Una de las maneras de comprender la evolución del feminismo es a través de sus tres olas que agrupan, según periodos de año, las principales causas de la lucha del feminismo. Desde el derecho al voto, los derechos laborales de las mujeres, combatir la violencia, cuestionar el esencialismo, centrarse en la interseccionalidad, hasta llegar al debate de la existencia de la cuarta ola. Esta comprendería temas como la cultura de violación, las micro agresiones, sexismo, el activismo en medios sociales y el ciberfeminismo.
Hasta la fecha muchos peruanos hemos podido ser testigos de los beneficios que puede traer la tecnología a nuestras vidas. Sin embargo, desde una perspectiva feminista es interesante cuestionar si el Internet puede proveer o convertirse en un espacio feminista, cómo las características on line pueden permitir o frenar el activismo por la igualdad de derechos, y si los nexos y redes tecnológicas replican los patrones patriarcales y machistas de nuestra sociedad porque se encuentran dominadas por hombres.
Si tenemos en cuenta que una de las principales características del Internet es su capacidad liberadora, entonces debería de proporcionarnos un espacio digital público donde las personas puedan organizarse según sus intereses y sin límites por cuestiones de seguridad a nivel digital como físico. De esa manera, Internet debería de estar construyéndose como un espacio que respeta la igualdad de derechos, oportunidades y libertades de las personas que lo utilizan, y libre de réplicas misóginas, sexistas y heteropatriarcales.
En octubre de 2017, el Primer Juzgado Especializado en lo Constitucional de Lima resolvió en una sentencia que la Municipalidad de Lima Metropolitana estaba obligada a entregar a un demandante la lista completa de usuarios bloqueados en su página de Facebook. El caso fue largamente cubierto por la prensa pero, como pudimos corroborar con el demandante a principios de 2018, la Municipalidad ha apelado y será una segunda instancia quien dicte el veredicto final. ¿Qué implicancias tiene esto para nuestros derechos digitales?
A lo largo de los últimos diez años, son varias las sentencias, resoluciones y otros actos judiciales y administrativos que han resuelto (o creado) conflictos relacionados a Internet o a la forma cómo los peruanos la utilizamos. Por ejemplo, en 2010 existió toda una controversia sobre una sentencia que condenaba a un blogger por presuntamente haber compartido enlaces que llevaban a sitios con contenido difamatorio. Más adelante, en 2016 la Autoridad de Protección de Datos Personales sancionó a Google y parcialmente legitimó la controvertida doctrina del “Derecho al Olvido” en el país.
El día 18 de enero, Víctor Shiguiyama, actual autoridad de la Superintendencia Nacional de Aduanas y Administración Tributaria (SUNAT), anunció que su despacho comenzará a emplear información de las redes sociales de los contribuyentes, con el fin de combatir la evasión tributaria. Para lograrlo, Shiguiyama afirmó que “han contratado matemáticos y físicos” que apoyarán las tareas de fiscalización y puedan cruzarse bases de datos más complejas.
Desde varios años, diferentes entidades del Estado vienen modernizando su gestión introduciendo nuevas tecnologías que buscar facilitar sus dinámicas internas para ofrecer mejores servicios a los ciudadanos. En ese sentido, no resulta extraño oír que la SUNAT quiere sumarse a la ola de innovación, pero la medida anunciada ha levantado algunas preocupaciones respecto de hasta dónde puede llegar el Estado con el fin de cumplir sus objetivos; en este caso, el de atrapar a los evasores vía sus publicaciones en Facebook y Twitter o las fotos que suben a Instagram.
En setiembre de 2017, colaboramos con SUNEDU para solucionar un filtrado de datos personales que comprometía a todos los estudiantes del Perú. Gracias al oportuno reporte de Hiperderecho, la información personal de todos los portadores de un carné universitario válido hoy se encuentra más segura.
El problema
La historia comienza con La Liga Juvenil de Defensa de Internet, un proyecto de Hiperderecho para reunir y potenciar ideas de estudiantes universitarios que quieran hacer incidencia en la sociedad usando tecnología. En nuestras interacciones con los miembros de la Liga acabamos descubriendo que el nuevo carné universitario tiene impreso un código QR en la parte de atrás. Siguiendo nuestra curiosidad, nos pusimos a revisar qué era lo que el código contenía. Para nuestra sorpresa el código era simplemente una dirección web del siguiente formato:
Al entrar a esta dirección, se podía ver una representación web del carné universitario original, y con algunos cambios se podían ver los datos de otros alumnos:
Sin embargo, lo que hacía potencialmente peligrosa esta representación online es que los datos como nombre, carrera, universidad, estaban todos mostrados como texto simple. Es decir, resultaban fácilmente recolectables al igual que la foto del alumno, y estaban disponible como datos para ser consumidos y guardados por cualquiera.
Peor aún, como los códigos de alumno están conformados exclusivamente por números, con algo de astucia se podía automatizar el ingresar a todos los carnés emitidos por SUNEDU, desde el “0000000000000” hasta el “9999999999999”. El sistema no impedía este tipo de consultas automatizadas, y según nuestro cálculo preliminar, en un día se podría haber descargado una copia completa de la base de datos de alumnos universitarios del Perú, incluyendo nombre completo, DNI, universidad, carrera. Todo sin vulnerar ninguna medida de seguridad ni adivinar contraseñas.
Al confirmar la gravedad del problema, preguntamos a algunos estudiantes amigos de Hiperderecho qué les parecía que su información estuviese expuesta de esta manera en internet. La mayoría se sorprendió de ver sus datos disponibles de forma tan pública, y otro buen grupo encontró innecesario que con el simple cambio de un dígito se pudiese acceder a la información de cualquier otro alumno, y no solo la personal.
Reportando el problema
Reunidas estas impresiones y el análisis y evidencia del problema, decidimos contactar a las autoridades responsables. Empezamos contactando a PeCERT, la institución del estado encargada de coordinar la respuesta ante problemas de seguridad en las plataformas digitales del estado. Nos comunicamos con PeCERT a finales de setiembre pero nunca obtuvimos respuesta. De hecho, hasta ahora no sabemos nada de ellos.
En paralelo, pudimos entablar comunicación con el área de Comunicación de SUNEDU, la entidad precisamente encargada de emitir los carnés. Gracias a la intervención del área de Comunicación, logramos canalizar nuestro descubrimiento hacia el área técnica de SUNEDU y entendieron la magnitud del problema. Al poco tiempo, logramos reunirnos con ellos para conversar más a detalle de lo ocurrido. En la reunión nos presentaron las acciones que ya habían tomado luego de nuestro reporte y que planeaban tomar: una auditoría independiente al proveedor que se encargaba de manejar el sitio carneuniversitario.com.pe (el cual resulta es el proveedor también responsable de imprimir los carnés físicos), según SUNEDU la auditoría no había encontrado signos de abuso del sistema. No tuvimos acceso a ese reporte, pero creemos que es poco probable que se haya explotado la vulnerabilidad.
Adicionalmente, el equipo de SUNEDU nos aseguró que dos medidas se implementarían tan pronto como fuese posible: (1) exigir un segundo dato único antes de mostrar los datos del carné (los últimos dígitos del DNI); y, (2) añadir una salvaguarda a usos automatizados del sitio (en este caso el aditamento reCAPTCHA de Google).
Para finales de octubre pudimos confirmar que los cambios ya se habían aplicado y el sitio ya no era susceptible al error de seguridad que habíamos detectado.
Lecciones aprendidas
Al final de la experiencia, quedamos muy satisfecho de haber encontrado en SUNEDU a una institución tan receptiva de nuestros comentarios y preocupaciones además de muy felices de haber contribuido a mejorar la seguridad de un servicio del estado.
Sin embargo, hay una lección más grande en esta historia. Seguimos igual preocupados por la manera en que instituciones del estado continúan usando nuestros datos de manera poco reflexiva, sin informarnos, y potencialmente exponiéndonos a empresas o grupos que nada tienen que ver con la relación de confianza entre ciudadanos y estado.
En este caso, tenemos que cuestionar cuál es la real utilidad de tener un código QR en el carné universitario cuando dicho código es solo un link a un sitio web que replica la información del carné. Si lo que se busca es evitar falsificaciones, ¿es realmente lo más efectivo? ¿Tiene sentido esperar que en una boletería, o en un bus, el encargado de cobrar el medio pasaje: escanee un código QR e ingrese a un sitio web en su celular solo para verificar si el carné es válido? Nuestra impresión es que la idea no tiene aplicación pragmática, más aún con los cambios ahora introducidos para asegurar el sistema contra el filtrado tremendo de datos que estaba presente en el diseño original. Consideramos que otras soluciones de verificación podrían aplicarse. Pensemos en que el DNI no tiene un sitio web donde verificarse, y no por eso la gente ha perdido confianza en ese documento.
Por otro lado, la base de datos, o cuando menos el sitio web, está alojado en un dominio privado, un .com.pe que cualquiera de nosotros pudo haber comprado, o podría comprar, y cuyos contenidos son administrados por el proveedor de la impresión de carnés universitarios para SUNEDU. No creemos que exista ningún tipo de mala fe, pero sí es necesario cuestionar si poner en manos de un tercero el distribuir esta información a través de la web es un buen cuidado de nuestro datos.
Para terminar solo nos queda desear que futuras interacciones con otras instituciones del estado en temas de seguridad digital sean tan positivas como la que tuvimos en esta ocasión con SUNEDU. Hiperderecho se debe a los ciudadanos y no a instituciones o patrocinadores, y los usuarios que merecen que su información y derechos (privacidad incluida) sean respetados por el estado.
Dicen que la moda de los zombies es cosa del pasado. Parece ser cierto, salvo cuando hablamos de tratados comerciales. En enero de este año anunciamos el fin del Acuerdo Transpacífico (TPP) luego del retiro de Estados Unidos por decisión del flamante presidente Donald Trump. Después de varios años de enfrentar una de las amenazas más grandes contra los derechos digitales, la mayoría de organizaciones en el Perú y en el mundo habíamos volteado a ocuparnos de otros problemas, con la tranquilidad que da la victoria. Pero lo cierto es que el TPP no estaba muerto.
La primera señal de que el cadáver todavía se movía fueron las declaraciones de intención de los países miembros luego del retiro de Estados Unidos. La perspectiva de haber pasado tanto tiempo negociando e incluso comprometiendo caudal político en vano no era una opción atractiva. Por otro lado, el lobby de las grandes industrias, que habían empujado de forma permanente el TPP, se mantenía activo y dispuesto a seguir con la presión. Finalmente, en varios casos, la firma del tratado formaba parte de algún plan o trama superior de los países participantes, cuyo abandono no podían permitirse de ninguna forma.
¿Qué ha pasado este año con las políticas públicas en tecnología en Perú? Mucho, en términos de cambios estructurales. Pero en torno a cambios reales o de coherencia también podría decirse que muy poco. Detrás del ruido de una serie de iniciativas desconectadas hoy se distingue el de la crisis política reciente, que ha agregado un símbolo de interrogación a cualquier conclusión sobre lo que pasó institucionalmente en nuestro país este 2017.
Una de las grandes tendencias del año ha sido el esfuerzo de reformulación institucional. La Oficina Nacional de Gobierno Electrónico, bajo la dirección de Lieneke Schol, se transformó en la Secretaría de Gestión Digital para asumir el liderazgo del Sistema Nacional de Informática. En paralelo, el Ejecutivo continuó el plan de convertir darle al Ministerio de Transportes y Comunicaciones ahora tiene competencia sobre Tecnologías de la Información pero la iniciativa continúa sin materializarse. De aprobarse, antes que un ente rector tendríamos dos: la SegDI se encargaría de todo lo que tiene que ver con tecnología dentro del aparato estatal y el Ministerio haría lo propio hacia afuera. Este año también marcó el reagrupamiento de la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información (CODESI) y el fortalecido Foro Peruano de Gobernanza de Internet con el reto que conlleva encontrarle un rol en el creciente ecosistema. En ese sentido, la reciente aprobación de la Política 35 del Acuerdo Nacional apunta en el sentido correcto pero todavía falta mucho para poder dotarla de acciones. Así, queda la impresión de que en el arreglo institucional final todavía hay mucho por definir en términos de roles. Por ejemplo, cierta forma del Plan Nacional de Ciberseguridad está siendo desarrollado al mismo tiempo por la SegDi y por CODESI, sin que exista coordinación sustantiva entre ambos.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
La semana pasada todo Internet parecía hablar de un solo tema: la decisión de la Federal Communications Commission (FCC) de dejar sin efecto las normas de Neutralidad de Red de Estados Unidos. En diversos tonos se declaró un día triste para la libertad de expresión, se anunció el fin de Internet, o incluso un antes y un después para la democracia en occidente. Sin embargo, ¿qué significa esto y por qué la decisión de cinco funcionarios estadounidenses parece importarnos tanto? Este es un intento de entender esta controversia desde Perú.
Neutralidad de Red
La Neutralidad de Red es un principio conceptual que propone que los contenidos en Internet deben de ser transportados de la manera más agnóstica posible, sin diferenciar o discriminar en función de su tipo, naturaleza o destino. La discusión sobre la regulación de la Neutralidad de Red es un debate en Derecho de las Telecomunicaciones que gira en torno a prohibir legislativamente a quienes controlan la infraestructura de comunicaciones que posibilita el acceso a Internet (empresas de telecomunicaciones) alterar el contenido o las condiciones en la que sus usuarios usan el servicio. Es decir, prohibir que empresas como Telefónica o Claro discriminen tecnológica o económicamente entre las distintas páginas web, aplicaciones o contenidos a los que sus usuarios acceden.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Cada año, este evento organizado por la Secretaría General de Naciones Unidas, reune bajo un formato de discusión de múltiples actores a cientos de representantes de gobiernos, academia, comunidad técnica, sector privado y sociedad civil. Al igual que en años anteriores, este año Hiperderecho nuevamente estará presente en el Foro que se lleva a cabo esta semana en Ginebra, Suiza en el Palacio de las Naciones. Ahí compartiremos algo de lo que hemos estado haciendo este año en Perú y nuestra visión de cómo las políticas públicas en tecnología están impactando en el desarrollo del país.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Esta nueva se cuida de incidir en aspectos controvertidos como responsabilidad por daños, seguros obligatorios, obligaciones tributarias o laborales. Por el contrario, se pone énfasis en delimitar las condiciones de acceso y permanencia al este mercado de servicios sin justificar en ningún punto cómo esto beneficia a los usuarios ni los pone en una mejor situación que la actual. Es preocupante que luego de las diversas discusiones en torno al primer proyecto de ley, que la propia Comisión tiene bajo estudio, se proponga como alternativa una solución todavía menos sensible a la realidad de este mercado.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
En el mes de setiembre, se publicó el Reglamento del Decreto Legislativo N° 1353. Como se recuerda, dicho Decreto Legislativo creó la Autoridad Nacional de Transparencia y Acceso a la Información Pública con el objetivo de incrementar el estándar de transparencia del Estado ante la ciudadanía. No obstante, en Hiperderecho ya habíamos comentado las limitaciones de la naciente entidad, que considerábamos una nueva oportunidad desaprovechada por parte del gobierno en su lucha contra la corrupción.
Sin embargo, no ha pasado mucho tiempo para que detectemos un nuevo mecanismo que entorpece esta lucha y que parece haber sido introducido de forma deliberada y maliciosa dentro del Reglamento. Nos referimos a una de las Disposiciones Complementarias Modificatorias, que modifica el artículo 16 del reglamento de la Ley de Transparencia para denegar de forma categórica el acceso a la información contenida en correos electrónicos o aplicaciones de mensajería de funcionarios públicos.
