Entrevista

Beatriz Busaniche, activista digital: "Lo que pasó con nuestros datos en 2020 es casi una masacre"

Busaniche: "La ciudadanía debe ejercer su derecho de autodeterminación informativa."

Beatriz Busaniche es docente y activista. Lo suyo son los derechos y las tecnologías digitales. Está muy preocupada porque, a raíz de la pandemia y la migración de actividades a entornos digitales, 2020 será recordado como el año en que quedaron expuestos los datos sensibles de millones de personas. Esa información, bien o mal aprovechada, supone ganancias para las empresas que tienen acceso -consentido o no- a su manipulación.

Desde la organización que preside, Fundación Vía Libre, Busaniche viene alertando sobre el tema. Con ayuda de Indela (Iniciativa por los derechos digitales en América Latina), trabaja también en un proyecto que busca apuntalar políticas públicas que garanticen que el Estado proteja los datos sobre ciudadanos que posee, que se ofrezca protección legal a la comunidad que trabaja en la seguridad informática (los llamados “infosec”) y que se logre desmitificar la idea de que el hacker es un delincuente.

"Lo que pasó con nuestros datos en este 2020 es casi una masacre. Fue una aceleración abrupta de un proceso que ya venía dando pasos agigantados en los últimos años, que tiene que ver con volcar la vida cotidiana de las personas cada vez más hacia la digitalización”, dijo en entrevista con elDiarioAR.

¿Por qué decís que es un proceso que venía de antes?

La transformación digital venía avanzando paulatinamente sobre distintas áreas, pero, a partir de la pandemia, fue como un tsunami de digitalización. Tuvimos que pasar, de golpe, a depender de herramientas remotas para acceder a la educación o la salud, para establecer relaciones personales o familiares... En realidad, fue un paso más de largo proceso al que la académica Shoshana Zuboff llama “El capitalismo de vigilancia”, un fenómeno que se viene construyendo desde hace muchos años y que es, quizás, la característica central de estas dos décadas del siglo XXI. Sus rasgos característicos son la asignación de un valor económico muy fuerte a la información sobre las personas, el haber volcado la vida a la esfera digital de una forma nunca antes vista y la existencia de diferentes modelos de negocio que intentan sacar ventaja. Cada modelo económico tiene una empresa emblema y la de este período, según Zuboff, es Google, pero también es todo ese entramado de lo que se conoce como las “big tech”, que son Facebook, Amazon, Apple y Microsoft.

¿Por qué la pandemia empeoró esta situación? ¿Las apps como Cuidar tuvieron que ver con eso?

Ya había jugadores establecidos que, obviamente, ganaron terreno en esta coyuntura. Alcanza con mirar los números de las bolsas para ver cuánto acrecentaron su valor estas empresas en el mismo período durante el cual la economía global se desplomó. Lo que pasó con la pandemia, además, es que muchas situaciones que quizá en otra coyuntura hubieran despertado una reacción muy problemática en la vida social -como son distintos mecanismos de vigilancia de la esfera pública, de seguimiento de personas, de recolección de datos privados, especialmente de datos sensibles como son los datos de salud, por parte de autoridades gubernamentales- pasaron a ser una estrategia para lidiar con una situación crítica.

Cabe, entonces, hacer una salvedad. En todo contexto de pandemia, a lo largo de la historia de la humanidad, la forma de frenar la evolución ha sido con lo que se denomina vigilancia epidemiológica. Es una herramienta central para ir obturando los contagios. La gran diferencia es que, en esta pandemia, existen una serie de dispositivos tecnológicos que habilitan la posibilidad de hacer este tipo de traza de una forma mucho más invasiva -más eficiente, también, si se quiere-. Si hubiéramos podido usar bien las tecnologías quizá se habría podido hacer algún tipo de contención. La contracara es que la posibilidad de hacer una recolección tan grande de información está reñida, en muchos casos, con el Estado de derecho. Ahí entra a terciar esta tensión entre la vigilancia epidemiológica, las medidas de salud pública y la suspensión momentánea de determinados derechos.

¿Y cuál es el problema concreto con nuestros datos?

Nunca, a lo largo de la historia de la humanidad, tuvimos la capacidad de recolectar tal volumen de datos. Pero, a la vez, no se trata sólo la recolección del dato, sino la posibilidad de trabajar con ese dato, de generar información, de tomar decisiones en función de eso, de hacer predicciones. Es la posibilidad de hacer múltiples aplicaciones de esos grandes volúmenes de datos lo que distingue este momento histórico. En pandemia, además, el agravante es que muchos de esos datos representan información sensible.

¿Qué es información sensible?

Argentina tiene una ley de protección de datos que fue aprobada hace 20 años y que fue muy moderna en su momento, adaptada al sistema europeo, que reconoce la titularidad de los datos de una de las personas y que establece, entre otras definiciones, que los datos de salud son datos sensibles. También los datos de afiliación política, los datos étnicos o raciales, los datos religiosos, entre otros.

Los datos sensibles tienen un tipo de protección superior a los comunes, a punto tal que está prohibido establecer bases de datos de datos sensibles si no hay una autorización efectiva del titular de los datos. Existe una cláusula que dice que nadie puede ser obligado a entregar un dato sensible contra su voluntad. Todo lo que tuvo que ver con las aplicaciones de covid, entre ellas, por ejemplo, la que tiene que ver con el autodiagnóstico, capturan datos sensibles de las personas. Entonces, ¿qué resguardos hay sobre esos datos, cómo se han protegido, cómo se han cuidado?

Aún no lo podemos saber.

Lo que sí es posible analizar es lo que pasó históricamente con datos de ese tipo. Por ejemplo, el otro día conversaba con un médico amigo y estaba contento por la posibilidad de la existencia de una base de datos de historias clínicas centralizada. Es un proyecto que anunció la gestión anterior y esta gestión lo tomó y está avanzando. Nosotros, en la Fundación, entendemos que es una muy mala política.

Esta idea tan seductora de tener toda la base de datos de salud de las personas es muy peligrosa en términos de que, primero, esos datos tienen un valor económico enorme. Hay muchas empresas que pueden construir a partir de ellos, por ejemplo, precios segmentados. Ese es un concepto que vamos a empezar a ver cada vez más, que tiene que ver con la lectura de diferencias en función de los datos que tengo de las personas y la posibilidad de segmentar precios y aplicarle una tarifa diferencial por el mismo servicio a clientes en función de los datos que tengo. Es el viejo truco de “te cobro por la cara que tenés”.

Con mucha de la información que dejamos en Internet, las empresas que te venden distintos tipos de servicios pueden hacer segmentación de precios en función de, por ejemplo, la marca de teléfono desde el cual vos estás haciendo la búsqueda.

¿Qué pasa con la seguridad de la información que tiene el Estado?

El Estado tiene mucha información de los ciudadanos, porque forma parte de los elementos que necesita para poder gestionar su tarea. Tiene la base de datos de anses, por ejemplo, para saber qué personas reciben la Asignación Universal por Hijo, las jubilaciones, etc. El Estado tiene que tener datos. Por ejemplo, de mi información patrimonial para poder cobrarme impuestos. Eso es parte de las funciones del Estado y es aceptable.

Hace poco hubo un problema grave en Migraciones. La base de datos con las personas que entraron y salieron -y ahora con un montón de datos que no necesariamente tiene por qué tener, como son los biométricos- fue comprometida por un ataque de ransomware (secuestro de datos), que no solo generó un bloqueo del sistema de Migraciones, que estuvo frenado durante horas, sino que todos esos datos fueron capturados por un atacante que pidió un rescate al Estado argentino, que obviamente no pagó.

Pagar a un secuestrador no parece ser una buena medida. Pero cuando tenés un delincuente que ataca un sistema, que captura datos y que después los difunde o los vende, tenés un problema de negligencia. El Estado le exige al ciudadano una serie de datos que no puede negarse a entregar, pero no logró custodiar esos datos que no le pertenecen.

El Estado le exige al ciudadano una serie de datos que no puede negarse a entregar, pero no logró custodiar esos datos que no le pertenecen.

¿Por qué no le pertenecen? ¿A quién le pertenecen?

El Estado obtiene datos de los ciudadanos, los administra, los procesa, pero esos datos -por ley y por el derecho constitucional de habeas data- no le pertenecen. El Estado tiene obligación de resguardarlos y de tener una política de seguridad de la información que sea apropiada, rigurosa, transversal a todas las áreas. Ese es un poco el objetivo de este proyecto. En este momento tenemos un terreno fértil para trabajar, no solo porque Indela confió en nosotros para apoyarnos, sino también porque hay un área de ciberseguridad a nivel nacional que es proactiva en ese sentido. Y nos parece central apoyar una política de protección de los activos digitales en poder del Estado. Porque es fundamental que el Estado pueda cumplir con su deber y que los ciudadanos confíen en el Estado a la hora de que administren nuestros datos.

¿En qué consiste el proyecto exactamente?

Tiene múltiples aristas. Una es la de cooperar con el Estado para la creación de un protocolo de políticas y de estándares mínimos de protección de los datos. Esa es la parte en la que ya hemos avanzado bastante. De hecho, hay un primer borrador de estándares mínimos en el cual nosotros contribuimos junto con otras organizaciones, académicos, gente de la comunidad de “infosec”, que es la comunidad de practicantes de la seguridad informática. En Argentina, es una comunidad de muy alto nivel profesional, reconocida a nivel global. Muchas personas y empresas locales han reportado vulnerabilidades a grandes empresas de software, desde Apple, Amazon, Microsoft, Adobe y hasta instituciones como la NASA.

El reporte responsable de vulnerabilidades es una de las áreas de trabajo de la “infosec”, y lamentablemente es una práctica que ha sido criminalizada.

Tengo entendido que el proyecto prevé buscar protección para ellos.

La protección legal de la comunidad de “infosec” es una inquietud que se agravó en los últimos tiempos. Porque lo que hace esa comunidad -cuando uno tiene legislaciones mal hechas, como es el caso de Argentina- queda en una zona gris entre lo que es el delito informático y la práctica de la investigación de vulnerabilidades de seguridad informática. El reporte responsable de vulnerabilidades es una de las áreas de trabajo de la “infosec” y, lamentablemente. es una práctica que ha sido criminalizada.

Un caso que fue bisagra es el de Joaquín Sorianello, un informático que reportó una vulnerabilidad a la empresa MSA (Magic Software Argentina), que entonces era la proveedora del sistema electoral de la Ciudad de Buenos Aires para las elecciones de 2015, en las que fue elegido Horacio Rodríguez Larreta por primera vez como jefe de Gobierno.

Joaquín llamó a gente que conocía en la empresa y les dijo: Hay una vulnerabilidad grave por la cual están en riesgo los servidores donde se van a cargar los resultados de las elecciones. Y lo que él recibió como “agradecimiento” fue un allanamiento a su domicilio y una causa penal en su contra. Afortunadamente, terminó con un sobreseimiento, año y medio después.

Lo mismo le pasó a Javier Smaldone. Hace 15 meses fue allanado su domicilio por haber reportado públicamente un hackeo a los servidores de la Policía Federal. Le quitaron todos sus dispositivos de trabajo y ni siquiera está imputado en la causa. Cuando uno ve los causales de sospecha de por qué lo allanan es porque sabe de informática, habló del caso públicamente, sabe programar. Se pone determinado saber y determinado uso de herramientas como un agravante de un potencial delito.

¿Qué proponen en el proyecto para evitar esto?

Este tipo de casos lo que hacen es desincentivar el reporte de vulnerabilidades. Por eso queremos generar un mecanismo de reporte protegido de la comunidad de “infosec”. Porque las vulnerabilidades están ahí y alguien las puede explotar. Entonces hay que incentivar el reporte responsable de vulnerabilidades. Nuestra idea es generar una plataforma en la cual quien encuentre una vulnerabilidad y tema reportarla, tenga un mediador que pueda garantizarle un contexto seguro de reporte.

¿Qué otro punto contempla la propuesta?

Queremos desmitificar la idea del hacker delincuente. Está equivocada la percepción de que quien genera mecanismos de protección de su información y utiliza cifrado y tiene determinados conocimientos de seguridad informática es porque tiene algo que ocultar. Es un trabajo que tenemos que hacer con los medios de comunicación de forma intensiva, porque buena parte de esa idea de que si alguien tiene cifrado es porque tiene algo turbio que ocultar es un problema serio desde el punto de vista de la opinión pública. Todos tenemos algo que ocultar y es nuestra intimidad.

¿Se podrán implementar los cambios que proponés?

Tengo el optimismo de la acción. Si no tuviera un poco de optimismo, no me dedicaría a tratar de cambiar las cosas. Pero lo cierto es que es una circunstancia compleja. Soy bastante pesimista cuando veo cómo trata el periodismo estos temas, sobre todo cuando veo que son más tratados en policiales que en tecnología. Quisiera que estos temas fueran parte de la agenda política. En términos de políticas públicas, creo que aún nos falta mucho en Argentina. Veo que hay una iniciativa, pero también que hay una seria dificultad en mover los estamentos del Estado, en entender qué significa esto de que los datos no le pertenecen al Estado sino a los ciudadanos. Es algo que le falta aprender a muchos funcionarios. Lo vimos en la gestión anterior, cuando (el Jefe de Gabinete) Marcos Peña se llevó toda la base de datos de ANSES y no hubo nadie que le pusiera un límite.

Me parece que es clave que la ciudadanía entienda cómo funciona esto y que deje de usar software porque se lo recomendó un amigo o porque es lo que usa mi tía. Que empecemos a tomar decisiones informadas sobre el software que usamos, que aprendamos a leer los términos de uso, que podamos diversificar. Un problema central, que es el nudo que tenemos atado hoy más que nunca, es qué hacemos con servicios cada vez más concentrados, en los que las posibilidades de recomponer la autodeterminación informativa de la ciudadanía es tendiente a nula. Ninguna de las soluciones rápidas que se están barajando da en la tecla de un fenómeno grave a nivel global como es la hiperconcentración de las “big tech”.

Soy bastante pesimista sobre el rol de la ciudadanía a la hora de ejercer su derecho de autodeterminación informativa.

CRM

Etiquetas
stats