Sobre ciberseguridad en Colombia: mucho ruido y pocas nueces

2016-04-05 Leer en voz alta

infografiaPor Pilar Sáenz

Introducción

Con el apoyo de Privacy International, y como parte del grupo sobre monitoreo e incidencia de la vigilancia global – Global Surveillance Monitoring and Advocacy – durante los últimos años Karisma ha contribuido a la investigación sobre el estado de la vigilancia de las comunicaciones en Colombia. En el marco de este proyecto Karisma ha escrutado el régimen de retención de datos en el país, el estado legal del cifrado de comunicaciones y el uso de herramientas de hackeo por parte de las autoridades de Colombia. Como productos de este trabajo se cuentan los documentos ¿Es legítima la retención de datos en Colombia? y Cuando el Estado ‘hackea’. Adicionalmente Fundación Karisma apoyó los dos informes producidos por Privacy International sobre la situación de la vigilancia masiva en el país: Shadow State: Surveillance, Law and Order in Colombia y Demand/Supply: Exposing the Surveillance Industry in Colombia. El último resultado de esta colaboración es el reporte Estado de la vigilancia: Colombia –State of surveillance: Colombia– lanzado a principios de marzo de 2016.

Parece oportuno a estas alturas hacer un recuento de esta situación a la luz de  las discusiones de política pública en materia de ciberseguridad que se están dando en Colombia. Condimentado con una serie de escándalos que involucran comprobados y posibles abusos en el uso de sistemas de vigilancia por parte de algunas instituciones del Estado, es evidente la necesidad de generar en Colombia una política que promueva  el respeto a los derechos humanos y que debe empezar por impregnar el nuevo Conpes de seguridad digital que servirá de base para una serie de reformas legales durante los próximos años.

Pasado

Quizás son los abusos del ahora extinto Departamento Administrativo de Seguridad -DAS-, conocidos en Colombia bajo el términos de “las ChuzaDAS”, el mejor ejemplo del uso de sistemas de vigilancia selectiva de forma ilegal por parte de algunos miembros del Estado en contra de defensores de derechos humanos, periodistas, activistas y opositores políticos. En este bochornoso precedente se llegó a espiar incluso a las altas cortes del país. Tras años de investigación la reacción fue el desmantelamiento del DAS y la creación de la Agencia Nacional de Inteligencia. Aún hoy, 8 años después, las investigaciones siguen curso. Sin embargo fueron los ataques que realizó en el 2011 el grupo de Anonymous, contra algunas páginas del Estado en una protesta en línea contra la Ley Lleras, y el aumento de la capacidad delincuencial en el ciberespacio lo que aparece registrado entre las motivaciones para los nuevos lineamientos de política pública en materia de ciberseguridad y ciberdefensa consignados en el documento CONPES 3701.

En este documento se recomendó crear una serie de instituciones: una Comisión Intersectorial, materializada en la Comisión Nacional Digital y de Información Estatal creada en enero de 2013; el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), creado en junio de 2013 , el Comando Conjunto Cibernético de las Fuerzas Militares (Ccoc), creado en octubre de 2012 y el Centro Cibernético Policial (CCP).

Pero además del Conpes de ciberseguridad de 2011, en la misma época se fortalecIó la legislación desarrollando las herramientas jurídicas necesarias para la prevención, investigación y judicialización de los delitos cibernéticos. En esta línea se creó todo un marco normativo encabezado por la ley de inteligencia (Ley 1623 de 2013), pero que pasa por otras normas que incluyen temas tan variados como la Ley estatutaria de Protección de datos personales, la ley de Transparencia en el acceso a la información pública y el decreto de interceptación legal de las comunicaciones, entre otros.

Sin embargo, estos cambios poco lograron en materia de control del abuso en los sistemas de vigilancia y el 2014 nos recibió con un nuevo escándalo. El ejército colombiano había montado una operación fachada, en forma de hackerspace de seguridad, donde, además de pedir a jóvenes que solucionaran retos técnicos al parecer se hacía interceptación de comunicaciones. En las primeras denuncias sobre el tema se dijo que desde este lugar se estaba espiando a los negociadores del proceso de paz con la guerrilla y además que se descubrió una lista de más de 500 objetivos donde abundaban los nombres de periodistas y opositores políticos. El reporte de la investigación oficial, presentado un año después, decía que su objetivo era “adquirir conocimientos de informática del hacking ético” pero que se habían presentado fallas “en los controles sobre esa central de seguridad”.

Este nuevo escándalo, sumado a una noticia sobre una interceptación a un correo del actual presidente y el hecho de que el del plan trazado en el CONPES de 2011 ya había sido desarrollado en un 90% según la viceministra del ministerio TIC, llevó a plantear la necesidad de desarrollar nuevos lineamientos de política pública en temas de seguridad digital, que se están discutiendo desde marzo de 2014. El borrador del nuevo CONPES fue dado a conocer de forma pública tan solo a comienzos de este año, el 22 de enero, y su socialización en mesas de trabajo sectoriales se realizó la semana siguiente.

Presente

Aunque aún está en proceso, la creación de un nuevo CONPES de seguridad digital es una oportunidad para introducir una mirada de derechos humanos en la discusión de política pública sobre ciberseguridad. Ya el borrador del CONPES plantea avances. Sin embargo, se presentaron comentarios a este documento por parte de Fundación Karisma, FLIP, Comisión Colombiana de Juristas y un puñado de ciudadanos.

Este es un listado de los puntos principales ausentes en el documento, que de no ser introducidos en la versión final, serán parte de la discusión durante su implementación:
ausencia de referencias sobre la relación entre seguridad digital en perspectiva de derechos humanos, inclusión de referencias a problemas de defensores de derechos humanos, periodistas, activistas, opositores políticos y otros ciudadanos que suponga la capacidad de vigilancia de Estado y su posible abuso y finalmente falta de propuestas sobre mecanismos y organismos de control y, supervisión a las actividades de vigilancia del Estado.

Como si se necesitara más evidencia de la urgencia de esta discusión, a finales de 2015 se dió a conocer un nuevo escándalo que involucra un posible uso abusivo de mecanismos de vigilancia por parte de algunos miembros de la policía contra periodistas. En el marco de una investigación periodística sobre una posible red de prostitución, corrupción y enriquecimiento ilícito que involucra al ex-director de la Policía Nacional, el General Palomino, se conoció el posible seguimiento, interceptación ilegal de comunicaciones y utilización de software de control remoto en contra de algunos periodistas como Vicky Dávila, Claudia Morales, Daniel Coronel y Gustavo Gardeazábal. La capacidad de uso de estas herramientas fue negada en declaraciones públicas por el General Palomino, sin embargo la denuncia por parte de los periodistas ha dado pie a varias investigaciones, incluyendo una de la Procuraduría General de la Nación en la cual se pidió oficialmente a Fundación Karisma que enviará la versión original de la investigación de Privacy International Un estado en la sombra: vigilancia y orden público en Colombia.

Futuro

Si bien en los últimos años se ha avanzado en la incorporación de las preocupaciones de la sociedad civil en materia de la consideración de un enfoque de derechos humanos al tratar temas de ciberseguridad en la política nacional, aún hay varias discusiones pendientes, sobre todo frente a la problemática del respeto a la intimidad en el país.

Como ya se ha señalado, la ausencia de controles a las actividades de inteligencia y contrainteligencia es quizás uno de los puntos más importantes y recurrentes cuando se trata el tema de las posibles reformas a los sistemas de inteligencia en el Colombia. Sin embargo no es el único.

Preocupa la definición del monitoreo del espectro consignada en la ley de inteligencia, que como lo planteó Dejusticia en su análisis sobre Vigilancia de las comunicaciones en Colombia, permite la “recolección, procesamiento, análisis y difusión de información” para prevenir y combatir amenazas de origen interno o externo contra el régimen democrático,  constitucional y legal, y contra la seguridad y la defensa nacional. El monitoreo no es considerado por la legislación actual como interceptación de comunicaciones por lo cual no está sometido a ningún tipo de control judicial.

Otro punto a considerar es la norma de retención de datos, de nuevo es un tema introducido por la ley de inteligencia y desarrollado en el decreto de interceptación de las comunicaciones. Colombia exige a los operadores de comunicaciones que retengan información sobre sus suscriptores por 5 años y no obligan a las autoridades a obtener autorización judicial para solicitar esta información.

El mantenimiento sin cuestionamiento de una antigua ley sobre cifrado de las comunicaciones es otro tema a debatir. Si bien las autoridades han dicho que esta prohibición no compromete el cifrado en medios digitales la ambigüedad de la norma hace pertinente pedir su eliminación.

Otro tema emergente, es el del uso ilegítimo de herramientas de hackeo por parte de organismos del Estado. Si bien estas herramientas hacen parte de las técnicas más avanzadas para perseguir y capturar criminales, su adquisición y uso no está reglamentado y el carácter profundamente intrusivo de estas hace que los controles sobre su utilización sean urgentemente necesarios.

Estos puntos y otras preocupaciones adicionales  fueron presentados recientemente por Fundación Karisma, Dejusticia, la FLIP y la CCJ al Relator Especial sobre el derecho a la privacidad de Naciones Unidas y sin duda serán temas a desarrollar en el futuro cercano.

El Horizonte

Queda mucho trabajo por delante para cambiar el estado actual donde las discusiones de fondo se postergan mientras vemos una y otra vez sucederse los escándalos. La implementación de la nueva política de seguridad digital y un posible escenario de posconflicto que esperamos se materialice tras la firma del proceso de paz en Colombia serán una oportunidad para insistir en la necesidad de incluir la mirada de derechos humanos y de respeto y defensa de la intimidad como parte fundamental de estos procesos.

Si se quiere cambiar el panorama de amenazas sistemáticas a la intimidad de los periodistas, defensores de derechos humanos, opositores políticas, activistas y organizaciones de sociedad civil será imperativo contar con una adecuada documentación de los casos y pruebas tanto de interceptaciones ilegales como uso de herramientas de hackeo y control remoto. La falta de confianza en las instituciones que deberían, por mandato legal, llevar a cabo estas investigaciones plantea la posibilidad de crear instancias independientes que pueda atender los requerimientos en materia de seguridad digital para sociedad civil.

La petición del informe de Privacy International por parte de la Procuraduría en relación con el último escándalo nos comprueba que es real la posibilidad de incidir, de ser escuchados y de que nuestros argumentos y pruebas sean tenidos en cuenta. El reto es pasar de hacer ruido a conseguir las nueces.
*María del Pilar Sáenz. Física de profesión, pero activista por vocación. Entusiasta del software libre, de las tecnologías abiertas y de la cultura libre.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.