Meredith Whittaker practica lo que predica. Como presidenta de la Fundación Signal, es una de las voces más reconocidas en su defensa de la privacidad para todos. Pero no se limita a proferir palabras vacías.

En 2018, irrumpió en la escena pública como una de las organizadoras de los paros y protestas en Google, movilizando a 20.000 empleados del gigante de las búsquedas online en una protesta doble, contra el apoyo de la empresa a la vigilancia estatal y la gestión de la compañía de los casos de acoso sexual.

Incluso ahora, después de media década en el ojo público, con discursos en el Congreso, cátedras universitarias y puestos de asesoramiento en agencias federales a sus espaldas, Whittaker sigue firme en su preocupación por la privacidad.

No es raro que los empresarios desvíen cortésmente la respuesta cuando, para elaborar el CV que suele acompañar este tipo de estas entrevistas, se les pregunta por su salario. Algo menos habitual es que se nieguen en redondo a hablar sobre su edad y su familia. “Como defensora de la privacidad, Whittaker no responde a preguntas personales que puedan servir para deducir sus contraseñas o ‘respuestas secretas’ para su autenticación bancaria”, explica un empleado tras la entrevista. “¡Ella anima a los demás a seguir su ejemplo!”.

Cuando dejó Google, Whittaker compartió internamente un memo en el que dejaba claro que se comprometía a trabajar en la implementación ética de la inteligencia artificial y a organizar una “industria tecnológica responsable”. El texto decía: “Está claro que Google no es un lugar donde pueda continuar con este trabajo”. Esa claridad, y la negativa a comprometer sus ideales, dieron lugar a Signal.

La Fundación Signal, creada en 2017 con 50 millones de dólares de financiación aportados por el cofundador de WhatsApp, Brian Acton, busca “proteger la libre expresión y permitir una comunicación global segura a través de la tecnología de privacidad de código abierto”.

En 2018, la Fundación tomó el mando del desarrollo de su propia app de mensajería, también llamada Signal, y Whittaker se incorporó en el novísimo cargo de presidenta en 2022. Llegó justo a tiempo para empezar a defender Signal, y el sistema de cifrado en general, frente a una oleada de ataques provenientes de Estados nación y empresas de todo el mundo.

Legislaciones como la británica Ley de Seguridad en Línea (OSA) y el reglamento de la UE sobre abuso sexual infantil contenían lenguaje que podía ser utilizado para prohibir o descifrar comunicaciones privadas, mientras que las propuestas de Meta de activar el cifrado de extremo a extremo para Facebook e Instagram provocaron una feroz reacción de políticos como Priti Patel, por entonces ministra de Interior del Reino Unido, que calificó los planes de “catastróficos”.

Esos ataques no son nada nuevo, dice Whittaker cuando nos reunimos en las oficinas del Observer. “Podemos remontarnos a 1976, cuando [Whitfield] Diffie y [Martin] Hellman intentaban publicar el artículo que introdujo la criptografía de llave pública, que es la técnica que nos permite tener una comunicación encriptada a través de internet. Los servicios de inteligencia intentaron impedirlo.

“A lo largo de los 80, existió un profundo malestar por la idea de que la NSA [Agencia de Seguridad Nacional de Estados Unidos] y el GCHQ [el Cuartel General de Comunicaciones del Gobierno, uno de los tres servicios de inteligencia de Reino Unido] perdieran el monopolio de la encriptación, y en los 90, esta acaba controlada bajo tratados de armas: son las ‘guerras criptográficas’. No se podía enviar un código por correo a alguien en Europa; porque hubiera sido considerado exportación de municiones”.

Pero el enorme impulso comercial de Internet obligó a suavizar las restricciones, al menos hasta cierto punto. “Se empezó a permitir la encriptación de las transacciones y las grandes empresas pudieron elegir exactamente qué encriptar. Al mismo tiempo, la administración Clinton respaldó el monitoreo de publicidad digital como modelo de negocios, por lo que existían incentivos para recopilar datos sobre los usuarios con el fin de aumentar las ventas”.

Según Whittaker, la vigilancia ha sido una “enfermedad” desde los inicios de Internet, y la encriptación es “una profunda amenaza para el tipo de poder que se constituye a través de estas asimetrías de información”. Por eso, no cree que la lucha vaya a terminar pronto. “No creo que estos argumentos sean de buena fe. Hay una tensión más profunda aquí, porque en 20 años de desarrollo de esta industria tecnológica metastásica, hemos visto cómo cada aspecto de nuestras vidas se convirtió en objeto de vigilancia masiva, perpetrada por un puñado de empresas que se asociaron con el Gobierno de Estados Unidos y otras agencias de los países pertenecientes a la alianza ‘Cinco Ojos’ para recopilar más datos sobre nosotros de los que jamás ha tenido acceso ninguna entidad en la historia de la humanidad.

“Así que si no seguimos protegiendo estos pequeños resquicios de privacidad y, en última instancia, ampliándolos -tenemos que dar algunos codazos para conseguir un poco más de espacio aquí-, creo que nos aguarda un futuro mucho más sombrío del que ya tenemos, a menos que consigamos mantenernos firmes y ampliar el espacio para la privacidad y la libre comunicación”.

Las críticas a las comunicaciones cifradas son tan antiguas como la tecnología en sí: permitir que cualquiera hable sin que el Estado pueda intervenir en sus conversaciones es una bendición para delincuentes, terroristas y pedófilos de todo el mundo.

Pero Whittaker sostiene que son pocos los críticos de Signal que parecen ser coherentes en sus preocupaciones. “Si realmente nos preocupásemos por ayudar a los niños, ¿por qué las escuelas de Reino Unido se están cayendo a pedazos? ¿Por qué se otorgó a los servicios sociales sólo el 7% del financiamiento sugerido para poder dotar de todos los recursos a los organismos que trabajan por detener los abusos?”.

A veces las críticas son más inesperadas. Recientemente, Signal se vio arrastrada a las guerras culturales de Estados Unidos después de una fallida campaña de difamación desplegada por la derecha para deponer a Katherine Maher, la nueva directora ejecutiva de la National Public Radio, el servicio de radiodifusión pública de Estados Unidos. La campaña se extendió a Signal, donde Maher integra el consejo de administración. Elon Musk se involucró, promoviendo en la red social X teorías conspirativas que sostienen que la aplicación Signal —que él mismo alguna vez había promocionado— tiene “vulnerabilidades conocidas”.

Las acusaciones fueron “un arma en una guerra de propaganda para difundir desinformación”, dice Whittaker. “Vemos líneas similares de desinformación, que a menudo parecen diseñadas para alejar a la gente de Signal, vinculadas a las escaladas en el conflicto de Ucrania. Creemos que estas campañas están diseñadas para ahuyentar a la gente de Signal hacia alternativas menos seguras, que pueden ser más susceptibles de hackeo e interceptación”.

La misma tecnología que suscita las críticas de la fundación la hizo popular entre gobiernos y militares de todo el mundo que necesitan proteger sus propias conversaciones de las miradas indiscretas de hackers estatales y otros.

Whittaker ve esto como una nivelación: Signal es para todos.

“Signal funciona para todos o no funciona para nadie. Todos los ejércitos del mundo usan Signal, todos los políticos que conozco usan Signal. Todos los directores ejecutivos que conozco usan Signal, porque cualquiera que tenga algo realmente confidencial que comunicar reconoce que almacenarlo en una base de datos Meta o en un servidor de Google no es una buena práctica”.

La visión de Whittaker es singular y no admite distracciones. A pesar de su interés por la IA, no se atreve a combinarla con Signal y se muestra crítica con aplicaciones como WhatsApp, de Meta, que introdujeron funciones basadas en IA.

“Estoy muy orgullosa de que no tengamos una estrategia con IA. Tendríamos que mirarnos a la cara y preguntarnos: ¿de dónde proceden los datos para entrenar los modelos, cuál es el origen de los datos de entrada? ¿Cómo daríamos forma una estrategia de IA, dado que toda nuestra atención se centra en preservar la privacidad y no vigilar a la gente?”.

Sea lo que sea lo que depare el futuro en términos de tecnología y actitudes políticas hacia la privacidad, Whittaker se mantiene firme en que sus principios son una cuestión existencial.

“Mantendremos la misma línea. Preferiríamos cerrar antes que socavar o dar marcha atrás en las garantías de privacidad que ofrecemos a la gente”.

Traducción de Julián Cnochaert.

Desde las propias operadoras lo reconocen: “Lo que se podía hacer con las redes de telecomunicaciones actuales ya se explotó al máximo, no hay espacio para más”, confesaba a elDiario.es una de sus trabajadoras en el primer día del Mobile World Congress (MWC) de Barcelona, que abrió sus puertas este lunes.

Seguir como hasta ahora las condena a ser meros proveedores de infraestructura para las grandes plataformas de contenidos: las cobradoras del peaje que tiene que pagar el camión de Netflix para llegar a los usuarios. Poco negocio, comparado con el que hace Netflix cuando reparte las series de su camión entre sus suscriptores.

El plan de GSMA, la patronal mundial de las 'telecos', para evitar ese estancamiento es empezar a ordeñar la vaca por otro lado: una “re-digitalización” de sus redes gracias a los datos personales que las operadoras tienen en su poder y por los que muchas empresas pagarían. Pero no para comprarlos y elaborar perfiles para hacer publicidad personalizada al estilo Silicon Valley, sino para conocer determinados detalles en un momento dado con los que hacer más eficientes sus servicios.

Hay varios ejemplos, pero uno de los que la GSMA esgrime más a menudo es lo bien que les vendría a los bancos para evitar el fraude poder conocer si la tarjeta SIM del celular que está solicitando hacer una transferencia fue clonada recientemente. O si su localización es distinta a la del país de origen de la cuenta bancaria.

Ahora, los servicios de los bancos y de las operadoras no son interoperables en ese sentido. Como tampoco los de las redes sociales, que se ven obligadas a enviar un SMS de confirmación cuando un usuario quiere dar de alta una nueva cuenta con un número de teléfono, confiando en que la persona que lo recibe es quien dice ser.

Con el plan de las operadoras, al que denominan Open Gateway, ese tipo de datos pasarán a ser accesibles para las empresas que los necesiten. Y su primer gran socio es TikTok, que empezará a probar este sistema en Brasil a partir de una alianza estratégica con Telefónica anunciada este lunes en el MWC.

47 redes diferentes, una sola plataforma

“Las telecos tenemos muchas capacidades en nuestras redes, en todos los datos que tenemos sobre nuestros clientes. Pero hasta hoy era imposible utilizar esa información y esos datos por parte de los desarrolladores. Eso es precisamente lo que estamos cambiando”, manifestó David del Val, director de Open Gateway en Telefónica, durante el anuncio del acuerdo con TikTok.

GSMA puso de acuerdo a 47 grupos de operadores móviles, que representan el 65% de las conexiones en todo el mundo y dan servicio en 239 países, para que sus redes hablen un mismo idioma. Juntas, funcionarán como una sola plataforma. Cuando TikTok pregunte a una de ellas si el número de teléfono con el que un usuario está intentando crear una nueva cuenta corresponde al mismo celular que está utilizando para hacerlo, no le hará falta hacer 47 preguntas diferentes. Será una validación automática.

“La iniciativa Open Gateway, concretamente en torno a la verificación de números, es muy interesante para nosotros a la hora de pensar en cómo ofrecer una experiencia de usuario fluida que se centre en la privacidad”, expresó Michael Modon, responsable de Acuerdos Internacionales en TikTok. “Sabemos que el proyecto Open Gateway va a seguir creciendo a medida que se incorporen más redes”, confió.

Técnicamente, lo que harán las operadoras es crear interfaces programables de aplicaciones (API), de manera que al configurar una de ellas para relacionarse con los servicios de uno de los 47 operadores, pueda interactuar ya con todos.

GSMA presentó el proyecto de Open Gateway en el MWC de 2023 y este año llegó a Barcelona con su puesta en marcha definitiva a nivel comercial. Además de TikTok y la validación de números de teléfono, Telefónica explicó hoy que ya hay proyectos en marcha para hacer distintos tipos de validaciones, como comprobar dónde se encuentra un dispositivo, cuándo se clonó su tarjeta SIM o si un determinado dispositivo está conectado a la red.

Un reto de privacidad

“Si no vamos más rápido es por temas de privacidad”, explicaban fuentes del proyecto a este medio. “Cada paso que damos tiene que estar validado por los reguladores porque si algo se hace mal, la multa será para nosotros”.

El sistema para compartir datos que plantea Open Gateway es similar al modelo en el que está trabajando la Agencia Española de Protección de Datos (AEPD) para evitar que los menores accedan a webs porno y otros contenidos vetados por ley. Se trata de un modelo en el que la tercera empresa que necesita los datos envía una pregunta de sí/no: ¿Ha sido duplicada recientemente esta tarjeta SIM? ¿Es mayor de edad este usuario?

En este sistema, los datos no se envían a esa tercera empresa, sino que esta solo recibe un positivo o negativo a su petición. Luz roja o luz verde.

“Podés preguntar a la teleco: ¿es correcto o no? Y obtendrás una respuesta afirmativa o negativa”, explicaba este lunes David del Val: “Eso, por supuesto, sería con el consentimiento del cliente. El cliente tiene que decir si permite esta comprobación de datos personales”.

“Una de las propiedades clave de Open Gateway es la privacidad por diseño. Nosotros, desde el primer momento, cada API que diseñamos tiene el foco en la privacidad. Necesitamos seguir todas las leyes, no sólo de la Unión Europea, sino las de Brasil y todas las demás áreas del mundo donde vamos a actual”, insistía el ejecutivo.

Como siempre, serán la AEPD y el resto de reguladores las que tendrán que dar el visto bueno definitivo al proyecto de las operadoras a medida que vaya dando pasos. Un proyecto con el que quieren convertirse definitivamente en parte de la cadena de valor como proveedores de contenidos y dejar de ser solo las carreteras que llevan los bits de un sitio a otro.

La conocida Fundación Mozilla ha concluido en un análisis reciente que los automóviles de 25 marcas constituyen una auténtica amenaza para la privacidad de los usuarios al recopilar datos profundamente personales susceptibles de ser entregados o vendidos a terceros. Según el trabajo, firmas como BMW, Ford, Toyota, Tesla, Kia y Subaru registran las expresiones faciales, el peso, la salud e información genética del conductor, así como su raza, estatus migratorio y hasta actividad sexual; y por supuesto saben también por dónde circula el vehículo en todo momento.

Los encargados de la investigación señalan que los datos se obtienen no solo mediante los sensores, micrófonos y cámaras del coche, sino también por medio de los teléfonos y dispositivos que los usuarios conectan a él y de diversas aplicaciones, sitios web de empresas, concesionarios y sistemas telemáticos para vehículos. Luego, los fabricantes pueden compartir o vender estos datos a terceros, o bien utilizarlos para extraer sus propias conclusiones sobre la inteligencia, las habilidades, las características o las preferencias del conductor.

Ninguna de las marcas cumple con los estándares mínimos de seguridad de Mozilla, entidad que creó en su día el navegador de código abierto Firefox. Los autores del informe no pudieron confirmar siquiera si alguna cifra toda la información personal que almacenan en los vehículos, y solo una (Mercedes) respondió a las preguntas sobre esta cuestión.

El trabajo se centra en las fallas de privacidad y seguridad en modelos de cinco países -Estados Unidos, Alemania, Japón, Francia y Corea del Sur- y es fruto de más de 600 horas dedicadas a leer políticas de privacidad, descargar aplicaciones y mantener correspondencia con las diferentes firmas automovilísticas.

Jen Caltrider, la directora del programa PNI (Privacidad No Incluida, en inglés) del que forma parte este estudio, ha resumido sus conclusiones con toda claridad: “Muchas personas piensan que su automóvil es un espacio privado: un lugar para llamar a su médico, tener una conversación personal con su hijo camino de la escuela o llorar a mares por una ruptura; también un instrumento para llegar a sitios que tal vez no quieras que el mundo conozca. Pero esa percepción ya no coincide con la realidad. Todos los coches nuevos de hoy son pesadillas de privacidad sobre ruedas que recopilan enormes cantidades de información personal”.

La relación de horrores descrita la encabeza la californiana Tesla por su célebre Autopilot, basado -según Mozilla- en una inteligencia artificial poco fiable que lo ha hecho estar “involucrado en 17 muertes y 736 accidentes” y ser objeto actualmente de “múltiples investigaciones gubernamentales”. De Nissan, la fundación dice que recopila una amplia gama de información, incluida la actividad sexual, datos de diagnóstico de salud y otros genéticos, aunque sin especificar cómo. Además, puede compartir y vender las “preferencias, características, tendencias psicológicas, predisposiciones, comportamientos, actitudes, inteligencia, habilidades y aptitudes” de los consumidores a intermediarios de datos, autoridades policiales y otros.

Siempre de acuerdo con el estudio, que puedes consultar en este enlace, Volkswagen recoge datos demográficos (como edad y sexo) y comportamientos de conducción, entre ellos el uso del cinturón y los hábitos de frenado, con fines de marketing específicos; Toyota “presenta una galaxia casi incomprensible de 12 documentos de políticas de privacidad”, y Kia admite que puede recopilar información sobre la vida sexual del usuario.

Un negocio millonario

La política de privacidad de Hyundai establece que puede compartir datos con las autoridades y los gobiernos en función de solicitudes “formales o informales”. La de Kia reconoce poder hacer lo propio en muchos escenarios, con esta precisión nada tranquilizadora: “si, en nuestra opinión de buena fe, así lo exige o permite la ley”.

Para entender el valor que atesoran los datos personales que tan alegremente regalamos, Mozilla recuerda que la monetización de esta información podría ser en 2030 una industria valorada en 750.000 millones de dólares, solo en el sector de automoción.

La entidad acusa a las marcas de lavado de privacidad, es decir, de pretender proteger la privacidad de los usuarios sin en realidad hacerlo. Varios de ellos se adhieren a los Principios de protección de la privacidad del consumidor, pero estos no son vinculantes y, como subraya la propia Mozilla, “son creados por los propios fabricantes de automóviles”… 

El estudio da a entender que la situación es algo menos espeluznante en Europa, donde rige desde 2018 el Reglamento General de Protección de Datos (GDPR). Este texto regula de forma más estricta la forma en que se utilizan, procesan y almacenan los datos personales, y explica que una marca del Viejo Continente como Renault haya sido reconocida por el informe como la menos problemática en términos de respeto a la privacidad de los conductores o usuarios de coches.

VC

Las autoridades de inmigración de Estados Unidos intentaron reforzar el control y seguimiento de la actividad en redes sociales y permitieron a sus agentes crear y utilizar perfiles falsos para desarrollar operaciones muy diversas, incluida la investigación encubierta de la presencia en Internet de personas que solicitaban ayudas de inmigración.

Así lo demuestran documentos del Departamento de Seguridad Nacional a los que accedió The Guardian. El Centro Brennan para la Justicia, una organización sin fines de lucro que defiende los derechos civiles, tramitó una solicitud para tener acceso a registros abiertos de ese Departamento y compartió la documentación con The Guardian.

Según los documentos obtenidos, las autoridades de varias agencias de inmigración del Departamento de Seguridad Nacional -entre ellas el Servicio de Aduanas y Protección de Fronteras, y el Servicio de Inmigración y Control de Aduanas- abordaron en repetidas ocasiones la conveniencia del uso en Internet de “alias” o cuentas encubiertas para sus investigaciones. Los funcionarios de las agencias expresaron su preocupación por las normas de las redes sociales que prohíben el uso de perfiles falsos e, incluso, plantearon la posibilidad de saltárselas.

Los documentos no especifican qué redes sociales utilizaron los funcionarios, pero para muchas de ellas, incluida Facebook, el uso de alias y perfiles falsos, también por parte de organismos gubernamentales, constituye una violación directa de los términos del acuerdo de servicio. De acuerdo con los documentos consultados, las actividades del Departamento de Seguridad Nacional eran tan preocupantes que un representante de la empresa se puso en contacto con la agencia para advertir de que podía estar incurriendo en una vulneración de las normas de la red social.

Vulnerar las normas de Facebook

Las revelaciones se producen en medio de una creciente preocupación por la privacidad en relación con cómo las fuerzas de seguridad de EEUU controlan la actividad en la red y recopilan y comparten los datos de las personas, en algunos casos sin orden judicial ni citación.

En los últimos años, la Policía utilizó cuentas falsas para espiar a los manifestantes del movimiento Black Lives Matter; los agentes se hicieron pasar por ciudadanos de a pie y publicaron comentarios atacando a los críticos de las fuerzas de seguridad. Asimismo, las autoridades enviaron solicitudes de amistad en Facebook a las personas que investigaban para recabar información personal sin la aprobación de un juez.

Facebook se opuso públicamente a esta práctica de los departamentos de Policía de Los Ángeles y Memphis, y los archivos ponen en evidencia que la empresa expresó su disconformidad también en privado.

Es probable que los documentos del Departamento de Seguridad Nacional, que se remontan a varios años atrás, hagan saltar las alarmas de los grupos de defensa de los derechos civiles, dado que la agencia ya dispone de una extensa red de vigilancia que le permite rastrear a inmigrantes y, en ocasiones, a ciudadanos estadounidenses, ya sea accediendo a datos de localización de empresas tecnológicas, comprando información de usuarios a intermediarios de datos o utilizando el reconocimiento facial.

Uno de los documentos, relativo a políticas internas, evidencia que los funcionarios del Departamento de Seguridad Nacional que trabajan en la detección de fraudes y forman parte de los Servicios de Ciudadanía e Inmigración de EEUU pueden usar cuentas falsas para investigar a las personas que “solicitan ayudas de inmigración”. El documento ofrece detalles adicionales sobre una práctica que los Servicios anunciaron por primera vez en 2019.

Esos funcionarios -empleados de la agencia que decide quién obtiene permisos de residencia y ciudadanía- pueden recopilar una amplia gama de datos, incluidas direcciones físicas, información sobre relaciones, afiliaciones de empleo y educación, y cualquier publicación en redes sociales que sea “contraria a la información presentada por el solicitante”, tal y como dice la política.

Cualquier información hallada en estas investigaciones debe “guardarse” en el expediente de la persona, incluso si se considera que no es “peyorativa”, según el documento.

“Lo que vemos en estos documentos es lo extendido que está el uso de cuentas falsas, con los correspondientes intentos de ocultar su rastro al utilizar las redes sociales”, señala Rachel Levinson-Waldman, directora gerente del programa de Libertad y Seguridad Nacional del Centro Brennan. “Está claro que se hace con pleno conocimiento de que incumplen las políticas de una de las principales plataformas”, dice.

Las estrategias en redes sociales del Departamento de Seguridad Nacional llamaron la atención de Facebook en marzo de 2019, durante el mandato del presidente Donald Trump, cuando un representante contactó con el Departamento de Seguridad Nacional, preocupado porque el Servicio de Aduanas “ampliara su uso de las plataformas de medios sociales”.

El empleado de Facebook, cuyo nombre aparece en los documentos, citaba una evaluación de privacidad del Servicio de Aduanas recién publicada sobre la política de redes sociales de la agencia, que decía que “algunos miembros del personal del Servicio de Aduanas (...) pueden ocultar su identidad al ver los medios sociales con fines de seguridad operativa”.

Un experto en ciberseguridad e innovación del Departamento de Seguridad Nacional dijo que los empleados del Servicio de Aduanas podrían “crear cuentas” para ver información pública y “revisar las publicaciones captadas por las herramientas de supervisión con el fin de determinar si son relevantes para el conocimiento de la situación y la supervisión de amenazas”.

Un representante de Facebook indicó entonces que cualquier usuario que utilice la plataforma con un perfil falso está infringiendo sus normas: “Nuestra preocupación es que recibimos bastantes peticiones de gobiernos, grupos de defensa y nuestros usuarios para que nuestras empresas hagan más para detener la creación de cuentas fraudulentas por parte de estafadores y grupos terroristas. Como tal, la creación de perfiles falsos por parte de cualquier sector, incluidas las fuerzas de seguridad, vulnera nuestras normas”. No está claro cómo gestionó el Departamento de Seguridad Nacional las reservas y preocupaciones de Facebook.

Sin embargo, unos meses más tarde, de acuerdo con los documentos, los funcionarios seguían hablando sobre el uso de cuentas falsas. Según correos electrónicos entre funcionarios del Departamento de Seguridad Nacional incluidos en la documentación revisada, en agosto de 2019 la Oficina de Operaciones de Ejecución y Remoción del Servicio de Inmigración -que rastrea y detiene a personas para su deportación- expresó su interés en usar las redes sociales para operaciones de “fugitivos” y “detenidos”.

Cuentas falsas de agentes

“Me preocupa sobre todo la autoridad de la Oficina para crear un perfil falso y cómo podríamos eludir las condiciones de servicio de determinados proveedores de redes sociales”, escribió en aquel momento un responsable de privacidad del Departamento de Seguridad Nacional.

Casi al mismo tiempo, los funcionarios del Departamento de Seguridad Nacional escribieron que la unidad de Investigaciones de Seguridad Nacional del departamento, que lleva a cabo investigaciones criminales, estaba planeando utilizar pronto “alias”. Y un documento de política de esta unidad sobre el uso de las redes sociales, redactado en 2012, afirmaba que para las “operaciones encubiertas” los investigadores “entablaran amistad o se asociaran con posibles infractores”.

Roy L Austin, vicepresidente de Meta (la empresa matriz de Facebook) y consejero general adjunto de derechos civiles de la compañía, afirma a The Guardian que desde Meta se recordó en repetidas ocasiones las políticas de autenticidad a varios departamentos encargados de hacer cumplir la ley, incluido el Departamento de Seguridad Nacional.

“Exigimos a todo el mundo, incluidas las fuerzas policiales, que utilicen su nombre auténtico en sus intercambios cotidianos en Facebook y dejamos clara esta política en nuestras normas”, dice en declaraciones enviadas por email. “Nuestra intención es asegurarnos de que los usuarios puedan seguir utilizando nuestras plataformas libres de vigilancia ilegal por parte del Gobierno o de agentes que actúan de forma no auténtica”, apunta.

Un portavoz de Meta, Ryan Brack, no quiso hacer comentarios sobre si se habían rastreado las violaciones continuas por parte del Departamento de Seguridad Nacional de EEUU.

Mientras, los portavoces del Departamento de Seguridad Nacional se negaron a responder a preguntas específicas sobre los documentos o sus prácticas en Facebook, pero en un correo electrónico sí señalaron que utilizan “diversas formas de tecnología en el cumplimiento de su misión, incluidas herramientas de apoyo a las investigaciones relacionadas, entre otras cosas, con las amenazas a las infraestructuras, el tráfico ilegal en la web oscura, la delincuencia transnacional transfronteriza y el terrorismo”. “Aprovechamos esta tecnología de manera coherente con sus protocolos y la ley”, aseguraron.

Un portavoz del Departamento de Seguridad Nacional confirmó que éste mantiene la política adoptada por la Administración Trump y continúa permitiendo el uso de cuentas falsas para investigar a las personas que buscan obtener algún tipo de beneficio de inmigración. Sin embargo, especificó que la agencia “solo recopila información de redes sociales disponible públicamente y que esté razonablemente relacionada con asuntos bajo consideración de nuestras unidades”.

El Servicio de Aduanas y Protección Fronteriza puede participar en un “monitoreo encubierto” en redes sociales mientras investiga, examina o realiza controles policiales sobre los solicitantes de ingreso a EEUU, de acuerdo con la política enviada por el portavoz, quien detalla que el Servicio de Aduanas puede recopilar información pública de esta manera, pero no puede “interactuar” con los objetivos de sus revisiones mientras actúa de forma “encubierta”.

El portavoz se negó a aclarar las prácticas de la agencia, alegando que “no hace comentarios sobre tácticas de investigación, técnicas, herramientas o investigaciones u operaciones en curso”.

Un documento de política obtenido por el Centro Brennan indica que los agentes de Inmigración pueden utilizar una “identidad ficticia” en las redes si “los procedimientos autorizarían tales comunicaciones en el mundo físico”. Los documentos obtenidos no revelan cómo podrían ser las cuentas falsas o con qué frecuencia y alcance se están utilizando.

En 2019 se descubrió que el Servicio de Inmigración y Control de Aduanas había creado perfiles falsos que parecían estar afiliados a una universidad, pero que en realidad se crearon como parte de una operación para poder recabar pruebas contra estudiantes extranjeros involucrados en fraudes de inmigración.

Por su parte, Meta afirma que el uso de “perfiles falsos” y herramientas informáticas para extraer información de Facebook con fines de vigilancia es una táctica habitual. Un informe de Meta de 2022 sobre el crecimiento del sector de la vigilancia por encargo afirmaba que las empresas con fines de lucro empleadas con fines de espionaje podían utilizar cientos de cuentas falsas para buscar y ver los perfiles de objetivos desconocidos.

Una herramienta poderosa pero intrusiva

“El mercado hizo que a estas empresas les merezca la pena seguir creando estas cuentas encubiertas y recopilando montones de datos”, afirma Levinson-Waldman, quien agrega que la Policía y las empresas de datos pueden malinterpretar fácilmente la información de las redes sociales y utilizarla como arma para inculpar a las personas: “Las cuentas falsas son muy susceptibles de uso indebido. Son una herramienta poderosa que puede ser muy intrusiva”.

Otros documentos hechos públicos tras la solicitud del Centro Brennan sobre la vigilancia de las redes sociales por parte del Departamento de Seguridad Nacional sugieren que la agencia trabaja con un gran número de entidades gubernamentales externas y, en ocasiones, con empresas privadas, lo que plantea cuestiones más amplias sobre dónde podrían terminar los datos de las personas.

De la documentación se desprende que la información obtenida o recopilada por el Servicio de Inmigración y Control de Aduanas podría compartirse con muchas entidades, incluidos otros departamentos encargados de hacer cumplir la ley.

En un caso, los agentes de deportación del Servicio de Inmigración y Control de Aduanas compartieron información con una agencia de Policía local que dijo estar investigando una denuncia de fraude electoral. En otro caso, el Servicio de Inmigración y Control de Aduanas envió un correo electrónico al Gobierno de Samoa, que había solicitado información sobre los deportados. Estos casos no parecían implicar solicitudes específicas de información disponible en redes sociales, pero sugieren que existía una comunicación general.

El Servicio de Inmigración y Control de Aduanas también accedió a una serie de herramientas para facilitar su vigilancia en línea. Los documentos muestran que el Servicio de Inmigración y Control de Aduanas e Investigaciones de Seguridad Nacional tenían un acuerdo para utilizar un servicio llamado Giant Oak Search Technology (Gost), que “puede encontrar noticias negativas en salas de chat, redes sociales y sitios web de debate, la web profunda y artículos o fuentes en idiomas extranjeros”.

En declaraciones por correo electrónico, el director ejecutivo de esa empresa indicó que ya no colabora con el Departamento de Seguridad Nacional y que está “orgulloso de Gost y de su capacidad para apoyar a quienes luchan contra amenazas graves como la trata de seres humanos y el tráfico de drogas, preservando al mismo tiempo la privacidad”.

El Servicio de Inmigración y Control de Aduanas también trató de utilizar una herramienta que enmascarara las direcciones IP de sus empleados al hacer una “revisión de las redes sociales”, según los correos electrónicos incluidos en la documentación. Y el servicio de Aduanas y Protección Fronteriza anunció recientemente planes para recopilar más ampliamente los datos de las redes sociales de los actuales titulares de visados cuando viajan hacia y desde EEUU, una propuesta a la que se opusieron varios grupos de defensa de la privacidad digital.

“Hay tantos mecanismos diferentes para encontrar y rastrear a las personas y extraer conclusiones sobre ellas”, dice Levinson-Waldman, quien critica a las agencias como el Departamento de Seguridad Nacional. “Estos registros muestran un enfoque repetido en toda una serie de métodos para permitir el uso encubierto de las redes sociales”, advierte.

Un plenario de las comisiones de Asuntos Constitucionales y Legislación General, presididas por los diputados del Frente de Todos Hernán Pérez Araujo y Lucas Godoy, respectivamente, comenzó a debatir el proyecto de Ley de Protección de Datos Personales (Ley 25.326), que busca modificar el régimen actual sancionado hace más de 20 años.

A modo de presentación, Beatriz Anchorena, directora de la Agencia de Acceso a la Información Pública (AAIP), brindó detalles de la norma que apunta a “actualizar la legislación existente” y “armonizarla con las nuevas tecnologías para que brinde mejores respuestas a la ciudadanía”. “Es un proyecto que estructura a la sociedad”, consideró.

“Queremos generar un marco que articule la innovación tecnológica, el desarrollo económico, y el derecho humano a la protección de datos personales”, aseguró la funcionaria, al tiempo que afirmó: “Es importante adecuar y robustecer nuestra normativa porque cambió el contexto”.

Además, Beatriz Anchorena indicó: “La nueva Ley busca garantizar el derecho de las personas a la protección de sus datos personales y a la autodeterminación informativa, desde una perspectiva de derechos humanos”.

En el marco de la reunión informativa, también detalló alguno de los puntos claves de la Ley: “Incorporación de un artículo orientado a la protección de datos de niñas, niños y adolescentes; creación del Consejo Federal para la Transparencia; transferencias internacionales de datos; establecimiento de nuevos derechos; prohibición del manejo de datos sensibles, así como también, la implementación de diferentes sanciones; entre otros”.

Desde la UCR, la diputada Karina Banfi respaldó la necesidad de “actualizar la Ley” e indicó: “Son leyes bisagras que merecen un consenso”.

Por su parte, el diputado Ramiro Gutiérrez (FdT) sostuvo que “es una ley extensa que hay que modernizar”, al señalar: “Hemos cambiado el paradigma respecto a la disponibilidad de los datos personales, la protección y el derecho humano”.

En tanto, la diputada de Evolución radical Carla Carrizo se refirió a “la posibilidad de un debate más profundo sobre las infancias y adolescencias”, al manifestar que “las niñas, niños y adolescentes no figuran en la Ley vigente”, y -enfatizó- “son los más vulnerables y los más desprotegidos”.