Escaneo masivo con la justificación del abuso infantil

Escaneo masivo y vigilancia | Burst

La Comisión Europea ha presentado una propuesta que obligará a las plataformas al escaneo masivo de todos los mensajes interpersonales en internet. La razón es una a la que nadie puede oponerse: el abuso infantil. ¿Es necesario y proporcionado? ¿Y sobre todo, útil?

Decenas de organizaciones de la sociedad civil y expertos están preocupadas, entre ellas la EFF y EDRi. Algunos lo consideran el fin del cifrado en la UE y el mayor mecanismo de vigilancia colectiva establecido fuera de China.

La Agencia de Protección de Datos alemana ya ha dicho que la propuesta es incompatible con la Carta de Derechos Fundamentales. Este es su comisario:

Traducción: El «control de chat» planificado por la Comisión desde el punto de vista de la protección de datos: un hilo después de un primer examen: el borrador de la Comisión no es compatible con nuestros valores europeos y choca con la ley de protección de datos aplicable.

El hashing tiene varios problemas. Por un lado, los falsos positivos. La CE dice que son pocos, pero tanto PhotoDNA como el de Facebook han mostrado porcentajes altos de errores, con impacto en inocentes.

Por otro lado está el problema de la ciberseguridad: los atacantes podrían, por ejemplo, inyectar imágenes o documentos marcados como abuso infantil en los dispositivos de las personas a las que quieren desacreditar

Y luego está la cuestión del cifrado. No existe técnicamente la posibilidad de escanear algo que está cifrado. El escaneo del lado del cliente es un mensaje a los usuarios: aunque cifres, revisaremos todo. Lo que es básicamente una puerta trasera, una backdoor en relación al cifrado.

¿Te acuerdas de Chatcontrol? Ya existía una excepción a la privacidad de las comunicaciones privadas en tierras europeas. Una resolución de la UE permite actualmente a las compañías tecnológicas escanear comunicaciones electrónicas privadas de los usuarios, en busca de contenidos pedófilos.

Facebook, Google, y otras plataformas ya realizan voluntariamente este escaneo y reportan los resultados a las autoridades. Chatcontrol tiene una fecha límite: el 31/12/2022. La Comisión parece tener prisa para cerrar una cobertura legal para las plataformas

Otra directiva, la de la conservación de datos en relación con prestación de servicios electrónicos, ya intentó poner por delante la seguridad sobre la intimidad de las personas. Terminó siendo anulada por el TJUE por ser contraria a los derechos fundamentales de la UE. Habrá que seguir atentos.

El reportaje completo está en Newtral: La Comisión Europea propone obligar a las plataformas al escaneo masivo de mensajes privados en busca de abuso infantil

[Archivo]

Radar COVID: por qué hay que pedir seguridad y privacidad en una app de rastreos

Radar COVID Localización

Radar COVID, la app de rastreo de contactos española para luchar contra la pandemia, ha pasado el período de pruebas. Llevo semanas siguiendo este tema y hablando con fuentes para saber por qué aún tiene tantas sombras (y despejarlas), y esta semana he publicado este reportaje sobre las dudas que persisten, meses después.

Se dice que es de código abierto, como el resto de apps europeas, pero todavía no hemos podido verlo. Esto despejaría el 100% de esas dudas (esperamos al 15 de septiembre, que es cuando dicen que la abrirán). Dicen que se basa en DP-3T, una app abierta europea, que en principio podría ser adaptada con ligeras modificaciones, pero el proceso parece estar llevando demasiado tiempo, y Carmela Troncoso, la líder del equipo de DP-3T, nos ha dicho que no llamaría colaboración a lo que hubo con España. Sólo en Europa, contamos ya 10 apps basadas en este código abierto que están funcionando.

La ministra de Economía, Nadia Calviño, dijo a finales de mayo en el Congreso que las pruebas comenzarían en junio. Luego lo retrasaron hasta julio, con el piloto de La Gomera. Hace dos semanas empezamos a buscar el contrato, que no estaba publicado aún. Fuentes de SEDIA me dijeron que igual era por la tramitación de emergencia, pero esto no es así. La tramitación de emergencia permite saltarse la adjudicación para agilizar el trámite, pero una vez adjudicado toda esa documentación debe ser puesta a disposición del público, según la ley de contratos públicos.

Por otro lado, el tema de la localización. Se repite que la app funciona con Bluetooth y no utiliza datos de localización pero en Android no puedes usarla con localización desactivada. Haz la prueba, tu teléfono te mandará un mensaje como el de la imagen de esta entrada. Es decir que tu teléfono sí está cogiendo datos de localización. “Pero la app no los pide”, dicen desde SEDIA. Muy bien, pero a día de hoy, con más de un millón de apps instaladas y activas en los bolsillos de los españoles, no podemos comprobar eso, o si Google está haciendo algo con esos datos. Por eso además de una auditoría externa de esta app sería bueno también auditar la API que Google y Apple crearon para esto y en lo que se basa la app. Esa auditoría ha sido pedida por Troncoso, sin respuesta aún.

Una app de rastreos implica un desafío tecnológico y ético tremendo, más en épocas de pandemia, en las que siempre planea la tentación y la excusa de dejar de lado la privacidad por la seguridad. No es imposible. En pandemia necesitamos tecnologías seguras, abiertas y auditadas para garantizar la confianza de los usuarios. Los ciudadanos deben tener la información clara para que la instalen con decisiones informadas. Seguridad por diseño, no por confianza.

El reportaje completo ha sido publicado en Newtral: Luces y sombras de la app de rastreo en España

El clic de los niños

«Los niños ya nacen sabiendo usar internet», oímos a menudo. Lo que seguramente no saben es cómo proteger su privacidad de la personalidad que aún están formando, porque ya hay aplicaciones y trackers juntando datos de su navegación. Esto es lo que descubrió un grupo de investigadores del International Computer Science Institute (ICSI) de la Universidad de Berkeley.

¿Para qué querría alguien hacer un perfil del comportamiento de un niño pequeño? fue lo primero que le pregunté a Narseo Vallina, uno de los investigadores, y sus respuestas no fueron muy tranquilizadoras. Disney ya ha tenido juicios por temas similares y hace poco YT Kids se enfrentó a un inmenso debate en redes por padres preocupados. Había una serie de vídeos producidos por algoritmos programados para crear vídeos terriblemente atractivos para menores, aunque ciertamente extraños. Lo peor de todas estas apps es que la mayoría enviaba los datos a terceros, en la mayoría de los casos, empresas bastante oscuras. Todo esto y más lo he contado en este reportaje para El País: Más de la mitad de aplicaciones infantiles envía datos a terceros.

Foto: Petras Gagilas

Facebook, tenemos un problema

Muchos quieren ver a Facebook arder. También a Cambridge Analytica, qué duda hay. Hay una fila masiva para poner en duda el triunfo de Donald Trump, y otra en Europa para cuestionar el del Leave en el Brexit. Pero el gran problema que se ha revelado esta semana excede a una sola compañía, por más grande que sea; a un solo presidente, por más que sea el del país más poderoso del mundo; y a un proceso político en la Unión Europea. Estamos teniendo un problemón con nuestra democracia, la privacidad y la libertad de nuestros ciudadanos. Todo eso junto y mezclado.

Explico por qué hoy en un largo análisis para El Huffington Post.

El seguimiento del teléfono de Diana Quer reabre el debate entre seguridad y privacidad

Rueda de prensa de Diana Quer

El antiguo debate seguridad versus privacidad ha aparecido esta semana en la rueda de prensa en la que la Guardia Civil dedicó casi dos horas a explicar de manera muy detallada por qué han tardado más de un año en esclarecer el crimen y detener al presunto asesino de Diana Quer.

El coronel de la Unidad Central Operativa (UCO), Manuel Sanchez Corbí ha agradecido la estrecha colaboración de las empresas de telefonía, y ha dejado en claro la importancia que tuvo en esta investigación el análisis de los datos de geolocalización de los teléfonos móviles de víctima y sospechoso.

“Si las compañías no hubieran conservado los datos no hubiéramos resuelto el caso. Aprovecho para decir que en la Comisión Europea hay un debate para que en aras de la privacidad, las compañías no guarden los datos. Me parece perfecto. Habrá casos que no se resuelvan. Los datos hay que guardarlos”.

Lo de “me parece perfecto” iba en tono irónico. Sánchez Corbí se refería a la obligación que ha establecido el Tribunal de Justicia de la UE de modificar la regulación de retención de datos, cuya directiva europea fue derogada en 2014 y que establecía que todos los datos de comunicaciones electrónicas de todos los ciudadanos debían ser guardados por al menos un período de dos años. El Tribunal entiende que una conservación masiva de datos como esta tiene que estar motivada, o al menos ser por tiempo limitado, por lo que la retención con carácter preventivo no estaría permitida como ahora.

En España, la ley 25/2007 de 18 de octubre obliga a la conservación de los metadatos de comunicaciones móviles (entre los que se encuentran los de geolocalización) durante 12 meses y sigue vigente a pesar de la derogación de la directiva europea. En diciembre de 2016, una segunda sentencia del Tribunal europeo ratificó la anulación de la directiva de retención de datos y volvió a cuestionar las legislaciones nacionales que continúan vigentes.

La conservación masiva de datos

En la mezcla de sensibilidades que produce el esclarecimiento de este caso que ha tenido en vilo a la sociedad durante casi un año y medio, puede costar poner en perspectiva lo que implica la conservación preventiva de todo tipo de datos de la ciudadanía.

Las reformas legales previstas que cuestiona el coronel se refieren a un terreno donde se intenta proteger a nivel colectivo uno de los derechos fundamentales del ser humano: el derecho a la privacidad. Así lo establecen la Declaración Universal de los Derechos Humanos, en su artículo 12; el Pacto Internacional de Derechos Civiles y Políticos, adoptado por la Asamblea General de Naciones Unidas, artículo 17; la Directiva Europea 95/46 CE de 24 de octubre del Parlamento Europeo y la Constitución española, en el artículo 18. La historia nos ha enseñado que la vigilancia de la sociedad a nivel masivo está relacionada estrechamente con regímenes autoritarios y de control, y que este tipo de poder nunca ha resultado en el progreso de esas sociedades sino más bien todo lo contrario.

Sergio Carrasco, abogado experto en tecnología, ve sensata la resolución del Tribunal de Justicia de la UE. Consultado por Vozpópuli, dice que “el problema aquí es que estamos hablando de la conservación masiva de datos, es decir la conservación completa de datos de todas las personas y además por un período no corto, estamos hablando de dos años al menos. Conservar absolutamente todos los datos durante períodos tan grandes no se encuentra justificado”. Esto es lo que se sigue haciendo actualmente en España pero que las reformas legales de la UE no permitirán en un futuro.

Hay diferentes tipos de datos y también son diferentes las formas de conseguirlos para un investigador: no es lo mismo “pescar” en una cantidad masiva de datos obtenidas de modo preventivo (aunque sea con orden judicial), que los procedimientos habituales comprendidos por la ley en los que un juez puede ordenar un seguimiento o vigilancia de las comunicaciones de un sospechoso.

Fuentes policiales han asegurado a Vozpópuli que lo que los investigadores quieren es que los datos de la operadoras telefónicas se guarden «cuanto más tiempo mejor». Y cuando el juez y el fiscal lo crean necesario, que se pueda acceder a ellos.

«En este momento, la forma de actuar es esta: cuando se tiene una sospecha se piden los datos a las compañías telefónicas, que entonces guardan los datos. Pero en las investigaciones hay casos en el que las pistas se descubren, por ejemplo dentro de tres años, y entonces te contestan que ya no los tienen». Según las mismas fuentes, “hoy en día en la telefonía se guardan muy poco tiempo los datos, y cada vez menos por temas de privacidad. Sólo se guardan si los piden los jueces o fiscales, y si no, se destruyen. Por eso queremos que se guarden durante el mayor tiempo posible”.

Carrasco ve posible utilizar otros mecanismos para la investigación, como por ejemplo la lista de llamadas, que por temas de facturación, ya se tiene, sin que sea necesaria la retención total de los datos. “Se ha dejado caer lo del anonimato en redes sociales, ahora lo del tema de la conservación de datos, y al final lo que se quiere, haciendo referencia a casos concretos -cuya solución final al final no tiene tanto que ver con lo que proponen-, pues es crear una percepción social de la necesidad de conservar estos datos”, concluye.

Más control judicial

José Luis Escobar es un abogado valenciano que participó en la acusación en el “caso petroleras”, en el que se investigaba el pacto de precios de Repsol, Cepsa, Disa, Galp y Meroil.

Escobar está a favor de obligar a las empresas a conservar datos a modo preventivo, para cuando necesiten ser recuperados para investigaciones, como las de corrupción. En casos donde se requiere judicialmente la información de cuentas bancarias, si han pasado más de 5 años, los bancos no entregan esa información, porque no están obligados. “Es muy habitual”, dice Escobar. “Los tienen, porque sé que cuando los clientes los piden se los dan”.

Al igual que la Guardia Civil, Escobar está a favor de la conservación total de datos. ¿Qué nos diferencia como sociedad de un régimen totalmente autoritario que tiene acceso casi total a lo que piensan y dicen sus ciudadanos? “Primero, seguridad judicial; segundo, la ley, que se cumpla; y tercero, control judicial. Eso nos diferencia”, responde Escobar. Para todo ello la garantía es cómo se accede, cómo se ve ese rastro y que haya un riguroso control del poder judicial, ya que siempre habrá gente que tenga acceso a esos datos. Ese es el problema que ve Escobar: “actualmente en España nadie sabe quién tiene acceso y qué hace con esos datos, por ejemplo con Sitel, lo cual es gravísimo”.

Sitel es el sistema por el que las fuerzas de seguridad del Estado pueden acceder a contenidos y metadatos de las comunicaciones, en los casos en que la ley contempla y previa autorización judicial. Hasta ahí la teoría, porque existe la sospecha de interceptaciones previas a la autorización judicial para obtener indicios que justifiquen posteriormente la petición del “pinchazo”.

Las dudas siempre han existido: en 2009 miembros del PP acusaron a Pérez Rubalcaba, entonces ministro del Interior, de usar Sitel con fines políticos, a raíz de grabaciones relacionadas con el caso Gurtel. La falta de control judicial en parte del proceso hizo que en 2010 dos magistrados del Supremo, Manuel Marchena Gómez y José Manuel Maza Martín, cuestionaran la legalidad del sistema.

Para Escobar, está claro que con las tecnologías actuales se puede recoger y custodiar los datos, pero no se puede dejar eso a la policía, sino que todo tendría que estar bajo control judicial, “además mediante un auto y bien justificado”.

Unas garantías jurídicas que, según lo que dice, no parece que tengamos en España. “Con Sitel por ejemplo, debería haber una ley orgánica -porque el objeto es un derecho fundamental, el derecho a la intimidad, que regule quién y cómo puede ver esos datos. Pero en España esa ley no existe. Está siendo suplida mal que bien por la jurisprudencia”.

¿Hacia una sociedad orwelliana?

Han pasado unos años de las revelaciones del espionaje masivo a ciudadanos que fue denunciado por Edward Snowden y una gran mayoría ha tomado conciencia de la importancia de la privacidad de nuestros datos personales en la era de internet.

Pensadores como Daniel Solove sostienen que la privacidad promueve y alienta la autonomía moral de los ciudadanos, un requisito fundamental de una democracia. Renata Ávila es una abogada especializada en nuevas tecnologías y derechos humanos. Considera que la conservación de datos para investigaciones a posteriori “es una medida no necesaria, desproporcionada y contraria con los estándares internacionales de derechos humanos. Guardar los datos de todos y acumular dossiers de todos los ciudadanos es orwelliano. Tu gobierno, con los metadatos de tu teléfono, puede saber exactamente dónde estuviste y cuánto tiempo, por años”, grafica.

Ávila señala una tendencia al aumento de la retención de datos por motivos de seguridad. “El ejemplo más reciente es Italia donde sin mayor debate aumentaron la retención de datos a seis años, el año pasado, a pesar de oponerse no solamente grupos de derechos civiles, sino las empresas, en las que impone un costo innecesario y mayor responsabilidad de custodia”.

La falsa dicotomía que tan bien funcionó después de los atentados del 11S en Estados Unidos, seguridad versus privacidad, parece volver con cada caso sensible. Como sociedad, ¿estamos dando más importancia más importancia a la seguridad que a la privacidad? Carrasco cree que no en general pero sí en casos concretos. “Después de un acto de terrorismo o de uno tan mediático como Diana Quer, lo que piensa la sociedad es que hay que darle más importancia a la seguridad. Lo que buscan es eso, crear esa falsa dicotomía, que o estás seguro o tienes privacidad”.

Escobar observa el hecho de que haya tantas cámaras en la calle y cree que sí hay una tendencia a primar la seguridad sobre la intimidad. Advierte que solamente se pueden prescindir de estos derechos fundamentales en los estados de excepción y de sitio de la Constitución.

“Es un tema muy serio. Yo sí que me alarmo cuando oigo que Estados Unidos ha estado espiando a Merkel y también a Rajoy. Eso ya es un casus belli. Sin embargo Rajoy no dijo nada. Dijo: no tengo nada que ocultar, pero no es eso. Es que lo tuyo es tuyo y los demás no pueden entrar a menos que tú lo autorices. Y siendo un presidente de gobierno, tu interés es el de todos”.

Recuerda que le causó alarma que eso no fuera objeto de escándalo nacional a nivel jurídico. “Pareció que como los EEUU tienen capacidad para hacerlo, es normal. Pues no, no es normal, es un hecho delictivo”, subraya.

Este artículo se publicó originalmente en Vozpópuli el 3/1/2018

Si algo es gratis, el producto eres tú. O no.

Probablemente es una de las frases más usadas en tuits, medios y debates cuando se habla de datos personales, de privacidad, de redes sociales y servicios online. Este argumento, además de dar un titular muy resultón para columnas dominicales, es bastante cuestionable. 

Por un lado, el modelo gratis-con-publicidad lleva muchos años funcionando (pensemos en la radio o la TV) y eso no significa que los usuarios sean tratados como producto o sus datos vendidos. Por el otro, creer que porque pagas por algún servicio la empresa no te utiliza como producto o no explotará los datos que tiene de ti es como mínimo, ingenuo.

Evil Google ha encajado perfecto en el personaje que parece validar este argumento, pero desde que existe la publicidad, las audiencias, su relevancia, su atención, su tiempo y sus datos, son algo por lo que se paga, aunque el público ya sea suscriptor. 

La frase viene de los años 70, bastante antes de internet. Fue pronunciada en un corto sobre la TV llamado “Television delivers people”, en 1973, y se reprodujo en una entrevista de Richard Serra que hablaba de ese show. Pero se popularizó a través de un comentario de Andrew Lewis en unos foros de Metafilter.

Aparentemente también el argumento de “El producto eres tú” fue usado por Ronald Reagan en un discurso en 1986, en el que hablaba de la guerra contra las drogas. 

Defender la privacidad en lo relativo a los datos que utilizan las empresas con las que tenemos que relacionarnos es fundamental y por eso necesitamos utilizar argumentos más informados si queremos defender nuestros derechos.

Vídeo: Los dilemas de la privacidad y el futuro de Internet

Univers Internet 2016. Els dilemes de la privacitat i el futur d’Internet. Marilín Gonzalo (VO Es) from CCCB on Vimeo.

Vivimos un momento de datificación creciente y extremo, en que la huella digital es inevitable. El CCCB me invitó a dar una conferencia sobre la privacidad y el futuro de internet en el marco de sus jornadas para docentes. 

A partir de una genealogía del concepto de privacidad, existente antes que Internet, nos planteamos qué ponen de manifiesto hechos como las filtraciones de Edward Snowden. ¿Seguimos teniendo derecho a la privacidad aunque no tengamos nada que esconder? Hicimos un estado de la cuestión de lo que ocurre con nuestros datos, las cosas buenas y malas, y después que cada uno decida. Arriba el vídeo completo de mi charla, en la que hablo de la evolución del concepto de la privacidad y su dimensión en la era de internet. 

Screen Shot 2016-12-31 at 21.48.08


Blog Widget by LinkWithin