Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?
Antecedentes
A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.
El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.
Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Este año se llevará a cabo la 11 Reunión Regional Preparatoria para el Foro de Gobernanza de Internet (LACIGF), en la ciudad de Buenos Aires, Argentina. Este evento funciona como un espacio de encuentro y colaboración a nivel regional para impulsar el diálogo multisectorial entre gobiernos, sector privado, academia y organizaciones de la sociedad civil en torno a Internet.
Es por ello que Hiperderecho estará presente en los eventos del LACIGF comentando los avances y retos que el Perú enfrenta en temas de tecnología y Gobernanza de Internet. En esta edición, la agenda del evento se centrará en temas como brecha digital, amenazas a la libertad de expresión, economía digital, protección de datos desde una perspectiva de derechos, entre otros.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
En Junio, Hiperderecho asistió a dos eventos sobre género y seguridad en línea, junto a organizaciones de Paraguay, Brasil, Argentina y Chile que trabajan en el área de derechos digitales y que al igual que nosotros, buscan combatir la violencia de género en línea en sus países y en la región. En este post te compartimos algunos artículos y herramientas que recogimos en el camino.
Primero participamos del II Foro Internacional de Género y Ciberseguridad, un encuentro organizado por el Instituto Nacional de Ciberseguridad (INCIBE) de Argentina, en colaboración con la Organización de Estados Americanos (OEA). Las distintas ponencias analizaron cómo las agendas de ciberseguridad regionales e internacionales deben integrar un enfoque de género y responder a la creciente violencia de género en el ámbito digital.
Por si no conoces aún el término, la ciberseguridad se refiere a las políticas y herramientas legislativas que establecen cómo diferentes entidades protegerán a la sociedad de la ciberdelincuencia. Varios países de la región están desarrollando planes nacionales de ciberseguridad y cómo te contamos en un post, el Perú se encuentra en proceso de adherirse alConvenio de Budapest, el primer tratado que promueve la armonización de medidas a nivel internacional para hacer frente a los delitos informáticos. Según la Policía Nacional, en el Perú se reportan hasta 120 casos de ataques cibernéticos al mes, de los cuales 20% se refieren a la pornografía infantil y el 10% al robo de identidad.
Uno de los principales problemas en el campo de la ciberseguridad es la baja participación de mujeres. A nivel mundial, ocupan tan solo el 11% de puestos, lo que limita una perspectiva más diversa sobre cómo desarrollar planes de ciberseguridad que protejan las distintas necesidades de la ciudadanía. Algo más grave, es la ausencia de una perspectiva de género y un análisis feminista en estos discursos, que no cuestionan cómo la violencia en línea, manifestada por medio de ataques coordinados, la difusión de imágenes íntimas sin consentimiento o la suplantación de identidad pueden afectar de manera desproporcionada a los grupos más vulnerables de la sociedad, entre ellos las mujeres y la comunidad LGBTIQ+.
El evento en Buenos Aires buscó en gran parte hacer más explícita la conexión entre violencia de género y estrategias de ciberseguridad – sin embargo encontramos que hay un largo camino por recorrer para que tratados nacionales e internacionales de ciberseguridad incluyan un enfoque de género que tome en cuenta cómo además de herramientas legales y técnicas, necesitamos trabajar en construir infraestructuras sociales y culturales, como espacios de apoyo, autocuidado y formación, en los que grupos vulnerables conozcan cómo resistir y denunciar de manera segura y efectiva los ataques cibernéticos que reciben.
El 12 de junio también participamos de la mesa de conversación acerca de Seguridad Online para las Mujeres organizada por el equipo de Seguridad de Facebook de América Latina. Junto a representantes de Ni Una Menos Perú, Promsex y Proyecto Varela, tres organizaciones que luchan en contra de la violencia en contra de las mujeres y la comunidad LGBTQ+ en el Perú brindamos nuestra perspectiva sobre cómo la violencia en línea afecta el acceso equitativo a los espacios y herramientas de esta plataforma.
El equipo de Facebook organizó una serie de paneles sobre diversos temas relacionados a la seguridad en línea. ThinkOlga de Brasil y Colnodo de Colombia presentaron sobre los desafíos para crear un ambiente online más seguro y acogedor para las mujeres en Latinoamérica y cómo sus proyectos: Conexoes que Salvam (en portugués) y la Escuela de Seguridad Digital (en español) abordan el problema. Paz Peña de Chile también presentó sobre Acoso Online, una guía para denunciar y combatir la difusión sin consentimiento de imágenes íntimas a la que Hiperderecho también contribuyó.
Si bien consideramos que Facebook aún no ofrece soluciones al problema de ataques coordinados a los canales de expresión de sus usuarixs, sobretodo los de activistas, esta reunión fue útil para crear nuevos canales de comunicación entre la empresa y la sociedad civil de Latinoamérica.
Violencia de género en línea en Perú
Nuestra participación en estos encuentros nos dio una visión más holística sobre cómo los planes de ciberseguridad y/o seguridad digital necesitan urgentemente un enfoque feminista e interseccional que reconozca las relaciones de poder que se generan en espacios digitales y cómo éstas decantan en más vulnerabilidad para ciertos grupos.
Por medio de nuestra investigación, Hiperderecho ya está encontrando que entre los grupos más afectados por la violencia en línea se encuentran colectivas que defienden los derechos de las mujeres, la comunidad LGBTIQ+, y los de mujeres indígenas andinas y amazónicas, quienes además de llevar a cabo su activismo, están autogestionando su seguridad digital por medio de excelentes y valientes formas de defensa y protección.
Para conocer mejor este problema en el Perú, estamos lanzando la encuesta violencia de género en línea. Por favor ayúdanos a llenarla y compártela con tus contactos
Si tuvieras alguna duda o quisieras conversar sobre la investigación, contáctate con denisse@hiperderecho.org
El Ministerio de Comercio Exterior y Turismo (MINCETUR) publicó para comentarios el mes pasado una propuesta de nuevo Reglamento de Establecimientos de Hospedaje. Esta norma actualiza el actual Reglamento del 2015 y tiene como propósito señalar la categorización, calificación y supervisión del funcionamiento de todos establecimientos de hospedaje del país. El texto propuesto incluye un apartado dedicado al alojamiento en “casas particulares” y establece condiciones que, en la práctica, prohibirían el alquiler privado de habitaciones o casas a turistas a través de plataformas en línea como Airbnb, Despegar o HomeAway.
El proyecto de Reglamento de Hospedajes es pretende modernizar ciertas reglas de esta industria respecto al sistema de permisos de funcionamiento, categorías y oferta de servicios al turista. Esto no es nada nuevo y el sector turístico parece estar acostumbrado a estos cambios. No obstante, lo que debería ser un texto de fácil consenso se transforma cuando llega al apartado en que se regula el “servicio de alojamiento en casas particulares”.
En pocas palabras, alquilar una habitación, departamento o casa a un turista pasaría a quedar prohibido por ley salvo que se cumpla con dos requisitos en simultáneo:
Que la ciudad no cuente con infraestructura turística suficiente para cubrir la demanda, se haya sobrepasado la capacidad de la misma por festividades o haya ocurrido una catástrofe que la ha dañado total o parcialmente.
Contar con una autorización excepcional y temporal entregada por la autoridad competente, lo que implica pasar una constatación física del alojamiento por parte de la autoridad, donde se supervisan requisitos como que la construcción sea de material noble, exista ropa de cama, baño o botiquín, entre otros.
Creemos que esta propuesta tiene múltiples problemas y debería de ser reformulada. En principio, porque limita el derecho a la propiedad de cualquier peruano sin que existan razones justificadas para ello. Al establecer condiciones bajo las cuales una persona puede alquilar a otra su propiedad, el Reglamento estaría creando un régimen paralelo al del Código Civil. De la misma manera, el Proyecto de Reglamento restringe el derecho a la libertad de empresa pues si con las restricciones de excepcionalidad y temporalidad menoscaba la disposición de los bienes (las casas), al establecer sanciones administrativas y multas ahoga la justa pretensión de los propietarios o poseedores de beneficiarse económicamente de los mismos.
De aprobarse este Reglamento, todos los alquileres de casas particulares a turistas pasarían a ser irregulares por no contar con la autorización respectiva. Además, en los casos en que las casas se encuentren en lugares donde hay suficiente infraestructura turística para soportar la demanda, dicha autorización nunca podrá conseguirse o usarse legalmente. Como consecuencia directa de ello, desde el primer día los propietarios o poseedores que se encuentren realizando estas actividades se convertirán, en el mejor caso, en infractores de la ley hasta que regularicen su situación. En el peor, perderán la posibilidad de beneficiarse de los ingresos que suponía el alquiler de sus casas. Empresas como Airbnb poseen cifras sobre la cantidad de peruanos que usan su plataforma, las que nos llevan a pensar que la prohibición tendrá como consecuencia la precarización de la situación económica de estas personas.
No queda claro cuál es el problema que busca solucionar este Reglamento. ¿Seguridad ante imprevistos? ¿Calidad mínima de servicio? ¿Informalidad? En cualquier caso, la propuesta se queda corta en todos esos aspectos. Lo único que consigue es excluir a un grupo importante de individuos y familias peruanas que generan un ingreso extra gracias a Internet. Al limitar la posibilidad de que alquilen espacios disponibles en sus viviendas a cuando no queden hoteles disponibles y previo permiso, efectivamente se intenta desaparecer la actividad de las principales ciudades del país.
Cualquier esfuerzo por establecer reglas sobre cómo funcionan las plataformas digitales o los negocios que facilitan debe de ser participativo y basado en evidencia. Al mismo tiempo, no debe de perder de vista la capacidad que tiene la tecnología de reducir las barreras de acceso al mercado y permitirle a más ciudadanos a sacarle el máximo provecho a sus bienes. Por lo señalado creemos que esta propuesta de Reglamento, actualmente se encuentra bajo análisis en MINCETUR, falla en comprender eso.
Hace unos meses publicamos un post en el cual te contábamos sobre nuestro proyecto de investigación referente a la Violencia de Género en Línea (VGL). Con esta investigación buscamos analizar cómo la violencia que se desarrolla en espacios offline en contra de las mujeres y la comunidad LGBTI se suele perpetuar en espacios digitales, repercutiendo (nuevamente) los derechos de personas que pueden encontrarse en situaciones de vulnerabilidad.
Es por ello que para esta investigación estamos partiendo desde un enfoque de género y de interseccionalidad. Para poder analizar todas las variables que intervienen en el comportamiento de algunxs usuarixs en ciertos espacios digitales y de qué manaeras se alinean con directrices de una sociedad heteropatriarcal y machista.
Ante estas situaciones, es igual de importante reflexionar sobre cómo lidiamos con estas experiencias, y a qué o quienes recurrimos. Nuestra investigación también busca resaltar cómo ciertos grupos de personas que han afrontado situaciones de VGL han creado y potenciado excelentes y valientes formas de defensa y protección.
Por esa razón, estamos lanzando la encuesta Violencia de Género en Línea, por medio de la cuál queremos conocer acerca de tu experiencia afrontando estas situaciones y tus estrategias de respuesta. Te aseguramos que la encuesta es anónima y que la información que nos brindas será usada únicamente para esta investigación.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.
Así mismo, el Gerente de Tecnología de la Información de RENIEC también declaró a El Comercio que:
Este padrón, al que solo tienen acceso 1.940 entidades del sector público, no permite que nadie ingrese a la base de datos del Reniec. Lo que pasó es que alguien de los 6 mil usuarios le ha dado un mal uso al sistema y ha brindado su contraseña, permitiendo que un tercero tenga acceso a las fotos de los menores.
Este es el extremo más preocupante de las declaraciones de RENIEC. En pocas palabras, señala que la vulnerabilidad en el sistema que encontramos y reportamos nunca existió. Por el contrario, sostiene que lo único que pasó es que se obtuvo la contraseña de un usuario legítimo del sistema. Como se aprecia en el video que publicamos, nada más lejos de la verdad.
La vulnerabilidad permitía a cualquier persona, desde cualquier punto del país, usar una dirección web de RENIEC para obtener la fotografía de cualquier peruano, mayor o menor de edad, solo usando su número de DNI. La página web que se aprecia en el video es una “prueba de concepto” realizada por Hiperderecho para convertir un número de DNI en una línea de Base64, el sistema público usado por RENIEC para escribir las direcciones web. Algo tan al alcance de cualquier persona que existen decenas de herramientas en línea que te permiten hacer esta conversión. En el video también se aprecia la ruta web completa que se podía usar para obtener la fotografía. Nada de esto implica usar un nombre de usuario o contraseña o llevar a cabo alguna actividad de fuerza bruta contra los sistemas de ONPE. Por ende, negamos tajantemente lo señalado por RENIEC y nos reafirmamos: la vulnerabilidad sí existió y fue responsabilidad de quien programó el sistema.
Pero creo que la lección principal es otra y tiene que ver con cómo el Estado reacciona a problemas de seguridad informática. Todo sistema informático, incluyendo los del Estado, puede tener errores. Las empresas privadas, por ejemplo, reconocen esto y tienen programas de reconocimiento a quienes encuentran errores y los reportan de la forma en la que nosotros lo hicimos. La lógica es que se los reporten a las empresas en lugar de venderlos a terceros que pueden explotarlos para robar información. Nuestro Estado, por el contrario, no solo no tiene mecanismos formales para el reporte sino que deliberadamente evita documentarlos y su primera reacción es siempre negar que alguna vez sucedieron. Con estas prácticas, no sería sorprendente que para muchos otros programadores y investigadores resulte más interesante simplemente publicar sus hallazgos en foros o páginas de Facebook para obtener reconocimiento. Peor todavía, podrían optar por vender estos secretos en el mercado negro a quienes puedan explotarlos que reportarlos al Estado. Si queremos empezar a pensar en un país más moderno y digital, tenemos necesariamente que entender estos equilibrios y aprender a lidiar con estos problemas.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
La Comisión Ejecutiva de Derecho Informático y Tecnologías de la Información del Colegio de Abogados de Lima organiza este jueves 14 de junio la Segunda Jornada sobre Derecho y Tecnología. Este evento académico busca presentar temas actuales en la intersección del Derecho y la tecnología a la comunidad legal local.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.
Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).
