Los países democráticos y autoritarios están compitiendo en vigilancia masiva

• La vigilancia masiva estatal se ha expandido tanto en democracias como en regímenes autoritarios, y recibe críticas no solo por las violaciones de derechos humanos y privacidad, sino también por su ineficacia para resolver problemas reales
• El sistema de vigilancia de Estados Unidos, con FISA Section 702, PRISM, Upstream y XKeyscore como ejes, permitió acceder a enormes volúmenes de actividad en internet y metadatos sin decisiones judiciales
• En Europa y el Reino Unido, Tempora, la cooperación de Fourteen Eyes, el chat control de la UE, la videovigilancia con IA en Francia y los equipos de acceso a ISP en Hungría muestran el choque entre la expansión de la vigilancia y la presión por proteger los datos personales
• Los países autoritarios usan la censura y la vigilancia como herramientas explícitas de gobierno, y sistemas como SIAM de Iran, SORM y Safe City de Russia, y Great Firewall, Police Cloud, Sharp Eyes y Skynet de China se usan para controlar a la ciudadanía
• Para defender una sociedad libre, hay que trazar con claridad la frontera entre la vigilancia dirigida sobre personas sospechosas de un delito y la vigilancia masiva orientada a toda la población

Postura básica sobre la vigilancia masiva

• La vigilancia masiva se divide entre vigilancia comercial y vigilancia ejercida por el Estado o los gobernantes; ambas vulneran los derechos humanos individuales y la privacidad, base de una sociedad libre
• La vigilancia debe realizarse como vigilancia dirigida cuando exista sospecha de delito, con decisión de un tribunal independiente y bajo un criterio de proporcionalidad; debe evitarse la vigilancia masiva sobre toda la población o sobre ciudadanos de otros países
• Los derechos humanos existen para proteger a las personas frente al Estado, y como los gobiernos cambian y el poder puede tomar decisiones equivocadas, el Estado no debe tener un poder imposible de controlar
• Hoy la vigilancia masiva tiene orígenes y formas distintas según el país, pero en gran medida opera a través de la infraestructura global de internet

Estados Unidos: Section 702 y la infraestructura global de vigilancia

• Las revelaciones de Snowden en 2013 expusieron que las autoridades de Estados Unidos vigilaban a cientos de millones de personas en todo el mundo
• FISA Section 702 es una ley que Estados Unidos ha renovado cada 5 años; fue creada con el argumento de interceptar comunicaciones de extranjeros, pero por la estructura de internet puede terminar vigilando tanto a extranjeros como a ciudadanos estadounidenses
• Los documentos de Snowden mostraron que la NSA recolectaba 200 millones de mensajes de texto al día en distintas partes del mundo y que, en la práctica, tenía la capacidad de vigilar a casi cualquier persona del planeta
• XKeyscore era una base de datos que cubría “casi todo lo que un usuario normal hace en internet”, incluidos correos electrónicos, chats, mensajes privados de Facebook, historial de búsquedas y sitios visitados
  • Los analistas podían ver la actividad en línea de una persona con selectores fuertes como una dirección IP o una dirección de correo electrónico
  • Con selectores débiles como palabras clave o frases, podían crear listas de personas que mostraran determinados comportamientos en internet
  • Las búsquedas podían hacerse sin decisión judicial ni aprobación de superiores dentro de la NSA

PRISM, Upstream, TURMOIL, TURBINE

• Section 702 permitió que el FBI, la CIA y la NSA accedieran a grandes volúmenes de datos mediante PRISM y Upstream
• PRISM era una estructura para acceder a datos de empresas estadounidenses como Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL y Apple
  • Snowden escribió en Permanent Record que PRISM permitía recolectar correos electrónicos, fotos, chats de video y voz, contenido de navegación web, consultas de búsqueda y datos almacenados en la nube
  • Esas empresas negaron que el FBI, la CIA y la NSA tuvieran acceso directo a sus sistemas y servidores, aunque también se explicó que por razones legales podía ser ilegal admitir su participación
• Upstream era un método para recolectar tráfico de internet conectándose directamente al backbone de operadores telefónicos y de internet en Estados Unidos
  • Incluía a empresas de telecomunicaciones estadounidenses como AT&T, y también hubo revelaciones de que algunos fabricantes de routers incorporaron funciones de vigilancia para la NSA en sus productos
  • Snowden explicó que Upstream capturaba directamente el tráfico que pasaba por satélites, cables submarinos de fibra óptica, switches y routers
• TURMOIL y TURBINE se usaban para filtrar y atacar tráfico a gran escala
  • TURMOIL marcaba tráfico según direcciones de correo, tarjetas de crédito, números telefónicos, origen y destino geográfico, y palabras clave como “anonymous internet proxy” o “protest”
  • TURBINE enviaba las solicitudes marcadas a servidores de la NSA, y un algoritmo decidía qué exploit tipo malware usar
  • Una vez que el exploit entraba en una computadora, podía acceder no solo a metadatos sino también a los datos mismos

Metadatos y compra de datos comerciales

• Los Estados suelen minimizar la vigilancia masiva diciendo que “solo recolectan metadatos”, pero los metadatos pueden incluir historial de sitios visitados e historial de búsquedas
• Bruce Schneier explicó que los metadatos revelan amistades íntimas, relaciones laborales, intereses y personas importantes, y Stewart Baker, ex asesor legal de la NSA, dijo que con suficientes metadatos no hace falta el contenido
• Los metadatos también pueden usarse para identificar a periodistas que critican los sistemas de vigilancia de Estados Unidos
  • Laura Poitras y Glenn Greenwald, contactados por Snowden, criticaron a la NSA y sufrieron perjuicios personales
  • GCHQ interceptó correos de periodistas de New York Times, Le Monde y Washington Post, y clasificó a periodistas de investigación como amenazas del mismo tipo que terroristas y hackers
• El aparato de vigilancia estadounidense se usó no solo contra terroristas y criminales, sino también para espionaje industrial, contra organizaciones de derechos humanos como Amnesty y Human Rights Watch, para vigilar 70 millones de llamadas mensuales en Francia y para vigilar a políticos y líderes mundiales
• Más recientemente también se reveló que agencias de Estados Unidos como el FBI compraron datos recolectados a data brokers
  • Datos cuya recolección directa por parte del Estado plantearía problemas constitucionales pueden conseguirse por una vía distinta si se compran comercialmente
  • Un consultor del gobierno de Estados Unidos describió al ecosistema de tecnología publicitaria como “la mayor empresa de recopilación de información jamás ideada por la humanidad”
  • Michael Morell, ex director interino de la CIA, dijo que si la información disponible comercialmente se hubiera recolectado mediante métodos tradicionales de inteligencia, se habría tratado como información ultrasecreta y sensible

Debate sobre la renovación de Section 702 y expansión en 2024

• Section 702 volvió al centro del debate por su renovación en 2023, y la Cámara de Representantes no logró aprobar tres veces el proyecto de extensión, por lo que la decisión se aplazó hasta la primavera de 2024
• Entre las principales enmiendas propuestas estaban exigir autorización judicial para vigilar a ciudadanos estadounidenses y bloquear la abouts collection, que apunta incluso a comunicaciones donde la persona vigilada solo es mencionada
• Finalmente, la Cámara y el Senado aprobaron la extensión de Section 702, pero no por los 5 años habituales sino por 2 años
• Al mismo tiempo, la ley se amplió y aumentó el alcance de las empresas y organizaciones que pueden ser obligadas a colaborar con la vigilancia masiva gubernamental
  • La nueva definición puede incluir incluso a actores con acceso físico a infraestructura de comunicaciones objetivo, como routers
  • El senador Ron Wyden lo llamó “dramático y terrible”, y Edward Snowden dijo que “la NSA está apoderándose de internet”

Reino Unido, Fourteen Eyes y el debate sobre la ubicación de los VPN

• El programa Tempora de GCHQ en el Reino Unido se conectó directamente a redes de fibra óptica entre Estados Unidos y Europa para acceder al tráfico de internet a ambos lados del Atlántico
• En 2013, 300 empleados de GCHQ y 250 de la NSA analizaron los datos entrantes con 40 mil disparadores clave, y 850 mil empleados de la NSA podían acceder al sistema británico
• Tempora procesaba 600 millones de eventos telefónicos al día y otro tráfico a través de 200 cables de fibra óptica, y Snowden lo llamó “el programa de vigilancia sin sospecha más grande de la historia de la humanidad”
• Five Eyes comenzó como una alianza de espionaje electrónico entre Australia, Canada, New Zealand, UK y USA, y las revelaciones de Snowden expusieron su expansión a Fourteen Eyes, con Belgium, Denmark, France, Germany, Italy, Netherlands, Norway, Spain y Sweden
• Afirmar que un proveedor de VPN es mejor solo porque está fuera de Fourteen Eyes ignora que el tráfico de internet pasa por múltiples fronteras e infraestructuras
  • El propósito de un VPN es cifrar el tráfico para que, incluso si las autoridades se conectan a un cable de fibra óptica, les resulte difícil leerlo
  • En la ubicación del proveedor de VPN, lo importante no es el acuerdo entre agencias de inteligencia en sí, sino las leyes del país que obligan a guardar registros y entregar datos
  • La lista de 14 países se basa en filtraciones de hace más de 10 años, y los proveedores de VPN no pueden saber cuántos países participan hoy ni cuál es el alcance actual

Las corrientes opuestas en Europa

• En 2018, el Tribunal Europeo de Derechos Humanos determinó que Tempora era ilegal e incompatible con las condiciones necesarias en una sociedad democrática, y en 2020 un tribunal de Estados Unidos determinó que la vigilancia de cientos de millones de personas por parte de la NSA era ilegal e inconstitucional
• Dentro de la UE existe una corriente de fallos de los máximos tribunales que consideran ilegal la vigilancia masiva, junto con regulaciones como el GDPR que buscan presionar a las big tech
  • Hasta ahora, el GDPR ha producido sobre todo multas simbólicas y una peor experiencia con cookies, pero ya empezó a ejercer presión real sobre empresas como Meta y Google
  • También sigue existiendo el riesgo de que las empresas tecnológicas inventen nuevas formas de recolectar datos
• En el lado opuesto, Francia busca introducir videovigilancia con IA, y Hungría instala cajas negras que permiten acceder a redes de ISP y al comportamiento de usuarios en internet sin decisión judicial
• La propuesta de chat control de la UE podría derivar en una vigilancia masiva cercana a una prohibición total de las comunicaciones privadas
• El borrador de la Online Safety Bill del Reino Unido se presenta como un intento de debilitar el tráfico cifrado, hoy más extendido tras las revelaciones de Snowden
• El spyware Pegasus se ha usado en Europa y otras regiones para atacar a opositores, activistas políticos y periodistas

Vigilancia y censura en países autoritarios

• Más de 4.500 millones de personas usan internet en el mundo, y el 76% de ellas vive en países que encarcelan a personas por escribir en línea sobre temas políticos, sociales o religiosos
• En países autoritarios, un VPN no solo sirve para reducir la vigilancia masiva, sino también como herramienta para acceder a un internet libre y sin censura
• Iran puede cortar internet por completo o usar SIAM para controlar, filtrar y vigilar el uso de teléfonos a través de la red móvil
• El gobierno de Egypt vigila a periodistas, activistas y abogados, y las autoridades de Morocco vigilan a organizaciones de derechos humanos con Pegasus
• El FSB de Russia ha interceptado llamadas y leído correos y mensajes mediante SORM, y el sistema Safe City de Moscow combina cientos de miles de cámaras de vigilancia, reconocimiento facial y vigilancia de datos móviles
  • Safe City se usa para rastrear y encarcelar a manifestantes, opositores políticos y periodistas
  • En el mercado negro digital llamado Probiv, funcionarios corruptos o descontentos filtran datos provenientes de bases de vigilancia masiva
  • Como resultado, incluso información sobre el círculo más cercano de Putin pudo comprarse por poco dinero, y fue aprovechada por la oposición, extranjeros y periodistas de investigación

China: Great Firewall, Police Cloud, Sharp Eyes, Skynet

• China controla qué sitios pueden consultar sus 750 millones de usuarios de internet, bloquea servicios de VPN y exige registro con nombre real para publicar contenido
• Las redes sociales y apps de mensajería están bajo vigilancia estatal, las apps extranjeras están prohibidas, y TikTok, fundada en China, también tiene una versión separada que bloquea contenido internacional
• Todos los teléfonos móviles son vigilados de forma continua mediante datos de ubicación, y los proveedores de servicios de internet deben cooperar con el Estado
• El Great Firewall of China controla y censura la experiencia de internet de la población china, y ya en 2013 había 2 millones de “analistas de opinión en internet” censurando manualmente mensajes en línea
• El “public opinion analysis software” recolecta datos y usa IA para reaccionar ante “material sensible”
  • Siguen registrándose casos de activistas, periodistas y ciudadanos comunes encarcelados por criticar a China en línea
  • Insultar a “héroes y mártires” puede implicar una pena de hasta 3 años de prisión
• Police Cloud es un sistema basado en big data que visualiza patrones y relaciones ocultas, crea mapas de vínculos y registra “opiniones extremas”
• China recolecta huellas de voz, ha instalado más de la mitad del millón de cámaras de vigilancia del mundo y ha incorporado tecnologías no solo de reconocimiento facial, sino también de identificación de emociones
• El documental Total Trust muestra cómo 4.5 millones de “grid officers” mantienen registros del comportamiento de residentes por zonas
  • Sharp Eyes combina cámaras de vigilancia del gobierno con denuncias vecinales de “voluntarios”
  • Skynet vigila calles, alrededores de las casas de personas clasificadas como objetivos de vigilancia, escaleras y entradas mediante una enorme red de cámaras
  • La IA biométrica, como el reconocimiento de rostro, ojos y voz, y la vigilancia del comportamiento en línea se combinan con los movimientos en el mundo físico
• En la 709 Crackdown de 2015, cientos de abogados de derechos humanos fueron encarcelados y torturados, y quienes no fueron encarcelados siguieron bajo vigilancia constante

La frontera entre vigilancia masiva y sociedad libre

• Los regímenes autoritarios usan la vigilancia masiva como herramienta de control para perseguir opositores, censurar información y reprimir protestas
• Los Estados democráticos exhiben menos la vigilancia masiva y sus daños suelen ser menos severos, pero hay casos en que se ha usado para vigilar elecciones, periodistas y opositores
• La vigilancia masiva es control y está del lado opuesto de la libertad
• Una sociedad libre puede perder su condición de sociedad libre al cruzar cierto umbral, por lo que hace falta luchar para defender un internet libre