Declaración conjunta de la sociedad civil al Consejo de Derechos Humanos: Promover una fuerte encriptación y el anonimato en la era digital

Author: 
APC
Autor: 

Enviada a la 29ª sesión del Consejo de Derechos Humanos
17 de junio, 2015

Las organizaciones de la sociedad civil y expertos/as independientes abajo firmantes trabajan para promover los derechos humanos y la libertad de prensa en línea. Recibimos con beneplácito el informe del Relator Especial sobre libertad de opinión y de expresión referido al uso de encriptación y anonimato en las comunicaciones digitales presentado ante el Consejo de Derechos Humanos de la ONU el 17 de junio.

Exhortamos a todos los gobiernos a promover el uso de tecnologías de encriptación fuerte y a proteger el derecho a buscar, recibir e impartir información anónimamente en línea. Cualquier ley o regulación que restringe el uso de encriptación o el anonimato en línea deberían revisarse en conformidad con la prueba triple estricta que el Relator Especial describe en el informe. También exhortamos a las empresas de tecnologías de información y comunicación (TIC) a adoptar ampliamente la encriptación y otras medidas que refuercen la privacidad para salvaguardar la seguridad de usuarios y usuarias.

Internet ha traído un enorme beneficio al movimiento de los derechos humanos y el trabajo de periodistas y de la sociedad civil independiente en todo el mundo. Pero también ha creado nuevos riesgos para todos sus usuarios y usuarias. Como describe el informe 2014 del Alto Comisionado de las Naciones Unidas para los Derechos Humanos sobre privacidad en la era digital, las tecnologías digitales permitieron la vigilancia intrusiva en escala y alcance sin precedentes. Esta vigilancia puede permitir que los gobiernos violen la confidencialidad profesional e identifiquen fuentes periodísticas, personas críticas del gobierno, filtraciones o miembros de grupos minoritarios perseguidos (como personas LGBT) y estas personas queden expuestas a represalias. Usuarios y usuarias comunes también enfrentan un conjunto de amenazas en línea provenientes de una vigilancia estatal extendida, ladrones de identidad y otros actores maliciosos.

Como lo reconoce el informe del Relator Especial, la fuerte encriptación y el anonimato son fundamentales para la protección de la seguridad informática y de los derechos humanos en la era digital. La encriptación y el anonimato, juntos o por separado, “crean una zona de privacidad para proteger la opinión y las creencias” (párr. 12). Ambas cosas resultan cruciales para el disfrute de libertades fundamentales como la de opinión, expresión y asociación, libertad de prensa, el derecho a la privacidad y otros derechos.

A menudo y sin saberlo, usuarios y usuarias de internet dependen de las prácticas de seguridad de las empresas de TIC, incluyendo el soporte de encriptación o la protección de sus datos de amenazas en línea. Defensores/as de los derechos humanos, abogados/as y periodistas utilizan herramientas para encriptar su información y sus comunicaciones y para proteger de represalias a sus fuentes y contactos. Más aún, muchas de las organizaciones y personas abajo firmantes utilizan la encriptación en su tarea diaria para garantizar la seguridad de su personal y asociados/as. Los estados tienen el deber de proteger el derecho a la privacidad y todos los usuarios y usuarias de internet deberían poder probar y adoptar herramientas de encriptación y anonimato punto a punto sin obstrucción de regulaciones gubernamentales o políticas corporativas.

Los gobiernos también tienen la obligación de investigar y perseguir el delito y prevenir ataques terroristas.
Sin embargo, en años recientes algunos gobiernos han buscado restringir el acceso a la encriptación fuerte o limitar el anonimato en línea en el nombre de la seguridad nacional o el orden público. El informe del Relator Especial reitera que toda “restricción impuesta sobre la encriptación el anonimato debe limitarse de manera estricta conforme a los principios de legalidad, necesidad, proporción y legitimidad de objetivo” (párr. 56).

Cualquier debate público sobre la legitimidad de restricciones específicas e individualizadas de la encriptación debe tener en cuenta la función vital que cumplen la encriptación y el anonimato en la protección y promoción de los derechos humanos, la libertad de prensa y la seguridad en línea. El Relator Especial agrega además que las “prohibiciones generales” de la encriptación y el anonimato “no cumplen con la necesidad y proporción”. Los estados también deberían “evitar toda medida que debilite la seguridad que las personas pueden disfrutar en línea, como puertas traseras, estándares de encriptación y custodia de claves débiles” (párr 60).

Las restricciones amplias al uso de encriptación y anonimato no satisfacen estos criterios. Por ejemplo, políticos y funcionarios del gobierno de Estados Unidos y del Reino Unido han expresado su preocupación acerca de que el uso creciente de la encriptación en los servicios de redes sociales o en los dispositivos móviles hará más difícil investigar amenazas terroristas. Algunos han presionado a las empresas para que inserten “puertas traseras” u otras vulnerabilidades que permitan que los agentes de la ley traspasen esas protecciones.

Sin embargo, como confirma el Relator Especial, “en el entorno tecnológico contemporáneo, comprometer intencionalmente la encriptación, incluso con propósitos legítimos, aunque discutibles, debilita la seguridad en línea de todo el mundo” (párr. 8). Introducir debilidades en la arquitectura digital con propósitos de vigilancia debilita la seguridad de internet en su totalidad, socava la seguridad en vez de fortalecerla y entra en conflicto con el deber del estado de proteger el derecho a la privacidad.

Exhortamos a los estados a adoptar e implementar las recomendaciones centrales del informe:

1. Los estados deberían promover y proteger de manera amplia la encriptación fuerte y el anonimato. Las leyes nacionales deberían reconocer la libertad de las personas individuales para proteger la privacidad de sus comunicaciones digitales utilizando tecnología de encriptación y herramientas que les permitan el anonimato en línea (párr 57-59).

2. Los estados deberían evitar toda medida que debilite la seguridad que las personas puedan disfrutar en línea. Éstas medidas incluyen “puertas traseras” obligatorias, estándares de encriptación débil, acuerdos de custodia de claves u obligar a desarrolladores/as a diseñar sistemas que les permitan la capacidad de descifrar comunicaciones. Exigir a las empresas que desarrollen vulnerabilidades en productos seguros socava inevitablemente y en forma desproporcionada la seguridad de todos los usuarios y usuarias de ese producto (párr 42, 60).

3. Las restricciones deben dirigirse a casos específicos y debería limitarse solamente a lo necesario y proporcional para un fin legítimo. Las intervenciones mediante orden judicial sólo deben permitirse cuando resulten de la aplicación de leyes transparentes y públicamente accesibles y sólo cuando se apliquen a casos individuales (es decir, no a una masa de personas) y estén sujetas a orden judicial y a la protección del derecho al debido proceso (párr 57, 60).

4. Los estados no deberían imponer prohibiciones generales a la encriptación y el anonimato, pues aquéllas no son necesarias ni proporcionales. Esas prohibiciones privan a todos los usuarios y usuarias de una jurisdicción de su derecho a crear un espacio privado para la opinión y expresión, sin establecer que la encriptación se utiliza con fines ilegítimos. Algunas formas de regulación pueden, en la práctica, funcionar como prohibición general — por ejemplo, exigir licencias de encriptación, obligar a mantener estándares técnicos de encriptación débil o controlar la importación o exportación de herramientas de encriptación (párr 40-41).

5. Los estados deberían abstenerse de imponer la identificación personal como condición para acceder a servicios en línea o el registro de tarjeta SIM (registro con nombre real) para usuarios y usuarias de dispositivos móviles. Los estados también deberían abstenerse de limitar el acceso a herramientas de anonimato. El anonimato facilita de manera significativa el derecho a la privacidad, la opinión y la expresión en línea y los estados deberían protegerla y, en forma general, no restringir las tecnologías que la habilita. En algunos casos, las herramientas de anonimato pueden ser el único mecanismo con que las personas pueden ejercer esos derechos con seguridad (párr 47-52).

El Relator Especial también llama al sector privado a revisar la aptitud de sus prácticas en relación a la responsabilidad de las empresas de respetar los derechos humanos. Una diligencia debida adecuada referida a los derechos humanos por parte de las empresas de TIC debería comprender la evaluación de amenazas a la seguridad de usuarios y usuarias de internet, incluida la vigilancia gubernamental, y elaborar estrategias para mitigar los perjuicios a los derechos humanos. Las prácticas de seguridad de las empresas de TIC pueden promover o comprometer significativamente la encriptación y el anonimato (junto con los derechos humanos) en línea. En particular, la integración de la encriptación en los servicios y productos diarios de internet, de manera automática y extendida, mejoraría notablemente la seguridad de las comunicaciones para toda persona que use internet.

Por consiguiente, también llamamos a las empresas de TIC a:

1. Abstenerse de bloquear o limitar la transmisión de comunicaciones encriptadas;
2. Permitir comunicaciones anónimas y el uso de servicios en línea y abstenerse de imponer requisitos de registro con nombre real;
3. Instalar encriptación punto a punto por defecto en todo servicio y producto en línea;
4. Apoyar el desarrollo de otras tecnologías seguras para sitios web basados en protocolos fuertes y abiertos;
5. Resistir las presiones de los gobiernos que les exijan comprometer el anonimato y la encriptación. También resistir las exigencias de los gobiernos de revelar comunicaciones o información específica excepto cuando exista orden judicial que resulte de la aplicación a casos individuales de leyes transparentes y accesibles al público;
6. Asegurar efectivamente la información almacenada mediante prácticas verificables que incluyan la encriptación;
7. Mantener la seguridad de las credenciales y proveer dispositivos de autentificación robustos;
8. Iniciar una notificación de brecha y sistema de parche para las vulnerabilidades conocidas y explotables; y
9. Proveer herramientas de educación para usuarios y usuarias sobre la importancia de las mejores prácticas de seguridad digital.

Enviada por: Human Rights Watch

Firmantes:

  • Access
  • Amnesty International
  • Article 19
  • Association for Progressive Communications (APC)
  • Australian Privacy Foundation
  • Bolo Bhi
  • Bytes for All, Pakistan
  • Center for Democracy & Technology (CDT)
  • Chaos Computer Club (CCC) e.V.
  • Committee to Protect Journalists
  • Digital Rights Foundation
  • Electronic Frontier Foundation
  • FIDH
  • Foundation for Internet and Civic Culture, Thailand
  • Global Voices Advocacy
  • Human Rights Watch
  • International Modern Media Institute (Iceland)
  • La Quadrature du Net
  • Media Matters for Democracy, Pakistan
  • OpenMedia.org
  • Panoptykon
  • PEN International
  • Privacy International
  • Reporters sans frontières (RSF)
  • SFLC.in
  • WITNESS
  • World Wide Web Foundation

Imagen: Phil Zimmermann en Wikimedia Commons

« Volver