El derecho universal a la privacidad, incorporado en las normas internacionales de derechos humanos, depende cada vez más de un acceso privilegiado a la seguridad digital; no hay lugar en el que pueda percibirse de manera más clara este vínculo que en las experiencias de las organizaciones de la sociedad civil (OSC).

Como se detalla en un informe de Citizen Lab reciente, los actores de la sociedad civil en los que confía el público para que controlen los abusos de poder y para que avancen las agendas de derechos humanos (es decir, las organizaciones no gubernamentales, los medios de comunicación y periodistas independientes, los activistas y otros) enfrentan con regularidad ataques digitales dirigidos que debilitan su privacidad y ponen información confidencial en riesgo. Dichos ataques incluyen correos electrónicos maliciosos que pueden infectar la computadora de quien los recibe al abrir algún vínculo o archivo adjunto, o códigos maliciosos que llegan a través de sitios web comprometidos.

Los ataques contra las OSC son persistentes debido a la naturaleza política de su trabajo, y éstos provienen de varios de los mismos agresores que atacan a las corporaciones o a los organismos gubernamentales. Sin embargo, a menudo las OSC tienen una menor capacidad de obtener niveles adecuados de seguridad digital, ya que carecen de recursos y de acceso a conocimientos técnicos. Al mismo tiempo, los debates públicos en torno a la seguridad cibernética han ignorado en gran medida las preocupaciones de las OSC, y en cambio se han enfocado en el espionaje digital y los ataques en contra de la industria y el gobierno. Se está abriendo una nueva brecha digital, en la que hay “privilegiados” y “desposeídos” en cuestión de seguridad digital.

En un estudio de cuatro años sobre las amenazas digitales dirigidas contra las OSC, Citizen Lab intentó explorar con mayor profundidad la experiencia de las OSC con los ataques digitales dirigidos. Examinamos los ataques emprendidos contra un grupo de diez organizaciones no gubernamentales y de medios, utilizando análisis técnico y contextual. Todas las organizaciones de nuestro estudio se dedicaban a temas de derechos humanos relacionados con China y/o el Tíbet, o eran organizaciones de derechos humanos enfocadas en varios temas y regiones.

Targeted digital threats have also effectively extended the reach of the state beyond borders, to locales where vulnerable groups, such as exile or diaspora communities, may have thought themselves safe.

Encontramos que todas las diez agrupaciones fueron atacadas por actores con motivaciones políticas que buscaban persistentemente acceder a sus redes sin ser detectados. Las hazañas técnicas utilizadas en su contra, aunque por lo general no eran sofisticadas, permitieron que los atacantes pudieran vigilar sus actividades y trasmitir información confidencial sin autorización durante periodos prolongados. Los métodos utilizados para presentar los correos electrónicos malintencionados como si fueran legítimos y engañar a los objetivos para que abrieran el software malicioso (conocidos como “ingeniería social”) estaban bien desarrollados, lo cual sugiere que los agresores están muy familiarizados con el trabajo, los intereses y los contactos de sus objetivos.

Las amenazas digitales dirigidas no solamente han debilitado las comunicaciones centrales de las OSC al ser una molestia, un drenaje de recursos o un riesgo a la seguridad individual, también han ampliado eficazmente el alcance del Estado (y de otros actores amenazantes) más allá de las fronteras, hasta ubicaciones en las que los grupos vulnerables, como las comunidades en la diáspora y en el exilio, podían haberse sentido seguros. Las conclusiones y conjuntos de datos de nuestra investigación permiten ver una pequeña parte de lo que parece ser un problema mucho más amplio y poco denunciado que afecta a las OSC.

Para solucionar este problema, debemos ampliar los términos y el alcance del debate, y explorar más profundamente el vínculo entre el derecho a la privacidad y el acceso a la seguridad digital.

La Asamblea General de las Naciones Unidas declaró, en una resolución sobre el derecho a la privacidad en la era digital, que “...los derechos de las personas también deben estar protegidos en Internet, incluido el derecho a la privacidad”.

Pero para que ese derecho a la privacidad tenga significado en la era digital, es necesario dar respuesta a complejas preguntas fundacionales relacionadas con la inviolabilidad y la seguridad de las comunicaciones digitales. Los Estados han buscado, e incluso han creado, maneras de exponer la información y las redes para promover la aplicación de la ley o sus intereses geopolíticos, obstaculizando deliberadamente la seguridad general del entorno virtual. Han impulsado el crecimiento de un mercado privado de spyware que provee a los regímenes, independientemente del respeto a los derechos humanos, de poderosas capacidades de espionaje digital. Estos factores debilitan aún más el sistema de seguridad digital, de por sí amenazado por la actividad delictiva y la ubicuidad del software y el hardware inseguros. Si bien algunos individuos y entidades, incluidas las grandes empresas, tienen los conocimientos técnicos, la influencia política o los activos financieros para defender sus sistemas, muchos de los actores que enfrentan ataques digitales con regularidad, como las OSC, no disponen de tales recursos. Hasta el momento, los hechos parecen indicar que la privacidad nunca existirá en realidad si no se hace un esfuerzo coordinado para proteger contra las invasiones al hardware y al software del que dependen las personas para comunicarse. Es necesario tomar medidas tanto técnicas como políticas para reducir las oportunidades de explotar tecnologías esenciales en primer lugar.   

¿Es la privacidad un nuevo lujo, que sólo pueden obtener aquellos que cuentan con los medios para proteger su información en un entorno digital consumido por intereses estratégicos en competencia? Entonces, ¿es la privacidad un nuevo lujo, que sólo pueden obtener aquellos que cuentan con los medios para proteger su información en un entorno digital consumido por intereses estratégicos en competencia? Ahora es el momento de refutar esta proposición. Un enfoque holístico a la seguridad digital requerirá la participación de múltiples sectores.

Las OSC y los donantes deben pensar en una colaboración para recopilar e integrar datos (sin elementos de información identificable) relacionados con incidentes de amenazas digitales en la sociedad civil. Esto contribuirá a una mejor comprensión de la naturaleza y la magnitud del problema. Las OSC también deberían intentar crear mayor conciencia sobre la seguridad digital entre su personal, y los donantes pueden impulsar este proceso al proporcionar apoyo específico para mejoras de largo plazo a la seguridad digital de las OSC.

Los gobiernos deben aumentar la prioridad y visibilidad de las amenazas digitales dirigidas contra la sociedad civil en sus políticas internas y esfuerzos diplomáticos, y buscar maneras de aumentar los costos para los agresores. También deben frenar el mercado comercial de spyware y minimizar los riesgos digitales en este sector. Deben oponerse a que se legitimen los ataques contra entidades no estatales de interés público para fines estratégicos o de inteligencia.

Y las empresas están en el lugar adecuado para desempeñar un papel crítico en la solución a este problema. Las empresas de tecnologías de la información y las comunicaciones (TIC) deben incorporar a sus productos y servicios la encripción de extremo a extremo. Deben explorar un enfoque “altruista” hacia el intercambio de conocimientos técnicos, así como soluciones creativas de otorgamiento de licencias a las OSC, para ayudar a que éstas mejoren su capacidad técnica y reduzcan los riesgos relacionados con el uso de software inseguro y desactualizado. Las empresas que producen y distribuyen tecnología que los regímenes represivos pueden usar indebidamente, como el spyware, deben adoptar mecanismos para evitar ser cómplices de las violaciones de derechos.

Garantizar la seguridad digital de la sociedad civil será el campo de pruebas para el derecho a la privacidad en general. Desde hace tiempo se ha reconocido a la privacidad como un derecho habilitador, un prerrequisito para el ejercicio genuino de las libertades de expresión y asociación, y de otros derechos humanos. Ahora, debemos garantizar que existan las condiciones para la privacidad propiamente dicha, o nos arriesgamos a que llegue un futuro en el que todos los derechos enfrenten una muerte digital.