Recortes de Ignacio Rodríguez de Rementería / @micronauta

2017/08/28

El problema de vigilancia con metadatos y el "decreto espía" 866


Pancho Mahmud Aleuy, actual subsecretario del interior de Chile, ha creado una normativa de recolección de datos, aparentemente a pedido de la Policía de Investigaciones, de espalda al país y que convertiría a las compañías de telecomunicaciones en amenazas explícitas para la privacidad de millones de personas.

En principio, querer datos para los efectos que interesan a Aleuy no tendría nada de malo. Es consensual que entre los terrenos para la prevención del delito y persecución de delincuencia se debe incluir el paisaje de la comunicación electrónica, donde transcurre una proporción creciente y significativa de toda actividad, y en consecuencia también actividad ilícita. Lo que es cuestionable es que haya que interceptar a todos los usuarios de servicios de telecomunicaciones a priori, lo que se vislumbra al examinar el contenido del decreto 866.


Recolección excesivamente amplia: 

En la propuesta del subsecretario, la información de usuarios se guarda por al menos dos años e incluye datos sensibles como localización, servicios utilizados y quién se comunica con quién. El plan, que según El Mostrador fue elaborado tras consulta con compañías de telecomunicaciones, asigna a dichas empresas la responsabilidad de recolectar continuamente datos de todos sus usuarios, de manera constante, sin necesidad de orden judicial, en forma contraria al principio de presunción de inocencia y poniendo en la práctica a todo el país bajo libertad vigilado, como bien ha caracterizado Juan Rodrigo Anabalón.


Nuestra privacidad como moneda de cambio para cooperación público-privada: 

Esta situación genera varias dudas que ni la autoridad ni las compañías involucradas han abordado hasta hoy. Una es quién paga. Colectar y guardar información sobre millones de usuarios presenta un costo significativo. Las empresas no lo van a hacer porque sí, van a tener que o cobrarle al Estado, o cobrarle a los usuarios (incrementando precios) o hallar una manera de hacer que la vigilancia se pague a si misma.

Aquí es donde puede estar el problema mayor, pues la inciativa facilitaría que las compañías usen los datos con sus propios fines, algo que si bien sería ilegal, es prácticamente imposible de conocer y fiscalizar para usuarios y autoridades, tal como ya ocurre sin que tengan la facultad de recolectar tantos datos ni guardarlos por tanto tiempo.

¿A quién no le ha pasado recibir llamadas de estas mismas compañías, de bancos, de aseguradoras y otras empresas, ofreciendo servicios en base a análisis de comportamiento personal?

Dicho de otra manera: se vislumbra una perversa cooperación público-privada, donde el Estado habilita al proveedor de telecomunicaciones para recoger, guardar y usar datos personales de millones de personas, a cambio de que la autoridad pueda acceder a esa huella de datos cuando sea necesario, con fines de seguridad pública.

Quienes hayan seguido en detalle el caso de Edward Snowden sabrán que en EEUU hubo un gran debate cuando se reveló que sus organismos de inteligencia estaban haciendo algo similar. Fue tal escándalo que la adminstración de Obama y el aparato de seguridad más grande del mundo tuvieron que recular en sus mecanismos y detener la recolección masiva.


Peor que lo revelado por Snowden:

En esta rincón del mundo, lo que está ocurriendo puede ser todavía peor, porque los datos no serían recolectados por un aparato de seguridad con altos estándares de resguardo y el interés público como mandamiento principal. Serían privados, específicamente las compañías de telecomunicaciones, cuya responsabilidad ante accionistas es sencillamente el mayor lucro posible, quienes tendrían el rol de "gatos cuidando la carnicería".

Algunos, ya acostumbrados a que su banco y su proveedor de telecomunicaciones sepan tanto sobre ellos, se preguntan cuál es el problema. El problema es que las compañías celulares tienen la posibilidad de recoger tanta información sobre nuestro comportamiento, que de esa información se pueden inferir cosas que no queremos que se sepan tan fácilmente.


Un ejemplo de inferencia con metadatos:

Este excelente ejemplo fue utilizado por la Electronic Frontier Foundation en una presentación sobre el peligro de los metadatos:

La empresa celular no puede saber que un usuario tiene VIH, pero sí puede saber
  • que ese usuario recibió  una comunicación de un servicio que realiza exámenes, 
  • que después de esto hizo búsquedas sobre el VIH, 
  • visitó sitios sobre el VIH, 
  • vio videos sobre el VIH, 
  • pidió hora con su médico
  • y también con un médico especialista en VIH. 
El valor de esta información para una empresa de seguros es muy alto, porque le podría generar grandes ahorros deshacerse del cliente antes que comunique su enfermedad, o podría evitar contratar con ese potencial cliente en primer lugar, o podría contratarle pero cobrarle el doble. Similarmente, un banco podría negarle un préstamo, o cobrarle mayor interés. Estos son ejemplos bastante inocuos, comparados con las posibilidades de chantaje si alguien inescrupuloso accede a estos metadatos o lo que se infiere de ellos... por ejemplo alguien que trabaje para las compañías de telecomunicaciones.

El riesgo se puede incrementar todavía más si dichas empresas además externalizan el servicio de colección de datos, como ya lo hacen para la interception de llamadas cuando el Estado emite una orden judicial.

Hay ejemplos peores y lamentablemente, menos hipotéticos. En China y México los servicios estatales de espionaje masivo se han utilizado para amedentrar e incluso encarcelar periodistas y activistas.

El tema da para largo, pero aquí hay algo bueno para leer sobre aquello: lo que tu móvil devela de ti.  Y es precisamente que el usuario no sabe todo lo que su móvil sabe lo que podría desmoronar este proyecto, si le hacemos casos a la Constitución.


La Constitución y la Privacidad:

La Constitución de Chile contiene una definición bastante moderna sobre la privacidad y su defensa. Dicho en simple, establece que independiente del contexto, soporte o medio, lo que importa es la expectativa de privacidad que tenga ciudadano. El usuario de servicios de telecomunicaciones tiene una expectativa de privacidad alta, no es consciente de que su comunicación y ubicación pueden estar siendo analizadas y registradas, no comprende que la compañía telefónica sabe en todo momento dónde se encuentra, y puede inferir por ejemplo con quién se encuentra, además de saber con quién se comunica.

El abogado especialista Daniel Alvarez V. ha escrito algo interesante sobre esto: Vida privada en Chile: precisando los límites, y de su descripción se desprende que un proyecto como el mencionado no está la altura de lo que la Constitución exige.


Entonces, ¿Qué se puede hacer?

Una primera respuesta que es la clásica: escríbele a tu legislador. Pero hay un problema. Aleuy quiere modificar la normativa e imponer este mecanismo a través de un decreto, sin pasar por el proceso legislativo regular. Esto, como han dicho ya algunos expertos en la tribuna pública, podría ser inconstitucional. Un cambio de políticas públicas que genere efectos tan significativos no debe ocurrir sin la participación de la ciudadanía, sus representantes y expertos.

Una segunda respuesta es lo que estás leyendo. Hay que conversar del tema, no permitir que pase piola y ejercer presión mediante los mecanismos disponibles, esto incluye expresarse en social media, por ejemplo en torno al hashtag #DecretoEspía, para crear consciencia y emplazar directamente a las autoridades a través de sus presencias en estas plataformas. Un ejemplo en la imagen:


Y por último una tercera respuesta es usar servicios anónimos. Una de las razones por que la recolección de datos crea vulnerabilidad es porque la compañía de telecomunicaciones sabe quién eres, y por lo tanto puede asociar tu tráfico a tu identidad. Una manera de evitar esto es que la compañía no sepa quién eres. Para esto se puede usar una conexión móvil de prepago (o idealmente más de una), a través de equipos que también hayan sido adquiridos de manera anónima.

En Chile aún no existe obligación de que el usuario entregue su identidad a proveedores de prepago (aunque algunos piden el RUT al activar el chip o para solicitar asistencia técnica). Además hay que pagar la cuenta asociada a dichos chips en efectivo, para evitar la relación de identidad vía medios de pago electrónicos, otro elemento incluido en el decreto. Esto no hace imposible que los datos sean relacionados con tu identidad, pero lo dificulta bastante.

La ONG Derechos Digitales ha presentado un recurso en la Contraloría para detener esto. Es posible que entre dicho recurso y la presión pública, logremos que Aleuy y su ministerio vean la luz y esta iniciativa no llegue a implementarse en su forma conocida hasta ahora. Ojalá.

Recomiendo leer también lo que han escrito Christian Leal8gigasDerechos Digitales y el Instituto Chileno de Derecho y Tecnologías sobre el tema.

2014/04/06

Una noticia buena y una mala. La buena: la Internet podría ser gratis


La mala: la Internet podría ser de Google.

La razón: el valor del los datos del usuario es tan grande (según Alexis Madrigal, US$1200 por año en base a datos de la IAB) que si el acceso se logra abaratar a menos que eso, va a ser buen negocio para Google proveer dicho acceso.

Google no ha ocultado sus intenciones de proveer acceso:

Por un lado el proyecto sumamente aterrizado de llegar con fibra a los hogares ya está funcionando en Kansas City y Provo, y se extenderá a Austin y otras ciudades durante los próximos años. Asimismo, proyectos de más alto vuelo como Loon ya están en pruebas, y Google es parte de uno de los proyectos satelitales más ambiciosos de los últimos años: O3b. Con esto la empresa ya tiene presencia en tres "capas" de la Internet: backbone mundial, fibra y acceso inalámbrico.

Pero mientras nos distraemos con lo de los globos, no olvidemos que Google ya entrega acceso gratuito en varias ciudades donde cuenta con oficinas, y es en esta tendencia donde podría estar lo más disruptivo:

Un cambio reciente de regulación por parte de la FCC aumenta la potencia del Wi-Fi en la banda de 5GHz y revela además intenciones de la entidad reguladora de extender el ancho de banda disponible para comunicación sin licencia en dicha zona del espectro. Esto signfica que se abre la puerta para que alguien implemente acceso masivo a Internet usando dicha tecnología sin necesidad de los engorrosos permisos que deben pedir las compañías móviles habitualmente.

Entonces, si Google es una de las empresas que más ganan por usuario gracias a la recolección de su información personal, y si es de su interés que las personales tengan el mayor acceso posible, no cuesta mucho extrapolar: al "subvencionar" el acceso, Google incrementa su negocio, a tal punto que podría dar acceso gratuito. Las piezas ya están en su lugar.

Por cierto, Google no es la única empresa que tiene este potencia: Ebay y Amazon ganan más por usuario que Google, pero Ebay no tiene infraestructura de acceso y Amazon podría entrar en ese juego pero está un poco tarde. Lo más interesante: al menos en EEUU el valor de cada usuario como espectador de avisaje online no para de aumentar, y ese es el negocio base de Google.

Como proveedor de acceso gratuito Google dejaría fuera de la competencia masiva a todos los proveedores que cobran por acceso, relegándolos a nichos de usuarios que por algún motivo valora altamente la privacidad de sus datos personales. La mayoría de los usuarios tiene poca consciencia y preocupación por su privacidad, bajo la idea de "no tengo nada que ocultar", haciendo muy difícil que se nieguen a una solución de acceso gratuito.

¿Podrán las leyes antimonopolios y pro libre competencia o los estados que quieren más control de la Internet mantener Google a raya? Es posible que finalmente esa sea la única manera de aportar cierto equilibrio al poder incontenible de Google.

2014/01/25

El futuro de la Internet en las ciudades: redes mesh para acceso a menor costo, resiliencia y anonimato


Va a llegar un día en que esto tenga masa crítica, habrá tantas antenas así, ruteándose la Internet entre hogar y hogar, que se nublará un poco la diferencia entre la Internet pública y la Internet privada en la "ultima milla", con una tecnología de red conocida como mesh o "malla".

(foto por Wificentro)

Todavía falta para eso, y no hay que olvidar que si nos colgamos de otro ese otro está pagando, entonces si tuvo la buena onda de dejar su red sin clave no hay que abusar bajando películas y saturando su conexión. Pero hay algo interesante pasando en esta dirección, tanto por gente que se cuelga como por gente que comparte.

Lo clave: uno puede hacer las dos cosas, y eso pronto podrá aportar una red más resliliente, porque si se corta la del vecino él puede usar la mía y viceversa, y una red más anónima, porque el proveedor no podrá saber si el tráfico es mío o del vecino.

Un detalle interesante: a empresas como Google esto no le gusta, porque su negocio se basa en recopilar información sobre los usuarios.

2013/12/13

Abandono de deberes: pillando a Subsecretaría de Telecomunicaciones de Piñera "en el acto"


Resúmen ejecutivo: una app que la Subsecretaría de Telecomunicaciones está invitando a usar para que ayudemos a medir calidad de la Internet en Chile no es segura, pero además duplica en funcionalidad a un estudio que ya se hizo en Chile y al que la autoridad hizo oídos sordos. 

Como buen usuario informado que intento ser, hice la pruebe de descargar la aplicación a uno de mis teléfonos. Al final del texto cuento lo que descubrí y las preguntas que me quedaron, pero primero un poco de contexto:

Primer acto: usuarios denuncian mecanismos de gestión de tráfico (limites de velocidad) que atentan contra legislación de neutralidad de red, medibles en forma empírica y también con herramientas que existen para tal efecto.

Para ser justos, esto viene pasando desde antes del gobierno actual, pero la legislación que manda a los proveedores a resguardar la neutralidad opera desde finales de ese periodo.

Segundo acto: Adkintun, proyecto de medición ligado a la Universidad de Chile, mide calidad de la conectividad de Internet desde el 2011, en varios sistemas operativos de escritorio, tablets y smartphones. sin solicitar ni guardar datos del usuario, comprobando que efectivamente los proveedores chilenos de telecomunicaciones limitan velocidad de usuarios en forma artificial.

Tercer acto: Habiendo mediciones, y completándose ya 4 años de la administración bajo el gobierno de Piñera, Subtel no parece haber multado a ninguna compañía por estos límites de velocidad. Debido a esto es acusada de abandono de deberes. Subtel reconoce que está al tanto de problema pero no multa porque -según el Subsecretario de Telecomunicaciones Jorge Atton- las mediciones del proyecto Adkintun no pueden ser utilizadas como herramienta de fiscalización.

Cabe señalar que Subtel tuvo que recibir orden del Consejo para la Transparencia para informar acerca de cómo estaba al tanto del problema, negándose a contestar directamente solicitudes al respecto. Sólo entonces se supo públicamente que era a través de Adkintun.

Cuarto acto: Subtel "lanza" aplicación de terceros para que usuarios hagamos desde nuestros smartphones mediciones de calidad de servicio, de manera similar a lo que hacía Adkintun, con la diferencia de que la aplicación extrae y solicita datos personales, y excluyendo a conexiones fijas, específicamente a VTR que es una de las empresas más cuestionadas públicamente por usuarios.

Si bien la política de privacidad que la app invita a leer promete que Subtel hara el debido resguardo de datos recogidos, que serán utilizados únicamente para medir a los proveedores, dice explícitamente que esto "no se aplica a los servicios ofrecidas por otras entidades privadas o públicas".

La app llamada "Calidad Móvil Chile" es de terceros, una entidad privada llamada CORTxT, que no opera en Chile y por lo tanto no se rige por sus leyes ni Constitución en el resguardo de la privacidad de usuarios. La empresa no tiene obligación alguna y difícilmente puede ser demandada por alguien en Chile si no cumple lo que promete el acuerdo de privacidad.

Esto es todavía más grave, puesto que la app solicita los siguientes datos al sistema operativo (versión para Android):
  • información personal del usuario
  • el listado de aplicaciones que están corriendo
  • y además solicita explícitamente el e-mail del usuario
Adkintun no hace estas tres cosas. Y curiosamente la versión para iPhone de la app original de  CORTxT tampoco.

Otra cosa curiosa es que el 18 de julio del 2011 la Subsecretaría de Telecomunicaciones emitió una resolución exenta y comunicó el inicio de un proceso de fiscalización, titulando que "inicia fiscalización a planes de internet y llama a usuarios a informarse sobre sus nuevos derechos".

Link al comunicado original de Subtel acá, e incluyo la imagen de la página correspondiente por si en una de esas desaparece.

Consecuentemente quedan algunas preguntas:
  • ¿Por qué no se aplican multas a las empresas que están demostradamente incumpliendo la legislación vigente?
  • ¿Cómo se fundamenta que la información recogida por el proyecto Adkintun, consistente en al menos 70 mil mediciones individuales de calidad de servicio no sea válida para fiscalizar?
  • ¿Por qué la entidad gubernamental ignora su propio proceso de fiscalización, que anunció con bombos y platillos en su primer año de gestión?
  • ¿Cómo Subtel prefiere entregar datos de chilenos a una empresa extranjera, que explícitamente extrae información personal desde el sistema operativo, que además solicita el e-mail del usuario y que no tiene obligación ni incentivo para cumplir política de privacidad alguna en Chile?
  • ¿Por qué además la app personalizada por Subtel para Chile solicita el e-mail y extrae datos personales directamente del sistema operativo, y la versión original de la app no? ¿Fue algo que solicitó el Gobierno de Chile?

2013/11/03

En 1966, CIA puso implantes a un gato para espiar a agentes de la Unión Soviética en NYC.


El proyecto costó US $15M de ese entonces y consistió en convertir al gato vivo (nada de “dead cat”) en un micrófono, con electrodos que además permitían hasta cierto punto “dirigir” al gato que había sido “entrenado”'previamente. 

(Cualquiera que haya tenido un gato sabe que entrenar y dirigir solo pueden ir entre comillas).

Bueno, en su primera misión, el gato biónico fue atropellado por un taxi pocos segundos después de que agentes lo soltaran desde una van.