Cómo la policía puede obtener tus datos privados en línea

 (eff.org)
1 puntos por GN⁺ 2025-11-11 | 1 comentarios | Compartir por WhatsApp
  • Las leyes federales y estatales de Estados Unidos otorgan a las fuerzas del orden la autoridad para exigir información personal entregada a servicios en línea
  • Las autoridades pueden obtener distintos tipos de datos mediante procesos legales, incluidos datos del suscriptor, metadatos, contenido almacenado y contenido de comunicaciones en tránsito
  • Estas solicitudes se dividen en citaciones, órdenes judiciales, órdenes de registro y superórdenes, y cada proceso difiere en el nivel de prueba requerido y en si se notifica o no al usuario
  • Los proveedores de servicios pueden reforzar la privacidad de los usuarios mediante recolección mínima de datos, informes de transparencia y cifrado de extremo a extremo (e2ee)
  • Cuando las personas y los proveedores de servicios actúan juntos, se puede frenar la vigilancia excesiva y el abuso de datos

Estructura legal del acceso a datos personales en línea

  • Las fuerzas del orden en Estados Unidos pueden exigir datos personales almacenados en servicios en línea mediante diversos procesos legales
    • Las leyes federales y estatales regulan estas facultades de acceso
    • Los usuarios deben ser conscientes de estos riesgos legales desde el momento en que comparten sus datos
  • Desde los primeros días de internet han existido casos de allanamientos e incautaciones excesivos; hoy en día, no solo los grandes servicios sino también los operadores de servidores personales pueden convertirse en objetivo
  • La “nube” es, al final, la computadora de otra persona, por lo que los proveedores de servicios tienen la responsabilidad de proteger la privacidad de los usuarios dentro de los límites legales

Tipos de datos que pueden recopilarse

  • Datos del suscriptor: nombre, información de pago, IP, correo electrónico, número de teléfono y otros datos proporcionados al usar el servicio
    • Esto puede permitir identificar al usuario real detrás de una cuenta anónima
  • Datos no relacionados con el contenido (metadatos): hora de acceso, con quién se comunica, patrones de uso, etc.
    • Con esto, las autoridades pueden rastrear redes de relaciones sociales o historiales de inicio de sesión
  • Contenido almacenado: mensajes, borradores y otro contenido real al que el servicio puede acceder
    • Puede usarse para obtener pruebas de un delito, pero si la solicitud es excesiva puede incluir también información de otros usuarios
  • Contenido en tránsito: datos en tiempo real mientras ocurre la comunicación
    • Las autoridades pueden ordenar al servicio intervenir las comunicaciones, y la privacidad de los usuarios relacionados también puede verse afectada

Procesos legales usados para acceder a los datos

  • Citaciones (Subpoena)
    • Pueden emitirse sin aprobación de un juez, y basta con demostrar relevancia para una investigación
    • Como hay poca supervisión judicial, existe un alto riesgo de abuso
  • Orden judicial (Court Order)
    • Requiere aprobación de un juez con base en una ley específica
    • Ejemplo: conforme a la Ley de Comunicaciones Almacenadas (SCA), puede solicitarse información no relacionada con el contenido
  • Orden de registro (Search Warrant)
    • La emite un juez y requiere demostrar causa probable (probable cause) de que existen pruebas de un delito
    • Por lo general no permite objeción previa, y puede ir acompañada de una orden de silencio (gag order)
  • Superorden (Super Warrant)
    • Se usa para la interceptación de comunicaciones en tiempo real y exige requisitos de agotamiento (exhaustion) y minimización (minimization)
    • Mientras dura la interceptación no puede notificarse al objetivo, y en algunos casos existe obligación de notificar al finalizar
  • Orden de confidencialidad (Gag Order)
    • Prohíbe al proveedor de servicios revelar la existencia de la vigilancia
    • La EFF sigue cuestionándola por el riesgo de afectar la libertad de expresión

Cómo los proveedores de servicios pueden reforzar la protección del usuario

  • Cumplimiento del proceso legal: entregar información de manera informal o permitir excepciones puede derivar en violaciones de privacidad
    • Incluso los hosts pequeños necesitan responder a solicitudes indebidas con asesoría legal
  • Impugnar solicitudes indebidas: las exigencias excesivas o inconstitucionales pueden anularse en tribunales
  • Notificar al usuario: salvo que la ley lo prohíba, es necesario informar rápidamente al usuario sobre la solicitud
  • Política de privacidad clara: en lugar de frases ambiguas como “se entregará si es necesario”, debe dejarse clara la intención de resistir al máximo dentro de los límites legales
    • Publicar informes de transparencia periódicos ayuda a generar confianza
  • Recolección mínima de datos y reducción del período de conservación
    • Los datos innecesarios pueden convertirse en objetivo de las autoridades, por lo que una política de eliminación automática y la función de mensajes efímeros son efectivas
  • Limitar el intercambio de datos
    • Minimizar el intercambio con inicios de sesión de terceros, redes publicitarias y corredores de datos
    • Esto ayuda a bloquear la posibilidad de acceso indirecto para investigaciones a través de corredores de datos
  • Cifrado de extremo a extremo real (e2ee)
    • Una estructura en la que ni siquiera el proveedor de servicios puede leer el contenido de los mensajes
    • Ejemplo: Signal conserva solo número de teléfono, fecha de creación y fecha de último acceso
    • El cifrado con puertas traseras o el escaneo del lado del cliente contradicen los principios de e2ee

Medidas de protección que puede tomar el usuario individual

  • Proteger los datos personales empieza por elegir servicios confiables y reforzar la configuración de seguridad
  • Con los materiales de Surveillance Self-Defense (SSD) de la EFF se puede aprender a evaluar riesgos y responder a ellos
  • Extensiones de navegador como Privacy Badger ayudan a impedir el rastreo de datos
  • La privacidad se mantiene mediante un esfuerzo colectivo, y es importante participar en la educación y en la mejora de políticas
  • Participar en movimientos locales y nacionales por la protección de los derechos digitales puede generar cambios a largo plazo

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-11
Opinión de Hacker News

  • Estoy usando CryptPad, que protege los documentos colaborativos con cifrado de extremo a extremo
    En particular, la app de Kanban es muy rápida. Trello, en comparación, es demasiado pesado y lento
    Otra recomendación es el protocolo XMPP. Soporta cifrado E2E con OMEMO (también conocido como el protocolo Signal), y estoy usando los clientes Dino (Debian) y Conversations (Android)
    También permite llamadas de audio y video como WhatsApp, y es posible conectar con gente nueva a través de canales públicos
    Los proveedores de servidor se pueden encontrar en providers.xmpp.net. Me gusta que todo esté basado en software libre

  • Me llamó la atención la frase: “La nube no existe, solo es la computadora de alguien más”
    Ver que la EFF ahora cita a Stallman da la impresión de que al final están admitiendo que él tenía razón

    • No creo que la EFF haya negado nunca las posturas de Stallman
      Su oposición a su reelección en la FSF en 2021 fue por sus problemas de conducta, no por la filosofía del software libre
    • Puede que ese meme no haya sido creado por Stallman
    • Stallman tiene mucha razón en lo relacionado con el software libre, pero sus comentarios sobre el caso Epstein y los menores de edad lo hacen muy decepcionante como persona

  • Los data brokers son una laguna legal para la vigilancia
    La policía puede comprar datos personales a brokers comerciales sin orden judicial
    Este mercado no está regulado, así que evade por completo las protecciones tradicionales de privacidad
    Para interceptar comunicaciones en tiempo real se necesita una “superorden”, pero la mayoría de la gente ni siquiera sabe que existe
    Además, las órdenes de silencio (gag orders) impiden que las empresas notifiquen a los usuarios sobre estas solicitudes, ocultando así la magnitud de la vigilancia

  • Creo que la parte del artículo que dice que “una orden de registro sobre comunicaciones almacenadas no puede ser impugnada previamente” es incorrecta
    En la práctica, las empresas suelen objetarlas por falta de especificidad o por carga excesiva
    Por ejemplo, Google dijo que solo entregó datos en alrededor del 90% de las órdenes que recibió en 2024
    El sistema legal de EE. UU. está estructurado más para impedir que los resultados de una mala conducta policial se usen como prueba en juicio que para prevenir esa mala conducta en sí

    • La evidencia obtenida ilegalmente puede ser excluida
      Pero como se requiere una orden previa para una búsqueda, la ley también está diseñada para impedir la recolección misma

  • Me decepciona que el artículo casi no mencione la relación entre los datos en EE. UU. y las agencias de inteligencia extranjeras
    Me da curiosidad saber qué proceso existe en la práctica cuando una agencia de investigación extranjera solicita datos de usuarios de servicios estadounidenses
    Por ejemplo, si un investigador extranjero exige a un registrador de dominios .com en EE. UU. información sobre el propietario de cierto sitio, me gustaría saber cómo se maneja realmente
    Me recuerda el caso relacionado en el que el FBI exigió revelar la identidad del fundador de archive.today

  • En este artículo fue la primera vez que escuché el término “superorden (super warrant)”

    • Parece una manera sencilla de expresar los requisitos reforzados de la Cuarta Enmienda aplicables a la interceptación de comunicaciones en tiempo real

  • Me pregunto si el acceso a los datos en línea no debería estar protegido por la Primera Enmienda
    Si se necesita una orden para registrar una casa, ¿no debería ser igual con los datos en línea?
    Si los tribunales no intervienen, desaparecen las libertades y derechos básicos

    • Los tribunales consideran al proveedor del servicio como un tercero (third party)
      Una vez que el usuario entrega los datos, se considera que esos datos ya no le pertenecen
      Ver Third-party doctrine
    • Al final, es una estructura en la que las empresas pueden decirle a la policía: “Son nuestros datos, mírenlos como quieran”
      Puede ser legalmente posible, pero desde el punto de vista de la privacidad es muy peligroso
    • No se trata de la Primera Enmienda sino de la Cuarta (prohibición de registros e incautaciones irrazonables)
      Como los datos en línea están en los servidores del proveedor, legalmente no son la ‘casa’ de la persona
    • El gobierno ve la Cuarta como una restricción molesta, así que deja fuera de su protección cosas como los metadatos del correo electrónico
      Al final, la lógica es: “Tus datos están en la computadora de otra persona, así que basta con el consentimiento de esa persona”
    • En resumen, si los datos están en la computadora de otra persona, se consideran parte de su ‘casa’, por lo que pueden ser registrados

  • El informe de transparencia de Google es un recurso muy útil

  • Hace apenas 10 años, incluso el acceso a metadatos ya generaba una gran controversia, y ahora hasta el contenido mismo de los mensajes está bajo vigilancia
    El gobierno podría manipular resultados de búsqueda, ocultar cierta información o hacerla más visible
    Se dice que hay procedimientos legales, pero en la práctica la mayor parte de esto es vigilancia para recopilar información, no para usarla como prueba en juicio
    Los data brokers, los desarrolladores de apps y los fabricantes de dispositivos tienen que cooperar con el gobierno para poder seguir operando
    Incluso sería posible la manipulación de identidad o el robo de identidad basado en actividad en línea
    Da escalofríos pensar que las agencias de investigación podrían ver en tiempo real lo que escribes mientras trabajas en documentos en la nube

    • Decir que “las fuerzas del orden no se hacen responsables” y agregar “a menudo” es demasiado ingenuo
      En la práctica, no se hacen responsables en absoluto; están completamente corrompidas por intereses políticos

  • El historial de búsqueda es un ámbito al que se puede acceder sin orden ni notificación
    No está protegido debido a la Third-party doctrine