A cantidade de datos persoais e de información que os cidadáns subimos a Internet converte en preocupante a vixilancia das comunicacións que practican os gobernos. Programas coma o recentemente destapado en Estados Unidos, Prism, fan preguntarse sobre o que os países poden facer e especialmente sobre o que xa están a facer, pasando desapercibidos.
Un informe da Asemblea de Nacións Unidas datado o 17 de abril de 2013 destaca a facilidade tecnolóxica existente na actualidade para vixiar as comunicacións. Existen ferramentas para monitorizar o tráfico web, así como as chamadas e as mensaxes de texto. Da mesma maneira pódese intervir a rede de individuos concretos, tendo acceso aos seus datos e conexións privadas. Tamén sinala que foi unha ambición dos estados dende hai tempo o interceptar este tipo de comunicacións.
Programas coma o recentemente destapado en Estados Unidos, Prism, fan preguntarse sobre o que os países poden facer e especialmente sobre o que xa están a facer, pasando desapercibidos
Os argumentos da seguridade nacional e a loita contra o crime son os máis recorrentes para xustificar cambios nas lexislacións que permitan a vixilancia. O documento da ONU recoñece a importancia que poden ter estas comunicacións para os propósitos anteriores. Pero as leis que regulan a intervención dos estados no control de Internet adoitan ser inadecuadas ou inexistentes. “Os marcos legais inadecuados a nivel nacional crean un solo fértil para violacións arbitrarias e ilegais do dereito á privacidade nas comunicacións. E, consecuentemente, tamén ameazan a protección do dereito á liberdade de opinión e de expresión”, destaca o informe.
O caso de Prism é o último coñecido e un dos máis polémicos debido á magnitude da espionaxe. Tamén pola súa capacidade para chegar a cidadáns de fóra de Estados Unidos. Pero é especialmente grave pola implicación de compañías tecnolóxicas tan populares como Google, Facebook ou Apple. Ao principio negaron a súa colaboración, pero aos poucos foron revelando que atenderon as solicitudes de información. Con todo, o caso de Estados Unidos non é unha excepción. Talvez a súa rede de espionaxe conte con máis recursos e experiencia que a maioría de países, pero a vixilancia da Rede prodúcese en moitos lugares.
Europa: algo máis que retención de datos
A Unión Europea aprobou en 2006 a Directiva de Retención de datos, mediante a cal obriga os provedores de telecomunicacións a conservar información da actividade dos seus clientes durante un período entre seis meses e dous anos
A Unión Europea aprobou en 2006 a Directiva de Retención de datos, mediante a cal obriga os provedores de telecomunicacións a conservar información da actividade dos seus clientes durante un período entre seis meses e dous anos. Os números de teléfono das chamadas, direccións IP, localización, destinatarios de correos electrónicos e outros detalles para identificar as comunicacións dos usuarios, así como a súa duración, poden estar a disposición das autoridades se o necesitan.
Moitos países complementaron esta directiva con lexislacións nacionais. Mesmo algúns de fóra da Unión Europea, como Serbia e Islandia, adoptaron leis baseadas neste modelo. En España, o texto procedente de Bruxelas concretouse na Lei 25/2007, de conservación de datos relativos ás comunicacións electrónicas e ás redes públicas de comunicacións. Nela esíxese aos operadores que conserven unha serie detallada de datos orientados a identificar os suxeitos que realizan unha conexión, canto dura esta, cando se produce e desde que lugares.
En Alemaña, Romanía, República Checa, Chipre e Bulgaria houbo tribunais que declararon inconstitucionais as leis que estes países promulgaron baseándose na directiva Europea. Xuristas no Parlamento Europeo defenderon que a normativa promove a vixilancia da sociedade e prexudica os dereitos humanos. Un dos estados que máis apoiou no seu momento o texto legal europeo foi o Reino Unido, co respaldo de Estados Unidos.
Nestes momentos no Reino Unido está en proceso de aprobación un proxecto de lei cunha das lexislacións máis intrusivas que se deron en telecomunicacións
Nestes momentos no Reino Unido está en proceso de aprobación un proxecto de lei cunha das lexislacións máis intrusivas que se deron en telecomunicacións. Joe McNamee, director executivo de Edri.org, que loita polos dereitos dixitais na UE, explica que a Communication Data Bill constitúe a medida máis alarmante que un país democrático propuxo. “Basicamente permítelle ao estado acceder a múltiples bases de datos de compañías privadas, para xerar perfís de persoas máis detallados mesmo que os que as propias compañías poden producir. Por exemplo, o estado podería obter datos do perfil de Facebook, datos de localización do operador móbil, detalles dos contactos de email dun provedor de correo”, sinala.
En España tamén está pendente unha proposta para reformar o Código Procesual Penal co fin de poder introducir software espía en computadores persoais, aínda que tería que autorizalo un xuíz primeiro.
A escusa da seguridade nacional
Un dos argumentos que defendeu o establecemento da directiva europea foi a salvagarda da seguridade nacional e a loita contra o crime organizado. O debate e a posterior aprobación producíronse tras os atentados do 11-M, o ano 2004 en Madrid, e os do 7-J, no 2005, en Londres. En Estados Unidos, a Patriot Act, que dota as axencias do país de poderes máis amplos de vixilancia para combater o terrorismo, foi aprobado apenas un mes e medio despois do 11-S.
Un dos argumentos que defendeu o establecemento da directiva europea foi a salvagarda da seguridade nacional e a loita contra o crime organizado
Outros países tamén utilizaron este argumento para modificar e endurecer as súas lexislacións sobre vixilancia. En India, un mes despois dos atentados de Bombai de 2008 modificouse a Lei de Tecnoloxía da Información. Non houbo debate no Parlamento. En 2011 volveuse reformar a lexislación e as autoridades obtiveron capacidade para escoitar chamadas telefónicas, controlar as mensaxes de texto e o tráfico web. Recentemente púxose en marcha un sistema para centralizar toda a vixilancia. Institucións como Facenda ou os servizos de intelixencia teñen acceso a esta información. Segundo Reporteiros sen fronteiras, India tamén leva tempo presionando compañías como BlackBerry, Google ou Skype para que lle dean acceso ás comunicacións que realizan os seus usuarios.
Outro dos países que esgrime a seguridade nacional para controlar as redes é Rusia. O servizo federal de supervisión das comunicacións e a tecnoloxía da información (Roskomnadzor) está legalmente capacitado para levar a cabo unha monitorización a grande escala. Esta autoridade admite a instalación de software online para identificar contido que se considere “extremista”. A súa política traspasa fronteiras, xa que Kazajstán ou Bielorrusia se ven influenciados por ela.
A institucionalización da vixilancia
En China é obriga das compañías locais, cunha gran participación estatal, controlar as súas redes. A intención é impedir que proliferen mensaxes contrarias ao réxime e para iso practícase unha censura permanente
O país que ten máis organizada a vixilancia das redes é China. É obriga das compañías locais, cunha gran participación estatal, controlar as súas redes. A intención é impedir que proliferen mensaxes contrarias ao réxime e para iso practícase unha censura permanente. Onde máis se deixan notar estas accións quizá sexa en Weibo, o Twitter chinés, no que se suprimen comentarios case en tempo real con axuda de máis de 4.000 censores. Ademais, desde marzo de 2012 os usuarios de microblogging teñen que rexistrarse baixo o seu verdadeiro nome e dar o seu número de teléfono.
Esta obriga de certificar a identidade real tamén se estableceu para os usuarios de WeChat (o WhatsApp chinés), que deben dar o seu número de DNI, número de móbil e enviar unha fotocopia do seu DNI, segundo o informe Inimigos de Internet 2013, de Reporteiros sen Fronteiras. Desde Citizen Lab detectaron a presenza de servidores de tipo PacketShaper, que identifican e controlan o tráfico web, construídos pola empresa especialista en vixilancia de redes Bluecoat.
A situación non é tan grave en Irán, pero o modelo de control ten similitudes. A lexislación establece que se pode monitorizar o correo electrónico, as conversas VoIP e os chats. As páxinas requiren unha licenza da Telecommunication Company of Iran (o provedor de Internet maioritario, controlado parcialmente polo Estado) e os blogs outra do Ministerio de Cultura e Orientación Islámica. En xaneiro de 2013 as autoridades anunciaron que estaban a crear unha tecnoloxía para monitorizar mellor as redes sociais, cuxa utilidade para organizar protestas políticas quedou de manifesto durante os últimos anos. As compañías chinesas Huawei e ZTE proporcionan servizos de DPI (deep packet inspection) a provedores iranianos, para que poidan interceptar as comunicacións dos usuarios.
As outras consecuencias da Primavera Árabe
A apertura que trouxo a Primavera Árabe tamén motivou os gobernos da rexión a afianzar o seu control sobre a poboación
A apertura que trouxo a Primavera Árabe tamén motivou os gobernos da rexión a afianzar o seu control sobre a poboación. Dado que un dos vehículos de difusión máis destacados das protestas foi Internet, a vixilancia das redes incrementouse considerablemente. En Bahréin, o réxime da familia real filtra o contido online, evitando que estean accesibles temas coma a pornografía, pero tamén as opinións políticas ou relixiosas que non comungan co Goberno.
Os servizos de intelixencia controlan os membros da oposición e disidentes a través das redes sociais, segundo a información de Reporteiros sen Fronteiras. O réxime utiliza os servizos de tres das compañías máis famosas polos seus produtos para vixiar as redes: Blue Coat, Gamma e Trovicor. A segunda delas estaría en tratos con Exipto para venderlle o seu suite de spyware FinFisher, aínda que segundo a empresa aínda non se asinou ningún acordo.
A guerra civil en Siria permitiulle ao Goberno de Bachar Al Asad actuar con impunidade no que se refire ao control de Internet. O filtrado de contido e a monitorización das comunicacións están á orde do día. Descubríronse servidores de Blue Coat que utilizan técnicas de DPI para analizar as actividades dos usuarios sirios. O réxime controla a Syrian Telecommunications Establishment (STE) e a Syrian Computer Society (SCS), provedores de conexións fixas a Internet e da rede 3G, respectivamente.
Espionaxe política fóra da lei
Descubríronse casos doutros países cuxo principal obxectivo parece ser espiar directamente a oposición política. Para iso utilizaron tácticas propias do cibercrime, coma o envío de troianos
Descubríronse casos doutros países cuxo principal obxectivo parece ser espiar directamente a oposición política. Para iso utilizaron tácticas propias do cibercrime, coma o envío de troianos. Hauke Gierow, responsable da área de liberdade de Internet en Reporteiros sen Fronteiras Alemaña, apunta á implicación da compañía alemá Gamma International. “Informouse de casos sobre xornalistas e activistas que foron espiados en Etiopía, presuntamente usando software intrusivo alemán”, explica.
Citizen Lab detectou malware avanzado que utiliza imaxes de membros dun grupo da oposición (Ginbot 7) como anzol. Identificouse o produto FinSpy, da compañía Gamma. Tamén se descubriu software espía no computador dun membro da disidencia de Angola. Identificouse cando se atopaba nunha conferencia anual sobre dereitos humanos, en Oslo, durante un taller de formación para ensinar os asistentes a protexerse da vixilancia dos gobernos.
Os cambios de leis en Latinoamérica
En América Latina algúns países están a modificar as súas lexislacións para darlles cada vez máis poder ás autoridades. En México, dende hai máis dun ano, a policía pode acceder aos datos de localización dos usuarios en tempo real e sen necesidade de orde xudicial. O xigante económico da rexión, Brasil, tamén aprobou unha norma que lle permite á policía e aos fiscais esixirlles aos provedores de Internet a información de rexistro de usuarios. Isto pódese producir mediante “unha simple solicitude, sen orde xudicial, nas investigacións penais por lavado de diñeiro”, sinala a activista da Electronic Frontier Foundation (EFF) Katitza Rodríguez. Destaca a existencia dun proxecto de lei para ampliar esta medida a todos os casos de crimes.
A situación en Colombia merece igualmente atención, tras a aprobación -sen debate público- dunha lexislación que lembra o programa Prism de Estados Unidos
A situación en Colombia merece igualmente atención, tras a aprobación -sen debate público- dunha lexislación que lembra o programa Prism de Estados Unidos. “O 15 de agosto de 2012, o Ministerio de Xustiza e Tecnoloxía de Colombia expediu o Decreto 1704 para obrigar os provedores de telecomunicacións, incluíndo os provedores de servizos de Internet, a crear portas traseiras que lle farían máis fácil á policía espiar os colombianos”, indica Rodríguez.
O marco legal como arma
O dereito internacional establece uns límites dentro dos cales un estado legalmente pode restrinxir o dereito á vida privada dos seus cidadáns de forma excepcional. Para iso é necesario que a vixilancia das comunicacións estea prevista por lei. Esta debe ter un nivel de claridade e precisión suficiente para garantir que as persoas coñezan por adiantado a restrición e que se poida prever a súa aplicación. A execución deste control ten que ser estritamente necesaria para alcanzar un obxectivo lexítimo e non se debe empregar se existen técnicas menos invasivas ou non se esgotaron outras vías para obter información.
Os estados están a rexerse por leis antigas e por marcos legais que non teñen en conta as posibilidades das novas tecnoloxías. Estas teñen un alcance moito maior do que as lexislacións anteriores propuñan
“O problema que vemos é que os Estados están a adoptar normas que non cumpren con estes principios. Máis ben, varias normas permiten a vixilancia masiva das comunicacións de todas as persoas nun país. É dicir, a vixilancia masiva de todo cidadán ordinario e non só a vixilancia selectiva en base a unha causa e unha presunta responsabilidade que son suxeito de investigación”, argumenta Katitza Rodríguez. No seu informe de abril de 2013 sobre dereitos dixitais, Nacións Unidas apunta que os marcos legais non están en consonancia coas novas tecnoloxías.
Os estados están a rexerse por leis antigas e por marcos legais que non teñen en conta as posibilidades das novas tecnoloxías. Estas teñen un alcance moito maior do que as lexislacións anteriores propuñan. A falta de mediación xudicial e as excepcións por causas de seguridade nacional son preocupacións destacadas que cita o informe da ONU. A obriga de identificar as persoas que están detrás dos usuarios tamén se menciona. En moitos estados a lexislación require rexistrar co seu DNI . “En moitos estados, as leis requiren a provisión de identificación nos cibercafés. En países en desenvolvemento moitas persoas usan os cibercafés a miúdo pois non contan con computadoras nas súas casas”, denuncia Rodríguez.
“En moitos estados, as leis requiren a provisión de identificación nos cibercafés. En países en desenvolvemento moitas persoas usan os cibercafés a miúdo pois non contan con computadoras nas súas casas”
O informe tamén fai referencia á permisividade das leis coa vixilancia extraterritorial. Estados Unidos ampara desde hai tempo a espionaxe a cidadáns de fóra das súas fronteiras, pero outros países están a empezar a lexislar agora neste sentido. O pasado decembro de 2012 a Asemblea Nacional de Paquistán aprobou a Lei de Garantías Xudiciais para poder actuar no exterior. “Existe unha tendencia alarmante cara á ampliación das competencias de vixilancia máis aló das fronteiras territoriais, aumentando o risco de acordos de cooperación entre a policía estatal e as axencias de seguridade para permitir a evasión das restricións legais nacionais”, explica Rodríguez.
“Isto expón graves preocupacións con respecto á comisión extraterritorial de violacións de dereitos humanos e á incapacidade das persoas de saber que elas que poderían ser obxecto dunha vixilancia estranxeira”, declara Rodríguez, facendo fincapé no diluído que queda o dereito á defensa cando a espionaxe se produce desde fóra do país.
