Foto: Pixabay

Imaginemos un pequeño país donde existe un Estado que utiliza la tecnología para vigilar a la ciudadanía. Este país está controlado por una élite que llegó al poder por la democracia y que hace mucho tiempo el poder dejó de ser el medio para mejorar la sociedad y se convirtió en el fin máximo. Un gobierno que no quiere soltar el poder quiere saber todo sobre su ciudadanía.

Las tecnologías de comunicación permiten a las y los ciudadanos de este pequeño país organizarse, pero también permite al gobierno vigilar a las disidencias e identificar actores claves. ¿Qué podría hacer la ciudadanía de este país para utilizar la tecnología sin que el Estado opresor conozca todos sus movimientos?

Lo primero que deberían hacer las personas de un país vigilado es tener nociones básicas sobre cómo funciona la tecnología. ¿Cómo viaja la información que se encuentra en nuestros teléfonos o computadoras? ¿Quién puede acceder a esta información? ¿Cómo protegerla de nuestros adversarios? Estas son algunas preguntas que deberíamos plantearnos.

Cuando la gente se conecta a Internet, la información viaja desde nuestro dispositivo a través del proveedor local de Internet. Este puede ser el proveedor de Internet fijo o de Internet móvil. Los proveedores podrían ser estatales o públicos, pero todos deberían obedecer el mandato del gobierno. En el caso de nuestro pequeño país, esto se traduce a lo que diga el presidente.

Tecnologías como llamadas telefónicas o mensajería sms son muy inseguras. Los proveedores de este servicio tienen la capacidad de grabar las llamadas o acceder a los mensajes de texto. Esto es algo que le gusta mucho al poder porque puede forzar a estas empresas a entregar las conversaciones de sus clientes.

La buena noticia es que no es necesario utilizar la telefonía móvil para hablar, aplicaciones como Signal, WhatsApp o Telegram permiten realizar llamadas y enviar mensajes seguros gracias al cifrado extremo a extremo. Este tipo de cifrado garantiza que la información que atraviesa por Internet sea solamente accesible para las personas que participan en la conversación.

Eso sí, hay que tener mucho cuidado con Telegram porque los mensajes de texto que no se cifran de manera segura de forma predeterminada, solo lo hacen cuando se inicia un “chat secreto” de forma explícita y no es tan evidente. Esto suele traer el problema de que la mayoría de personas no activan esta opción y además no se pueden cifrar las conversaciones grupales.

Entre las tres opciones mi recomendación sería utilizar Signal, aunque a veces no hay otra opción que usar WhatsApp, ya que es un proyecto de software libre gestionado por una organización sin fines de lucro que procura cuidar nuestra privacidad en lugar de lucrar con nuestros datos.

Algo importante cuando se usa telefonía celular es que la ubicación de los teléfonos móviles se reporta constantemente a los proveedores de telefonía, incluso si el teléfono no tuviera GPS. Esta es la forma en la que funciona la telefonía móvil y pasa en este país imaginario como en cualquier otro. Pero en este país que imaginamos el gobierno puede presionar a las operadoras para que entreguen la información y con eso podría saber dónde se ubican adversarios políticos, o incluso en un espectro más amplio puede conocer los patrones de movimiento de toda la población del país si llegaran a tener la capacidad de vigilar masivamente la ubicación de los teléfonos, algo que es tecnológicamente posible.

Tener el teléfono celular en nuestro bolsillo significa reportar nuestra ubicación. En ese caso hay que ser audaces y usar esta desventaja a nuestro favor. El gobierno puede monitorear la ubicación de los teléfonos, no de las personas. Si tengo una reunión con un grupo sensible, probablemente lo mejor sea dejar el teléfono en un lugar seguro lejos de donde es la reunión, incluso se puede enviar a pasear al teléfono por un lugar lejano a la ubicación donde nos queremos encontrar.

Tener conocimiento sobre los riesgos nos permite tomar decisiones informadas y sacar ventaja sobre nuestras desventajas. Mucha gente en riesgo suele llevar el teléfono a la reunión y al momento de hablar lo apagan. Esto tiene un problema porque desde el punto de vista del vigilante puede ver que 5 teléfonos que llegaron a la misma ubicación se apagaron a la vez y luego se encendieron a la vez. Esta información puede inducir al gobierno a creer que esas personas están teniendo una reunión importante.

Hasta ahora hemos visto cómo protegernos de un gobierno que es capaz de vigilar las redes por las que nos hemos comunicado. ¿Qué pasaría si nuestro teléfono cae en las manos equivocadas? La primera medida para proteger nuestra información es cifrar el contenido que tiene el teléfono. Esto lo hace cualquier teléfono moderno mediante la clave que utilizamos en el mismo. En ese sentido es importante evitar usar patrones que se dibujan con el dedo. La grasa de nuestros dedos deja huella que luego se puede seguir para desbloquear el teléfono. Un pin de al menos 6 dígitos es una mejor opción y una contraseña es todavía mucho más seguro.

La criptografía funciona con matemáticas y abrir nuestro teléfono será muy difícil si se tiene una contraseña segura. Sin embargo, en este país que imaginamos en esta historia el gobierno puede obligar a abrir el teléfono y las matemáticas no nos protegen de riesgos como la tortura. ¿Qué hacer en este caso?

Lo primero sería evitar llevar información sensible en un dispositivo que nos acompaña a todos lados. Hay otras formas seguras en las que podemos compartir información y evitar el riesgo de llevarla con nosotros. A pesar de esto es muy probable que sigamos teniendo información sensible en el teléfono. Por ejemplo nuestras conversaciones de chat.

En ese sentido es recomendable utilizar aplicaciones que permitan borrar nuestras conversiones de manera automática. Esto lo permiten aplicaciones como WhatsApp, Signal y los chats secretos de Telegram. No es lo mismo que el teléfono de un activista caiga en manos de un actor policial y tenga el historial de un día de conversaciones a que tenga años de las mismas.

Por último, la vigilancia masiva tiene otra cara de la moneda que es la censura. Si el gobierno de este país que imaginamos en esta columna tiene la capacidad de vigilar todos los sitios que la gente lee, entonces es fácil bloquearlos. Para protegernos tenemos herramientas como de sitios web, pero también de aplicaciones como Signal.

Para entender el funcionamiento de las VPNs podemos imaginar un túnel secreto y seguro por donde viaja la información. Este túnel se conecta desde nuestro dispositivo hasta un computador que se encuentra en otro país. De esta manera el tráfico de navegación se origina desde otro país y si el sitio está bloqueado localmente, no importa porque tecnológicamente se está accediendo desde otro país.

Tor funciona de manera similar pero con capas extras de seguridad. De manera muy simplificada podemos decir que en lugar de crear un túnel a otro país, crea 3 túneles ubicados en distintos países y de esta manera fortalece nuestra capacidad de anonimato y privacidad. La forma más común de usar Tor es a través del Navegador Tor en la mayoría de sistemas operativos, menos en IOs donde se recomienda Onion Browser. En el caso de Android también existe Orbot que permite hacer que otras aplicaciones viajen por estos 3 túneles de seguridad. Esto es útil si se bloquea una aplicación de mensajería.

En esta columna hemos imaginado un país con un gobierno totalitario con gran poder sobre las comunicaciones de la ciudadanía. Esto puede parecer abrumador y hacer que el miedo de la ciudadanía la haga resignarse al abuso del poder. Por otro lado, tener un entendimiento básico de la tecnología permite a la ciudadanía usarla a su favor y de esta manera tener la capacidad de organizarse, incluso con las capacidades de un Estado policial.

Publicado originalmente para el Confidencial de Nicaragua con apoyo de Derechos Digitales. También hay una versión adaptada por la Barra Espaciadora de Ecuador. 

Se puede pensar a la privacidad como tener el control de qué parte de nuestra vida compartimos y con quién. No es lo mismo una conversación de pareja, un intercambio familiar, que el que se tiene con amigos, o con colegas de trabajo. En cada conversación nos comportamos de una forma diferente, basada en el contexto, porque entendemos muy bien con quién nos comunicamos.

En internet esto no funciona así. Si bien hay quienes creen que la comunicación es anónima, la verdad es que cuando hacemos algo cotidiano, como enviar un mensaje vía WhatsApp, esta empresa conoce al remitente, destinatario, los teléfonos que intervienen, la hora y la frecuencia en que sucede la comunicación. Una empresa de telecomunicaciones puede acceder a información muy similar cuando utilizamos nuestro teléfono móvil. Quien tenga acceso a esos datos, a su vez, puede inferir mucho sobre nuestros hábitos más íntimos. Del mismo modo: el contenido que publicamos en Facebook puede ser visto por las personas que conocemos y queremos, pero también por personas totalmente desconocidas, a depender de nuestras configuraciones de privacidad y seguridad. El contexto dirá si tal acceso puede mostrarse peligroso o no.

La parte que nos toca

Ya sabemos de la vigilancia de las grandes empresas de tecnología y su relación con agencias de inteligencia. También de los mecanismos como podemos sufrir distintos tipos de intervención en nuestras comunicaciones de manera más o menos legítima.  Sin embargo, si bien hay situaciones en que es difícil escaparse de la intrusión de agentes externos, hay mucho que podemos hacer aún para proteger nuestra privacidad en las redes sociales.

Hay momentos en los que la información que queremos compartir debería llegar a todo el mundo y otros en las que no quisiéramos que personas (organismos, o empresas) específicas se enteren.

No es lo mismo promocionar un bien o servicio en Internet, emitir una opinión política o compartir una foto familiar. La opinión política, por ejemplo, podría poner en riesgo mi trabajo o mi emprendimiento. En algunos países, si se piensa en periodistas de investigación o activistas sociales, la exposición de ciertas informaciones personales de manera pública podría poner en riesgo sus vidas e incluso las vidas de sus familias.

La inteligencia de fuentes abiertas permite averiguar mucho de una persona basada en información pública, principalmente en internet. Es lo que utilizaría un periodista para investigar el perfil de un funcionario corrupto. También es utilizada por la policía para seguir a personas sospechosas. Los gobiernos, muchas veces la utilizan para monitorear redes sociales e identificar adversarios políticos. Delincuentes comunes utilizan esta información para conocer nuestros movimientos y así poder planificar actos criminales.

Algo tan sencillo como realizar publicaciones de Instagram en tiempo real, mostrando las maravillosas vacaciones que estoy teniendo podría alertar a un ladrón que no estoy en mi casa. El riesgo de esta situación se incrementa si además comparto esta información en estados de WhatsApp.

Utilizamos a diario esta plataforma para comunicarnos con gente cercana, pero también para interactuar de manera profesional con otras personas. De esta manera, en nuestros teléfonos, tenemos contactos de restaurantes, plomeros, albañiles, médicos y un largo etcétera de profesionales con los que interactuamos de manera cotidiana.

Muchas de estas personas utilizan estados para comunicar su trabajo y los servicios que ofrecen. Sin embargo, parte importante de ellas comparten su vida privada a través de estos estados. Personalmente me he encontrado en situaciones donde observo almuerzos familiares, bautizos, fiestas infantiles y un largo etcétera de situaciones de la vida privada de otras personas con las que no soy cercano.

Soy una persona con buenas intenciones y no quiero hacerle el mal a nadie, pero esta información es accesible a gente bien y mal intencionada. Como persona que trabaja en seguridad digital reflexiono sobre los riesgos a los que nos exponemos en este tipo de situaciones. ¿Qué es lo que haría un acosador, un ladrón, pedófilo o cualquier otro actor mal intencionado con esta información? Nos hemos preguntado, ¿qué tanto conocemos a las personas que tenemos como contactos en nuestros teléfonos?

(Re)tomando las riendas de nuestra información

Las redes sociales que utilizamos a diario tienen configuraciones de privacidad que nos permiten tener mejor control sobre quién puede, o no ver lo que publicamos. Es cierto también que estas configuraciones suelen ser complicadas y sus valores predefinidos son demasiado abiertos. Esto trae como primera consecuencia que la gente publique sin tener conciencia de quién lo verá o quién lo leerá.

Los estados de WhatsApp son accesibles para todas las personas que yo tengo registradas en mi teléfono y que me tienen registrado a mí, sin embargo se puede hacer una lista corta de quién puede leer lo que publico.  Instagram o X pueden ser configurados para que solamente las personas que nos siguen puedan ver las publicaciones y el seguimiento debe ser aceptado, de manera predeterminada cualquiera puede ver nuestras publicaciones. Incluso si la cuenta es privada, pero nos siguen cientos o miles de personas ya no es tan privada.

La privacidad sí importa

Internet ha traído cambios radicales en nuestras vidas, muchos de los cuales aún estamos intentando entender. Por un lado, podemos llegar con nuestros mensajes a cientos, miles y tal vez millones de personas. Por otro, nuestras vidas privadas pueden ser expuestas a audiencias indefinidas y personas mal intencionadas que podrían hoy o en el futuro usar esta información en nuestra contra.

Es importante pensar antes de publicar y utilizar Internet de una manera en la que podamos buscar nuestro beneficio. Si queremos compartir temas familiares mejor hacerlo en grupos pequeños donde conozcamos a las personas. Si queremos vender, informar, expresar nuestras ideas, pensemos cuáles son los mejores espacios de difusión.

Delimitar nuestros espacios de exposición nos protege, nos requiere reflexionar sobre los contenidos personales que compartimos diariamente. No todo está en nuestras manos, es verdad, pero un análisis acerca de cómo usamos nuestras redes está a nuestro alcance y puede ayudarnos a la hora de cuidar nuestra privacidad y nuestra seguridad en línea y fuera de ésta. 

Publicado originalmente en Derechos Digitales.

El uso de la tecnología afecta la manera en la que funcionamos como sociedad. Por un lado, nos trae ventajas prácticas evidentes, pero también trae problemas como la invasión a la privacidad o la exposición a ataques digitales.

Mientras dependemos cada vez más del correo electrónico, las redes sociales y las aplicaciones de chat, se hace cada vez más difícil evitar participar en estos espacios. Aun así, podemos elegir cómo será nuestra participación y, hasta cierto punto, qué información entregaremos sobre nuestras vidas.

En materia de privacidad, son muchas las preocupaciones sobre el acceso a nuestra información que entregamos a las grandes empresas tecnológicas. Sin embargo, hay un ente del que no podemos escapar y que tiene en su poder mucha información sobre nosotros: el Estado.

Que el Estado tenga nuestros datos no es malo, en principio. Si en Ecuador no tenemos un número de cédula, no existimos. Si tenemos un empleo formal, nuestros datos son compartidos con en el Instituto Ecuatoriano de Seguridad Social (IESS). Las instancias de acceso a distinto tipo de información personal se multiplican. El acceso y procesamiento de nuestros datos personales por parte del Estado se hace necesario para brindarnos servicios esenciales.

Pero, sin los adecuados controles, ese acceso se puede prestar para graves abusos. Si bien ya contamos con la Ley de Protección de Datos Personales, esta todavía no se puede aplicar, y con la llegada de las tecnologías se permite un acceso –directo o indirecto– a datos aún más sensibles sobre nuestra vida privada. Por ejemplo, si llevamos un teléfono celular, el Estado ecuatoriano puede conocer nuestra ubicación.

El  acceso sin controles a este tipo de información por parte de fuerzas policiales es un motivo de preocupación, más aún por el potencial riesgo de que esa información caiga en manos del crimen organizado.

El 18 de diciembre de 2023, la fiscal general, Diana Salazar, fue entrevistada en Teleamazonas para hablar sobre el caso Metástasis, que revela vínculos del narcotráfico con funcionarios e instituciones del Estado. Se le preguntó a la fiscal si de los chats del narcotraficante Leandro Norero -que son parte medular del proceso- se pueden obtener indicios para saber quién dio la orden para matar al excandidato presidencial Fernando Villavicencio, y la fiscal aclaró que los chats corresponden a un período de entre mayo y octubre de 2022, un año antes de que el crimen tuviera lugar. Explicó, además, que Xavier Jordán -un personaje que lleva a cuestas un amplio historial delictivo y que es también investigado por la Fiscalía- le pidió a Norero seguir a Villavicencio. Ese seguimiento incluiría información sobre las actividades de Villavicencio, como fotos de su domicilio, de personas cercanas, y su ubicación. Específicamente dijo Salazar: “Lo más alarmante es que mucha de la información a la que accede Leandro Norero es producto de las bases de datos de la función pública. Por ejemplo, del sistema de ubicación del ECU-911 le envían la ubicación del teléfono celular [de Villavicencio].”

El 9 de agosto de 2023, Villavicencio fue asesinado por sicarios, en medio de la campaña electoral para los comicios del 20 de agosto.

El rastro sangriento de la vigilancia omnipresente

¿Cómo podía el ECU-911 acceder a la ubicación de Fernando Villavicencio? Los funcionarios de esta entidad estatal pueden conocer la ubicación de un teléfono celular basados en la distancia entre un dispositivo y las torres de comunicación o, incluso, en muchos casos, pueden acceder a la información del GPS del teléfono. Estos procedimientos deberían estar bajo el control de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel). Esto resultaría muy útil para atender emergencias como un accidente de tránsito o un hecho delictivo, pues permitiría enviar la ayuda necesaria con rapidez, para capturar delincuentes o actuar oportunamente en casos de secuestros. Todos estos fines son legítimos.

Pero, ¿qué pasaría si la información de ubicación cae en malas manos? De todas las opciones, narcotraficantes con la capacidad de contratar sicarios constituyen uno de los peores escenarios. Y según las declaraciones de la Fiscal, este sería uno de los escenarios más probables. Si bien no sabemos todavía si esta información se utilizó para asesinar a Villavicencio, sin lugar a dudas habría resultado muy útil para los criminales que lo atacaron.  

Debido a la denuncia de la Fiscalía, Bolívar Tello, director del ECU-911, fue convocado a la Asamblea Nacional. En su comparecencia, afirmó que a escala nacional, 520 personas tienen acceso al sistema Mobile Locator, que usa el ECU-911, y confesó que incluso él ha sido víctima de vigilancia por parte de dos funcionarios de la institución que él dirige.

¿Quién vigila al vigilante? ¿Cómo podemos sentirnos seguros si el mismo director del ECU-911 es víctima de la vigilancia de su propia institución?

Los hechos recientes y la declaración de Tello evidencian algunos de los riesgos más extremos que conlleva sostener un sistema de vigilancia centralizado.

Mucho más que un caso aislado

No es la primera vez que se escucha sobre los abusos del ECU-911. En un reportaje publicado por el New York Times en 2019, se le preguntó a Jorge Costa, director de la extinta Secretaría Nacional de Inteligencia (Senaín) en 2018, si las cámaras del ECU-911 eran utilizadas para espiar a los ciudadanos, y Costa respondió que el ECU-911 no pertenecía a los sistemas de inteligencia nacionales. Sin embargo, más adelante, admitió que la Senaín sí tenía acceso a las cámaras del ECU-911, en particular, en Quito. 

¿Sabían las y los ciudadanos ecuatorianos que la agencia nacional de inteligencia de entonces tenía acceso a las cámaras del sistema nacional de vigilancia?

¿Son los sistemas del ECU-911 los únicos que carecen de controles adecuados para proteger la información de las y los ciudadanos?

El 2 de enero de 2024, el excandidato presidencial Jan Topic publicó en su cuenta de X capturas de pantallas de lo que parece ser un sistema de la Policía Nacional. ¿Por qué un excandidato tiene acceso a esas capturas de pantalla?

El mismo Topic, antes de ser candidato a la Presidencia, publicó en X un hilo con imágenes de vigilancia que habrían sido tomadas en el paso fronterizo de Rumichaca. El hilo venía acompañado con la siguiente frase: “Dado que nosotros no esperamos a la burocracia, gracias a la donación de una empresa, este miércoles mandamos a instalar cámaras con analítica en Rumichaca. Los resultados impactan.”

¿Cómo tuvo Topic acceso a esas cámaras? ¿Eran cámaras donadas al Estado para apoyar con el control fronterizo?, o ¿eran cámaras instaladas por una empresa privada en un lugar estratégico para el Estado ecuatoriano?

Que la información de las y los ciudadanos ecuatorianos sea expuesta abiertamente ante personas que no deberían tener acceso a ella es algo que se ha convertido en la norma.

En 2019 una falla de seguridad de la empresa Novaestrat expuso los datos de 17 millones de ecuatorianos a Internet sin ninguna protección. La falta de seguridad por parte de esta empresa no fue lo más grave, sino el hecho de que los datos de personas ecuatorianas terminaron en manos de una empresa privada que los utilizaba para hacer dinero sin ningún tipo de control. Todo esto ocurrió sin nuestro consentimiento.

Podríamos seguir enumerando casos registrados de filtraciones o vulneraciones de datos personales de ecuatorianos por parte del Estado, pero no es ese el objetivo de este artículo.

Ya sea por seguridad o por brindar un servicio público, un Estado necesita acceder a información personal de su población. Si estos datos son manejados con responsabilidad, pueden ser beneficiosos para la ciudadanía, de lo contrario, todos corremos un alto riesgo.

El caso de Novaestrat, en 2019, debió levantar una alerta suficiente para que la ciudadanía se tome en serio la protección de datos personales, pero apenas fue un escándalo fugaz que enseguida pasó al olvido.

El caso del ECU-911 y el posible acceso a la ubicación de Fernando Villavicencio por parte de sicarios o del narcotráfico es algo que debería escandalizarnos y no morir en ese mismo olvido.

Es urgente que se investigue el uso y abuso de las herramientas de vigilancia del Estado. No es posible confiar en una agencia estatal cuyo director ha reconocido que ha sido vigilado, una agencia que incluso podría ser utilizada por sicarios.

Pero, sobre todo, necesitamos una ciudadanía informada que se cuestione los riesgos de las tecnologías de vigilancia en manos equivocadas, más allá de los beneficios inmediatos que pudieran ofrecernos.

Esperemos que pronto la Superintendencia de Protección de Datos haga su trabajo y preste especial atención a entidades tan importantes para la seguridad ciudadana y nacional como el ECU-911.

Publicado originalmente en La Barra Espaciadora, en colaboración con Derechos Digitales.

En realidad el costo conlleva entregar los datos a estos proveedores. Todo documento que escribas en estas plataformas lo compartes con sus dueños: Google y Microsoft, que a su vez generan dinero con nuestros datos, por otro lado se sabe que las mismas incluso comparte nuestra información con agencias de inteligencia como lo reveló Snowden en el año 2013.

¿Se puede colaborar en Internet sin que un tercero lea nuestros documentos? La respuesta es sí, pero en distintos niveles. Hay que preguntarse, ¿dónde esta el servidor? ¿quién lo administra?¿en qué país y bajo que legislación estarán protegidos mis datos?

Nextcloud es una herramienta libre que la vengo utilizando durante algunos años para tener mis archivos sincronizados. En mi opinión, la forma más segura de compartir archivos con Nextcloud, es mediante Servicios Cebolla de Tor. Es algo relativamente fácil de configurar y tiene la ventaja que el servidor puede estar en mi casa, en la casa de mi amigo, en las oficinas de alguna organización, en cualquier lugar con Internet donde me pueda conectar a la red Tor. Incluso se puede tener carpetas sincronizadas de forma transparente.

En esta ocasión escribiré sobre la versión 18 de Nextcloud que permite instalar de forma amigable el servidor OnlyOffice que permite colaboración en tiempo real de forma similar a cómo lo hace Office 365 o Google Docs. Para esto es necesario tener un servidor conectado a Internet, normalmente se utiliza un VPS. Dependiendo de mis recursos el VPS se lo puede contratar a un proveedor de Internet o se lo puede tener alojado en un servidor propio.

Lamentablemente, de momento la combinación Nextcloud + OnlyOffice no funciona con Servicios Cebolla.

Manos a la obra

La versión 18 de Nextcloud permite instalar de forma fácil un servidor de Onlyoffice que permite editar archivos de forma colaborativa entre varias personas como se puede ver en las siguientes imágenes:

Gracias al gestor de aplicaciones SNAP, instalar Nextcloud es bastante sencillo. Primero se instala SNAP y luego Nextcloud:

sudo apt install snapd
sudo snap install nextcloud --channel=18/edge

La versión 18 de Nextcloud es bastante nueva y al momento de escribir este artículo hay que utilizar al canal edge, en el futuro debería bastar con:

sudo snap install nextcloud

Una vez instalado Nextcloud es importante configurar HTTPS para tener nuestro servicio de colaboración seguro. En caso de utilizar una red LAN se puede utilizar un certificado auto-firmado:

sudo nextcloud.enable-https 

Cuando se abra Nextcloud desde el navegador o desde el cliente se mostrará un error de certificado auto-firmado. Este certificado se debería aceptar la primera vez. Se puede confiar en el mismo porque nosotros mismo lo creamos. Para esto seleccionar avanzado y añadir la excepción.

En caso de querer el servidor de Nextcloud disponible en Internet, se debe generar un certificado con Letsencrypt, el mismo que será validado por todos los navegadores y no se presentará el error antes mencionado.

sudo nextcloud.enable-https lets-encrypt

En lo personal nunca configuré el certificado de Letsencrypt así, pero parece una muy buena opción.

Ahora abrimos el navegador en la dirección tipo https://192.168.20.25 o tipo https://nube.midominio.com. Aquí se pedirá crear una cuenta de administración donde entre otras cosas se podrá crear usuarios, añadir otras aplicaciones y más.

Aquí permite a más de instalar Nextcloud instalar otras aplicaciones, entre los que se incluye OnlyOffice. Para probar recomiendo instalar todo, para una instalación de un sistema en producción es mejor instalar solo lo necesario. (Para utilizar OnlyOffice es necesario instalar Community Document Server y ONLYOFFICE)

Ahora cuando se vaya a abrir un archivo en Nextcloud desde el navegador web se lo podrá editar directamente desde el navegador de forma individual o colaborativa.

Eso es todo, valdría la pena explorar las otras herramientas. Nextcloud se ha convertido en una gran herramienta para reclamar el control sobre nuestros datos.

Si bien este tutorial lo he probado con Linux, debería funcionar con Windows y Mac sin mayor problema. Para celular se puede utilizar Nextcloud a través de Orbot para acceder al servicio oculto.

Lo primero que se debe hacer es instalar el cliente de Nextcloud que esta disponible para la descarga para la mayoría de sistemas operativos. En el caso de Linux suele ser suficiente instalar el paquete nextcloud-desktop. Adicionalmente si se usa Gnome recomiendo instalar el paquete nautilus-nextcloud; nemo-nextcloud para Cinnamon; y dolphin-nextcloud para KDE:

Además del cliente Nextcloud es necesario tener instalado Tor. Para esto existen 2 opciones, usar el Navegador Tor (puerto 9150) o instalar el servicio Tor en el sistema operativo (puerto 9050).

La primera opción es simple y funciona en cualquier sistema operativo; tiene el problema de que siempre hay que abrir el navegador sino la carpeta no sincroniza. La segunda opción depende del sistema operativo, en el caso de GNU/Linux basta con instalar el paquete «tor». Entiendo que se puede instalar Tor como servicio en Windows y Mac, queda de tarea para quiénes usen esos sistemas operativos.

Una vez que esté instalado el servicio Tor y el cliente de Nextcloud se debe iniciar el cliente. Lo primero que se debe hacer es configurar el cliente de Nextcloud para que funcione con Tor. Para esto, la primera vez que se lo inicie, se abrirán 2 ventanas. La de adelante pedirá registrar una cuenta en un proveedor o hacer login. Antes de seleccionar hacer login, se debe modificar la configuración seleccionando la ventana de atrás.

En la ventana de atrás existen las secciones General y Red. Asegúrese de seleccionar la sección red y configurar para que use proxy SOCKS5 con servidor localhost y puerto 9050 (9150, en caso de usar Navegador Tor).

Una vez hecho esto se puede continuar con el asistente de configuración. Se selecciona hacer login y en la próxima ventana se debe poner el url http://abcxyz.onion como se ve en la siguiente imagen.

Si bien se esta utilizando http, en lugar de https, la comunicación es cifrada hasta el servidor gracias a que se esta utilizando un servicio cebolla.

Una vez terminada la configuración se puede empezar a sincronizar.

Por último si se instaló un plugin para el explorador de archivos se añadirán los íconos de sincronización y de esta manera saber si se tiene la última versión del archivo. En mi caso utilizo Nautilus (Gnome) y se ve así.

Eso es todo, espero les resulte útil.

A diferencia de servicios gratuitos o pagados como los antes mencionados, con software libre es posible tener una solución similar con infraestructura propia. Es decir, nadie pero los dueños de la infraestructura debería poder acceder a la información que se comparte. De esta manera cualquier persona con conocimientos técnicos podría implementar su propia nube para compartir archivos. En su defecto, alguien sin conocimientos técnicos puede pedir ayuda o contratar a alguien que sepa como hacerlo.

En este tutorial explicaré la forma más fácil de instalar Nextcloud que he probado hasta ahora. Para esto es necesario tener una máquina con Linux, esta podría ser algo como un Raspberry Pi, una computadora vieja o una máquina virtual. No es necesario tener una dirección IP pública ya que se utilizará los servicios cebolla de Tor para acceder a Nextcloud.

Hace unos meses, en colaboración con Autoformación TL y Fundación Acceso grabé un video y escribí un post donde explico detalladamente como configurar nextcloud como servicio cebolla de Tor. En este artículo explicaré una forma mucho más sencilla de configurar esta solución, pero recomiendo a las personas curiosas ver el video y/o leer el artículo.

Manos a la obra

Existen varias formas para instalar Nextcloud, una de las recomendadas en su página web es a través de Snap. Snap es un sistema de gestión de aplicaciones que, entre otras cosas, permite instalar sistemas complejos como Nextcloud de manera simple. Lo primero que haremos es instalar Snap.

sudo apt install snapd

A través de Snap se instalará Nextcloud:

sudo snap install nextcloud

Con eso esta instalado nextcloud, y se podría acceder desde un navegador web de manera local a través de http://127.0.0.1. También se puede desde la dirección ip de la computadora, pero no es recomendable si no se ha configurado correctamente HTTPS. En este artículo no se verá como configurar HTTPS, sin embargo los servicios ocultos de Tor permiten tener una comunicación cifrada.

Es la primera vez que utilizo Snap y no me considero lo suficientemente informado para emitir un criterio sobre su seguridad. No recomiendo este tutorial para temas sensibles. En todo caso es mucho más seguro que utilizar los servicios en la nube donde se sabe que se espía.

Para configurar el servicio oculto se debe instalar Tor:

sudo apt install tor

Luego se debe editar el archivo /etc/tor/torrc y añadir las siguientes líneas:

HiddenServiceDir /var/lib/tor/nextcloud/
HiddenServicePort 80 127.0.0.1:80

Ahora se reinicia Tor para activar la configuración

sudo systemctl restart tor

Hecho esto con el siguiente comando se puede ver la url con la que se puede acceder al servicio oculto.

sudo cat /var/lib/tor/nextcloud/hostname
tdmgcihbshcpq7vjg3bi7r5srs2t3ezbzgsjz36z45ng3wyofbfjauid.onion

Con esa dirección se abre en el navegador Tor y se pide crear el usuario de administración.

Con este usuario se podrá configurar la «nube» propia y a través de la misma compartir archivos y mucho más.

Esta es la solución más simple y cualquier persona con una navegador Tor podrá acceder a los archivos desde cualquier parte del mundo. Un paso adelante sería instalar el cliente de Nextcloud y de esta manera poder sincronizar archivos entre computadoras tan solo copiándolos y pegándoles dentro de una carpeta en el sistema operativo.

Ofrezco escribir un artículo al respecto pronto, pero como se que ofrecer es fácil y cumplir no tanto, esto ya lo expliqué en el blog de Fundación acceso, recomiendo ver la última parte.

Eben Moglen es un abogado y doctor en historia de la universidad de Yale que financió sus estudios desarrollando software. Fue miembro del equipo de defensa de Philip Zimmermann, autor original de PGP¹, cuando fue amenazado legalmente por el gobierno de Estados Unidos por hacer accesible el cifrado fuerte libremente. Ha sido abogado de la Fundación de Software Libre, organización con la que trabajó en el desarrollo de la versión tres de la licencia GPL. Desde 1987 trabaja como profesor en la Universidad de Columbia en Estados Unidos. [18] [19]

Moglen tiene un entendimiento técnico y político sobre el uso de la tecnología y el impacto que esta puede tener en la sociedad. Luego de las primeras revelaciones de Snowden, Moglen dictó una seria de charlas en la Universidad de Columbia. Él sostiene que para tener privacidad en Internet es necesario tener por lo menos 3 cosas: secreto, anonimato y autonomía.[20]

El secreto es la habilidad de ocultar el contenido de los mensajes para que pueda ser leído solo por quiénes intervienen en la comunicación. El anonimato por su parte implica ocultar quién publica contenido y quién lo lee, incluso si el contenido del mensaje es público. Dice Moglen que el anonimato de quién publica algo es tan importante como el de quién lo lee. Autonomía quiere decir que se puede tomar decisiones propias independientemente de las fuerzas que quieran vulnerar el secreto o el anonimato.

Secreto de las comunicaciones, anonimato y autonomía son los pilares que se buscarán al momento de elegir una herramienta de seguridad en este trabajo.

En la sección 2.1 se explicará que es la privacidad y por que es importante protegerla. En la sección 2.2 se hablará sobre software libre y las características que lo hacen importante para las comunicaciones seguras. En la sección 2.3 se describe el uso de la criptografía para proteger las comunicaciones. Por último, en la sección 2.4 se analiza la centralización de las comunicaciones en Internet y se explica por qué es importante tener autonomía.

2.1 Privacidad

Katitza Rodríguez, miembro de la EFF, en un trabajo realizado en conjunto con la Fundación Acceso de Centro América explica que la privacidad puede ser entendida de dos formas. La primera desde el punto de vista del derecho a ser dejado solo, es decir nadie debe entrometerse en la vida privada de las personas. La segunda que considera que la privacidad es el derecho de las personas a escoger de que manera y en qué circunstancias exponer su comportamiento a los demás. [21]

En el mundo físico es fácil entender este concepto. Si Alice y Bob se encuentran en un parque para conversar y no lo comentan con nadie, es muy probable que nadie sepa que esa reunión existió y menos aún sobre que conversaron.

Desde el punto de vista de ser dejados solos, la privacidad de Alice y Bob es respetada salvo que se estuviera espiando, fotografiando o grabando la conversación. Por otro lado, Alice y Bob tienen la capacidad de decidir con quién compartir el hecho de que la reunión sucedió y el contenido de la misma.

En el mundo digital sucede lo contrario, toda comunicación deja registro salvo que se haga algo al respecto. El proveedor de Internet o alguien que trabaje en el mismo puede vigilar el tráfico de sus usuarios e incluso guardar registros del mismo. El proveedor de nombres de dominio (DNS por sus siglas en inglés) puede saber todos los dominios al que quiere acceder una determinada dirección IP. Los portales web o servidores de servicios en línea pueden conocer la actividad de sus usuarios. En muchos casos los Estados pueden vigilar el tráfico de los ISPs o proveedores en línea de manera legal o ilegal como se vio en el capítulo anterior.

La privacidad es un derecho humano fundamental consagrado en la Declaración Universal de Derechos Humanos donde en su artículo 12 dice que:

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.[22]

El derecho a la privacidad o intimidad se encuentra protegida en la constitución y leyes de varios países. En el caso de Ecuador la no interferencia de las comunicaciones privadas esta protegida en el artículo 66 literal 21 de la constitución:[23]

El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; esta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación

Países como Nicaragua, Honduras, El Salvador y Guatemala también lo hacen. A pesar de que en estos países las constituciones protegen la privacidad de los ciudadanos, existen leyes que la pueden contradecir. [21] [24]

Existen marcos legales que protegen derechos como la privacidad incluso a nivel constitucional; sin embargo no existe garantía de que siempre se cumpla la ley. De manera similar a como se ponen cerraduras en las puertas de las casas, se debe buscar soluciones tecnológicas para proteger las comunicaciones en línea y no depender solamente de la buena voluntad del Estado.

En un mundo donde toda actividad deja huella, buscar comunicaciones secretas no es algo subversivo, es ejercer el derecho a la privacidad.

2.2 Software Libre

Software libre son los programas informáticos donde “los usuarios tienen la libertad de ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software.”[25] Software no libre o privativo es el que no cumple con estas libertades. Por ejemplo, con el software no libre se puede limitar estudiar como funciona un sistema o prohibir que se lo comparta.

Los sistemas operativos más utilizados en computadoras personales o dispositivos móviles no son libres. El código fuente de Microsoft es cerrado y no es accesible al público. Los sistemas operativos de Apple, si bien tienen código proveniente de sistemas libres como FreeBSD[26] son sistemas cerrados. Incluso el sistema operativo Android, que en su mayoría es software libre, [27] suele tener dependencias de herramientas cerradas de Google como Google Maps, Google Play u otras².

Las tres empresas desarrolladoras de estos sistemas operativos han participado en el programa de vigilancia PRISM de la NSA. La situación es más compleja porque a más de tener el control sobre los sistemas operativos de las computadoras personales y dispositivos móviles proveen servicios en la nube; al igual que Facebook. En este caso a más de ceder el control del software a una empresa se cede el control de los datos.

Si se toma como ejemplo al servicio de correo electrónico Gmail, de Google, es conocido que hasta junio del año 2017 los anuncios publicitarios de Gmail eran asociados al contenido de los correos. Es decir que Google estaba analizando los correos de todos sus usuarios para proveer anuncios personalizados. El 23 de junio de 2017 Google anunció que ya no mostraría anuncios personalizados junto a los correos de Gmail.[28] Qué no se muestre anuncios junto a los correos no es garantía de que no se este procesando el contenido de los mismos.

En agosto de 2018 la agencia de noticias de Estados Unidos Associated Press realizó una investigación donde demostró que las aplicaciones de Google para IOS y Android almacenan la localización de sus usuarios incluso cuando los mismos desactivan esta funcionalidad.[29] A finales del mismo mes Bloomberg publicó un artículo donde denunció un acuerdo secreto entre Google y Mastercard para verificar si las compras realizadas con tarjetas de crédito fuera de línea se realizaban gracias a un anuncio de Google.[30] ¿Se puede confiar en Google para defender la privacidad? ¿Se lo puede hacer con las otras empresas de PRISM?

Richard Stallman, fundador del movimiento de software libre, explica que el software privativo como el software como servicio tienen el problema de ceder poder a otro. En el caso del software privativo se cede el control del software a el desarrollador o la empresa que hace el sistema. En el caso del software como servicio, además se cede el control sobre los datos al proveedor del servicio.[31]

Explica Stallman que “[a] diferencia del software privativo, el servicio sustitutivo del software no requiere código oculto para obtener los datos de los usuarios. Son los usuarios quienes tienen que enviar sus propios datos al servidor para poder usarlo. Esto tiene el mismo efecto que el spyware: el administrador del servidor obtiene los datos, sin ningún tipo de esfuerzo, en virtud de la naturaleza misma del servicio sustitutivo del software.” [32]

Con software libre se puede estudiar como funciona el sistema, mejorarlo y contribuir a su desarrollo. Un proyecto exitoso de software libre es aquel que forma comunidad. En el año 2017, el núcleo Linux, se desarrolló por 15600 personas de más de 1400 empresas alrededor del mundo.[33] El hecho de tener una comunidad grande de desarrolladores no es garantía de que el sistema sea seguro, pero sí de que no se depende de una sola empresa para su seguridad.

No todo proyecto de software libre es exitoso ni tiene una comunidad tan grande. En general antes de adoptar un sistema libre es importante informarse sobre el tamaño y la calidad de su comunidad.

Que el código fuente sea público permite que el mismo pueda ser auditado por gente de todo el mundo. Esto por si solo no garantiza de que el sistema sea auditado pero a diferencia del software privativo tiene un modelo de desarrollo transparente. Si la comunidad es grande es probable que alguien vigile el código fuente, pero tampoco es garantía que esto suceda. Por esto es importante que desde la academia, gobierno y sociedad civil se audite a los sistemas libres que brinden seguridad en las comunicaciones.

Otro factor a destacar sobre el software libre es que no existe una barrera económica para acceder al mismo. La libertad de poder distribuir el software permite que ricos y pobres puedan tener acceso a las mismas herramientas para comunicarse de forma segura.

El software libre por si solo no es garantía de que las comunicaciones sean seguras. Para que esto suceda es indispensable el uso de la criptografía en las comunicaciones.

2.3 Criptografía

Luego de las revelaciones de la NSA se le preguntó a Snowden si la criptografía funciona, a lo que respondió: “La criptografía funciona. Los sistemas criptográficos correctamente implementados son una de las pocas cosas en las que podemos confiar. Lamentablemente la seguridad de las terminales es tan débil que la NSA puede encontrar sus caminos”³[34]

A más de las declaraciones de Snowden, cabe destacar que documentos revelados muestran que en 2012 un correo cifrado con PGP⁴[35] y una conversación de chat cifrada con OTR⁵[36] no pudieron ser leídas por la NSA.

La criptografía puede tener varios tipos de usos para mantener el secreto de la información. Se la puede utilizar para cifrar las comunicaciones en tránsito; se puede cifrar la comunicación extremo a extremo; o se la puede utilizar para cifrar la información de datos almacenados.[37]

El cifrado de datos almacenados sirve para proteger la información que se encuentra en un dispositivo. Casos típicos de uso son el cifrado de discos duros, otros dispositivos de almacenamiento o archivos. De esta manera si alguien roba un equipo no podrá acceder a la información del mismo. En este trabajo no se abordará este tipo de cifrado pero se recomienda tenerlo en cuenta; particularmente por si un dispositivo llega a ser robado.

El cifrado de la comunicación en tránsito se utiliza para proteger la comunicación entre una aplicación cliente y un servidor. Para acceder a la banca en línea, por ejemplo, se utiliza el protocolo HTTPS. El mismo sirve para proteger la comunicación entre el navegador web (cliente) y el sistema del banco.

El cifrado extremo a extremo da un paso más allá. Si Alice envía un mensaje a Bob a través de un servidor administrado por Eva, este mensaje podría ser visto por la administradora. Para que esto no suceda, el mensaje que Alice envía a Bob sale cifrado de la máquina de Alice y se descifra en la de Bob. Nadie en el camino podrá leer este mensaje, incluso quien administra el servidor.

*****

Adicionalmente al secreto de las comunicaciones, existen otras características de la criptografía que son deseables en las comunicaciones secretas como: autenticación, repudio y secreto perfecto hacia adelante⁶.

La autenticación consiste en que si Alice envía un mensaje a Bob, ella debe tener certeza que se está comunicando con Bob y no con alguien más. La autenticación también permite evitar el riesgo del ataque de hombre en el medio.

A diferencia del mundo corporativo en las conversaciones secretas se desea tener repudio. Es decir que si alguien tiene acceso a un mensaje escrito por Alice, este mensaje no será una evidencia criptográfica de que Alice fue quien lo envió.

El secreto perfecto hacia adelante es cuando cada mensaje está cifrado con una clave diferente por lo que no será posible descifrar todos los mensajes recuperando la llave privada de Alice. Para lograr esta propiedad, en lugar de cifrar los mensajes con la llave pública se negocia una llave simétrica efímera con algoritmos como Diffie Hellman. [38]

2.3.1 Criptografía de Ayer, Hoy y Mañana

Snowden sostiene que la criptografía es algo en lo que se puede confiar, no existe garantía de que esto vaya a ser así siempre. En los años 90s existió un conflicto entre el gobierno de los Estados Unidos y la comunidad activista conocida como Cypherpunks respecto al uso de la criptografía. Hasta entonces el gobierno de Estados Unidos, representado por la NSA, consideraba que la criptografía era un arma estratégica de guerra y su uso debía ser limitado. Los Cypherpunks consideraban que la criptografía era una herramienta que permitía a las personas comunicarse con libertad y preservar la privacidad.[39]

Un caso emblemático fue el del sistema de cifrado de correo conocido como PGP desarrollado por Phil Zimmermann en el año 1991. Zimmermann creó este sistema porque hasta ese entonces la criptografía había sido utilizada solamente por gobiernos, diplomáticos y militares; él creía que “… una emergente economía global dependiente cada vez más de las comunicaciones digitales, las personas comunes y las empresas necesitan criptografía para proteger sus comunicaciones diarias.”⁷ [40]

El software y el código fuente del sistema fueron publicados en Internet sin costo en junio de 1991 y se distribuyó rápidamente por varios países; esto trajo problemas a Zimmermann. Por un lado violaba el uso de patente del algoritmo RSA⁸ que pertenecía a la empresa RSA Data Security; por otro lado molestó al gobierno ya que violaba las leyes de exportación al considerar la criptografía como un arma estratégica. Zimmermann fue investigado por democratizar el acceso a la criptografía; a pesar de esto nunca fue culpado.[39] [41]

A finales de los años 1970s el gobierno federal de Estados Unidos publicó el estándar DES que fue ampliamente utilizado. Durante los años 1990s se cuestionó la seguridad de este estándar, algo que el gobierno negaba. La EFF, con un presupuesto de $250 000 desarrolló hardware y software capaces de romper el algoritmo DES en 56 horas. Hizo esto para demostrar que el algoritmo no era seguro y no se podía confiar en el mismo. [42]

Los documentos de Snowden muestran que la NSA hace lo posible para que no existan comunicaciones que ellos no puedan espiar. Una investigación realizada por la revista alemana Der Spiegel, basada en documentos de la NSA, puso en evidencia que la agencia tiene proyectos dedicados a vulnerar las seguridades en Internet. En esa investigación se destacan ataques a tecnologías de VPN como PPTP que la NSA puede vulnerar fácilmente; también se muestran intentos de la agencia de influir en los organismos de estándares como IETF⁹ o NIST¹⁰[43]

La agencia Routers denunció que la NSA habría dado diez millones de dólares a la firma RSA para que utilizara el algoritmo de Curvas Elítpicas Dual como generador de números aleatorios en su producto Bsafe. Este algoritmo ha demostrado ser débil por lo que el experto Bruce Schneier sostiene que se trata de una puerta trasera.[44]

La investigación de Der Spiegel también dice que herramientas como Tor, PGP u OTR no han podido ser vulneradas por lo NSA. Eso se sabe al menos hasta dichas revelaciones que sucedieron en el año 2013. ¿Será posible que ahora lo puedan hacer? ¿Es posible que lo pueden hacer en el futuro?

El problema se agrava con la computación cuántica que probablemente haga vulnerable las técnicas de cifrado que se utilizan hoy en día. Una investigación realizada por The Washington Post y sustentada por los documentos de Snowden denuncia que la NSA invierte presupuesto para computación cuántica con el fin de vulnerar la seguridad de los sistemas que se utilizan en la actualidad.[45]

La NSA y probablemente agencias de inteligencia de otras potencias intenten vulnerar las herramientas de criptografía que se utilizan en estos días. Por esto es importante que en América Latina se generen capacidades técnicas para entender y proponer criptografía post cuántica. Es decir el tipo de cifrado que podría resistir a la computación cuántica.

En ese sentido es importante destacar el trabajo que realiza la comunidad académica de Criptografía Post Cuántica. Pedro Hecht, coordinador académico de la Maestría de Seguridad Informática de la Universidad de Buenos Aires, ha desarrollado algoritmos que podrían resistir a la computación cuántica y que permitirían que en el futuro se pueda tener privacidad en las comunicaciones. ¹¹

Probablemente para América Latina sea difícil tener computación cuántica; sin embargo la criptografía post cuántica permite igualar la asimetría de poder entre quién puede tener computadoras cuánticas y quiénes necesitan proteger su vida privada.

2.4 Autonomía en las Comunicaciones

Julian Assange dice que: “Hay muchos aspectos de Internet que no están suficientemente descentralizados, como su infraestructura física, por ejemplo. Eso hace que sea más vulnerable a la vigilancia masiva…”. Sobre la región Assange dice que “[e]n América Latina, casi todas las conexiones a la Internet mundial pasan a través de cables de fibra óptica que atraviesan Estados Unidos”[46]

Servicios de correo como Gmail, Hotmail o Yahoo; servicios de chat como Whatsapp, Facebook Messenger; servicios de voz sobre IP como Skype o Google Hangouts; tienen todos en común que son provistos por empresas participantes del programa PRISM.

En el caso de chat o de voz, estos son servicios centralizados y no pueden federarse. Si Alice quiere hablar con Bob a través de Whatsapp, los dos deben tener una cuenta en Whatsapp. No es posible que Alice hable con Bob desde su cuenta de Telegram. Lo mismo sucede con servicios de voz sobre IP como Skype.

En el caso de correo electrónico es diferente porque este es un sistema federado. Alice puede utilizar la cuenta del servidor de su organización para comunicarse con la cuenta de correo de Bob en Gmail. Si bien el correo electrónico es federado, también existe concentración de cuentas en servicios como Gmail, Outlook y Yahoo.

Para tener comunicaciones seguras es importante tener autonomía El software libre da la posibilidad de que cualquier organización con las suficientes capacidades técnicas pueda implementar sus propios servidores de comunicaciones para que un tercero no las espíe. Los servicios ocultos de redes de anonimato como I2P y Tor permiten tener infraestructura propia de comunicaciones sin la necesidad de dominios, direcciones IP públicas y de manera anónima.

1Software que permite cifrar correos electrónicos sobre el que se hablará en el capítulo 4.

2El sistema operativo LineageOS se basa en Android y por defecto no instala las aplicaciones cerradas de Google. https://lineageos.org

3Traducción propia del inglés “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. ”

4PGP quiere decir “Pretty Good Privacy”, la traducción al español sería “Muy Buena Privacidad” En el capítulo 4 se verán los aspectos técnicos de este protocolo.

5Sistema de cifrado de chat que se explicará en el capítulo 5.

6Traducción tomada de Wikipedia, en inglés se conoce como “perfect forward secrecy”

7Traducción propia del inglés: “… an emerging global economy depending more and more on digital communication, ordinary people and companies need cryptography to protect their everyday communications.”

8Algoritmo de cifrado asimétrico.

9Grupo de Trabajo de Ingeniería de Internet – IETF por sus siglas en inglés.

10Instituto Nacional de Estándares y Tecnología – NIST por sus siglas en inglés.

11Los trabajos de Pedro Hecht están disponibles acá: https://arxiv.org/a/hecht_p_1.html

Referencias

[18] “Our People – Moglen & Associates”. [En línea]. Disponible en: /people/. [Consultado: 22-ene-2018].

[19] I. Marson, “Free software’s white knight”, ZDNet, 20-mar-2006. [En línea]. Disponible en: http://www.zdnet.com/article/free-softwares-white-knight-5000147301/. [Consultado: 22-ene-2018].

[20] E. Moglen, “Snowden and the Future – Part II: Oh, Freedom”, 30-oct-2013. [En línea]. Disponible en: http://www.snowdenandthefuture.info/PartII.html. [Consultado: 26-ene-2018].

[21] K. Rodríguez, M. Hernández Anzora, H. Sierra-Castro, J. Jiménez Barillas, Tábora Gonzales, Edy, y Zepeda Rivera, Mireya, ¿Privacidad digital para defensores y defensoras de derechos humanos?, Primera. San José, Costa Rica, 2015.

[22] “La Declaración Universal de Derechos Humanos”. [En línea]. Disponible en: https://www.un.org/es/universal-declaration-human-rights/. [Consultado: 24-jul-2017].

[23] “Constitución del Ecuador”. [En línea]. Disponible en: http://www.asambleanacional.gob.ec/documentos/constitucion_de_bolsillo.pdf.

[24] Fratti Sara, “Informe Anual 2017 – Observatorio Centroamericano de Seguridad Digital”. .

[25] R. Stallman, “¿A quién sirve realmente ese servidor?” [En línea]. Disponible en: https://www.gnu.org/philosophy/who-does-that-server-really-serve.html. [Consultado: 21-feb-2018].

[26] “BSD Overview”. [En línea]. Disponible en: https://developer.apple.com/library/archive/documentation/Darwin/Conceptual/KernelProgramming/BSD/BSD.html. [Consultado: 05-sep-2018].

[27] “The Android Source Code”, Android Open Source Project. [En línea]. Disponible en: https://source.android.com/setup/. [Consultado: 05-sep-2018].

[28] D. Greene, “As G Suite gains traction in the enterprise, G Suite’s Gmail and consumer Gmail to more closely align”, Google, 23-jun-2017. [En línea]. Disponible en: https://www.blog.google/products/gmail/g-suite-gains-traction-in-the-enterprise-g-suites-gmail-and-consumer-gmail-to-more-closely-align/. [Consultado: 05-sep-2018].

[29] Bergen, Mark y Surane, Jennifer, “AP Exclusive: Google tracks your movements, like it or not”, AP News. [En línea]. Disponible en: https://apnews.com/828aefab64d4411bac257a07c1af0ecb. [Consultado: 05-sep-2018].

[30] “Google and Mastercard Cut a Secret Ad Deal to Track Retail Sales”, Bloomberg.com, 30-ago-2018.

[31] Stallman, Richard, “El software libre es ahora aún más importante”. [En línea]. Disponible en: https://www.gnu.org/philosophy/free-software-even-more-important.es.html. [Consultado: 05-sep-2018].

[32] “¿A quién sirve realmente ese servidor?” [En línea]. Disponible en: https://www.gnu.org/philosophy/free-software-even-more-important.es.html. [Consultado: 07-feb-2018].

[33] A. Ankerholz, “2017 Linux Kernel Report Highlights Developers’ Roles and Accelerating Pace of Change”, The Linux Foundation, 25-oct-2017. .

[34] “Edward Snowden: NSA whistleblower answers reader questions”, The Guardian, 17-jun-2013.

[35] “Intercept with PGP encrypted message”. [En línea]. Disponible en: https://edwardsnowden.com/2015/01/06/intercept-with-pgp-encrypted-message/. [Consultado: 22-sep-2017].

[36] “Intercept with OTR encrypted chat”. [En línea]. Disponible en: https://edwardsnowden.com/2015/01/07/intercept-with-otr-encrypted-chat/. [Consultado: 22-sep-2017].

[37] “Different Types of Encryption”. [En línea]. Disponible en: https://sec.eff.org/articles/different-encryption. [Consultado: 22-nov-2018].

[38] P. Higgins, “Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection”, Electronic Frontier Foundation, 28-ago-2013. [En línea]. Disponible en: https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection. [Consultado: 16-oct-2018].

[39] S. Levy, “Crypto Rebels”, WIRED, 01-feb-1993. [En línea]. Disponible en: https://www.wired.com/1993/02/crypto-rebels/. [Consultado: 29-ene-2018].

[40] P. Zimmermann, “Phil Zimmermann on PGP”, nov-1994. [En línea]. Disponible en: https://philzimmermann.com/EN/essays/index.html. [Consultado: 29-ene-2018].

[41] T. Rid, “The cypherpunk revolution”, Atavist, 20-jul-2016. [En línea]. Disponible en: http://projects.csmonitor.com/cypherpunk. [Consultado: 29-ene-2018].

[42] “The Electronic Frontier Foundation”, 07-may-2017. [En línea]. Disponible en: https://web.archive.org/web/20170507231657/https://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_des_faq.html. [Consultado: 20-nov-2018].

[43] Appelbaum, Jacob et al., “Prying Eyes: Inside the NSA’s War on Internet Security”, SPIEGEL ONLINE, 28-dic-2014. [En línea]. Disponible en: http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html. [Consultado: 03-ene-2017].

[44] “Exclusive: Secret contract tied NSA and security industry pioneer”, Reuters, 20-dic-2013.

[45] https://www.facebook.com/hokietiger88, “NSA seeks to build quantum computer that could crack most types of encryption”, Washington Post. [En línea]. Disponible en: https://www.washingtonpost.com/world/national-security/nsa-seeks-to-build-quantum-computer-that-could-crack-most-types-of-encryption/2014/01/02/8fff297e-7195-11e3-8def-a33011492df2_story.html. [Consultado: 20-nov-2018].

[46] J. Assange, “Flujos de información y poder”, América Latina en movimiento, 10-abr-2014. [En línea]. Disponible en: http://www.alainet.org/es/articulo/84739. [Consultado: 26-ene-2017].

Las comunicaciones en Internet pueden ser vigiladas por agencias de inteligencia de potencias como los Estados Unidos o por estados más pequeños como es el caso de Latinoamérica. En este capítulo se expondrán de manera breve varios casos de espionaje estatal de los que se tiene conocimiento.

En la sección 1.1 se explica los alcances de vigilancia masiva realizado por los Estados Unidos y sus aliados según las revelaciones de Edward Snowden. En la sección 1.2 se muestran algunos casos de espionaje realizados por gobiernos de América Latina. Se finaliza el capítulo con la sección 1.3 donde se explica el modelo de amenaza sobre el cual se trabajará a lo largo del trabajo.

1.1 Vigilancia Global

Para el “Trabajo Final de Especialización en Seguridad Informática”, el autor realizó una investigación sobre las capacidades de vigilancia de La Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés).[1] En junio de 2013 Edward Snowden, ex contratista de la NSA, filtró miles de documentos a los periodistas Glenn Greenwald y Laura Poitras. Los mismos contienen información interna que muestra las capacidades de la NSA para recolectar comunicaciones de Internet de forma masiva y cómo procesa toda la información almacenada.

Una de las revelaciones más importantes de Snowden es el programa PRISM. En una presentación de 2013 se explica que, para entonces, en este programa participaban las empresas Microsoft, Google, Yahoo, Facebook, Paltalk, Youtube, Skype, AOL y Apple; también se anunció que Dropbox se sumaría como proveedor de información para PRISM.

Según los documentos, las corporaciones que participan en este programa entregan los datos de sus usuarios al gobierno de Estados Unidos cuando este se lo solicita. Salvo que una persona sea ciudadana de Estados Unidos y se encuentre en este país, no existe ningún tipo de protección legal. Es decir que agencias como la NSA, CIA y el FBI pueden acceder a los datos de ciudadanos extranjeros almacenados en los servidores de estas empresas sin ser informados y sin necesidad de una orden judicial.

Entre la información que se entrega a estas agencias se encuentra correos electrónicos, conversaciones de chat, videos, llamadas de voz, entre otros como se puede ver en la imagen 1. En otra diapositiva de esta misma presentación se afirma que PRISM es la principal fuente de la NSA para generar informes de inteligencia. [2]

PRISM es una de las muchas formas que tiene la NSA para recolectar información de Internet. En la imagen 2 se puede ver una diapositiva que muestra que en 2012 la NSA recolectaba información con el apoyo de agencias de inteligencia de otros países (3rdPARTY/LIASON), interceptaba comunicaciones celulares desde misiones diplomáticas (REGIONAL), a través de ataques informáticos (CNE), directamente desde los cables de fibra óptica (LARGE CABLE) e interceptando las comunicaciones satelitales (FORNSAT).[3]

La información recolectada luego es procesada en varios sistemas que permiten realizar búsquedas. El sistema XKEYSCORE funciona de manera similar a un buscador de Internet sobre los datos recolectados por la NSA. Para 2009, en este sistema se podía realizar búsquedas de hasta tres días de contenido de las comunicaciones y treinta días de metadatos¹ de todo el tráfico recolectado de forma masiva por la NSA. Otros sistemas como Pinwale permiten almacenar datos por cinco años.[1]

Snowden describe las capacidades de estos sistemas: «Yo, sentado en mi escritorio, tenía la facultad de intervenir al que fuera, desde un contador hasta un juez federal e incluso el presidente, siempre y cuando tuviera su correo electrónico personal.» [4]

La NSA no es la única agencia de Estados Unidos que espía en Internet. Revelaciones realizadas por Wikileaks en el año 2017 muestran documentos de la CIA que ponen en evidencia la capacidad de esta agencia para explotar fallos de seguridad en sistemas operativos de computadoras, celulares, televisiones inteligentes, entre otros.[5]

En diciembre de 2011 Wikileaks realizó la primera publicación de los documentos conocidos como Spyfiles. En esta entrega se denunció la existencia de 160 empresas, ubicadas en países tecnológicamente desarrollados, que venden productos de vigilancia a gobiernos a nivel mundial. Software como el de la empresa sudafricana Vastech permite grabar las llamadas telefónicas de naciones enteras, otras soluciones permite registrar la ubicación de todos los teléfonos celulares en una ciudad. Empresas como la italiana Hacking Team o la francesa Vupen venden software para instalar malware en teléfonos celulares y tomar control remoto. En ese entonces soportaban Android, Iphone y Blackberry. Revelaciones similares se realizaron en 2013 y 2014.[6] [7]

1.2 Vigilancia Estatal en América Latina

No es necesario tener las capacidades de vigilancia de gobiernos como Estados Unidos para vigilar a los ciudadanos de un país. Es suficiente tener los recursos para comprar las soluciones ofertadas por las empresas que venden tecnologías de vigilancia. En los últimos años sucedieron revelaciones que muestran que gobiernos de América Latina compraron software de vigilancia y que lo han utilizado para espiar a periodistas, activistas y políticos.

En julio de 2015, la empresa italiana Hacking Team fue vulnerada electrónicamente y se hicieron públicos 400 gigabytes de información. Un informe realizado por la organización chilena Derechos Digitales basada en la información filtrada muestra que Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias de software de esta empresa; mientras que Argentina, Guatemala, Paraguay, Uruguay y Venezuela mantuvieron negociaciones que, hasta julio de 2015, no se concretaron. [8]

Un video de Hacking Team filtrado a Wikileaks describe el tipo de software que ellos ofertaban a gobiernos en 2011. El mismo dice tener la capacidad de infectar teléfonos y computadoras de forma remota o con acceso físico. Una vez que el dispositivo está infectado, se tiene control remoto sobre el mismo y se puede vigilar su actividad. Comunicaciones cifradas, documentos editados, impresiones, capturas de actividad en el teclado (keylogger), mensajería instantánea son algunas de las actividades que se puede monitorear de forma remota.[9] En otro documento promocional de 2011 se dice que tiene la capacidad de monitorear desde unas pocas personas hasta algunos miles. [10] Basado en información de las filtraciones, el informe de Derechos Digitales dice que en México, Panamá y Ecuador se utilizó el software Hacking Team para espionaje político.

En la imagen 3 se puede ver un gráfico que detalla cuánto gastaron los países de América Latina en el software de Hacking Team. El medio periodístico Animal Político de México hizo otra investigación sobre los documentos y determinó que México es el país que más dinero pagó a Hacking Team a nivel mundial y Chile ocupa el quinto lugar.[11]

NSO es una empresa Israelita que vende el software Pegasus, que de manera similar al de Hacking Team, permite tomar control remoto de teléfonos celulares. En una investigación realizada por el laboratorio Citizen Lab de la Universidad de Toronto sobre el uso de Pegasus a nivel mundial mostró que México es el país que más utiliza este software.[12]

Las organizaciones R3D, Article 19 y SocialTIC realizaron el reporte “Gobierno Espía” que analiza el uso de este software en México. El reporte mostró intentos de infectar teléfonos celulares de periodistas y activistas políticos que denunciaron casos de violencia y corrupción en ese país. Entre las víctimas se encuentran miembros del Centro de Derechos Humanos Miguel Agustín Pro Juárez que denunciaron el caso de los 43 estudiantes desaparecidos de Ayotzinapa.[13]

La periodista Carmen Aristegui denunció el caso de corrupción Casa Blanca que vincula al presidente mexicano Enrique Peña Nieto en su programa Aristegui Noticias. Luego de esto, ella fue otra de las víctimas de intentos de infección del software de NSO. Al no poder vulnerar el teléfono de la periodista intentaron infectar el teléfono de su hijo, que en ese entonces era menor de edad. Esto muestra que no hay que ser político, periodista o activista para ser víctima de espionaje; basta con ser hijo o cercano a alguien a quién un estado quiere vigilar para que las comunicaciones puedan ser intervenidas.

La empresa alemana Fin Fisher vende soluciones similares a las de Hacking Team y NSO. Para su funcionamiento necesita tener servidores en Internet a los que reporta la actividad de los dispositivos infectados. Citizen Lab encontró cómo identificar estos servidores al enviar cierto tipo de peticiones. Para eso utilizaron herramientas como ZMAP² para explorar todas las direcciones públicas IPV4 de Internet. Con esto identificaron 33 posibles clientes ubicados en 32 países; en el listado aparecen México, Venezuela y Paraguay. Debido a las limitaciones del estudio no se sabe exactamente quiénes están utilizando el software de Fin Fisher para espiar, pero sí que se lo ha utilizado en estos países.[14]

Otro caso que puso en evidencia Citizen Lab es el denominado PACRAT. En el mismo se identificó infraestructura compartida por varios países de la región, así como campañas para intentar infectar con código malicioso computadoras o robar contraseñas a través de phishing³. Entre los países que aparecen en este estudio se encuentran Argentina, Ecuador, Brasil y Venezuela. En este caso el espionaje se dio a políticos, periodistas y activistas. [15]

Casos como los de Hacking Team, NSO, Fin Fisher y PACRAT muestran que gobiernos en América Latina adquieren tecnología de vigilancia. La misma que debería ser utilizada para combatir el crimen se utiliza también para espiar a políticos, periodistas o activistas. Esto se hace incluso al margen de la ley.[8] En los cuatro casos se trata de vigilancia dirigida; es decir que se quiere espiar a ciertas personas en particular.

La vigilancia masiva es cuando se espía o se recolecta datos de forma masiva a una población determinada. La Fundación de la Frontera Electrónica (EFF por sus siglas en inglés) coordinó una investigación en 12 países de América Latina para conocer las capacidades de vigilancia de los gobiernos de estos países.[16]

De los países en los que se realizó la investigación, se determinó que en México, Honduras, Colombia, Perú, Argentina y Chile existe obligación legal de las operadoras de telecomunicaciones de recolectar datos de sus abonados. Esta obligación va desde al menos un año en Chile hasta los 5 años en Colombia y Honduras.

En todos los casos para que el gobierno pueda acceder a la información recolectada se requiere una orden judicial. La excepción a la regla es México donde el gobierno puede acceder a los datos de localización en tiempo real.

La organización Privacy International realizó en 2015 una investigación sobre la vigilancia en Colombia. En la misma se muestra que en 2013, la policía colombiana gastó 28 millones de dólares estadounidenses para el fortalecimiento de la Plataforma Única de Monitoreo y Análisis (PUMA). Más de la mitad de esta inversión se utilizó para:

… software y hardware básicos necesarios para convertir PUMA en un sistema completo de interceptación legal, capaz de recopilar datos y contenido de llamadas de voz, VoIP, tráfico de Internet y redes sociales en 12 de los proveedores de servicios de telecomunicaciones de Colombia –cuatro redes de datos móviles y voz (Claro, Tigo, Avantel y Movistar) y ocho proveedores de servicios de Internet (Une, Telefónica, Emcali, Metrotel, ETB, Telebucaramanga, Telmex y EPM). [17]

Este contrato fue firmado con la empresa Verint aunque luego se canceló; sin embargo, dice el informe, el proyecto PUMA sigue activo.

El objetivo de este trabajo no es detallar todos los casos de vigilancia por parte de gobiernos en América Latina. Sin embargo, es importante saber que los gobiernos de la región tienen la capacidad de vigilar a sus ciudadanos y que en varias ocasiones abusaron de ese poder, incluso al margen de la ley.

1.3 Modelo de Amenaza

En las secciones previas de este capítulo se vio que existen varias formas en la que los gobiernos y empresas pueden espiar las comunicaciones en Internet. Con la vigilancia masiva se intenta espiar o recolectar la información de poblaciones enteras y con la vigilancia dirigida se busca espiar a un grupo específico de gente.

El modelo de amenaza que busca mitigar este trabajo es el de vigilancia masiva. Se quiere proteger el tráfico de la comunicación de posibles actores que podrían espiarlo. Estos podrían ser los proveedores de Internet o cualquier otro que pueda interceptar las comunicaciones en tránsito. Además se quiere proteger las comunicaciones de las personas u organizaciones que proveen los servicios de comunicación como correo electrónico, chat y voz sobre IP.

La imagen 4 explica el modelo de amenaza para el caso de correo electrónico; pero es un esquema similar a cualquier tipo de servicio. La conexión a Internet de Alice o Bob podría ser espiada por su proveedor local de Internet o por cualquier ruteador en el medio hasta llegar al servidor de correo. El proveedor de correo electrónico podría espiar los correos de todos sus usuarios.

En este trabajo no se analiza el modelo de amenaza de atacantes como NSO, Fin Fisher o Hacking Team. Es importante tomar en cuenta la seguridad de las terminales de comunicación debido a que si alguna estuviera infectada con software malicioso pondría en riesgo la comunicación

1Metadatos son los datos que describen a los datos.

2ZMAP es una herramienta que permite escanear todas las direcciones IPv4 públicas. Disponible en: https://zmap.io/

3Ataque informático que intenta robar claves a través de páginas falsas similares a las reales.

Referencias

[1] R. Bonifaz, “La NSA Según las Revelaciones de Snowden”, Facultad de Ciencias Económicas. Universidad de Buenos Aires, 2017.

[2] “PRISM/US-984XN Overview”, abr-2013. [En línea]. Disponible en: https://edwardsnowden.com/2013/06/07/prism-overview-slides/.

[3] “NSA’s global interception network”, Electrospaces.net, 03-dic-2013. [En línea]. Disponible en: https://electrospaces.blogspot.com.ar/2013/12/nsas-global-interception-network.html. [Consultado: 19-jun-2017].

[4] B. M. Tecnología, “La poderosa herramienta de EE.UU. para vigilarlo todo en internet”, BBC Mundo, 08-ene-2013. [En línea]. Disponible en: c. [Consultado: 22-abr-2017].

[5] Wikileaks, “Vault7 – Home”, 07-mar-2017. [En línea]. Disponible en: https://wikileaks.org/ciav7p1/. [Consultado: 18-dic-2017].

[6] Wikileaks, “The Spy Files”, 01-dic-2011. [En línea]. Diponible en: https://wikileaks.org/the-spyfiles.html. [Consultado: 06-sep-2017].

[7] Wikileaks, “Spy Files – All Releases”, 2014. [En línea]. Disponible en: https://www.wikileaks.org/spyfiles/. [Consultado: 28-ago-2017].

[8] G. Pérez de Acha, “Hacking Team Malware para la Vigilancia en América Latina”. Derechos Digitales, mar-2016.

[9] Wikileaks, “Spy Files – Remote Control System: Full Intelligence on Target Users even for encrypted Communications”. [En línea]. Disponible en: https://www.wikileaks.org/spyfiles/document/hackingteam/287_remote-control-system-full-intelligence-on-target-users-even/. [Consultado: 24-ene-2018].

[10] Wikileaks, “Spy Files – Remote Control System”, oct-2011. [En línea]. Disponible en: https://www.wikileaks.org/spyfiles/document/hackingteam/147_remote-control-system/page-2/#pagination. [Consultado: 24-ene-2018].

[11] Animal Político, “México, el principal cliente de una empresa que vende software para espiar”, Animal Político, 07-jul-2015. .

[12] Citizen Lab, “The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender”, The Citizen Lab, 24-ago-2016. [En línea]. Disponible en: https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/. [Consultado: 29-dic-2017].

[13]R3D, Article 19, y SocialTIC, “Gobierno Espía”. jun-2017.

[14] Citizen Lab, “Mapping FinFisher’s Continuing Proliferation”, The Citizen Lab, 15-oct-2015. [En línea]. Disponible en: https://citizenlab.ca/2015/10/mapping-finfishers-continuing-proliferation/. [Consultado: 12-ene-2018].

[15] J. Scott-Railton, M. Marquis-Boire, C. Guarnieri, y M. Marschalek, “Packrat: Seven Years of a South American Threat Actor”, The Citizen Lab, 08-dic-2015. [En línea]. Disponible en: https://citizenlab.ca/2015/12/packrat-report/. [Consultado: 13-ene-2018].

[16] EFF, “¿Quiénes pueden vigilarnos? Infografía”, Necessary and Proportionate, 29-sep-2016. [En línea]. Disponible en: https://necessaryandproportionate.org/es/americas-reports/quienes-pueden-vigilarnos. [Consultado: 31-ene-2018].

[17] Privacy International, “Un estado en la sombra: vigilancia y orden público en Colombia”. ago-2015.

Al final, el Partido anunciaría que dos y dos son cinco y habría que creerlo. Era inevitable que llegara algún día al dos y dos son cinco.

La novela «1984» de George Orwell es conocida por presentar una sociedad vigilada donde el Gran Hermano ve todo y controla todo lo que la gente hace. En esta sociedad, lo que dice el partido liderado por el Gran Hermano es la verdad, no importa que no sea cierto. Si el Estado dice que dos más dos son cinco, entonces dos más dos son cinco.

El 29 de mayo de 2019 se realizó la audiencia de solicitud de fianza para que Ola Bini se pueda defender en libertad. Pocas horas antes de la misma, los abogados de la defensa fueron notificados que Ola no estaría presente ese día por motivos logísticos, sino que participaría mediante video conferencia. ¡A pesar de encontrarse en la misma ciudad a uno 15 minutos de distancia! Este suceso daba luces de lo que vendría luego y no sería nada bueno.

Cuando empezó la audiencia, la jueza dejó claro que debíamos apagar todos los celulares. Un señor con cara de malo nos advertía de las consecuencias de no obedecer mientras nos miraba de manera intimidante. Quería estar seguro de que nadie grabe lo que iba suceder.

Cuándo empezó la audiencia, a Ola lo veíamos molesto en unas pantallas de televisión ubicadas a los dos lados de la jueza Yadira Proaño. ¿Quién no estaría molesto cuándo el mismo día día de la audiencia te notifican que te defenderás de manera remota?

La sesión empezó con la participación de José Charry, no pasaron ni cinco minutos y sonó un teléfono. La jueza perdió la cabeza y decidió sacar a la gente de la sala. Salimos todos menos el embajador y el cónsul de Suecia que se les permitió quedarse tras protestar por lo que estaba sucediendo.

La audiencia fue corta, pero el tiempo de espera para que la jueza se pronuncie no. Fueron varias horas que tuvimos que esperar con angustia. La sensación era similar a la que se tiene en un hospital cuando se espera la mala noticia de la operación de un ser querido. Yo sabía que la jueza se demoraba tanto porque tenía que ver como nos iba a explicar que dos más dos es igual a cinco.

Pasó el tiempo y la explicación de la jueza fue más o menos la siguiente. «Cómo no sabemos quién fue el afectado por el delito… no sabemos si fue uno, fueron dos o fueron más…. me es imposible calcular el valor de una fianza…. por lo tanto el señor debe seguir preso hasta que la fiscalía explique quiénes fueron los afectados por el supuesto delito».

(Cuando se haga pública el acta de la audiencia, la pondré acá para que los lectores de este blog puedan tener la verdad oficial.)

Poco le importó la presunción de inocencia. Si el fiscal no sabe quiénes fueron los afectados por el ataque al sistema, que tampoco sabe cual es, entonces, ¿de qué se le esta investigando a Ola Bini? ¡¿Por qué esta preso?!

Con el caso de Ola Bini, queda claro que los jueces de Ecuador pueden actuar bajo presión del ejecutivo y tomar medidas arbitrarias con argumentos absurdos. Si a Ola Bini, programador reconocido a nivel mundial le pasa esto, ¿qué justicia puede esperar la gente común?

Ola Bini es un programador de software libre especializado en el desarrollo de herramientas que permiten defender la privacidad en el mundo digital. Se encuentra detenido desde el 11 de abril de 2019 por supuestamente haber atacado sistemas informáticos.

La mañana de ese día, pocas horas después de que Ecuador retiró el asilo a Julian Assange; María Paula Romo, Ministra del Interior, anunció que hackers rusos y un miembro de Wikileaks viven en Ecuador. Resulta que el supuesto miembro de Wikileaks era Ola Bini de quién Romo dijo tener evidencias de que formaba parte de un «plan de desestabilización conectado con intereses geopolíticos del continente«.

Según el resumen del acta de la audiencia de flagrancia donde se dictó la prisión preventiva por 90 días, se lo investiga por supuestamente haber cometido el delito «ATAQUE A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS» como estipula el artículo 232 numeral 1 del COIP.

Al momento de escribir este artículo Ola ha estado detenido por 30 días. El fiscal Fabián Chávez no ha sido capaz de mencionar los supuestas sistemas atacados. María Paula Romo ya no habla de los supuestos «hackers» rusos y los planes de desestabilización.

José Charry, abogado de Ola, explica en el siguiente tuit la injusticia que se está cometiendo.

Si se investiga un ataque informático, lo lógico sería investigar el sistema atacado para buscar a los responsables. En este caso primero se encontró un «culpable» y ahora andan buscando que sistema dizque atacó. Lo lógico sería recabar la información del sistema atacado como lo explica el perito informático Luis Enriquez en el siguiente tuit.

No soy abogado, pero me parece una injusticia que se meta preso a alguien cuando ni siquiera el fiscal sabe de que lo acusa. Vale la pena leer la opinión de algunos reconocidos abogados sobre la medida de la prisión preventiva:

El día 3 de mayo hubo una audiencia donde se solicitó la sustitución de la prisión preventiva. La misma fue negada y se citaron como motivos la la rueda de prensa de María Paula Romo, la declaración del presidente Moreno, una llamada al número 1800-delito y la amistad de Ola con Assange.

Si Ola hubiera atacado algún sistema, las motivaciones no serían lo que dijo la ministra, el presidente, un alias Marco o la amistad con Assange. Lo que diría el fiscal sería algo como «el sistema xyz fue atacado y según los registros del sistema vulnerado se tienen indicios para sospechar que Juan Pérez fue quién cometió el delito».

Si consideras que esto es una injusticia, únete a las 70 organizaciones y 95 a nivel MUNDIAL que piden la libertad de Ola Bini.