra las preferencias. Además, existen los llamados sistemas de voto electrónico en papel, en los que la máquina entrega un documento físico con el voto y el conteo se realiza a mano.

Hay otros más. Pero de todos, probablemente el más inseguro es la votación telemática o a través de internet, pues —como cualquier sistema conectado a la red— es vulnerable a distintas formas de ataque en línea.

Sin embargo, hay una debilidad inherente a cualquier esquema de voto electrónico: introduce opacidad al sistema electoral. Cuando el sufragio depende de un software, es imposible que una persona sin los conocimientos técnicos ni acceso al código fuente pueda comprender cabalmente cómo funciona el sistema, lo que atenta contra el ideal democrático de las elecciones.

Auditando elecciones

Junto con las presidenciales, la elección de agosto incluía la consulta popular ambientalista del Chocó Andino, en Quito, y del Yasuní, a escala nacional. Esta última fue el resultado de un proceso de diez años, impulsado por grupos ambientalistas que  recogieron firmas contra la extracción petrolera en el Parque Nacional Yasuní, uno de los lugares más biodiversos del planeta.

En este contexto, fui invitado por el colectivo Yasunidos a colaborar en el equipo informático responsable de auditar las elecciones. A diferencia del voto en el exterior, esta se realizó en papel. Son poco más de 40.000 mesas electorales distribuidas a nivel nacional. En cada mesa votan cerca de 300 personas. Una vez terminada la votación, la urna se abre y los delegados cuentan los votos en voz alta, frente a los representantes de candidatas y candidatos, y los grupos de observadores.

Realizado el conteo, los resultados son anotados en acta. Las actas se escanean, se suben a una nube, se entregan a actores políticos y se publican en los recintos, para que el público y los representantes de los candidatos puedan verificar los resultados.

Yo fui una de las 2.000 personas que voluntariamente colaboraron con el colectivo Yasunidos, reportando la información contenida en las actas públicas. En conjunto logramos procesar 3.460 actas, que representan la voluntad de 963.080 personas. Porcentualmente, nuestros resultados tuvieron una diferencia menor al 1% con los resultados oficiales del CNE. De esta manera supimos que no había trampa.

Si los resultados no hubieran coincidido, teníamos la posibilidad de analizar las actas publicadas por el CNE. Además, teníamos fotos de las actas reportadas desde las juntas electorales y en muchos casos obtuvimos las copias físicas. Y en caso de que estas actas no coincidieran con las de la nube, habríamos tenido la posibilidad de reportar estas anomalías.

Nada de esto es posible con el voto telemático. La ciudadanía no tiene capacidad de realizar un control paralelo y las auditorías se restringen a los operadores del sistema, que tienen acceso a él. El resto de las personas se ven obligadas a confiar. O no. No hay manera de saberlo.

La democracia exige que los sistemas electorales sean sencillos, transparentes, inclusivos y auditables. La tecnología tiene un rol importante que cumplir en las elecciones, pero está más ligado a fomentar las distintas formas de participación en el proceso, incluyendo la auditoría de los votos. Para que las elecciones sean confiables se necesita más de esto y menos cajas negras.

Publicado originalmente en La Barra Espaciadora en colaboración con Derechos Digitales.